PolySécure Podcast

Parce que… c’est l’épisode 0x721! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x720! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA La chicane OpenAI says Pentagon set ‘scary precedent’ binning Anthropic How OpenAI caved to the Pentagon on AI surveillance OpenAI Just Got Anthropic’s Pentagon Deal Anthropic CEO Dario Amodei calls OpenAI’s messaging around military deal ‘straight up lies,’ report says Altman said no to military AI – then signed Pentagon deal Anthropic sues US over national security blacklist Près de 900 employés de Google et OpenAI réclament des limites sur l’IA militaire La sécurité qu’ils disent Flaw-Finding AI Assistants Face Criticism for Speed, Accuracy Claude Code Security vs. OpenAI Codex Security – AI Arms Race Plus vite que la vérification How Claude Code escapes its own denylist and sandbox Claude Code deletes developers’ production setup, including its database and snapshots — 2.5 years of records were nuked in an instant Your LLM Doesn’t Write Correct Code. It Writes Plausible Code. Verification debt: the hidden cost of AI-generated code Usage pas si sécuritaire AI doctor’s assistant swayed to change scrips - researchers New York Could Prohibit Chatbot Advice on Medical, Legal, and Engineering Questions L’agent (Smith) de tous les chaos Chrome Gemini Vulnerability Lets Attackers Access Victims’ Camera and Microphone Remotely Critical OpenClaw Vulnerability Exposes AI Agent Risks OpenClaw Incidents Show Why AI Adoption Pressure Puts Companies at Risk The Panopticon Is Here: How the US Government Built an AI Superweapon for Social Control How Deepfakes and Injection Attacks Are Breaking Identity Verification CyberStrikeAI : cet outil dopé à l’IA automatise les cyberattaques AI-generated art can’t be copyrighted after Supreme Court declines to review the rule LLMs can unmask pseudonymous users at scale with surprising accuracy Chardet : quand une IA réécrit un logiciel open source en cinq jours et change sa licence elder-plinius/OBLITERATUS: OBLITERATE THE CHAINS THAT BIND YOU La guerre, la guerre, c’est pas une raison pour se faire mal! Attacks on GPS Spike Amid US and Israeli War on Iran Iran’s cyberwar has begun Israeli spies ‘hacked every traffic camera in Tehran to plot killing of Iran’s Ayatollah Ali Khamenei’ ‘Hundreds’ of Iranian hacking attempts hit IP cameras Businesses told to harden defenses amid Iran conflict risk Kevin Beaumont: “If you’re wondering what I’m s…” - Cyberplace Cyber Command disrupted Iranian comms, sensors, top general says Top general spotlights cyber role in Iran conflict Iran War Provides a Large-Scale Test for AI-Assisted Warfare Hiding A Bomb In Plain Sight Souveraineté ou tout ce que je peux faire sur mon terrain Can Europe break free of Visa and Mastercard? MEPs stall digital euro Office EU touts new European online productivity suite Bureautique : l’Europe lance son alternative à Microsoft 365, mais utilise quand même Excel Privacy ou tout ce qui devrait rester à la maison Tire Pressure Systems in Toyota, Mercedes, and Other Major Car Brands Enable Silent Vehicle Tracking Motorola’s new partnership with GrapheneOS Meta’s AI Smart Glasses and Data Privacy Concerns: Workers Say “We See Everything” Anonymous credentials: an illustrated primer A new app alerts you if someone nearby is wearing smart glasses TikTok says it won’t encrypt DMs claiming it puts users at risk System76 on Age Verification Laws X Users Find Their Real Names Are Being Googled in Israel After Using X Verification Software “Au10tix” The banality of surveillance Deveillance Red ou tout ce qui est brisé Le fisc sud-coréen publie carrément ses mots de passe crypto dans un communiqué de presse Des outils de piratage d’iPhone conçus par les États-Unis finissent chez les cybercriminels FBI targeted with ‘suspicious’ activity on its networks 900+ Certificates Used by Fortune 500, Governments Exposed by Key Leaks FBI probing intrusion into system managing sensitive surveillance information Blue ou tout ce qui améliore notre posture How Vulnerable Are Computers to an 80-Year-Old Spy Technique? Congress Wants Answers Reading White House President Trump’s Cyber Strategy for America Merkley, Klobuchar Launch New Effort to Ban Federal Elected Officials Profiting from Prediction Markets Insolites Microsoft gets tired of “Microslop,” bans the word on its Discord, then locks the server after backlash Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x719! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invitée Geneviève Lajeunesse est une professionnelle en cybersécurité dont le parcours atypique — du design interactif et du jeu vidéo vers la protection des usagers — lui a forgé une perspective unique sur les enjeux humains derrière la technologie. Elle est cofondatrice d’un organisme à but non lucratif, l’AB 2038, qui offre un cadre d’intervention aux personnes victimes de violences technologiques, notamment dans des contextes de violence conjugale. Elle intervient également de façon bénévole auprès d’organismes variés : médias, banques, groupes communautaires. La surface d’exposition : une réalité souvent sous-estimée Le point de départ de la discussion est une réalité devenue incontournable : la surface de captation de données d’une personne ordinaire est aujourd’hui immense. La voiture connectée géolocalise ses occupants. La laveuse se branche au Wi-Fi. L’aspirateur intelligent cartographie le logement. Les lumières, la sonnette, le réfrigérateur — tout cela génère des données, souvent partagées entre conjoints sans qu’on y réfléchisse vraiment. Ce qui rend cette réalité particulièrement préoccupante dans un contexte de violence conjugale, c’est que ces accès partagés ne disparaissent pas automatiquement lors d’une rupture. Un calendrier partagé oublié, un compte de véhicule conjoint non résilié, un abonnement Spotify encore lié — chacun de ces éléments peut devenir un vecteur de surveillance. La personne qui cherche à contrôler n’a pas besoin d’être un expert en informatique : elle a juste besoin de conserver l’accès à des outils qu’elle utilise déjà. Du geste anodin au harcèlement : le principe des mille coupures Un aspect central abordé dans l’épisode est la nature cumulative de la violence technologique. Un seul geste isolé — éteindre les lumières à distance, consulter la localisation du véhicule — peut sembler bénin ou même humoristique. Mais la répétition transforme ces gestes en harcèlement. C’est ce qu’on appelle parfois « mourir de mille coupures » : aucune blessure n’est fatale prise seule, mais l’accumulation crée un contexte de terreur et de perte de contrôle profonde. Ce phénomène est particulièrement difficile à documenter sur le plan juridique. Pour obtenir l’aide du système de justice, la victime doit être en mesure d’énoncer clairement les comportements vécus et d’avoir explicitement demandé qu’ils cessent. Or, si certains de ces comportements n’avaient pas été imaginés d’avance, comment aurait-on pu en demander l’arrêt ? De plus, beaucoup de ces gestes ne laissent aucune trace — un interrupteur actionné à distance ne génère pas nécessairement de journal d’activité. Les limites des institutions et des outils courants Les forces de l’ordre et les procureurs, bien intentionnés, sont souvent démunis face à ces crimes. Historiquement, la cybercriminalité était associée à des crimes en col blanc — fraudes, vols de données à grande échelle — et les corps policiers ont été formés en ce sens. Les crimes technologiques individualisés, très personnels, relèvent d’une tout autre logique, et l’expertise nécessaire pour y répondre est encore en construction. Du côté des outils de détection, le constat est similaire. Les logiciels de type accès à distance — ceux que des conjoints malveillants utilisent fréquemment pour surveiller un appareil — ne sont pas automatiquement détectés comme malveillants par les antivirus classiques, car ils ont des usages légitimes. La victime fait un scan, ne trouve rien, et en conclut que la menace est encore plus sophistiquée qu’elle ne le pensait. Ce qui aggrave son état d’anxiété. Le problème des modèles d’IA comme premiers répondants Un enjeu émergent soulevé dans l’épisode est l’utilisation croissante des grands modèles de langage — comme ChatGPT — par des personnes en détresse qui cherchent à comprendre ce qui leur arrive. Le problème est double. D’abord, ces modèles n’ont pas de démarche systématique et rigoureuse. Ils ne vérifient pas les hypothèses les moins graves en premier. Face à des symptômes comme un téléphone qui chauffe ou redémarre, ils vont souvent suggérer des scénarios extrêmes — logiciels espions de type Pegasus, opérations de services de renseignement — alors que l’explication est presque toujours beaucoup plus simple et accessible. Ensuite, les modèles d’IA ont tendance à confirmer les biais de la personne qui les interroge. Quelqu’un en état d’anxiété intense va formuler ses inquiétudes d’une certaine façon, et le modèle va amplifier ces craintes plutôt que les tempérer. Ce qui aurait pu être désamorcé en quelques échanges avec un professionnel se transforme en spirale d’angoisse. L’intervention humaine, rigoureuse et empathique, reste irremplaçable. La complexité de l’intervention : ne pas couper trop vite Contre-intuitivement, retirer immédiatement un accès malveillant n’est pas toujours la bonne décision. Dans un contexte de violence conjugale, mettre brusquement fin à la surveillance d’une personne volatile peut déclencher une escalade dangereuse. Avant d’agir, il faut évaluer la situation : comprendre qui est l’auteur, anticiper sa réaction, et s’assurer que la victime ne sera pas en danger accru si l’accès lui est retiré. Parfois, la bonne stratégie consiste à vivre avec la connaissance que le téléphone est compromis, tout en préparant un plan de sortie sécuritaire. Ressources et appel à la vigilance collective En terminant, Geneviève souligne l’importance d’écouter les personnes qui, autour de nous, expriment un malaise — même timidement. « Il sait toujours où je suis » ou « j’ai l’impression d’être surveillée » ne sont pas des propos à balayer du revers de la main. Ce sont des signaux à prendre au sérieux. Pour les personnes au Québec qui vivent une situation inconfortable dans leur relation, SOS violence conjugale offre une ligne d’écoute 24 h sur 24 et dispose de ressources adaptées aux enjeux technologiques contemporains. La violence conjugale n’est pas nouvelle, mais la technologie en a considérablement abaissé le seuil d’entrée et amplifié la portée. Répondre à ce phénomène demande des outils, des lois et une conscience collective à la hauteur de cette réalité. Collaborateurs Nicolas-Loïc Fortin Geneviève Lajeunesse Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x718! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode de Polécure consacré aux PME, Cyndie Fletz, Nicholas Milot et Dominique Derrier poursuivent leur discussion sur la santé financière des fournisseurs de services gérés (MSP). Après avoir abordé les contrats et les flux d’argent dans l’épisode précédent, les trois experts s’attaquent cette fois à une question fondamentale : combien devrait-on payer pour un MSP, et qu’est-ce qu’on est en droit d’attendre en retour ? L’anecdote des 2 dollars de l’heure Cyndie ouvre le bal avec une histoire savoureuse : elle a reçu un message vocal d’une compagnie se présentant comme le MSP le moins cher au Québec, lui proposant des services à… 2 dollars de l’heure. La réaction instinctive est de sauter sur l’occasion, mais les trois invités s’empressent de remettre les choses en perspective. Le modèle MSP repose sur la duplication des mêmes processus pour optimiser l’efficacité. Cela demande du temps, des investissements et des compétences. Un MSP doit être financièrement viable pour offrir un service fiable sur le long terme. Choisir un fournisseur uniquement sur la base du prix le plus bas, c’est prendre le risque d’obtenir exactement ce pour quoi on a payé : très peu. Dominique illustre bien le danger : à 2 dollars, le contrat pourrait simplement autoriser le client à appeler le fournisseur, sans que ce dernier ait l’obligation d’intervenir. Tout est une question de ce qui est écrit dans le contrat. Le seuil des 100 dollars par endpoint par mois Nicholas propose une métrique concrète pour avoir une base de comparaison : 100 dollars par endpoint par mois pour de la gestion d’équipement de base. Ce chiffre n’est pas arbitraire. Il correspond grosso modo au coût de remplacement d’une ressource IT interne qui accomplirait les mêmes tâches. Externaliser son IT à un MSP, c’est donc un transfert de responsabilité, pas nécessairement une économie radicale. En dessous de ce seuil, les experts s’entendent : les garanties de service s’effritent, les processus internes du fournisseur sont probablement sous-financés, et la qualité du service devient imprévisible. Qu’est-ce qu’un contrat MSP devrait inclure ? La discussion s’oriente naturellement vers le contenu attendu d’un bon contrat MSP. Dominique dresse une liste des services typiques : Support de niveau 1 pour les incidents courants Gestion des vulnérabilités et des correctifs (patching) Gestion de l’obsolescence du parc informatique Gestion des serveurs, du cloud et des environnements hybrides Plus on ajoute de services dans le contrat, plus le prix augmente — logiquement. Et c’est là qu’intervient la notion de niveaux de service. Un site transactionnel qui doit fonctionner 24h/24, 7j/7, avec une intervention garantie en moins de deux heures même en pleine nuit, coûtera bien plus cher qu’un service de base. Mais en contrepartie, en cas de panne à 2h du matin, c’est le MSP qui se lève — pas le client. Comment savoir ce dont on a réellement besoin ? Cyndie pose la question que beaucoup d’entreprises se posent sans oser l’avouer : comment identifier ses propres besoins quand on n’est pas soi-même expert en IT ? Nicholas et Dominique suggèrent deux approches. Si l’entreprise dispose d’un responsable IT interne, celui-ci peut dresser la liste des tâches récurrentes ou maîtrisées à externaliser, tout en conservant en interne les décisions stratégiques. Si ce n’est pas le cas, il est fortement recommandé de se faire accompagner par un expert indépendant capable de faire le pont entre les besoins réels de l’entreprise et l’offre des MSP sur le marché. La notion de risque d’affaires est centrale dans cette démarche. Si un système doit absolument fonctionner en tout temps, il faut choisir un partenaire capable de garantir cette disponibilité. Si une panne le week-end est tolérable, un service moins coûteux peut suffire. L’analogie de l’assurance automobile est parlante : on coche d’abord tout ce qu’on veut, puis on regarde le prix et on réévalue ses priorités. Les SLA et les pénalités : une arme pour le client Dominique rappelle qu’un outil souvent sous-utilisé par les clients existe dans les contrats MSP : le service level agreement (SLA) assorti de pénalités. En définissant des taux de disponibilité (98 %, 99 %) et des délais de réponse contractuels, et en prévoyant des pénalités en cas de non-respect, le client dispose d’un levier concret pour s’assurer que le partenaire reste performant mois après mois. Comme le dit Dominique avec humour : « C’est comme dans le mariage, il faut être bon tous les jours. » La question de l’offshore La discussion se conclut sur le sujet de l’offshoring. Le modèle à 2 dollars de l’heure impliquait manifestement une main-d’œuvre délocalisée dans des pays à faibles coûts de main-d’œuvre. Les experts nuancent : l’offshore n’est pas mauvais en soi. Des compétences existent partout dans le monde, et de nombreuses entreprises utilisent déjà des services offshore sans le savoir. Le vrai risque est ailleurs : un partenaire qui réduit trop ses coûts ne pourra pas investir dans la formation de ses équipes. Or, un technicien offshore mal formé au contexte québécois pourrait redémarrer un serveur critique en pleine période de production fiscale, faute de sensibilisation aux réalités locales. La chaîne de confiance — et les certifications comme le SOC 2 ou l’ISO — doit s’étendre à l’ensemble des sous-traitants. Conclusion Choisir un MSP, ce n’est pas choisir le moins cher. C’est choisir un partenaire dont la santé financière garantit la pérennité du service, dont le contrat est clair et mesurable, et dont le niveau de service correspond réellement aux risques d’affaires de l’entreprise. Le prix est un indicateur, pas une finalité. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x717! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le danger des « moments pivot » conspirationnistes L’épisode s’ouvre sur un constat préoccupant : la publication des dossiers Epstein constitue ce que Catherine appelle un moment pivot dans l’univers des théories du complot. Sur les réseaux sociaux, un réflexe dangereux se répand — celui de conclure que, puisque certains éléments entourant Epstein s’avèrent vrais, l’ensemble des théories conspirationnistes méritent désormais d’être prises au sérieux. Sam recadre rapidement ce raisonnement : ce n’est pas parce qu’une chose est vraie que tout le reste l’est aussi. La différence fondamentale entre une théorie du complot et une vraie conspiration réside dans la question simple suivante : des gens ont-ils réellement conspiré, oui ou non ? Ce phénomène n’est pas nouveau. Lors de la divulgation des documents sur le programme MK Ultra, la même vague de légitimation avait déferlé sur des théories n’ayant aucun lien avec les faits révélés. Pizzagate et le biais de confirmation La discussion aborde ensuite le retour en force de Pizzagate. Certains internautes voient dans les courriels d’Epstein un code autour du mot « pizza ». Sam et Nicolas démontent ce raisonnement : les références à la nourriture dans des échanges professionnels sont banales, surtout dans une culture corporative nord-américaine où la pizza est l’emblème du travail en soirée. Le cerveau humain est naturellement câblé pour détecter des patterns — ce qui le rend vulnérable au biais de confirmation lorsqu’il est exposé à des millions de courriels. Sam rappelle également qui étaient les grands propagateurs de Pizzagate à l’époque : des personnages aujourd’hui membres de l’administration Trump, qui avaient sauté aux conclusions à partir des courriels de Podesta. Les trouvailles des dossiers : entre banal et troublant Sam, qui a consacré du temps à explorer les dossiers, souligne que la majorité des échanges est d’une banalité déconcertante : des articles Wikipédia partagés, des fautes d’orthographe, des coordinations logistiques sans intérêt. Cela illustre un paradoxe : c’est précisément parce que c’est ordinaire que certains y projettent quelque chose d’extraordinaire. Parmi les éléments plus substantiels, Sam évoque le lien entre Epstein et le fondateur de 4chan. Peu après une rencontre entre les deux hommes, le forum politique de 4chan — retiré en raison de contenus racistes et néonazis — a soudainement été restauré. C’est dans cet espace que se sont ensuite développés des mouvements comme le Gamergate, puis l’alt-right, menant jusqu’aux événements de Charlottesville en 2017. Un lien circonstanciel, certes, mais qui illustre comment Epstein gravitait autour de personnages ayant contribué à la montée de l’extrémisme en ligne. Sam note également qu’Epstein était très impliqué dans le monde des cryptomonnaies en fin de vie, cherchant à mettre ses actifs à l’abri et à redorer son image publique — notamment en finançant des chercheurs universitaires et en faisant modifier sa page Wikipédia. Hygiène informationnelle : conseils pratiques Catherine insiste sur la nécessité d’une bonne hygiène d’information face à ce flot de données. Plusieurs conseils pratiques émergent : Valider les captures d’écran avant de les absorber : des faux courriels circulent délibérément sur les réseaux sociaux pour alimenter des récits antisémites ou conspirationnistes. Se fixer une limite de temps lors de l’exploration des dossiers (30 à 45 minutes maximum). Éviter les conclusions hâtives : la mention d’un nom dans les dossiers ne constitue pas une preuve de culpabilité. Reconnaître ses propres limites analytiques : Nicolas choisit personnellement de ne pas consulter les dossiers directement, préférant s’appuyer sur des journalistes spécialisés — une posture tout à fait défendable. Protéger les jeunes : les dossiers sont accessibles sans restriction d’âge, ce qui rend la conversation éducative avec les enfants d’autant plus importante. L’absence de conséquences et la fragilisation du contrat social Le trio s’interroge sur ce qui devrait suivre. Le constat est amer : en Amérique du Nord, les conséquences sont quasi inexistantes, contrairement à l’Europe où des arrestations et des enquêtes sérieuses ont eu lieu. La question de Trump est abordée prudemment — aucune preuve juridique directe ne le lie aux crimes d’Epstein, mais son refus prolongé de divulguer les documents et la présence d’accusations séparées à son encontre soulèvent des questions légitimes. Nicolas exprime un agacement profond : un système social sain doit exclure ou sanctionner les individus toxiques pour se protéger. Or, ce mécanisme semble paralysé aux États-Unis. Des gestes symboliques comme des bannissements sur des plateformes numériques ne suffisent pas à dissuader de futurs comportements similaires. Vers une suite inévitable Les trois animateurs s’accordent sur une chose : les dossiers publiés sont encore incomplets, et d’autres révélations suivront. La toile d’araignée tissée par Epstein — entre milieux académiques, technologiques, politiques et médiatiques — est loin d’être entièrement dévoilée. Ils espèrent que ces informations, une fois complètes, permettront enfin à la justice de jouer pleinement son rôle et de restaurer la confiance dans le contrat social — ce pacte fondamental qui pose que l’exploitation sexuelle des enfants est universellement condamnable et doit être sanctionnée sans exception. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x716! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA Confrontation DoW et Anthropic Anthropic digs in heels in dispute with Pentagon, source says Anthropic to Pentagon: Robo-weapons could hurt US troops Anthropic CEO says it cannot ‘accede’ to Pentagon’s demands for AI use Sam Altman says OpenAI shares Anthropic’s red lines in Pentagon fight Trump admin blacklists Anthropic; AI firm refuses Pentagon demands Our agreement with the Department of War Statement on the comments from Secretary of War Pete Hegseth \ Anthropic Folie d’utilisation du IA Kevin Beaumont: “The incredible thing about thi…” - Cyberplace Tech Firms Aren’t Just Encouraging Their Workers To Use AI. They’re Enforcing It. Kevin Beaumont: “Accenture are firing people wh…” - Cyberplace Le grand remplacement IBM Shares Crater 13% After Anthropic Says Claude Code Can Tackle COBOL Modernization Infosec community panics over Anthropic Claude Code Security Long Before Tech CEOs Turned To Layoffs To Cover AI Expenses, There Was WorldCom Microsoft execs worry AI will eat entry level coding jobs AI gets good at finding bugs, not as good at fixing them Rapid AI-driven development makes security unattainable Claude Code Security Shows Promise, Not Perfection OpenClaw Google Antigravity falls to Earth under compute burden Malicious OpenClaw Skills Used to Trick Users into Manual Password Entry for AMOS Infection A Meta AI security researcher said an OpenClaw agent ran amok on her inbox The OpenClaw Hype: Analysis of Chatter from Open-Source Deep and Dark Web Sandboxes Won’t Save You From OpenClaw This AI Agent Is Designed to Not Go Rogue AWS says 600+ FortiGate firewalls hit in AI-augmented attack Why the EU’s AI Act is about to become every enterprise’s biggest compliance challenge Detecting and preventing distillation attacks \ Anthropic Is AI Good for Democracy? Identity-First AI Security: Why CISOs Must Add Intent to the Equation Microsoft adds Copilot data controls to all storage locations AI models suck slightly less at math than they did last year Canadian government demands safety changes from OpenAI WA drivers reeling after passengers caught out by AI-powered safety cameras Souveraineté ou tout ce que je peux faire sur mon terrain Sovereignty in a System Prompt - POP RDI; RET; Danish government agency to ditch Microsoft software in push for digital independence US orders diplomats to fight data sovereignty initiatives Privacy ou tout ce qui devrait rester à la maison Enough Is Enough Five security lessons from the FBI’s Washington Post raid Banning children from VPNs and social media will erode adults’ privacy EU lawmakers propose that youth under 16 be barred from social media without parental consent Instagram to start alerting parents when children search for terms relating to self-harm Red ou tout ce qui est brisé Ransomware gangs advancing Moscow’s geopolitical aims, Romanian cyber chief warns Android mental health apps with 14.7M installs filled with security flaws Discord pushes back age verification debut to 2H’26 Ransomware payment rate drops to record low as attacks surge Blue ou tout ce qui améliore notre posture Identity Prioritization isn’t a Backlog Problem - It’s a Risk Math Problem Windows 11 KB5077241 update improves BitLocker, adds Sysmon tool The Case for Why Better Breach Transparency Matters Some Linux LTS Kernels Will Be Supported Even Longer, Announces Greg Kroah-Hartman Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x715! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invité Manu, alias Korben, est l’auteur du site korben.info depuis 2004, un espace qu’il décrit comme à mi-chemin entre le blog personnel et le média technologique. Il y parle d’informatique, de bidouille et de technologie dans un style accessible, à la fois décontracté et sérieux. Après plus de vingt ans de présence en ligne, il a pris la décision, à mi-2025, de quitter les plateformes de microblogging — X (anciennement Twitter), Facebook, Blue Sky et Mastodon — pour préserver sa santé mentale et son énergie créatrice. Pourquoi quitter les réseaux sociaux ? Korben était présent sur X depuis 2007. Il y avait bâti une communauté, des contacts, des amitiés. Mais au fil du temps, la plateforme est devenue de plus en plus difficile à habiter. L’algorithme y mettait en avant des contenus négatifs, des personnalités politiquement douteuses, et des interactions de plus en plus agressives. Malgré ses tentatives de filtrer son fil d’actualité pour ne voir que du contenu tech, il était constamment rattrapé par les tendances et les recommandations toxiques. L’élément déclencheur final a été le geste controversé d’Elon Musk — ce que beaucoup ont qualifié de salut nazi — qui a convaincu Korben qu’il ne pouvait plus, en conscience, continuer à alimenter cette plateforme. Il avait d’abord résisté au rachat par Musk, voulant maintenir une présence positive, mais ce geste a tout changé. La toxicité vécue concrètement Malgré un contenu volontairement bon enfant — il parle de logiciels, d’outils, jamais de politique —, Korben a régulièrement été la cible de vagues de haine. Des gens venaient « cracher sur ses chaussures » sans avoir lu ses articles, réagissant à une phrase isolée dans un texte de 2 000 mots. Il décrit l’algorithme comme complice : il semble pousser délibérément son contenu vers des utilisateurs susceptibles de réagir négativement, alimentant ainsi l’engagement au détriment du bien-être des créateurs. Il a également subi des épisodes plus graves : son adresse personnelle publiée en ligne, des livraisons de pizzas non commandées toute une soirée, des menaces de mort, et même quelqu’un qui prétendait lui avoir « jeté un sort ». Ces expériences l’ont amené à réaliser qu’on ne sait jamais vraiment à qui on a affaire en ligne — troll inoffensif ou personne réellement dangereuse. La perte de trafic et ses conséquences En coupant ces quatre plateformes d’un coup, Korben a perdu environ un quart de son trafic web. Mais, fait notable, cette perte n’a pas eu d’impact significatif sur ses revenus publicitaires. Le trafic a d’ailleurs progressivement remonté : les lecteurs véritablement intéressés par son contenu l’ont retrouvé par d’autres voies, comme le flux RSS ou la recherche directe. Cela l’a confirmé dans l’idée que le trafic provenant des réseaux sociaux était souvent superficiel — des clics sans engagement réel. La désintoxication : un processus difficile Quitter les réseaux sociaux ne s’est pas fait du jour au lendemain. Korben compare l’expérience à l’arrêt du tabac ou à une dépendance au sucre : le réflexe de lancer l’application était profondément ancré. Il a dû désinstaller les applis et bloquer les noms de domaine directement sur son routeur pour éviter d’y retourner par automatisme. Il identifie sa dépendance principale non pas au FOMO (la peur de rater quelque chose), mais à l’addiction aux commentaires : il aimait savoir ce que les gens pensaient de ce qu’il créait, qu’il s’agisse de retours positifs ou négatifs. Paradoxalement, il reconnaît que la grande majorité de ces commentaires n’avaient aucune valeur constructive — soit un enthousiasme vide, soit une hostilité gratuite, rarement quelque chose d’utile entre les deux. Vers une communauté plus restreinte, mais plus saine Après son départ, Korben a réorienté ses interactions vers des espaces plus ciblés : Discord, Patreon, LinkedIn et surtout Twitch. Ce dernier est devenu un outil central : plusieurs fois par semaine, il partage en direct sa journée de travail, montre ce qu’il teste, répond aux questions en temps réel. Ce format vidéo lui permet d’être perçu dans son authenticité — son ton, ses expressions, son intention — ce que l’écrit en 140 ou 280 caractères ne permet tout simplement pas. Il fait une distinction importante entre les plateformes de création de contenu (YouTube, TikTok, Instagram, où il faut un minimum d’effort et d’intention) et les plateformes de microblogging, où n’importe qui peut écrire n’importe quoi sans aucune réflexion préalable. Ces dernières favorisent selon lui l’ego et la performance au détriment de la discussion authentique. Le problème structurel des plateformes Au fil de la conversation, Korben et son hôte s’accordent sur un constat plus profond : ces réseaux sociaux ont été conçus — ou ont évolué — pour maximiser l’engagement émotionnel, souvent au prix de la bienveillance. La limite en caractères, l’anonymat, l’algorithme de recommandation, et la visibilité publique des commentaires créent un environnement où les gens écrivent pour exister et se mettre en valeur, et non pour contribuer à une conversation. À l’inverse, des espaces plus fermés comme Discord ou Patreon, où la visibilité est limitée, incitent à une participation plus authentique. Conclusion Le bilan de Korben est globalement positif. Il ne regrette pas sa décision, même s’il lui arrive encore de ressentir l’envie de partager une question ou une découverte à grande échelle. Il conclut que l’essentiel — ses lecteurs fidèles, ses revenus, sa santé mentale — n’a pas souffert de ce retrait. Et il observe avec intérêt un mouvement de fond, notamment chez les jeunes, vers une vie moins médiatisée et plus ancrée dans le réel. Collaborateurs Nicolas-Loïc Fortin Manuel Dorne dit Korben Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x714! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode spécial dédié aux PME, l’animateur reçoit Casimir, spécialiste en cyberassurance, pour approfondir un sujet abordé lors d’une chronique précédente : le rôle fondamental du courtier dans la sélection et le suivi d’une police de cyberassurance. Si la dernière discussion portait sur les couvertures et les fondamentaux du produit, cet épisode se concentre sur l’humain qui guide l’entrepreneur dans un univers complexe, celui des cyberrisques et de leur transfert vers le marché de l’assurance. Le courtier : bien plus qu’un vendeur de polices La mission première du courtier en assurance est d’accompagner son client dans la compréhension de ses risques d’entreprise. L’entrepreneur, dont le rôle est de développer ses marchés, d’assurer sa croissance et de gérer sa gouvernance, n’a pas nécessairement les outils pour identifier ce qui pourrait mettre son entreprise à l’arrêt. C’est précisément là qu’intervient le courtier : il aide à cartographier ces risques et à déterminer lesquels peuvent être transférés vers une compagnie d’assurance. Casimir insiste sur un point souvent négligé : le client doit comprendre pourquoi il souscrit une police. Si la cyberassurance est perçue comme une simple dépense, elle sera la première à être coupée lorsque les activités ralentissent. Contrairement à d’autres assurances, elle n’est pas obligatoire. La valeur du courtier réside donc aussi dans sa capacité à rendre concret et tangible ce que couvre la police, afin que le client réalise l’importance de cette protection. Comprendre la réalité du client avant tout Pour illustrer sa démarche, Casimir prend l’exemple d’un fabricant de hottes de van — une PME industrielle sans expertise en cybersécurité, mais dont les opérations dépendent d’un site web de vente et d’une machinerie connectée. Face à ce type de client, le courtier commence par poser des questions simples et stratégiques : quels sont les revenus annuels ? Combien coûte une semaine d’arrêt ? Ce réflexe de calcul de la perte d’exploitation est fondamental. Pour une entreprise générant 52 millions de dollars par année, une semaine d’interruption représente 1 million de dollars en ventes perdues — sans compter les coûts supplémentaires liés à la remise en marche. Cette approche permet de concrétiser le risque pour l’entrepreneur et de justifier l’investissement dans une police adaptée. Le formulaire de soumission et les contrôles importants Une fois les risques identifiés, le courtier aide le client à remplir un formulaire de proposition d’assurance, qui sera soumis aux assureurs pour négociation. La complexité de ce formulaire varie selon la taille de l’entreprise : les PME de moins de 100 millions de dollars en revenus bénéficient d’un questionnaire allégé, tandis que les entreprises plus importantes font face à un processus plus détaillé. Parmi les éléments qui font une grande différence auprès des assureurs, Casimir mentionne notamment le MDR (Managed Detection and Response). Bien que non obligatoire pour les PME, ce type de solution de cybersécurité peut faire passer une prime de 15 000 $ à 7 000 $ pour une couverture de 2 à 3 millions de dollars. Le MDR permet une détection et une réponse rapides aux incidents, ce qui réduit la probabilité d’un sinistre futur — et les assureurs valorisent fortement cette capacité. Lorsque des réponses négatives apparaissent dans le formulaire, le courtier ne les ignore pas : il les aborde avec le client pour identifier des pistes d’amélioration. Ces lacunes influencent directement les primes et les termes de la police. L’analyse comparative des soumissions Une fois les soumissions reçues des assureurs — généralement en une semaine pour les dossiers courants —, le courtier effectue un travail d’analyse rigoureux. Les couvertures ne portent pas les mêmes noms d’un assureur à l’autre, mais peuvent couvrir les mêmes réalités. Son rôle est de normaliser ces offres dans un tableau comparatif clair, permettant au client de choisir non seulement la meilleure prime, mais aussi les couvertures les plus complètes et adaptées à son secteur d’activité. Par exemple, certains assureurs offrent désormais des couvertures liées aux interruptions chez les clients ou les fournisseurs. Si un client important comme un grand donneur d’ordre est victime d’une cyberattaque et ne peut plus passer de commandes pendant deux mois, certaines polices peuvent indemniser le fournisseur touché. De même, si un fournisseur critique — peinture, composants spécialisés — est mis hors ligne, des couvertures de chaîne d’approvisionnement permettent de limiter les pertes. Un marché en constante évolution La cyberassurance évolue à une vitesse remarquable. Casimir souligne que c’est encore le « far west » : les assureurs cherchent à se démarquer, les couvertures sont mises à jour régulièrement, et de nouveaux produits apparaissent fréquemment. Il cite l’exemple de Coalition, un assureur qui, grâce à sa base de 90 000 assurés, est capable de détecter des tendances dans les pertes et d’alerter proactivement ses clients lorsqu’une technologie vulnérable est identifiée dans leur infrastructure. Le suivi après la signature : un rôle continu La relation entre le courtier et son client ne se termine pas à la signature. Rester à l’affût des nouvelles couvertures, des nouvelles menaces et des technologies vulnérables fait partie intégrante du rôle du courtier. Il doit aussi sensibiliser ses clients à des pratiques comme les exercices de simulation d’incident (tabletop exercises), réalisés avec des breach coaches, qui permettent de tester concrètement leur niveau de préparation. Ces simulations révèlent souvent des lacunes importantes — même chez des entreprises qui croyaient avoir un plan de réponse aux incidents en place. Conclusion En résumé, le courtier en cyberassurance est un guide indispensable pour les PME qui naviguent dans un univers technique et en perpétuelle mutation. Son apport va bien au-delà de la simple soumission d’une police : il comprend la réalité opérationnelle du client, identifie les risques, négocie les meilleures conditions et assure un suivi proactif tout au long de la vie du contrat. Collaborateurs Nicolas-Loïc Fortin Casimir Le Grand Crédits Montage par Intrasecure inc Locaux réels par Bagel Maguire Café

Parce que… c’est l’épisode 0x713! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Un engouement disproportionné Enregistré fin janvier 2026, cet épisode spécial du podcast aborde un sujet qui agace de plus en plus : la pression croissante exercée sur les individus et les entreprises pour adopter l’intelligence artificielle, non pas parce qu’elle est utile ou mature, mais parce que des géants technologiques ont massivement parié dessus et doivent récupérer leur mise. Les deux intervenants ne rejettent pas l’IA en bloc — ils l’utilisent tous deux et y trouvent des applications concrètes. Mais ils pointent un décalage flagrant entre le discours ambiant, omniprésent dans les médias, les conférences comme Davos et les communications d’entreprise, et la réalité mesurable sur le terrain. Selon une statistique citée, 80 % des projets d’IA en entreprise échouent : mauvais calibrage, mauvaise définition du besoin, ou coût de maintenance trop élevé pour justifier l’investissement. Seuls 20 projets sur 100 génèrent de réels bénéfices. L’IA comme récit marketing Le premier exemple analysé est l’annonce d’Amazon de supprimer 15 000 postes dans le monde pour les remplacer par des outils d’IA. Si l’annonce a fait grand bruit, les deux interlocuteurs invitent à déconstruire ce récit. Dans une entreprise de cette taille, 15 000 suppressions de postes représentent une restructuration relativement classique, motivée avant tout par des impératifs financiers : réduire la masse salariale pour présenter de meilleurs résultats aux actionnaires, ou encore remplacer des profils seniors par des juniors moins bien payés. Amazon continue d’ailleurs de recruter en parallèle. L’IA sert ici de justification commode, voire de campagne publicitaire : en affirmant « manger sa propre cuisine », Amazon cherche à convaincre d’autres dirigeants que la technologie est suffisamment mûre pour transformer leurs organisations. Ce mécanisme révèle un phénomène plus large : les entreprises qui vendent des solutions d’IA ont tout intérêt à entretenir la croyance en leur efficacité. Comme les vendeurs de pelles pendant la ruée vers l’or, elles profitent de la fièvre sans nécessairement garantir que leurs clients trouveront de l’or. Quand les éditeurs haussent le ton Deuxième exemple : le patron de Microsoft a publiquement réprimandé les utilisateurs de Copilot qui osaient critiquer l’outil, leur demandant non pas de formuler des retours constructifs, mais d’utiliser le produit davantage et de cesser de se plaindre. Cette sortie, qui a engendré le hashtag ironique #Microslops, illustre selon eux un glissement inquiétant : on ne parle plus d’invitation à adopter l’IA, mais d’injonction autoritaire. Cette nervosité trahit une réalité économique : Microsoft, comme d’autres, a investi des milliards dans ces technologies et commence à percevoir un ralentissement de l’adoption. La panique s’installe. Nvidia tient un discours similaire au forum de Davos, moins agressif mais tout aussi contraignant : consommer l’IA serait désormais une condition sine qua non de la réussite économique. Le mythe du remplacement et la réalité du terrain Sur la question du remplacement des travailleurs, notamment des développeurs, les faits démentent les promesses. Des entreprises ont licencié des équipes techniques pour confier leur travail à des outils génératifs, puis ont dû réembaucher — parfois à des salaires plus bas — pour corriger les erreurs produites. Une étude du MIT est citée à ce sujet : ce sont les développeurs seniors qui utilisent le plus les IA de codage, justement parce qu’ils ont les compétences nécessaires pour valider et corriger les sorties. L’IA amplifie la compétence existante, elle ne la remplace pas. Multiplier par zéro donne toujours zéro. Le prompt engineering comme profession autonome est également démystifié : sans base en algorithmique, manipuler un LLM revient à avancer dans le noir. Les dirigeants qui imaginent transformer leur entreprise sans comprendre les fondements techniques de ces outils se heurtent inévitablement à la réalité. Une bulle à la veille d’exploser Les deux intervenants anticipent un éclatement de la bulle spéculative dès 2026, voire 2027. Les signes sont là : plateau des performances (la différence entre GPT-4 et GPT-5 serait marginale), hallucinations persistantes, coûts en ressources exponentiels pour des améliorations minimes, et pénurie croissante de mémoire RAM due à la course aux data centers. Des voix importantes, comme celle de Yann LeCun, affirment que le modèle LLM a atteint ses limites structurelles et ne pourra jamais constituer une intelligence artificielle générale. L’impact environnemental est également soulevé : les data centers consomment des quantités massives d’eau et d’énergie, s’implantant parfois dans des régions déjà en stress hydrique, comme au Chili où des droits de consommation d’eau illimités peuvent être achetés. Des contre-courants émergent Face à cette frénésie, des résistances apparaissent. Des utilisateurs expérimentés adoptent une posture raisonnée : l’IA comme outil de gain de temps sur certaines tâches, non comme substitut à la réflexion. Des jeunes générations décrochent des réseaux sociaux et de l’IA, conscients des effets sur leur santé mentale et de l’inutilité de tricher à l’école si l’on n’acquiert aucune compétence réelle. Des philosophes comme Éric Sadin alertent sur la perte de sens de l’effort et du savoir. Conclusion : une nouvelle forme de contrôle En filigrane, les deux intervenants voient dans cette marche forcée vers l’IA une manifestation d’un pouvoir nouveau : celui des tech bros, qui ont remplacé le pétrodollar comme levier de contrôle global, et ne s’en cachent plus. La lucidité s’impose : ce grand changement de civilisation prendra une à deux décennies, il sera chaotique, mais il est nécessaire de le traverser les yeux ouverts plutôt que de subir les récits que d’autres construisent pour nous. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x712! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 Notes IA Sécurité et le code Kevin Beaumont: “Today in InfoSec Job Security …” - Cyberplace AI Found Twelve New Vulnerabilities in OpenSSL Anthropic rolls out embedded security scanning for Claude Cyber Stocks Slide As Anthropic Unveils ‘Claude Code Security’ Plagiat chez Microsoft Microsoft deletes blog telling users to train AI on pirated Harry Potter books Microsoft Uses Plagiarized AI Slop Flowchart To Explain How Git Works The Promptware Kill Chain Why ‘secure-by-design’ systems are non-negotiable in the AI era Side-Channel Attacks Against LLMs Gentoo dumps GitHub over Copilot nagware European Parliament bars lawmakers from AI tools AI chatbots to face strict online safety rules in UK LLM-generated passwords ‘fundamentally weak,’ experts say PromptSpy ushers in the era of Android threats using GenAI Claude just gave me access to another user’s legal documents OpenClaw Security Fears Lead Meta, Other AI Firms To Restrict Its Use Was an Amazon Service Taken Down By Its AI Coding Bot? Kevin Beaumont: “Microsoft need a better way of…” - Cyberplace OpenAI Employees Raised Alarms About Canada Shooting Suspect Months Ago The Internet Is Becoming a Dark Forest — And AI Is the Hunter Souveraineté ou tout ce que je peux faire sur mon terrain India’s New Social Media Rules: Remove Unlawful Content in Three Hours, Detect Illegal AI Content Automatically UK to require tech firms to remove nonconsensual intimate images within 48 hours or face fines Greece throws support behind social media bans for kids Kevin Beaumont: “Ireland’s data protection watc…” - Cyberplace Spain orders NordVPN, ProtonVPN to block LaLiga piracy sites Poland bans Chinese-made cars from entering military sites Texas sues TP-Link over Chinese hacking risks, user deception Microsoft throws spox under the bus in ICC email flap Digital sovereignty must define itself before it can succeed “Made in EU” - it was harder than I thought. Privacy ou tout ce qui devrait rester à la maison Underground Facial Recognition Tool Unmasks Camgirls Leaked Email Suggests Ring Plans to Expand ‘Search Party’ Surveillance Beyond Dogs Mysk🇨🇦🇩🇪: “Forget about switching off “Sh…” - Mastodon How to Organize Safely in the Age of Surveillance BrianKrebs: “If you’re on LinkedIn and are …” - Infosec Exchange Data breach at French bank registry impacts 1.2 million accounts Across the US, people are dismantling and destroying Flock surveillance cameras Fury Over Discord’s Age Checks Explodes After Shady Persona Test In UK Red ou tout ce qui est brisé Open source registries underfunded as security costs rise Password managers don’t protect secrets if pwned Microsoft 365 Exchange URL Filtering Update Quarantines Legitimate Emails as Phishing Attackers keep finding the same gaps in security programs Man accidentally gains control of 7,000 robot vacuums Blue ou tout ce qui améliore notre posture UK.gov launches cyber ‘lockdown’ campaign as 80% of orgs hit Notepad++ boosts update security with ‘double-lock’ mechanism Divers et insolites Dutch defense chief: F-35s can be jailbroken like iPhones US funding for global internet freedom ‘effectively gutted’ NHS strategy: Write password on whiteboard, hope for best DEF CON bans three Epstein-linked men from future events US Plans Online Portal To Bypass Content Bans In Europe and Elsewhere Europe’s Labor Laws Are Strangling Its Ability To Innovate, New Analysis Argues Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x711! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : une menace sous-estimée Dans cet épisode, l’animateur reçoit Vicky Desjardins, dont le parcours en criminologie l’a amenée à se spécialiser dans la victimisation en ligne. Sa motivation est à la fois professionnelle et personnelle : devenue tante, elle souhaite rendre le monde numérique plus sécuritaire pour ses neveux et nièces. Le constat de départ est clair : la technologie n’est pas aussi inoffensive qu’on veut bien nous le faire croire, et ses dangers — tant sur la santé mentale que sur le plan criminel — restent largement méconnus du grand public. Les jeunes : une cible de plus en plus jeune L’un des points les plus frappants de la discussion est le rajeunissement des victimes potentielles. Là où l’on parlait autrefois de risques à partir de 13 ou 15 ans, on constate aujourd’hui des situations problématiques dès 6 ou 7 ans. Cette réalité est amplifiée par les fonctionnalités vocales des plateformes, qui éliminent la barrière de l’écriture et permettent aux très jeunes enfants de communiquer sans difficulté avec des inconnus. Vicky souligne également que l’éducation à la sécurité en ligne a longtemps ciblé principalement les filles, laissant les garçons sous-éduqués face aux risques. Pourtant, ces derniers sont eux aussi très visés, notamment via les plateformes de jeux vidéo — un environnement qu’ils fréquentent depuis bien plus longtemps. Des jeux comme Roblox, Minecraft ou World of Warcraft permettent des communications en temps réel, créant un terrain fertile pour le grooming (manipulation progressive d’un enfant par un prédateur). Le grooming par les jeux vidéo La particularité du grooming en ligne, par rapport aux dangers du monde physique, réside dans la création d’un lien de confiance progressif. Contrairement à l’image du « monsieur louche dans le parc », le prédateur numérique prend le temps de construire une amitié. Pendant que l’enfant est concentré sur son jeu, les conversations se déroulent en parallèle, sans que son attention critique soit pleinement mobilisée. Le prédateur exploite des expériences universelles — les devoirs difficiles, les tensions scolaires — pour créer des points communs avec sa victime, quel que soit l’écart d’âge. Il peut mentir sur son identité, son âge, et capter rapidement les expressions propres à chaque génération. Avec le temps, la garde de l’enfant baisse : il perçoit son interlocuteur comme un ami, ce qui rend toute mise en garde ultérieure beaucoup plus difficile. La géolocalisation aggrave encore la situation. Des applications comme Snapchat, Instagram ou même Google Maps — utilisé de façon détournée par des jeunes pour planifier des rencontres via des points placés dans l’océan — permettent de savoir en temps réel où se trouvent les enfants. Ce qui était autrefois un obstacle logistique pour un prédateur (se déplacer sur des centaines de kilomètres) peut désormais se réduire à quelques kilomètres. Le rôle des parents : communication plutôt que contrôle Face à ces risques, Vicky déconseille de miser uniquement sur les contrôles parentaux technologiques, qu’elle juge souvent inefficaces, mal conçus, et facilement contournés par des enfants même très jeunes. Une surveillance excessive reproduit d’ailleurs un effet bien connu : les enfants les plus encadrés sont souvent les premiers à chercher à s’émanciper en cachette. La clé, selon elle, réside dans la création d’un environnement de confiance. Il faut que l’enfant se sente à l’aise de venir parler à ses parents sans craindre d’être puni. Cela commence par des gestes simples et non technologiques : valoriser l’honnêteté de l’enfant lorsqu’il avoue une bêtise, s’excuser soi-même en tant que parent quand on fait une erreur, et montrer qu’une conversation difficile n’entraîne pas automatiquement des conséquences sévères. Ce lien de confiance constitue le meilleur « contrôle parental » qui soit. Il importe aussi de connaître les influenceurs que suivent ses enfants en ligne et de surveiller certains signes d’alerte comportementaux, comme des attitudes sexistes envers les sœurs ou des comportements d’hypersexualisation précoce. Les aînés : une vulnérabilité différente La seconde partie de l’épisode s’intéresse aux personnes âgées, qui font face à des menaces différentes mais tout aussi sérieuses. La fraude aux grands-parents est la plus connue : un escroc se fait passer pour un proche en difficulté (emprisonné à l’étranger, par exemple) et réclame un transfert d’argent urgent. Vicky recommande d’établir avec ses aînés un mot de passe ou un souvenir personnel — quelque chose qui ne figure nulle part sur internet — pour vérifier l’identité de l’appelant. Il existe aussi des arnaques en personne, où des fraudeurs se présentent dans des résidences pour personnes âgées en se faisant passer pour des employés de banque. L’arnaque au pig butchering — qui consiste à gagner la confiance d’une victime pendant des semaines avant de la convaincre d’investir massivement en cryptomonnaie, puis de disparaître avec les fonds — est particulièrement dévastatrice, car elle exploite à la fois l’isolement et le désir de bien faire fructifier ses économies. Vicky rappelle aussi qu’il est tout à fait acceptable de ne pas répondre à un message ou un appel d’un numéro inconnu. La pression à la politesse est souvent utilisée contre les victimes. Conclusion : socialisation réelle et vigilance partagée Le message final est simple mais fondamental : rien ne remplace la socialisation dans le monde réel pour développer l’esprit critique et la capacité à détecter ce qui est anormal. Il faut investir du temps avec les enfants comme avec les aînés pour qu’ils comprennent les risques du monde numérique dans lequel ils évoluent. La technologie a ses bons côtés, mais elle ne doit pas devenir un substitut aux liens humains authentiques — ni pour les plus jeunes, ni pour les plus vulnérables. Collaborateurs Nicolas-Loïc Fortin Vicky Desjardins Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x710! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Genèse du projet Hacklore Dans cet épisode spécial du Policé Sécure, l’animateur reçoit Guillaume Ross pour discuter d’un projet qui a fait couler beaucoup d’encre dans la communauté de la cybersécurité : Hacklore (hacklore.org). L’initiative a été fondée par Bob Lord, un vétéran de l’industrie qui a notamment été le premier CISO de Twitter, a découvert la mégabrèche chez Yahoo et a travaillé pour le Comité national démocrate (DNC) après l’ingérence russe lors des élections américaines. Fort de ces expériences face à de véritables menaces, Bob Lord a voulu s’attaquer à un problème bien précis : les recommandations de sécurité périmées qui font perdre du temps aux gens sans réellement améliorer leur posture de sécurité. Le principe central du projet est simple — arrêter de distraire le grand public avec des conseils qui ne correspondent plus à la réalité technologique actuelle, pour mieux concentrer les efforts sur ce qui fonctionne vraiment. La lettre fondatrice du projet a été signée par de nombreux professionnels reconnus du milieu. Elle a suscité autant d’adhésion que de controverse, certains experts techniques reprochant aux signataires de négliger des détails techniques pointus. Guillaume répond à ces critiques : savoir qu’un risque existe théoriquement, c’est très différent d’estimer si ce risque est pertinent pour madame et monsieur Tout-le-Monde. Les six « hacklores » décryptés 1. Éviter le Wi-Fi public C’est probablement le mythe qui a généré le plus de débat. À l’époque de Firesheep — une extension Firefox qui permettait de voler des sessions authentifiées sur des réseaux non chiffrés —, l’avertissement était légitime. Mais aujourd’hui, plus de 99 % du trafic web est chiffré via TLS. Les applications mobiles modernes, notamment sur iOS, ne peuvent même plus se connecter en HTTP sans une configuration explicite. Les réseaux Wi-Fi publics d’une certaine taille intègrent généralement l’isolation entre clients. Le conseil pertinent serait plutôt : si vous voyez une erreur de certificat dans un café, ne cliquez pas sur « continuer ». 2. Ne jamais scanner de codes QR Certes, des cas de faux codes QR collés sur des parcomètres ont été documentés. Mais la réalité est que la majorité des gens sont incapables de distinguer un nom de domaine légitime d’un faux, que ce soit dans un lien texte ou via un code QR. Le vrai conseil à retenir : ne jamais entrer ses identifiants bancaires après avoir scanné un code QR, tout comme on ne le ferait pas après avoir cliqué sur un lien reçu par SMS. Le code QR, en soi, n’t est pas plus dangereux qu’une URL. 3. Ne jamais utiliser les ports USB publics (juice jacking) Le terme juice jacking a été inventé autour de 2014, à une époque où connecter un iPhone en USB permettait pratiquement d’en télécharger tout le contenu. Depuis, les systèmes d’exploitation mobiles ont radicalement évolué : demande de confiance explicite, désactivation de l’accès USB lorsque l’écran est verrouillé, etc. Surtout, aucun cas documenté de juice jacking n’a affecté un utilisateur ordinaire. Exploiter cette vulnérabilité nécessiterait un zero-day iOS ou Android valant facilement un million de dollars — des outils que personne ne déploierait dans un aéroport pour hacker n’importe qui. Le conseil utile : ne pas appuyer sur « faire confiance à cet ordinateur » quand vous branchez votre téléphone sur un port inconnu. 4. Désactiver le Bluetooth, le NFC et les connexions sans fil Des vulnérabilités Bluetooth ont existé, notamment au moment du jumelage des appareils. Mais ce type d’attaque exige une proximité physique au moment précis du pairing — une contrainte majeure pour n’importe quel attaquant opportuniste. De plus, les téléphones modernes ne diffusent plus leur présence Bluetooth en permanence et font tourner des clés rotatives. Dire aux gens de désactiver leur Bluetooth, c’est leur demander de renoncer à leurs écouteurs, leur souris ou leur clavier sans fil — pour les remplacer, ironiquement, par des périphériques RF bon marché souvent bien moins sécurisés. 5. Effacer régulièrement ses cookies Ce conseil crée plus de problèmes qu’il n’en résout : les utilisateurs se retrouvent constamment déconnectés de leurs services, doivent ressaisir leurs mots de passe en boucle, et perdent leurs préférences. La peur des cookies est largement entretenue par les bannières de consentement omniprésentes, mais les navigateurs modernes bloquent déjà les cookies tiers par défaut. Et de toute façon, le tracking publicitaire ne dépend plus uniquement des cookies — le fingerprinting du navigateur offre des méthodes alternatives tout aussi efficaces. 6. Changer ses mots de passe régulièrement La rotation forcée des mots de passe est inutile si chaque compte a déjà un mot de passe unique et robuste. Ce qui expose vraiment les gens, c’est la réutilisation du même mot de passe sur des dizaines de sites. Quand l’un d’eux est compromis, des botnets essaient automatiquement ces identifiants partout ailleurs. Changer un mot de passe sans raison précise génère du travail, de la confusion et des erreurs, sans bénéfice réel. Ce qu’il faut vraiment faire En contrepartie, Hacklore formule des recommandations simples et efficaces pour le commun des mortels : maintenir ses systèmes et applications à jour, activer l’authentification multifacteur (les passkeys si disponibles, le SMS si c’est la seule option — c’est mieux que rien), et utiliser un gestionnaire de mots de passe avec des mots de passe uniques partout. L’enjeu, conclut Guillaume, c’est la crédibilité. Si la communauté de la sécurité continue d’alarmer les gens sur des risques négligeables, personne n’écoutera quand il s’agira de vraies menaces. Notes Stop Hacklore! Stop Hacklore! - Version française FUDBester! Stop Hacklore: quand les mauvais conseils éclipsent les bons Collaborateurs Nicolas-Loïc Fortin Guillaume Ross Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x709! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Les trois raisons de faire appel à un MSP Nicolas ouvre la discussion en proposant un cadre simple et efficace : trois questions auxquelles il suffit de répondre « oui » pour savoir qu’il est temps de chercher un MSP. 1. On ne sait pas faire. La technologie évolue à une vitesse fulgurante. Maintenir des systèmes TI à jour, connaître les nouvelles techniques, les nouvelles failles de sécurité, les mises à jour critiques — tout cela demande une expertise pointue et en constante évolution. Pour la majorité des PME, cette compétence n’est tout simplement pas disponible à l’interne, et il serait illusoire de vouloir la développer soi-même. Nicolas rappelle d’ailleurs que dans ses mandats de test d’intrusion (pen test), il exploite précisément ces nouvelles failles qui apparaissent continuellement. Il est donc très difficile pour une entreprise non spécialisée de suivre ce rythme. 2. On ne peut pas. Même si la volonté est là, le temps et les ressources manquent. Les dirigeants et employés d’une PME sont focalisés sur la mission principale de l’entreprise : vendre des services, livrer des produits, servir les clients. Gérer l’infrastructure TI en parallèle représente une charge supplémentaire qui finit par tout ralentir. 3. On ne veut pas. Certaines tâches TI — comme la gestion des mises à jour (patching), la surveillance réseau ou le support de niveau 1 — ne font tout simplement pas vibrer les équipes internes. Et c’est parfaitement normal. Vouloir déléguer ce qui n’est pas dans son cœur de métier est une décision stratégique saine, pas un aveu de faiblesse. Une logique qui dépasse le TI L’équipe prend soin de replacer cette réflexion dans un contexte plus large. La question « est-ce que je garde cette compétence à l’interne ou est-ce que je la délègue ? » se pose en réalité dans tous les secteurs d’activité. Marketing, réseaux sociaux, comptabilité, entretien des locaux… De nombreuses entreprises font appel à des partenaires externes pour des fonctions qui ne constituent pas leur cœur de business. Le TI n’est qu’un exemple parmi d’autres d’une externalisation stratégique. Comme le résume Dominique : personne n’achète ses propres locaux commerciaux s’il peut simplement les louer. Le duo gagnant : l’administrateur système et le MSP Un des points les plus intéressants de l’épisode concerne la complémentarité entre un administrateur système interne (sysadmin) et un MSP. Nicolas souligne que ce jumelage constitue souvent un cas de succès très convaincant. L’administrateur connaît l’environnement interne, les serveurs, la chaîne de production. Le MSP, lui, prend en charge les tâches répétitives ou moins stimulantes — patching des postes, gestion du Wi-Fi, support utilisateurs — et apporte en plus une disponibilité 24/7 que le sysadmin ne peut ou ne veut pas offrir. Ce partenariat présente un autre avantage non négligeable : il permet à l’administrateur de se concentrer sur des tâches à plus haute valeur ajoutée, celles qui lui apportent de la satisfaction professionnelle. Les deux parties peuvent ainsi « briller » dans leur zone d’excellence respective. Les bénéfices concrets d’un MSP pour une PME L’équipe identifie plusieurs avantages pratiques à faire appel à un MSP : L’expérience mutualisée. Un MSP travaille avec de nombreux clients. Il apporte des solutions déjà éprouvées ailleurs, ce qui évite à la PME de faire office de cobaye. Elle bénéficie de recettes qui ont fonctionné pour d’autres, sans en payer le coût d’apprentissage. L’accès privilégié aux éditeurs. Un MSP dispose souvent de contrats spéciaux avec de grands fournisseurs comme Microsoft ou Oracle. Pour une PME seule, il serait pratiquement impossible d’obtenir un interlocuteur dédié chez ces géants. Le MSP devient donc un canal d’accès précieux. La normalisation des relations internes. Quand c’est un collègue qui règle tous les problèmes informatiques des autres, cela peut créer des tensions. Passer par un fournisseur externe clarifie les rôles et normalise la relation. Le sysadmin n’est plus soumis à des pressions informelles ou des passe-droits. Tout est encadré par des contrats avec des délais de réponse définis (service level agreements). La question des forfaits En fin d’épisode, Dominique aborde brièvement le modèle de facturation. Il conseille fortement de privilégier les forfaits par rapport à la facturation à l’acte. Pourquoi ? Parce qu’un employé qui sait que chaque appel au support coûte de l’argent à l’entreprise va hésiter à signaler ses problèmes. Cette retenue peut nuire à la sécurité et à la productivité. Un forfait encourage au contraire la transparence et l’utilisation normale du support, sans que chaque incident devienne une source de stress financier. Ce volet monétaire — les coûts, les modèles tarifaires, les pièges à éviter — fera l’objet d’un épisode entièrement dédié. En conclusion Cet épisode pose les bases d’une réflexion structurée sur le recours aux MSP pour les PME. Le message central est clair : externaliser son TI n’est pas un signe de faiblesse, c’est une décision stratégique qui permet de mieux se concentrer sur sa mission d’entreprise. Que ce soit parce qu’on ne sait pas, qu’on ne peut pas ou qu’on ne veut pas gérer cette dimension, le MSP représente une solution mature, flexible et accessible — à condition de bien choisir son partenaire et de formaliser la relation contractuellement. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x708! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA AI threat modeling must include supply chains, agents, and human risk OpenClaw instances open to the internet present ripe targets Microsoft boffins show LLM safety can be trained away Augustus - Open-source LLM Vulnerability Scanner With 210+ Attacks Across 28 LLM Providers AI-Generated Text and the Detection Arms Race AI agents can spill secrets via malicious link previews Claude add-on turns Google Calendar into malware courier The First Signs of Burnout Are Coming From the People Who Embrace AI the Most Claude and OpenAI fight over ads while Google monetizes Prompt Injection Via Road Signs NanoClaw solves one of OpenClaw’s biggest security issues — and it’s already powering the creator’s biz Microsoft: Poison AI buttons and links may betray your trust Anthropic safety researcher quits, warning ‘world is in peril’ Cyber Model Arena AI bot seemingly shames developer for rejected pull request AI Weaponization: State Hackers Using Google Gemini for Espionage and Malware Generation Misconfigured AI could shut down a G20 nation, says Gartner AI Agents ‘Swarm,’ Security Complexity Follows Suit OpenAI has deleted the word ‘safely’ from its mission – and its new structure is a test for whether AI serves society or shareholders Pentagon used Anthropic’s Claude during Maduro raid How AI could eat itself: Using LLMs to distill rivals Your Friends Might Be Sharing Your Number With ChatGPT Souveraineté ou tout ce que je peux faire sur mon terrain Carmakers Rush To Remove Chinese Code Under New US Rules White House to meet with GOP lawmakers on FISA Section 702 renewal Google Warns EU Risks Undermining Own Competitiveness With Tech Sovereignty Push Privacy ou tout ce qui devrait rester à la maison Re-Identification vs Anonymization Strength Ring cancels its partnership with Flock Safety after surveillance backlash Meta Plans To Let Smart Glasses Identify People Through AI-Powered Facial Recognition Red ou tout ce qui est brisé After Six Years, Two Pentesters Arrested in Iowa Receive $600,000 Settlement Notepad’s new Markdown powers served with a side of RCE Spying Chrome Extensions: 287 Extensions spying on 37M users Apple patches decade-old iOS zero-day exploited in the wild Exclusive: Palo Alto chose not to tie China to hacking campaign for fear of retaliation from Beijing, sources say Microsoft: New Windows LNK spoofing issues aren’t vulnerabilities Microsoft Under Pressure to Bolster Defenses for BYOVD Attacks Blue ou tout ce qui améliore notre posture Microsoft announces new mobile-style Windows security controls Patch Tuesday, February 2026 Edition The EU moves to kill infinite scrolling Meta, TikTok and others agree to teen safety ratings European nations gear up to ban social media for children Divers et insolites Nobody knows how the whole system works Counting the waves of tech industry BS from blockchain to AI Apple and Google agree to change app stores after ‘effective duopoly’ claim Hacktivism today: What three years of research reveal about its transformation Europe must adapt to ‘permanent’ cyber and hybrid threats, Sweden warns US needs to impose ‘real costs’ on bad actors, State Department cyber official says Stop Using Face ID Right Now. Here’s Why Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x707! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode de podcast, Casimir Le Grand, fondateur de FairPoint Assurance, un cabinet spécialisé en assurance pour entreprises technologiques, présente les fondamentaux de la cyberassurance et son importance cruciale pour les PME. La discussion met en lumière les aspects souvent méconnus de cette protection devenue essentielle à l’ère numérique. La nature spécifique de la cyberassurance La cyberassurance se divise en deux volets principaux : la responsabilité civile et les dommages directs. Le volet responsabilité couvre les poursuites découlant de fautes cybernétiques commises par l’entreprise, mais représente une portion moins importante des pertes. L’accent de la discussion porte sur les dommages directs, qui constituent les coûts réels de remise en état suite à un incident cybernétique. Un élément fondamental à comprendre est que la cyberassurance est une police monoligne distincte. Elle n’est pas couverte par les polices d’assurance générale combinée commerciale. Bien que certaines polices générales offrent de petites extensions de garantie de 25 000 $ à 100 000 $, ces montants sont largement insuffisants et les couvertures souvent inadéquates. Casimir insiste sur le fait qu’avoir ces petites extensions équivaut pratiquement à n’avoir aucune assurance. Les entreprises doivent donc se procurer une police spécifique pour être réellement protégées contre les risques cybernétiques. Les coûts de réponse à l’incident À chaque incident cybernétique, peu importe sa nature, les coûts de réponse sont systématiquement déclenchés. Ces coûts incluent tous les professionnels qui interviendront pour aider l’entreprise à se remettre en état. Cela comprend les experts en gestion de crise, les spécialistes en investigation forensique qui détermineront le point d’entrée des hackers et les données compromises, ainsi que d’autres professionnels spécialisés. La valeur de l’assurance se manifeste particulièrement ici, car la plupart des PME ne disposent pas d’équipes internes capables de répondre adéquatement à un incident. L’assureur coordonne l’intervention des professionnels et assume les coûts, qui peuvent varier considérablement selon l’urgence. Une intervention d’urgence un samedi matin coûtera significativement plus cher qu’une intervention planifiée le lundi après-midi. Les obligations juridiques et le rôle du breach coach Les avocats spécialisés en protection des renseignements personnels, appelés « breach coaches », jouent un rôle crucial dans la gestion d’un incident. Avec l’entrée en vigueur de la loi 25 au Québec, les entreprises ont des obligations juridiques précises lorsque des informations sont volées ou accédées illégalement. Les breach coaches aident à déterminer ces obligations, notamment : L’obligation d’avertir les personnes concernées Les exigences de notification aux autorités Les obligations contractuelles envers les tiers dont les informations confidentielles ont été compromises Une gestion appropriée de l’incident, guidée par ces professionnels, protège l’entreprise contre d’éventuelles poursuites. À l’inverse, la négligence peut être catastrophique. Certaines entreprises qui ont choisi de ne pas notifier les victimes ou de ne pas offrir de surveillance de crédit se sont exposées à des poursuites qui les ont forcées à fermer leurs portes. L’assureur, qui ne veut pas payer pour ces poursuites, s’assure donc que le breach coach intervienne pour minimiser les risques juridiques. La perte d’exploitation : un coût majeur Au-delà des coûts directs de réponse, les pertes d’exploitation constituent souvent le volet le plus coûteux d’un incident cybernétique. Casimir utilise l’exemple parlant d’une entreprise dont tous les ordinateurs deviennent noirs suite à une attaque de rançongiciel. Les employés ne peuvent plus travailler, les commerces de détail ne peuvent plus scanner les codes-barres, l’accès aux inventaires est bloqué. Pour une entreprise de commerce de détail vendant des produits non uniques, les clients se tourneront rapidement vers la concurrence, entraînant des ventes perdues irrémédiablement. La couverture de perte d’exploitation devient alors vitale. Pourtant, Casimir constate avec préoccupation que cette couverture est souvent sous-limitée. Il voit régulièrement des entreprises qui achètent une limite globale de 5 millions de dollars, mais dont la perte d’exploitation est limitée à seulement 500 000 $ ou 1 million de dollars. L’importance des limites de couverture adéquates Certains assureurs, comme Chubb et Coalition, offrent une limite séparée pour les coûts de réponse aux incidents. Cette structure est avantageuse : si la réponse à l’incident coûte 800 000 $, l’entreprise conserve l’intégralité de sa limite d’un million de dollars pour couvrir la perte d’exploitation et le paiement d’une éventuelle rançon. Cette structure évite que l’entreprise soit forcée de « tourner les coins ronds » sur la réponse à l’incident pour préserver des fonds pour d’autres besoins. Négliger une réponse complète à l’incident est dangereux. Les entreprises qui ne corrigent pas adéquatement les problèmes fondamentaux subissent souvent un deuxième incident dans les six mois suivants, ce qui devient généralement le coup fatal. Les fraudes non sophistiquées : une menace réelle Un aspect moins discuté mais très fréquent concerne les fraudes de transfert de fonds par ingénierie sociale. Contrairement aux attaques sophistiquées nécessitant une expertise technique pour contourner les systèmes de sécurité, ces fraudes de type « grab and go » sont relativement simples à orchestrer. Le scénario typique commence par une compromission de boîte de courriel d’entreprise (Business Email Compromise). Les hackers accèdent à des boîtes courriel mal sécurisées, installent des filtres pour rediriger certains courriels légitimes et surveillent silencieusement les communications. Lorsqu’une transaction importante se profile, ils envoient de fausses instructions de paiement, souvent en prétendant qu’un changement de coordonnées bancaires a eu lieu. Ces fraudes peuvent facilement atteindre des centaines de milliers de dollars. Casimir mentionne le cas remarquable d’une récupération de 9,5 millions de dollars orchestrée par Coalition, grâce à leur équipe spécialisée qui intervient rapidement pour tenter de récupérer les fonds transférés frauduleusement. Sans cette intervention professionnelle rapide, cet argent aurait été définitivement perdu. Conclusion La cyberassurance n’est plus un luxe, mais une nécessité pour toute entreprise moderne utilisant des équipements technologiques. Les coûts d’un incident cybernétique dépassent largement les capacités financières de la plupart des PME. Une couverture adéquate, avec des limites appropriées et l’accès à des professionnels spécialisés, peut faire la différence entre la survie et la fermeture d’une entreprise. L’essentiel est de ne pas sous-estimer les risques et de ne pas se contenter de couvertures inadéquates qui donnent une fausse impression de sécurité. Collaborateurs Nicolas-Loïc Fortin Casimir Le Grand Crédits Montage par Intrasecure inc Locaux réels par Bagel Maguire Café

Parce que… c’est l’épisode 0x706! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Dans cet épisode spécial du podcast, Nicolas reçoit Christophe d’Arlhac pour explorer le monde complexe des enquêtes en cybersécurité. La discussion révèle que l’investigation cyber est avant tout une affaire de méthodologie et non simplement de technologie, avec des parallèles frappants avec les enquêtes dans le monde physique. Un malentendu fondamental Christophe souligne d’emblée un malentendu courant : beaucoup pensent que l’investigation cyber est uniquement réservée à des spécialistes ultra-techniques. En réalité, la cyber-investigation s’inscrit dans une tradition très ancienne d’enquête. Comme dans un accident industriel ou une enquête judiciaire, on n’efface pas les traces avant d’avoir observé et compris. Pourtant, en cybersécurité, les ingénieurs ont longtemps fait l’inverse, privilégiant la remise en production rapide au détriment de la compréhension de l’incident. L’opposition entre deux métiers complémentaires L’un des points centraux du podcast est la différence fondamentale entre le rôle de l’enquêteur et celui de l’ingénieur. L’ingénieur est formé pour faire fonctionner, créer et maintenir des systèmes. Son objectif est de rétablir le service rapidement et de sécuriser les infrastructures. L’enquêteur, lui, adopte une approche diamétralement opposée : il demande d’arrêter, d’observer et de comprendre avant d’agir. Il se pose des questions sur le contexte, la veille dans le secteur, les changements récents dans l’organisation, les nouveaux arrivants ou les nouvelles technologies déployées. Cette opposition crée naturellement des tensions lors de la gestion d’incidents. L’ingénieur veut rebrancher immédiatement le système compromis, tandis que l’enquêteur insiste pour préserver les preuves et observer l’attaquant. Comme le souligne Nicolas, il existe une tension particulière en cyber : la nécessité parfois d’observer l’attaquant dans son “état naturel” pour comprendre ses motivations et ses méthodes, une approche contre-intuitive pour les équipes techniques. La règle d’or : ne jamais effacer les preuves Les deux experts partagent une conviction forte : il ne faut jamais écouter quelqu’un qui dit d’effacer les preuves rapidement sous prétexte qu’il n’y aura pas d’enquête. L’expérience montre qu’il y a toujours quelqu’un – une autorité, un client, un partenaire – qui finira par poser des questions, parfois des années plus tard. Les contre-enquêtes peuvent survenir des décennies après les faits, et sans preuves conservées, toute investigation devient impossible. Le réflexe classique lors d’un incident – redémarrer, réinitialiser, restaurer des sauvegardes – est une catastrophe du point de vue de l’enquête. Cette approche efface la chronologie, détruit les journaux et les connexions, rendant impossible la compréhension du “comment” et du “par où” de l’attaque. L’ordre méthodologique universel Christophe insiste sur un principe fondamental : bien gérer un incident, ce n’est pas aller vite, c’est agir au bon moment. L’ordre méthodologique est universel : observer, comprendre, décider, puis agir. Inverser cet ordre pose systématiquement des problèmes. Cette approche peut se faire rapidement, mais elle doit respecter cette séquence logique. Dans l’idéal, l’ingénieur sécurise les périmètres pour éviter que la situation ne s’aggrave, pendant que l’enquêteur fige les preuves et observe. L’utilisation de “pots de miel” pour isoler et observer l’attaquant est mentionnée comme une technique avancée, bien que peu d’organisations aient la capacité de la mettre en œuvre. Les répercussions multidimensionnelles Une enquête cyber mal conduite n’est pas seulement un problème informatique. C’est aussi un problème juridique, d’assurance, de gouvernance, de crédibilité et d’image. Sans preuves conservées, impossible d’expliquer aux autorités, aux assureurs ou aux partenaires ce qui s’est passé. Ces réunions post-incident se passent rarement bien quand les preuves ont été effacées. La préparation : clé du succès La préparation d’une organisation à l’investigation cyber doit commencer bien avant l’incident. Cela implique plusieurs dimensions : Le choix des outils et des procédures : Les enquêteurs doivent être consultés dès la sélection des outils de sécurité, car ces outils fourniront les éléments d’investigation. Leurs besoins peuvent différer de ceux des ingénieurs. La veille juridique : Chaque pays et chaque secteur ont des réglementations différentes concernant la conservation des données, les délais, et les types d’informations à préserver. Les infrastructures critiques ont des obligations particulières. La conservation des preuves numériques : Le fameux “hash” ou empreinte numérique permet de garantir l’intégrité des preuves et de s’assurer qu’elles n’ont pas été modifiées. Cette capture doit être faite avant toute autre opération. La documentation exhaustive : Le degré de documentation requis en enquête est beaucoup plus élevé qu’en opération. Il faut documenter les versions des logiciels utilisés, la méthodologie employée, chaque étape de l’investigation. Cette rigueur est essentielle pour que les contre-expertises, parfois des années plus tard, puissent être menées correctement. L’entraînement : le parent pauvre Un constat frappant émerge de la discussion : en cyber, contrairement aux corps organisés (police, pompiers, militaires), on répond constamment aux incidents mais on s’entraîne peu. Les corps d’intervention traditionnels passent 95% de leur temps à s’entraîner et sont rarement sollicités. En cyber, c’est l’inverse. Ce manque d’entraînement crée un désavantage majeur lors de la survenue d’un incident réel. L’entraînement régulier à travers des exercices de crise est essentiel, non seulement pour les équipes techniques mais aussi pour les dirigeants. Ceux-ci doivent comprendre pourquoi les informations ne sont pas disponibles immédiatement et apprendre à gérer leur impatience naturelle. La nécessité d’un travail d’équipe L’investigation cyber exige de créer des binômes qui apprennent à travailler ensemble, où chacun comprend le langage de l’autre. Christophe compare cela à un orchestre où chaque musicien a sa partition. L’enquêteur et l’ingénieur doivent jouer en concert, avec la coordination d’un chef d’orchestre (le management). Quand on ajoute les avocats, les équipes de communication et les managers, la complexité augmente encore. Aligner tout le monde et s’assurer qu’on avance dans la bonne direction devient un défi majeur. La cybersécurité n’est plus l’affaire de spécialistes isolés mais concerne désormais toute l’organisation, des dirigeants aux citoyens. Conclusion : un changement de paradigme Comme le conclut Christophe, la cybersécurité change de nature. Après des années centrées sur la technologie, l’heure est venue de se concentrer sur la méthode, la culture et la capacité à prendre de bonnes décisions. L’investigation aura un rôle central à jouer dans cette transformation, à condition que les organisations investissent dans la préparation, l’entraînement et la collaboration entre les différents métiers impliqués. Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x705! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Dumpster fire called OpenClaw OpenClaw (a.k.a. Moltbot) is everywhere all at once, and a disaster waiting to happen ‘Moltbook’ social media site for AI agents had big security hole, cyber firm Wiz says MoltBot Skills exploited to distribute 400+ malware packages in days DIY AI bot farm OpenClaw is a security ‘dumpster fire’ Detecting and Monitoring OpenClaw (clawdbot, moltbot) Clouds rush to deliver OpenClaw-as-a-service offerings A sane but extremely bull case on Clawdbot / OpenClaw OpenClaw: When AI Agents Get Full System Access – Revolution or Security Nightmare? It’s easy to backdoor OpenClaw, and its skills leak API keys Using microvm.nix to sandbox Openclaw OpenClaw Partners with VirusTotal to Secure AI Agent Skill Marketplace 17% of 3rd-Party Add-Ons for OpenClaw Used in Crypto Theft and macOS Malware Grok French prosecutors raid X offices, summon Musk over Grok deepfakes Kevin Beaumont: “The UK’s Information Commissio…” - Cyberplace Kevin Beaumont: “Reuters reports Grok is still …” - Cyberplace Kevin Beaumont: “Elon Musk Under Investigation …” - Cyberplace Spain, Greece weigh teen social media bans, drawing fury from Elon Musk Vos agents IA sécurisés en -10 sec. sur Mac You won: Microsoft is walking back Windows 11’s AI overload C’est prouvé : Le vibe coding va tuer l’open source Anthropic keeps Claude ad-free AWS intruder pulled off AI-assisted cloud break-in in 8 mins n8n’s latest critical flaws bypass December fix Microsoft sets Copilot agents loose on your OneDrive files How Industrial Robot Safety Was Written In Blood Anthropic’s Claude Opus 4.6 uncovers 500 zero-day flaws in open-source code GitHub - Deso-PK/make-trust-irrelevant: Make trust irrelevant for agentic AI using kernel-enforced authority boundaries. Malicious VS Code AI Extensions Harvesting Code from 1.5M Devs Red Notepad++ Notepad++ Hack Detailed Along With the IoCs and Custom Malware Used Notepad++ Users, You May Have Been Hacked by China Energy infrastructure cyberattacks are suddenly in fashion EDR killer tool uses signed kernel driver from forensic software Microsoft releases urgent Office patch. Russian-state hackers pounce. Attackers Using DNS TXT Records in ClickFix Script to Execute Powershell Commands nmapUnleashed Makes Nmap Scanning More Comfortable and Effective Google Looker Bugs Allow Cross-Tenant RCE, Data Exfil Blue When Cloud Outages Ripple Across the Internet Microsoft rolls out native Sysmon monitoring in Windows 11 Ukraine tightens controls on Starlink terminals to counter Russian drones Satya Nadella decides Microsoft needs a quality czar EDR, Email, and SASE Miss This Entire Class of Browser Attacks Privacy GDPR is a failure California city turns off Flock cameras after company shared data without authorization Vos données sont déjà en vente… et vous ne vous en rendez même pas compte Lockdown Mode - La fonction d’Apple qui a mis le FBI en échec We had sex in a Chinese hotel, then found we had been broadcast to thousands Souveraineté Europe shrugs off tariffs, plots to end tech reliance on US Russian spy satellites have intercepted EU communications satellites Munich makes digital sovereignty measurable with its own score Commission trials European open source communications software Divers et insolites Bitcoin Why This Computer Scientist Says All Cryptocurrency Should “Die in a Fire” Bitcoin gets a zero price target in wake of Burry warning (BTC-USD:Cryptocurrency) Bitcoin de la “marde” ou de l’or en barre !! :) (Franck Desert) Flock CEO calls Deflock a “terrorist organization” Germany warns of Signal account hijacking targeting senior figures BrianKrebs: “Must-read: How ‘Pink Slime’ Pu…” - Infosec Exchange We moved fast and broke things. It’s time for a change. Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x704! Shameless plug – 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : Entre enthousiasme et vigilance Dans cet épisode, les animateurs explorent l’utilisation concrète de l’intelligence artificielle dans leurs environnements professionnels respectifs. Enregistré dans un contexte festif entre Noël et le jour de l’An, ce podcast vise à démystifier l’IA en partageant des expériences réelles, sanctionnées par leurs employeurs, plutôt que de perpétuer des mythes ou des craintes infondées. L’IA comme outil, pas comme substitut L’analogie centrale du podcast compare l’IA à une caméra de recul automobile : un outil utile qui améliore nos capacités, mais qui peut nous rendre « niaiseux » si on s’y fie aveuglément. Vincent insiste sur l’importance de tester l’outil, comme on teste une voiture en hiver dans un stationnement pour comprendre ses réactions et ses limites. Cette approche expérimentale est essentielle pour développer un usage responsable. Depuis le lancement de ChatGPT en novembre 2022, l’écosystème a considérablement évolué avec l’émergence de concurrents comme Claude, Copilot, Gemini et Mistral. Les deux animateurs utilisent principalement Copilot et Gemini dans des environnements contrôlés par leurs employeurs, avec des autorisations spécifiques pour certains types de données – un point crucial pour la sécurité. La méthodologie gagnante : partir d’un draft solide L’approche recommandée par les deux experts est claire : ne jamais partir de zéro. Vincent décrit son processus de travail pour la production de rapports, d’analyses de risque ou d’avis : il rédige toujours un premier draft lui-même avant de le soumettre à Copilot. Il définit ensuite des critères précis : l’audience (exécutive ou opérationnelle), l’objectif de la présentation, et le format souhaité. Cette méthode respecte la règle du 80/20 : on maîtrise 100 % du sujet, ce qui permet de détecter facilement les 20 % d’ajustements nécessaires dans le résultat proposé par l’IA. Vincent souligne que sa force réside dans les idées et le message, tandis que l’IA l’aide sur la présentation et la structure – un domaine qu’il reconnaît comme moins naturel pour lui. Nicolas partage cette philosophie : l’IA lui permet de gagner du temps en structurant ses idées plus efficacement, économisant les deuxième et troisième réécritures qu’il effectuait auparavant. Un rapport qui prenait une semaine peut maintenant être complété en 2,5 à 3 jours, mais cela représente toujours un travail humain substantiel. L’IA n’est pas votre ami : une relation professionnelle Un point crucial soulevé par Nicolas : il ne converse pas avec l’IA, il lui donne des directives. Cette approche professionnelle évite le piège de vouloir « plaire » à l’agent conversationnel. Vincent reconnaît ce risque : l’IA peut effectivement chercher à faire plaisir à l’utilisateur, reproduisant parfois exactement ce qu’on