PolySécure Podcast

Parce que… c’est l’épisode 0x644! Préambule Ce n’est pas CMMI… mais CMMC!?! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x643! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CFP Notes Vidéos DEF CON 33 Videos NothSec 2025 SéQCure 2025 IA Google DeepMind minds the patch with AI flaw-fixing scheme SAIF Map v2 Agentic Google won’t fix new ASCII smuggling attack in Gemini Google declares AI bug hunting season open, sets a $30K max reward Severe Framelink Figma MCP Vulnerability Lets Hackers Execute Code Remotely Deepfake Awareness High at Orgs, But Cyber Defenses Badly Lag Rethinking AI Data Security: A Buyer’s Guide for CISOs Employees regularly paste company secrets into ChatGPT 1Password Addresses Critical AI Browser Agent Security Gap Offensif Supply Chain Attacks Are Spreading: NPM, PyPI, and Docker Hub All Hit in 2025 Nearly a third of bosses report increase in cyber-attacks on their supply chains Security leaders at Okta and Zscaler share lessons from Salesloft Drift attacks Hackers Exploit Zimbra Vulnerability as 0-Day with Weaponized iCalendar Files How Windows Command-line Utility PsExec Can Be Abused To Execute Malicious Code Thieves steal IDs and payment info after data leaks from Discord support vendor Scattered Lapsus$ Hunters offering $10 in Bitcoin to ‘endlessly harass’ execs Redis warns of critical flaw impacting thousands of instances Oracle zero-day defect amplifies panic over Clop’s data theft attack spree Hackers Attacking Remote Desktop Protocol Services from 100,000+ IP Addresses North Korean hackers stole over $2 billion in crypto this year Russia is at ‘hybrid war’ with Europe, warns EU chief, calling for members ‘to take it very seriously’ Poland says cyberattacks on critical infrastructure rising, blames Russia 3 more infamous cybercrime crews team up to ‘maximize income’ in ‘challenging’ ransomware biz Threat actors steal firewall configs, impacting all Sonicwall cloud backup users Hackers now use Velociraptor DFIR tool in ransomware attacks Polymorphic Python Malware Legalize L’Allemagne dit non à Chat Control - Une victoire pour la vie privée en Europe ! Internet Archive Ordered to Block Books in Belgium After Talks With Publishers Fail Défensif 5 Immediate Steps to be Followed After Clicking on a Malicious Link Wazuh and MISP integration Researchers Reversed Asgard Malware Protector to Uncover it’s Antivirus Bypass Techniques ClamAV 1.5.0 Released with New MS Office and PDF Verification Features Apple now offers $2 million for zero-click RCE vulnerabilities Insolite Un incendie et pas de backup - La Corée du Sud perd 858 To de données gouvernementales Apple turned the CrowdStrike BSOD issue into an anti-PC ad Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x642! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode du podcast Sécurité technique, l’animateur reçoit Charles F. Hamilton pour discuter des tendances en cybersécurité à surveiller pour la fin de l’année 2025. La discussion s’amorce sur une réalité préoccupante : l’automne marque une période de forte activité tant pour les équipes légitimes que pour les cybercriminels, avec une hausse notable des incidents de sécurité nécessitant des réponses d’urgence. La complexité d’Azure : un terrain propice aux vulnérabilités Un des points majeurs abordés concerne la plateforme Azure de Microsoft. Une vulnérabilité récemment publiée permet de prendre le rôle Global Admin sur tous les tenants Azure, illustrant parfaitement les dangers liés à la complexité excessive de cet écosystème. Cette faille, découverte par manipulation de jetons de service, rappelle les problèmes similaires rencontrés avec Active Directory Certificate Services il y a quelques années. La complexité d’Azure réside dans ses multiples méthodes d’authentification, ses contextes variés et ses centaines d’applications déployées par défaut dans chaque tenant. Les organisations ajoutent souvent leurs propres applications avec des permissions mal configurées, créant involontairement des chemins d’accès privilégiés. Le problème s’aggrave car il n’existe pas d’outils officiels de Microsoft pour auditer ces configurations, forçant les équipes de sécurité à se fier à des scripts PowerShell disparates ou à des outils développés par la communauté. Le faux sentiment de sécurité Un exemple frappant illustre le décalage entre la perception et la réalité de la sécurité : lors d’un test red team, un client disposait d’une infrastructure de sécurité impressionnante incluant filtrage réseau, EDR, NDR et autres solutions avancées. Paradoxalement, l’outil d’accès à distance légitime a été bloqué, nécessitant trois jours pour configurer des exceptions. En revanche, le payload malveillant a passé sans problème, sans générer aucune alerte. Cette situation démontre que ces outils créent souvent plus de complexité pour les équipes IT légitimes qu’ils ne protègent réellement contre les menaces sophistiquées. Le fossé entre red team et blue team La discussion révèle un écart de compétences préoccupant entre les équipes offensives et défensives. Les red teamers investissent constamment dans l’apprentissage de nouvelles techniques, tandis que les équipes défensives ont tendance à s’appuyer aveuglément sur l’intelligence artificielle de leurs outils de sécurité. Le threat hunting, pourtant essentiel, demeure rare au Québec et au Canada, malgré la disponibilité des données nécessaires dans les solutions EDR et NDR. Un test révélateur : demander à des professionnels d’expliquer le fonctionnement de SecretDump, un outil largement utilisé. Très peu peuvent fournir une réponse complète sur ses mécanismes internes et les artefacts qu’il laisse. Cette lacune empêche les red teamers d’expliquer efficacement aux équipes bleues comment détecter leurs actions. La sophistication des attaquants : un mythe à déconstruire Contrairement à la perception populaire, la majorité des attaquants ne sont pas particulièrement sophistiqués. Ils suivent des playbooks répétitifs et comptent sur le volume pour réussir. Les intervenants ont observé des cas où des attaquants ont obtenu des accès privilégiés, puis ont immédiatement alerté leurs victimes par des actions bruyantes comme tenter de rendre publics tous les dépôts GitHub d’une entreprise. Paradoxalement, les red teamers modernes développent des techniques si avancées qu’ils représentent désormais un niveau de sophistication comparable aux groupes parrainés par des États-nations, un scénario irréaliste pour la plupart des petites et moyennes entreprises québécoises. Cette situation crée un décalage : on teste la capacité à détecter des attaques extrêmement sophistiquées alors que les vraies menaces utilisent des méthodes beaucoup plus basiques. Les tendances à surveiller pour l’automne 2025 Plusieurs éléments méritent une attention particulière pour la fin de l’année : Les vulnérabilités sur les équipements périmétriques : Les solutions VPN de Cisco, SonicWall et Fortinet ont toutes été touchées récemment. Les délais d’exploitation se comptent maintenant en heures après la publication d’une vulnérabilité, amplifiés par la publication immédiate de preuves de concept sur les réseaux sociaux. L’audit des tenants Azure et Google Enterprise : Les vecteurs d’attaque identifiés sur Azure s’appliquent également aux environnements Google Enterprise. Les organisations doivent absolument auditer leurs applications, leurs permissions et leurs configurations. Les employés infiltrés : Une tendance émergente concerne l’embauche de développeurs travaillant pour des pays politiquement non neutres, qui obtiennent un accès au code source dans le but apparent de voler la propriété intellectuelle. Les vulnérabilités GitHub Actions : Les fuites de clés API continuent de poser problème, avec des délais d’exploitation extrêmement rapides. Le problème de la publication des preuves de concept La course à la visibilité pousse certains chercheurs en sécurité à publier immédiatement des preuves de concept complètes, parfois dans l’heure suivant la découverte d’une vulnérabilité. Cette pratique, combinée à l’intelligence artificielle capable de générer du code fonctionnel à partir de bulletins de sécurité, met les organisations en danger avant qu’elles n’aient le temps d’appliquer les correctifs. Un retour aux pratiques de divulgation responsable avec un délai minimum de 80 jours serait bénéfique. Conclusion : l’importance de l’éducation Le podcast se termine sur l’importance cruciale de l’éducation en cybersécurité. Plutôt que de se focaliser uniquement sur l’utilisation d’outils, les professionnels doivent comprendre les fondements : comment fonctionne Windows, comment un programme s’exécute, comment créer ses propres exploits. La simplicité est souvent plus efficace que la complexité. Les solutions les plus durables reposent sur une compréhension approfondie des systèmes plutôt que sur l’accumulation d’outils sophistiqués dont personne ne maîtrise vraiment le fonctionnement. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x641! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode, trois experts en cybersécurité partagent leur expérience pour démystifier l’idée reçue selon laquelle la sécurité informatique serait financièrement hors de portée pour les petites et moyennes entreprises. Nicholas Milot, cofondateur de Yack et spécialiste des tests d’intrusion, Cyndie Feltz, également cofondatrice de Yack avec une expertise en gestion exécutive, et Dominique Derrier, RSSI chez Neotrust, apportent un éclairage pragmatique sur cette question cruciale. Le mythe du coût prohibitif L’un des principaux obstacles psychologiques pour les PME est la perception que la cybersécurité nécessite des budgets comparables à ceux des grandes entreprises comme Desjardins. Cette croyance est renforcée par l’abondance de solutions coûteuses sur le marché, souvent assorties de minimums d’utilisateurs qui peuvent rapidement faire grimper la facture à des centaines de milliers de dollars. Face à ces chiffres, de nombreuses PME concluent que la sécurité n’est tout simplement pas à leur portée et abandonnent l’idée d’investir dans ce domaine. Pourtant, cette vision est fondamentalement erronée. Comme le souligne Cyndie Feltz à travers une analogie pertinente avec la santé, la cybersécurité s’apparente davantage à une bonne hygiène de vie qu’à un traitement de luxe. Certes, on peut dépenser des sommes importantes pour des coachs sportifs personnalisés et des programmes d’entraînement sophistiqués, mais les bases d’une bonne santé reposent simplement sur une alimentation équilibrée, une paire de chaussures de course et de la régularité. La cybersécurité fonctionne selon le même principe : il s’agit d’adopter de bonnes pratiques quotidiennes plutôt que d’accumuler des solutions technologiques onéreuses. Le piège du “buffet de cybersécurité” Le marché propose environ 300 types de produits différents en matière de sécurité informatique. Face à ce buffet gargantuesque où tout semble briller et attirer l’attention, il est facile pour une PME de se sentir dépassée et de faire des choix inadaptés à ses besoins réels. Le problème ne réside pas uniquement dans le coût d’acquisition de ces solutions, mais aussi dans les ressources nécessaires pour les administrer correctement. Les experts constatent régulièrement que les PME acquièrent des outils sophistiqués qu’elles n’ont ni le temps ni les compétences d’utiliser efficacement. Une solution non configurée ou mal administrée n’apporte aucune valeur, quelle que soit sa qualité intrinsèque. De plus, les vendeurs, naturellement motivés par leurs objectifs commerciaux, peuvent convaincre les entreprises d’acheter des produits performants mais inadaptés à leur contexte spécifique. Nicolas Milot observe dans ses tests d’intrusion que les entreprises compromises disposent souvent de solutions de sécurité en place, mais que celles-ci ne sont pas correctement exploitées. Le manque de temps pour se “mettre les mains dedans” et maintenir ces outils à jour rend les investissements initiaux largement inefficaces. Les fondamentaux accessibles Avant même de considérer l’achat de nouvelles solutions, les PME peuvent mettre en place des mesures de base à faible coût. Dominique Derrier suggère de commencer simplement par des politiques internes et des mémos, même si leur efficacité reste limitée. L’important est de ne pas se cacher derrière l’excuse du coût pour ne rien faire du tout. Une approche progressive, étape par étape, permet d’avancer sans dépenses excessives. Les experts s’accordent sur quatre piliers fondamentaux que toute PME devrait prioriser : L’authentification multifacteur (MFA) : Protéger l’identification des utilisateurs avec des mots de passe robustes et le MFA représente un investissement minimal avec un impact sécuritaire maximal. Ces outils sont souvent déjà disponibles dans les licences Microsoft ou Google que les entreprises possèdent. Les mises à jour régulières : Nicolas souligne avec humour qu’il profite justement des entreprises négligentes en matière de mises à jour pour démontrer la facilité avec laquelle on peut compromettre leurs systèmes. Maintenir ses logiciels à jour ne coûte rien, mais sauve beaucoup de problèmes. Les antivirus et solutions de détection (EDR/XDR) : Même Windows Defender, bien que pas optimal, vaut mieux que rien et est souvent déjà inclus dans les licences existantes. L’essentiel est de le configurer correctement et de surveiller les alertes. Les sauvegardes (backups) : Point crucial soulevé par tous les intervenants, les backups devraient relever de l’opérationnel TI plutôt que de la sécurité. Ils doivent être correctement configurés, testés régulièrement, et surtout ne jamais être joints au domaine Active Directory, une erreur courante aux conséquences désastreuses. Les pièges à éviter Les experts mettent en garde contre plusieurs écueils. L’utilisation de l’intelligence artificielle comme argument de vente pour les PME constitue un signal d’alarme : ces entreprises n’ont pas besoin de ce type de fonctionnalités sophistiquées, même si certaines formes d’analyse comportementale existent depuis longtemps dans les outils de sécurité sous d’autres appellations. Un bon conseiller ne cherchera pas à vendre de nouvelles solutions, mais plutôt à optimiser l’existant. La configuration correcte de Microsoft ou Google, dont les paramètres par défaut laissent souvent à désirer, peut transformer radicalement la posture de sécurité sans investissement supplémentaire. Conclusion Le message est clair : mieux vaut faire peu de choses mais les faire bien, plutôt que de multiplier les outils partiellement déployés. La question fondamentale pour chaque PME devrait être : “Que se passerait-il si nous perdions toutes nos données ?” Cette réflexion sur ce qui est véritablement précieux permet d’orienter les investissements de manière pragmatique. La cybersécurité n’est pas une question de budget illimité, mais de choix judicieux et d’utilisation optimale des ressources disponibles. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x640! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et parcours professionnel Mathieu Saulnier, connu sous le pseudonyme “Scooby” dans la communauté de cybersécurité, possède une vingtaine d’années d’expérience dans le domaine. Son parcours l’a mené d’un grand fournisseur internet et de télécommunications vers la gestion d’un SOC (Security Operations Center), puis vers des rôles de recherche sur les menaces pour des vendeurs de SIEM et d’EDR. Aujourd’hui, il occupe le poste de product manager pour BloodHound Community Edition chez SpecterOps, une position qu’il a obtenue grâce à ses nombreuses présentations sur BloodHound au fil des années. BloodHound version 8 et la révolution OpenGraph La version 8 de BloodHound représente une évolution majeure de l’outil. La fonctionnalité phare est OpenGraph, qui permet d’ingérer n’importe quel type de données dans le graphe et de créer ses propres chemins d’attaque pour différentes technologies. Historiquement, BloodHound se concentrait exclusivement sur Active Directory et Azure/Entra ID, mais cette limitation appartient désormais au passé. Avec le lancement d’OpenGraph, SpecterOps a publié plusieurs nouveaux collecteurs pour diverses technologies : One Password, Snowflake, et Jamf (pour la gestion des postes de travail Mac). La communauté a réagi avec enthousiasme, puisqu’en seulement 48 heures après l’annonce, un contributeur externe a créé un collecteur pour Ansible. Plus récemment, un collecteur pour VMware vCenter et ESXi a également vu le jour, démontrant l’adoption rapide de cette nouvelle capacité. La distinction fondamentale : access path versus attack path Mathieu utilise une analogie éclairante avec Google Maps pour expliquer la différence entre un chemin d’accès et un chemin d’attaque. Google Maps montre les chemins autorisés selon différents modes de transport (voiture, vélo, transport en commun), chacun ayant ses propres règles et restrictions. C’est l’équivalent d’un graphe d’accès qui indique où on a le droit d’aller. Un chemin d’attaque, en revanche, représente la perspective d’un adversaire qui ne se préoccupe pas des règlements. L’exemple donné est celui d’une voiture roulant sur une piste cyclable à Montréal : c’est interdit, on sait qu’on risque une contravention, mais c’est techniquement possible. Dans le monde numérique, les conséquences sont souvent moins immédiates et moins visibles, ce qui explique pourquoi les attaquants exploitent régulièrement ces chemins non conventionnels. L’évolution du modèle de données BloodHound a commencé modestement avec seulement trois types d’objets (utilisateurs, groupes et ordinateurs) et trois types de relations (member of, admin et session). Depuis, le modèle s’est considérablement enrichi grâce aux recherches menées par SpecterOps et d’autres organisations. Des propriétés comme le Kerberoasting ont été ajoutées, permettant d’identifier les objets vulnérables à ce type d’attaque et d’élever ses privilèges. La vraie puissance d’OpenGraph réside dans la capacité de relier différents systèmes entre eux. Par exemple, si un attaquant compromet le poste d’un utilisateur ayant accès à un dépôt GitHub, il peut voler les tokens et sessions pour effectuer des commits au nom de cet utilisateur, potentiellement dans une bibliothèque largement utilisée, ouvrant ainsi la voie à une attaque de la chaîne d’approvisionnement (supply chain attack). Cette interconnexion multi-dimensionnelle des systèmes était difficile à visualiser mentalement, mais le graphe la rend évidente. Créer des collecteurs OpenGraph : exigences et bonnes pratiques Pour qu’un collecteur soit accepté dans la liste officielle des projets communautaires, certains standards doivent être respectés. Il faut créer le connecteur avec une documentation détaillant les permissions minimales nécessaires (principe du moindre privilège), expliquer son fonctionnement, les systèmes d’exploitation supportés, et les dépendances requises. La documentation devrait également inclure des références sur comment exploiter ou défendre contre les vulnérabilités identifiées. Bien que non obligatoires, des éléments visuels personnalisés (icônes et couleurs) sont fortement recommandés pour assurer une cohérence visuelle dans la communauté. Le projet étant open source, les utilisateurs peuvent toujours modifier ces éléments selon leurs préférences. Un aspect crucial est la fourniture de requêtes Cypher pré-construites. Sans ces requêtes, un utilisateur qui ne connaît pas Cypher pourrait importer toutes les données mais se retrouver bloqué pour les exploiter efficacement. Le langage Cypher et l’accès aux données BloodHound fonctionne sur une base de données graphique, historiquement Neo4j, mais maintenant également PostgreSQL grâce à un module de conversion. Le langage de requête utilisé est Cypher, qui possède une syntaxe particulière. Pour rendre l’outil plus accessible, SpecterOps maintient une bibliothèque Cypher contenant de nombreuses requêtes créées par l’équipe et la communauté. Ces requêtes peuvent être exécutées directement depuis le portail BloodHound. L’entreprise explore également l’utilisation de LLM (Large Language Models) pour générer des requêtes Cypher automatiquement, bien que le corpus public de données spécifiques à BloodHound soit encore limité. Les pistes futures incluent l’utilisation de MCP (Model Context Protocol) et d’approches agentiques pour améliorer la génération de requêtes. Usage défensif et offensif : deux faces d’une même médaille Mathieu souligne que les mêmes requêtes Cypher peuvent servir tant aux équipes bleues (défensives) qu’aux équipes rouges (offensives). La différence réside dans l’intention et l’utilisation des résultats, pas dans les outils eux-mêmes. C’est l’équivalent du marteau qui peut construire ou détruire selon l’utilisateur. Pour l’usage défensif, BloodHound Enterprise offre des fonctionnalités avancées comme le scan quasi-continu, l’identification automatique des points de contrôle critiques (choke points), et des outils de remédiation. Même la version communautaire gratuite permet de découvrir des vulnérabilités majeures lors de la première exécution. Exemples concrets et cas d’usage Mathieu partage des exemples frappants de découvertes faites avec BloodHound. Dans une entreprise de plus de 60 000 employés, il a identifié un serveur où tous les utilisateurs du domaine (domain users) avaient été accidentellement configurés comme administrateurs locaux. Comme un compte administrateur de domaine se connectait régulièrement à ce serveur, n’importe quel utilisateur pouvait devenir administrateur du domaine en seulement trois étapes : RDP vers le serveur, dump de la mémoire pour récupérer le token, puis attaque pass-the-hash. Un autre cas récent impliquait le script de login d’un administrateur de domaine stocké dans un répertoire accessible en écriture à tous. En y plaçant un simple script affichant un popup, l’équipe de sécurité a rapidement reçu une notification prouvant la vulnérabilité. Nouvelles fonctionnalités : la vue tableau Bien que moins spectaculaire qu’OpenGraph, la fonctionnalité “table view” répond à un besoin important. La célèbre citation de John Lambert de Microsoft (2015) dit : “Les attaquants pensent en graphe, les défenseurs pensent en liste. Tant que ce sera vrai, les attaquants gagneront.” Bien que la visualisation graphique soit le paradigme central de BloodHound, certaines analyses nécessitent une vue tabulaire. Par exemple, une requête identifiant tous les comptes Kerberoastables retourne de nombreux points à l’écran, mais sans informations détaillées sur les privilèges ou l’appartenance aux groupes. La vue tableau permet de choisir les colonnes à afficher et d’exporter les données en JSON (et bientôt en CSV), facilitant l’analyse et le partage d’informations. Deathcon Montréal : la conférence pour les défenseurs En complément à son travail sur BloodHound, Mathieu est le site leader de Montréal pour Deathcon (Detection Engineering and Threat Hunting Conference). Cette conférence unique, entièrement axée sur les ateliers pratiques (hands-on), se déroule sur deux jours en novembre. Contrairement aux conférences traditionnelles, tous les ateliers sont pré-enregistrés, permettant aux participants de travailler à leur rythme. L’événement se limite volontairement à 50 personnes maximum pour maintenir une atmosphère humaine et favoriser les interactions. Les participants ont accès à un laboratoire massif incluant Splunk, Elastic, Sentinel et Security Onion, et conservent cet accès pendant au moins un mois après l’événement. Sans sponsors, la conférence est entièrement financée par les billets, et l’édition 2024 a déjà vendu plus de 30 places, avec de nombreux participants de l’année précédente qui reviennent. Conclusion BloodHound avec OpenGraph représente une évolution majeure dans la visualisation et l’analyse des chemins d’attaque en cybersécurité. En permettant l’intégration de multiples technologies au-delà d’Active Directory, l’outil offre désormais une vision holistique des vulnérabilités organisationnelles. Que ce soit pour la défense ou les tests d’intrusion, BloodHound continue de démontrer que penser en graphe plutôt qu’en liste constitue un avantage stratégique décisif en matière de sécurité. Collaborateurs Nicolas-Loïc Fortin Mathieu Saulnier Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c’est l’épisode 0x639! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CFP Notes Vulnérabilités Apple Font Parser Vulnerability Enables Malicious Fonts to Corrupt Process Memory Critical Western Digital My Cloud NAS Vulnerability Allows Remote Code Execution VMware Tools and Aria Operations Vulnerabilities Let Attackers Escalate Privileges to Root China Exploited New VMware Bug for Nearly a Year PoC exploit Released for VMware Workstation guest-to-host escape Vulnerability Tesla’s Telematics Control Unit Vulnerability Let Attackers Gain Code Execution as Root Threat Actors Allegedly Listed Veeam RCE Exploit for Sale on Dark Web CISA Warns of Linux Sudo Vulnerability Actively Exploited in Attacks Warnings about Cisco vulns under active exploit are falling on deaf ears OpenSSL Patches Three Flaws: Timing Side-Channel RCE Risk and Memory Corruption Affect All Versions OneLogin Bug Let Attackers Use API Keys to Steal OIDC Secrets and Impersonate Apps Multiple Splunk Enterprise Vulnerabilities Let Attackers Execute Unauthorized JavaScript code Windows 10 refuses to go gentle into that good night Undead Operating Systems Haunt Enterprise Security Networks Privacy WestJet data breach exposes travel details of 1.2 million customers ICE to Buy Tool that Tracks Locations of Hundreds of Millions of Phones Every Day Amazon’s Ring plans to scan everyone’s face at the door Privacy Harm Is Harm Données volées à Desjardins: les dossiers de 50 000 Québécois refont surface sur le «dark web» UK once again demands backdoor to Apple’s encrypted cloud storage For a future with privacy, not mass surveillance, Germany must stand firmly against client-side canning in the Chat Control proposal Millions impacted by data breaches at insurance giant, auto dealership software firm Signal Protocol and Post-Quantum Ratchets Microsoft’s Voice Clone Becomes Scary & Unsalvageable Discord Data Breach – Customers Personal Data and Scanned Photo IDs leaked Win Guide cybersécurité des systèmes industriels Anthropic touts safety, security improvements in Claude Sonnet 4.5 New Google Drive Desktop Feature adds AI-powered Ransomware Detection to Prevent Cyberattacks MISP 2.5.22 Released with improvements and bugs fixes Microsoft to Launch New Secure Default Settings for Exchange and Teams APIs Microsoft Outlook stops displaying inline SVG images used in attacks Gmail business users can now send encrypted emails to anyone Divers ‘Trifecta’ of Google Gemini Flaws Turn AI Into Attack Vehicle Un groupe de cybercriminels tente de corrompre un journaliste de la BBC New China APT Strikes With Precision and Persistence North Korea IT worker scheme expanding to more industries, countries outside of US tech sector Beware! Threat Actors Distributing Malicious AI Tools as Chrome Extensions Hackers Hijack Industrial Cellular Routers to Launch Widespread Smishing Campaigns Across Europe US gov shutdown leaves IT projects hanging, security defenders a skeleton crew Two-thirds of CISA personnel could be sent home under shutdown EU consistently targeted by diverse yet convergent threat groups Austria’s Armed Forces Gets Rid of Microsoft Office (Mostly) for LibreOffice Token Trouble: How Leaked JWTs Let Me Become Everyone on the Internet Insolites One the craziest elements about cybersecurity is you have half the industry sat worrying about cyberwar!1! and going on about quantum and AI, then you have you have the operational reality of what is actually happening on the ground - it bares no resemblance, at all, to what people are focused on. Pentagon decrees warfighters don’t need ‘frequent’ cybersecurity training Beer Brewing Giant Asahi Halts Production Following Cyberattack FreeIPA - CVE-2025-7493 - Privilege Escalation from host to domain admin Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x638! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode spécial du podcast, l’hôte et Davy Adam explorent le vaste sujet de la responsabilité de l’intelligence artificielle, un domaine largement débattu dans l’espace public mais souvent mal compris. Face à la demande croissante des clients et à l’omniprésence de ces technologies, ils constatent la nécessité d’examiner comment utiliser l’IA correctement, ses limites, et surtout comment éviter les pièges courants. Comprendre l’IA et l’IA générative Beaucoup de clients confondent l’IA générale et l’IA générative. L’IA englobe toute application reproduisant une activité humaine codée pour accomplir des tâches spécifiques, comme les jeux d’échecs électroniques des années 90. L’IA générative, quant à elle, constitue un sous-segment du machine learning et du deep learning. Elle s’appuie sur des services pré-entraînés massivement sur des tâches comme la génération de texte, d’images, de sons, de vidéos ou de code, ainsi que sur des systèmes de questions-réponses et de chatbots. Ces outils génératifs attirent les entreprises par leur capacité à systématiser des tâches répétitives sur de grands volumes avec un certain niveau de personnalisation. Cependant, contrairement à ce que beaucoup pensent, ces technologies ne sont pas neutres et leur intégration ne se résume pas à installer un simple plugin. Les risques et limites fondamentaux Les hallucinations et la nature statistique L’un des défis majeurs de l’IA générative réside dans sa nature fondamentalement statistique. Contrairement à Google qui indexe du contenu factuel, l’IA générative ne comprend pas réellement les questions posées. Elle analyse l’ordonnancement des mots et génère la suite statistique la plus probable basée sur son entraînement. Cette approche provoque ce qu’on appelle des “hallucinations” : l’IA, incapable de reconnaître qu’une question n’a pas de sens, s’obstine à fournir une réponse en assemblant des mots statistiquement probables, même si le résultat est erroné ou inventé. Yan Lecun, chercheur chez Google, souligne que les IA génératives actuelles ne survivront pas sur ce modèle car elles manquent du recul nécessaire pour comprendre quand une question est inappropriée. L’IA n’est intelligente que dans la mesure de la qualité des données qu’on lui fournit et des questions qu’on lui pose. Les biais multiples Les biais constituent un autre enjeu majeur, et ils se manifestent à plusieurs niveaux. D’abord, il y a le biais humain : les développeurs projettent leur propre perception du monde dans les données d’entraînement. Un homme blanc de 47 ans, par exemple, n’a pas une expérience représentative de l’ensemble de l’humanité, et cette limitation peut se refléter dans les choix de données, leur filtrage et leur labellisation. Ensuite, il existe des biais sociologiques préexistants dans les données elles-mêmes. En médecine, les femmes sont historiquement sous-représentées dans les études cliniques, reproduisant ainsi des discriminations séculaires. La reconnaissance faciale illustre parfaitement ce problème : entraînée principalement sur des visages caucasiens, elle performe mal sur les autres populations. L’ordre même dans lequel les informations sont ingérées par le modèle peut influencer les réponses. Les tentatives de débiaisage se révèlent complexes, comme l’a montré Google avec des résultats historiquement inexacts en essayant de corriger les représentations. Responsabilité et transparence L’utilisateur d’une IA générative demeure responsable de tout ce qu’elle génère en son nom. Cette responsabilité juridique a été établie par une jurisprudence canadienne impliquant Air Canada, dont le chatbot avait fourni des informations erronées sur un rabais de 200 dollars. L’entreprise a été jugée responsable des promesses faites par son IA. Cette responsabilité implique la capacité d’expliquer la logique menant à chaque résultat (explainability). Les organisations doivent pouvoir rendre des comptes aux auditeurs, clients, partenaires ou tribunaux sur le fonctionnement de leurs systèmes d’IA. Cela nécessite une compréhension approfondie de l’origine des données, des algorithmes d’apprentissage, des modèles utilisés et de leur paramétrage. Les bonnes pratiques d’implémentation Définir des périmètres clairs Les intervenants insistent sur l’importance de définir précisément le rôle de l’IA générative. Elle ne doit pas être considérée comme un nouvel employé polyvalent, mais comme un outil spécialisé avec des fonctions précises : générer des résumés, traduire des documents, systématiser des tâches répétitives. L’anthropomorphisme constitue un piège dangereux : l’IA n’a aucune émotion, empathie ou véritable intelligence, c’est une application statistique qui transforme des inputs en outputs. Les domaines à éviter Certains domaines sont inappropriés pour l’IA générative, notamment le médical et le légal pour des décisions critiques. Si ces professionnels peuvent utiliser l’IA pour synthétiser ou traduire des documents, ils ne doivent jamais s’y fier pour des diagnostics ou des défenses juridiques. La complexité contextuelle de ces domaines, où même les experts humains peinent à obtenir des verdicts unanimes, dépasse largement les capacités actuelles des IA génératives. Enrichir et contrôler les données Les organisations peuvent améliorer leurs IA génératives par plusieurs méthodes. Le RAG (Retrieval Augmented Generation) permet d’ajouter des bases de connaissances spécifiques au métier. Le prompt engineering, le one-shot ou few-shot learning permettent de fournir des exemples de réponses préformatées. Des paramètres comme la “température” permettent de contrôler le niveau de créativité, utile pour la littérature mais risqué pour la documentation technique. Les “guardrails” (garde-fous) permettent d’interdire certains vocabulaires ou domaines, limitant ainsi les risques de réponses inappropriées ou dangereuses. Gouvernance et sécurité Comités d’éthique et d’IA La mise en place d’un comité d’IA devient indispensable pour toute organisation adoptant ces technologies. Ce comité, à la fois technique, professionnel et éthique, doit réfléchir aux questions de responsabilité, éviter les erreurs et établir des frameworks reproductibles pour chaque nouveau projet d’IA. Cette gouvernance s’intègre naturellement dans les structures existantes comme les Cloud Centers of Excellence, car les données d’IA proviennent souvent du cloud et doivent être cartographiées, labellisées et nettoyées. Menaces de sécurité L’empoisonnement des données constitue une menace émergente. Des acteurs malveillants, notamment étatiques, peuvent injecter des données fausses dans les sources d’entraînement pour influencer les résultats. L’exemple de Microsoft avec son chatbot sur Twitter, devenu rapidement nazi et misogyne en 24 heures suite à des interactions malveillantes, illustre cette vulnérabilité. Dans un contexte géopolitique tendu, ces risques nécessitent des stratégies robustes de filtrage et de validation des données. Conclusion L’adoption de l’IA générative exige une approche mature et réfléchie. Comme pour l’apprentissage de la conduite automobile, il ne suffit pas de savoir manipuler l’outil : il faut comprendre et respecter un “code de l’IA”. Les organisations doivent accepter de tâtonner, d’apprendre et d’itérer pour développer progressivement une culture d’entreprise capable d’intégrer ces technologies de manière responsable, éthique et efficace. La consommation énergétique considérable de ces systèmes et leur impact sociétal renforcent encore l’urgence d’une utilisation consciente et maîtrisée. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x637! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce troisième épisode d’une série consacrée aux PME prend la forme d’un quiz interactif entre Nicolas-Loïc Fortin et son invité Claude. L’objectif est d’aborder des questions fréquemment posées sur la cybersécurité et la protection des données, couvrant ainsi les angles qui n’ont peut-être pas été suffisamment explorés dans les épisodes précédents. Le retour sur investissement en cybersécurité La question du retour sur investissement en cybersécurité pour les PME n’appelle pas de réponse simple par oui ou non. La difficulté réside dans la mesure de ce retour, qui doit être proportionnel aux actifs à protéger. Les PME font face à des contraintes budgétaires importantes et doivent évaluer la menace réelle qui pèse sur elles. L’intervenant illustre cette problématique par une anecdote d’une compagnie de transport qui devait protéger ses remorques contre les vols utilisant de l’azote liquide pour briser les cadenas. De la même façon, en informatique, les attaquants cherchent à « faire éclater le cadenas » pour voler le contenu. Actuellement, la plus grande menace pour les PME provient des rançongiciels, qui visent toutes les organisations, du cabinet dentaire aux entreprises de toutes tailles. La stratégie de protection doit s’adapter au niveau d’information sensible détenue. Pour les entreprises sans données sensibles, de bonnes sauvegardes suffisent pour redémarrer après une attaque. Pour celles qui manipulent des informations personnelles, des mesures plus sophistiquées s’imposent. Heureusement, des solutions peu coûteuses existent, fournies par des spécialistes en PME. L’important est d’éviter les consultants de grande entreprise qui proposent des solutions disproportionnées et effrayantes, décourageant ainsi l’investissement en cybersécurité. Solutions à petit budget Contrairement aux idées reçues, la cybersécurité à petit budget est non seulement possible, mais peut être très efficace si elle est bien choisie. L’open source offre des solutions simples et accessibles. Avec l’accompagnement d’un expert, les PME peuvent trouver des solutions gratuites ou peu coûteuses adaptées à leurs besoins réels. La clé consiste à définir ce qui est précieux pour l’entreprise, que cette valeur soit intrinsèque ou imposée par la loi. Les informations personnelles doivent être protégées par obligation légale, tout comme les numéros de cartes de crédit pour les commerçants, en vertu d’obligations contractuelles. De nombreuses solutions de qualité professionnelle peuvent être déployées par des passionnés de cybersécurité qui connaissent bien les besoins des PME. Loi 25 versus cybersécurité La question de la priorité entre la conformité à la Loi 25 et la cybersécurité suscite des débats. L’intervenant privilégie la conformité légale, car les obligations contractuelles et réglementaires ont préséance dans tous les cas. Cependant, se conformer à la Loi 25 apporte des bénéfices directs pour la cybersécurité, notamment l’obligation de créer un inventaire des données, qui constitue un avantage considérable pour la protection des informations. L’ingénierie sociale : le maillon faible Concernant les attaques par ingénierie sociale, le contexte représente un facteur plus déterminant que l’humain lui-même. Tous les humains peuvent être victimes d’hameçonnage, indépendamment de leur niveau de compétence. Lorsque le contexte nous prédispose à répondre automatiquement, nos défenses naturelles s’abaissent et nous agissons comme des « zombies », suivant le processus attendu sans questionnement. L’intervenant partage son expérience personnelle d’avoir cliqué sur un lien d’hameçonnage de son propre employeur, soulignant l’importance du timing et du contexte. Des recherches montrent que les gens sont plus susceptibles de cliquer sur des liens malveillants en fin de journée. La vigilance doit être maintenue même dans des situations apparemment normales, bien que la fragilité humaine face au contexte rende cette tâche difficile. L’authentification multifacteur : un minimum évolutif L’authentification multifacteur (MFA) constitue désormais un standard minimum, popularisé par le télétravail pendant le confinement. Cependant, cette barrière de sécurité est déjà en train d’être dépassée par des attaquants créatifs. Le MFA par SMS, qui représentait un minimum viable pendant le confinement, n’est plus suffisant aujourd’hui. Le MFA par application ou par clé physique représente maintenant le minimum requis pour tous les services, particulièrement ceux liés à l’argent. L’intervenant raconte comment, pendant son jogging matinal, il a reçu une alerte de sa banque concernant une tentative d’accès. Bien que le SMS ne soit pas la meilleure forme de MFA, cette deuxième barrière l’a alerté que son mot de passe avait été compromis. Il a immédiatement changé ses identifiants et activé une clé physique pour renforcer la sécurité. Cette expérience souligne l’importance d’activer le MFA sur tous les services critiques : courriel, systèmes comptables comme Quickbooks, et tous les systèmes au cœur du fonctionnement de l’entreprise. Gestionnaires de mots de passe La question des voûtes de mots de passe suscite beaucoup d’émotions dans la communauté cybersécurité. Les puristes recommandent les gestionnaires de mots de passe, mais une analyse pragmatique s’impose. Un carnet de mots de passe dans le tiroir du bureau vaut mieux qu’une absence de protection ou qu’une voûte mal configurée que personne n’utilisera. L’important reste d’avoir des mots de passe différents partout et d’activer le MFA, car le mot de passe seul ne constitue plus une barrière suffisante. Les voûtes modernes facilitent grandement la gestion des mots de passe et intègrent les nouvelles tendances comme l’authentification sans mot de passe. Le modèle de menace doit être considéré : si les attaquants sont en Chine ou en Russie, le carnet dans le tiroir est relativement sûr. Si la menace provient d’employés internes, d’autres solutions s’imposent. Un mot de passe simple comme « soleil123 », même avec MFA, reste problématique car la première barrière est trop facilement franchissable. Antivirus et protection moderne Les antivirus classiques ne suffisent plus à protéger adéquatement contre les cyberattaques. Les solutions modernes, appelées antivirus de nouvelle génération ou EDR (détection et réponse sur les points terminaux), offrent des protections supplémentaires en détectant les comportements suspects plutôt que simplement les signatures de fichiers. Pour les PME, des solutions intégrées comme Microsoft Defender for Endpoint constituent un bon compromis. Il faut éviter les antivirus gratuits, mais utiliser plutôt les outils de sécurité inclus dans les licences existantes de Microsoft 365 ou Google Workspace. WiFi public : l’évolution de la sécurité La sécurité des réseaux WiFi publics a considérablement évolué. Contrairement aux anciennes pratiques, utiliser un WiFi public n’est plus dangereux pour la majorité des utilisateurs. Depuis environ cinq ans, Google n’indexe plus les sites sans chiffrement de base, forçant les entreprises à améliorer leur sécurité. Les services modernes comme Microsoft 365, Outlook et les banques chiffrent toutes les communications. Tant que l’appareil est à jour et qu’aucun message d’avertissement de certificat invalide n’apparaît, il n’y a aucun danger à utiliser un WiFi public pour des usages standard avec des services légitimes de grandes compagnies. Infections par simple visite de site Il est possible de s’infecter en visitant un site web sans cliquer sur quoi que ce soit. Les attaquants, qui travaillent sur ces méthodes à temps plein, sont très imaginatifs. La meilleure protection consiste à maintenir son navigateur constamment à jour. Les navigateurs comme Chrome, Edge et Brave se mettent à jour automatiquement à chaque redémarrage. Les attaquants ont évolué au-delà des sites louches en infectant des publicités sur des sites légitimes. Les antivirus de nouvelle génération peuvent bloquer certaines de ces menaces, mais la mise à jour régulière du navigateur reste la meilleure défense. Le rôle des dirigeants Les dirigeants de PME portent la responsabilité ultime de la protection des renseignements personnels selon la loi. Dans toute organisation, les décisions de cybersécurité doivent venir du sommet. Sans l’engagement du plus haut dirigeant, aucune énergie réelle ne sera investie dans la cybersécurité. Les dirigeants doivent porter le message de cybersécurité, allouer les ressources financières et humaines nécessaires, et favoriser une culture de protection des informations. Ils sont les seuls capables d’identifier ce qui est précieux dans l’entreprise : liste de clients, procédés de fabrication, propriété intellectuelle, ou tout autre avantage concurrentiel. Cette responsabilité s’étend au-delà des obligations légales pour protéger ce qui fait vraiment la différence de l’entreprise. Conclusion Ce podcast souligne l’importance de sensibiliser les PME à la cybersécurité, car elles constituent le tissu économique du Québec, du Canada et du monde entier. Chaque PME qui tombe sous une cyberattaque affecte l’ensemble de l’écosystème économique et social. La cybersécurité pour les PME doit être accessible, pragmatique et adaptée aux réalités budgétaires de ces organisations. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x636! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cette huitième collaboration spéciale GoSec, l’animateur et Catherine Dupont-Gagnon explorent les enjeux actuels de la cybersécurité, de la vie privée et de la désinformation en ligne, offrant un regard critique sur l’évolution inquiétante du monde numérique. Menaces physiques contre les chercheurs en cybersécurité L’épisode débute avec un phénomène alarmant : une coalition de groupes de rançongiciels (Scared Spider et Hunters) qui, au lieu d’exiger des bitcoins, réclame le renvoi de deux chercheurs en intelligence de menaces chez Google. Cette situation survient dans le contexte de la brèche Salesforce récente. Catherine souligne l’importance cruciale de ces recherches pour la défense collective, mais exprime son inquiétude face à cette tendance où les groupes criminels, désormais affiliés au crime organisé traditionnel, ciblent directement les chercheurs. Le concept de “swatting” est abordé comme méthode d’intimidation : les attaquants appellent les services policiers en inventant des situations d’urgence pour déclencher une intervention violente chez leur cible. Cette pratique, courante dans le monde du gaming, s’étend maintenant au domaine de la cybersécurité, forçant certains chercheurs à garder l’anonymat et à changer régulièrement d’adresse. L’empreinte digitale comportementale et la vie privée Les animateurs discutent d’une révélation troublante : Google peut maintenant identifier les utilisateurs uniquement par leur comportement en ligne, sans authentification traditionnelle. La façon dont nous cliquons, bougeons notre souris et naviguons est si unique qu’elle constitue une véritable empreinte digitale. Google propose d’utiliser cette technologie pour la vérification d’âge en ligne, notamment sur les sites pour adultes. Catherine exprime son inquiétude face à cette surveillance dystopique. Bien que Google n’ait pas “inventé” cette capacité (elle existait déjà), sa publicisation révèle l’ampleur réelle du pistage en ligne. Les intervenants comparent cette situation au scandale Snowden, mais notent l’absence de réaction publique similaire. Blocage de contenu et liberté en ligne La discussion s’oriente vers les tentatives mondiales de bloquer l’accès à la pornographie pour protéger les mineurs. Les animateurs reconnaissent l’intention louable mais critiquent les approches technologiques proposées, qui menacent le chiffrement, exigent une authentification invasive et créent un précédent dangereux pour la censure. Ils soulignent que l’internet n’a jamais été conçu pour ce type de contrôle. Catherine met en garde contre la dérive potentielle où certains contenus LGBTQ+ pourraient être classifiés comme “pour adultes”, limitant ainsi l’accès à l’information pour des jeunes vulnérables. Une solution japonaise est présentée comme alternative : l’authentification via les dépanneurs locaux, permettant la vérification d’âge sans collecte massive de données personnelles. L’identité numérique et ses dangers L’arrivée de l’identité numérique au Québec soulève des préoccupations. Les intervenants évoquent le film “The Net” avec Sandra Bullock, où une personne disparaît complètement du système. Lorsque notre existence dépend entièrement du numérique, nous devenons vulnérables aux erreurs et aux piratages. La tentation des gouvernements de monétiser les données de santé revient cycliquement, malgré les mises en garde répétées. La brèche Salesforce : le maillon faible Un des cas les plus graves discutés concerne la fuite massive de données Salesforce, causée non par Salesforce elle-même, mais par un tiers partenaire aux pratiques de sécurité inadéquates. Cette situation illustre le danger de la concentration et de la monopolisation dans l’industrie technologique. Catherine compare l’infrastructure numérique à un édifice construit avec “des centaines de petites briques” vulnérables, chacune pouvant faire effondrer l’ensemble. Désinformation et violence : l’assassinat d’un influenceur L’épisode aborde ensuite un événement récent : l’assassinat d’une figure controversée de la droite alternative lors d’un débat sur la violence armée. Catherine décrit la “chasse à l’homme” en ligne qui s’est ensuivie, où un banquier canadien de 77 ans a été faussement identifié comme le tireur. Sa photo a circulé massivement, y compris via de faux comptes médiatiques avec des crochets de vérification achetés. Cette situation révèle les dangers de la désinformation en période de crise. Dans le vide informationnel initial, les communautés conspirationnistes ont élaboré des théories variées, certains accusant “les démocrates”, d’autres suggérant une opération interne. Le fait que Grok, l’IA d’Elon Musk, ait brièvement confirmé la fausse identification illustre comment l’intelligence artificielle amplifie la désinformation. Les algorithmes de radicalisation Les animateurs expliquent comment les algorithmes des réseaux sociaux poussent systématiquement vers l’extrémisme. Une recherche innocente comme “recette lundi sans viande” peut mener progressivement vers le véganisme radical, puis basculer vers le régime carnivore extrême. Les algorithmes favorisent la polarisation car l’engagement émotionnel génère des revenus publicitaires. Le consensus n’est pas payant. Catherine mentionne des études du FBI montrant qu’il peut suffire de 10 jours entre la première exposition à du contenu conspirationniste et un appel à la violence concrète, soulignant la fragilité humaine face à la manipulation. Conclusion L’épisode se termine sur une note à la fois sombre et optimiste. Bien que les défis soient immenses, les professionnels de la cybersécurité réunis à GoSec sont bien placés pour développer des solutions. La vulnérabilité humaine qui menace nos mots de passe est la même qui nous expose aux conspirations, suggérant que les approches de protection peuvent s’appliquer tant à la sécurité informatique qu’à la protection de notre démocratie. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Crédits Montage par Intrasecure inc Locaux réels par GoSec

Parce que… c’est l’épisode 0x635! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Notes Jaguar UK government will underwrite £1.5bn loan guarantee to Jaguar Land Rover after cyber-attack Politicos: ‘There is a good strong case for government intervention’ on JLR cyberattack Jaguar Lan Rover failed to secure cyber insurance deal ahead of incidents, sources say Tata-Owned Jaguar Land Rover Delays Factory Reopening Following Major Cyber Attack Supply chain Volvo North America disclosed a data breach following a ransomware attack on it provider Miljödata Tech troubles create aviation chaos on both sides of the Atlantic European Airport Disruptions Caused by Sophisticated Ransomware Attack UK agency makes arrest in airport cyberattack investigation SIM ou trop vite sur la nouvelle The SIM Farm Hardware Seized by the Secret Service Is Also Popular With Ticket Scalpers That Secret Service SIM farm story is bogus U.S. Secret Service Dismantles 300 SIM Servers and 100,000 SIM Cards Disabling Cell Phone Towers Trump signs executive order supporting proposed deal to put TikTok under US ownership Privacy Europe’s cookie law messed up the internet. Brussels wants to fix it. Bientôt la fin des bandeaux RGPD ? Comment les scammeurs exploitent vos données… via une simple recherche ChatGPT Microsoft hides key data flow information in plain sight Salesforce facing multiple lawsuits after Salesloft breach Numerous Applications Using Google’s Firebase Platform Leaking Highly Sensitive Data Bouygues Telecom Edge Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability CISA says it observed nearly year-old activity tied to Cisco zero-day attacks SonicWall releases rootkit-busting firmware update following wave of attacks Offensif New Inboxfuscation Tool That Bypasses Microsoft Exchange Inbox Rules and Evade Detection LastPass: Fake password managers infect Mac users with malware Why attackers are moving beyond email-based phishing attacks Hackers Can Bypass EDR by Downloading a Malicious File as an In-Memory PE Loader Hackers Exploit WerFaultSecure.exe Tool to Steal Cached Passwords From LSASS on Windows 11 24H2 Kali Linux 2025.3 Released With New Features and 10 New Hacking Tools New LNK Malware Uses Windows Binaries to Bypass Security Tools and Execute Malware Russia steps up disinformation efforts to sway Moldova’s parliamentary vote Malicious SVGs in Phishing Campaigns: How to Detect Hidden Redirects and Payloads First-Ever Malicious MCP Server Found in the Wild Steals Emails via AI Agents Hackers Leverage AI-Generated Code to Obfuscate Its Payload and Evade Traditional Defenses Défensif Zero Trust: Strengths and Limitations in the AI Attack Era Microsoft, SentinelOne, and Palo Alto Networks Withdraw from 2026 MITRE ATT&CK Evaluations GitHub moves to tighten npm security amid phishing, malware plague Canada dismantles TradeOgre exchange, seizes $40 million in crypto Microsoft Edge to block malicious sideloaded extensions Microsoft offers no-cost Windows 10 lifeline How secure are passkeys, really? Here’s what you need to know Divers et inclassable Cyber threat-sharing law set to shut down, along with US government Firewall upgrade linked to three deaths after Australian telco cut off emergency calls Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x634! Préambule Le son n’est pas nickel. Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast spécial réunit quatre professionnels de la cybersécurité qui ont effectué une reconversion professionnelle : Antoine Vacher, Florian Guyot, Charlotte Trudelle et Julien Atsarias. Leurs parcours variés et leurs témoignages offrent un éclairage précieux sur les défis et opportunités de la reconversion vers le domaine de la cyber. Des parcours diversifiés vers la cybersécurité Les quatre invités proviennent d’horizons professionnels très différents. Antoine était ingénieur télécom réseau dans l’aéronautique, travaillant sur les essais de systèmes embarqués et l’analyse d’incidents. Florian occupait un poste d’ingénieur en conception automobile, spécialisé dans les pièces mécaniques pour moteurs et systèmes antipollution. Charlotte a d’abord étudié la mécanique et l’automatique industrielle avant de devenir conductrice de travaux dans le bâtiment. Quant à Julien, il était ingénieur acousticien du bâtiment pendant une quinzaine d’années. Aujourd’hui, Antoine, Florian et Julien exercent comme pentesters chez Ciblex, tandis que Charlotte est consultante en gouvernance, risque et conformité dans la même entreprise. Cette diversité de profils démontre que la cybersécurité peut accueillir des talents venus de nombreux horizons. Les motivations : passion technique et besoin de challenge Pour Antoine, la motivation principale résidait dans son profil technique et son désir constant de comprendre le fonctionnement des choses. Après avoir maîtrisé les systèmes aéronautiques, il cherchait de nouveaux défis. L’aéronautique, avec ses technologies évoluant lentement sur plusieurs dizaines d’années, ne lui offrait plus le stimulus intellectuel nécessaire. Les perspectives d’évolution orientées vers le management ne l’intéressaient pas, alors que le pentest promettait des challenges techniques permanents. Julien partage cette passion pour l’informatique, présente depuis son adolescence. Son intérêt pour les logiciels libres, l’auto-hébergement et les challenges Root-Me l’a progressivement conduit vers la sécurité. Il constatait que son cerveau était “en mode off” après quinze ans dans le même métier, effectuant son travail presque automatiquement. Les challenges techniques ont rallumé cette flamme intellectuelle. Florian se retrouve dans cette dynamique : un poste axé sur le management et la gestion d’équipe, sans aspect technique satisfaisant. La découverte des challenges sur New B Contest, puis l’exploration progressive des différentes technologies de la cybersécurité, lui ont révélé un domaine vaste et stimulant. Charlotte a suivi un chemin similaire, découvrant la communauté cyber lors d’événements comme la Nuit du Hack, où elle a rencontré un écosystème accueillant et passionné. Les doutes et la zone de confort La reconversion implique de sortir de sa zone de confort, ce qui représente un défi psychologique majeur. Julien exprime bien cette difficulté : même si son métier ne le passionnait plus, il comportait des aspects positifs, notamment ses collègues. La cybersécurité lui apparaissait comme “une montagne complètement infranchissable”, nécessitant des connaissances dans de nombreux domaines. L’aspect financier constitue également une préoccupation majeure. Arrêter de travailler pour reprendre des études pendant un ou deux ans pose des questions pratiques importantes. Plusieurs ont tenté d’obtenir un financement via le congé individuel de formation, souvent sans succès. Charlotte souligne le syndrome du “ce n’est pas le bon moment”, qui peut servir d’excuse indéfiniment. Elle-même a appris sa grossesse deux jours après avoir démissionné pour commencer sa formation, en pleine période COVID, illustrant qu’il n’y a jamais de moment parfait. Le passage du statut d’expert reconnu à celui de junior dans un nouveau domaine représente aussi un obstacle psychologique. Recommencer au bas de l’échelle, devoir faire ses preuves à nouveau, nécessite une certaine humilité et détermination. Le rôle crucial du soutien Le soutien de l’entourage s’avère déterminant dans la réussite d’une reconversion. Tous mentionnent l’importance du soutien de leur conjoint(e), qui les a encouragés et parfois poussés à franchir le pas. Julien remercie publiquement sa compagne qui a su voir avant lui que cette reconversion était indispensable. La communauté cybersécurité joue également un rôle essentiel. Charlotte décrit un écosystème “hyper ouvert d’esprit et dans le partage”, où tout le monde est bienvenu. Les événements comme la Nuit du Hack, le THC (Toulouse Hacking Convention), ou les plateformes de challenges permettent de découvrir cette communauté accueillante. Julien a rencontré plusieurs professionnels de la cybersécurité avant sa reconversion, les invitant au restaurant pour discuter de leur quotidien. Ces échanges l’ont aidé à concrétiser son projet. Le responsable de la formation Toulouse Sec, Carlos, a également joué un rôle crucial en soutenant son admission malgré un dossier peu conventionnel. L’impact de la formation et du diplôme La question du diplôme divise. Florian souligne qu’en France, particulièrement dans les grands groupes, le diplôme reste un filtre important, influençant même les grilles salariales. Il a effectué deux formations principalement pour obtenir le “papier” nécessaire, même si les formations elles-mêmes ne lui ont pas apporté beaucoup de compétences. Néanmoins, pour les postes très techniques comme le pentest, l’expérience pratique (bug bounty, CTF, challenges, publication d’outils) compte souvent plus que le diplôme lui-même. Antoine et Julien ont suivi la formation Toulouse Sec, un master spécialisé porté par trois écoles d’ingénieurs, qui leur a permis d’acquérir de solides compétences techniques. L’apport des expériences antérieures Contrairement aux apparences, les expériences professionnelles passées enrichissent considérablement leur pratique actuelle. Julien, ancien acousticien, retrouve la même posture de consultant-ingénieur : comprendre le problème du client, proposer une solution adaptée, rédiger des rapports. Il compare même l’acoustique à la cybersécurité : un domaine souvent négligé, considéré comme un coût non prévu, mais finalement essentiel. Antoine applique sa méthodologie d’analyse des cas tordus en aéronautique au pentest, cherchant les scénarios non imaginés par les concepteurs. Sa rigueur dans la rédaction de rapports d’incidents, où chaque mot compte, se retrouve dans ses restitutions en cybersécurité. Charlotte utilise quotidiennement son expérience industrielle et du bâtiment, notamment pour la gouvernance dans les environnements OT (technologies opérationnelles). Sa connaissance des lignes de production, de leur fabrication et de leurs coûts d’immobilisation lui donne une compréhension précieuse des enjeux clients. Florian valorise surtout la prise de recul acquise avec l’expérience professionnelle, cette capacité à réfléchir posément et à considérer la globalité d’un problème, compétence qui manque souvent aux débutants. Conclusion : une porte ouverte Les intervenants concluent sur une note encourageante. Il existe une réelle pénurie de talents en cybersécurité, avec de nombreux postes variés au-delà du technique pur. Julien insiste sur le fait que reprendre des études à trente ou trente-cinq ans diffère complètement de l’expérience à vingt ans : la motivation transforme cette année en “la meilleure année de sa vie”. La reconversion démontre également une motivation exceptionnelle aux yeux des recruteurs. Quelqu’un qui a quitté une carrière établie par passion pour un nouveau métier n’est pas là par défaut, ce qui constitue un avantage certain. Cette flamme, cette passion pour la technique et le partage qui caractérisait les pionniers de la cybersécurité, reste bien vivante dans cette nouvelle génération de professionnels reconvertis, promettant un avenir riche pour le domaine. Collaborateurs Nicolas-Loïc Fortin Charlotte Trudelle Antoine Vacher Julien Atsarias Florian Guyot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x633! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Ce podcast explore les enjeux de la protection des renseignements personnels (PRP) pour les petites et moyennes entreprises québécoises, particulièrement dans le contexte de l’entrée en vigueur de la Loi 25. Cette nouvelle législation a bouleversé le paysage réglementaire et créé beaucoup d’incompréhension et d’inquiétude chez les entrepreneurs. Qu’est-ce qu’une information personnelle ? La définition d’une information personnelle varie selon les lois et les juridictions, mais de façon générale, il s’agit de toute information capable d’identifier une personne de façon unique ou relativement unique. Le numéro d’assurance sociale (NAS) en est l’exemple parfait, identifiant de façon unique chaque personne. Une adresse peut également être considérée comme une information personnelle selon le contexte, tout comme un numéro de téléphone ou des numéros uniques attribués en entreprise. Il est important de noter qu’une information sur une entreprise en tant qu’entité n’est pas un renseignement personnel. Toutefois, si l’information concerne une personne précise au sein de cette entreprise, elle peut le devenir. Par exemple, l’adresse d’une entreprise avec un numéro d’extension n’est pas une information personnelle, mais des photocopies de passeport ou des NAS d’employés le sont, même s’il s’agit de clients ou de travailleurs étrangers. Les enjeux pour les PME Le premier défi majeur pour les PME est de savoir où existe cette information. Les entreprises ont souvent très peu d’outils et peu de familiarité avec ce genre de préoccupations. Il faut identifier dans quels fichiers, ordinateurs, téléphones intelligents ou autres supports se trouvent ces données. Cette étape de répertoriage représente un énorme défi en soi. Une fois l’information répertoriée, il faut mettre en place des mesures de protection adéquates pour traiter cette information de façon sécuritaire et éviter qu’elle se retrouve dans une fuite de données, dans des dossiers jetés à la poubelle ou sur des disques durs vendus sans avoir été effacés. Qui est concerné ? Au sens de la loi, le plus haut dirigeant ou propriétaire de l’entreprise détient la responsabilité légale de cette information, bien qu’il puisse la déléguer à quelqu’un d’autre. Il est essentiel d’établir une culture d’entreprise pour que tous les employés reconnaissent l’information personnelle et agissent en conséquence. L’expérience de Nicolas-Loïc Fortin avec les normes PCI-DSS dans le domaine de la gestion des cartes de crédit l’a amené à recommander de cloisonner cette information au plus petit nombre de personnes possible. En limitant les contacts et les systèmes ayant accès à ces données, on résout une grande partie des problèmes de conformité et de protection, permettant de concentrer les énergies sur un nombre réduit de systèmes et de personnes. Les obligations de la Loi 25 Le changement majeur qu’apporte la Loi 25 concerne l’introduction de pénalités financières en cas de fuite de données. C’est ce qui explique l’attention accrue portée à cette question. La loi impose également de surveiller la localisation des données et de s’assurer que les fournisseurs accordent la même attention à ces informations. La situation est d’autant plus préoccupante que les fuites de données sont en croissance au Québec, au Canada, en Europe et ailleurs. Les attaquants n’hésitent plus et utilisent même ces lois contre les entreprises, menaçant de déposer une plainte à la Commission d’accès à l’information si la victime refuse de payer une rançon, créant ainsi une double pression financière. Le registre des incidents Un aspect particulier et contre-intuitif de la loi concerne le registre des incidents. Un incident d’information personnelle n’est pas nécessairement informatique : envoyer une lettre ou un relevé de compte à la mauvaise adresse constitue un incident de confidentialité qui doit être consigné dans un registre, avec mention des mesures correctives prises. Le champ d’application de la loi dépasse donc largement l’informatique. Le responsable désigné La loi exige qu’un responsable soit identifié et que ses coordonnées soient publiées sur le site web de l’entreprise. Par défaut, il s’agit du plus haut dirigeant ou propriétaire, mais cette responsabilité peut être déléguée. Il existe même la possibilité de déléguer ce rôle à un tiers externe, une pratique courante en Europe où des entreprises se spécialisent dans ce domaine pour guider les organisations sans nécessairement déployer les solutions elles-mêmes. Ce n’est pas un titre honorifique, mais bien une démarche s’inscrivant dans la maturité organisationnelle de l’entreprise, bien que cette maturité soit en quelque sorte forcée par la loi. Les sanctions Les pénalités prévues peuvent atteindre jusqu’à 4 % du chiffre d’affaires de l’entreprise, ce qui peut représenter un montant considérable. Toutefois, la Commission d’accès à l’information dispose d’un pouvoir discrétionnaire. Si une entreprise démontre avoir fait des efforts réels et visibles, la pénalité sera moindre, voire inexistante. À l’inverse, une entreprise négligente s’expose au maximum des pénalités possibles. L’évaluation des facteurs relatifs à la vie privée (EFVP) Pour les PME, cet exercice peut s’avérer très lourd et parfois futile, sauf pour celles qui manipulent exclusivement de l’information personnelle. L’approche recommandée consiste à limiter autant que possible l’information conservée et à ne garder que ce qui est nécessaire. Cette stratégie permet d’éviter un exercice fastidieux dont l’efficacité n’a pas encore été testée par la Commission d’accès. L’accompagnement et les ressources Bien que l’avocat ait le dernier mot en matière d’interprétation de la loi, plusieurs professionnels en technologies de l’information ou en cybersécurité possèdent des compétences dans ce domaine et peuvent guider les PME dans la sélection d’outils appropriés. Cependant, dès qu’un incident impliquant de l’information personnelle survient, ce sont des avocats spécialisés qui interviennent pour évaluer la portée des dommages et déterminer les mesures correctives. Il est donc préférable de consulter un avocat avant qu’un incident ne survienne plutôt que de devoir gérer une situation complexe avec un “breach coach” dans l’urgence. La cyberassurance La souscription à une cyberassurance est fortement recommandée. Au-delà de la couverture financière, ces assurances fournissent généralement l’accès à un avocat et à une firme spécialisée en cybersécurité pour accompagner l’entreprise. Les assureurs exigent de plus en plus de prérequis, ce qui force les entreprises à améliorer leurs pratiques. Leurs formulaires sont de plus en plus complexes et obligent à mettre en place des mesures concrètes comme le chiffrement des données et des sauvegardes adéquates. Conclusion Malgré la volonté du législateur de sensibiliser les PME à la protection des renseignements personnels, l’accompagnement gouvernemental demeure insuffisant comparativement à d’autres pays. Beaucoup de PME se sentent laissées à elles-mêmes, et cette obligation s’ajoute à leurs contraintes existantes. Il faudra probablement attendre quelques cas médiatisés de pénalités importantes pour que les propriétaires de PME prennent pleinement conscience de l’importance de cette protection. Cette loi vise ultimement à protéger les citoyens dont les informations personnelles pourraient être manipulées de façon négligente et qui en subiraient les conséquences réelles. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x632! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes IA ChatGPT peut faire fuiter vos emails avec une simple invitation Google Calendar ‘Powerful but dangerous’ full MCP support beta for ChatGPT arrives ChatGPT Tricked Into Bypassing CAPTCHA Security and Enterprise Defenses ‘A CRM for cybercriminals’ - SpamGPT makes cybercriminals’ wildest dreams come true with business-grade marketing tools and features How AI and surveillance capitalism are undermining democracy Vibe Coding Cleanup as a Service Offensif Jaguar Land Rover supply chain workers must get Covid-style support, says union Careless engineer stored recovery codes in plaintext, got whole org pwned Google confirms fraudulent account created in law enforcement portal Self-Replicating Worm Hits 180+ Software Packages Shai-Hulud: Ongoing Package Supply Chain Worm Delivering Data-Stealing Malware A DHS Data Hub Exposed Sensitive Intel to Thousands of Unauthorized Users Apple 0-day likely used in spy attacks affected devices as old as iPhone 8 Mail Delivery Subsystem spam? SonicWall Security Incident: Exposed Backups Could Put Your Firewall at Risk Cybercriminals Have a Weird New Way to Target You With Scam Texts Critical Microsoft’s Entra ID Vulnerability Allows Attackers to Gain Complete Administrative Control Une faille Spotlight vieille de 10 ans permet toujours de voler vos données sur Mac New EDR-Freeze Tool That Puts EDRs and Antivirus Into A Coma State Cyberattack disrupts check-in systems at major European airports Critical WatchGuard Vulnerability Allows Unauthenticated Attacker to Execute Arbitrary Code Défensif Pensez à activer les versions immuables sur GitHub pour éviter les problèmes de sécurité Why Real-Time Threat Intelligence Is Critical for Modern SOCs How to Set Up and Use a Burner Phone Apple addresses dozens of vulnerabilities in latest software for iPhones, iPads and Macs Microsoft, Cloudflare disrupt RaccoonO365 credential stealing tool run by Nigerian national PRP Airlines Sell 5 Billion Plane Ticket Records to the Government For Warrantless Searching Google Announces Full Availability of Client-Side Encryption for Google Sheets Divers The Elephant in The Biz: outsourcing of critical IT and cybersecurity functions risks UK economic security Europe’s tech sovereignty watch Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x631! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce panel enregistré lors du BSides Montréal 2025 réunit plusieurs experts en cybersécurité pour discuter des défis actuels de l’industrie, notamment la gestion des incidents, la protection des PME et l’évolution rapide des menaces. La faille Salesforce et les attaques de supply chain La discussion débute avec l’analyse de la récente faille Salesforce impliquant Drift, qui a exposé des tokens d’authentification permettant aux attaquants d’énumérer les instances Salesforce de nombreuses organisations. Olivier Bilodeau explique comment cette brèche a déclenché une attaque de supply chain en profondeur, touchant des entreprises comme J Frog et HP Enterprise. Le groupe Shiny Hunters est identifié comme l’acteur de menace derrière cette campagne. Cette situation illustre la vitesse alarmante à laquelle les incidents se déroulent aujourd’hui. En seulement deux jours, quatorze articles ont été publiés avec des informations contradictoires, forçant les professionnels à démêler constamment de nouvelles données. Les panélistes soulignent la difficulté de répondre aux questions des clients lorsque l’information évolue si rapidement et que ce qui était vrai il y a quelques heures ne l’est plus. La pression de la communication en temps de crise Les experts décrivent la pression intense de devoir réagir rapidement aux incidents médiatisés. Dès qu’une vulnérabilité reçoit un nom et apparaît dans la presse, les clients appellent pour obtenir des réponses, même s’ils ne sont pas directement affectés. Cette dynamique transforme les professionnels en “psychologues de la menace” dont le rôle principal devient la réassurance plutôt que l’analyse technique. Le problème est amplifié par la course au marketing dans l’industrie, où les entreprises se précipitent pour être les premières à publier sur un incident, quitte à dire peu de choses substantielles ou à partager des informations qui seront invalidées vingt-quatre heures plus tard. Cette urgence de communication nuit à la qualité de l’analyse et crée de la confusion. Les PME : le maillon faible de la chaîne Un thème central du podcast concerne la vulnérabilité des petites et moyennes entreprises. Les panélistes constatent que les PME représentent 80 % de la main-d’œuvre au Québec, mais constituent un angle mort majeur en cybersécurité. Ces entreprises manquent souvent de ressources, d’expertise et d’accès à l’information nécessaire pour se protéger adéquatement. Le problème est particulièrement préoccupant car ces PME sont souvent des fournisseurs de grandes organisations. Comme le démontre l’incident Drift, un petit fournisseur peut devenir la porte d’entrée pour compromettre des géants de l’industrie. Pascal Gad souligne qu’un incident de fin de semaine peut coûter entre 100 000 et 120 000 dollars, alors que des mesures préventives comme un EDR coûteraient environ 4 000 dollars par mois. Le rôle ambigu des MSP et MSSP La discussion révèle une problématique importante concernant les fournisseurs de services managés. Beaucoup de MSP, particulièrement en région, n’ont pas l’expertise nécessaire en cybersécurité mais offrent quand même ces services. Certains se limitent à vérifier le tableau de bord d’un pare-feu Fortinet sans réelle analyse approfondie. Les panélistes comparent cette situation à quelqu’un qui s’improviserait chirurgien : ce n’est pas parce qu’on offre un service qu’on a les compétences pour le faire correctement. Le problème est aggravé par le fait que les PME ne savent souvent pas ce qu’elles achètent en matière de cybersécurité, permettant aux MSP peu scrupuleux de vendre à peu près n’importe quoi. Prévention versus réaction Un débat émerge sur la difficulté de faire investir les entreprises en prévention plutôt qu’en réaction. Les panélistes observent qu’historiquement, les investissements significatifs en cybersécurité ne surviennent qu’après un incident. Cette fenêtre d’opportunité ne dure que quinze jours avant que tout redevienne “business as usual”. La sensibilisation seule ne suffit pas, comme en témoigne le fait que les mêmes messages sont répétés depuis dix ou vingt ans sans changement significatif des comportements. La loi 25 au Québec est citée comme exemple de réglementation qui, malgré ses imperfections, force les entreprises à se conformer à des standards minimums acceptables. L’évolution technologique et ses défis La conversation aborde l’adoption lente des nouvelles technologies de sécurité comme les passkeys. Bien que ces solutions représentent une avancée majeure, leur déploiement prend du temps en raison de la complexité pour les utilisateurs finaux. Les panélistes reconnaissent que même eux-mêmes n’ont pas tous fait la transition, illustrant le défi d’adoption au niveau du grand public. L’analogie avec l’histoire médicale est frappante : tout comme il a fallu des décennies pour que les chirurgiens adoptent le simple geste de se laver les mains, les changements de comportement en cybersécurité nécessitent du temps et de la patience. La nécessité de parler le langage des affaires Un point crucial soulevé concerne l’importance des compétences en communication. Les professionnels de la cybersécurité doivent apprendre à parler en termes de risques d’affaires plutôt qu’en jargon technique. Les exercices de registres de risques fonctionnent bien car ils permettent aux dirigeants non techniques de comprendre les enjeux en termes d’impact et de probabilité. Dominique Derrier insiste sur le fait que ce qui se vend avant tout, c’est la confiance. Les clients ne font pas appel à un professionnel pour des produits, mais pour une relation de confiance où ils peuvent partager leurs vulnérabilités sans crainte. Vers plus de réglementation ? Le panel conclut sur la nécessité probable d’une régulation accrue. Comparant la situation à celle des services d’incendie ou de santé publique, les experts suggèrent qu’un niveau minimum de cybersécurité devrait peut-être devenir un service public ou être strictement réglementé, comme c’est le cas pour l’ingénierie ou la médecine. Les initiatives européennes comme NIS2 et DORA sont mentionnées comme exemples de réglementations fortes qui établissent un “niveau d’eau” égal pour toutes les entreprises. Cette approche évite que certaines organisations prennent des raccourcis pour obtenir un avantage économique au détriment de la sécurité collective. Le titre de l’épisode, “Les bœufs sont lents mais la terre est patiente”, capture parfaitement le message central : les changements en cybersécurité prennent du temps, mais ils finissent par arriver. L’industrie doit accepter que l’évolution se mesure en décennies plutôt qu’en mois, tout en continuant à pousser pour des améliorations constantes. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Olivier Bilodeau Marc Cormier Jean-Philippe Décarie-Mathieu [Pascal Gad] [Tyler Chevrier] Crédits Montage par Intrasecure inc Locaux réels par BAnQ

Parce que… c’est l’épisode 0x630! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast spécial réunit Sylvie Guérin et Éric Parent, tous deux experts en cybersécurité et cofondateurs de BSides Montréal, pour rendre hommage à Michel Cusin, une figure marquante qui a façonné la communauté de cybersécurité au Québec pendant plus de deux décennies. Un formateur dévoué et passionné Michel Cusin a débuté sa carrière à une époque où la cybersécurité se limitait principalement aux pare-feu. Éric Parent l’a rencontré il y a plus de 25 ans chez Services Maxon, où Michel était l’un des deux seuls instructeurs certifiés CheckPoint au Québec. Ce qui le distinguait particulièrement était sa capacité à former les gens en français, rendant accessible une expertise technique souvent disponible uniquement en anglais. Plus tard, Michel est devenu formateur SANS, possiblement le premier et peut-être le seul formateur SANS francophone au Québec. Cette contribution était cruciale pour les professionnels québécois qui ne pouvaient pas toujours se déplacer à l’extérieur pour suivre des formations. Michel excellait dans la vulgarisation de concepts techniques complexes, présentant toujours les dernières tendances en cybersécurité avec énergie et de nombreux exemples concrets. Ses formations étaient reconnues pour leur qualité exceptionnelle et leur documentation exhaustive, qu’il avait soigneusement traduite et adaptée en français. Cofondateur de HackFest et BSides En 2009, Michel s’est joint au groupe fondateur de HackFest (devenu NorthSec), apportant une telle énergie et passion qu’il est devenu le quatrième cofondateur de l’événement. Son dévouement était tel qu’il trouvait constamment de nouvelles opportunités et ressources pour faire grandir la communauté. Plus tard, inspiré par le mouvement BSides international, Michel a contacté Jack Daniel pour obtenir la permission de lancer BSides Québec en 2013-2014. L’événement a démarré avec un budget minimal, l’équipe faisant elle-même l’épicerie au Costco et expérimentant diverses configurations (incluant une mémorable tentative ratée de système de distribution de bière artisanale qui ne produisait que de la mousse). Malgré ces débuts modestes, le premier BSides Québec a été un franc succès, notamment grâce au réseau et à la détermination de Michel qui avait réussi à attirer le fondateur de Metasploit comme conférencier. Une culture familiale et inclusive Michel portait une vision particulière pour BSides Québec : créer un événement accessible financièrement (environ 50 dollars incluant la nourriture) et qui se déroulerait principalement en français. Il souhaitait également encourager la diversité, recherchant activement des femmes conférencières pour les éditions suivantes. L’une des contributions les plus marquantes de Michel fut d’instaurer une culture familiale dans ces événements. Il encourageait les participants à amener leurs conjoints et leurs enfants, créant ainsi un environnement inclusif où même les adolescents pouvaient s’initier à la cybersécurité. Cette philosophie s’est perpétuée à BSides Montréal, où des bébés assistent encore aux conférences aujourd’hui. Un défenseur de l’intégrité professionnelle Michel s’est également illustré comme défenseur de l’éthique dans l’industrie. Lorsqu’il a découvert que certaines entreprises utilisaient frauduleusement des CV de professionnels pour remporter des appels d’offres, il s’est battu publiquement, contactant des journalistes pour dénoncer ces pratiques. Ces efforts collectifs ont probablement contribué aux changements de processus au gouvernement, où les CV doivent maintenant être signés par les personnes concernées. Michel n’hésitait pas à dire les choses franchement, même face aux grandes organisations ou à la machine gouvernementale, une position que seuls ceux qui ont atteint une certaine maturité professionnelle peuvent se permettre d’adopter. Un collaborateur toujours disponible L’une des qualités les plus appréciées de Michel était sa disponibilité inconditionnelle. Peu importe le projet, aussi fou soit-il, il embarquait sans hésiter. Un exemple mémorable fut sa participation à un documentaire d’Explora sur les hackers, où avec seulement quelques jours de préavis, il a réalisé un véritable piratage de l’entreprise Téo Taxi pour démontrer les vulnérabilités de sécurité. Cette disponibilité et ce dévouement à la communauté caractérisaient parfaitement Michel. Un message crucial sur la santé mentale L’hommage prend une dimension particulièrement importante en abordant la santé mentale dans le domaine de la cybersécurité. Le stress du métier, les incidents de sécurité, et même la victimisation par des cyberfrauds peuvent avoir des impacts dévastateurs sur les professionnels. Éric et Sylvie rappellent avoir vu des gestionnaires partir en épuisement professionnel après des incidents, et insistent sur l’importance de ne pas blâmer les victimes d’erreurs humaines. Ils encouragent vivement la communauté à créer des réseaux de soutien, à surveiller le bien-être de leurs collègues, et à ne pas hésiter à demander de l’aide. Le travail à distance post-COVID a aggravé l’isolement, rendant encore plus crucial de maintenir des contacts humains significatifs lors d’événements communautaires. Un héritage durable Michel Cusin laisse derrière lui un héritage considérable : des formations de qualité en français, des événements communautaires florissants, une culture d’entraide et d’inclusion, et l’exemple d’un professionnel passionné qui donnait sans compter à sa communauté. Son énergie pure, son accessibilité et son dévouement continuent d’inspirer la communauté de cybersécurité québécoise. L’hommage se termine sur un appel à perpétuer les valeurs de Michel : l’ouverture, le soutien mutuel, et l’importance de prendre soin les uns des autres dans une industrie exigeante où la collaboration et l’humanité sont essentielles. Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric Parent Crédits Montage par Intrasecure inc Locaux réels par BAnQ

Parce que… c’est l’épisode 0x629! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Apple Memory Integrity Enforcement: A complete vision for memory safety in Apple devices iCloud Calendar abused to send phishing emails from Apple’s servers Dormant macOS Backdoor ChillyHell Resurfaces Microsoft Microsoft Patch Tuesday September 2025 Fixes Risky Kernel Flaws Senator blasts Microsoft for making default Windows vulnerable to “Kerberoasting” Senator blasts Microsoft for ‘dangerous, insecure software’ that helped pwn US hospitals Microsoft adds malicious link warnings to Teams private chats Microsoft cloud services disrupted by Red Sea cable cuts Microsoft is officially sending employees back to the office. Read the memo Supply chain Hackers Booked Very Little Profit with Widespread npm Supply Chain Attack Hackers Hijacked 18 Very Popular npm Packages With 2 Billion Weekly Downloads Défensif The Quiet Revolution in Kubernetes Security TailGuard - La solution Docker qui marie WireGuard et Tailscale pour du VPN surpuissant Geedge & MESA Leak: Analyzing the Great Firewall’s Largest Document Leak Forget disappearing messages – now Signal will store 100MB of them for you for free Introducing Signal Secure Backups We have early access to Android Security Bulletin patches MISP 2.5.21 Released with a new recorrelate feature, various fixes and updates Threat Actor Installed EDR on Their Systems, Revealing Workflows and Tools Used Offensif Jaguar Land Rover discloses a data breach after recent cyberattack Jaguar Land Rover extends shutdown after cyber attack Salty2FA Takes Phishing Kits to Enterprise Level Police Body Camera Apps Sending Data to Cloud Servers Hosted in China Via TLS Port 9091 Weaponizing Ads: How Governments Use Google Ads and Facebook Ads to Wage Propaganda Wars Spectre haunts CPUs again: VMSCAPE vulnerability leaks cloud secrets VirusTotal finds hidden malware phishing campaign in SVG files IA CVE-2025-58444 - MCP Inspector is Vulnerable to Potential Command Execution via XSS When Connecting to an Untrusted MCP Server Cursor AI Code Editor RCE Vulnerability Enables “autorun” of Malicious on your Machine The Software Engineers Paid to Fix Vibe Coded Messes TheAuditor - L’outil de sécurité qui rend vos assistants IA moins laxistes sur la sécurité de votre code Insolite / Divers Brussels faces privacy crossroads over encryption backdoors My Latest Book: Rewiring Democracy A love letter to Internet Relay Chat Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x628! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Qu’est-ce que l’intelligence artificielle ? L’intelligence artificielle, popularisée par ChatGPT, donne l’impression de faire de la magie, mais demeure fondamentalement un programme informatique standard. Elle prend des données en entrée, les transforme et produit des résultats. Malgré l’illusion d’intelligence qu’elle procure, il n’y a aucune véritable intelligence derrière : c’est un programme qui fonctionne différemment des logiciels traditionnels, mais sans conscience ni compréhension réelle. IA générative versus IA classique L’IA générative, popularisée par ChatGPT, représente un sous-ensemble de l’intelligence artificielle. L’IA classique utilise des algorithmes statistiques pour fournir des probabilités sur des événements spécifiques. L’IA générative s’appuie sur des grands modèles de langage entraînés sur d’énormes quantités de textes produits par des humains, ce qui lui permet d’imiter le langage humain. La distinction fondamentale : l’IA générative est un généraliste qui connaît un peu de tout sans grande profondeur, tandis que l’IA classique est un spécialiste capable d’adresser des problèmes très spécifiques propres à chaque entreprise. L’exemple donné est celui de la commission scolaire du Val-des-Cerfs qui a développé un modèle non génératif pour détecter les risques de décrochage scolaire. L’absence de réflexion réelle L’IA ne pense pas par elle-même : elle fonctionne uniquement par probabilités. Il n’y a aucune réflexion, aucune émotion, aucune volonté derrière ses réponses. L’interaction donne l’illusion d’une conversation avec un être intelligent, mais il s’agit d’une machine froide qui ne produit rien si on ne lui donne rien. Même les modèles “réflectifs” qui montrent leur cheminement de pensée ne font que se parler à eux-mêmes sans véritable raisonnement. Place de l’IA dans l’écosystème des PME L’utilité de l’IA générative dépend du secteur et des fonctions de la PME. Elle excelle comme outil de communication et peut servir en première ligne pour interagir avec d’autres humains avant de diriger vers une personne. Cependant, les PME devraient privilégier des algorithmes d’IA spécialisés, développés par des firmes spécialisées, pour répondre à leurs besoins spécifiques d’analyse ou d’amélioration de leurs moyens de production. Sécurité et confidentialité : un enjeu majeur La question n’est pas tant de sécurité que de confidentialité. Utiliser une IA gratuite équivaut à déposer du texte sur Facebook : le niveau de confidentialité est pratiquement nul. Les données transmises aux IA gratuites peuvent être conservées et utilisées pour entraîner les modèles. La localisation géographique des entreprises d’IA est cruciale : les IA chinoises comme DeepSeek sont sous surveillance gouvernementale, Mistral en France bénéficie de règles européennes plus strictes, tandis que les IA américaines sont soumises aux lois américaines. Un fait récent illustre cette problématique : une cour américaine oblige OpenAI à conserver toutes les communications, même celles qui sont effacées, rendant impossible l’effacement légal des conversations. Versions payantes : une protection partielle Les versions payantes offrent une meilleure protection dans leurs clauses contractuelles, confirmant que les données ne seront pas réutilisées pour d’autres fins que répondre aux questions posées. Cependant, la localisation de l’entreprise reste déterminante, et les limitations juridiques s’appliquent toujours. Les versions payantes n’utilisent pas un moteur différent ou diminué ; elles lèvent simplement les limitations sur le nombre et la longueur des questions, tout en garantissant que les données confidentielles ne serviront pas à entraîner le modèle. Hallucinations et erreurs : un danger persistant Les hallucinations – quand l’IA invente des réponses – restent un problème majeur. Bien que les modèles s’améliorent, les erreurs sont devenues plus subtiles et ne peuvent être détectées que par des experts du domaine concerné. C’est particulièrement dangereux dans les domaines où l’utilisateur n’a aucune connaissance, comme la médecine. Des outils comme Perplexity, qui effectuent des recherches web et fournissent des sources, offrent une alternative plus sûre, mais il faut toujours vérifier que les sources citées corroborent réellement les informations données. L’impérative vérification humaine La vérification humaine est absolument essentielle dans l’usage de l’IA générative. De nombreux cas médiatisés montrent les conséquences d’une absence de vérification, comme le festival d’été de Québec dont les images générées par IA présentaient des mains avec un doigt manquant. L’IA accélère le travail et améliore la qualité, mais un humain doit toujours intercepter les erreurs potentielles, qui peuvent survenir à tout moment de façon très subtile et convaincante. Les images générées par IA présentent encore des défis, notamment avec les mains, les visages et les petits détails. Bien que la situation s’améliore, une attention particulière reste nécessaire pour atteindre le niveau de perfection souhaité. Cadre légal : un Far West réglementaire En juillet 2025, ni le Québec ni le Canada n’ont de loi encadrant spécifiquement l’intelligence artificielle. Le projet de loi C-27 est mort au feuilleton avec la dissolution du Parlement. Le Canada a toutefois nommé un ministre de l’intelligence artificielle, laissant présager une future réglementation. L’Europe dispose de lois que certains jugent trop restrictives, tandis que les États-Unis ont levé la plupart des barrières à l’usage de l’IA. Conclusion : tester avec prudence Les PME doivent maîtriser l’outil avant de l’adopter, tester ses limites et comprendre ce qu’il peut réellement apporter. L’IA générative n’est pas nécessaire pour toutes les entreprises et peut n’être qu’un gadget sans valeur ajoutée réelle. Il est essentiel de ne pas se laisser aveugler par l’illusion et de mesurer le rapport coût-bénéfice, comme pour tout moyen de production. Remplacer des professionnels comme des graphistes par l’IA reste virtuellement impossible pour obtenir des résultats de qualité professionnelle, bien que l’outil puisse servir pour des itérations et des expérimentations créatives. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x627! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction : deux mondes indissociables Dans cet épisode spécial du podcast avec Christophe d’Arlhac, la discussion porte sur la sécurité physique et sa convergence croissante avec la cybersécurité. Ces deux domaines, autrefois traités en silos, sont devenus indissociables au cours des vingt dernières années. Chaque mois, leur interdépendance s’amplifie davantage. La raison est simple : un badge volé, une caméra piratée ou une clé USB perdue sont des actifs physiques qui génèrent rapidement des incidents numériques majeurs. Une fois qu’un acteur malveillant obtient un accès physique à un actif numérique, toutes les mesures de sécurité digitales deviennent inefficaces. Sans protection physique adéquate, la sécurité numérique est compromise. Les incidents réels et leurs conséquences Plusieurs cas concrets illustrent l’importance de cette convergence. Chez British Airways en 2018, des disques durs ont été physiquement volés, compromettant des millions de données utilisées ensuite pour du piratage. L’incident de Verkada en 2021 a exposé plus de 150 000 caméras dans des prisons, hôpitaux et entreprises, révélant un manque flagrant de segmentation réseau. Ces dispositifs censés protéger le physique sont devenus des portes d’entrée vers l’ensemble du système d’information. L’incendie du data center OVH à Strasbourg en 2021 démontre qu’au-delà des attaques malveillantes, les incidents accidentels peuvent avoir des répercussions catastrophiques. Des milliers de serveurs ont été détruits, impactant de nombreuses organisations. Ces incidents, bien que médiatisés, ne sont malheureusement pas isolés - les centres de données qui brûlent sont plus courants qu’on ne le pense. Un exemple plus banal mais révélateur : un data center installé dans une armoire où la personne effectuant le ménage débranchait quotidiennement le rack de serveurs pour brancher son aspirateur. Ce cas illustre qu’une sécurité physique déficiente peut entraîner des pertes de production et de données, même sans intention malveillante. L’évolution réglementaire Les normes internationales prennent de plus en plus en compte cette réalité. L’ISO 27001, l’ISO 22301, le RGPD, les lois de programmation militaire et la directive NIS 2 insistent lourdement sur la sécurité physique. Ces régulations imposent des contrôles renforcés, particulièrement pour les entreprises critiques, et exigent désormais explicitement la coordination entre les fonctions sûreté et cybersécurité. Cette évolution réglementaire reconnaît qu’il est devenu impossible de dissocier ce qui est physique de ce qui est numérique. Un téléphone utilisé pour l’authentification multifacteur est-il un actif physique ou numérique ? Un badge avec empreinte numérique relève-t-il du physique ou du cyber ? Ces questions illustrent la convergence complète des deux domaines. L’interdépendance technologique Les systèmes de contrôle d’accès, de détection, les caméras IP, les alarmes connectées et les capteurs divers créent une interdépendance forte entre physique et numérique. Cette réalité impose de repenser la gestion des incidents. Si les incidents cyber sont généralement bien tracés, les incidents physiques restent souvent confinés aux services d’accueil ou généraux, sans remonter aux RSSI, CISO ou DSI. Cette cloisonnement de l’information représente un risque majeur pour l’organisation. La résistance au partage d’information entre ces deux univers provient parfois de peurs légitimes : crainte pour son poste, charge de travail supplémentaire, perte de prérogatives. Pourtant, dépasser ces inquiétudes individuelles pour adopter une vision globale reste essentiel pour protéger efficacement l’entreprise. L’équation fondamentale de sûreté Un concept clé de la sécurité physique mérite d’être mieux connu en cybersécurité : l’équation de sûreté. Le temps de résistance d’une protection doit être strictement supérieur à la somme du temps de détection et du temps d’intervention. Cette formule simple permet d’optimiser la protection de sites dispersés, qu’il s’agisse d’éoliennes, de tours cellulaires ou d’installations hydroélectriques. Cette équation s’applique autant au physique qu’au numérique. L’intervention peut être à distance (un administrateur bloquant ou effaçant des données) ou physique (un agent de sécurité se déplaçant sur site). En multipliant les barrières - barriérages, caméras, alarmes, sas, portes blindées - on retarde l’intrusion et on laisse le temps à la détection et à l’intervention d’opérer. Le principe fondamental reste : retarder, détecter, réagir. Recommandations pratiques Pour améliorer la sécurité globale, plusieurs actions concrètes sont préconisées : limiter l’accès aux zones sensibles par des badges, surveillance humaine et vidéo redondante ; créer des comités de sécurité communs pour éviter l’exclusion et favoriser une vision d’ensemble ; prévoir des plans de secours et des redondances ; sécuriser tous les périphériques critiques ; segmenter les réseaux (notamment séparer caméras internes et externes). Il est recommandé d’instaurer un référent capable d’intégrer sûreté et cybersécurité, d’organiser des exercices hybrides combinant intrusion physique et incident cyber, et de réviser les politiques de sécurité pour inclure explicitement le volet physique. Des audits croisés entre équipes physiques et cyber permettraient de décloisonner les approches. La sensibilisation continue La sécurité physique ne se limite pas aux locaux de l’entreprise. Elle concerne aussi les salons professionnels, les transports, les restaurants. Trop de professionnels gardent leur badge visible en public, exposent leur laptop avec des autocollants identifiant leur employeur, ou publient sur les réseaux sociaux des photos compromettantes. Les badges comportent souvent des QR codes facilement copiables. La formation croisée des équipes constitue un levier d’amélioration majeur : les équipes de sûreté physique doivent être sensibilisées aux nouvelles technologies cyber, tandis que les équipes numériques doivent comprendre les problématiques physiques. Cette double formation créerait une cohésion renforcée et une culture de sécurité véritablement globale. Conclusion La convergence entre sécurité physique et cybersécurité n’est plus optionnelle. Les conflits internationaux actuels montrent d’ailleurs que l’attaque physique ne peut être dissociée du numérique, avec des technologies comme les drones téléguidés qui redistribuent les capacités militaires. Pour les entreprises, penser global et transverse n’est plus un choix mais une nécessité. Dans un monde où un simple aspirateur peut causer une panne de serveurs, et où un badge volé ouvre la porte à une cyberattaque, seule une approche intégrée garantit une protection efficace. Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x626! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Divers How Has IoT Security Changed Over the Past 5 Years? Hackers Leverage Raw Disk Reads to Bypass EDR Solutions and Access Highly Sensitive Files Qantas penalizes executives for July cyberattack CVE-2025-6785 - Tesla Model 3 Physical CAN Bus Injection Android drops mega patch bomb - 120 fixes, two already exploited Automated Sextortion Spyware Takes Webcam Pics of Victims Watching Porn SIM Swapping Attacks on the Rise – How eSIM can Make SIM Swapping Harder Europe Putin the blame on Russia after GPS jamming disrupts president’s plane Almost Every State Has Its Own Deepfakes Law Now No, Google did not warn 2.5 billion Gmail users to reset passwords IA Hackers Use AI Platforms to Steal Microsoft 365 Credentials in Phishing Campaign AI code assistants make developers more efficient at creating security problems Comment manipuler psychologiquement une IA ? Les techniques qui marchent vraiment LegalPWN - Pour piéger les IA avec les petites lignes Indirect Prompt Injection Attacks Against LLM Assistants BruteForceAI - L’IA qui cracke vos mots de passe Hackers Leverage Hexstrike-AI Tool to Exploit Zero Day Vulnerabilities Within 10 Minutes Ollama - 14 000 serveurs IA laissés en libre-service sur Internet Europe et souveraineté EUVD: first step toward Europe’s cybersecurity sovereignty? Switzerland Launches Apertus: A Public, Open-Source AI Model Built for Privacy EU court’s dismissal of US data transfer challenge raises privacy advocates’ ire SAP to invest over 20 billion euros in ‘sovereign cloud’ in boost to Europe’s AI ambitions Chaine d’approchées Blast Radius of Salesloft Drift Attacks Remains Uncertain Addressing the unauthorized issuance of multiple TLS certificates for 1.1.1.1 How big will this Drift get? Cloudflare cops to Salesloft Drift breach The impact of the Salesloft Drift breach on Cloudflare and our customers Zscaler Confirms Data Breach – Hackers Compromised Salesforce Instance and Stole Customer Data Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x625! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Ce podcast met en lumière une initiative novatrice de l’Université du Québec à Trois-Rivières (UQTR) visant à combler un manque criant dans le domaine de la cybersécurité au Québec. L’épisode réunit Gino Plourde, conseiller à la formation continue à l’UQTR, et Dominic Villeneuve, expert en cybersécurité avec plus de 25 ans d’expérience et directeur principal pour une compagnie d’assurance, également créateur du contenu de cette nouvelle formation. Les intervenants et leur expertise Gino Plourde occupe un rôle stratégique à l’UQTR, où il est responsable du créneau cybersécurité et intelligence artificielle. Son implication dans ce projet découle directement de sa mission de développer des programmes de formation adaptés aux besoins réels du marché québécois. Dominic Villeneuve apporte une double perspective technique et managériale, ayant œuvré dans le domaine de la cybersécurité pendant plus d’un quart de siècle. Son expérience pratique et sa connaissance approfondie des défis quotidiens des entreprises ont été essentielles dans la conception du programme. Un besoin identifié sur le marché L’équipe de l’UQTR a mené une étude de marché révélant une problématique majeure : les PME québécoises sont largement mal desservies en matière de formation en cybersécurité. Ces entreprises adoptent principalement une posture réactive plutôt que proactive face aux menaces informatiques, ce qui les rend particulièrement vulnérables. Le constat est d’autant plus alarmant que les formations existantes présentent deux lacunes importantes. D’une part, certains programmes sont désuets et enseignent encore des concepts obsolètes comme les antivirus à signatures, sans aborder les technologies modernes telles que l’EDR, le MDR ou le XDR. D’autre part, d’autres formations sont trop théoriques, se concentrant excessivement sur des cadres comme le NIST, sans offrir d’applications pratiques immédiates pour les PME. Une approche distinctive et ciblée L’UQTR a délibérément choisi de ne pas reproduire ce qui existe déjà sur le marché. Le programme FORCE évite la concurrence avec les offres des cégeps, des universités et des cours crédités existants (baccalauréats, maîtrises). L’institution a opté pour une formation qualifiante de courte durée, de niveau universitaire mais non créditée, développée spécifiquement par le service de la formation continue. Le public cible est clairement défini : les professionnels de l’informatique de première ligne dans les PME, souvent décrits comme des “Jack of all trades” qui cumulent de multiples responsabilités. Ces techniciens et administrateurs système doivent maintenant ajouter la cybersécurité à leur panoplie de compétences, d’où la nécessité d’une formation pratique et immédiatement applicable. Un contenu exhaustif et pratique Le programme couvre un spectre complet de sujets essentiels pour la protection des entreprises. Il aborde la gestion des risques, le calcul et l’évaluation des risques, la gestion des vulnérabilités, mais également des aspects très concrets comme le positionnement des caméras de sécurité ou le choix des serrures appropriées. Les modules touchent tous les aspects critiques de la cybersécurité : les applications, les systèmes d’exploitation, les réseaux, et l’Internet des objets (IoT), particulièrement important dans le secteur manufacturier. Le code applicatif est également étudié, permettant aux participants de comprendre les vulnérabilités dès la conception. La philosophie centrale du programme est que chaque module doit permettre une mise en pratique immédiate. Les participants peuvent appliquer leurs nouvelles connaissances dès le lendemain dans leur entreprise, comblant ainsi le fossé entre la théorie académique et les besoins opérationnels quotidiens. Structure et modalités de formation Le programme représente 140 heures de formation réparties sur 12 semaines, organisées en six modules. Cinq modules couvrent le contenu théorique et pratique, tandis qu’un sixième est entièrement dédié aux simulations, laboratoires et exercices pratiques. La formation se déroule entièrement en ligne, avec environ trois heures par semaine en direct obligatoire. Le reste du contenu est en autoapprentissage, permettant aux professionnels en activité de progresser à leur rythme. L’UQTR a investi dans une conseillère en andragogie numérique dédiée au projet pour garantir un contenu dynamique et engageant. L’approche pédagogique vise à maintenir l’attention des apprenants en variant les activités toutes les sept à huit minutes. Un engagement envers la pertinence continue L’un des éléments les plus innovants du programme est son mécanisme de mise à jour intégré. Un comité d’experts, dirigé par Dominic Villeneuve, révisera l’intégralité du contenu au minimum une fois par année, avec un objectif de deux révisions annuelles. Cette démarche est budgétisée et fait partie intégrante de la stratégie de l’UQTR. Les participants des cohortes précédentes recevront les mises à jour des modules, créant ainsi un modèle d’amélioration continue. Cette approche garantit que les diplômés de 2025 et ceux de 2028 auront accès à un contenu actualisé, reflétant l’évolution rapide du domaine. De plus, l’UQTR prévoit établir une communauté de pratique réunissant les participants actuels et anciens. Cette initiative favorisera les échanges sur les menaces émergentes, les meilleures pratiques et l’évolution constante de la cybersécurité. Détails pratiques de la première cohorte La première cohorte débute le 3 novembre, avec une structure en deux segments. Le premier bloc s’étend sur sept semaines jusqu’au 19 décembre, suivi d’une pause de trois semaines. Les activités reprennent le 12 janvier pour se terminer le 27 février. Les inscriptions sont acceptées jusqu’à 24 heures avant le début, dans la limite de 15 participants pour cette première édition. Cette limitation volontaire permet à Dominic Villeneuve d’offrir un soutien optimal aux apprenants, incluant l’animation d’un forum de discussion et une disponibilité d’une demi-heure par semaine pour des consultations individuelles. Conclusion Le programme FORCE de l’UQTR représente une réponse concrète et bien pensée à un besoin critique du marché québécois. En ciblant spécifiquement les PME et leurs professionnels polyvalents en TI, en offrant un contenu pratique et à jour, et en s’engageant dans une amélioration continue, l’UQTR se positionne comme un acteur clé dans le renforcement de la résilience cybersécuritaire des entreprises québécoises. Cette initiative démontre qu’il est possible de créer des programmes de formation agiles, pertinents et immédiatement applicables, essentiels dans un domaine en constante évolution. Notes Tarif préférentiel Tarif subventionné grâce à un partenariat avec UV Assurance de 2345$ + tx ( Tarif régulier de 2995$ + tx ). Pour plus de détails sur les tarifs, veuillez consulter la section Détails des tarifs. Tarif régulier Canada Le tarif régulier pour toute personne résidente au Canada : 2 995$ plus taxes applicables Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Tarif régulier hors Canada Le tarif régulier pour toute personne résidente hors Canada : 3 995$ plus taxes applicables Tarif subventionné PME et OBLN au Québec Le tarif subventionné en partenariat avec UV Assurance est offert à toute personne travaillant dans une PME québécoises (PME : entreprise de moins de 500 employés) ou les OBNL québécois : 2 345$ plus taxes applicables. Une preuve de NEQ (numéro d’entreprise du Québec) pourrait être demandée. **Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Programme de subvention Visées : Propulsez les compétences de vos équipes avec cette formation, et recevez jusqu’à 8 000$ de subvention! Formez vos employés et employées aux bénéfices de cette formation et bénéficiez d’un soutien financier pouvant aller jusqu’à 8000$ grâce au programme Visées. Une initiative de la Chambre de commerce du Montréal métropolitain et de la Fédération des chambres de commerce du Québec, financé par Upskill Canada (propulsé par Palette Skills) et le gouvernement du Canada. Conditions d’éligibilité: Votre entreprise doit posséder un NEQ, doit employer au minimum une personne salariée équivalent temps plein et ne pas être un organisme gouvernemental, public, municipal, ou scolaire ni être assujetties à la Loi M-30 ; La personne formée doit être légalement autorisée à travailler au Canada, détenir un permis de travail valide, et avoir 3 ans d’expérience professionnelle. FORCE-UQTR Aide financière Collaborateurs Nicolas-Loïc Fortin Gino Plourde Dominic Villeneuve Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm