Parce que… c’est l’épisode 0x356! Préambule J’ai commis une erreur en introduction. C’est en 2015 que John Lambert a fait son énoncé, pas en 2017. Je prononce IR en franglais, ceci agace Olivier. Sorry! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win. Collaborateurs Nicolas-Loïc Fortin Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x355! Préambule Avertissement de rigueur. Nous ne sommes pas des comptables, avocats ou fiscalistes. Nous nous limitons à partager notre expérience dans le domaine. Si vous avez des questions pointues ou techniques, nous nous invitons à consulter un professionnel dans le domaine. De l’autre côté, nous pouvons vous accompagner dans la formation de l’entreprise et des objectifs que vous y cherchez. Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes AQII Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x354! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes All 161 things we announced at Google Cloud Next ‘23 – a recap Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Pub Victoria

Parce que… c’est l’épisode 0x353! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Sébastien Thomas Crédits Montage par Intrasecure inc Locaux réels par Noctem

Parce que… c’est l’épisode 0x352! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Collaborateurs Nicolas-Loïc Fortin Andréanne Bergeron Olivier Bilodeau Nabil Rachad Claudio Francavilla Maxime Nadeau Crédits Montage par Intrasecure inc Locaux réels par Palais des congrés Montréal

Parce que… c’est l’épisode 0x351! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes Communication ou réalisation d’une tâche qui concerne des renseignements personnels à l’extérieur du Québec Collaborateurs Nicolas-Loïc Fortin Simon Du Perron Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x350! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description À venir Notes À venir Collaborateurs Nicolas-Loïc Fortin Frédéric Grelot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x349! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet épisode du podcast, on discute des nouvelles lignes directrices concernant le consentement des renseignements personnels sous la Loi 25, dont l’échéance principale pour la conformité est fixée au 22 septembre 2022. Les intervenants, Simon et son interlocuteur, examinent comment cette réglementation vient modifier les pratiques des organisations en matière de collecte et d’utilisation des données personnelles au Québec. Ils notent que ces changements sont très concrets et ont un impact majeur sur le fonctionnement des organisations, les obligeant à revoir et ajuster leurs processus existants. La Loi 25 apporte de nouvelles obligations pour les entreprises, en particulier autour de la question du consentement. Les organisations doivent s’assurer que la forme de consentement qu’elles obtiennent est adéquate pour les types de données qu’elles collectent. Les renseignements personnels sensibles, tels que les données médicales ou biométriques, nécessitent une attention particulière. Il est souligné que le consentement n’est pas toujours express et peut être implicite ou présumé dans certaines situations. Les intervenants discutent des différences entre le régime québécois et le régime européen RGPD, notant que le premier repose essentiellement sur le consentement alors que le second permet d’autres bases juridiques pour la collecte de données. Cependant, ils notent que cette approche unique au Québec crée des zones grises et des ambiguïtés, et que les lignes directrices de la Loi 25, bien qu’elles apportent certaines clarifications, introduisent également de nouvelles zones d’incertitude. Un point important soulevé est l’obligation pour les organisations d’informer les individus sur leur droit de retirer leur consentement, avec des nuances concernant les limites de ce retrait. Ils soulignent qu’il existe des finalités essentielles, par exemple, dans le cadre d’un contrat de vente, où le consentement ne peut être retiré. Les organisations doivent donc élaborer des processus pour gérer ces retraits de consentement et distinguer entre les utilisations essentielles et non essentielles des données personnelles. Les intervenants mettent également en lumière la question des cookies, mentionnant que la Loi 25 traite cette question de manière séparée et permet une certaine flexibilité dans l’utilisation de différents types de cookies. Ils soulignent que les organisations ont besoin de mieux comprendre et naviguer dans les nuances de la réglementation concernant les cookies pour éviter les complications. L’introduction de cette loi a également pour conséquence une augmentation de la communication des organisations vers leurs clients pour les informer des modifications apportées à leurs politiques de confidentialité. Ils évoquent les défis technologiques associés à la mise en œuvre de ces changements, notamment en ce qui concerne l’intégration de l’intelligence artificielle et le rôle des fournisseurs de services marketing dans la gestion du retrait du consentement. En conclusion, ils notent que l’ajustement aux nouvelles directives est un processus complexe et dynamique, avec des éléments encore ambivalents et incertains. Ils anticipent que les organisations feront face à une “aventure” en naviguant dans les ramifications technologiques de la conformité. Ils appellent à une réflexion sur l’équilibre entre la protection des données personnelles et le maintien d’un service personnalisé basé sur l’IA, soulignant le dilemme entre la sécurité des données et la qualité du service. En somme, cet épisode met en évidence les nuances complexes et les défis pratiques que les organisations doivent aborder dans le contexte des nouvelles directives sur le consentement des renseignements personnels introduites par la Loi 25 au Québec. Notes Lignes directrices sur les critères de validité du consentement - renseignements personnels - Consultation sur le projet de texte Lignes directrices 2023-1 sur les critères de validité du consentement Collaborateurs Nicolas-Loïc Fortin Simon Du Perron Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x348! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Au Google Next ‘23, des annonces majeures ont été faites concernant la sécurité dans le Google Cloud. Au cœur de ces annonces se trouvaient des améliorations substantielles des pare-feu. Historiquement, Google a constamment amélioré ses pare-feu. L’année précédente, par exemple, Google avait lancé une version du Cloud firewall distincte du VPC firewall, offrant plus de flexibilité. Elle permettait aux utilisateurs d’établir des politiques plutôt que des règles simples, de gérer la sécurité à plusieurs niveaux organisationnels et d’intégrer des listes dynamiques d’adresses. Ces améliorations ont aussi introduit la possibilité de gérer l’accès basé sur des domaines qualifiés et des géolocalisations. Cette année, l’innovation majeure est le “Firewall Plus”. L’objectif principal de cette nouvelle version est d’inspecter et de bloquer proactivement les attaques, offrant ainsi une granularité sans précédent dans la gestion du trafic. Cette capacité a été rendue possible grâce à une technologie appelée “paquet intersif”, qui capture et traite le trafic sans perturber les structures existantes. Cela signifie que les utilisateurs peuvent facilement migrer vers Firewall Plus sans avoir à réviser leurs architectures existantes. Le Firewall Plus n’est pas seulement une version gérée par Google. Il offre également la possibilité d’intégrer des pare-feu tiers comme ceux de Palo Alto, Fortinet et Cisco, offrant ainsi aux entreprises une flexibilité dans la manière dont elles souhaitent gérer leur sécurité. Les entreprises peuvent même apporter leurs licences existantes de pare-feu, éliminant le besoin d’investissements supplémentaires. L’une des grandes valeurs ajoutées de cette innovation est la facilité d’intégration et de migration. Les entreprises peuvent maintenant transporter leurs compétences et technologies éprouvées dans le Cloud sans avoir à surmonter les obstacles techniques traditionnels associés au routage et à l’équilibrage des charges. En conclusion, avec Firewall Plus, Google a simplifié et renforcé la sécurité du cloud, permettant aux entreprises de toutes tailles de bénéficier d’une protection améliorée tout en conservant ou en intégrant leurs solutions existantes. Il s’agit d’un pas géant vers la création d’environnements Cloud plus sûrs et plus flexibles pour tous. Notes Cloud Firewall Plus Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Moscone Center

Parce que… c’est l’épisode 0x347! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description La cybersécurité est devenue un élément central dans le monde numérique actuel. Rosa philacos, experte en sécurité et responsable des services professionnels de son entreprise, évoque l’importance de la sensibilisation de l’utilisateur à ces enjeux. Introduction à la Sensibilisation Les programmes de sensibilisation visent à éduquer et à guider l’utilisateur, l’empêchant ainsi de se sentir seul face aux menaces numériques. Ces initiatives permettent d’inculquer une culture de la cybersécurité dès le plus jeune âge, que ce soit à la maison, à l’école ou par des initiatives gouvernementales. Les Nouveaux Défis Avec la montée du télétravail suite à la pandémie en 2020, de nouveaux défis sont apparus. Les utilisateurs sont devenus les administrateurs de leurs propres réseaux à domicile. Cela nécessite une sensibilisation accrue sur la sécurisation de leurs environnements numériques, tant sur le plan professionnel que personnel. L’Importance de la Simulation La simulation joue un rôle clé dans la sensibilisation. Au-delà des méthodes éducatives classiques, les simulations offrent une expérience réelle aux participants. Elles les confrontent à des scénarios concrets, leur permettant d’identifier des menaces et de renforcer leurs compétences pratiques. L’Évolution des Menaces Les menaces évoluent constamment, avec notamment l’apparition de nouvelles techniques comme l’intelligence artificielle. Les cybercriminels exploitent des scénarios d’actualité pour tromper leurs victimes. Les organisations doivent donc constamment adapter leurs programmes de sensibilisation. L’Approche Pratique de la Sensibilisation La simulation est plus qu’un simple test. Elle vise à offrir un apprentissage concret aux participants. Les scénarios utilisés doivent être pertinents et réalistes, sans pour autant être émotionnellement manipulatoires. La Culture de la Sécurité au Sein de l’Organisation Pour qu’un programme de sensibilisation soit efficace, il doit être soutenu par la direction et intégré dans la culture de l’entreprise. Cela va au-delà de la simple formation; il s’agit de créer un environnement où la sécurité est valorisée et priorisée. Personnalisation de la Formation Les programmes de sensibilisation doivent être adaptés aux besoins et aux risques spécifiques des employés. Certains employés, en particulier les cadres supérieurs, peuvent être plus ciblés par des menaces et nécessitent donc une formation plus approfondie. Conclusion Dans le paysage numérique en constante évolution, la sensibilisation à la cybersécurité est plus importante que jamais. Les organisations doivent investir dans des programmes éducatifs complets, intégrant à la fois des méthodes théoriques et pratiques, pour garantir la sécurité de leurs employés et de leurs actifs numériques. Ainsi, la cybersécurité n’est pas seulement une affaire d’outils technologiques, mais également d’éducation et de sensibilisation. Chaque individu a un rôle à jouer pour garantir la sécurité de l’ensemble. Notes TerraNova Collaborateurs Actif Nicolas-Loïc Fortin Theo Zafirakos Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x346! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Bienvenue dans le compte-rendu du Blue Team Con 2023. Lors du mois d’août, j’ai participé au Blue Team Con, un événement axé sur la sécurité défensive en cybersécurité. L’événement a attiré mon attention car il se concentre sur des sujets rarement abordés dans la cybersécurité. Ayant organisé des événements similaires à Québec, j’étais curieux de voir comment ils s’organisent ailleurs. Le Blue Team Con a eu lieu à Chicago pendant trois jours, avec un format similaire à celui du DEFCON. Il y avait des sessions de formation, des conférences, et des “villages”, des zones spécialisées pour des démonstrations et des ateliers. L’une des conférences mémorables était celle de Lesley Carhart (hacks4pancakes), qui a parlé des défis de santé mentale auxquels sont confrontés les professionnels de la sécurité. D’autres sessions ont couvert des outils spécifiques comme “Evilginx”, qui permet d’extraire des tokens de session Microsoft. Une autre présentation a souligné l’importance de la réflexion stratégique dans la défense plutôt que de simplement suivre une liste de vérification. L’événement a également abordé la façon dont nous introduisons les nouveaux venus dans le domaine. Nous avons tendance à faire des références à la culture cyberpunk des années 90 et 2000, ce qui pourrait être déroutant pour les nouveaux venus. Un autre thème récurrent était le besoin d’adopter une approche proactive en matière de défense. Au lieu de réagir uniquement aux menaces, les équipes devraient essayer d’anticiper et de prévenir les attaques. Cela peut inclure la mise en place de fausses informations pour détourner ou piéger les attaquants. La question des métriques a également été abordée. Un intervenant a parlé de l’importance de prendre en compte le bien-être des employés et de considérer comment l’efficacité, la productivité et le moral peuvent être améliorés, conduisant à une meilleure sécurité. Finalement, la question de la formation et de l’embauche dans le domaine de la cybersécurité a été soulevée. Il est crucial d’investir dans la formation des nouveaux talents et d’assurer que les bonnes personnes sont au bon endroit. En dehors de l’événement, j’ai également eu l’occasion de découvrir Chicago. C’était ma première visite dans cette magnifique ville. Chaque ville américaine a sa propre culture et son propre charme, et Chicago ne fait pas exception. En conclusion, le Blue Team Con 2023 a été une expérience enrichissante. J’ai acquis de nouvelles connaissances, découvert de nouveaux outils et stratégies, et établi des contacts avec d’autres professionnels du domaine. Je suis impatient d’y retourner l’année prochaine. Notes Blue Team Con 2023 Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x345! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Le podcast technique 0x345 aborde un sujet brûlant : la récente fuite de sécurité chez Microsoft liée à la clé MSA. Cette fuite a suscité de nombreuses réactions, à la fois dans les médias et au sein de la communauté tech. L’origine du problème vient d’un groupe, vraisemblablement chinois, identifié sous le nom de “Storm 05 58”. Ils auraient volé des clés d’inscription destinées aux clients Microsoft, permettant notamment l’authentification sur divers services, dont Outlook. Bien que les premiers rapports suggéraient que seuls les comptes Outlook étaient compromis, il est rapidement apparu que le problème était plus étendu. Environ 20 à 30 organisations ont été affectées, incluant des instances gouvernementales américaines et européennes. Ces clés d’inscription, spécifiques à Microsoft, servent à signer des tokens d’authentification pour accéder aux services Cloud de l’entreprise. Une fois volées, elles ont été utilisées pour forger des signatures valides. Cela a permis aux pirates de se faire passer pour des utilisateurs légitimes et d’accéder aux services comme s’ils étaient ces utilisateurs. L’une des grandes questions reste : comment ces clés, certaines étant même considérées comme invalides par Microsoft, ont-elles pu être utilisées sans déclencher d’alertes ? Le podcast souligne également la différence de réaction entre Google et Microsoft face à des violations de sécurité. En 2010, Google avait subi une attaque et avait rapidement identifié, corrigé le problème et informé le public. À l’inverse, Microsoft a mis deux mois entre la découverte de la fuite et l’annonce publique. Les auditeurs du podcast ont ainsi été encouragés à réfléchir sur l’importance de la transparence et de la rapidité de réaction face à de telles situations. Bien que la technologie ait progressé, les entreprises doivent toujours être vigilantes et proactives face aux menaces, tout en étant transparentes avec leurs utilisateurs. Notes HACKING GOOGLE series Security News This Week: China’s Breach of Microsoft Cloud Email May Expose Deeper Problems Microsoft Signing Key Stolen by Chinese Collaborateurs Nicolas-Loïc Fortin Yan Bellerose Crédits Montage par Intrasecure inc Locaux réels par 3 BRASSEURS LAURIER

Parce que… c’est l’épisode 0x344! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description La sécurité en matière de technologie de l’information est cruciale pour les entreprises modernes, en particulier dans le contexte du cloud, où les frontières traditionnelles entre les ressources internes et externes sont de plus en plus floues. C’est le thème central de cette discussion qui aborde les tests d’intrusion dans l’environnement du cloud, une dimension souvent négligée ou mal évaluée par rapport aux approches traditionnelles sur site. Au cours des dernières années, de nombreuses entreprises ont migré leurs ressources vers le cloud. Cependant, ce mouvement a souvent été réalisé sans un accompagnement adéquat, et sans une compréhension profonde de la sécurité du cloud, laissant des failles potentielles qui attirent de plus en plus les attaquants. L’importance d’une approche basée sur un “modèle de sécurité partagé” a été soulignée, surtout lorsqu’on travaille avec des fournisseurs de cloud comme Azure. Dans cet environnement, il ne suffit pas de s’appuyer uniquement sur les mesures de sécurité du fournisseur. Les entreprises doivent également jouer leur rôle en matière de protection. Selon le type de service - Infrastructure en tant que Service (IaaS), Plateforme en tant que Service (PaaS) ou Logiciel en tant que Service (SaaS) - la responsabilité de la sécurité peut varier considérablement. L’une des principales différenciations mises en avant est la gestion de l’identité et de l’accès. Les problèmes tels que la configuration incorrecte du Multifactor Authentication (MFA) ou la mauvaise gestion des équipements dans des services comme Azure peuvent donner aux attaquants un accès direct, mettant ainsi les ressources de l’entreprise en danger. En explorant davantage les environnements de cloud, il est essentiel de comprendre les risques associés aux services conteneurisés comme Kubernetes. Les attaquants peuvent exploiter les faiblesses dans ces configurations pour accéder aux ressources. Lors de l’évaluation de la sécurité du cloud, il ne s’agit pas uniquement de prévention, mais également de réaction. Les entreprises doivent être en mesure de répondre rapidement aux failles potentielles et de comprendre les menaces pour pouvoir les atténuer. La discussion a également évoqué des exemples spécifiques de menaces, notamment les problèmes liés à la gestion des versions dans des services comme SharePoint, où les attaquants peuvent effacer les versions précédentes d’un document, rendant les tentatives de récupération inefficaces. En conclusion, le cloud offre des capacités puissantes et flexibles aux entreprises, mais il nécessite une nouvelle approche en matière de sécurité. Les entreprises doivent adopter des stratégies proactives pour protéger leurs ressources, tout en restant vigilantes face aux évolutions constantes du paysage des menaces. Notes À venir Collaborateurs Nicolas-Loïc Fortin Maxime Lamothe-Brassard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x343! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Nous discutons de l’importance des signaux dans l’analyse de la cybersécurité. Maxime souligne qu’un signal peut varier en importance selon le contexte. Tous les signaux ne sont pas critiques, mais certains sont essentiels pour détecter des anomalies ou des menaces. Un élément clé à comprendre est que la simple accumulation de signaux peut amplifier leur importance. Par exemple, si un système émet plusieurs signaux de faible niveau dans une période courte, cela pourrait être traité comme un signal de haute importance. Les signaux peuvent être bénéfiques ou problématiques. Dans certains environnements sophistiqués, certains signaux peuvent être considérés comme du bruit ou des fausses alertes. Cependant, il est crucial de comprendre le contexte pour interpréter correctement un signal. Par exemple, un signal de détection de la Chine pourrait être inutile s’il provient d’une source externe, mais s’il provient de l’intérieur d’une machine, il pourrait être significatif. Maxime insiste sur l’importance d’avoir des règles spécifiques à chaque environnement. Les tendances générales du marché ne peuvent pas toujours prévoir les menaces spécifiques à un système particulier. C’est l’hygiène digitale, la capacité de comprendre ce qui se passe dans un environnement, qui permet de mieux détecter et répondre aux menaces. L’analyse des signaux nécessite une réduction progressive de l’information. Le concept d’entonnoir est mentionné, où les données brutes sont progressivement réduites jusqu’à ce qu’un analyste puisse les examiner efficacement. Le timing est un aspect essentiel de cette analyse. Les signaux sont aussi un moyen de vérifier la stabilité des infrastructures. Les événements rares peuvent être plus intéressants que ceux qui se produisent fréquemment. Maxime suggère de commencer par les événements les moins fréquents pour raffiner et nettoyer les données. En conclusion, la gestion et l’analyse des signaux sont cruciales pour la cybersécurité. Bien que tous les signaux ne soient pas également importants, comprendre leur contexte et leur relation les uns avec les autres permet une meilleure détection et réponse aux menaces. Notes Google BeyondCorp Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage audio par Intrasecure inc Locaux réels par 3 Brasseurs

Parce que… c’est l’épisode 0x342! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Suite aux changements mondiaux tels que la pandémie de COVID-19 et les fluctuations politiques et sociales, une augmentation de la demande pour le travail indépendant est observée. Nombreux sont ceux qui souhaitent désormais travailler pour eux-mêmes plutôt que pour d’autres. Cependant, il existe à la fois de bonnes et de mauvaises raisons pour devenir freelance. Il est vrai que le freelancing n’est pas pour tout le monde, mais il peut convenir à plus de personnes qu’on ne le pense. Davy évoque sa propre expérience, expliquant qu’il était fatigué de ne pas contrôler son temps et de se sentir sous-utilisé dans ses emplois précédents. Une expérience dans les transports parisiens lui a fait réaliser qu’il voulait travailler pour lui-même. Devenir freelance comporte des défis, notamment la gestion du temps et la nécessité de chercher activement du travail. Les freelances ont la possibilité de travailler sur des projets à long terme ou de fournir des services ponctuels. Davy mentionne qu’il est essentiel d’avoir une relation saine avec l’argent, car vous devrez peut-être négocier vos tarifs et gérer vos finances de manière autonome. Il existe différents modèles pour devenir freelance, comme passer par des sociétés de portage salarial. Ces sociétés gèrent les aspects administratifs pour le freelance en échange d’une commission. L’avantage est qu’elles simplifient la gestion, mais elles peuvent aussi retenir une part significative des revenus. Davy souligne l’importance de clarifier sa relation à l’argent avant de devenir freelance. La manière dont nous percevons et gérons l’argent peut influencer notre succès en tant qu’indépendant. En France, la notion de “jour” est couramment utilisée pour calculer les tarifs, et l’auteur mentionne qu’il aime distinguer ses clients de ses partenaires. Les clients ont des besoins ponctuels, tandis que les partenaires sont ceux avec qui il existe une relation de travail plus profonde et continue. En conclusion, la transition vers le freelancing est une démarche profonde qui nécessite de la réflexion et une préparation adéquate. C’est un mode de travail qui peut offrir une grande liberté, mais qui vient aussi avec son lot de défis. Avant de s’engager sur cette voie, il est essentiel de comprendre ses motivations, ses capacités et d’être prêt à gérer les aspects financiers et administratifs de cette profession. Notes À venir Collaborateurs Actif Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x341! Shameless plug 10 au 13 août 2023 - DEFCON 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Bienvenue dans l’univers de la sécurité offensive avec “belle sécurité”. Le domaine couvre tout ce qui concerne les tests de sécurité et le piratage éthique. Ce secteur, quoique vaste, est essentiel pour comprendre les nuances des tests d’intrusion dans l’informatique nuagique. La tendance actuelle montre que de nombreuses entreprises migrent leurs ressources vers le cloud, notamment en raison de ses avantages en matière de flexibilité et de coût. Cependant, cette migration se fait souvent sans une connaissance approfondie des défis de sécurité qui y sont associés. En effet, les attaquants s’intéressent de plus en plus aux environnements cloud, y voyant des points d’entrée potentiels vers des réseaux internes ou des données sensibles. Il est essentiel de comprendre le modèle de sécurité partagée propre au cloud. Ce modèle stipule que, bien que le fournisseur de cloud (comme Azure, AWS ou GCP) soit responsable de certains aspects de la sécurité, la responsabilité finale incombe à l’entreprise utilisatrice. Les différentes offres cloud, comme IaaS, PaaS et SaaS, ont chacune leurs spécificités et risques associés en termes de sécurité. La gestion des accès est primordiale. Des erreurs comme l’absence de MFA (authentification multi-facteurs) peuvent offrir aux attaquants une porte ouverte. De plus, la gestion des équipements et des identités est essentielle, d’autant plus que les attaques basées sur l’identité sont de plus en plus courantes dans le monde du cloud. Il est intéressant de noter que même si les environnements cloud sont basés sur des serveurs physiques traditionnels, la méthodologie d’approche est différente. Les tests d’intrusion dans le cloud nécessitent une compréhension approfondie des spécificités de l’environnement cible, car une simple erreur de configuration peut être exploitée par des attaquants. Les tests d’intrusion, qu’ils soient en mode Black Box, Grey Box ou White Box, varient selon les informations disponibles pour l’attaquant. C’est dans ce contexte que les outils comme Truffaut, qui se concentrent sur la détection d’entropie, peuvent s’avérer utiles pour identifier les secrets ou les tokens d’accès. Il est également crucial d’être conscient de la persistance des attaques. Par exemple, un refresh token valide pendant 90 jours peut permettre à un attaquant de maintenir un accès non autorisé pendant une longue période. Les attaques sophistiquées, comme le ransomware, exploitent également les fonctionnalités natives des services cloud pour infliger des dommages. En conclusion, l’informatique nuagique offre d’énormes avantages aux entreprises, mais elle présente également des défis uniques en matière de sécurité. La clé est de comprendre ces défis, de s’équiper des outils et des connaissances appropriés, et de toujours rester un pas en avance sur les attaquants potentiels. Notes À venir Collaborateurs Nicolas-Loïc Fortin Clément Cruchet Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x340! Shameless plug 10 au 13 août 2023 - DEFCON 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet épisode consacré au PME, la discussion tourne autour des mots de passe, un sujet omniprésent dans notre vie numérique. L’importance des mots de passe réside dans le fait qu’ils empêchent l’accès non autorisé à nos comptes en ligne, qui renferment une multitude d’informations, que ce soit sur nous-mêmes, nos entreprises, nos clients ou nos équipes. L’une des préoccupations majeures est d’assurer que nos mots de passe soient robustes. Les mots de passe basés sur des données personnelles, comme les dates de naissance, sont facilement devinables. Une bonne pratique consiste à choisir une phrase mémorable et à l’adapter à chaque plateforme en y incorporant des éléments spécifiques, comme les trois premières lettres du nom de la plateforme. Malheureusement, de nombreux utilisateurs gardent encore leurs mots de passe dans des fichiers Excel, souvent stockés en ligne, une pratique risquée. Si le stockage hors ligne est une meilleure option, il est encore préférable d’utiliser un gestionnaire de mots de passe. Ces outils stockent et génèrent des mots de passe complexes pour chaque compte, l’utilisateur n’ayant qu’à se souvenir d’un mot de passe principal ultra robuste. L’un des avantages des gestionnaires de mots de passe est leur capacité à intégrer des identifiants aléatoires. L’utilisation d’adresses e-mail différentes pour chaque site renforce la sécurité en rendant plus difficile le lien entre les différentes fuites de données. Enfin, la discussion évoque les nouvelles méthodes d’authentification sans mot de passe, comme celles proposées par Google. Bien que ces méthodes offrent une sécurité renforcée, il est crucial de comprendre leur fonctionnement et de rester informé des dernières évolutions en matière de cybersécurité. Notes À venir Collaborateurs Nicolas-Loïc Fortin Emeline Manson Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x339! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Bienvenue à cet épisode technique où Sébastien nous présente le concept de conteneurisation et sa pertinence, en particulier dans le monde de Kubernetes. Les containers, souvent considérés comme la pierre angulaire de la modernité en informatique, sont comparés à des versions allégées des systèmes d’exploitation, construites par couches superposées. Cette superposition permet de standardiser et de faciliter la distribution. Docker, avec son système de “docker build”, a rendu populaire cette manière de construire des containers. On commence avec une image de base, souvent un système d’exploitation complet comme Debian ou Ubuntu, puis on ajoute des couches selon les besoins de l’application. Cependant, cette approche peut s’avérer lourde et vulnérable aux attaques. Pour résoudre ce problème, on préfère souvent utiliser des images de base plus légères, comme Alpine, qui est un OS minimaliste. L’avantage est double : sécurité renforcée et rapidité de déploiement. En effet, un conteneur minimaliste limite l’exposition aux attaques. Cependant, toutes les applications ne sont pas adaptées à ce modèle minimaliste. Par exemple, les langages interprétés comme Python ou Node.js nécessitent un environnement d’exécution plus complet, d’où la nécessité d’avoir des containers plus volumineux. Dans ces cas, la sécurité repose en partie sur l’isolation du container, qui est réalisée grâce aux fonctionnalités Linux. Les “capabilités” de Linux permettent de restreindre les permissions d’un conteneur. Par exemple, un conteneur peut être privé de l’accès au réseau ou avoir des permissions d’accès aux disques restreintes. Ces restrictions ajoutent une couche de sécurité supplémentaire. En outre, il est recommandé de ne pas exécuter les conteneurs en tant qu’utilisateur “root”, car cela présente des risques supplémentaires. En conclusion, la conteneurisation, popularisée par des outils comme Docker, a transformé la manière dont les applications sont déployées. Toutefois, il est crucial de comprendre et de maîtriser les aspects de sécurité associés pour garantir un environnement sûr et efficace. Notes À venir Collaborateurs Nicolas-Loïc Fortin Sébastien Thomas Crédits Montage par Intrasecure inc Locaux réels par Noctem

Parce que… c’est l’épisode 0x338! Shameless plug 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description L’événement DEFCON 31 a été l’occasion de rassembler des experts en sécurité informatique, des chercheurs européens et de nombreuses personnes passionnées par la sécurité. Cette édition de DEFCON s’est déroulée dans un nouvel endroit qui a été apprécié pour sa logistique fluide par rapport aux années précédentes. L’un des aspects marquants de cette DEFCON a été l’augmentation du nombre de villages, chacun se concentrant sur des sujets spécifiques tels que l’intelligence artificielle. Cette nouveauté a été bien accueillie, montrant que ces villages sont devenus des lieux d’intérêt pour les participants, même s’ils étaient historiquement moins spécialisés. De plus, de nombreux participants ont remarqué la présence de familles avec des enfants, montrant que la DEFCON attire désormais un public de tous âges et de tous horizons. L’ambiance générale de cette DEFCON a été différente des éditions précédentes, marquée par une réflexion sur l’infonuagique et l’importance de la sécurité dans ce domaine en constante évolution. Les conférences ont abordé des sujets tels que les consoles d’administration des grands fournisseurs cloud comme GCP, AWS et Azure, soulignant l’importance des certifications pour les professionnels de la sécurité. Une partie de la réflexion a également porté sur l’évolution de la sécurité informatique au fil des années, notamment depuis l’époque des premières versions de Windows. On a constaté que la dépendance envers certains fournisseurs et compétences est devenue de plus en plus cruciale pour maintenir la sécurité des systèmes d’entreprise. Cela a soulevé des préoccupations quant à la vulnérabilité potentielle en cas de panne ou de compromission de ces systèmes clés. Un autre point important soulevé lors de la DEFCON a été la question de l’intégrité des données et des systèmes. On a rappelé l’importance d’assurer une sécurité rigoureuse pour éviter la manipulation ou la destruction de données. Des exemples ont été donnés de situations où l’intégrité des données a été compromise, mettant en évidence les défis auxquels les entreprises peuvent être confrontées pour rétablir la confiance de leurs clients. Le thème de la crypto-monnaie a également été abordé, avec des discussions sur les vulnérabilités potentielles et les raccourcis pris dans ce domaine. Les présentateurs ont montré comment certaines autorisations liées à la crypto-monnaie ont été mal utilisées pour dépasser les limites du système, ce qui soulève des questions sur la sécurité des transactions financières. Une présentation a également mis en lumière les attaques manuelles et les différentes catégories d’attaquants, montrant comment certains d’entre eux ciblent des systèmes de manière mécanique et non sophistiquée. Cette présentation a souligné l’importance de rester vigilant face à ces attaques. Une dernière présentation a abordé la question de la conception des systèmes, soulignant l’importance de la réflexion en amont pour éviter les vulnérabilités. L’idée était que de nombreux problèmes de sécurité résultent d’une conception insuffisante ou d’un manque de réflexion sur les failles potentielles. En conclusion, DEFCON 31 a été un événement marqué par la diversité des sujets abordés, allant de la sécurité des systèmes infonuagiques à l’intégrité des données en passant par les défis posés par la crypto-monnaie. L’importance de la sécurité informatique dans un monde de plus en plus connecté et dépendant de la technologie a été mise en avant, ainsi que la nécessité d’une réflexion approfondie lors de la conception des systèmes. L’événement a également montré que la DEFCON continue d’évoluer pour accueillir un public varié et de toutes générations, ce qui est prometteur pour l’avenir de la sécurité informatique. Notes À venir Collaborateurs Nicolas-Loïc Fortin Vincent Groleau Crédits Montage par Intrasecure inc Locaux réels par The Venetian Las Vegas

Parce que… c’est l’épisode 0x337! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Les interlocuteurs discutent des enjeux liés à la sécurité dans le domaine de l’infonuagique et se demandent pourquoi cette sécurité est souvent considérée comme un service additionnel et non comme un élément fondamental inclus dans le service de base. Dès le début, l’un des intervenants exprime son mécontentement face au fait que la sécurité ne soit pas intégrée en standard dans les offres de services infonuagiques, tout comme lorsqu’on achète une voiture, certains éléments de sécurité sont inclus. La discussion s’oriente rapidement vers des préoccupations précises telles que l’absence de journaux de logs qui permettraient de tracer l’origine d’un problème de sécurité, et le manque de transparence et d’accessibilité à ces informations cruciales. Les intervenants abordent également le sujet des réglementations légales et la mise en place de normes pour réguler le secteur de l’infonuagique, citant notamment l’exemple de lois québécoises et fédérales en préparation. Ces lois visent à encadrer l’activité des fournisseurs de services infonuagiques et à instaurer des standards minimaux de sécurité. Dans ce contexte, ils mentionnent que beaucoup d’entreprises, y compris les startups technologiques et les grandes industries, ne sont pas prêtes à répondre aux exigences de ces réglementations, et s’interrogent sur la façon dont elles vont s’adapter à ce nouveau paysage réglementaire. L’accent est mis sur le fait que la non-conformité aux normes de sécurité peut avoir des conséquences graves, notamment juridiques. La conversation dérive ensuite sur les défis spécifiques aux différents fournisseurs de services infonuagiques, notamment Azure et Amazon Web Services (AWS), et le manque d’uniformité dans la manière dont ces services gèrent la sécurité. Les interlocuteurs soulignent l’importance d’avoir une certaine “paranoïa” constructive pour rester vigilant et proactif dans la gestion de la sécurité. Les intervenants pointent également du doigt la complexité et l’incohérence des offres de services, avec une multitude d’options souvent difficiles à comprendre pour le consommateur moyen. Ils critiquent le modèle économique actuel qui incite à ajouter toujours plus d’options, et donc à augmenter les coûts, au lieu de proposer des packages de sécurité inclus de base et permettant de retirer ce qui n’est pas nécessaire. Ils expriment le besoin d’un certain niveau de standardisation dans l’industrie pour éviter que les clients aient à apprendre les spécificités de chaque fournisseur. Ils suggèrent qu’une telle standardisation pourrait conduire à une meilleure transparence et à une meilleure compréhension des enjeux de sécurité pour les clients. En résumé, le podcast aborde des questions cruciales relatives à la sécurité dans le domaine de l’infonuagique, en mettant en lumière les défis et les incohérences actuelles du secteur. Il appelle à une meilleure intégration de la sécurité dans les offres de base, à une réglementation plus stricte et à une standardisation de l’industrie pour faciliter la compréhension et l’adoption des bonnes pratiques en matière de sécurité par les clients. Les intervenants invitent à une réflexion profonde sur les modèles économiques en place, critiquant une tendance à la monétisation excessive des fonctionnalités de sécurité essentielles et appelant à une approche plus éthique et responsable de la part des fournisseurs de services infonuagiques. Notes À venir Collaborateurs Nicolas-Loïc Fortin Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm