PolySécure Podcast

Parce que… c’est l’épisode 0x689! Préambule Nous abordons des sujets sensibles, notamment la dépression et le suicide. Si vous y êtes sensible, nous vous conseillons de sauter cet épisode. Si vous avez besoin d’aide, vous pouvez consulter les ressources mentionnées plus bas, parler à votre entourage ou nous écrire pour que nous puissions vous diriger des ressources pour vous aider. Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Dans cet épisode du podcast Davy Adam partage avec une grande transparence son expérience d’un épisode dépressif majeur vécu durant l’été 2024. Ce témoignage poignant offre des enseignements précieux pour quiconque pourrait vivre ou accompagner une telle épreuve. Le contexte d’un effondrement Davy, 48 ans, se considérait comme quelqu’un de solide. Ancien alcoolique sobre depuis 21 ans, ayant surmonté de nombreuses épreuves dont le décès de sa mère à 20 ans, il pensait que le pire était derrière lui. Pourtant, cet été, il a vécu ce qu’il n’avait pas anticipé : une dépression nerveuse suite à un cumul de changements majeurs simultanés – déménagement en Bretagne à 600 km de chez lui, séparation après 12 ans de vie commune, et changement radical de cadre de vie. Les signaux d’alerte ignorés Le premier enseignement crucial de son témoignage concerne les signes avant-coureurs qu’il n’a pas su entendre. Pendant six mois avant le déménagement, Davy ressentait un stress constant, des maux de ventre persistants, et surtout une sensation d’être « pris au piège ». Dès la signature du compromis de vente, il regrettait déjà sa décision mais se convainquait que c’était normal. Même lors des visites de biens immobiliers, il pleurait le soir à l’hôtel – lui qui avait mis 10 ans de thérapie à pouvoir pleurer à nouveau. Cette sensation d’être pris au piège est un symptôme typique qu’il identifie aujourd’hui comme un signal d’alarme majeur : « Dès que vous avez la sensation d’être pris au piège dans une situation où vous avez encore le choix, c’est qu’il y a un problème. » Même pendant le processus d’achat, il espérait secrètement que la banque refuse le crédit. L’effondrement Le jour du déménagement, arrivé seul dans sa nouvelle maison avec son chien après six heures de route par 40 degrés, Davy s’est retrouvé à minuit entouré de cartons, sans eau chaude fonctionnelle. C’est là que tout s’est effondré. Dès le lendemain matin, il se réveillait avec la sensation de se noyer, la respiration bloquée, le ventre noué. En huit jours, il a perdu 5 kilos (après avoir déjà perdu 26 kilos l’année précédente). Il pleurait dans les rayons du supermarché, incapable de choisir quoi acheter. Comprendre la dépression Davy explique avec clarté ce qu’est biologiquement une dépression : le cerveau se coupe du corps, tous les récepteurs liés au plaisir, au sommeil, à la faim et à la libido cessent de fonctionner. Ce n’est pas une question de volonté – c’est une cassure chimique. Il réfute fermement l’idée simpliste du « bouge-toi le cul » : « Si c’était une question de volonté, ça aurait duré trois jours pour moi. » Les symptômes qu’il a vécus incluaient une perte d’appétit complète, un niveau d’anxiété extrême, une tristesse profonde, et surtout l’incapacité de voir une issue. Il partage un moment bouleversant où, voulant acheter une poêle au supermarché, une partie de son esprit lui disait : « Ça ne sert à rien, tu vas te suicider. » Un autre jour, il a mis 40 minutes à simplement se lever pour aller aux toilettes, son corps ne répondant plus aux commandes de son cerveau. Demander de l’aide : l’étape cruciale Après seulement deux jours dans cet état, Davy a fait ce qu’il considère aujourd’hui comme son meilleur réflexe : demander de l’aide. Il a contacté son entourage, posté sur LinkedIn, et s’est rendu aux urgences psychiatriques. « C’est une situation dont on ne se sortira pas tout seul. Tous les psys vous le diront, tous ceux qui sont passés par là vous le diront, vous ne pouvez pas vous en sortir seul, c’est beaucoup trop gros. » Les urgences de Quimper l’ont pris en charge rapidement et avec bienveillance, lui prescrivant des antidépresseurs. Il insiste sur plusieurs points concernant ces médicaments : ils ne guérissent pas la dépression, mais réparent la machine biologique en permettant au cerveau de reproduire la sérotonine et autres neurotransmetteurs essentiels. Ils mettent 10 à 15 jours à faire effet (dans son cas, quelques jours avec beaucoup de chance), et peuvent d’abord avoir l’effet inverse. Surtout, ils ne fonctionnent pas seuls – ils doivent être accompagnés d’un travail thérapeutique. La décision de rentrer Face à l’impossibilité de rester en Bretagne, Davy a pris la décision difficile mais salvatrice de tout arrêter et de rentrer à Paris. Cette décision lui a coûté environ 50 000 euros – toutes ses économies de plusieurs années. Mais comme il le dit avec sagesse : « C’est que de l’argent. Ça se regagne. » Il affirme que s’il était resté, il n’aurait probablement pas survécu. Les clés de la reconstruction Plusieurs éléments l’ont aidé dans son processus de guérison. D’abord, l’activité physique – même si c’est très difficile quand on est en dépression. En Bretagne, il marchait 10 km par jour avec son chien, ce qui lui permettait de quitter la maison et de se reconnecter à son corps. Ensuite, le fait de ne pas rester seul : sa sœur l’a accueilli, et le simple fait de ranger des Playmobil avec elle a remis sa « machine » en marche. La méditation de pleine conscience et les exercices de cohérence cardiaque ont également joué un rôle important, l’aidant à se reconnecter à son corps et à sortir de sa tête. Il recommande de se concentrer sur le présent plutôt que de se projeter dans un futur qui semble impossible. Le travail thérapeutique Davy suit une thérapie depuis 10 ans avec la même thérapeute, et ce travail l’a « sauvé la vie au sens littéral du terme à plusieurs reprises ». Durant sa dépression, il a intensifié les séances, ce qui l’a aidé à comprendre ce qui s’était passé et surtout à envisager un après. Il encourage vivement à se faire accompagner par un professionnel qualifié – psychiatre ou psychothérapeute. Le chemin continue Quatre mois après le début de l’épisode (juillet-octobre), Davy va mieux mais n’est pas sorti d’affaire. Un épisode dépressif prend en moyenne six mois pour en sortir. Contrairement à ce qu’il pensait initialement, c’est lui qui demande maintenant à son psychiatre de continuer les antidépresseurs, conscient de sa fragilité persistante face aux défis qui l’attendent (vente de la maison, nouveau déménagement). Il partage une vérité importante : la fragilité demeure. Une fois qu’on a vécu un épisode dépressif, on vivra avec cette expérience toute sa vie. Mais on apprend à vivre avec, à reconnaître les signaux, et à demander de l’aide avant de sombrer à nouveau. Message d’espoir Le message central de Davy est clair : même si on ne voit pas la sortie quand on est au fond, elle existe. Il affirme aujourd’hui, depuis « l’autre côté », qu’il y a une sortie possible. Son conseil est simple mais vital : « Allez chercher de l’aide. » Que ce soit auprès de proches, de professionnels, ou via des numéros d’urgence, il ne faut surtout pas rester seul face à la dépression. Ce témoignage rappelle que la dépression touche 20% de la population mondiale à un moment de leur vie, qu’elle n’est pas une question de force ou de faiblesse, et qu’elle nécessite un accompagnement médical et thérapeutique. Davy conclut avec son mantra personnel : « Je fais ce que je peux avec ce que j’ai. Et c’est déjà pas mal. » Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x688! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode du podcast PME, l’équipe composée de Julien Teste-Harnois, Cyndie Feltz, Nicolas Milot et Dominique Derrier explore une problématique contemporaine majeure : le partage excessif d’informations sur les réseaux sociaux et ses implications pour les individus et les entreprises. La discussion met en lumière comment le mélange entre vie personnelle et professionnelle sur les plateformes sociales peut créer des vulnérabilités significatives en matière de sécurité. Le piège du partage excessif d’informations personnelles Les intervenants soulignent d’abord que les plateformes comme Facebook encouragent activement les utilisateurs à partager une quantité considérable d’informations personnelles. Bien que ces plateformes proposent de renseigner la ville de résidence, l’école secondaire fréquentée, l’école primaire, les liens familiaux et bien d’autres détails, il ne s’agit que de suggestions. Les utilisateurs ne sont nullement obligés de compléter ces champs, surtout s’ils configurent leur profil en mode public. La recommandation est claire : se limiter au strict minimum, soit nom, prénom et éventuellement la ville. Tout le reste n’apporte que peu de valeur réelle tout en augmentant considérablement l’exposition aux risques. Les dangers du partage d’informations corporatives La logique s’applique également au niveau corporatif. Sur LinkedIn, par exemple, il existe une pression implicite à tout partager. L’équipe illustre ce point avec un exemple parlant : annoncer que toute l’équipe part au chalet pour un team building peut sembler anodin et même positif pour l’image de l’entreprise. Cependant, cette annonce révèle publiquement que les bureaux sont inoccupés pendant plusieurs jours. Si l’entreprise possède un bureau physique où des documents confidentiels pourraient traîner, cette information devient une invitation ouverte aux personnes mal intentionnées. Le conseil des experts est pragmatique : partagez ces moments après coup, pas en temps réel. Publiez vos belles photos et vos témoignages d’événement réussi une fois que tout le monde est de retour au bureau. L’attention aux détails visuels Un point crucial soulevé concerne l’environnement capturé dans les photos et vidéos. Les participants rappellent qu’il faut faire attention à ce qui apparaît en arrière-plan : éviter de publier des photos où le bilan financier de l’entreprise est visible, ou encore ces fameux post-it avec des mots de passe collés sur les écrans. Ces détails apparemment anodins peuvent fournir des informations précieuses à des acteurs malveillants. L’impact des comptes personnels sur la réputation d’entreprise Le podcast aborde également un phénomène fréquent : les employés qui affichent leur employeur sur Facebook puis commentent publiquement sur des sujets controversés, qu’ils soient politiques ou autres. Cette association directe entre opinions personnelles et entreprise peut nuire significativement à la réputation de celle-ci. Le problème s’amplifie lorsqu’il s’agit du propriétaire de l’entreprise lui-même. L’exemple frappant du billet d’avion Julien partage une anecdote marquante survenue récemment : une influenceuse australienne a montré son billet d’avion en direct sur TikTok devant ses centaines de milliers d’abonnés. Un spectateur a capturé l’écran, récupéré le numéro de réservation et annulé son vol. L’influenceuse s’est retrouvée bloquée à l’aéroport, contrainte de racheter un billet et de décaler son voyage. Cet incident illustre parfaitement comment un partage innocent peut avoir des conséquences immédiates et coûteuses. La reconnaissance comme outil d’attaque Nicolas, dans son expertise en tests de pénétration, explique que la phase de reconnaissance représente une part importante du travail. Les réseaux sociaux constituent une mine d’or pour les attaquants qui cherchent la meilleure porte d’entrée. Les informations partagées publiquement facilitent considérablement le social engineering et permettent de construire des prétextes crédibles pour tromper les employés et accéder aux systèmes ou locaux d’une entreprise. Les questions de sécurité et les mots de passe Un conseil particulièrement astucieux concerne les questions de sécurité. Les participants révèlent que personne ne vérifie réellement si vos réponses sont exactes. Plutôt que d’utiliser le véritable nom de votre chien ou votre école primaire – informations souvent publiques sur Facebook – il est préférable de créer des réponses complètement aléatoires et de les stocker dans un gestionnaire de mots de passe. Cette approche rend inutile toute tentative de récupération d’informations via les réseaux sociaux. Les guidelines pour un partage responsable L’équipe recommande aux directions d’établir des lignes directrices claires pour les employés souhaitant partager des contenus liés à l’entreprise. Il vaut mieux être proactif et définir ce qui est acceptable plutôt que de réagir après coup. De même, les employés devraient systématiquement demander l’autorisation avant de publier du contenu corporatif. Attention aux offres d’emploi et CV Un point souvent négligé concerne les offres d’emploi : il n’est pas nécessaire de détailler toutes les versions de logiciels et de faire l’inventaire complet des systèmes de l’entreprise. De même, ceux qui partagent leur CV en ligne devraient retirer leurs coordonnées personnelles complètes pour éviter de faciliter le travail des escrocs. La section coordonnées de LinkedIn Beaucoup d’utilisateurs ignorent que LinkedIn possède une section “coordonnées” souvent accessible par leur réseau. Certains y inscrivent leur adresse personnelle, leur courriel personnel et leur numéro de téléphone sans réaliser que ces informations sont visibles par des centaines, voire des milliers de connexions, dont ils ne connaissent même pas l’identité réelle. L’importance de la conscience situationnelle L’équipe conclut en soulignant l’importance d’être conscient de son environnement, particulièrement en visioconférence. Les exemples cocasses du confinement, avec des personnes se promenant nues en arrière-plan ou se levant en sous-vêtements, démontrent ce manque de conscience. La solution simple : s’installer dos à un mur et s’habiller correctement. Conclusion Le message principal de ce podcast est un appel à la réflexion avant la publication. Dans un monde où les algorithmes nous poussent à partager en temps réel pour maximiser l’engagement, il faut prendre deux secondes pour se demander : est-ce vraiment urgent de diffuser cette information ? Qui pourrait l’utiliser à mauvais escient ? Cette pause réflexive peut prévenir de nombreux problèmes de sécurité tant personnels que professionnels. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x687! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA API fantôme - Quand l’IA crée des backdoors dans le dos des dev Critical n8n Automation Platform Vulnerability Enables RCE Attacks - 103,000+ Instances Exposed How to determine if agentic AI browsers are safe enough for your enterprise The Age of the All-Access AI Agent Is Here China is worried AI threatens party rule—and is trying to tame it 30% AI, 100% Broken Cursor CEO warns vibe coding builds ‘shaky foundations’ and eventually ‘things start to crumble’ Claude Code Safety Net - Le plugin qui empêche l’IA de tout niquer OpenAI is hiring a new Head of Preparedness to try to predict and mitigate AI’s harms Salesforce pulls back from LLMs, pivots Agentforce to deterministic automation after 4,000 layoffs GitHub - PwnFunction/sandbox: Run untrusted AI code safely, fast Souveraineté FCC bans foreign-made drones over national security, spying concerns Europe gets serious about cutting US digital umbilical cord US bars five Europeans accused of censoring Americans Privacy Mullvad VPN: “The European Commission lost t…” - Mastodon Judge rules that NSO cannot continue to install spyware via WhatsApp pending appeal Industry Continues to Push Back on HIPAA Security Rule Overhaul I didn’t realize my LG TV was spying on me until I turned off this setting Red Cyberattack disrupts France’s postal service and banking arm Budding infosec pros and aspiring cyber crooks targeted with fake PoC exploits BrianKrebs: “When an entire class of techno…” - Infosec Exchange One Year Of Zero-Click Exploits: What 2025 Taught Us About Modern Malware New MacSync macOS Stealer Uses Signed App to Bypass Apple Gatekeeper mongobleed/mongobleed.py at main · joe-desimone/mongobleed · GitHub I Didn’t Hack You. You Posted Everything Stolen LastPass backups enable crypto theft through 2025 Blue Now Admins Can Block External Users in Microsoft Teams From Defender Portal Microsoft Teams to Enforce Messaging Safety Defaults Starting January 2026 How to enable Windows’ new, wider Run dialog box Microsoft wants to replace its entire C and C++ codebase Divers et insolites Quand les robots humanoïdes se font pirater en 1 minute via Bluetooth Seven Diabetes Patients Die Due to Undisclosed Bug in Abbott’s Continuous Glucose Monitors ‘All brakes are off’: Russia’s attempt to rein in illicit market for leaked data backfires Cleartext Signatures Considered Harmful The dangers of SSL certificates Public Domain Day 2026 Everything is a Remix Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x686! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée. Les trois piliers d’une culture de sécurité efficace L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité. 1. Connect : La communication comme fondement La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”. Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment). La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation. 2. Reduce Uncertainty : Clarifier les rôles et responsabilités L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler. Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret. La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude. Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout. 3. Inspire Action : Le leadership authentique Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ? L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate bullshit” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion. Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques. Les leçons de l’expérience L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant. Les pièges à éviter Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité : Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où. La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle. L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer. La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur. Conclusion La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés. Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain. Notes À venir Collaborateurs Nicolas-Loïc Fortin Benoit Gagnon Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x685! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode spécial PME du podcast PoSécure, l’équipe composée de Dominique Derrier, Nicolas Milot, Cyndie Feltz et Julien Teste-Harnois aborde un sujet crucial mais souvent négligé dans les petites et moyennes entreprises : la gestion du cycle de vie des identités sur les réseaux sociaux. Cette discussion met en lumière les enjeux du onboarding (intégration) et de l’offboarding (départ) des employés, particulièrement en ce qui concerne leurs accès aux plateformes sociales de l’entreprise. Le problème de l’offboarding sur les réseaux sociaux L’un des constats les plus frappants soulevés durant la discussion est que les réseaux sociaux sont systématiquement oubliés lors du départ d’un employé. Contrairement aux équipements physiques comme les ordinateurs portables ou les souris que l’on pense à récupérer, les accès aux comptes sociaux de l’entreprise ne font généralement pas partie des listes de vérification de départ. Cette négligence peut avoir des conséquences graves pour l’organisation. Le panel souligne qu’il est essentiel d’intégrer les réseaux sociaux dans les processus d’offboarding existants. Lorsqu’un employé du marketing qui avait accès à la page Facebook de l’entreprise quitte son poste, il faut impérativement lui retirer ces accès. Plus problématique encore, si cette personne était la seule à détenir les droits d’administrateur et qu’elle part en mauvais termes, l’entreprise peut se retrouver complètement verrouillée hors de ses propres comptes. Les risques de la perte de contrôle Les intervenants partagent plusieurs scénarios catastrophiques qui surviennent régulièrement. Une entreprise peut réaliser six mois après le départ d’un employé que celui-ci était le seul administrateur d’un compte social important. Si les relations sont cordiales, il est parfois possible de le recontacter pour qu’il transfère les accès. Cependant, en cas de départ conflictuel, l’entreprise peut perdre définitivement l’accès à ses propres pages et communautés. Cyndie Feltz mentionne notamment l’exemple de LinkedIn où, si l’administrateur refuse de coopérer, la page est perdue à jamais. Cette situation est d’autant plus préoccupante que les actifs numériques, incluant les communautés bâties sur les réseaux sociaux, représentent aujourd’hui une valeur considérable pour les entreprises, particulièrement lors d’acquisitions. Le coût caché des licences oubliées Au-delà de l’aspect sécuritaire, Nicolas Milot attire l’attention sur l’impact financier de ces négligences. Combien d’entreprises continuent de payer des licences pour d’anciens employés dont les accès n’ont jamais été révoqués ? Ces coûts récurrents s’accumulent mois après mois sans que personne ne s’en rende compte, représentant une perte financière évitable avec de simples processus de revue. Les défis particuliers des PME La discussion met en évidence les défis spécifiques auxquels font face les petites et moyennes entreprises. Dans ces structures, tout le monde met la main à la pâte, et il y a une volonté naturelle de donner rapidement accès aux nouveaux employés pour qu’ils puissent être productifs. Cette urgence opérationnelle conduit souvent à ouvrir trop de portes sans documentation adéquate. Le problème est aggravé dans les PME par les acquisitions fréquentes et les changements organisationnels rapides. Sans inventaire rigoureux, on perd la trace des comptes de médias sociaux, surtout lors de fusions ou d’acquisitions. La connaissance institutionnelle disparaît avec les employés, et sans documentation claire du onboarding, il devient impossible de savoir qui a accès à quoi. Les aspects techniques et l’hygiène informatique Dominique Derrier apporte une perspective plus technique en abordant les problématiques liées à Active Directory et Azure. Il explique le concept de “ghost users” - des comptes utilisateurs qui restent actifs dans le système même s’ils ne sont plus utilisés. Ces comptes dormants représentent un risque de sécurité important car un attaquant pourrait les réactiver pour passer inaperçu plutôt que de créer de nouveaux comptes suspects. Il recommande d’implémenter des politiques claires : désactiver les comptes après trois mois d’inactivité, puis les supprimer définitivement. Il est également crucial de supprimer les ordinateurs de l’Active Directory lorsqu’ils sont retirés du parc informatique. De plus, il suggère fortement d’avoir un utilisateur dédié au onboarding plutôt que d’utiliser des comptes administrateurs de domaine pour joindre des machines, car cela crée des relations de confiance problématiques dans Active Directory. Les consultants et partenaires externes Le panel souligne qu’il ne faut pas oublier les consultants et les agences de marketing dans la gestion des accès. Lorsqu’une agence gère les réseaux sociaux d’une entreprise, elle a légitimement besoin d’accès. Cependant, à la fin du mandat, ces accès doivent être révoqués. Julien observe fréquemment des agences qui conservent encore des accès à des comptes de clients datant de plusieurs années, créant un vecteur d’attaque potentiel si le compte d’un employé de l’agence est compromis. Solutions et recommandations Pour résoudre ces problèmes, les intervenants proposent plusieurs solutions concrètes : Créer des processus documentés : Établir des listes de vérification claires pour le onboarding et l’offboarding qui incluent spécifiquement les réseaux sociaux et tous les outils SaaS utilisés par l’entreprise. Maintenir un inventaire : Tenir à jour une liste de tous les comptes, plateformes et accès, en précisant qui y a accès et pourquoi. Cet inventaire est crucial pour les changements de poste internes également. Penser aux changements de rôle : Ne pas se concentrer uniquement sur les départs, mais aussi sur les mobilités internes. Un employé qui change de département doit perdre les accès de son ancien poste. Conserver les droits administrateurs : S’assurer que l’entreprise garde toujours au moins un accès administrateur aux comptes sociaux, même si une seule personne les gère au quotidien. Instituer une “journée de revue des accès” : Cyndie suggère de créer un événement annuel dédié à la revue de tous les accès aux réseaux sociaux, similaire à la journée mondiale du mot de passe ou des sauvegardes. Conclusion Le message central de ce podcast est clair : les réseaux sociaux doivent être traités avec le même sérieux que les autres actifs de l’entreprise. Ils ne sont pas simplement des outils de communication périphériques, mais font partie intégrante de la vitrine numérique et de la valeur de l’entreprise. L’équipe insiste sur l’importance de mettre en place des processus dès maintenant, car plus on attend, plus le ménage devient complexe et risqué. La gestion proactive du cycle de vie des identités sur les réseaux sociaux n’est pas seulement une question de sécurité, mais aussi de protection de la valeur et de la réputation de l’entreprise. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x684! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : l’effet Eliza et l’anthropomorphisme Dans ce onzième balado collaboratif entre Polysécure et Cyber Citoyens, Catherine Dupont-Gagnon, Samuel Harper et Nicolas Lick explorent les impacts souvent négligés de l’intelligence artificielle sur la société. La discussion débute avec le concept de l’effet Eliza, cette tendance humaine à attribuer des émotions, de l’empathie et une conscience à des programmes informatiques. Ce phénomène d’anthropomorphisme, comparable à l’attachement qu’on peut développer pour des objets inanimés, constitue la racine de nombreux problèmes liés à l’utilisation des IA conversationnelles. Psychoses induites ou exacerbées par l’IA L’équipe soulève une distinction cruciale : l’IA cause-t-elle des psychoses ou les aggrave-t-elle simplement ? Avec seulement trois ans de recul depuis le lancement de ChatGPT, les données scientifiques robustes manquent encore. Les cas documentés montrent souvent des personnes présentant déjà des facteurs de risque, comme des dépressions antérieures, des symptômes proches de la schizophrénie ou des problèmes de consommation. Deux facteurs de risque majeurs émergent : la déification de l’IA (la percevoir comme une intelligence supérieure omnisciente) et la dose d’utilisation. L’isolement social au profit d’heures passées avec un chatbot crée un terrain fertile pour les problèmes psychologiques. Les animateurs établissent un parallèle troublant avec les techniques de radicalisation et les cultes : isolation, coupure des liens familiaux, validation inconditionnelle et mise sur piédestal d’une autorité. Le cas tragique d’un jeune homme qui s’est suicidé après que l’IA l’ait « challengé » à prouver sa détermination illustre dramatiquement ces dangers. Selon des données internes d’OpenAI, environ 0,07 % des utilisateurs montrent des signes de psychose et 0,15 % des indicateurs suicidaires. Ces pourcentages, bien que faibles, représentent des chiffres absolus alarmants : avec 800 millions d’utilisateurs actifs hebdomadaires, on parle de 560 000 personnes montrant des signes de psychose et 1,2 million ayant contemplé le suicide. Impact sur l’apprentissage et la créativité Une étude du MIT (non encore publiée dans une revue à comité de lecture) révèle des conséquences préoccupantes sur les capacités cognitives. Les chercheurs ont demandé à des participants d’écrire des essais en 20 minutes, certains utilisant des modèles de langage, d’autres uniquement leur cerveau. Les résultats sont frappants : moins de connectivité cérébrale chez les utilisateurs d’IA, incapacité à se rappeler ce qu’ils avaient écrit (80-90 % ne pouvaient citer une phrase de leur propre texte), et homogénéité troublante des opinions sur des sujets normalement sujets à débat. Nicolas Lick, enseignant universitaire, témoigne de cette réalité sur le terrain. Il constate une résistance croissante de ses étudiants face à la charge de travail et une diminution de leur capacité d’absorption. Il doit ralentir son débit de parole et réduire le contenu de ses cours. Les étudiants du primaire paniquent désormais devant des textes de quelques centaines de mots, alors qu’auparavant ils rédigeaient régulièrement des dissertations de 2500 mots. La dette cognitive Le concept de dette cognitive émerge comme un problème central. En déléguant les tâches difficiles à l’IA, on évite l’effort mental immédiat mais on hypothèque nos capacités futures. L’exemple des moteurs de recherche est éclairant : même avec Google, on doit trier l’information, évaluer sa fiabilité, distinguer le vrai du faux. Avec l’IA, tout est présenté comme également vrai, éliminant cet exercice de pensée critique. L’université vise notamment à enseigner la lecture rapide et l’analyse de grandes quantités de documents. Sans cette pratique intensive, la capacité à discriminer l’information pertinente ne se développe pas. Le passage d’un rôle de producteur à celui de superviseur de l’IA crée également un épuisement cognitif paradoxal : même si on produit cinq fois plus de contenu, l’effort mental reste le même, menant à un burnout accéléré. Une étude sur le « vibe coding » révèle que les développeurs utilisant des outils d’IA pensent économiser 20-25 % de leur temps, mais sont en réalité 20 % moins productifs que ceux qui n’en utilisent pas. Cette distorsion entre perception et réalité témoigne de notre difficulté à nous auto-évaluer. Conséquences environnementales et sociétales Au-delà des impacts cognitifs, l’IA génère des coûts environnementaux considérables. Chaque requête consomme de l’énergie, et les centres de données affectent la qualité de l’eau des municipalités avoisinantes. Hydro-Québec a d’ailleurs émis des alertes sur les réserves d’électricité. L’utilisation massive de ressources naturelles pour fabriquer des GPU et l’infrastructure nécessaire soulève des questions sur la viabilité à long terme. La vie privée constitue un autre enjeu majeur. Les informations partagées avec les IA ne bénéficient d’aucune protection comparable à celle du secret professionnel. Des fraudeurs se font même passer pour des policiers pour obtenir des données auprès des entreprises technologiques. Les jouets pour enfants dotés d’IA non sécurisée représentent également un danger, certains ayant déjà divulgué du contenu inapproprié. Conclusion : plus de problèmes que de solutions ? La discussion se termine sur une note interrogative : l’IA crée-t-elle plus de problèmes qu’elle n’en résout ? Pour les traductions, Google Translate suffisait. Pour l’écriture, les correcteurs automatiques fonctionnaient bien. Les coûts humains, psychologiques, environnementaux et sociétaux justifient-ils les bénéfices marginaux apportés ? Certains usages spécifiques montrent du potentiel, comme la reconnaissance de grains de beauté suspects. La règle proposée : « Feriez-vous confiance à un chien savant pour cette tâche ? » Si oui, l’IA peut probablement aider. Sinon, mieux vaut s’abstenir. Sur une note optimiste, Nicolas Lick rappelle que contrairement aux prédictions alarmistes, les emplois humains demeurent essentiels. Les entreprises qui ont licencié massivement en comptant sur l’IA sont souvent obligées de réembaucher. Le conseil final du podcast : pour éviter les psychoses liées à l’IA, continuez à voir des humains réels. C’est le meilleur remède contre l’isolement et la dérive qu’encourage une dépendance excessive aux assistants virtuels. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x683! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA It Only Takes A Handful Of Samples To Poison Any Size LLM, Anthropic Finds Chinese Surveillance and AI LLMs are Accelerating the Ransomware Operations with Functional Tools and RaaS Microsoft confirms Windows 11 will ask for consent before AI agents can access your personal files, after outrage Automatically Remove AI Features From Windows 11 In Cybersecurity, Claude Leaves Other LLMs in the Dust AI-authored code needs more attention, contains worse bugs Privacy Privacy is Marketing. Anonymity is Architecture Chrome, Edge privacy extensions quietly snarf AI chats UK surveillance law still full of holes, watchdog warns Pa. high court rules that police can access Google searches without a warrant Souveraineté Nutanix pushes sovereign cloud in another swipe at VMware ‘It’s surreal’: US sanctions lock International Criminal Court judge out of daily life NATO’s battle for cloud sovereignty: Speed is existential Airbus to migrate critical apps to a sovereign Euro cloud Red Deepfake Deception: How I Hacked Biometric Authentication with $ and a YouTube Video 🤖 Bypassing Multi-Layer Browser Isolation & AV Controls Through Gateway Path Mismanagement Advanced Search Techniques for Exposed Information “Super secure” MAGA-themed messaging app leaks everyone’s phone number Apple, Google forced to issue emergency 0-day patches Storm-0249 Abusing EDR Process Via Sideloading to Hide Malicious Activity C2 Command and Control & Tunnelling via DNS Command and Control & Tunnelling via ICMP Most Parked Domains Now Serving Malicious Content Singularity Linux Kernel Rootkit with New Feature Prevents Detection rust_binder: fix race condition on death_list - kernel/git/stable/linux.git - Linux kernel stable tree New password spraying attacks target Cisco, PAN VPN gateways New Research Uncovers the Alliance Between Qilin, DragonForce and LockBit Microsoft 365 accounts targeted in wave of OAuth phishing attacks Ten mistakes marred firewall upgrade at Australian telco Breach Ministère de l’intérieur France French Interior Ministry confirms cyberattack on email servers French Interior Minister says hackers breached its email servers France investigates Interior Ministry email breach and access to confidential files France arrests suspect tied to cyberattack on Interior Ministry Ministers confirm breach at UK Foreign Office Information warfare Denmark blames Russia for destructive cyberattack on water utility A Good Year for North Korean Cybercriminals Russian Hackers Attacking Network Edge Devices in Western Critical Infrastructure Venezuela state oil company blames cyberattack on US after tanker seizure Why US and Chinese satellites are ‘dogfighting’ in orbit China’s Ink Dragon hides out in European government networks Denmark takes a Viking swing at VPN-enabled piracy Blue Why Monitoring Outbound Connections Is the Fastest Way to Detect a Compromised Linux Server Learn about updates to dark web report Microsoft Rolls Out Baseline Security Mode for Office, SharePoint, Exchange, Teams, and Entra Stay Secure: Why Cyber Hygiene Should Be Part of Your Personal Hygiene Your MFA Is Costing You Millions. It Doesn’t Have To. Yep, Passkeys Still Have Problems Divers et insolites Cloudflare Radar 2025 Year in Review SoundCloud bounces some VPNs as it cleans up cyberattack Man boards Heathrow flight without passport or ticket Meta tolerates rampant ad fraud from China to safeguard billions in revenue Microsoft Will Finally Kill an Encryption Cipher That Enabled a Decade of Windows Hacks MI6 chief: We’ll be as fluent in Python as we are in Russian Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x682! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Présentation et parcours de David Bizeul David Bizeul, directeur scientifique et cofondateur de Sekoya, possède une expérience significative dans le domaine de la cybersécurité, notamment dans les activités liées aux CERT (Computer Emergency Response Team). Il a construit le CERT de la Société Générale dans les années 2000-2005, période marquée par l’émergence de la cybercriminalité. Durant six années, son équipe a développé des capacités de compréhension de la menace et de traitement des incidents touchant la banque et ses clients. Par la suite, il a dirigé le CERT d’Airbus Cybersécurité, où les enjeux différaient, se concentrant davantage sur l’espionnage industriel plutôt que sur la cybercriminalité. Ces deux expériences lui ont permis de constater l’importance cruciale de la threat intelligence (renseignement sur les menaces) dans les contextes tant de cybercriminalité que d’espionnage. Cette prise de conscience l’a conduit à fonder Sekoya en 2015, avec l’objectif de cartographier et modéliser précisément les attaquants pour ensuite opérationnaliser cette connaissance et en faire un produit de cybersécurité. Le concept de souveraineté numérique Pour David Bizeul, la souveraineté représente la capacité de construire, utiliser et protéger une capacité ou un environnement. Appliquée au numérique, elle concerne la maîtrise des produits, logiciels et services permettant d’accomplir des activités numériques. Un produit de sécurité moderne peut être visualisé comme un mille-feuille composé de différentes couches : composants matériels, hardware, infrastructure, couches logicielles, opérations utilisateurs, et données générées. La maîtrise complète de toutes ces couches n’est pas accessible à tous les pays. Certaines contraintes, comme l’accès aux matières premières pour les composants électroniques, limitent la capacité de contrôle complet. L’approche pragmatique consiste donc à exceller sur certaines couches spécifiques : les données, les opérations, la technologie et les infrastructures cloud restent maîtrisables au niveau européen, tandis que les couches matérielles plus basses posent davantage de défis. Pour ces dernières, il faut accepter de déléguer le risque à des acteurs de confiance et utiliser les couches supérieures pour détecter d’éventuelles anomalies. L’approche de Sekoya : une plateforme SOC souveraine Sekoya propose une plateforme SOC (Security Operations Center) complète permettant d’opérationnaliser les fonctions de centre d’opérations de sécurité. La plateforme s’adresse aux grands comptes disposant de leurs propres équipes, ainsi qu’aux MSSP (Managed Security Service Providers) qui délivrent ces services pour diverses entreprises. La plateforme intègre plusieurs composants essentiels. Le SIEM constitue le premier bloc, assurant l’ingestion de données, la normalisation, l’application de règles de détection, l’indexation et le stockage long terme. L’environnement de threat intelligence, développé en interne par une équipe dédiée de chercheurs, met les données clients en relation avec une cartographie exhaustive des menaces. Cette base de connaissance propriétaire permet une détection de haute qualité basée sur la compréhension approfondie des attaquants. Le moteur SOAR (Security Orchestration, Automation and Response) complète l’arsenal, gérant les plans de réponse aux incidents. Il définit les actions appropriées lors du déclenchement d’alertes, avec des playbooks automatisés adaptés à différents scénarios. La philosophie de Sekoya repose sur l’équilibre entre contenu packagé prêt à l’emploi et personnalisation client, permettant un déploiement SOC opérationnel très rapide tout en autorisant l’ajout de règles spécifiques à chaque environnement. Régionalisation et choix technologiques Sekoya a adopté une approche cloud native tout en maintenant une conscience aiguë des enjeux géographiques. Bien que basée dans le cloud, chaque instance possède une localisation géographique réelle. La région historique a été établie sur OVH en France, suivie de l’ouverture de cinq régions mondiales permettant une cohérence technologique adaptée à chaque géographie. Cette stratégie de régionalisation implique des choix de sous-traitants différenciés selon les zones. Par exemple, les solutions de stockage ou certains partenaires techniques varient entre les régions française et américaine. Les acteurs MSSP européens privilégient naturellement les régions cloud européennes, tandis que leurs homologues américains préfèrent les infrastructures américaines. Cette approche garantit la data residency localisée, optimise les latences et répond aux exigences croissantes des clients en matière de souveraineté. Transparence et évolution du marché L’évolution géopolitique récente, particulièrement les douze derniers mois marqués par les décisions du gouvernement américain, a profondément transformé les attentes clients. Sekoya constate une augmentation significative des demandes concernant la localisation des données et la nationalité des sous-traitants. Les clients souhaitent désormais “lever le capot” pour comprendre et maîtriser leurs workflows de cybersécurité, s’appropriant ainsi les zones de risque. Pour répondre à cette demande de transparence, Sekoya maintient une plateforme trust.sekoya.io recensant tous les engagements de confiance, la gestion des données personnelles et la liste complète des sous-traitants par région. Cette transparence totale reflète la philosophie de l’entreprise : ouverture, transparence et interopérabilité maximales. Défis et opportunités de la souveraineté David Bizeul souligne le réveil brutal mais nécessaire face à la naïveté économique des deux dernières décennies. La prise de conscience collective permet désormais d’optimiser les approches sur tous les blocs géographiques, chacun cherchant à ne pas dépendre exclusivement de la vision du monde américaine. Contrairement aux acteurs américains pensant naturellement global avec une approche standardisée, Sekoya part du principe de respecter les spécificités locales tout en conquérant le marché mondial. Cette approche, bien que plus coûteuse et complexe, s’impose par nécessité et conviction. Les partenaires MSSP, ancrés localement, fournissent des retours précieux sur les exigences réglementaires et culturelles spécifiques à chaque territoire. Sekoya intègre ces feedbacks pour faire évoluer son produit, soit globalement lorsque les exigences sont généralisables, soit spécifiquement pour répondre à des besoins particuliers. L’entreprise va encore plus loin avec des initiatives comme la région SecNumCloud sur OVH pour les clients les plus critiques, ou le partenariat avec Thales pour une région dédiée aux activités sensibles de défense, démontrant ainsi comment conjuguer excellence technique et souveraineté maîtrisée. Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux réels par Sekoia