lui a soumis avec des changements cosmétiques. La métaphore employée évolue de « wingman » à « copilote », voire à « un enfant de 5 ans qui écrit bien » selon Nicolas. Cette désacralisation est importante : l’IA est un outil, pas un collègue, pas un ami, et certainement pas un expert autonome. Les pièges à éviter : hallucinations et références fictives Les animateurs mettent en garde contre plusieurs dangers majeurs : Les hallucinations : L’IA peut inventer des informations, notamment des références juridiques inexistantes. Plusieurs cas d’avocats américains ont fait les manchettes pour avoir cité des jurisprudences fictives. Au Québec et au Canada, où les données sont plus périphériques dans l’entraînement des modèles, ce risque est encore plus élevé. Les références erronées : L’IA propose souvent des sources qu’il faut impérativement vérifier. Vincent raconte avoir reçu des références provenant d’autres pays (Luxembourg, Japon, Chine) totalement inadéquates pour le contexte québécois et canadien. Les lois et règlements variant d’un pays à l’autre, une validation systématique est essentielle. Les biais discriminatoires : Vincent rappelle le cas d’Amazon en 2017-2018, où un système d’IA de tri de CV excluait systématiquement les femmes. Ces biais, parfois subtils, peuvent s’infiltrer dans les textes générés et nécessitent une vigilance constante, d’autant plus que l’AMF (Autorité des marchés financiers) s’intéresse de près à ces questions. Cas d’usage concret : l’importance du contexte Vincent partage un exemple éloquent : pour produire un avis de risque dans un délai serré, il a fourni à l’IA des documents de référence spécifiques (code Maestro, COBIT 4.1) ainsi que le contexte précis, les critères et les limitations. Le résultat : un document à 99 % probant, très cadré, qui lui a permis de présenter rapidement des recommandations claires à son vice-président. Cette approche illustre le concept de RAG (Retrieval-Augmented Generation) : en fournissant une base de connaissance spécifique, on obtient des résultats beaucoup plus précis et pertinents. L’IA n’est pas un moteur de recherche, mais un générateur de texte qui performe mieux quand on lui donne le contexte adéquat. Votre réputation en jeu Un message fort traverse tout le podcast : c’est votre nom qui apparaît sur le document. Si vous déposez un travail médiocre généré par l’IA sans vérification, c’est votre réputation professionnelle qui en souffrira, pas celle de la machine. Les conséquences peuvent être sévères : perte de confiance de la part des gestionnaires, sanctions professionnelles, voire amendes dans le cas d’avocats. La relation de confiance avec son supérieur est fragile, particulièrement en début de carrière. Un gestionnaire qui reçoit un document s’attend à ce que son auteur en maîtrise le contenu à 100 %. L’incapacité à répondre aux questions lors de la « question du journaliste » – ce moment où un décideur challenge votre travail – peut détruire cette confiance de manière durable. Conclusion : maîtrise et vigilance L’analogie de l’automobile revient en conclusion : l’IA est un outil puissant et utile, mais qui nécessite une maîtrise adéquate avant utilisation, comme un permis de conduire. Elle peut générer des gains de productivité de 10 % ou plus, mais ne remplacera pas l’humain, du moins pas dans un avenir immédiat. Les animateurs insistent : vous restez imputable de vos décisions et de votre travail. L’IA est un allié dans votre stratégie et votre tactique, mais vous êtes le décideur final. Utilisez-la comme un accélérateur, un rehausseur de qualité, mais jamais comme un substitut à votre expertise et votre jugement professionnel. Collaborateurs Nicolas-Loïc Fortin Vincent Groleau Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x703! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast réunit Nicolas Milot, Cyndie Fletz et Dominique Derrier pour discuter d’un sujet pour les PME : la différence entre les fournisseurs de services gérés traditionnels (MSP) et les fournisseurs de services de sécurité gérés (MSSP). Cette distinction, souvent mal comprise, a des implications importantes pour la stratégie technologique et la cybersécurité des entreprises. Définitions et différences fondamentales Le MSP (Managed Service Provider) et le MSSP (Managed Security Service Provider) ne sont pas interchangeables, malgré la tentation de certains fournisseurs de vouloir tout couvrir. La différence se résume ainsi : le MSP s’occupe principalement de la disponibilité des systèmes informatiques, tandis que le MSSP se concentre sur la sécurité contre les cybermenaces. Le rôle du MSP est de s’assurer que tout fonctionne sans interruption : les pages web s’affichent, les commandes sont traitées, les bons de commande s’impriment et les clients reçoivent des réponses. C’est une question d’opérations quotidiennes et de continuité des affaires. Le MSSP, quant à lui, se préoccupe de l’intégrité et de la confidentialité des données. Il surveille et protège contre les acteurs malveillants et les cyberattaques. Au Québec, pratiquement toutes les entreprises offrant des services de cybersécurité sont des MSSP, même si elles ne l’affichent pas toujours explicitement dans leur nom. Approches opérationnelles distinctes Une différence majeure réside dans la nature du travail. Le MSP a “les mains dans la technologie” : il intervient directement sur les systèmes, gère les serveurs, connaît les processus de redémarrage et l’ordre dans lequel les services doivent être relancés. Il sait si la base de données doit redémarrer avant le service web, ou si l’ERP doit être prioritaire sur les robots. Le MSSP, en revanche, travaille davantage dans l’analyse que dans l’intervention directe. Il collecte des informations via des technologies comme les EDR (Endpoint Detection and Response) et les SIEM (Security Information and Event Management). Ces outils de défense requièrent une spécialisation particulière pour être exploités à leur pleine valeur. Avoir la capacité technique de déployer ces outils ne signifie pas nécessairement pouvoir en extraire toute la valeur pour le client. Comme l’explique l’équipe, “rouler un outil et l’analyser sont deux choses vraiment différentes”. Un MSP peut savoir utiliser un outil de sécurité, mais sera-t-il capable d’en tirer la valeur analytique maximale? Ce sont des questions essentielles à poser lors du choix d’un fournisseur. L’importance de choisir le bon partenaire Les MSP et MSSP deviennent des partenaires à long terme, voire des extensions de l’équipe TI interne. Il est crucial de ne pas “mélanger les genres”. Demander à un MSSP de gérer le patching ou les opérations quotidiennes, c’est comme “enfoncer une vis avec un marteau ou un clou avec un tournevis” : ce n’est pas le bon outil pour le travail. Inversement, si vous payez un MSSP pour faire du travail de MSP, vous risquez soit de payer trop cher, soit de recevoir un service inadéquat. Les contrats étant généralement conclus sur le long terme, choisir le mauvais type de service peut sérieusement nuire aux objectifs de l’entreprise. La coexistence MSP-MSSP : défis et collaboration Un aspect délicat est la coexistence de ces deux types de fournisseurs. Le MSP se concentre sur le “run” quotidien, tandis que le MSSP doit collaborer avec celui qui opère ce “run”, particulièrement en cas d’incident de sécurité. Cette dynamique peut créer des tensions. La mission du MSP est que tout fonctionne et roule sans interruption, tandis que la mission du MSSP est que tout soit sécuritaire, ce qui peut impliquer des processus plus longs. En cas d’incident de sécurité majeur, ce conflit devient aigu : le client veut remettre sa chaîne de production en marche rapidement, mais le MSSP insiste pour mener une enquête forensique et récupérer des informations critiques. Il peut même y avoir un conflit d’intérêts si la même entreprise offre ces deux volets. C’est au client d’arbitrer entre ces positions, avec toutes les informations fournies par ses partenaires. Le client reste “accountable” devant son propre client et doit pouvoir faire des choix éclairés en fonction de ses priorités d’affaires et de ses obligations légales. L’ordre logique pour les PME Un conseil crucial pour les PME : ne prenez pas de MSSP si vous n’avez pas d’abord une gestion solide de votre IT. Il faut d’abord établir une hygiène de base avant d’investir dans la sécurité avancée. Si un fournisseur de sécurité découvre que vous n’avez même pas d’EDR déployé, vous paierez pour qu’il fasse votre travail TI de base en plus de la sécurité. Cela rendra la sécurité prohibitivement chère et risque de vous “dégoûter” du domaine. Comme le souligne l’équipe, avec 97,1% des entreprises québécoises comptant moins de 100 employés, beaucoup n’ont même pas d’équipe TI interne. Les équipes de sécurité dédiées sont encore plus rares. Ces entreprises devront inévitablement se tourner vers des MSSP à un moment donné, mais seulement après avoir établi des bases solides avec un MSP. Le facteur cyberassurance Les cyberassurances ajoutent une couche de complexité. Elles exigent généralement la présence d’un SOC (Security Operations Center), donc d’un MSSP. Mais elles requièrent aussi que des mesures de base soient en place : l’authentification multifacteur (MFA), la gestion des comptes, le DKIM, etc. Ces éléments, qui relèvent du MSP, doivent être implémentés avant même de pouvoir contracter sérieusement une cyberassurance. Conclusion Le message final est clair : cherchez un partenaire, pas un simple fournisseur. Soyez curieux, posez des questions, mais ne cherchez pas à “coincer” vos fournisseurs avec des questions pièges. La relation doit être collaborative. Et rappelez-vous : ni le MSP ni le MSSP n’est responsable de votre maturité technologique ou sécuritaire. Ils vous aident dans la mesure où vous le voulez, moyennant des frais supplémentaires pour augmenter cette maturité. Enfin, un dernier conseil important : les audits ne doivent jamais être réalisés par votre MSP, car il ne peut pas se vérifier lui-même. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x702! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA The leaky one Exposed Moltbook Database Let Anyone Take Control of Any AI Agent on the Site Massive AI Chat App Leaked Millions of Users Private Conversations An AI Toy Exposed 50,000 Logs of Its Chats With Kids to Anyone With a Gmail Account Trump’s acting cyber chief uploaded sensitive files into a public version of ChatGPT The uncontrolled one Viral Moltbot AI assistant raises concerns over data security OpenClaw AI Runs Wild in Business Environments Claude Code ignores ignore rules meant to block secrets Unaccounted-for AI agents are being handed wide access Vibe-Coded ‘Sicarii’ Ransomware Can’t Be Decrypted AISLE Discovered 12 out of 12 OpenSSL Vulnerabilities Kevin Beaumont: “Amazon have reported “hundreds…” - Cyberplace Second Round of Critical RCE Bugs in n8n Spikes Corporate Risk Souveraineté Iran is building a two-tier internet that locks 85 million citizens out of the global web - Rest of World France says au revoir to US videoconferencing software Nations must spend 1% of GDP on AI infrastructure – Gartner Privacy Supreme Court to hear Facebook pixel tracking case UK House of Lords Votes to Extend Age Verification to VPNs The Constitutionality of Geofence Warrants Kash Patel says the FBI is investigating Signal chats of Minnesotans tracking ICE Speak in code, delete the chats: The tactics Venezuelans are using out of fear of phone checks Data Protection Day: 5 misconceptions about data protection, debunked France fines unemployment agency €5 million over data breach New Apple feature will block cell networks from capturing precise location data Blue 1Password adds pop-up warnings for suspected phishing sites Google Announces Android Theft Protection Feature to Make Your Device Harder Target for Hackers Microsoft to disable NTLM by default in future Windows releases Red Microsoft 365 Outlook Add-ins Weaponized to Exfiltrate Sensitive Email Data Without Leaving Traces Meet IClickFix: a widespread framework using the ClickFix tactic Legalize et Politics Grok EU launches formal investigation into X and Grok over sexual images For These Women, Grok’s Sexualized Images Are Personal Trump Administration Rescinds Biden-Era Software Guidance Is America’s Cyber Weakness Self-Inflicted? Finland looks to end “uncontrolled human experiment” with Australia-style ban on social media France passes bill to ban social media use by under-15s Divers Kevin Beaumont: “if you want to buy yourself a …” - Cyberplace DOJ releases details alleged talented hacker working for Jeffrey Epstein Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc