PolySécure Podcast

Parce que… c’est l’épisode 0x701! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Les initiatives du gouvernement du Québec en cybersécurité Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité. Un parcours technique impressionnant Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique. Les 15 mesures obligatoires : une base solide En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics. Une surveillance centralisée 24/7/365 L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence. Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur. Le regroupement RHI : une révolution organisationnelle Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble. L’automatisation et la réactivité L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses. Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de 900 serveurs SharePoint. Reconnaissance internationale et création de CVE Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l’excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l’aide de pentesteurs virtuels basés sur l’IA. Le balayage de vulnérabilités : externe et interne Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d’attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l’identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS. Cet inventaire facilitera grandement la gestion des risques : lorsqu’une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d’alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels. Le défi des objets connectés Fournier identifie les objets connectés (IoT) comme un défi majeur pour l’avenir. Ces dispositifs, de plus en plus présents dans l’environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L’exemple du thermomètre d’aquarium ayant servi de point d’entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l’appareil gouvernemental représente le “Saint Graal” de la cybersécurité. Le projet de loi 82 et les infrastructures critiques Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l’eau, l’électricité, et d’autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l’eau. Conclusion Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l’automatisation des réponses, la surveillance continue, et l’adoption de technologies basées sur l’IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l’ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois. Collaborateurs Nicolas-Loïc Fortin Yvan Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x700! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce 12e épisode de collaboration entre Cyber Citoyen et Polysécure marque également la première année de partenariat entre les animateurs. Nicolas, Catherine Dupont-Gagnon et Samuel Harper abordent deux sujets majeurs d’actualité en cybersécurité : la controverse autour de Grok et les développements récents concernant les centres de fraude au Cambodge. Grok : une plateforme problématique Le problème de la pornographie juvénile générée par IA Le premier sujet abordé concerne Grok, l’outil d’intelligence artificielle de X (anciennement Twitter), qui soulève de graves préoccupations en matière de pornographie juvénile générée par IA. Les animateurs dénoncent l’hypocrisie apparente de ceux qui prétendent lutter contre ce fléau tout en tolérant l’existence de cette plateforme. Seuls quelques pays, notamment l’Indonésie et la Malaisie en Asie, ont officiellement bloqué Grok. L’Europe reste relativement passive, l’Angleterre mène une enquête, et les États-Unis ainsi que le Canada n’ont pris que des mesures limitées. Elon Musk a même dénoncé cette situation comme de la « censure », un choix de bataille que les animateurs trouvent particulièrement troublant. Les cas choquants Le podcast relate des histoires tragiques, notamment celle d’une jeune victime d’un incendie dont la photo mémoriale a été utilisée par des utilisateurs de X pour demander à Grok de générer des images pornographiques. Ces cas se multiplient, particulièrement lorsque des visages féminins ou de jeunes filles apparaissent en ligne. Les mesures insuffisantes Les premières barrières mises en place par Musk consistaient à limiter cette fonctionnalité aux comptes payants, créant des situations absurdes où l’outil proposait de passer au forfait premium pour accéder à ces fonctionnalités illégales. Les filtres sont facilement contournables, contrairement à d’autres plateformes comme Google, MidJourney ou ChatGPT qui ont mis en place des filtres stricts dès le départ. L’inaction des grandes entreprises Apple et Google n’ont pas retiré l’application de leurs boutiques, malgré les violations apparentes de leurs conditions d’utilisation. L’administration Trump actuelle montre une tolérance extrême envers ce type de contenu, et les tentatives européennes d’imposer des amendes ont été contrecarrées par des représailles, incluant la révocation de visas et le placement sur des listes de sanctions. Un problème sociétal plus large Les animateurs soulignent que le problème dépasse Grok. Craig Silverman, journaliste spécialisé dans la fraude en ligne, a découvert 25 000 publicités sur Meta en 2025 pour des applications de « deepnude ». La facilité d’accès à ces outils, comparativement à l’époque où il fallait maîtriser Photoshop, amplifie considérablement le problème. La génération instantanée d’images ne laisse pas le temps de réfléchir aux conséquences, facilitant les actes impulsifs de revenge porn et de harcèlement. Les centres de fraude au Cambodge Le contexte Le deuxième sujet porte sur les développements majeurs concernant les centres de fraude au Cambodge et au Myanmar. Ces « scam compounds » sont des centres où des personnes sont retenues en esclavage pour commettre des fraudes en ligne. Pendant la pandémie, d’anciens casinos se sont reconvertis en centres de fraude, représentant jusqu’à 60 % du PIB cambodgien. L’arrestation de Chen Ji Récemment, Chen Ji, un magnat de cette industrie membre du Prince Group (un conglomérat incluant une compagnie aérienne, des projets immobiliers et des casinos), a été arrêté au Cambodge et extradé vers la Chine. Cette arrestation est surprenante car Chen Ji avait des liens étroits avec le pouvoir cambodgien. En 2019, le premier ministre avait même refusé de l’extrader malgré les demandes chinoises. Les développements récents Suite à cette arrestation, plusieurs centres se sont vidés. À certains endroits, les gérants ont simplement ouvert les portes et laissé partir les prisonniers. Des centaines de ressortissants chinois se sont retrouvés devant l’ambassade à Phnom Penh, cherchant à rentrer chez eux. Des milliers de personnes sont dans les rues en situation de crise, certains ayant été retenus pendant des années après avoir perdu leur argent au casino et s’être fait confisquer leur passeport. Une répression sélective Plusieurs hauts gradés de la police et un général du ministère de l’immigration ont été démis de leurs fonctions pour implication dans le trafic humain. Cependant, la répression semble sélective : certains centres continuent d’opérer normalement, et des journalistes rapportent avoir vu des personnes tentant de s’échapper être rattrapées, battues et ramenées à l’intérieur. La fermeture des marchés de blanchiment Parallèlement, We Guarantee, le plus gros marché illégal de l’histoire (sur Telegram), appartenant à des proches du pouvoir cambodgien, a fermé en mai 2025 après qu’une compagnie d’enquête crypto ait exposé ses opérations de blanchiment. Son successeur, Todo Guarantee, a également fermé après 7 semaines. Les pressions internationales Les hypothèses suggèrent que les sanctions américaines, la pression de la Corée du Sud (qui a émis des avis de voyage contre le Cambodge) et surtout l’insistance chinoise ont forcé le Cambodge à agir. La Chine est particulièrement motivée car ce sont principalement ses citoyens qui sont victimes de ces fraudes et qui se font trafiquer dans ces centres. Conclusion Les animateurs concluent en soulignant l’inaction générale face à ces problèmes. Que ce soit pour Grok ou pour les centres de fraude, les pouvoirs en place tardent à agir efficacement. Ils comparent la situation à l’époque du Far West d’internet des années 90, où l’absence de conséquences encourageait tous les comportements. La professionnalisation et l’application de règles avaient alors permis d’améliorer la situation, mais aujourd’hui, on semble avoir régressé vers un état d’impunité, particulièrement sur les réseaux sociaux où la tolérance est devenue extrême sous l’administration Trump. Cette première année de collaboration se termine sur l’espoir que 2026 apportera des changements positifs, bien que les signes actuels ne soient pas encourageants. Notes Malaysia and Indonesia block X over deepfake smut • The Register Ofcom officially investigating X over Grok nudification • The Register Kevin Beaumont: “The UK government is to enforc…” - Cyberplace Apps like Grok are explicitly banned under Google’s rules—why is it still in the Play Store? - Ars Technica [California AG to probe Musk’s Grok for nonconsensual deepfakes The Record from Recorded Future News](https://therecord.media/california-grok-deepfakes-investigation) Kevin Beaumont: “X has finally climbed down ove…” - Cyberplace Ofcom continues X probe despite Grok ‘nudify’ fix • The Register [Elon Musk’s X says it will block Grok from making sexual images The Record from Recorded Future News](https://therecord.media/musk-x-grok-block-sexual) Campaigners demand Apple, Google remove Grok from stores • The Register [X serre la vis de sa plateforme de nudification, mais pas trop fort quand même Posts Le site de Korben](https://korben.info/grok-deepfake-nudification-abuse.html) [State Department Threatens UK Over Grok Investigation, Because Only The US Is Allowed To Ban Foreign Apps Techdirt](https://www.techdirt.com/2026/01/15/state-department-threatens-uk-over-grok-investigation-because-only-the-us-is-allowed-to-ban-foreign-apps/) [Elon Musk’s Grok ‘Undressing’ Problem Isn’t Fixed WIRED](https://www.wired.com/story/elon-musks-grok-undressing-problem-isnt-fixed/) Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x699! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Le ciel nous tombe sur la tête New Study Shows GPT-5.2 Can Reliably Develop Zero-Day Exploits at Scale An AI wrote VoidLink, the cloud-targeting Linux malware AIs are Getting Better at Finding and Exploiting Internet Vulnerabilities AI-powered cyberattack kits are ‘just a matter of time’ Fail West Midlands copper chief cops it after Copilot copped out When two years of academic work vanished with a single click L’humain dans tout ça Could ChatGPT Convince You to Buy Something? Why AI Keeps Falling for Prompt Injection Attacks Google Gemini Prompt Injection Flaw Exposed Private Calendar Data via Malicious Invites What an AI-Written Honeypot Taught Us About Trusting Machines Microsoft & Anthropic MCP Servers at Risk of RCE, Cloud Takeovers apply_chat_template() Is the Safety Switch Ukraine’s new defence minister vows data-driven overhaul of military AI Agents ‘Perilous’ for Secure Apps Such as Signal, Whittaker Says cURL removes bug bounties Nadella talks AI sovereignty at the World Economic Forum Wikipedia volunteers spent years cataloging AI tells. Now there’s a plugin to avoid them. Souveraineté European Open Digital Ecosystems What it’s like to be banned from the US for fighting online hate Europe wants to end its dangerous reliance on US internet technology Red A scammer’s blueprint: How cybercriminals plot to rob a target in a week Shostack + Associates > Threat Advisory: GPS Attacks [SA-26-01] Risky Chinese Electric Buses Spark Aussie Gov’t Review Blue Congressional appropriators move to extend information-sharing law, fund CISA IPv6 is not insecure because it lacks a NAT Microsoft Teams External Domain Anomalies Allow Defenders to Detect Attackers at Earliest Healthy Security Cultures Thrive on Risk Reporting Privacy Starmer stares down social media ban barrel in latest U-turn Europe’s GDPR cops dished out €1.2B in fines last year Microsoft Gave FBI BitLocker Encryption Keys, Exposing Privacy Flaw Shostack + Associates > Shostack + Friends Blog > Bitlocker, the FBI, and Risk TikTok Is Now Collecting Even More Data About Its Users. Here Are the 3 Biggest Changes Social Analyzer - Le détective du web qui scanne vos profils sociaux (OSINT) iCloud with Advanced Data Protection doesn’t delete your files Divers CISA won’t attend infosec industry’s biggest conference You Got Phished? Of Course! You’re Human… Internet Voting is Too Insecure for Use in Elections Work-from-office mandate? Expect top talent turnover, culture rot Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x698! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode, David Bizeul et Nicolas explorent l’interopérabilité entre composants de sécurité et présentent le projet Open XDR Architecture (OXA). La discussion met en lumière les défis de l’approche “best of breed” face à la plateformisation du marché de la cybersécurité, ainsi que les solutions innovantes pour favoriser l’interopérabilité. L’approche best of breed et ses défis David Bizeul se définit comme un fervent défenseur de l’approche best of breed, qui consiste à sélectionner la meilleure solution pour chaque problème spécifique en cybersécurité. Cette philosophie s’inscrit dans l’ADN de Sekoia, où l’ouverture et l’interopérabilité constituent des valeurs fondamentales. Cependant, cette approche se heurte à une réalité complexe : bien qu’un produit puisse être excellent dans son domaine, il ne représente qu’une lettre dans l’alphabet complet d’un workflow de cybersécurité. Le principal défi réside dans la compétition avec les grandes plateformes intégrées. Ces acteurs, principalement américains, ont pu racheter la concurrence pour des centaines de millions ou des milliards de dollars, créant des offres complètes de A à Z. Face à cette concentration, les éditeurs spécialisés doivent trouver des moyens alternatifs de créer de la valeur pour leurs clients sans disposer des mêmes ressources financières. Le projet Open XDR Architecture (OXA) Pour répondre à ces enjeux, trois sociétés françaises - Sekoia, Arfanglab et Glims - ont collaboré pour créer OXA. Sekoia propose une plateforme SOC, Arfanglab une solution EDR, et Glims une solution d’analyse de malware. Ensemble, ils ont développé une architecture ouverte permettant de faire du XDR (Extended Detection and Response) en favorisant l’interopérabilité entre différentes solutions technologiques de qualité. L’objectif d’OXA est de se positionner face aux acteurs plateformisants, non pas en suivant leur modèle d’acquisition agressive, mais en promouvant les standards, l’interopérabilité et des formats de données ouverts. Cette approche vise à faciliter les workflows entre différents composants de sécurité. Les différentes couches d’OXA Formats de données La première couche concerne les formats de données générés et consommés par les différentes solutions. Historiquement, le marché souffrait d’une prolifération de formats propriétaires, rendant l’intégration extrêmement complexe. OXA s’appuie sur des standards existants comme OCSF (Open Cyber Security Framework), qui définit un cadre pour les différents types de produits et leurs champs de données pertinents. L’objectif n’est pas de réinventer la roue, mais de promouvoir ce qui existe déjà et fonctionne bien. Spécifications d’API La deuxième couche aborde l’automatisation et la communication entre produits. Contrairement aux formats de données, il n’existe pas sur le marché de spécification d’API standardisée pour la cybersécurité. Chaque éditeur développe ses propres API propriétaires pour communiquer avec les EDR, firewalls ou SIEM. OXA propose une spécification d’API définissant comment les composants de sécurité devraient interagir : comment suspendre un processus sur un EDR, comment ajouter une règle de détection dans un SIEM, etc. Cette standardisation permet de gagner énormément de temps d’ingénierie. Au lieu de passer trois jours d’intégration pour chaque nouveau produit, multiplié par cent produits (soit 300 jours de travail), une API standardisée permettrait de minimiser drastiquement ces délais d’intégration, bénéficiant à l’ensemble de la communauté. Distribution de Threat Intelligence La troisième couche concerne la dissémination de la Threat Intelligence. L’idée est qu’un client ayant déjà payé pour une source de Threat Intelligence devrait pouvoir la distribuer à tous ses produits de sécurité, et non seulement à quelques-uns. Cela permet d’agir plus rapidement, plus près de la menace, en diffusant l’information directement aux équipements réseau ou endpoints avant même que les alertes n’arrivent au SIEM. L’analogie médicale et la spécialisation Nicolas établit une analogie pertinente avec la médecine pour illustrer l’évolution de la cybersécurité. Il y a 15 ans, le domaine était relativement limité et rudimentaire, comparable à la médecine générale d’il y a un siècle. Aujourd’hui, comme en médecine où personne n’accepterait qu’un généraliste pratique une neurochirurgie, la cybersécurité nécessite des spécialistes. La plateformisation ne fait plus sens dans un contexte où chaque domaine requiert une expertise pointue. Cette spécialisation se reflète également au niveau des professionnels et des entreprises. Il est désormais impossible pour une personne de maîtriser tous les aspects de la cybersécurité, tout comme une entreprise ne peut exceller dans tous les domaines simultanément. Vision future et Cyber Security Mesh Architecture David Bizeul établit un parallèle intéressant entre OXA et le concept de Cyber Security Mesh Architecture (CSMA) proposé par Gartner. Le CSMA représente une vision du marché où la cybersécurité est pensée comme un ensemble de composants travaillant en chaîne. OXA constitue une manière d’opérationnaliser cette vision, offrant aux clients la possibilité de choisir les meilleurs produits pour leur contexte spécifique tout en garantissant leur interopérabilité. Le projet intègre également un système de labels (bronze, silver, gold) permettant aux éditeurs de s’autodéclarer compatibles avec différents niveaux d’interopérabilité OXA. L’objectif est d’encourager les clients à favoriser l’interopérabilité plutôt que la plateformisation dans leurs appels d’offres et budgets. Avantages pour l’innovation Un aspect particulièrement intéressant d’OXA est son potentiel pour favoriser l’innovation. Une startup avec une simple preuve de concept peut se rendre compatible OXA et être rapidement intégrée dans des workflows matures de grands groupes. Par exemple, une startup développant une solution d’analyse de deepfakes pourrait être sollicitée dans un workflow de cybersécurité dès ses débuts, là où elle aurait dû attendre trois ans de maturation dans un modèle classique. Pour les utilisateurs, cette approche offre également une résilience accrue : si un produit ne satisfait plus ou si l’éditeur fait faillite, il peut être facilement remplacé par un autre produit compatible OXA, sans disruption majeure du workflow. Conclusion Le projet OXA, disponible sur le repository GitHub d’Open Cyber Alliance, représente une approche innovante pour repenser l’interopérabilité en cybersécurité. En promouvant les standards ouverts et en facilitant la collaboration entre solutions spécialisées, OXA offre une alternative crédible à la plateformisation dominante, au bénéfice tant des éditeurs que des utilisateurs finaux. Notes Open XDR Architecture: redefining the contours of XDR Open XDR architecture Open Cybersecurity Alliance Github opencybersecurityalliance/oxa Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux réels par Sekoia

Parce que… c’est l’épisode 0x697! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : Le contrat comme socle de démarrage Dans cet épisode spécial PME consacré aux fournisseurs de services gérés (MSP), les experts Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet crucial : le contrat MSP. Après avoir défini ce qu’est un MSP dans un épisode précédent, ils se concentrent maintenant sur l’importance de bien formaliser la relation contractuelle, qui constitue le socle de démarrage de tout partenariat MSP. Le contrat définit la portée du travail, la valeur apportée et les modalités du partenariat entre l’entreprise et son fournisseur de services. L’importance de la formalisation Lorsqu’une entreprise décide de confier une partie de ses activités TI à un MSP, elle lui confie ce qu’elle a de plus précieux : ses systèmes d’information. Cette démarche ne peut se faire à la légère ou sur une simple entente verbale. Il est essentiel de formaliser les règles et les attentes dès le départ. Comme le soulignent les intervenants, quand tout va bien, personne ne se pose de questions, mais lorsque des problèmes surviennent, il devient crucial d’avoir un contrat clair pour apporter les éclaircissements nécessaires. La clarification des rôles et responsabilités Un des éléments fondamentaux à définir avant de signer un contrat est de déterminer précisément qui sera en charge de quoi. Selon le niveau de service choisi, le MSP peut effectuer des tâches très basiques, comme la simple revente de licences avec un service minimal, ou prendre en charge l’ensemble des opérations TI de l’entreprise. Il existe une multitude d’options sur le marché, et il est impératif de choisir celle qui convient le mieux aux besoins spécifiques de l’entreprise. L’erreur à éviter est de présumer que le MSP répondra automatiquement à tous les besoins sans vérifier ce qui est réellement inclus dans le contrat. Par exemple, si un MSP vend des licences Microsoft, cela ne signifie pas nécessairement qu’il assurera la configuration et la gestion de la console. De même, la vente d’une solution de sauvegarde comme Veeam ne garantit pas que le MSP gérera les backups au quotidien. Les trois niveaux de service : buy, build, run Dominique Derrier introduit une distinction importante entre trois niveaux de service : Buy (achat/revente) : L’achat et la revente de licences, permettant de profiter des effets de volume du MSP pour réaliser des économies ou accéder à des produits normalement réservés aux grandes entreprises. Build (mise en place) : La configuration initiale et le déploiement des solutions, incluant la première mise en marche et l’initialisation des systèmes. Run (opérationnel) : La gestion quotidienne et l’opérationnalisation des services TI. Il est crucial de bien comprendre ces trois volets lors de l’achat de services MSP. Posséder un produit sans l’avoir installé ni opérationnalisé, ou inversement, avoir la mise en place sans l’opération quotidienne, crée des lacunes problématiques dans la couverture des besoins TI. Le partenariat d’affaires et la vision à long terme Les experts insistent sur la notion de partenariat d’affaires. Le MSP doit être perçu comme un véritable partenaire, car en cas d’incident, c’est lui qui sera là pour remonter les systèmes et assurer la continuité des opérations. Cette relation de confiance est essentielle, particulièrement dans l’adversité. Il faut éviter à tout prix de se retrouver dans une situation où, lors d’un incident, personne ne sait qui est responsable de quoi, ajoutant une complexité et une tension inutiles à un moment critique. Lors du choix d’un MSP, il est important de ne pas penser uniquement au présent, mais aussi de se projeter dans l’avenir. Il faut évaluer la capacité du fournisseur à accompagner l’entreprise sur une durée de cinq ans ou plus. Les limites et l’importance de la transparence Un bon MSP doit être transparent sur ce qui n’est pas inclus dans le contrat. Les intervenants mettent en garde contre les vendeurs évasifs qui évitent de parler des exclusions par peur de perdre la vente. Un vendeur de confiance présentera de manière très concrète ce qui est inclus et ce qui ne l’est pas. Cette transparence est un indicateur de fiabilité. L’entreprise cliente doit se sentir écoutée et comprendre que le MSP cherche réellement à répondre à ses besoins spécifiques, plutôt que de simplement vendre le service le plus cher. Dans certains cas complexes, il peut être judicieux d’engager un consultant ou un RSSI virtuel pour accompagner le choix du MSP. Les clauses contractuelles essentielles Plusieurs clauses importantes doivent figurer dans un contrat MSP : Clause d’auditabilité : Elle permet à l’entreprise de se réserver le droit de demander un audit du MSP. Même si cet audit n’est jamais réalisé, cette clause garde une porte ouverte et maintient une certaine vigilance. Service Level Agreements (SLA) avec pénalités : Les SLA doivent inclure des pénalités en cas de non-respect des engagements. Cependant, ces SLA doivent être bilatéraux. Le client doit aussi s’engager, par exemple à répondre dans un délai raisonnable aux demandes du MSP concernant les mises à jour de sécurité. Clause de réversibilité : Cette clause définit les modalités de séparation au cas où l’entreprise souhaiterait changer de MSP. Paradoxalement, l’existence de cette clause tend à prolonger la durée des contrats, car elle crée de la transparence et évite le sentiment d’être piégé. La responsabilisation mutuelle Comme le souligne Cyndie, les attentes envers un MSP sont similaires à celles envers des employés internes. On attend du personnel TI interne qu’il assure le service convenu, qu’il lève la main lorsqu’il est débordé, et qu’il respecte les rôles et responsabilités établis. Il en va de même pour un MSP. Conclusion Le contrat MSP n’est pas un document à prendre à la légère. Il constitue la fondation d’un partenariat qui peut durer plusieurs années. Comme dans un mariage, selon l’analogie de Dominique, il vaut mieux avoir un bon contrat sur lequel se replier quand les choses vont mal, même si l’espoir est de ne jamais en arriver là. L’objectif n’est pas de discréditer les MSP, mais de s’assurer que le contrat protège à la fois le client et le fournisseur, permettant ainsi une collaboration fructueuse et durable. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x696! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Grok… What Should We Learn From How Attackers Leveraged AI in 2025? LLMs are Accelerating the Ransomware Lifecycle to Gain Speed, Volume, and Multilingual Reach Prompt injection Anthropic’s Files API exfiltration risk resurfaces in Cowork New One-Click Microsoft Copilot Vulnerability Grants Attackers Undetected Access to Sensitive Data Claude Cowork – Quand l’IA d’Anthropic se fait exfiltrer vos fichiers Signal Signal creator Moxie Marlinspike wants to do for AI what he did for messaging ‘Signal’ President and VP warn agentic AI is insecure, unreliable, and a surveillance nightmare ‘Most Severe AI Vulnerability to Date’ Hits ServiceNow ChatGPT will get ads. Free and Go users first Souveraineté Cloudflare CEO threatens to pull out of Italy Italy’s privacy watchdog, scourge of US big tech, hit by corruption probe La France remet ça et ordonne aux VPNs de bloquer encore plus de sites pirates China bans U.S. and Israeli cybersecurity software over security concerns SéQCure 2021 - Splinternet par Franck Desert AWS flips switch on Euro cloud as sovereignty fears mount Dutch experts warn U.S. takeover of DigiD platform poses national security risks Escaping the trap of US tech dependence Privacy Privacy and Cybersecurity Laws in 2026 Pose Challenges Police Unmask Millions of Surveillance Targets Because of Flock Redaction Error UK backtracks on digital ID requirement for right to work France fines telcos €42M for issues leading to 2024 breach US regulator tells GM to hit the brakes on customer tracking Foreigners’ data stolen in hack of French immigration agency Red Facebook login thieves now using browser-in-browser trick More than 40 countries impacted by North Korea IT worker scams, crypto thefts Never-before-seen Linux malware is “far more advanced than typical” Predator spyware demonstrates troubleshooting, researcher-dodging capabilities OGhidra - Dopage à l’IA pour Ghidra en local China spies used Maduro capture as lure to phish US agencies A simple CodeBuild flaw put every AWS environment at risk Pourquoi votre vieux serveur Windows est une bombe à retardement, et comment la désamorcer Windows? Linux? Browser? Same Executable Blue Selectively showing “act on your behalf” warning for GitHub Apps is in public preview Python Software Foundation News: Anthropic invests $1.5 million in the Python Software Foundation and open source security Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws CISO Succession Crisis Highlights How Turnover Amplifies Risks Divers Internet monitoring experts say Iran blackout likely to continue Access to Elon Musk’s Starlink internet service is now free in Iran as regime continues brutal crackdown on protests Poland says it repelled major cyberattack on power grid, blames Russia Judge tosses CrowdStrike shareholder suit over 2024 outage 1980s Hacker Manifesto Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x695! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Sandra Aubert, fondatrice de FF2R (From Fiction to Reality), révolutionne l’approche de la sensibilisation aux risques majeurs en entreprise. Son concept audacieux : transformer la formation en cybersécurité et autres sujets arides en séries cinématographiques addictives, façon Netflix. Cette innovation marque une rupture totale avec les méthodes traditionnelles de sensibilisation. Une nouvelle approche de la formation Contrairement aux capsules de sensibilisation classiques - souvent stériles et dépourvues d’émotions - Sandra Aubert propose une plateforme de streaming à la demande qui diffuse des séries immersives et fictives. L’objectif : rendre la formation aussi captivante qu’une série que l’on dévore en une soirée. Son projet phare, Plan Blanc, illustre parfaitement cette approche. Commandée par le ministère de la Santé, l’ARS et la Fédération hospitalière de France, cette série en six épisodes de trois minutes plonge le spectateur au cœur d’une cyberattaque majeure dans un CHU. Pour la première fois, on entre dans la cellule de crise et on vit l’effondrement d’un système hospitalier avec des comédiens professionnels. La force du cinéma au service de la pédagogie Ce qui distingue FF2R, c’est l’authenticité cinématographique. Sandra Aubert et son réalisateur signature, Valérian Cadissi, ne font pas de simples vidéos : ils créent du véritable cinéma. Chaque production respecte les codes du septième art : scénario travaillé, acteurs professionnels, tournage dans des lieux réels, colorimétrie soignée, musiques originales composées sur mesure. Les personnages, comme Cassandre et Thomas dans Plan Blanc, sont développés avec une psychologie complète. L’équipe maîtrise l’art du cliffhanger pour créer l’envie de voir l’épisode suivant immédiatement. Le résultat : des séries qui pourraient être diffusées sur n’importe quelle plateforme de streaming grand public. L’alliance de la créativité et de l’expertise technique La réussite de cette approche repose sur un équilibre délicat entre créativité et rigueur technique. Pour Plan Blanc, Sandra Aubert s’est entourée de Steven Garnier, expert en cybersécurité au ministère de la Santé, garantissant ainsi l’exactitude technique du scénario. Cette collaboration permet de créer des contenus crédibles et respectueux de la réalité du terrain. Les professionnels de la cybersécurité qui découvrent Plan Blanc témoignent : “C’est vraiment comme ça que ça se passe”. La série aborde tous les sujets - phishing, piggy backing, social engineering - sans tomber ni dans l’anxiogène ni dans le ridicule. Une méthodologie adaptée à l’ère moderne Sandra Aubert a compris les réalités de notre époque : la bande passante d’attention est faible, le temps est précieux, et personne ne veut subir une formation. Sa solution : proposer des épisodes courts (3-4 minutes) que l’on peut regarder quand on le souhaite, dans son canapé, potentiellement en famille. Cette approche crée une nouvelle méthodologie : on ne se forme plus, on “binge-learn”. Le format court et addictif, inspiré des neurosciences, maximise la rétention d’information en générant des émotions fortes. Comme dans une histoire d’amour, on n’oublie jamais ce qu’on a ressenti. Des résultats impressionnants Les chiffres parlent d’eux-mêmes : la plateforme affiche un taux de rétention de 86%, et les utilisateurs reviennent en moyenne entre 4 et 7 fois regarder la même série. Au-delà de la consommation individuelle, les séries servent aussi d’outils de discussion en entreprise. Les managers les utilisent en réunion pour lancer des sujets, créant ainsi des moments de convivialité et de partage plus engageants qu’un PowerPoint traditionnel. Une production artisanale et personnalisée FF2R refuse la facilité du catalogue standardisé. Chaque production est du sur-mesure, adaptée aux besoins spécifiques de l’entreprise cliente. L’équipe va jusqu’à organiser des castings en interne pour intégrer les employés comme acteurs secondaires ou figurants. Voir son collègue jouer dans la série crée un effet de proximité et d’engagement supplémentaire. Cette approche artisanale est rendue possible par une équipe réduite de sept personnes seulement - un exploit dans le monde du cinéma. Cette agilité permet de livrer des projets complets (plateforme et série) en moins de trois mois, tout en maintenant une qualité digne des grandes productions. Un impact qui dépasse le cadre professionnel L’innovation de Sandra Aubert va au-delà de la simple sensibilisation. Elle crée une culture de vigilance en entreprise tout en touchant potentiellement la sphère personnelle. Regarder ces séries en famille permet de sensibiliser aussi les proches aux risques cyber, créant un langage commun et des réflexes de sécurité qui transcendent la frontière travail-vie personnelle. Cette dimension humaine est centrale : les séries montrent que derrière les crises, il y a des hommes et des femmes qui peuvent craquer sous la pression. Elles rappellent que la faille est souvent humaine, mais que cette “parfaite imperfection” est aussi notre force. Vers l’avenir Sandra Aubert ne compte pas s’arrêter là. Elle constitue un comité d’experts en cybersécurité pour enrichir ses futures productions et prépare déjà une suite à Plan Blanc. Son catalogue s’étend aussi à d’autres domaines : financement du terrorisme, déontologie, conformité. Elle envisage même d’ouvrir un bureau à Montréal pour conquérir le marché québécois. Conclusion En transformant la sensibilisation en cybersécurité en expérience cinématographique, Sandra Aubert prouve qu’il est possible de concilier rigueur pédagogique et plaisir de consommation. Son approche rappelle que depuis la nuit des temps, l’humanité transmet ses connaissances à travers les histoires. FF2R réinvente simplement cette tradition ancestrale avec les outils du XXIe siècle, démontrant que la meilleure façon d’apprendre reste celle qui nous fait ressentir des émotions. Notes À venir Collaborateurs Nicolas-Loïc Fortin Sandra Aubert Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x694! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode spécial consacré aux PME, l’équipe composée de Cyndie Fletz, Nicolas Milot et Dominique Derrier explore un sujet crucial pour les entreprises modernes : le rôle des MSP (Managed Service Providers) et leur contribution à la gestion des technologies de l’information. Cette discussion vise à démystifier ce qu’est un MSP, à clarifier son utilité et à mettre en lumière les bonnes pratiques d’engagement avec ces partenaires technologiques. Qu’est-ce qu’un MSP ? Un MSP, ou Managed Service Provider, est une entreprise spécialisée en technologies de l’information qui permet aux organisations d’externaliser la gestion de leur infrastructure TI plutôt que d’embaucher du personnel technique en interne. Il s’agit essentiellement d’impartition de services TI, où une compagnie confie la responsabilité de ses systèmes informatiques à un fournisseur externe spécialisé. Contrairement à ce que l’on pourrait penser, ce concept n’est pas nouveau. L’impartition de services TI existe depuis les années 1980, soit depuis plus de quarante ans. Cette longévité s’explique par le fait que les entreprises ont rapidement compris que leur mission principale n’était généralement pas de gérer une infrastructure technologique complexe, mais plutôt de se concentrer sur leur cœur de métier. Les raisons d’engager un MSP L’expertise spécialisée La première raison justifiant le recours à un MSP est l’accès à une expertise technique appropriée. Gérer correctement une infrastructure TI ne s’improvise pas et ne peut être fait “à la fin de semaine”. Lorsqu’une entreprise commence à croître et que les risques liés aux technologies augmentent, il devient essentiel de faire appel à des professionnels capables d’effectuer les maintenances, les mises à jour et d’assurer le bon fonctionnement continu des systèmes. La gestion du risque Le choix d’un MSP relève principalement d’un calcul de risque. Les entreprises doivent se poser la question fondamentale : combien coûterait une panne de nos systèmes ? Est-il préférable d’investir dans la prévention ou de risquer des réparations coûteuses en cas de défaillance majeure ? Cette réflexion s’applique à toutes les tailles d’entreprise, même celles de 15 à 20 employés utilisant uniquement des services cloud comme Google Drive. L’analogie du garagiste L’entretien informatique peut être comparé à l’entretien automobile. Tout comme une voiture nécessite des changements d’huile réguliers, des rotations de pneus et diverses vérifications périodiques, les systèmes TI requièrent une maintenance constante. Ignorer ces besoins d’entretien peut conduire à des défaillances catastrophiques, similaires à un moteur qui cesse de fonctionner par manque d’huile. Le coût de remplacement d’une infrastructure TI complètement défaillante, comme celui d’un moteur automobile, peut s’avérer prohibitif et souvent supérieur au coût d’un entretien préventif régulier. Le MSP agit donc comme un garagiste spécialisé qui possède les outils, les connaissances et l’expérience nécessaires pour maintenir les systèmes en bon état de fonctionnement. La plupart des dirigeants d’entreprise, bien qu’ils puissent “mettre de l’essence” (effectuer des tâches basiques), ne possèdent pas les compétences pour “changer les roulements de roue” (effectuer des opérations techniques complexes). La disponibilité et l’hygiène informatique Les MSP jouent un rôle crucial dans l’un des trois piliers de la cybersécurité : la disponibilité (aux côtés de l’intégrité et de la confidentialité). Ils assurent que les actifs informatiques restent opérationnels, permettant aux entreprises d’émettre des factures, de traiter des commandes et de servir leurs clients sans interruption. L’hygiène informatique, concept développé par les professionnels de la sécurité pour rendre la maintenance accessible au grand public, implique des actions régulières comme l’application de correctifs, la mise à jour des logiciels et la protection antivirus. Cette responsabilité incombe au propriétaire de l’entreprise, qui doit décider s’il possède les compétences nécessaires pour l’assumer en interne ou s’il est préférable de la confier à un MSP dont c’est la mission première. Ce qu’un MSP n’est pas Il est essentiel de comprendre qu’engager un MSP ne délègue pas la responsabilité ultime des données et de la sécurité de l’entreprise. En cas de fuite de données ou d’incident de sécurité, c’est l’entreprise cliente qui demeure légalement responsable, pas le MSP. Cette réalité souligne l’importance de choisir soigneusement son partenaire MSP et de maintenir une relation de collaboration active. L’analogie de la garderie Une métaphore particulièrement éloquente compare le MSP à une garderie. Tout comme les parents confient ce qu’ils ont de plus précieux – leurs enfants – à une garderie pendant qu’ils travaillent, les entreprises confient leurs systèmes informatiques à un MSP. Dans les deux cas, on s’attend à : Des soins quotidiens appropriés Une intervention rapide en cas de problème mineur Une communication immédiate pour les situations graves Un rapport régulier sur l’état général Une optimisation et un développement continus Cependant, tout comme les parents ne délèguent pas l’éducation complète de leurs enfants à la garderie, les entreprises ne peuvent pas déléguer entièrement toutes leurs responsabilités TI au MSP. Il existe des paramètres clairs définis dans le contrat qui établissent les responsabilités de chaque partie. L’importance du partenariat et de la vérification La relation avec un MSP doit être vue comme un véritable partenariat plutôt qu’une simple relation client-fournisseur. Il est crucial de bien définir les termes de l’engagement dès le début : quels services sont couverts, quels sont les horaires d’intervention, quelles sont les limites de responsabilité ? De plus, tout comme des parents vérifient avec leurs enfants comment s’est passée leur journée à la garderie, les entreprises doivent auditer régulièrement le travail de leur MSP. Cette approche de “confiance zéro” (zero trust) garantit que les rapports fournis correspondent à la réalité et que les maintenances promises sont effectivement réalisées. Conclusion Le choix d’un MSP représente une décision stratégique importante pour toute PME. Ces partenaires permettent d’accéder à une expertise technique de haut niveau, assurent la résilience des systèmes, maintiennent l’hygiène informatique et contribuent à la disponibilité continue des actifs technologiques. Cependant, cette relation nécessite une définition claire des responsabilités, une communication régulière et une vérification périodique pour garantir que le partenariat fonctionne de manière optimale. En fin de compte, pour les entreprises modernes où la technologie est essentielle au fonctionnement quotidien, le MSP devient un allié indispensable dans la réussite et la croissance de l’organisation. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x693! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Grok / juvénile Grok Is Pushing AI ‘Undressing’ Mainstream Grok assumes users seeking images of underage girls have “good intent” Dems pressure Google, Apple to drop X app as international regulators turn up heat Tim Cook and Sundar Pichai are cowards MCP The 5 Knights of the MCP Apocalypse 😱 MCP is a fad VSCode IDE forks expose users to “recommended extension” attacks Are Copilot prompt injection flaws vulnerabilities or AI limits? OpenAI patches déjà vu prompt injection vuln in ChatGPT Devs doubt AI-written code, but don’t always check it Code is a liability (not an asset) from Cory Doctorow Eurostar AI vulnerability: when a chatbot goes off the rails Max severity Ni8mare flaw lets hackers hijack n8n servers Red Trusted Hackers Exploited Routing Scenarios and Misconfigurtions to Effectively Spoof Organizations Google Cloud phishing bypasses email filters MatheuZSecurity/Singularity: Stealthy Linux Kernel Rootkit for modern kernels (6x) Kernel bugs hide for 2 years on average. Some hide for 20. ClickFix attack uses fake Windows BSOD screens to push malware Telegram héberge le plus grand marché noir de l’histoire (et tout le monde s’en fout) La clé magique qui déverrouille tous les scooters Äike Lack of MFA Is Common Thread in Vast Cloud Credential Heist Phishers Exploit Office 365 Users Who Let Their Guard Down The Story of a Perfect Exploit Chain: Six Bugs That Looked Harmless Until They Became Pre-Auth RCE in a Security Appliance Blue Email Microsoft cancels plans to rate limit Exchange Online bulk emails Everything You Need to Know About Email Encryption in 2026 Email security needs more seatbelts: Why click rate is the wrong metric Microsoft to enforce MFA for Microsoft 365 admin center sign-ins Privacy The nation’s strictest privacy law just took effect, to data brokers’ chagrin Why Most Websites Don’t Need Cookie Consent Banners Palantir - L’histoire secrète de l’œil numérique qui voit tout Souveraineté Cloudflare pours cold water on Venezuela attack BGP theory Fact Sheet: President Donald J. Trump Withdraws the United States from International Organizations that Are Contrary to the Interests of the United States French-U.K. Starlink rival pitches Canada on ‘sovereign’ satellite service for Arctic military operations Brussels plots open source push to pry Europe off Big Tech Divers Justice French Court Orders Google DNS to Block Pirate Sites, Dismisses ‘Cloudflare-First’ Defense Italy Fines Cloudflare €14 Million for Refusing to Filter Pirate Sites on Public 1.1.1.1 DNS Iran [Iran Goes Dark as Government Cuts Itself Off from Internet Kentik](https://www.kentik.com/analysis/iran-goes-dark-as-government-cuts-itself-off-from-internet/) [As Iranian regime shuts down internet, even Starlink seemingly being jammed The Times of Israel](https://www.timesofisrael.com/iran-appears-to-jam-starlink-after-shutting-down-comms-networks/) How Hackers Are Fighting Back Against ICE Instagram Data Leak Exposes Sensitive Info of 17.5M Accounts 2025 in retrospect & happy new year 2026! – Gentoo Linux Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x692! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce deuxième épisode du podcast technique avec Charles F. Hamilton explore en profondeur les techniques d’évasion des solutions EDR (Endpoint Detection and Response) et les stratégies que les red teamers peuvent utiliser pour contourner ces systèmes de détection. La discussion révèle que malgré les avancées technologiques, les EDR restent vulnérables à des techniques relativement simples lorsqu’on comprend leurs mécanismes de détection. Les limites de la détection EDR Corrélation réseau et named pipes Un exemple concret illustre les faiblesses des EDR modernes : un exécutable malveillant qui communique avec internet tout en effectuant de la reconnaissance sur le réseau interne. Les EDR “top tier” détectent généralement cette activité anormale grâce au machine learning, identifiant qu’un processus communique simultanément vers l’extérieur et vers le réseau local via SMB, Kerberos ou d’autres protocoles. La solution de contournement est élégante : utiliser les named pipes de Windows. Cette fonctionnalité native permet la communication inter-processus. En séparant les tâches entre deux processus indépendants - l’un gérant les communications externes, l’autre la reconnaissance interne - et en les faisant communiquer via named pipes, on brise complètement la chaîne de détection du machine learning. Cette technique, enseignée depuis 8 ans dans les formations red team, demeure efficace. Des signatures déguisées Paradoxalement, malgré leurs prétentions, les EDR fonctionnent encore largement sur des principes de signatures. La différence avec les antivirus traditionnels réside davantage dans où ils appliquent cette détection - non seulement sur le disque, mais aussi en mémoire et au niveau comportemental. Le compromis entre faux positifs et détection reste délicat : générer 1500 alertes par jour conduirait à l’“alert fatigue” et rendrait le système inutile. Techniques d’obfuscation et d’évasion La randomisation intelligente Pour éviter la détection statique, l’obfuscation doit être réfléchie. Un piège courant : générer des variables aléatoires de longueur fixe (par exemple, toujours 16 caractères). Les règles Yara peuvent détecter ce pattern. La solution consiste à introduire de la randomness dans le random : utiliser des longueurs variables (entre 6 et 22 caractères) et concaténer plusieurs mots du dictionnaire plutôt que des chaînes purement aléatoires. Nettoyage de la mémoire L’obfuscation ne s’arrête pas à l’exécution. Même après déchiffrement en mémoire, des artefacts subsistent. Par exemple, Cobalt Strike laisse des patterns reconnaissables dans les premiers bytes du shellcode. La stratégie recommandée utilise plusieurs threads d’exécution : un pour déchiffrer et lancer le shellcode, un autre pour nettoyer la mémoire des variables intermédiaires. Bien que les EDR ne scannent pas la mémoire en continu (ce serait trop coûteux en performance), ces artefacts restent détectables. Protection au niveau kernel Protected Process Light (PPL) Microsoft a introduit les PPL pour protéger les processus critiques comme LSASS. Même avec des privilèges système, un attaquant ne peut accéder à ces processus. Le problème : le kernel reste le point de confiance ultime. Une fois qu’un attaquant obtient l’exécution de code au niveau kernel - via des drivers vulnérables par exemple - toutes les protections PPL tombent. Techniques d’anti-tampering La technique “EDR Freeze” illustre cette réalité : en utilisant ProcDump (un outil Windows légitime), on peut créer un dump mémoire d’un processus EDR, ce qui le met en pause. En arrêtant ensuite ProcDump avant qu’il ne termine, le processus EDR reste indéfiniment en pause, sans générer d’alerte de tampering puisqu’il n’a pas été modifié. Cloud et nouvelles vulnérabilités Le passage au cloud déplace simplement les problèmes. Les attaques traditionnelles visaient le “domain admin” en local ; aujourd’hui, avec l’authentification multifacteur, les attaquants utilisent le device code phishing ou des applications tierces malveillantes pour obtenir des tokens OAuth valides. Une fois ces tokens obtenus, l’escalade vers “global admin” devient possible. La difficulté : aucun EDR ne peut surveiller ces attaques puisqu’elles se déroulent depuis la machine de l’attaquant. La seule visibilité provient de ce que Microsoft accepte de partager, souvent derrière des paywalls supplémentaires. Les entreprises ont passé 20 ans à maîtriser Active Directory et les outils de sécurité on-premise, mais repartent de zéro dans le cloud avec des outils immatures. Recommandations défensives Configurations simples mais efficaces Plusieurs mesures basiques restent sous-utilisées : Bloquer PowerShell pour les utilisateurs non techniques Désactiver la fonction Run (Windows+R) pour 99% des utilisateurs Supprimer MSHTA.exe via GPO (aucun besoin légitime des fichiers HTA) Restreindre les scripts Office par défaut Ces mesures élimineraient la majorité des attaques “commodity malware” qui fonctionnent uniquement parce que les entreprises n’ont pas fermé ces vecteurs d’accès basiques. Le facteur humain irremplaçable Les EDR excellent contre le malware de masse mais peinent face aux attaques ciblées. L’IA et les agents ne remplaceront pas les analystes humains capables de : Faire du threat hunting actif Contextualiser les alertes (pourquoi un utilisateur non technique lancerait-il PowerShell ?) Détecter les anomalies dans le trafic réseau (nouveaux domaines, patterns de requêtes POST répétitives) Raconter l’histoire complète d’une intrusion en corrélant les événements Détection réseau Les NDR/XDR commencent à combler cette lacune, mais restent embryonnaires. La détection réseau devrait identifier : Les nouveaux domaines jamais vus auparavant Les patterns de communication C2 (requêtes POST régulières avec jitter) Les anomalies d’authentification Le trafic inhabituel pour un profil utilisateur donné Conclusion La sophistication des attaquants reste limitée car ils n’en ont pas encore besoin - trop d’environnements demeurent mal configurés. Les entreprises investissent massivement dans les EDR mais négligent les configurations de base et le facteur humain. L’histoire se répète avec le cloud et l’IA : plutôt que de résoudre les problèmes fondamentaux, on déplace la responsabilité vers de nouveaux outils. La vraie sécurité nécessite une compréhension technique approfondie, des configurations rigoureuses, et surtout, des analystes compétents pour interpréter les signaux et raconter l’histoire des incidents. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x6xx! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce deuxième épisode sur la Cyber Threat Intelligence (CTI) réunit Nicolas, Alexis Dorais-Joncas et Jordan Theodore pour approfondir les mécanismes de production et de consommation de l’intelligence sur les menaces. La conversation explore les défis techniques, organisationnels et éthiques auxquels font face les professionnels de la sécurité dans ce domaine en constante évolution. Les deux univers de la CTI Alexis établit une distinction fondamentale entre deux « clusters » dans l’écosystème de la CTI. D’un côté, les producteurs : entreprises de réponse d’incident et fournisseurs de services de cybersécurité comme CrowdStrike, Microsoft, Kaspersky ou Proofpoint, qui observent directement les attaques chez leurs clients et génèrent des rapports détaillés. De l’autre, les consommateurs : organisations qui utilisent ces rapports pour comprendre leurs risques et se protéger contre les attaques potentielles. Cette dichotomie se reflète même dans les rôles professionnels. Un analyste CTI chez un vendeur dispose d’une visibilité globale sur des milliers de clients, tandis qu’un analyste en entreprise se concentre sur son propre environnement. Les mindsets et les résultats sont fondamentalement différents, bien que les compétences de base soient similaires. L’ampleur du défi : naviguer dans l’océan de données Les chiffres partagés par Alexis illustrent l’échelle impressionnante du problème. Chez ESET, environ 300 000 fichiers exécutables malveillants ou suspects uniques arrivent chaque jour. Chez Proofpoint, ce sont 3,5 milliards d’emails quotidiens, avec 50 millions de pièces jointes et 90 millions d’URL à analyser. Face à ce déluge, les équipes de recherche doivent développer des heuristiques sophistiquées et des règles de tri pour identifier ce qui mérite une attention particulière. L’art du clustering : trouver l’aiguille dans la botte de foin Le cœur du travail de CTI réside dans la capacité à regrouper des attaques apparemment distinctes en « clusters » attribuables à un même acteur. Alexis explique que cette attribution repose sur la recherche d’éléments uniques ou de combinaisons uniques d’éléments observables. L’exemple du certificat SSL avec une coquille typographique illustre parfaitement ce concept : un seul détail peut permettre de lier des dizaines de domaines entre eux et de découvrir toute une infrastructure d’attaque. Les indicateurs utilisés pour le clustering sont multiples : similarité de code source, exploits modifiés, choix d’hébergeurs et de registraires, mais aussi des éléments plus « soft » comme le ciblage. Un professeur spécialisé sur l’Iran qui se fait soudainement cibler peut indiquer l’implication de groupes iraniens, même si les indicateurs techniques sont nouveaux. Les niveaux de confidentialité : une cascade d’information Alexis révèle que 95% ou plus de la CTI produite par les vendeurs n’est jamais rendue publique. L’information suit une cascade : d’abord partagée uniquement avec les clients directement ciblés, puis avec l’ensemble des clients payants, et enfin, pour une fraction seulement, avec le public. Cette dernière étape implique des choix délicats : révéler certains indicateurs peut aider la défense, mais aussi alerter l’attaquant et compromettre la capacité à le tracker à l’avenir. La qualité variable de la CTI secondaire Un point de frustration majeur émerge concernant la couverture médiatique et les analyses secondaires. Alexis estime que 80% de la couverture secondaire n’apporte aucune valeur ajoutée, 5% apporte une vraie perspective informée, et 10-15% est carrément nuisible en véhiculant des erreurs ou des exagérations. Cette désinformation force les analystes en entreprise à perdre des journées entières à remonter aux sources originales et à désamorcer les inquiétudes injustifiées des dirigeants. La course à la publication et ses nuances Bien qu’il existe une certaine compétition entre vendeurs pour être le premier à publier sur une nouvelle menace, Alexis nuance fortement ce phénomène. La collaboration informelle entre analystes de différentes entreprises est courante. De plus, même si un concurrent publie en premier, il reste possible d’apporter une valeur complémentaire en confirmant les découvertes depuis une perspective différente ou en ajoutant des observations uniques. L’exemple de Kaspersky et Proofpoint sur un APT illustre comment deux entreprises peuvent enrichir mutuellement la compréhension d’une menace. L’attribution : utile pour qui ? L’attribution géopolitique des attaques s’avère principalement pertinente pour les grandes organisations et les entités gouvernementales ciblées de manière spécifique. Pour la majorité des entreprises victimes d’attaques opportunistes, savoir qu’un ransomware vient de tel ou tel groupe importe peu. L’essentiel est de comprendre les techniques d’attaque et les prochaines étapes possibles. Alexis souligne qu’environ 95% des attaques ciblées chez Proofpoint touchent moins de 5 clients avec moins de 60 emails – un volume extrêmement faible qui contraste avec les attaques opportunistes massives. Le casse-tête des noms de groupes Un problème persistant dans l’industrie concerne la prolifération de noms différents pour les mêmes groupes. APT28 peut être appelé Fancy Bear, Pawn Storm, TA422, ou une quinzaine d’autres noms selon le vendeur. Cette situation s’explique par les différences de visibilité : Proofpoint observe l’infrastructure email, tandis qu’un EDR voit le comportement post-compromission. Chaque vendeur nomme ce qu’il peut observer, créant une confusion considérable pour les praticiens en réponse d’incident. Alexis confirme cependant qu’aucune pression marketing n’a jamais été exercée pour créer des noms propriétaires, et qu’il est inacceptable de renommer un groupe découvert par un autre sans l’avoir observé soi-même. Conclusion Ce podcast met en lumière la complexité et les nuances du monde de la CTI. Entre volumes de données massifs, décisions éthiques sur ce qu’il faut publier, collaboration et compétition entre acteurs, et défis d’attribution, les professionnels naviguent dans un écosystème en constante évolution. La clé réside dans la compréhension que chaque vendeur apporte une perspective unique basée sur sa visibilité spécifique, et que la véritable valeur de la CTI se trouve dans la capacité à corréler ces différentes sources pour obtenir une image complète des menaces. Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Alexis Dorais-Joncas Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x690! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA DAST Automation Using BurpSuite MCP HexStrike MCP Orchestration with Ollama: Ubuntu Host, Kali VM, SSH Bridging, and Performance Caveats Prompt Injection Is Permanent: Your AI Agent Needs Seatbelts, Not Smarter Prompts Kevin Beaumont: “Microsoft have dropped a bollo…” - Cyberplace Are We Ready to Be Governed by Artificial Intelligence? Blue Hong Kong uses brick-and-mortar banks to stop scams Finland seizes ship suspected of damaging subsea cable in Baltic Sea Protégez vos clés SSH avec Touch ID sur macOS The ROI Problem in Attack Surface Management Linux kernel security work How to Protect Your iPhone or Android Device From Spyware Red New Vulnerabilities in Bluetooth Headphones Let Hackers Hijack Connected Smartphone Former Coinbase support agent arrested for helping hackers Podcast avec Quantum - Spécial - Prévention de la fraude Mustang Panda Uses Signed Kernel-Mode Rootkit to Load TONESHELL Backdoor Intercept - Un dashboard SIGINT pour votre clé RTL-SDR Infostealers Enable Attackers to Hijack Legitimate Business Infrastructure for Malware Hosting Privacy Comment les proxies TCP se font démasquer ? Et ce que ça signifie pour votre VPN… Flock Exposes Its AI-Enabled Surveillance Cameras Aux Etats-Unis, la police peut maintenant fouiller dans les recherches Google Trump government demands access to European police databases and biometrics The New Surveillance State Is You Souveraineté Europe building an Airbus for the cloud age Adam Shostack :donor: :rebelverified:: “Digital euro: what it is and how we will use the new form of cash” - Infosec Exchange China mandates 50% domestic equipment rule for chipmakers, sources say ASML, la boite hollandaise qui tient le monde tech en otage The Post-American Internet (Cory Doctorow) Fails / insolites The Worst Hacks of 2025 Salesforce Integrations Clop’s Oracle E-Business Hacking Spree University Breaches Aflac Mixpanel Jaguar Land Rover Quand la France invente le “data leak as a service” French software company fined $2 million for cyber failings leading to data breach New York’s incoming mayor bans Raspberry Pi at inauguration Hijacked Mobility: CISA Warns of Critical 9.8 Flaw Allowing Remote Control of WHILL Power Chairs Fears Mount That US Federal Cybersecurity Is Stagnating—or Worse DHS says REAL ID is too unreliable to confirm U.S. citizenship X / Grok / juvénile X dégringole en France - Elon Musk va bientôt se retrouver tout seul avec ses fachos Kevin Beaumont: “Twitter generated child sexual…” - Cyberplace French authorities investigate AI ‘undressing’ deepfakes on X Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x689! Préambule Nous abordons des sujets sensibles, notamment la dépression et le suicide. Si vous y êtes sensible, nous vous conseillons de sauter cet épisode. Si vous avez besoin d’aide, vous pouvez consulter les ressources mentionnées plus bas, parler à votre entourage ou nous écrire pour que nous puissions vous diriger des ressources pour vous aider. Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Dans cet épisode du podcast Davy Adam partage avec une grande transparence son expérience d’un épisode dépressif majeur vécu durant l’été 2024. Ce témoignage poignant offre des enseignements précieux pour quiconque pourrait vivre ou accompagner une telle épreuve. Le contexte d’un effondrement Davy, 48 ans, se considérait comme quelqu’un de solide. Ancien alcoolique sobre depuis 21 ans, ayant surmonté de nombreuses épreuves dont le décès de sa mère à 20 ans, il pensait que le pire était derrière lui. Pourtant, cet été, il a vécu ce qu’il n’avait pas anticipé : une dépression nerveuse suite à un cumul de changements majeurs simultanés – déménagement en Bretagne à 600 km de chez lui, séparation après 12 ans de vie commune, et changement radical de cadre de vie. Les signaux d’alerte ignorés Le premier enseignement crucial de son témoignage concerne les signes avant-coureurs qu’il n’a pas su entendre. Pendant six mois avant le déménagement, Davy ressentait un stress constant, des maux de ventre persistants, et surtout une sensation d’être « pris au piège ». Dès la signature du compromis de vente, il regrettait déjà sa décision mais se convainquait que c’était normal. Même lors des visites de biens immobiliers, il pleurait le soir à l’hôtel – lui qui avait mis 10 ans de thérapie à pouvoir pleurer à nouveau. Cette sensation d’être pris au piège est un symptôme typique qu’il identifie aujourd’hui comme un signal d’alarme majeur : « Dès que vous avez la sensation d’être pris au piège dans une situation où vous avez encore le choix, c’est qu’il y a un problème. » Même pendant le processus d’achat, il espérait secrètement que la banque refuse le crédit. L’effondrement Le jour du déménagement, arrivé seul dans sa nouvelle maison avec son chien après six heures de route par 40 degrés, Davy s’est retrouvé à minuit entouré de cartons, sans eau chaude fonctionnelle. C’est là que tout s’est effondré. Dès le lendemain matin, il se réveillait avec la sensation de se noyer, la respiration bloquée, le ventre noué. En huit jours, il a perdu 5 kilos (après avoir déjà perdu 26 kilos l’année précédente). Il pleurait dans les rayons du supermarché, incapable de choisir quoi acheter. Comprendre la dépression Davy explique avec clarté ce qu’est biologiquement une dépression : le cerveau se coupe du corps, tous les récepteurs liés au plaisir, au sommeil, à la faim et à la libido cessent de fonctionner. Ce n’est pas une question de volonté – c’est une cassure chimique. Il réfute fermement l’idée simpliste du « bouge-toi le cul » : « Si c’était une question de volonté, ça aurait duré trois jours pour moi. » Les symptômes qu’il a vécus incluaient une perte d’appétit complète, un niveau d’anxiété extrême, une tristesse profonde, et surtout l’incapacité de voir une issue. Il partage un moment bouleversant où, voulant acheter une poêle au supermarché, une partie de son esprit lui disait : « Ça ne sert à rien, tu vas te suicider. » Un autre jour, il a mis 40 minutes à simplement se lever pour aller aux toilettes, son corps ne répondant plus aux commandes de son cerveau. Demander de l’aide : l’étape cruciale Après seulement deux jours dans cet état, Davy a fait ce qu’il considère aujourd’hui comme son meilleur réflexe : demander de l’aide. Il a contacté son entourage, posté sur LinkedIn, et s’est rendu aux urgences psychiatriques. « C’est une situation dont on ne se sortira pas tout seul. Tous les psys vous le diront, tous ceux qui sont passés par là vous le diront, vous ne pouvez pas vous en sortir seul, c’est beaucoup trop gros. » Les urgences de Quimper l’ont pris en charge rapidement et avec bienveillance, lui prescrivant des antidépresseurs. Il insiste sur plusieurs points concernant ces médicaments : ils ne guérissent pas la dépression, mais réparent la machine biologique en permettant au cerveau de reproduire la sérotonine et autres neurotransmetteurs essentiels. Ils mettent 10 à 15 jours à faire effet (dans son cas, quelques jours avec beaucoup de chance), et peuvent d’abord avoir l’effet inverse. Surtout, ils ne fonctionnent pas seuls – ils doivent être accompagnés d’un travail thérapeutique. La décision de rentrer Face à l’impossibilité de rester en Bretagne, Davy a pris la décision difficile mais salvatrice de tout arrêter et de rentrer à Paris. Cette décision lui a coûté environ 50 000 euros – toutes ses économies de plusieurs années. Mais comme il le dit avec sagesse : « C’est que de l’argent. Ça se regagne. » Il affirme que s’il était resté, il n’aurait probablement pas survécu. Les clés de la reconstruction Plusieurs éléments l’ont aidé dans son processus de guérison. D’abord, l’activité physique – même si c’est très difficile quand on est en dépression. En Bretagne, il marchait 10 km par jour avec son chien, ce qui lui permettait de quitter la maison et de se reconnecter à son corps. Ensuite, le fait de ne pas rester seul : sa sœur l’a accueilli, et le simple fait de ranger des Playmobil avec elle a remis sa « machine » en marche. La méditation de pleine conscience et les exercices de cohérence cardiaque ont également joué un rôle important, l’aidant à se reconnecter à son corps et à sortir de sa tête. Il recommande de se concentrer sur le présent plutôt que de se projeter dans un futur qui semble impossible. Le travail thérapeutique Davy suit une thérapie depuis 10 ans avec la même thérapeute, et ce travail l’a « sauvé la vie au sens littéral du terme à plusieurs reprises ». Durant sa dépression, il a intensifié les séances, ce qui l’a aidé à comprendre ce qui s’était passé et surtout à envisager un après. Il encourage vivement à se faire accompagner par un professionnel qualifié – psychiatre ou psychothérapeute. Le chemin continue Quatre mois après le début de l’épisode (juillet-octobre), Davy va mieux mais n’est pas sorti d’affaire. Un épisode dépressif prend en moyenne six mois pour en sortir. Contrairement à ce qu’il pensait initialement, c’est lui qui demande maintenant à son psychiatre de continuer les antidépresseurs, conscient de sa fragilité persistante face aux défis qui l’attendent (vente de la maison, nouveau déménagement). Il partage une vérité importante : la fragilité demeure. Une fois qu’on a vécu un épisode dépressif, on vivra avec cette expérience toute sa vie. Mais on apprend à vivre avec, à reconnaître les signaux, et à demander de l’aide avant de sombrer à nouveau. Message d’espoir Le message central de Davy est clair : même si on ne voit pas la sortie quand on est au fond, elle existe. Il affirme aujourd’hui, depuis « l’autre côté », qu’il y a une sortie possible. Son conseil est simple mais vital : « Allez chercher de l’aide. » Que ce soit auprès de proches, de professionnels, ou via des numéros d’urgence, il ne faut surtout pas rester seul face à la dépression. Ce témoignage rappelle que la dépression touche 20% de la population mondiale à un moment de leur vie, qu’elle n’est pas une question de force ou de faiblesse, et qu’elle nécessite un accompagnement médical et thérapeutique. Davy conclut avec son mantra personnel : « Je fais ce que je peux avec ce que j’ai. Et c’est déjà pas mal. » Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x688! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode du podcast PME, l’équipe composée de Julien Teste-Harnois, Cyndie Feltz, Nicolas Milot et Dominique Derrier explore une problématique contemporaine majeure : le partage excessif d’informations sur les réseaux sociaux et ses implications pour les individus et les entreprises. La discussion met en lumière comment le mélange entre vie personnelle et professionnelle sur les plateformes sociales peut créer des vulnérabilités significatives en matière de sécurité. Le piège du partage excessif d’informations personnelles Les intervenants soulignent d’abord que les plateformes comme Facebook encouragent activement les utilisateurs à partager une quantité considérable d’informations personnelles. Bien que ces plateformes proposent de renseigner la ville de résidence, l’école secondaire fréquentée, l’école primaire, les liens familiaux et bien d’autres détails, il ne s’agit que de suggestions. Les utilisateurs ne sont nullement obligés de compléter ces champs, surtout s’ils configurent leur profil en mode public. La recommandation est claire : se limiter au strict minimum, soit nom, prénom et éventuellement la ville. Tout le reste n’apporte que peu de valeur réelle tout en augmentant considérablement l’exposition aux risques. Les dangers du partage d’informations corporatives La logique s’applique également au niveau corporatif. Sur LinkedIn, par exemple, il existe une pression implicite à tout partager. L’équipe illustre ce point avec un exemple parlant : annoncer que toute l’équipe part au chalet pour un team building peut sembler anodin et même positif pour l’image de l’entreprise. Cependant, cette annonce révèle publiquement que les bureaux sont inoccupés pendant plusieurs jours. Si l’entreprise possède un bureau physique où des documents confidentiels pourraient traîner, cette information devient une invitation ouverte aux personnes mal intentionnées. Le conseil des experts est pragmatique : partagez ces moments après coup, pas en temps réel. Publiez vos belles photos et vos témoignages d’événement réussi une fois que tout le monde est de retour au bureau. L’attention aux détails visuels Un point crucial soulevé concerne l’environnement capturé dans les photos et vidéos. Les participants rappellent qu’il faut faire attention à ce qui apparaît en arrière-plan : éviter de publier des photos où le bilan financier de l’entreprise est visible, ou encore ces fameux post-it avec des mots de passe collés sur les écrans. Ces détails apparemment anodins peuvent fournir des informations précieuses à des acteurs malveillants. L’impact des comptes personnels sur la réputation d’entreprise Le podcast aborde également un phénomène fréquent : les employés qui affichent leur employeur sur Facebook puis commentent publiquement sur des sujets controversés, qu’ils soient politiques ou autres. Cette association directe entre opinions personnelles et entreprise peut nuire significativement à la réputation de celle-ci. Le problème s’amplifie lorsqu’il s’agit du propriétaire de l’entreprise lui-même. L’exemple frappant du billet d’avion Julien partage une anecdote marquante survenue récemment : une influenceuse australienne a montré son billet d’avion en direct sur TikTok devant ses centaines de milliers d’abonnés. Un spectateur a capturé l’écran, récupéré le numéro de réservation et annulé son vol. L’influenceuse s’est retrouvée bloquée à l’aéroport, contrainte de racheter un billet et de décaler son voyage. Cet incident illustre parfaitement comment un partage innocent peut avoir des conséquences immédiates et coûteuses. La reconnaissance comme outil d’attaque Nicolas, dans son expertise en tests de pénétration, explique que la phase de reconnaissance représente une part importante du travail. Les réseaux sociaux constituent une mine d’or pour les attaquants qui cherchent la meilleure porte d’entrée. Les informations partagées publiquement facilitent considérablement le social engineering et permettent de construire des prétextes crédibles pour tromper les employés et accéder aux systèmes ou locaux d’une entreprise. Les questions de sécurité et les mots de passe Un conseil particulièrement astucieux concerne les questions de sécurité. Les participants révèlent que personne ne vérifie réellement si vos réponses sont exactes. Plutôt que d’utiliser le véritable nom de votre chien ou votre école primaire – informations souvent publiques sur Facebook – il est préférable de créer des réponses complètement aléatoires et de les stocker dans un gestionnaire de mots de passe. Cette approche rend inutile toute tentative de récupération d’informations via les réseaux sociaux. Les guidelines pour un partage responsable L’équipe recommande aux directions d’établir des lignes directrices claires pour les employés souhaitant partager des contenus liés à l’entreprise. Il vaut mieux être proactif et définir ce qui est acceptable plutôt que de réagir après coup. De même, les employés devraient systématiquement demander l’autorisation avant de publier du contenu corporatif. Attention aux offres d’emploi et CV Un point souvent négligé concerne les offres d’emploi : il n’est pas nécessaire de détailler toutes les versions de logiciels et de faire l’inventaire complet des systèmes de l’entreprise. De même, ceux qui partagent leur CV en ligne devraient retirer leurs coordonnées personnelles complètes pour éviter de faciliter le travail des escrocs. La section coordonnées de LinkedIn Beaucoup d’utilisateurs ignorent que LinkedIn possède une section “coordonnées” souvent accessible par leur réseau. Certains y inscrivent leur adresse personnelle, leur courriel personnel et leur numéro de téléphone sans réaliser que ces informations sont visibles par des centaines, voire des milliers de connexions, dont ils ne connaissent même pas l’identité réelle. L’importance de la conscience situationnelle L’équipe conclut en soulignant l’importance d’être conscient de son environnement, particulièrement en visioconférence. Les exemples cocasses du confinement, avec des personnes se promenant nues en arrière-plan ou se levant en sous-vêtements, démontrent ce manque de conscience. La solution simple : s’installer dos à un mur et s’habiller correctement. Conclusion Le message principal de ce podcast est un appel à la réflexion avant la publication. Dans un monde où les algorithmes nous poussent à partager en temps réel pour maximiser l’engagement, il faut prendre deux secondes pour se demander : est-ce vraiment urgent de diffuser cette information ? Qui pourrait l’utiliser à mauvais escient ? Cette pause réflexive peut prévenir de nombreux problèmes de sécurité tant personnels que professionnels. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x687! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA API fantôme - Quand l’IA crée des backdoors dans le dos des dev Critical n8n Automation Platform Vulnerability Enables RCE Attacks - 103,000+ Instances Exposed How to determine if agentic AI browsers are safe enough for your enterprise The Age of the All-Access AI Agent Is Here China is worried AI threatens party rule—and is trying to tame it 30% AI, 100% Broken Cursor CEO warns vibe coding builds ‘shaky foundations’ and eventually ‘things start to crumble’ Claude Code Safety Net - Le plugin qui empêche l’IA de tout niquer OpenAI is hiring a new Head of Preparedness to try to predict and mitigate AI’s harms Salesforce pulls back from LLMs, pivots Agentforce to deterministic automation after 4,000 layoffs GitHub - PwnFunction/sandbox: Run untrusted AI code safely, fast Souveraineté FCC bans foreign-made drones over national security, spying concerns Europe gets serious about cutting US digital umbilical cord US bars five Europeans accused of censoring Americans Privacy Mullvad VPN: “The European Commission lost t…” - Mastodon Judge rules that NSO cannot continue to install spyware via WhatsApp pending appeal Industry Continues to Push Back on HIPAA Security Rule Overhaul I didn’t realize my LG TV was spying on me until I turned off this setting Red Cyberattack disrupts France’s postal service and banking arm Budding infosec pros and aspiring cyber crooks targeted with fake PoC exploits BrianKrebs: “When an entire class of techno…” - Infosec Exchange One Year Of Zero-Click Exploits: What 2025 Taught Us About Modern Malware New MacSync macOS Stealer Uses Signed App to Bypass Apple Gatekeeper mongobleed/mongobleed.py at main · joe-desimone/mongobleed · GitHub I Didn’t Hack You. You Posted Everything Stolen LastPass backups enable crypto theft through 2025 Blue Now Admins Can Block External Users in Microsoft Teams From Defender Portal Microsoft Teams to Enforce Messaging Safety Defaults Starting January 2026 How to enable Windows’ new, wider Run dialog box Microsoft wants to replace its entire C and C++ codebase Divers et insolites Quand les robots humanoïdes se font pirater en 1 minute via Bluetooth Seven Diabetes Patients Die Due to Undisclosed Bug in Abbott’s Continuous Glucose Monitors ‘All brakes are off’: Russia’s attempt to rein in illicit market for leaked data backfires Cleartext Signatures Considered Harmful The dangers of SSL certificates Public Domain Day 2026 Everything is a Remix Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x686! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée. Les trois piliers d’une culture de sécurité efficace L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité. 1. Connect : La communication comme fondement La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”. Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment). La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation. 2. Reduce Uncertainty : Clarifier les rôles et responsabilités L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler. Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret. La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude. Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout. 3. Inspire Action : Le leadership authentique Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ? L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate bullshit” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion. Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques. Les leçons de l’expérience L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant. Les pièges à éviter Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité : Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où. La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle. L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer. La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur. Conclusion La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés. Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain. Notes À venir Collaborateurs Nicolas-Loïc Fortin Benoit Gagnon Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x685! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode spécial PME du podcast PoSécure, l’équipe composée de Dominique Derrier, Nicolas Milot, Cyndie Feltz et Julien Teste-Harnois aborde un sujet crucial mais souvent négligé dans les petites et moyennes entreprises : la gestion du cycle de vie des identités sur les réseaux sociaux. Cette discussion met en lumière les enjeux du onboarding (intégration) et de l’offboarding (départ) des employés, particulièrement en ce qui concerne leurs accès aux plateformes sociales de l’entreprise. Le problème de l’offboarding sur les réseaux sociaux L’un des constats les plus frappants soulevés durant la discussion est que les réseaux sociaux sont systématiquement oubliés lors du départ d’un employé. Contrairement aux équipements physiques comme les ordinateurs portables ou les souris que l’on pense à récupérer, les accès aux comptes sociaux de l’entreprise ne font généralement pas partie des listes de vérification de départ. Cette négligence peut avoir des conséquences graves pour l’organisation. Le panel souligne qu’il est essentiel d’intégrer les réseaux sociaux dans les processus d’offboarding existants. Lorsqu’un employé du marketing qui avait accès à la page Facebook de l’entreprise quitte son poste, il faut impérativement lui retirer ces accès. Plus problématique encore, si cette personne était la seule à détenir les droits d’administrateur et qu’elle part en mauvais termes, l’entreprise peut se retrouver complètement verrouillée hors de ses propres comptes. Les risques de la perte de contrôle Les intervenants partagent plusieurs scénarios catastrophiques qui surviennent régulièrement. Une entreprise peut réaliser six mois après le départ d’un employé que celui-ci était le seul administrateur d’un compte social important. Si les relations sont cordiales, il est parfois possible de le recontacter pour qu’il transfère les accès. Cependant, en cas de départ conflictuel, l’entreprise peut perdre définitivement l’accès à ses propres pages et communautés. Cyndie Feltz mentionne notamment l’exemple de LinkedIn où, si l’administrateur refuse de coopérer, la page est perdue à jamais. Cette situation est d’autant plus préoccupante que les actifs numériques, incluant les communautés bâties sur les réseaux sociaux, représentent aujourd’hui une valeur considérable pour les entreprises, particulièrement lors d’acquisitions. Le coût caché des licences oubliées Au-delà de l’aspect sécuritaire, Nicolas Milot attire l’attention sur l’impact financier de ces négligences. Combien d’entreprises continuent de payer des licences pour d’anciens employés dont les accès n’ont jamais été révoqués ? Ces coûts récurrents s’accumulent mois après mois sans que personne ne s’en rende compte, représentant une perte financière évitable avec de simples processus de revue. Les défis particuliers des PME La discussion met en évidence les défis spécifiques auxquels font face les petites et moyennes entreprises. Dans ces structures, tout le monde met la main à la pâte, et il y a une volonté naturelle de donner rapidement accès aux nouveaux employés pour qu’ils puissent être productifs. Cette urgence opérationnelle conduit souvent à ouvrir trop de portes sans documentation adéquate. Le problème est aggravé dans les PME par les acquisitions fréquentes et les changements organisationnels rapides. Sans inventaire rigoureux, on perd la trace des comptes de médias sociaux, surtout lors de fusions ou d’acquisitions. La connaissance institutionnelle disparaît avec les employés, et sans documentation claire du onboarding, il devient impossible de savoir qui a accès à quoi. Les aspects techniques et l’hygiène informatique Dominique Derrier apporte une perspective plus technique en abordant les problématiques liées à Active Directory et Azure. Il explique le concept de “ghost users” - des comptes utilisateurs qui restent actifs dans le système même s’ils ne sont plus utilisés. Ces comptes dormants représentent un risque de sécurité important car un attaquant pourrait les réactiver pour passer inaperçu plutôt que de créer de nouveaux comptes suspects. Il recommande d’implémenter des politiques claires : désactiver les comptes après trois mois d’inactivité, puis les supprimer définitivement. Il est également crucial de supprimer les ordinateurs de l’Active Directory lorsqu’ils sont retirés du parc informatique. De plus, il suggère fortement d’avoir un utilisateur dédié au onboarding plutôt que d’utiliser des comptes administrateurs de domaine pour joindre des machines, car cela crée des relations de confiance problématiques dans Active Directory. Les consultants et partenaires externes Le panel souligne qu’il ne faut pas oublier les consultants et les agences de marketing dans la gestion des accès. Lorsqu’une agence gère les réseaux sociaux d’une entreprise, elle a légitimement besoin d’accès. Cependant, à la fin du mandat, ces accès doivent être révoqués. Julien observe fréquemment des agences qui conservent encore des accès à des comptes de clients datant de plusieurs années, créant un vecteur d’attaque potentiel si le compte d’un employé de l’agence est compromis. Solutions et recommandations Pour résoudre ces problèmes, les intervenants proposent plusieurs solutions concrètes : Créer des processus documentés : Établir des listes de vérification claires pour le onboarding et l’offboarding qui incluent spécifiquement les réseaux sociaux et tous les outils SaaS utilisés par l’entreprise. Maintenir un inventaire : Tenir à jour une liste de tous les comptes, plateformes et accès, en précisant qui y a accès et pourquoi. Cet inventaire est crucial pour les changements de poste internes également. Penser aux changements de rôle : Ne pas se concentrer uniquement sur les départs, mais aussi sur les mobilités internes. Un employé qui change de département doit perdre les accès de son ancien poste. Conserver les droits administrateurs : S’assurer que l’entreprise garde toujours au moins un accès administrateur aux comptes sociaux, même si une seule personne les gère au quotidien. Instituer une “journée de revue des accès” : Cyndie suggère de créer un événement annuel dédié à la revue de tous les accès aux réseaux sociaux, similaire à la journée mondiale du mot de passe ou des sauvegardes. Conclusion Le message central de ce podcast est clair : les réseaux sociaux doivent être traités avec le même sérieux que les autres actifs de l’entreprise. Ils ne sont pas simplement des outils de communication périphériques, mais font partie intégrante de la vitrine numérique et de la valeur de l’entreprise. L’équipe insiste sur l’importance de mettre en place des processus dès maintenant, car plus on attend, plus le ménage devient complexe et risqué. La gestion proactive du cycle de vie des identités sur les réseaux sociaux n’est pas seulement une question de sécurité, mais aussi de protection de la valeur et de la réputation de l’entreprise. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x684! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : l’effet Eliza et l’anthropomorphisme Dans ce onzième balado collaboratif entre Polysécure et Cyber Citoyens, Catherine Dupont-Gagnon, Samuel Harper et Nicolas Lick explorent les impacts souvent négligés de l’intelligence artificielle sur la société. La discussion débute avec le concept de l’effet Eliza, cette tendance humaine à attribuer des émotions, de l’empathie et une conscience à des programmes informatiques. Ce phénomène d’anthropomorphisme, comparable à l’attachement qu’on peut développer pour des objets inanimés, constitue la racine de nombreux problèmes liés à l’utilisation des IA conversationnelles. Psychoses induites ou exacerbées par l’IA L’équipe soulève une distinction cruciale : l’IA cause-t-elle des psychoses ou les aggrave-t-elle simplement ? Avec seulement trois ans de recul depuis le lancement de ChatGPT, les données scientifiques robustes manquent encore. Les cas documentés montrent souvent des personnes présentant déjà des facteurs de risque, comme des dépressions antérieures, des symptômes proches de la schizophrénie ou des problèmes de consommation. Deux facteurs de risque majeurs émergent : la déification de l’IA (la percevoir comme une intelligence supérieure omnisciente) et la dose d’utilisation. L’isolement social au profit d’heures passées avec un chatbot crée un terrain fertile pour les problèmes psychologiques. Les animateurs établissent un parallèle troublant avec les techniques de radicalisation et les cultes : isolation, coupure des liens familiaux, validation inconditionnelle et mise sur piédestal d’une autorité. Le cas tragique d’un jeune homme qui s’est suicidé après que l’IA l’ait « challengé » à prouver sa détermination illustre dramatiquement ces dangers. Selon des données internes d’OpenAI, environ 0,07 % des utilisateurs montrent des signes de psychose et 0,15 % des indicateurs suicidaires. Ces pourcentages, bien que faibles, représentent des chiffres absolus alarmants : avec 800 millions d’utilisateurs actifs hebdomadaires, on parle de 560 000 personnes montrant des signes de psychose et 1,2 million ayant contemplé le suicide. Impact sur l’apprentissage et la créativité Une étude du MIT (non encore publiée dans une revue à comité de lecture) révèle des conséquences préoccupantes sur les capacités cognitives. Les chercheurs ont demandé à des participants d’écrire des essais en 20 minutes, certains utilisant des modèles de langage, d’autres uniquement leur cerveau. Les résultats sont frappants : moins de connectivité cérébrale chez les utilisateurs d’IA, incapacité à se rappeler ce qu’ils avaient écrit (80-90 % ne pouvaient citer une phrase de leur propre texte), et homogénéité troublante des opinions sur des sujets normalement sujets à débat. Nicolas Lick, enseignant universitaire, témoigne de cette réalité sur le terrain. Il constate une résistance croissante de ses étudiants face à la charge de travail et une diminution de leur capacité d’absorption. Il doit ralentir son débit de parole et réduire le contenu de ses cours. Les étudiants du primaire paniquent désormais devant des textes de quelques centaines de mots, alors qu’auparavant ils rédigeaient régulièrement des dissertations de 2500 mots. La dette cognitive Le concept de dette cognitive émerge comme un problème central. En déléguant les tâches difficiles à l’IA, on évite l’effort mental immédiat mais on hypothèque nos capacités futures. L’exemple des moteurs de recherche est éclairant : même avec Google, on doit trier l’information, évaluer sa fiabilité, distinguer le vrai du faux. Avec l’IA, tout est présenté comme également vrai, éliminant cet exercice de pensée critique. L’université vise notamment à enseigner la lecture rapide et l’analyse de grandes quantités de documents. Sans cette pratique intensive, la capacité à discriminer l’information pertinente ne se développe pas. Le passage d’un rôle de producteur à celui de superviseur de l’IA crée également un épuisement cognitif paradoxal : même si on produit cinq fois plus de contenu, l’effort mental reste le même, menant à un burnout accéléré. Une étude sur le « vibe coding » révèle que les développeurs utilisant des outils d’IA pensent économiser 20-25 % de leur temps, mais sont en réalité 20 % moins productifs que ceux qui n’en utilisent pas. Cette distorsion entre perception et réalité témoigne de notre difficulté à nous auto-évaluer. Conséquences environnementales et sociétales Au-delà des impacts cognitifs, l’IA génère des coûts environnementaux considérables. Chaque requête consomme de l’énergie, et les centres de données affectent la qualité de l’eau des municipalités avoisinantes. Hydro-Québec a d’ailleurs émis des alertes sur les réserves d’électricité. L’utilisation massive de ressources naturelles pour fabriquer des GPU et l’infrastructure nécessaire soulève des questions sur la viabilité à long terme. La vie privée constitue un autre enjeu majeur. Les informations partagées avec les IA ne bénéficient d’aucune protection comparable à celle du secret professionnel. Des fraudeurs se font même passer pour des policiers pour obtenir des données auprès des entreprises technologiques. Les jouets pour enfants dotés d’IA non sécurisée représentent également un danger, certains ayant déjà divulgué du contenu inapproprié. Conclusion : plus de problèmes que de solutions ? La discussion se termine sur une note interrogative : l’IA crée-t-elle plus de problèmes qu’elle n’en résout ? Pour les traductions, Google Translate suffisait. Pour l’écriture, les correcteurs automatiques fonctionnaient bien. Les coûts humains, psychologiques, environnementaux et sociétaux justifient-ils les bénéfices marginaux apportés ? Certains usages spécifiques montrent du potentiel, comme la reconnaissance de grains de beauté suspects. La règle proposée : « Feriez-vous confiance à un chien savant pour cette tâche ? » Si oui, l’IA peut probablement aider. Sinon, mieux vaut s’abstenir. Sur une note optimiste, Nicolas Lick rappelle que contrairement aux prédictions alarmistes, les emplois humains demeurent essentiels. Les entreprises qui ont licencié massivement en comptant sur l’IA sont souvent obligées de réembaucher. Le conseil final du podcast : pour éviter les psychoses liées à l’IA, continuez à voir des humains réels. C’est le meilleur remède contre l’isolement et la dérive qu’encourage une dépendance excessive aux assistants virtuels. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x683! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA It Only Takes A Handful Of Samples To Poison Any Size LLM, Anthropic Finds Chinese Surveillance and AI LLMs are Accelerating the Ransomware Operations with Functional Tools and RaaS Microsoft confirms Windows 11 will ask for consent before AI agents can access your personal files, after outrage Automatically Remove AI Features From Windows 11 In Cybersecurity, Claude Leaves Other LLMs in the Dust AI-authored code needs more attention, contains worse bugs Privacy Privacy is Marketing. Anonymity is Architecture Chrome, Edge privacy extensions quietly snarf AI chats UK surveillance law still full of holes, watchdog warns Pa. high court rules that police can access Google searches without a warrant Souveraineté Nutanix pushes sovereign cloud in another swipe at VMware ‘It’s surreal’: US sanctions lock International Criminal Court judge out of daily life NATO’s battle for cloud sovereignty: Speed is existential Airbus to migrate critical apps to a sovereign Euro cloud Red Deepfake Deception: How I Hacked Biometric Authentication with $ and a YouTube Video 🤖 Bypassing Multi-Layer Browser Isolation & AV Controls Through Gateway Path Mismanagement Advanced Search Techniques for Exposed Information “Super secure” MAGA-themed messaging app leaks everyone’s phone number Apple, Google forced to issue emergency 0-day patches Storm-0249 Abusing EDR Process Via Sideloading to Hide Malicious Activity C2 Command and Control & Tunnelling via DNS Command and Control & Tunnelling via ICMP Most Parked Domains Now Serving Malicious Content Singularity Linux Kernel Rootkit with New Feature Prevents Detection rust_binder: fix race condition on death_list - kernel/git/stable/linux.git - Linux kernel stable tree New password spraying attacks target Cisco, PAN VPN gateways New Research Uncovers the Alliance Between Qilin, DragonForce and LockBit Microsoft 365 accounts targeted in wave of OAuth phishing attacks Ten mistakes marred firewall upgrade at Australian telco Breach Ministère de l’intérieur France French Interior Ministry confirms cyberattack on email servers French Interior Minister says hackers breached its email servers France investigates Interior Ministry email breach and access to confidential files France arrests suspect tied to cyberattack on Interior Ministry Ministers confirm breach at UK Foreign Office Information warfare Denmark blames Russia for destructive cyberattack on water utility A Good Year for North Korean Cybercriminals Russian Hackers Attacking Network Edge Devices in Western Critical Infrastructure Venezuela state oil company blames cyberattack on US after tanker seizure Why US and Chinese satellites are ‘dogfighting’ in orbit China’s Ink Dragon hides out in European government networks Denmark takes a Viking swing at VPN-enabled piracy Blue Why Monitoring Outbound Connections Is the Fastest Way to Detect a Compromised Linux Server Learn about updates to dark web report Microsoft Rolls Out Baseline Security Mode for Office, SharePoint, Exchange, Teams, and Entra Stay Secure: Why Cyber Hygiene Should Be Part of Your Personal Hygiene Your MFA Is Costing You Millions. It Doesn’t Have To. Yep, Passkeys Still Have Problems Divers et insolites Cloudflare Radar 2025 Year in Review SoundCloud bounces some VPNs as it cleans up cyberattack Man boards Heathrow flight without passport or ticket Meta tolerates rampant ad fraud from China to safeguard billions in revenue Microsoft Will Finally Kill an Encryption Cipher That Enabled a Decade of Windows Hacks MI6 chief: We’ll be as fluent in Python as we are in Russian Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x682! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Présentation et parcours de David Bizeul David Bizeul, directeur scientifique et cofondateur de Sekoia, possède une expérience significative dans le domaine de la cybersécurité, notamment dans les activités liées aux CERT (Computer Emergency Response Team). Il a construit le CERT de la Société Générale dans les années 2000-2005, période marquée par l’émergence de la cybercriminalité. Durant six années, son équipe a développé des capacités de compréhension de la menace et de traitement des incidents touchant la banque et ses clients. Par la suite, il a dirigé le CERT d’Airbus Cybersécurité, où les enjeux différaient, se concentrant davantage sur l’espionnage industriel plutôt que sur la cybercriminalité. Ces deux expériences lui ont permis de constater l’importance cruciale de la threat intelligence (renseignement sur les menaces) dans les contextes tant de cybercriminalité que d’espionnage. Cette prise de conscience l’a conduit à fonder Sekoia en 2015, avec l’objectif de cartographier et modéliser précisément les attaquants pour ensuite opérationnaliser cette connaissance et en faire un produit de cybersécurité. Le concept de souveraineté numérique Pour David Bizeul, la souveraineté représente la capacité de construire, utiliser et protéger une capacité ou un environnement. Appliquée au numérique, elle concerne la maîtrise des produits, logiciels et services permettant d’accomplir des activités numériques. Un produit de sécurité moderne peut être visualisé comme un mille-feuille composé de différentes couches : composants matériels, hardware, infrastructure, couches logicielles, opérations utilisateurs, et données générées. La maîtrise complète de toutes ces couches n’est pas accessible à tous les pays. Certaines contraintes, comme l’accès aux matières premières pour les composants électroniques, limitent la capacité de contrôle complet. L’approche pragmatique consiste donc à exceller sur certaines couches spécifiques : les données, les opérations, la technologie et les infrastructures cloud restent maîtrisables au niveau européen, tandis que les couches matérielles plus basses posent davantage de défis. Pour ces dernières, il faut accepter de déléguer le risque à des acteurs de confiance et utiliser les couches supérieures pour détecter d’éventuelles anomalies. L’approche de Sekoia : une plateforme SOC souveraine Sekoia propose une plateforme SOC (Security Operations Center) complète permettant d’opérationnaliser les fonctions de centre d’opérations de sécurité. La plateforme s’adresse aux grands comptes disposant de leurs propres équipes, ainsi qu’aux MSSP (Managed Security Service Providers) qui délivrent ces services pour diverses entreprises. La plateforme intègre plusieurs composants essentiels. Le SIEM constitue le premier bloc, assurant l’ingestion de données, la normalisation, l’application de règles de détection, l’indexation et le stockage long terme. L’environnement de threat intelligence, développé en interne par une équipe dédiée de chercheurs, met les données clients en relation avec une cartographie exhaustive des menaces. Cette base de connaissance propriétaire permet une détection de haute qualité basée sur la compréhension approfondie des attaquants. Le moteur SOAR (Security Orchestration, Automation and Response) complète l’arsenal, gérant les plans de réponse aux incidents. Il définit les actions appropriées lors du déclenchement d’alertes, avec des playbooks automatisés adaptés à différents scénarios. La philosophie de Sekoia repose sur l’équilibre entre contenu packagé prêt à l’emploi et personnalisation client, permettant un déploiement SOC opérationnel très rapide tout en autorisant l’ajout de règles spécifiques à chaque environnement. Régionalisation et choix technologiques Sekoia a adopté une approche cloud native tout en maintenant une conscience aiguë des enjeux géographiques. Bien que basée dans le cloud, chaque instance possède une localisation géographique réelle. La région historique a été établie sur OVH en France, suivie de l’ouverture de cinq régions mondiales permettant une cohérence technologique adaptée à chaque géographie. Cette stratégie de régionalisation implique des choix de sous-traitants différenciés selon les zones. Par exemple, les solutions de stockage ou certains partenaires techniques varient entre les régions française et américaine. Les acteurs MSSP européens privilégient naturellement les régions cloud européennes, tandis que leurs homologues américains préfèrent les infrastructures américaines. Cette approche garantit la data residency localisée, optimise les latences et répond aux exigences croissantes des clients en matière de souveraineté. Transparence et évolution du marché L’évolution géopolitique récente, particulièrement les douze derniers mois marqués par les décisions du gouvernement américain, a profondément transformé les attentes clients. Sekoia constate une augmentation significative des demandes concernant la localisation des données et la nationalité des sous-traitants. Les clients souhaitent désormais “lever le capot” pour comprendre et maîtriser leurs workflows de cybersécurité, s’appropriant ainsi les zones de risque. Pour répondre à cette demande de transparence, Sekoia maintient une plateforme trust.Sekoia.io recensant tous les engagements de confiance, la gestion des données personnelles et la liste complète des sous-traitants par région. Cette transparence totale reflète la philosophie de l’entreprise : ouverture, transparence et interopérabilité maximales. Défis et opportunités de la souveraineté David Bizeul souligne le réveil brutal mais nécessaire face à la naïveté économique des deux dernières décennies. La prise de conscience collective permet désormais d’optimiser les approches sur tous les blocs géographiques, chacun cherchant à ne pas dépendre exclusivement de la vision du monde américaine. Contrairement aux acteurs américains pensant naturellement global avec une approche standardisée, Sekoia part du principe de respecter les spécificités locales tout en conquérant le marché mondial. Cette approche, bien que plus coûteuse et complexe, s’impose par nécessité et conviction. Les partenaires MSSP, ancrés localement, fournissent des retours précieux sur les exigences réglementaires et culturelles spécifiques à chaque territoire. Sekoia intègre ces feedbacks pour faire évoluer son produit, soit globalement lorsque les exigences sont généralisables, soit spécifiquement pour répondre à des besoins particuliers. L’entreprise va encore plus loin avec des initiatives comme la région SecNumCloud sur OVH pour les clients les plus critiques, ou le partenariat avec Thales pour une région dédiée aux activités sensibles de défense, démontrant ainsi comment conjuguer excellence technique et souveraineté maîtrisée. Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux réels par Sekoia