Parce que… c’est l’épisode 0x681! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Dans cet épisode spécial du podcast Police Secure, Alexandre Fournier aborde la question cruciale de notre dépendance excessive au numérique, analysant les enjeux de résilience tant sur le plan humain que sociétal. À travers des exemples concrets et des mises en situation, les animateurs explorent les conséquences de cette dépendance et proposent des solutions pour développer notre résilience numérique. La mise en situation révélatrice Alexandre commence par une expérience vécue : imaginer devoir prendre un avion après avoir oublié son téléphone aux toilettes, sans possibilité de retour. Cette situation, bien que stressante, met en lumière l’ampleur de notre dépendance. Sur nos téléphones se trouvent désormais notre messagerie, nos moyens de paiement, notre GPS, nos outils d’authentification à deux facteurs, et une grande partie de notre vie numérique. Se retrouver sans cet appareil, c’est se sentir nu, vulnérable, déconnecté de sa propre existence. La question posée aux auditeurs est simple mais profonde : combien de temps pourriez-vous tenir sans votre téléphone avant que cela ne pose de réels problèmes ? Cette interrogation invite chacun à réfléchir sur sa propre dépendance et sur les risques associés. L’évolution post-pandémie Les animateurs soulignent que la situation s’est considérablement aggravée ces dernières années, particulièrement depuis la pandémie. Il y a cinq ans, perdre son téléphone était problématique, mais aujourd’hui, c’est devenu catastrophique. L’authentification à deux facteurs est désormais obligatoire pour de nombreux services, les coffres-forts de mots de passe sont souvent uniquement sur mobile, et certains services nécessitent absolument un téléphone avec SMS. La société moderne présume que chacun possède un téléphone cellulaire en permanence, et à peine 1% de la population refuse encore d’en avoir un. Les multiples facettes de la dépendance Communication et mémoire L’un des aspects les plus frappants est la perte de mémoire des numéros de téléphone. Les animateurs constatent que le seul numéro dont ils se souviennent encore est celui de la maison familiale de leur adolescence, à l’époque des téléphones filaires. Cette atrophie de la mémoire illustre parfaitement comment nous déléguons systématiquement à nos appareils tout ce que nous pouvons : dates, numéros, rendez-vous. Le téléphone intelligent nous rend paradoxalement moins intelligents. Finance et paiements La dépendance s’étend aux transactions financières. Beaucoup utilisent leur téléphone pour payer, consulter leurs comptes bancaires, effectuer des virements. Sans téléphone, impossible de payer si on n’a pas sa carte physique. Alexandre insiste sur l’importance de toujours avoir un minimum de liquide (100 dollars) sur soi, car en cas de panne des systèmes électroniques, l’argent comptant reste le seul moyen d’acheter l’essentiel : eau, nourriture, essence. Orientation et repères géographiques Le GPS a complètement transformé notre rapport à l’espace. Les gens ne connaissent plus leur propre ville et dépendent entièrement de leur téléphone pour se déplacer. Cette perte des repères géographiques représente une vulnérabilité majeure. Les cartes papier sont devenues obsolètes, considérées comme “old school”, alors qu’elles constituent une solution de secours essentielle. Travail et productivité Le télétravail et le cloud (Teams, M365) ont créé une dépendance totale à Internet et à l’électricité. Sans connexion, impossible de travailler. Les plans de reprise d’activité sont rarement adaptés à cette nouvelle réalité où les employés travaillent de chez eux, sans avoir nécessairement prévu les solutions de secours nécessaires. Les conséquences humaines et psychologiques Stress et anxiété La perte du téléphone génère un stress comparable à celui ressenti face à des besoins physiologiques non satisfaits. C’est un sentiment d’inconfort profond, d’impuissance, comme si une partie de soi-même avait disparu. Alexandre partage qu’il peut tenir cinq jours sans téléphone dans un contexte contrôlé et sécurisé, mais seulement une demi-journée dans la vie quotidienne avant de ressentir une anxiété significative. Atrophie cognitive et l’effet ChatGPT Les animateurs abordent l’impact de l’intelligence artificielle, particulièrement ChatGPT, sur nos capacités cognitives. L’IA nous rend “totalement idiots” en étant toujours d’accord avec nous, quelle que soit notre position politique ou nos opinions. Cette absence de contradiction empêche le développement de notre pensée critique et de notre capacité à débattre de manière constructive. Le numérique atrophie progressivement notre cerveau, comme les réseaux sociaux exploitent notre paresse naturelle pour nous maintenir dans une zone de confort intellectuel. Panique sociale et inégalités En cas de panne prolongée (plus de 24 heures), on observe des comportements irrationnels : ruée vers les supermarchés, panique collective. Les plus vulnérables - aînés et personnes isolées - sont les plus touchés. Les jeunes générations, qui passent leur vie sur leurs téléphones, sont également très fragilisées face à une absence d’écran. Les risques systémiques Infrastructures critiques L’exemple de la panne Rogers en 2022 au Canada illustre parfaitement les risques : des millions de personnes se sont retrouvées sans accès au 911, aux paiements, aux télécommunications. Les cyberattaques sur les hôpitaux causent des morts réelles en annulant des rendez-vous et en redirigeant des patients. Une panne d’électricité affecte les feux de circulation, créant des embouteillages qui empêchent les secours d’intervenir efficacement. Dépendance géopolitique Les animateurs soulèvent une question inquiétante : voulons-nous d’une société où une panne d’un fournisseur peut paralyser tout un pays ? Ils évoquent le scénario où un décret américain pourrait obliger Microsoft à couper l’accès à M365 pour tout un pays, paralysant ainsi la majorité des entreprises qui dépendent de cette plateforme. Cette dépendance à des services sur lesquels nous n’avons aucun contrôle représente un risque majeur pour la souveraineté numérique. Solutions et résilience Préparation individuelle Alexandre propose plusieurs actions concrètes : Noter sur papier les numéros de téléphone essentiels (cartes réflexes dans le portefeuille) Garder du cash en réserve (100 dollars minimum) Disposer d’une autonomie électrique minimale (batteries, lampes, radio à manivelle) Avoir des filtres à eau et des moyens de subsistance de base Entraînement à la déconnexion Il est essentiel de s’entraîner régulièrement : Une journée sans électronique par mois Simuler des situations de blackout en famille Établir des points de rencontre physiques en cas de séparation Préparer un kit 72 heures sans numérique Éducation et sensibilisation Les animateurs appellent à intégrer la résilience numérique dans les programmes scolaires dès la maternelle, pour apprendre aux jeunes générations à utiliser correctement l’électronique tout en développant leur capacité à fonctionner sans. Cette éducation devrait s’étendre à l’antifragilité en général, pour former des citoyens capables de faire face aux crises. Conclusion Le podcast se termine sur une réflexion puissante : la question n’est pas de savoir si le numérique tombera, mais quand il tombera. La vraie résilience consiste à rester debout même quand nos écrans s’éteignent. Nous ne pouvons pas nous couper du numérique dans la société actuelle, mais nous pouvons et devons réduire notre dépendance pour mieux encaisser le jour où l’infrastructure numérique faillira. Les trois défis concrets proposés aux auditeurs sont simples mais essentiels : noter des numéros importants sur papier, essayer une journée sans cellulaire, et préparer un kit de survie 72 heures. Ces actions, bien que modestes, constituent les premiers pas vers une véritable autonomie face à notre dépendance technologique croissante. Collaborateurs Nicolas-Loïc Fortin Alexandre Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x680! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast spécial PME aborde la question cruciale de la configuration initiale des médias sociaux pour les entreprises. Les intervenants partagent leurs expertises sur la manière de démarrer correctement sa présence numérique, en évitant les erreurs courantes qui peuvent coûter cher aux entreprises. L’objectif est de partir sur de bonnes bases qui garantiront la pérennité et la sécurité des actifs numériques de l’entreprise. Les fondamentaux : pages professionnelles vs comptes personnels La première règle fondamentale concerne la distinction entre comptes personnels et pages professionnelles. Pour des plateformes comme Facebook et LinkedIn, il est impératif de créer une page professionnelle plutôt qu’un compte générique au nom de l’entreprise. Cette règle découle directement des conditions d’utilisation de ces plateformes, qui exigent que les comptes personnels soient associés à de vraies personnes avec un prénom et un nom de famille réels. Créer un compte générique avec le nom de l’entreprise constitue une violation de ces règles et expose l’entreprise à un risque de suspension. Si l’algorithme de la plateforme détecte cette anomalie et demande une validation d’identité, il sera impossible de fournir les documents requis, entraînant la perte définitive du compte et de tout le contenu associé. Le portefeuille Business de Meta Meta propose un outil gratuit appelé portefeuille Business (ou Business Manager) qui fonctionne comme une boîte à chaussures numérique permettant de centraliser toutes les ressources importantes de l’entreprise. Ce portefeuille permet d’associer la page Facebook professionnelle à l’entité de l’entreprise plutôt qu’au compte personnel d’un individu. Cette distinction est cruciale car elle change la manière dont Meta perçoit l’entreprise : au lieu d’être considérée comme un particulier avec une page personnelle, l’entreprise est reconnue comme une véritable entité commerciale. Cette reconnaissance ouvre droit à un meilleur support en cas de problème et permet de créer un compte publicitaire distinct et professionnel. L’avantage majeur du portefeuille Business réside dans sa capacité à séparer les actifs publicitaires personnels des actifs professionnels. Chaque compte Facebook possède par défaut un compte publicitaire personnel, mais les entreprises peuvent créer un compte publicitaire distinct, associé directement à l’entité de l’entreprise. Cette séparation est essentielle pour effectuer de la publicité de manière efficace et sécuritaire, tout en conservant un contrôle total sur les ressources. La sécurité et les bonnes pratiques La sécurité des comptes de médias sociaux repose sur plusieurs principes fondamentaux. Premièrement, il est crucial d’utiliser des coordonnées professionnelles plutôt que personnelles. Les comptes doivent être associés à une adresse courriel d’entreprise liée au domaine de la compagnie, et non au Gmail personnel d’un employé. Cette pratique évite la perte d’accès en cas de départ d’un employé. Si un compte Instagram est lié au courriel personnel d’un stagiaire qui quitte l’entreprise, toute tentative de réinitialisation de mot de passe enverra le code à cette personne qui pourrait ne plus être joignable, entraînant la perte irrémédiable du compte. Les experts recommandent également de conserver précieusement certaines informations cruciales dès la création des comptes. Pour TikTok par exemple, il est essentiel de noter la date de création du compte (mois et année), la ville de création, et le courriel utilisé. Ces informations seront demandées en cas de récupération de compte. Pour Meta, chaque portefeuille Business possède un identifiant unique (ID) qui doit être conservé soigneusement. Sans cet identifiant, même avec toutes les autres preuves, il peut être impossible de récupérer l’accès à un compte compromis. Ces informations sont facilement accessibles dans les paramètres des plateformes et devraient être documentées immédiatement après la création des comptes. La gestion des agences marketing Un des points les plus importants soulevés dans le podcast concerne la collaboration avec les agences marketing. Bien qu’il soit pertinent de faire appel à ces professionnels pour animer les réseaux sociaux et gérer les campagnes publicitaires, il est impératif de garder le contrôle et la propriété des actifs numériques. Une erreur courante consiste à laisser l’agence créer le compte publicitaire, ce qui rend l’entreprise dépendante de cette agence à vie. Si l’entreprise souhaite changer de partenaire, elle devra repartir de zéro, perdant tout l’historique et les données accumulées. Les plateformes comme Meta et LinkedIn ont prévu des solutions pour ce type de collaboration : les accès partenaires. Ces systèmes permettent de déléguer des accès à des agences tout en conservant un contrôle total. Dans le cas de Meta, même si une agence compte dix personnes travaillant sur le compte d’une entreprise, celle-ci ne gère qu’un seul lien entre son portefeuille et celui de l’agence. En coupant ce lien unique, tous les accès sont révoqués simultanément, simplifiant grandement la gestion des permissions. Cette approche évite également d’avoir à gérer individuellement des dizaines de comptes et réduit les risques de sécurité liés à des accès oubliés ou non révoqués. La gestion des accès et des permissions Un principe de sécurité essentiel est de ne pas accorder des droits d’administrateur à tous les utilisateurs. La règle du moindre privilège doit s’appliquer : chaque personne ne devrait avoir que les accès nécessaires à l’accomplissement de ses tâches. Par exemple, une personne en charge uniquement de la publication de contenu n’a pas besoin de droits administratifs complets. En limitant les accès, l’entreprise réduit considérablement les risques en cas de compromission d’un compte. Si une personne avec des droits limités se fait pirater, l’attaquant n’aura qu’un accès partiel, permettant de réagir rapidement et de limiter les dégâts. À l’inverse, si tous les utilisateurs sont administrateurs, n’importe quelle compromission donne un accès total au pirate. Cette approche nécessite également d’imposer des bonnes pratiques de cybersécurité aux employés dont les comptes personnels sont liés aux pages professionnelles. Bien que ces comptes soient personnels, leur compromission peut affecter les actifs de l’entreprise. Les entreprises doivent donc exiger l’utilisation de mots de passe robustes et l’activation de l’authentification multifacteur (MFA) comme condition d’accès aux ressources professionnelles. Conclusion La configuration initiale des médias sociaux pour une entreprise requiert une approche méthodique et réfléchie. Les décisions prises au départ auront des répercussions à long terme sur la sécurité, la flexibilité et la pérennité de la présence numérique de l’entreprise. En suivant les recommandations partagées dans ce podcast - utilisation de pages professionnelles, mise en place d’un portefeuille Business, conservation des informations cruciales, gestion appropriée des accès partenaires et application du principe du moindre privilège - les entreprises peuvent établir des fondations solides qui les protégeront contre les pertes d’accès, les compromissions de sécurité et la dépendance excessive envers des tiers. Ces actifs numériques représentent souvent des années d’effort pour bâtir une communauté, et leur protection devrait être une priorité dès le premier jour. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm Locaux réels par Intrasecure inc Locaux réels par Moxy Montreal Downtown

Parce que… c’est l’épisode 0x679! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Surfer Block all AI browsers for the foreseeable future: Gartner Google says Chrome’s AI creates risks only more AI can fix Se tirer dans le pied Gemini Enterprise No-Click Flaw Exposes Sensitive Data Copilot’s No Code AI Agents Liable to Leak Company Data ClickFix Style Attack Uses Grok, ChatGPT for Malware Delivery Over the top New OpenAI models likely to pose “high” cybersecurity risk AI hackers are coming dangerously close to beating humans New cybersecurity guidance paves the way for AI in critical infrastructure AI-Powered Free Security-Audit Checklist 2026 3 ans d’audits cybersécu et finalement, c’est une IA qui trouve la faille en 4 jours New Prompt Injection Attack via Malicious MCP Servers Let Attackers Drain Resources ‘Botnets in physical form’ are top humanoid robot risk Building Trustworthy AI Agents Microsoft to Bundle Security Copilot in M365 Enterprise License Privacy Firewall - Le garde fou de vos IA Red Malicious Go Packages Mimic as Google’s UUID Library to Exfiltrate Sensitive Data Ransomware gangs turn to Shanya EXE packer to hide EDR killers Researchers spot 700 percent increase in hypervisor attacks New Mirai Botnet Variant ‘Broadside’ Actively Attacking Users in the Wild 700+ self-hosted Git instances battered in 0-day attacks 10K Docker images spray live cloud creds across the internet Infoblox Threat Intel: “Canadian online marketplace se…” - Infosec Exchange Kali Linux 2025.4 released with 3 new tools, desktop updates Apple fixes two zero-day flaws exploited in ‘sophisticated’ attacks Blue Windows PowerShell now warns when running Invoke-WebRequest scripts Stop Breaking TLS Daring Fireball: iMessage’s Delivery Architecture Makes It Hard to Block Without Blocking All iOS Push Notifications Why a secure software development life cycle is critical for manufacturers Le BISO, maillon opérationnel entre cybersécurité et métiers Microsoft bounty program now includes any flaw impacting its services MITRE Releases Top 25 Most Dangerous Software Weaknesses of 2025 Harden Windows Security - Blindez votre Windows sans installer un seul logiciel tiers ! Privacy ICO: Home Office hushed up facial recognition biases Hackers Can Leverage Delivery Receipts on WhatsApp and Signal to Extract User Private Information Identité The EFF Nails It: What’s Wrong With UK Digital ID Why Isn’t Online Age Verification Just Like Showing Your ID In Person? Australia social media ban: Teens navigate new world without social media as ban takes effect Lawmaker calls facial recognition on doorbell cameras a ‘privacy nightmare’ Effacer son téléphone devant les douaniers peut vous envoyer en prison (logique) Canada’s privacy regulator to probe billboards equipped with facial scanning tech Firefox Survey Finds Only 16% Feel In Control of Their Privacy Choices Online Information warfare The war on disinformation is a losing battle UK calls on Europe to counter Russia’s expanding info wars Germany summons Russian ambassador over cyberattack, election disinformation Want to sway an election? Here’s how much fake online accounts cost Divers Bad OPSEC Considered Harmful Should You Trust Your VPN Location? Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

Parce que… c’est l’épisode 0x678! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Nick Taylor, développeur advocate chez Pomerium à Montréal, a présenté une approche innovante pour sécuriser les serveurs MCP (Model Context Protocol) en utilisant les principes du Zero Trust et des identity-aware proxy. Développeur depuis longtemps et passionné par la construction d’outils, Nick apporte son expertise en sécurité et infrastructure pour répondre aux défis émergents de l’IA agentique. Le Model Context Protocol (MCP) Le MCP est un protocole récent créé par Anthropic en 2024 qui permet d’étendre les capacités des grands modèles de langage (LLM) en leur donnant accès à des outils externes. Comme l’explique Nick, pour ceux qui ont déjà travaillé avec des systèmes agentiques, le concept des “tool calls” sera familier : il s’agit d’outils que le LLM peut appeler pour enrichir son contexte et accomplir certaines tâches. L’exemple classique est celui de la météo : un LLM ne sait pas quel temps il fait aujourd’hui dans une région donnée. En appelant un outil météo, il peut obtenir cette information et fournir une réponse pertinente, comme “il fait 12 degrés Celsius à Montréal, mets ton manteau”. Sans cet outil, le LLM pourrait suggérer d’aller à la plage en maillot de bain, ce qui serait complètement inapproprié. Un serveur MCP est essentiellement une collection d’outils regroupés logiquement. Par exemple, le serveur MCP GitHub contient plusieurs outils pour interagir avec GitHub : créer un dépôt, créer une issue, ouvrir une pull request, etc. Nick compare MCP à “l’USB-C pour les outils en IA”, une analogie qu’il utilise avec précaution, anticipant l’évolution future du protocole. Les défis de sécurité Bien que MCP existe depuis moins d’un an, il connaît déjà une forte adoption, mais cette rapidité s’accompagne de préoccupations sérieuses en matière de sécurité. Le protocole et son écosystème sont encore en phase de maturation, et on observe un manque de réflexion sur la sécurité dans de nombreuses implémentations. Nick souligne un problème fondamental : le LLM ne comprend pas vraiment ce qui est “bon” ou “mauvais” en termes d’actions. Son rôle est simplement d’essayer d’exécuter les instructions qu’on lui donne. Si on lui demande de faire quelque chose, il tentera de le faire sans considération pour les conséquences. C’est pourquoi il est crucial de mettre en place des garde-fous (guard rails). Un cas d’usage préoccupant mentionné dans la discussion est celui où un MCP connecté à GitHub avec des permissions trop larges pourrait, sans contrôle approprié, effectuer des actions destructrices. Dans un cas extrême, un LLM pourrait même supprimer une base de données de production simplement parce qu’il suit les directives sans comprendre la gravité de l’action. Ce risque est d’autant plus sérieux que les développeurs, dans leur enthousiasme à construire des applications innovantes, ont tendance à négliger la sécurité au profit de la rapidité de développement. Le Zero Trust et l’identity-aware proxy Pour répondre à ces défis, Nick introduit le concept de Zero Trust, un modèle de sécurité développé par Google suite à une importante violation de données dans les années 2010. Le principe fondamental du Zero Trust, comme son nom l’indique, est de ne jamais faire confiance à personne et de toujours vérifier l’identité et le contexte. Traditionnellement, les entreprises utilisent des VPN pour sécuriser l’accès aux ressources internes. Cependant, une fois connecté au VPN, un utilisateur a souvent accès à l’ensemble du réseau interne, même s’il ne peut pas se connecter à certaines ressources spécifiques. Le modèle Zero Trust fonctionne différemment en utilisant un identity-aware proxy (IAP). Un IAP combine trois éléments essentiels : un fournisseur d’identité (IDP) comme Google, GitHub ou Okta, un moteur de politiques, et un reverse proxy. Lorsqu’un utilisateur tente d’accéder à une ressource, le système vérifie non seulement son identité mais aussi son contexte. Par exemple, même si Nicolas est authentifié, s’il essaie d’accéder à l’environnement de production alors qu’il n’est pas de garde (on-call), les politiques bloqueront l’accès. Une caractéristique unique de cette approche est que toutes les URL pour accéder aux ressources internes sont publiques, mais protégées par l’authentification et les politiques. Si une seule condition n’est pas remplie, le proxy n’entre jamais en jeu et l’accès est refusé. Cela diffère fondamentalement du VPN où, une fois connecté, on a un accès réseau même si on ne peut pas se connecter à certaines applications. L’application de l’IAP aux serveurs MCP Pomerium a développé un support de première classe pour les serveurs MCP, reconnaissant qu’ils fonctionnent sur la couche 7 du modèle OSI (HTTP), tout comme les applications web traditionnelles que l’entreprise sécurise depuis longtemps. Cette solution, entièrement open source, offre plusieurs avantages significatifs. Premièrement, l’expérience développeur (DX) est considérablement améliorée. Nick demande avec humour : “Qui aime implémenter OAuth ?” La réponse est généralement négative. Avec l’IAP de Pomerium, tout le flux d’authentification OAuth est géré automatiquement. Le serveur MCP lui-même n’a aucune connaissance d’OAuth - il reste dans l’infrastructure interne, protégé par le proxy. Les développeurs peuvent donc se concentrer sur la construction de fonctionnalités sans se soucier de l’implémentation de la sécurité. Deuxièmement, pour les services externes comme GitHub ou Google Calendar, bien qu’il soit toujours nécessaire de créer une application OAuth, la configuration est simplifiée. Il suffit d’ajouter une configuration OAuth dans la route de l’application, incluant le secret, l’ID, les URL et les scopes nécessaires. Pomerium gère ensuite automatiquement tout le flux d’authentification. Gestion sécurisée des tokens Un aspect crucial de la sécurité concerne la gestion des tokens d’authentification. Normalement, lorsqu’un utilisateur autorise l’accès à un service comme GitHub, le token retourné est envoyé au client MCP. Cela pose un problème de sécurité car ce token représente “les clés du royaume” - si quelqu’un s’en empare, il peut faire n’importe quoi avec les permissions associées. La solution de Pomerium est élégante : le token provenant de GitHub ou Google ne quitte jamais l’IAP. Il reste dans la gateway où il est stocké de manière sécurisée, associé à l’utilisateur. Ce qui est retourné au client MCP est un token Pomerium à courte durée de vie. Même si ce token venait à être compromis, il expirerait rapidement, minimisant les risques. De plus, Pomerium évite le “token pass-through”, où le token du fournisseur d’identité serait envoyé directement au serveur MCP. Au lieu de cela, un token Pomerium contenant uniquement des claims (qui vous êtes, mais pas ce que vous pouvez faire) est utilisé, respectant le principe du moindre privilège. Contrôle granulaire des permissions L’un des avantages les plus puissants de cette approche est la capacité à restreindre finement les actions possibles, même dans les limites des scopes OAuth existants. Par exemple, GitHub nécessite le scope “repo” pour créer des dépôts, mais ce même scope donne également la permission de supprimer des dépôts. Dans un contexte humain normal, on est conscient de ce qu’on fait lorsqu’on supprime un dépôt - on doit confirmer, copier-coller le nom du dépôt, etc. Mais dans un contexte agentique, le LLM pourrait supprimer un dépôt sans cette conscience. Avec le moteur de politiques de Pomerium, on peut dire : “l’outil MCP de suppression de dépôt n’est permis pour personne” ou le restreindre à des utilisateurs ou groupes spécifiques. Lorsqu’un LLM tente d’appeler cet outil, la requête passe par l’IAP qui vérifie les politiques à chaque fois - ce n’est pas une vérification unique au moment de la connexion, mais une vérification continue pour chaque requête. Si la politique bloque l’action, la requête n’atteint jamais le serveur MCP et une erreur appropriée est retournée. Cette approche crée un garde-fou rigide et impossible à contourner, protégeant contre les comportements imprévisibles des LLM tout en maintenant un haut niveau de fonctionnalité pour les cas d’usage autorisés. Audit et conformité Un autre avantage crucial de faire transiter toutes les requêtes par le proxy est la capacité d’audit intégrée. L’IAP enregistre automatiquement toutes les activités : qui s’est connecté, quels outils ont été appelés, pourquoi un accès a été refusé (utilisateur pas dans le bon groupe, politique non satisfaite, etc.). Pour un développeur solo, cet aspect peut sembler moins critique, mais pour les organisations, c’est essentiel. La capacité de retracer toutes les actions et de comprendre pourquoi certaines décisions ont été prises est un élément fondamental de la conformité et de la sécurité d’entreprise. Sans ces capacités d’audit, de nombreuses organisations ne pourraient tout simplement pas adopter la technologie. Conclusion et encouragements Nick termine en encourageant les développeurs à ne pas se sentir “en retard” dans le domaine de l’IA agentique. Même si certains ont commencé il y a un, deux ou trois ans, le domaine est tellement nouveau que tout le monde peut encore se lancer. L’important est d’expérimenter avec ces technologies tout en intégrant la sécurité dès le premier jour, plutôt que comme une réflexion après coup. Il reconnaît que le coût peut être une préoccupation, mais note que de nombreux outils offrent des niveaux gratuits, et que pour les versions payantes (comme Claude ou ChatGPT à 20 dollars par mois), le temps gagné justifie larg

Parce que… c’est l’épisode 0x677! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Ce podcast accueille Garance de la Brosse, chercheuse en cybersécurité chez Boost Security, qui présente ses travaux sur les vulnérabilités dans la chaîne d’approvisionnement logiciel de l’écosystème Go. Après un an de travail avec Boost Security, notamment sur la détection de malwares en Java et l’écriture de règles de détection statique, Garance a mené une recherche approfondie sur les vecteurs d’attaque possibles lors de la phase de distribution des packages open source dans Go. Contexte et méthodologie de la recherche La recherche s’inscrit dans le cadre plus large du cycle de vie complet d’un package, tel que défini par le schéma Salsa, qui couvre quatre phases principales : la source (développement), le build (construction), la distribution (hébergement et téléchargement) et la consommation (utilisation finale). Boost Security possédait déjà une expertise sur les vulnérabilités des pipelines CI/CD, mais cette nouvelle recherche visait spécifiquement la phase de distribution, un domaine moins exploré. L’équipe a commencé par un état de l’art exhaustif des attaques sur la chaîne d’approvisionnement logiciel depuis fin 2024, analysant les techniques utilisées et les points d’entrée exploités. Cette analyse a révélé un manque d’études spécifiques sur Go, un écosystème conçu en 2007 avec la sécurité comme priorité, mais qui n’est pas exempt de vulnérabilités. Pour approfondir leur analyse, les chercheurs ont développé un outil permettant de télécharger l’intégralité de l’index du GoProxy, créant une base de données SQLite de 10 Go contenant les métadonnées de tous les packages publiés depuis 2019. Particularités de l’écosystème Go L’écosystème Go se distingue fondamentalement des autres systèmes comme npm ou PyPI par son architecture décentralisée. N’importe quel serveur web peut héberger un package Go, sans nécessiter de compte centralisé. Cependant, Go introduit un cache central appelé GoProxy qui garantit l’immutabilité des packages : une fois qu’une version est mise en cache, elle ne peut plus être modifiée, assurant ainsi une stabilité et une cohérence importantes. Cette immutabilité est renforcée par une check database qui stocke les hash cryptographiques de tous les packages, permettant de vérifier l’intégrité lors du téléchargement. Ce système suit un principe de « trust on first use » : dès qu’un package est téléchargé une première fois, tous les utilisateurs suivants obtiennent exactement la même version. Toutefois, cette architecture présente une faiblesse majeure : l’immutabilité ne garantit pas la confiance. Un package malveillant peut être mis en cache et devenir immutable, restant disponible indéfiniment. Vulnérabilités découvertes : le Repo Jacking La recherche révèle que l’écosystème Go est vulnérable aux mêmes attaques de social engineering que les autres écosystèmes, notamment le typosquatting. Plus préoccupant encore, la nature décentralisée de Go introduit des risques spécifiques liés à la gestion des identités. Les packages Go étant identifiés par leur chemin d’accès (par exemple, github.com/utilisateur/package), la sécurité dépend entièrement du registre source utilisé. L’analyse a révélé une vulnérabilité majeure appelée Repo Jacking : lorsqu’un développeur change son nom d’utilisateur GitHub ou supprime son compte, son nom devient disponible pour n’importe qui. Un attaquant peut alors créer un compte avec ce nom, publier un package identique avec une version supérieure, et le faire cacher dans le GoProxy. Les utilisateurs mettant à jour leurs dépendances téléchargeront alors du code potentiellement malveillant sans s’en rendre compte. Les statistiques sont alarmantes : sur 80% des packages Go hébergés sur GitHub, près de 35 000 packages stockés dans le GoProxy ont des comptes GitHub supprimés ou renommés, les rendant vulnérables au Repo Jacking. Parmi ceux-ci, 54 packages ont un score de criticité supérieur à 0,2 (indiquant une utilisation importante), et 9 500 packages sont importés dans au moins un autre projet open source, avec certains packages importés jusqu’à 600 fois. Cette vulnérabilité a même affecté des projets populaires listés dans la collection « Awesome Go Package ». Autres vecteurs d’attaque identifiés Au-delà du Repo Jacking, la recherche a identifié plusieurs autres vulnérabilités. Les noms de domaine expirés constituent un risque majeur : le domaine gopkg.in, utilisé par des projets critiques comme Kubernetes, est détenu par un individu privé travaillant pour Canonical. Si ce domaine expire et est racheté par un attaquant, les conséquences pourraient être catastrophiques. Les pseudo-versions représentent également un vecteur d’attaque sophistiqué. Go permet d’importer du code non officiellement releasé via un hash de commit. Un attaquant peut publier un commit malveillant, le mettre en cache dans le GoProxy, puis le supprimer du registre source. Le code malveillant reste accessible via le GoProxy sans que personne ne puisse inspecter le code source d’origine. Cette technique a été utilisée dans l’attaque BoltDB, où l’attaquant a publié une version malveillante dans le GoProxy tout en maintenant un code légitime visible sur GitHub. La directive « go replace » dans les fichiers go.mod peut également être exploitée pour camoufler des attaques. Cette directive, légitime pour appliquer des patches locaux, peut être modifiée subtilement dans une contribution open source pour remplacer une dépendance par une version malveillante avec une différence d’un seul caractère (par exemple, Nicolas vs Nicolo). Une fois dans une dépendance transitive, cette modification devient pratiquement indétectable. L’attaque la plus sophistiquée combine plusieurs techniques : en exploitant un écart temporel entre la validation d’une pull request et son exécution par un bot CI/CD, un attaquant peut modifier le code après validation. Le bot copie alors du code malveillant dans une branche du repository légitime, et ce commit malveillant peut être caché dans le GoProxy avec une pseudo-version portant le nom du package légitime. Solutions et outils développés Pour permettre aux développeurs de vérifier leurs dépendances, l’équipe a créé Goblin, un outil open source qui construit le SBOM (Software Bill of Materials) d’un projet Go et vérifie si les comptes GitHub associés aux dépendances sont encore enregistrés. L’outil indique quelles dépendances directes et transitives sont vulnérables au Repo Jacking. Bien qu’utile pour la défense, cet outil peut également être utilisé par des attaquants pour identifier des cibles. Conclusion Cette recherche démontre que malgré son design sécurisé, l’écosystème Go n’est pas exempt de vulnérabilités. L’immutabilité du GoProxy, présentée comme un avantage pour la stabilité, devient paradoxalement une faiblesse lorsque du code malveillant est caché, car il reste accessible indéfiniment. Les développeurs doivent rester vigilants, particulièrement lors des mises à jour de dépendances. Garance conclut en précisant que Go reste néanmoins mieux conçu que npm ou PyPI en termes de sécurité, et elle cherche actuellement un emploi à temps plein en France ou en Europe dans le domaine de la cybersécurité. Notes Don’t Go with the flaw Collaborateurs Nicolas-Loïc Fortin Garance de la Brosse François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x676! Préambule Le son n’est pas à son meilleur. Nous avons improvisé une session avec deux personnes en présence et le reste à distance. Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description L’importance stratégique des réseaux sociaux Les réseaux sociaux occupent aujourd’hui une place primordiale dans l’écosystème des PME et des solopreneurs. Pour certaines entreprises, ils représentent même la source de revenus la plus importante. Contrairement aux sites web traditionnels, les plateformes comme Facebook, Instagram, LinkedIn et TikTok offrent une accessibilité et une facilité de déploiement qui les rendent particulièrement attractives. Comme le souligne l’équipe du podcast, même sans connaissances techniques approfondies, n’importe qui peut créer et gérer une page professionnelle, ce qui explique leur adoption massive. Cependant, cette omniprésence s’accompagne d’une problématique majeure la sécurité de ces comptes est souvent la dernière préoccupation des entreprises. Alors que les organisations commencent à comprendre l’importance de sécuriser leurs comptes bancaires et leurs courriels, les réseaux sociaux sont encore perçus comme des outils de marketing et de communication qui ne nécessiteraient pas le même niveau de protection. Cette perception erronée expose les entreprises à des risques considérables. Le mythe du support client efficace Un des points les plus révélateurs du podcast concerne la réalité du support technique offert par les géants des médias sociaux, notamment Meta (Facebook et Instagram). Contrairement à ce que beaucoup d’utilisateurs pensent, il n’existe pas vraiment de garantie de service professionnel. Julien explique que le support de Meta est en réalité assuré par des firmes sous-traitantes qui n’ont même pas accès au système interne de la plateforme. Ces équipes de support agissent plutôt comme des messagers : ils peuvent observer ce qui se passe sur les comptes, mais ne peuvent poser aucune action directe. Ils doivent eux-mêmes soumettre des demandes aux équipes internes de Meta, qui détiennent les véritables accès. Si ces équipes internes refusent d’intervenir, le support ne peut rien faire. Cette réalité contraste fortement avec l’image que les utilisateurs se font d’un service client réactif et efficace capable de résoudre rapidement les problèmes. Les conséquences dévastatrices d’un piratage Le podcast illustre les conséquences dramatiques d’un compte compromis à travers plusieurs exemples concrets. Lorsqu’un pirate prend le contrôle d’une page et publie du contenu qui enfreint les règles de la plateforme, c’est la page elle-même qui est sanctionnée et bloquée, même si ce n’est pas la faute du propriétaire légitime. Meta ne cherche pas à comprendre qui a effectué les actions problématiques ; elle applique simplement ses règles, laissant l’entreprise victime sans recours. L’exemple du Parc Safari est particulièrement éloquent. En 2023, leur page Facebook comptant 110 000 abonnés a été piratée et fermée. Trois ans plus tard, ils ne sont parvenus à reconstruire qu’une communauté de 5 000 abonnés, perdant ainsi 95 % de leur audience. Cette perte s’est traduite par une chute drastique des demandes de renseignements, passant d’une vingtaine par jour à seulement deux ou trois par mois. Un autre cas mentionné concerne une nutritionniste indépendante qui a perdu sa page de 10 000 abonnés créée en 2016, représentant l’essentiel de sa valeur commerciale, car son activité reposait principalement sur sa présence sur les réseaux sociaux. La responsabilité des utilisateurs Un point important soulevé dans la discussion est que les plateformes comme Meta offrent effectivement tous les outils nécessaires pour se protéger. Leur infrastructure de sécurité interne est solide, et les piratages ne proviennent généralement pas de failles dans leurs systèmes, mais plutôt de la négligence des utilisateurs eux-mêmes. Les entreprises qui ne mettent pas en place les bonnes pratiques de sécurité sont donc responsables de la compromission de leurs comptes. Cependant, cette réalité soulève des questions sur la responsabilité des plateformes. Bien que les outils de protection existent, si les utilisateurs ne les utilisent pas, les entreprises comme Meta ne considèrent pas nécessaire d’offrir un support efficace. Cette approche peut sembler discutable, mais elle reflète la position de ces géants technologiques : si c’est la faute de l’utilisateur, pourquoi investir dans un support coûteux ? Les bonnes pratiques essentielles Le podcast met l’accent sur plusieurs mesures de sécurité fondamentales. La première et la plus importante est l’activation du double facteur d’authentification (MFA) sur tous les comptes de réseaux sociaux, ainsi que sur les adresses courriel qui leur sont associées. Cette couche de sécurité supplémentaire constitue la défense la plus efficace contre les tentatives de piratage. La gestion des accès représente un autre aspect crucial souvent négligé. Les entreprises doivent régulièrement effectuer des revues d’accès pour s’assurer que seules les personnes autorisées peuvent accéder à leurs pages professionnelles. Lorsqu’un employé quitte l’entreprise ou qu’un mandat avec une agence de marketing se termine, il est impératif de retirer immédiatement leurs accès. Le podcast révèle que de nombreuses entreprises n’ont aucun processus interne pour gérer les accès aux réseaux sociaux lors du départ d’un employé, alors qu’elles ont des protocoles bien établis pour récupérer les ordinateurs portables et fermer les comptes Microsoft. Un autre principe fondamental est la gestion appropriée des rôles et permissions. Trop souvent, toutes les personnes qui travaillent sur les réseaux sociaux d’une entreprise reçoivent le statut d’administrateur, alors que ce niveau d’accès devrait être réservé uniquement à ceux qui en ont réellement besoin. Un stagiaire qui publie du contenu et gère les commentaires n’a pas besoin d’être administrateur de la page. Cette attribution excessive de privilèges augmente considérablement la surface d’attaque en cas de compromission d’un compte. Conclusion Ce podcast met en lumière un paradoxe troublant : alors que les réseaux sociaux sont devenus essentiels pour la survie et la croissance de nombreuses PME, leur sécurité reste largement sous-estimée. La perte d’un compte peut avoir des conséquences dévastatrices, tant sur le plan financier que réputationnel, avec des communautés bâties au fil des années qui disparaissent en un instant. La solution ne réside pas dans l’espoir d’un support client providentiel, mais dans l’adoption proactive de bonnes pratiques de sécurité : activation du MFA, gestion rigoureuse des accès, attribution appropriée des rôles, et sauvegarde des codes de secours. Comme le souligne l’équipe, se protéger avant qu’un incident ne survienne est infiniment plus simple, moins coûteux et moins stressant que tenter de récupérer un compte compromis. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm Locaux réels par Moxy Montreal Downtown

Parce que… c’est l’épisode 0x675! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes Divers Users scramble as critical open source project left to die Hegseth needs to go to secure messaging school, report says How I discovered a hidden microphone on a Chinese NanoKVM Jeunesse Dutch study finds teen cybercrime is mostly just a phase The WIRED Guide to Digital Opsec for Teens React2Shell Cloudflare blames today’s outage on React2Shell mitigations Admins and defenders gird themselves against maximum-severity server vuln Cybersecurity industry overreacts to React vulnerability, starts panic, burns own house down again Kevin Beaumont: “Similarly attacks are spraying…” - Cyberplace IA Guardails ou l’abence de Securing AI Agents with Information Flow Control (Part I) Google’s vibe coding platform deletes entire drive AI Agents, Enterprise Risk, and the Future of Recovery: Rubrik’s Vision with Dev Rishi AI-Powered Browsers Create New Vulnerabilities Cocoon – Confidential Compute Open Network UnMarker - Les watermarks IA ne servent à rien Quand l’IA écoute et analyse les appels de millions de détenus américains AWS joins Microsoft, Google in the security AI agent race AWS AI Factories: AI-in-a-box for enterprise datacenters Red Living the long game PRC spies Brickstormed their way into critical US networks Browser extensions pushed malware to 4.3M Chrome, Edge users Hackers are Moving to “Living Off the Land” Techniques to Attack Windows Systems Bypassing EDR Velociraptor Misuse, Pt. II: The Eye of the Storm Hackers Using Calendly-Themed Phishing Attack to Steal Google Workspace Account New wave of VPN login attempts targets Palo Alto GlobalProtect portals Threat Landscape Grows Increasingly Dangerous for Manufacturers Blue Decreasing Certificate Lifetimes to 45 Days - Let’s Encrypt Microsoft fixes Windows shortcut flaw exploited for years The built-in Windows security features you should be using GrapheneOS: “GrapheneOS is the only Android…” - GrapheneOS Mastodon Legalize Lawmakers Want To Ban VPNs—And They Have No Idea What They’re Doing Portugal updates cybercrime law to exempt security researchers Legislation would designate ‘critical cyber threat actors,’ direct sanctions against them Souveraineté Porsche outage in Russia serves as a reminder of the risks in connected vehicle security What digital sovereignty? How a Canadian Court is forcing a French company to break French law Privacy India Orders Phone Makers to Pre-Install Government App to Tackle Telecom Fraud India Mandates SIM-Binding: WhatsApp and Telegram Users Must Re-verify Every 6 Hours Canadian police department becomes first to trial body cameras equipped with facial recognition technology The Age-Gated Internet Is Sweeping the US. Activists Are Fighting Back OpenAI loses fight to keep ChatGPT logs secret in copyright case Insolites Kohler’s Encrypted Smart Toilet Camera is not Actually end-to-end Encrypted Twin brothers charged with deleting 96 US govt databases Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x674! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode spécial PME du podcast Pause Sécure, les animateurs Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent en profondeur le sujet crucial de la sensibilisation à la cybersécurité. Leur message est clair dès le départ : la sensibilisation va bien au-delà du simple fait de cocher une case dans un rapport de conformité. Il s’agit d’un véritable enjeu stratégique pour la protection des entreprises et de leurs employés. La sensibilisation : un enjeu vital pour les entreprises Les experts rappellent une réalité incontournable : la majorité des brèches de sécurité commencent par l’humain. Dans un contexte où les courriels d’hameçonnage sont de plus en plus sophistiqués, notamment grâce à l’intelligence artificielle, personne n’est à l’abri. Même les professionnels de la cybersécurité admettent avoir déjà été victimes de ces attaques. Le quotidien professionnel, avec sa charge de travail intense, ses multiples sollicitations et la nécessité de cliquer constamment sur des liens, rend la vigilance d’autant plus difficile. Tests d’hameçonnage versus sensibilisation : deux concepts distincts Un point important soulevé durant la discussion concerne la distinction entre les tests d’hameçonnage et la sensibilisation proprement dite. Les tests servent principalement à mesurer la progression des employés dans leur capacité à détecter les courriels malveillants et à obtenir des statistiques sur l’efficacité de la sensibilisation. Cependant, la sensibilisation elle-même constitue un processus beaucoup plus large visant à instiguer un véritable changement de comportement. Transformer les utilisateurs en maillons forts L’un des messages clés du podcast est la nécessité de considérer les employés comme des maillons forts plutôt que des maillons faibles. Les participants en ont assez de cette étiquette négative. Bien formés et sensibilisés, les employés peuvent devenir la dernière ligne de défense capable de détecter ce que les outils techniques n’auraient pas pu attraper. Au-delà de la simple détection, l’objectif est que les employés développent des réflexes de communication : signaler les menaces au service informatique, alerter leurs collègues et contribuer activement à la sécurité collective de l’entreprise. Les indicateurs d’alerte : le sentiment d’urgence Les experts insistent sur un indicateur particulièrement révélateur : le sentiment d’urgence. Qu’il s’agisse d’une fraude du président demandant un virement urgent ou d’un courriel promettant de gagner un voyage à Cancún en cliquant dans les quatre prochaines minutes, ce sentiment d’urgence artificielle devrait immédiatement éveiller les soupçons. Dans un monde où tout va trop vite, il est essentiel d’apprendre à prendre le temps de la réflexion avant d’agir. Éliminer la honte et encourager la communication Un aspect fondamental de la sensibilisation efficace réside dans l’élimination de toute forme de jugement ou de honte. Tout le monde peut tomber dans un piège d’hameçonnage, même les experts. L’important n’est pas de ne jamais se faire avoir, mais plutôt de le reconnaître rapidement et d’en informer immédiatement le service informatique, même si c’est un vendredi après-midi ou qu’il s’avère finalement qu’il n’y avait pas de menace. Les participants racontent l’histoire d’une entreprise où un employé a attendu le lundi pour signaler une attaque survenue le vendredi, permettant ainsi aux pirates d’agir pendant tout le week-end. Les dirigeants et les équipes informatiques doivent créer une culture d’entreprise où les bons comportements sont récompensés et où il n’y a aucune place pour la honte. L’importance de l’adaptation et de la contextualisation La sensibilisation ne peut pas être une approche universelle. Les experts soulignent l’importance de contextualiser la formation en fonction des différents profils d’employés et de leur réalité quotidienne. Par exemple, former des ouvriers d’usine à la fraude du président n’a pas de sens s’ils n’ont pas accès aux systèmes de paiement. En revanche, les sensibiliser aux clés USB trouvées dans le stationnement ou à la sécurité physique est beaucoup plus pertinent. Cette adaptation nécessite une compréhension fine de l’organisation et des rôles de chacun. Le rôle du marketing et des ressources humaines Nicolas Milot fait une proposition audacieuse : la sensibilisation devrait être gérée par les équipes de marketing et de ressources humaines plutôt que uniquement par l’informatique. La raison est simple : créer un test d’hameçonnage efficace ressemble davantage à la création d’une infolettre marketing engageante qu’à un projet technique. Il s’agit de capturer l’attention, de créer de l’engagement et de faire passer un message. Le service informatique reste essentiel pour les aspects techniques, mais le projet dans son ensemble bénéficierait d’une approche plus orientée communication. La dimension personnelle de la sécurité Depuis la pandémie de COVID-19, la frontière entre vie personnelle et professionnelle est devenue floue. Les experts encouragent à profiter de cette réalité en abordant aussi la sécurité personnelle lors des formations. Si les employés apprennent à se protéger contre les fraudes sur les sites de vente en ligne, les QR codes malveillants ou autres menaces de leur vie quotidienne, ils appliqueront naturellement ces réflexes dans leur contexte professionnel. Les êtres humains sont fondamentalement égoïstes, et en leur montrant comment se protéger personnellement, on les rend plus réceptifs au message global de sécurité. Une approche positive et même humoristique Enfin, les participants insistent sur l’importance de rendre la sensibilisation engageante, voire amusante. La cybersécurité ne doit pas être perçue comme une contrainte pénible, mais comme une partie intégrante de la vie professionnelle abordée avec énergie positive. Utiliser l’humour, célébrer les bons comportements et créer des moments d’apprentissage plaisants permet une meilleure rétention de l’information et une adoption plus naturelle des bonnes pratiques. Conclusion La sensibilisation à la cybersécurité représente un investissement rentable qui ne coûte pas nécessairement très cher, mais qui peut considérablement améliorer la posture de sécurité d’une organisation. En donnant aux employés les outils, le temps et surtout la confiance nécessaires pour devenir des acteurs actifs de la sécurité, les entreprises se dotent d’une défense humaine efficace, capable de compléter leurs solutions techniques. Le message est clair : transformons nos employés en superstars de la sécurité plutôt qu’en suspects potentiels. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x673! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode technique du podcast, Yoan Schinck, directeur de la pratique de cyber réponse chez KPMG Canada, partage son expertise sur le threat hunting utilisant le Kusto Query Language (KQL). Fort de 12 ans d’expérience en technologies de l’information, dont 6 ans chez KPMG et la moitié en cybersécurité, Schinck se spécialise dans la réponse aux incidents, particulièrement les ransomwares et les compromissions de courriels d’affaires (business email compromise). Le workshop de threat hunting Lors de l’événement DeathC, dédié au detection engineering et au threat hunting, Schinck a conçu un workshop intitulé “Threat hunting en KQL 101”. Ce workshop vise à démontrer comment effectuer du threat hunting dans l’environnement Microsoft Sentinel en utilisant le KQL, le langage de requête pour explorer les données dans l’univers Microsoft. L’accent est mis particulièrement sur la télémétrie de Microsoft Defender for Endpoint, un choix stratégique reflétant la réalité du terrain où les organisations utilisant Sentinel travaillent généralement avec la suite de produits Microsoft Defender. Infrastructure et méthodologie Pour créer un environnement d’apprentissage réaliste, Schinck a mis en place une infrastructure comprenant deux machines virtuelles : un client Windows et un serveur Windows. Sur ces machines, il a exécuté une attaque complète simulée, couvrant toutes les étapes depuis l’accès initial jusqu’à l’exfiltration de données. Cette approche synthétique permet aux participants d’explorer des artefacts d’attaque authentiques dans un environnement contrôlé. L’infrastructure incluait également des politiques d’audit avancées Windows pour capturer des événements spécifiques dans le Security Event Log, notamment pour les processus, la gestion des utilisateurs et la création de comptes. Un déploiement de Sysmon avec une configuration étendue complétait le dispositif de collecte de données. Tous ces événements étaient ensuite envoyés vers Microsoft Sentinel, créant ainsi un environnement réaliste de threat hunting. Les organisateurs de DeathC ont fourni l’infrastructure on-premise, incluant le contrôleur de domaine, l’Active Directory, le Windows Event Collector et la configuration des Group Policies pour le transfert des événements Windows. Schinck s’est chargé de créer les deux machines virtuelles localement, de les joindre au domaine et d’installer Microsoft Defender for Endpoint avant d’exécuter son scénario d’attaque. Contenu pédagogique du workshop Le workshop est structuré en quatre catégories principales de threat hunting. La première se concentre sur les vecteurs d’accès initial, explorant différentes techniques pour identifier comment un accès a été obtenu. La deuxième catégorie examine les services Windows, analysant leur création, exécution et configuration pour détecter les abus potentiels par des attaquants. La troisième catégorie explore les tâches planifiées (scheduled tasks), un concept similaire aux services Windows en termes d’opportunités de hunting. Schinck souligne que la maîtrise de l’une de ces techniques facilite l’apprentissage de l’autre en raison de leurs similarités conceptuelles. Enfin, la quatrième catégorie aborde le hunting au niveau réseau en utilisant l’enrichissement de sources externes, notamment le projet Living Off Trusted Sites (LOTS) de Mr. D0x, qui répertorie les sites et domaines internet pouvant être abusés par des attaquants. Pour les participants plus expérimentés, Schinck propose un défi bonus : effectuer les mêmes analyses en utilisant la télémétrie Sysmon ou les Windows Event Logs plutôt que les données de Microsoft Defender for Endpoint. Cette approche alternative permet d’explorer différentes sources de données et de développer une compréhension plus complète du threat hunting. Expérience terrain et cas pratiques L’expertise de Schinck en réponse aux incidents enrichit considérablement le workshop. Il partage des observations concrètes issues de ses interventions, notamment l’abus fréquent des comptes de service par les attaquants. Ces comptes, souvent configurés comme des comptes utilisateurs normaux dans Active Directory avec simplement le préfixe “SVC”, peuvent être exploités pour des connexions RDP sur des systèmes où ils ne devraient pas avoir accès. Schinck recommande de chasser activement ces anomalies en surveillant les connexions de comptes de service entre serveurs, particulièrement celles survenant en dehors des heures normales de travail. Un autre pattern récurrent concerne l’emplacement des fichiers malveillants. Les attaquants déposent fréquemment leurs binaires ou scripts dans des emplacements moins surveillés comme la racine de Program Data, le dossier Users Public, ou divers répertoires AppData. Lors d’une intervention récente sur un cas de ransomware, Schinck a identifié rapidement un fichier DLL suspect dans le dossier Users Public, qui s’est révélé être un backdoor Cobalt Strike. Méthodologie de hunting et conseils pratiques Schinck insiste sur l’importance de filtrer le bruit dans les données de threat hunting. Une technique qu’il privilégie consiste à utiliser la fonction “distinct” pour regrouper les résultats uniques. Par exemple, lors de l’analyse de commandes PowerShell, plutôt que de parcourir 15 000 exécutions individuelles, le regroupement par lignes de commande distinctes peut réduire le jeu de données à 500 entrées, rendant l’analyse visuelle beaucoup plus efficace. Il souligne également que l’œil humain possède une capacité remarquable à détecter des anomalies. En parcourant lentement 50 lignes de commande PowerShell sans filtres additionnels, un analyste expérimenté peut souvent repérer des éléments suspects. Cette capacité repose sur deux piliers : la connaissance approfondie de son environnement et l’expérience accumulée à travers de multiples incidents. Accessibilité et reproductibilité Un aspect important du workshop est son accessibilité. Schinck démontre qu’il est possible de créer un environnement de threat hunting fonctionnel avec seulement deux machines virtuelles, un Windows Event Collector et Microsoft Sentinel. Cette simplicité rend l’apprentissage accessible à quiconque souhaite créer un homelab, même sur un ordinateur personnel ou portable. Il note qu’au Québec, le stack Microsoft (Sentinel et Defender) est devenu très populaire ces dernières années, rendant ces compétences particulièrement pertinentes. Paradoxalement, il observe que très peu d’organisations déploient Sysmon ou collectent les Security Event Logs dans Sentinel, malgré la gratuité de ces outils et leur valeur considérable en cas d’incident. Conclusion Le workshop de Yoan Schinck offre une approche pragmatique et réaliste du threat hunting en KQL, combinant expertise technique et expérience terrain. En se concentrant sur des scénarios d’attaque concrets et des outils largement déployés en entreprise, il prépare efficacement les participants aux défis réels de la cybersécurité moderne. Sa philosophie est claire : une fois les concepts de threat hunting maîtrisés, ils peuvent s’appliquer à n’importe quel produit ou langage de requête, seule la syntaxe change. Collaborateurs Nicolas-Loïc Fortin Yoan Schinck Crédits Montage par Intrasecure inc Locaux réels par DEATHcon Montréal

Parce que… c’est l’épisode 0x672! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Ce podcast spécial European Cyber Week met en lumière les enjeux de la cyberdéfense, de la souveraineté numérique et de la collaboration internationale à travers l’expérience d’Arnaud Coustillière, ancien amiral de la Marine nationale française. Parcours et création de la cyberdéfense française Arnaud Coustillière a consacré 40 années au service de l’État français dans la Marine nationale, partageant équitablement sa carrière entre le maritime et le numérique. Après avoir navigué pendant quinze ans, il est devenu directeur des systèmes d’information de la Marine avant de récupérer le dossier de création de la cyberdéfense des armées en 2009. Jusqu’en 2017, il a commandé l’ensemble de la structure de cyberdéfense française, développant une capacité qui englobe la protection, la prévention, la défense et l’action offensive dans l’espace numérique. Cette cyberdéfense militaire se distingue des services de renseignement par son cadre juridique : contrairement à l’action secrète, l’action militaire reste discrète mais encadrée par le droit des conflits armés, le droit international humanitaire et le code pénal. Les trois dernières années de sa carrière, Coustillière a créé la direction générale du numérique du ministère des armées, passant de la défense des données à leur ouverture et à l’accompagnement de la transformation numérique. Le Pôle d’Excellence Cyber : un pari gagnant Depuis sa retraite, Coustillière préside le Pôle d’Excellence Cyber (PeC), une association créée il y a dix ans pour concentrer les forces de cyberdéfense françaises en Bretagne. Ce choix stratégique reposait sur trois piliers : la proximité avec Paris, l’expertise technique-opérationnelle déjà présente dans la région, et un terreau d’emplois dans les télécommunications. Le pari, considéré comme audacieux voire fou à l’époque, consistait à faire collaborer une organisation civile (l’association) avec la région Bretagne et l’État. Le succès est aujourd’hui manifeste : l’European Cyber Week est passée de 2000 participants il y a cinq ans à plus de 8000 aujourd’hui, avec une projection de 8500 à 9000 participants. L’événement se distingue par son ADN régalien européen, un terme que Coustillière préfère à “souveraineté” car il permet de penser à l’échelle européenne tout en conservant les fonctions essentielles de l’État. La collaboration franco-canadienne Le PeC développe une stratégie de partenariats choisis, notamment avec le Canada, qui partage les mêmes valeurs démocratiques que l’Europe. Depuis quatre ans, une journée de l’European Cyber Week est consacrée au Canada, et la délégation canadienne est passée d’un seul participant en 2021 à environ 25 personnes aujourd’hui. Des protocoles de coopération ont été signés avec ISECOM, et un laboratoire de recherche cyber-IA est en cours de création entre les universités de Bretagne et celles du Québec (Sherbrooke, ÉTS). L’objectif est de créer un véritable écosystème cyber franco-canadien où les entreprises des deux côtés de l’Atlantique travaillent ensemble, avec des partenariats et des offres communes. Les entreprises canadiennes peuvent participer aux appels d’offres européens si elles s’associent avec un partenaire européen. Souveraineté numérique : un concept à repenser Coustillière critique le terme de “souveraineté numérique” qu’il juge inadapté au monde numérique. Contrairement à la souveraineté terrestre qui définit clairement les frontières, l’espace numérique est plus complexe et comparable au maritime, où différents niveaux de droits coexistent selon la distance des côtes. Il préfère parler d’autonomie stratégique ou de résilience. L’écosystème numérique a évolué d’un milieu technique vers un espace de conflictualité centrée sur la captation des données. L’informatique communiquante et Internet ont créé un monde où celui qui possède les données détient le pouvoir. Cette captation est restée longtemps cachée, masquée par les technologies de big data, la transformation numérique et la migration vers le cloud. Le numérique ressemble à un iceberg : visible en surface mais reposant sur des infrastructures massives (câbles, data centers, électricité) qui appartiennent souvent à d’autres. L’impact géopolitique et le réveil européen Le combat entre la Chine et les États-Unis pour la domination technologique place l’Europe dans une position difficile. L’arrivée du président Trump a eu un effet “salutaire” selon Coustillière, car elle traite tous les pays de la même manière, clarifiant les relations et mettant fin à l’ambiguïté. La doctrine américaine se résume à : liberté des données pour faire des affaires, et cette liberté s’arrête là où commencent leurs intérêts commerciaux. Face à cette réalité, l’Europe doit retrouver une autonomie stratégique en faisant écosystème avec des partenaires partageant les mêmes valeurs. L’IA générative complique encore la situation en rendant impossible pour le citoyen moyen de distinguer le vrai du faux en ligne, nécessitant de nouvelles formes de certification. Solutions concrètes : cloud souverain et résilience Plusieurs initiatives émergent en France et en Allemagne. Les projets Bleu (Cap Gemini, Microsoft, Orange) et Sens (Thalès, Google) proposent des solutions de cloud utilisant la technologie américaine mais exploitées par des sociétés européennes, garantissant que les données restent sous cadre juridique européen. OVH représente une alternative purement européenne avec une forte présence au Canada. Le CIGREF, qui rassemble les 150 plus grandes entreprises françaises, ne parle plus de souveraineté mais de résilience face à toutes les menaces : géopolitiques, techniques et commerciales. Cette approche implique de désoptimiser les réseaux pour avoir des architectures plus hétérogènes mais plus robustes. Certaines données, particulièrement celles des citoyens, de la santé ou des services régaliens, doivent impérativement rester sous contrôle national, même si cela implique un système moins performant. Défis et perspectives Le principal défi reste le lobbying massif des grandes entreprises américaines auprès de l’Union européenne et des gouvernements. Ces sociétés déploient des moyens comparables à ceux des nations pour influencer les politiques et les décideurs. Néanmoins, un mouvement de fond s’est enclenché. Le sommet franco-allemand sur la souveraineté numérique, alors que les deux pays avaient des visions initialement opposées, démontre une prise de conscience collective. Les 18 à 24 prochains mois seront cruciaux pour concrétiser les initiatives, développer des certifications et établir une préférence européenne dans les marchés publics. Coustillière conclut que l’écosystème doit se mobiliser pour avancer dans la même direction, malgré les forces qui tenteront de l’en empêcher. La fin de la naïveté européenne face aux réalités géopolitiques du numérique constitue peut-être l’héritage le plus important de cette période de transformation. Collaborateurs Nicolas-Loïc Fortin Arnaud Coustillière Crédits Montage par Intrasecure inc Locaux réels par European Cyber Week

Parce que… c’est l’épisode 0x671! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Vibe coding: What is it good for? Absolutely nothing The slow rise of SBOMs meets the rapid advance of AI Malveillant How Malware Authors Incorporate LLMs to Evade Detection KawaiiGPT - Free WormGPT Variant Leveraging DeepSeek, Gemini, and Kimi-K2 AI Models LLMs Tools Like GPT-3.5-Turbo and GPT-4 Fuels the Development of Fully Autonomous Malware Amazon Is Using Specialized AI Agents for Deep Bug Hunting OpenAI dumps Mixpanel after analytics breach hits API users Gibberifier Souveraineté Europe Is Bending the Knee to the US on Tech Policy NATO taps Google for air-gapped sovereign cloud Canadian data order risks blowing a hole in EU sovereignty Underwater Cables That Carry the Internet Are in Trouble Social media giants liable for financial scams under new EU law Switzerland: Data Protection Officers Recommend Broad Cloud Ban for Authorities Pluralistic: (Digital) Elbows Up (28 Nov 2025) – Pluralistic: Daily links from Cory Doctorow Red Threats Actors Leverage Python-based Malware to Inject Process into a Legitimate Windows Binary New Fluent Bit Flaws Expose Cloud to RCE and Stealthy Infrastructure Intrusions ClickFix Hackers Tricks macOS Users to Execute Command in Terminal to Deliver FlexibleFerret Malware Beware of Weaponized Google Meet page that uses ClickFix to deliver Malicious Payload ClickFix attack uses fake Windows Update screen to push malware Malicious Blender model files deliver StealC infostealing malware HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials Cheap Device Bypasses AMD, Intel Memory Encryption Advanced Security Isn’t Stopping Old Phishing Tactics Des outils de formatage de code ont exposé des milliers de mots de passe Over 390 Abandoned iCalendar Sync Domains Could Expose ~4 Million Devices to Security Risks Public GitLab repositories exposed more than 17,000 secrets Blue Leonardo unveils ‘Michelangelo Dome’ AI-powered shield system Ex-CISA officials, CISOs aim to stop the spread of hacklore Mobile phones : Threat landscape since 2015 Air Force practices operating from cut-off bases in fierce future war Airbus: We were hours from pausing production in Spain Microsoft to secure Entra ID sign-ins from script injection attacks Privacy Mind-reading devices can now predict preconscious thoughts: is it time to worry? One Tech Tip: Modern cars are spying on you. Here’s what you can do about it Proton Meet: Secure, end-to-end encrypted video conferencing Chat Control - 3 ans de débats pour accoucher d’un truc qui ne sert à rien GrapheneOS: “We no longer have any active s…” - GrapheneOS Mastodon GrapheneOS bails on OVHcloud over France’s privacy stance European Parliament for mandatory age verification for social media Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x670! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Ce podcast réunit François Proulx, Alexis Maurer-Fortin et Sébastien Graveline, chercheurs chez BoostSecurity, une startup montréalaise spécialisée en sécurité applicative. L’épisode explore les coulisses de leur travail de recherche et développement, particulièrement leurs découvertes récentes sur les vulnérabilités de type “race condition” dans les pipelines CI/CD. Structure et méthodologie de recherche L’équipe de recherche de BoostSecurity fonctionne de manière structurée mais flexible. François Proulx définit les grandes orientations annuelles basées sur les tendances émergentes et les apprentissages de l’année précédente. Alexis apporte son expertise en développement backend et son approche défensive, tandis que Sébastien, joueur avide de CTF, contribue avec une perspective offensive de red team. Garance, absente lors de l’enregistrement, assure la rigueur académique en effectuant des revues approfondies de la littérature scientifique. Infrastructure de recherche massive L’équipe a développé une infrastructure impressionnante pour la détection de vulnérabilités à grande échelle. Au cœur de leur système se trouve Poutine, un outil open source développé en Go pour scanner les pipelines de build, particulièrement les GitHub Actions. Cette infrastructure analyse continuellement l’écosystème open source, accumulant plusieurs téraoctets de données sur des millions de projets. Leur système “Threat Hunter” ingère en quasi-temps réel tous les événements publics sur GitHub avec un délai d’environ cinq minutes, capturant même les dépôts éphémères qui n’existent que brièvement. Cette capacité leur permet de détecter des attaques en cours, comme l’attaque par “confused deputy” de Kong qu’ils ont pu capturer et analyser. Les données sont stockées dans Google Cloud BigQuery, permettant des analyses complexes qui auraient autrefois nécessité des semaines de travail. Découverte d’une nouvelle technique de malware François décrit une découverte récente concernant une technique d’obfuscation utilisant les “Private Use Areas” d’Unicode. Ces plages de caractères, réservées mais jamais attribuées officiellement, permettent d’encoder des données arbitraires dans des chaînes de caractères invisibles. Un malware peut ainsi être caché dans du code source JavaScript, Python ou Go sans être visible dans les éditeurs standards comme Visual Studio Code. En réponse, l’équipe a développé “Puant”, un outil open source capable de scanner efficacement des millions de fichiers en quelques secondes pour détecter l’utilisation de ces caractères suspects. L’outil peut s’intégrer facilement dans les pipelines CI/CD pour bloquer du code contenant ces caractères invisibles lors de la révision de pull requests. Vulnérabilités “Time of Check, Time of Use” dans les pipelines CI/CD La découverte majeure présentée concerne une classe de vulnérabilités de type “race condition” appliquée aux build pipelines. L’équipe a identifié six cas significatifs affectant des entreprises comme Nvidia, GitHub Copilot et Jupyter Notebook. Le premier cas découvert impliquait le “copy-pr-bot” de Nvidia. Ce bot copie le code d’une pull request dans une branche dédiée après qu’un mainteneur ait commenté “ok to test”. L’équipe a découvert une fenêtre d’environ cinq secondes entre la commande du mainteneur et l’exécution du bot, pendant laquelle un attaquant pouvait modifier le code malicieusement puis le rétablir, rendant l’attaque invisible. Pour GitHub Copilot, la vulnérabilité était encore plus exploitable manuellement. Lorsqu’un mainteneur assignait Copilot pour résoudre un bug décrit dans une issue, un attaquant pouvait modifier les instructions pendant la race condition, demandant au bot d’insérer une backdoor tout en affichant une tâche légitime à l’écran. Le cas de Jupyter Notebook était particulièrement ironique : la vulnérabilité résidait dans le code de mitigation d’une race condition précédemment rapportée. La correction initiale présentait une erreur typographique dans la référence temporelle utilisée, rendant la mitigation complètement inefficace. Recommandations et mitigations L’équipe propose plusieurs stratégies de mitigation. La plus importante consiste à utiliser des mécanismes atomiques qui lient l’approbation du mainteneur à un commit SHA spécifique. GitHub offre la fonctionnalité “Pull Request Review” qui garantit cette atomicité, contrairement aux simples commentaires ou labels qui restent vulnérables aux race conditions. Les environnements GitHub constituent une autre défense robuste. Ils permettent de définir des règles d’approbation liées à des commits précis et de limiter l’accès aux secrets sensibles. L’équipe recommande fortement de restreindre la permission “Workflow Write”, qui permet de modifier les workflows GitHub Actions, car elle amplifie considérablement l’impact potentiel d’une attaque. Finalement, l’adoption du principe “fail-close” plutôt que “fail-open” est essentielle : en cas d’erreur inattendue, le système doit arrêter l’exécution plutôt que de continuer. Des outils comme Poutine peuvent scanner automatiquement les workflows pour détecter ces vulnérabilités avant leur déploiement. D’ailleurs, une recherche académique récente a identifié Poutine comme l’un des meilleurs outils du domaine, particulièrement pour son excellent ratio signal/bruit. Impact de l’intelligence artificielle L’équipe observe que l’IA générative crée involontairement de nouvelles vulnérabilités. Certains pipelines vulnérables qu’ils ont découverts provenaient clairement de code généré automatiquement, créant ainsi de nouvelles chaînes d’attaque dans la supply chain logicielle. Cette conversation met en lumière l’importance croissante de la sécurité des pipelines CI/CD dans l’écosystème open source moderne, où l’automatisation accrue multiplie les vecteurs d’attaque potentiels. Notes Split-Second Side Doors: How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model Collaborateurs Nicolas-Loïc Fortin Alexis-Maurer Fortin Sébastien Graveline François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm