PolySécure Podcast

Parce que… c'est l'épisode 0x712! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 Notes IA Sécurité et le code Kevin Beaumont: “Today in InfoSec Job Security …” - Cyberplace AI Found Twelve New Vulnerabilities in OpenSSL Anthropic rolls out embedded security scanning for Claude Cyber Stocks Slide As Anthropic Unveils ‘Claude Code Security' Plagiat chez Microsoft Microsoft deletes blog telling users to train AI on pirated Harry Potter books Microsoft Uses Plagiarized AI Slop Flowchart To Explain How Git Works The Promptware Kill Chain Why ‘secure-by-design' systems are non-negotiable in the AI era Side-Channel Attacks Against LLMs Gentoo dumps GitHub over Copilot nagware European Parliament bars lawmakers from AI tools AI chatbots to face strict online safety rules in UK LLM-generated passwords ‘fundamentally weak,' experts say PromptSpy ushers in the era of Android threats using GenAI Claude just gave me access to another user's legal documents OpenClaw Security Fears Lead Meta, Other AI Firms To Restrict Its Use Was an Amazon Service Taken Down By Its AI Coding Bot? Kevin Beaumont: “Microsoft need a better way of…” - Cyberplace OpenAI Employees Raised Alarms About Canada Shooting Suspect Months Ago The Internet Is Becoming a Dark Forest — And AI Is the Hunter Souveraineté ou tout ce que je peux faire sur mon terrain India's New Social Media Rules: Remove Unlawful Content in Three Hours, Detect Illegal AI Content Automatically UK to require tech firms to remove nonconsensual intimate images within 48 hours or face fines Greece throws support behind social media bans for kids Kevin Beaumont: “Ireland's data protection watc…” - Cyberplace Spain orders NordVPN, ProtonVPN to block LaLiga piracy sites Poland bans Chinese-made cars from entering military sites Texas sues TP-Link over Chinese hacking risks, user deception Microsoft throws spox under the bus in ICC email flap Digital sovereignty must define itself before it can succeed “Made in EU” - it was harder than I thought. Privacy ou tout ce qui devrait rester à la maison Underground Facial Recognition Tool Unmasks Camgirls Leaked Email Suggests Ring Plans to Expand ‘Search Party' Surveillance Beyond Dogs Mysk

Parce que… c'est l'épisode 0x711! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : une menace sous-estimée Dans cet épisode, l'animateur reçoit Vicky Desjardins, dont le parcours en criminologie l'a amenée à se spécialiser dans la victimisation en ligne. Sa motivation est à la fois professionnelle et personnelle : devenue tante, elle souhaite rendre le monde numérique plus sécuritaire pour ses neveux et nièces. Le constat de départ est clair : la technologie n'est pas aussi inoffensive qu'on veut bien nous le faire croire, et ses dangers — tant sur la santé mentale que sur le plan criminel — restent largement méconnus du grand public. Les jeunes : une cible de plus en plus jeune L'un des points les plus frappants de la discussion est le rajeunissement des victimes potentielles. Là où l'on parlait autrefois de risques à partir de 13 ou 15 ans, on constate aujourd'hui des situations problématiques dès 6 ou 7 ans. Cette réalité est amplifiée par les fonctionnalités vocales des plateformes, qui éliminent la barrière de l'écriture et permettent aux très jeunes enfants de communiquer sans difficulté avec des inconnus. Vicky souligne également que l'éducation à la sécurité en ligne a longtemps ciblé principalement les filles, laissant les garçons sous-éduqués face aux risques. Pourtant, ces derniers sont eux aussi très visés, notamment via les plateformes de jeux vidéo — un environnement qu'ils fréquentent depuis bien plus longtemps. Des jeux comme Roblox, Minecraft ou World of Warcraft permettent des communications en temps réel, créant un terrain fertile pour le grooming (manipulation progressive d'un enfant par un prédateur). Le grooming par les jeux vidéo La particularité du grooming en ligne, par rapport aux dangers du monde physique, réside dans la création d'un lien de confiance progressif. Contrairement à l'image du « monsieur louche dans le parc », le prédateur numérique prend le temps de construire une amitié. Pendant que l'enfant est concentré sur son jeu, les conversations se déroulent en parallèle, sans que son attention critique soit pleinement mobilisée. Le prédateur exploite des expériences universelles — les devoirs difficiles, les tensions scolaires — pour créer des points communs avec sa victime, quel que soit l'écart d'âge. Il peut mentir sur son identité, son âge, et capter rapidement les expressions propres à chaque génération. Avec le temps, la garde de l'enfant baisse : il perçoit son interlocuteur comme un ami, ce qui rend toute mise en garde ultérieure beaucoup plus difficile. La géolocalisation aggrave encore la situation. Des applications comme Snapchat, Instagram ou même Google Maps — utilisé de façon détournée par des jeunes pour planifier des rencontres via des points placés dans l'océan — permettent de savoir en temps réel où se trouvent les enfants. Ce qui était autrefois un obstacle logistique pour un prédateur (se déplacer sur des centaines de kilomètres) peut désormais se réduire à quelques kilomètres. Le rôle des parents : communication plutôt que contrôle Face à ces risques, Vicky déconseille de miser uniquement sur les contrôles parentaux technologiques, qu'elle juge souvent inefficaces, mal conçus, et facilement contournés par des enfants même très jeunes. Une surveillance excessive reproduit d'ailleurs un effet bien connu : les enfants les plus encadrés sont souvent les premiers à chercher à s'émanciper en cachette. La clé, selon elle, réside dans la création d'un environnement de confiance. Il faut que l'enfant se sente à l'aise de venir parler à ses parents sans craindre d'être puni. Cela commence par des gestes simples et non technologiques : valoriser l'honnêteté de l'enfant lorsqu'il avoue une bêtise, s'excuser soi-même en tant que parent quand on fait une erreur, et montrer qu'une conversation difficile n'entraîne pas automatiquement des conséquences sévères. Ce lien de confiance constitue le meilleur « contrôle parental » qui soit. Il importe aussi de connaître les influenceurs que suivent ses enfants en ligne et de surveiller certains signes d'alerte comportementaux, comme des attitudes sexistes envers les sœurs ou des comportements d'hypersexualisation précoce. Les aînés : une vulnérabilité différente La seconde partie de l'épisode s'intéresse aux personnes âgées, qui font face à des menaces différentes mais tout aussi sérieuses. La fraude aux grands-parents est la plus connue : un escroc se fait passer pour un proche en difficulté (emprisonné à l'étranger, par exemple) et réclame un transfert d'argent urgent. Vicky recommande d'établir avec ses aînés un mot de passe ou un souvenir personnel — quelque chose qui ne figure nulle part sur internet — pour vérifier l'identité de l'appelant. Il existe aussi des arnaques en personne, où des fraudeurs se présentent dans des résidences pour personnes âgées en se faisant passer pour des employés de banque. L'arnaque au pig butchering — qui consiste à gagner la confiance d'une victime pendant des semaines avant de la convaincre d'investir massivement en cryptomonnaie, puis de disparaître avec les fonds — est particulièrement dévastatrice, car elle exploite à la fois l'isolement et le désir de bien faire fructifier ses économies. Vicky rappelle aussi qu'il est tout à fait acceptable de ne pas répondre à un message ou un appel d'un numéro inconnu. La pression à la politesse est souvent utilisée contre les victimes. Conclusion : socialisation réelle et vigilance partagée Le message final est simple mais fondamental : rien ne remplace la socialisation dans le monde réel pour développer l'esprit critique et la capacité à détecter ce qui est anormal. Il faut investir du temps avec les enfants comme avec les aînés pour qu'ils comprennent les risques du monde numérique dans lequel ils évoluent. La technologie a ses bons côtés, mais elle ne doit pas devenir un substitut aux liens humains authentiques — ni pour les plus jeunes, ni pour les plus vulnérables. Collaborateurs Nicolas-Loïc Fortin Vicky Desjardins Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x710! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes Stop Hacklore! Stop Hacklore! - Version française FUDBester! Stop Hacklore: quand les mauvais conseils éclipsent les bons Collaborateurs Nicolas-Loïc Fortin Guillaume Ross Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x709! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Les trois raisons de faire appel à un MSP Nicolas ouvre la discussion en proposant un cadre simple et efficace : trois questions auxquelles il suffit de répondre « oui » pour savoir qu'il est temps de chercher un MSP. 1. On ne sait pas faire. La technologie évolue à une vitesse fulgurante. Maintenir des systèmes TI à jour, connaître les nouvelles techniques, les nouvelles failles de sécurité, les mises à jour critiques — tout cela demande une expertise pointue et en constante évolution. Pour la majorité des PME, cette compétence n'est tout simplement pas disponible à l'interne, et il serait illusoire de vouloir la développer soi-même. Nicolas rappelle d'ailleurs que dans ses mandats de test d'intrusion (pen test), il exploite précisément ces nouvelles failles qui apparaissent continuellement. Il est donc très difficile pour une entreprise non spécialisée de suivre ce rythme. 2. On ne peut pas. Même si la volonté est là, le temps et les ressources manquent. Les dirigeants et employés d'une PME sont focalisés sur la mission principale de l'entreprise : vendre des services, livrer des produits, servir les clients. Gérer l'infrastructure TI en parallèle représente une charge supplémentaire qui finit par tout ralentir. 3. On ne veut pas. Certaines tâches TI — comme la gestion des mises à jour (patching), la surveillance réseau ou le support de niveau 1 — ne font tout simplement pas vibrer les équipes internes. Et c'est parfaitement normal. Vouloir déléguer ce qui n'est pas dans son cœur de métier est une décision stratégique saine, pas un aveu de faiblesse. Une logique qui dépasse le TI L'équipe prend soin de replacer cette réflexion dans un contexte plus large. La question « est-ce que je garde cette compétence à l'interne ou est-ce que je la délègue ? » se pose en réalité dans tous les secteurs d'activité. Marketing, réseaux sociaux, comptabilité, entretien des locaux… De nombreuses entreprises font appel à des partenaires externes pour des fonctions qui ne constituent pas leur cœur de business. Le TI n'est qu'un exemple parmi d'autres d'une externalisation stratégique. Comme le résume Dominique : personne n'achète ses propres locaux commerciaux s'il peut simplement les louer. Le duo gagnant : l'administrateur système et le MSP Un des points les plus intéressants de l'épisode concerne la complémentarité entre un administrateur système interne (sysadmin) et un MSP. Nicolas souligne que ce jumelage constitue souvent un cas de succès très convaincant. L'administrateur connaît l'environnement interne, les serveurs, la chaîne de production. Le MSP, lui, prend en charge les tâches répétitives ou moins stimulantes — patching des postes, gestion du Wi-Fi, support utilisateurs — et apporte en plus une disponibilité 24/7 que le sysadmin ne peut ou ne veut pas offrir. Ce partenariat présente un autre avantage non négligeable : il permet à l'administrateur de se concentrer sur des tâches à plus haute valeur ajoutée, celles qui lui apportent de la satisfaction professionnelle. Les deux parties peuvent ainsi « briller » dans leur zone d'excellence respective. Les bénéfices concrets d'un MSP pour une PME L'équipe identifie plusieurs avantages pratiques à faire appel à un MSP : L'expérience mutualisée. Un MSP travaille avec de nombreux clients. Il apporte des solutions déjà éprouvées ailleurs, ce qui évite à la PME de faire office de cobaye. Elle bénéficie de recettes qui ont fonctionné pour d'autres, sans en payer le coût d'apprentissage. L'accès privilégié aux éditeurs. Un MSP dispose souvent de contrats spéciaux avec de grands fournisseurs comme Microsoft ou Oracle. Pour une PME seule, il serait pratiquement impossible d'obtenir un interlocuteur dédié chez ces géants. Le MSP devient donc un canal d'accès précieux. La normalisation des relations internes. Quand c'est un collègue qui règle tous les problèmes informatiques des autres, cela peut créer des tensions. Passer par un fournisseur externe clarifie les rôles et normalise la relation. Le sysadmin n'est plus soumis à des pressions informelles ou des passe-droits. Tout est encadré par des contrats avec des délais de réponse définis (service level agreements). La question des forfaits En fin d'épisode, Dominique aborde brièvement le modèle de facturation. Il conseille fortement de privilégier les forfaits par rapport à la facturation à l'acte. Pourquoi ? Parce qu'un employé qui sait que chaque appel au support coûte de l'argent à l'entreprise va hésiter à signaler ses problèmes. Cette retenue peut nuire à la sécurité et à la productivité. Un forfait encourage au contraire la transparence et l'utilisation normale du support, sans que chaque incident devienne une source de stress financier. Ce volet monétaire — les coûts, les modèles tarifaires, les pièges à éviter — fera l'objet d'un épisode entièrement dédié. En conclusion Cet épisode pose les bases d'une réflexion structurée sur le recours aux MSP pour les PME. Le message central est clair : externaliser son TI n'est pas un signe de faiblesse, c'est une décision stratégique qui permet de mieux se concentrer sur sa mission d'entreprise. Que ce soit parce qu'on ne sait pas, qu'on ne peut pas ou qu'on ne veut pas gérer cette dimension, le MSP représente une solution mature, flexible et accessible — à condition de bien choisir son partenaire et de formaliser la relation contractuellement. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x708! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA AI threat modeling must include supply chains, agents, and human risk OpenClaw instances open to the internet present ripe targets Microsoft boffins show LLM safety can be trained away Augustus - Open-source LLM Vulnerability Scanner With 210+ Attacks Across 28 LLM Providers AI-Generated Text and the Detection Arms Race AI agents can spill secrets via malicious link previews Claude add-on turns Google Calendar into malware courier The First Signs of Burnout Are Coming From the People Who Embrace AI the Most Claude and OpenAI fight over ads while Google monetizes Prompt Injection Via Road Signs NanoClaw solves one of OpenClaw's biggest security issues — and it's already powering the creator's biz Microsoft: Poison AI buttons and links may betray your trust Anthropic safety researcher quits, warning ‘world is in peril' Cyber Model Arena AI bot seemingly shames developer for rejected pull request AI Weaponization: State Hackers Using Google Gemini for Espionage and Malware Generation Misconfigured AI could shut down a G20 nation, says Gartner AI Agents ‘Swarm,' Security Complexity Follows Suit OpenAI has deleted the word ‘safely' from its mission – and its new structure is a test for whether AI serves society or shareholders Pentagon used Anthropic's Claude during Maduro raid How AI could eat itself: Using LLMs to distill rivals Your Friends Might Be Sharing Your Number With ChatGPT Souveraineté ou tout ce que je peux faire sur mon terrain Carmakers Rush To Remove Chinese Code Under New US Rules White House to meet with GOP lawmakers on FISA Section 702 renewal Google Warns EU Risks Undermining Own Competitiveness With Tech Sovereignty Push Privacy ou tout ce qui devrait rester à la maison Re-Identification vs Anonymization Strength Ring cancels its partnership with Flock Safety after surveillance backlash Meta Plans To Let Smart Glasses Identify People Through AI-Powered Facial Recognition Red ou tout ce qui est brisé After Six Years, Two Pentesters Arrested in Iowa Receive $600,000 Settlement Notepad's new Markdown powers served with a side of RCE Spying Chrome Extensions: 287 Extensions spying on 37M users Apple patches decade-old iOS zero-day exploited in the wild Exclusive: Palo Alto chose not to tie China to hacking campaign for fear of retaliation from Beijing, sources say Microsoft: New Windows LNK spoofing issues aren't vulnerabilities Microsoft Under Pressure to Bolster Defenses for BYOVD Attacks Blue ou tout ce qui améliore notre posture Microsoft announces new mobile-style Windows security controls Patch Tuesday, February 2026 Edition The EU moves to kill infinite scrolling Meta, TikTok and others agree to teen safety ratings European nations gear up to ban social media for children Divers et insolites Nobody knows how the whole system works Counting the waves of tech industry BS from blockchain to AI Apple and Google agree to change app stores after ‘effective duopoly' claim Hacktivism today: What three years of research reveal about its transformation Europe must adapt to ‘permanent' cyber and hybrid threats, Sweden warns US needs to impose ‘real costs' on bad actors, State Department cyber official says Stop Using Face ID Right Now. Here's Why Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x707! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode de podcast, Casimir Le Grand, fondateur de FairPoint Assurance, un cabinet spécialisé en assurance pour entreprises technologiques, présente les fondamentaux de la cyberassurance et son importance cruciale pour les PME. La discussion met en lumière les aspects souvent méconnus de cette protection devenue essentielle à l'ère numérique. La nature spécifique de la cyberassurance La cyberassurance se divise en deux volets principaux : la responsabilité civile et les dommages directs. Le volet responsabilité couvre les poursuites découlant de fautes cybernétiques commises par l'entreprise, mais représente une portion moins importante des pertes. L'accent de la discussion porte sur les dommages directs, qui constituent les coûts réels de remise en état suite à un incident cybernétique. Un élément fondamental à comprendre est que la cyberassurance est une police monoligne distincte. Elle n'est pas couverte par les polices d'assurance générale combinée commerciale. Bien que certaines polices générales offrent de petites extensions de garantie de 25 000 $ à 100 000 $, ces montants sont largement insuffisants et les couvertures souvent inadéquates. Casimir insiste sur le fait qu'avoir ces petites extensions équivaut pratiquement à n'avoir aucune assurance. Les entreprises doivent donc se procurer une police spécifique pour être réellement protégées contre les risques cybernétiques. Les coûts de réponse à l'incident À chaque incident cybernétique, peu importe sa nature, les coûts de réponse sont systématiquement déclenchés. Ces coûts incluent tous les professionnels qui interviendront pour aider l'entreprise à se remettre en état. Cela comprend les experts en gestion de crise, les spécialistes en investigation forensique qui détermineront le point d'entrée des hackers et les données compromises, ainsi que d'autres professionnels spécialisés. La valeur de l'assurance se manifeste particulièrement ici, car la plupart des PME ne disposent pas d'équipes internes capables de répondre adéquatement à un incident. L'assureur coordonne l'intervention des professionnels et assume les coûts, qui peuvent varier considérablement selon l'urgence. Une intervention d'urgence un samedi matin coûtera significativement plus cher qu'une intervention planifiée le lundi après-midi. Les obligations juridiques et le rôle du breach coach Les avocats spécialisés en protection des renseignements personnels, appelés « breach coaches », jouent un rôle crucial dans la gestion d'un incident. Avec l'entrée en vigueur de la loi 25 au Québec, les entreprises ont des obligations juridiques précises lorsque des informations sont volées ou accédées illégalement. Les breach coaches aident à déterminer ces obligations, notamment : L'obligation d'avertir les personnes concernées Les exigences de notification aux autorités Les obligations contractuelles envers les tiers dont les informations confidentielles ont été compromises Une gestion appropriée de l'incident, guidée par ces professionnels, protège l'entreprise contre d'éventuelles poursuites. À l'inverse, la négligence peut être catastrophique. Certaines entreprises qui ont choisi de ne pas notifier les victimes ou de ne pas offrir de surveillance de crédit se sont exposées à des poursuites qui les ont forcées à fermer leurs portes. L'assureur, qui ne veut pas payer pour ces poursuites, s'assure donc que le breach coach intervienne pour minimiser les risques juridiques. La perte d'exploitation : un coût majeur Au-delà des coûts directs de réponse, les pertes d'exploitation constituent souvent le volet le plus coûteux d'un incident cybernétique. Casimir utilise l'exemple parlant d'une entreprise dont tous les ordinateurs deviennent noirs suite à une attaque de rançongiciel. Les employés ne peuvent plus travailler, les commerces de détail ne peuvent plus scanner les codes-barres, l'accès aux inventaires est bloqué. Pour une entreprise de commerce de détail vendant des produits non uniques, les clients se tourneront rapidement vers la concurrence, entraînant des ventes perdues irrémédiablement. La couverture de perte d'exploitation devient alors vitale. Pourtant, Casimir constate avec préoccupation que cette couverture est souvent sous-limitée. Il voit régulièrement des entreprises qui achètent une limite globale de 5 millions de dollars, mais dont la perte d'exploitation est limitée à seulement 500 000 $ ou 1 million de dollars. L'importance des limites de couverture adéquates Certains assureurs, comme Chubb et Coalition, offrent une limite séparée pour les coûts de réponse aux incidents. Cette structure est avantageuse : si la réponse à l'incident coûte 800 000 $, l'entreprise conserve l'intégralité de sa limite d'un million de dollars pour couvrir la perte d'exploitation et le paiement d'une éventuelle rançon. Cette structure évite que l'entreprise soit forcée de « tourner les coins ronds » sur la réponse à l'incident pour préserver des fonds pour d'autres besoins. Négliger une réponse complète à l'incident est dangereux. Les entreprises qui ne corrigent pas adéquatement les problèmes fondamentaux subissent souvent un deuxième incident dans les six mois suivants, ce qui devient généralement le coup fatal. Les fraudes non sophistiquées : une menace réelle Un aspect moins discuté mais très fréquent concerne les fraudes de transfert de fonds par ingénierie sociale. Contrairement aux attaques sophistiquées nécessitant une expertise technique pour contourner les systèmes de sécurité, ces fraudes de type « grab and go » sont relativement simples à orchestrer. Le scénario typique commence par une compromission de boîte de courriel d'entreprise (Business Email Compromise). Les hackers accèdent à des boîtes courriel mal sécurisées, installent des filtres pour rediriger certains courriels légitimes et surveillent silencieusement les communications. Lorsqu'une transaction importante se profile, ils envoient de fausses instructions de paiement, souvent en prétendant qu'un changement de coordonnées bancaires a eu lieu. Ces fraudes peuvent facilement atteindre des centaines de milliers de dollars. Casimir mentionne le cas remarquable d'une récupération de 9,5 millions de dollars orchestrée par Coalition, grâce à leur équipe spécialisée qui intervient rapidement pour tenter de récupérer les fonds transférés frauduleusement. Sans cette intervention professionnelle rapide, cet argent aurait été définitivement perdu. Conclusion La cyberassurance n'est plus un luxe, mais une nécessité pour toute entreprise moderne utilisant des équipements technologiques. Les coûts d'un incident cybernétique dépassent largement les capacités financières de la plupart des PME. Une couverture adéquate, avec des limites appropriées et l'accès à des professionnels spécialisés, peut faire la différence entre la survie et la fermeture d'une entreprise. L'essentiel est de ne pas sous-estimer les risques et de ne pas se contenter de couvertures inadéquates qui donnent une fausse impression de sécurité. Collaborateurs Nicolas-Loïc Fortin Casimir Le Grand Crédits Montage par Intrasecure inc Locaux réels par Bagel Maguire Café

Parce que… c'est l'épisode 0x706! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Dans cet épisode spécial du podcast, Nicolas reçoit Christophe d'Arlhac pour explorer le monde complexe des enquêtes en cybersécurité. La discussion révèle que l'investigation cyber est avant tout une affaire de méthodologie et non simplement de technologie, avec des parallèles frappants avec les enquêtes dans le monde physique. Un malentendu fondamental Christophe souligne d'emblée un malentendu courant : beaucoup pensent que l'investigation cyber est uniquement réservée à des spécialistes ultra-techniques. En réalité, la cyber-investigation s'inscrit dans une tradition très ancienne d'enquête. Comme dans un accident industriel ou une enquête judiciaire, on n'efface pas les traces avant d'avoir observé et compris. Pourtant, en cybersécurité, les ingénieurs ont longtemps fait l'inverse, privilégiant la remise en production rapide au détriment de la compréhension de l'incident. L'opposition entre deux métiers complémentaires L'un des points centraux du podcast est la différence fondamentale entre le rôle de l'enquêteur et celui de l'ingénieur. L'ingénieur est formé pour faire fonctionner, créer et maintenir des systèmes. Son objectif est de rétablir le service rapidement et de sécuriser les infrastructures. L'enquêteur, lui, adopte une approche diamétralement opposée : il demande d'arrêter, d'observer et de comprendre avant d'agir. Il se pose des questions sur le contexte, la veille dans le secteur, les changements récents dans l'organisation, les nouveaux arrivants ou les nouvelles technologies déployées. Cette opposition crée naturellement des tensions lors de la gestion d'incidents. L'ingénieur veut rebrancher immédiatement le système compromis, tandis que l'enquêteur insiste pour préserver les preuves et observer l'attaquant. Comme le souligne Nicolas, il existe une tension particulière en cyber : la nécessité parfois d'observer l'attaquant dans son “état naturel” pour comprendre ses motivations et ses méthodes, une approche contre-intuitive pour les équipes techniques. La règle d'or : ne jamais effacer les preuves Les deux experts partagent une conviction forte : il ne faut jamais écouter quelqu'un qui dit d'effacer les preuves rapidement sous prétexte qu'il n'y aura pas d'enquête. L'expérience montre qu'il y a toujours quelqu'un – une autorité, un client, un partenaire – qui finira par poser des questions, parfois des années plus tard. Les contre-enquêtes peuvent survenir des décennies après les faits, et sans preuves conservées, toute investigation devient impossible. Le réflexe classique lors d'un incident – redémarrer, réinitialiser, restaurer des sauvegardes – est une catastrophe du point de vue de l'enquête. Cette approche efface la chronologie, détruit les journaux et les connexions, rendant impossible la compréhension du “comment” et du “par où” de l'attaque. L'ordre méthodologique universel Christophe insiste sur un principe fondamental : bien gérer un incident, ce n'est pas aller vite, c'est agir au bon moment. L'ordre méthodologique est universel : observer, comprendre, décider, puis agir. Inverser cet ordre pose systématiquement des problèmes. Cette approche peut se faire rapidement, mais elle doit respecter cette séquence logique. Dans l'idéal, l'ingénieur sécurise les périmètres pour éviter que la situation ne s'aggrave, pendant que l'enquêteur fige les preuves et observe. L'utilisation de “pots de miel” pour isoler et observer l'attaquant est mentionnée comme une technique avancée, bien que peu d'organisations aient la capacité de la mettre en œuvre. Les répercussions multidimensionnelles Une enquête cyber mal conduite n'est pas seulement un problème informatique. C'est aussi un problème juridique, d'assurance, de gouvernance, de crédibilité et d'image. Sans preuves conservées, impossible d'expliquer aux autorités, aux assureurs ou aux partenaires ce qui s'est passé. Ces réunions post-incident se passent rarement bien quand les preuves ont été effacées. La préparation : clé du succès La préparation d'une organisation à l'investigation cyber doit commencer bien avant l'incident. Cela implique plusieurs dimensions : Le choix des outils et des procédures : Les enquêteurs doivent être consultés dès la sélection des outils de sécurité, car ces outils fourniront les éléments d'investigation. Leurs besoins peuvent différer de ceux des ingénieurs. La veille juridique : Chaque pays et chaque secteur ont des réglementations différentes concernant la conservation des données, les délais, et les types d'informations à préserver. Les infrastructures critiques ont des obligations particulières. La conservation des preuves numériques : Le fameux “hash” ou empreinte numérique permet de garantir l'intégrité des preuves et de s'assurer qu'elles n'ont pas été modifiées. Cette capture doit être faite avant toute autre opération. La documentation exhaustive : Le degré de documentation requis en enquête est beaucoup plus élevé qu'en opération. Il faut documenter les versions des logiciels utilisés, la méthodologie employée, chaque étape de l'investigation. Cette rigueur est essentielle pour que les contre-expertises, parfois des années plus tard, puissent être menées correctement. L'entraînement : le parent pauvre Un constat frappant émerge de la discussion : en cyber, contrairement aux corps organisés (police, pompiers, militaires), on répond constamment aux incidents mais on s'entraîne peu. Les corps d'intervention traditionnels passent 95% de leur temps à s'entraîner et sont rarement sollicités. En cyber, c'est l'inverse. Ce manque d'entraînement crée un désavantage majeur lors de la survenue d'un incident réel. L'entraînement régulier à travers des exercices de crise est essentiel, non seulement pour les équipes techniques mais aussi pour les dirigeants. Ceux-ci doivent comprendre pourquoi les informations ne sont pas disponibles immédiatement et apprendre à gérer leur impatience naturelle. La nécessité d'un travail d'équipe L'investigation cyber exige de créer des binômes qui apprennent à travailler ensemble, où chacun comprend le langage de l'autre. Christophe compare cela à un orchestre où chaque musicien a sa partition. L'enquêteur et l'ingénieur doivent jouer en concert, avec la coordination d'un chef d'orchestre (le management). Quand on ajoute les avocats, les équipes de communication et les managers, la complexité augmente encore. Aligner tout le monde et s'assurer qu'on avance dans la bonne direction devient un défi majeur. La cybersécurité n'est plus l'affaire de spécialistes isolés mais concerne désormais toute l'organisation, des dirigeants aux citoyens. Conclusion : un changement de paradigme Comme le conclut Christophe, la cybersécurité change de nature. Après des années centrées sur la technologie, l'heure est venue de se concentrer sur la méthode, la culture et la capacité à prendre de bonnes décisions. L'investigation aura un rôle central à jouer dans cette transformation, à condition que les organisations investissent dans la préparation, l'entraînement et la collaboration entre les différents métiers impliqués. Collaborateurs Nicolas-Loïc Fortin Christophe D'ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x705! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Dumpster fire called OpenClaw OpenClaw (a.k.a. Moltbot) is everywhere all at once, and a disaster waiting to happen ‘Moltbook' social media site for AI agents had big security hole, cyber firm Wiz says MoltBot Skills exploited to distribute 400+ malware packages in days DIY AI bot farm OpenClaw is a security ‘dumpster fire' Detecting and Monitoring OpenClaw (clawdbot, moltbot) Clouds rush to deliver OpenClaw-as-a-service offerings A sane but extremely bull case on Clawdbot / OpenClaw OpenClaw: When AI Agents Get Full System Access – Revolution or Security Nightmare? It's easy to backdoor OpenClaw, and its skills leak API keys Using microvm.nix to sandbox Openclaw OpenClaw Partners with VirusTotal to Secure AI Agent Skill Marketplace 17% of 3rd-Party Add-Ons for OpenClaw Used in Crypto Theft and macOS Malware Grok French prosecutors raid X offices, summon Musk over Grok deepfakes Kevin Beaumont: “The UK's Information Commissio…” - Cyberplace Kevin Beaumont: “Reuters reports Grok is still …” - Cyberplace Kevin Beaumont: “Elon Musk Under Investigation …” - Cyberplace Spain, Greece weigh teen social media bans, drawing fury from Elon Musk Vos agents IA sécurisés en -10 sec. sur Mac You won: Microsoft is walking back Windows 11's AI overload C'est prouvé : Le vibe coding va tuer l'open source Anthropic keeps Claude ad-free AWS intruder pulled off AI-assisted cloud break-in in 8 mins n8n's latest critical flaws bypass December fix Microsoft sets Copilot agents loose on your OneDrive files How Industrial Robot Safety Was Written In Blood Anthropic's Claude Opus 4.6 uncovers 500 zero-day flaws in open-source code GitHub - Deso-PK/make-trust-irrelevant: Make trust irrelevant for agentic AI using kernel-enforced authority boundaries. Malicious VS Code AI Extensions Harvesting Code from 1.5M Devs Red Notepad++ Notepad++ Hack Detailed Along With the IoCs and Custom Malware Used Notepad++ Users, You May Have Been Hacked by China Energy infrastructure cyberattacks are suddenly in fashion EDR killer tool uses signed kernel driver from forensic software Microsoft releases urgent Office patch. Russian-state hackers pounce. Attackers Using DNS TXT Records in ClickFix Script to Execute Powershell Commands nmapUnleashed Makes Nmap Scanning More Comfortable and Effective Google Looker Bugs Allow Cross-Tenant RCE, Data Exfil Blue When Cloud Outages Ripple Across the Internet Microsoft rolls out native Sysmon monitoring in Windows 11 Ukraine tightens controls on Starlink terminals to counter Russian drones Satya Nadella decides Microsoft needs a quality czar EDR, Email, and SASE Miss This Entire Class of Browser Attacks Privacy GDPR is a failure California city turns off Flock cameras after company shared data without authorization Vos données sont déjà en vente… et vous ne vous en rendez même pas compte Lockdown Mode - La fonction d'Apple qui a mis le FBI en échec We had sex in a Chinese hotel, then found we had been broadcast to thousands Souveraineté Europe shrugs off tariffs, plots to end tech reliance on US Russian spy satellites have intercepted EU communications satellites Munich makes digital sovereignty measurable with its own score Commission trials European open source communications software Divers et insolites Bitcoin Why This Computer Scientist Says All Cryptocurrency Should “Die in a Fire” Bitcoin gets a zero price target in wake of Burry warning (BTC-USD:Cryptocurrency) Bitcoin de la “marde” ou de l'or en barre !! :) (Franck Desert) Flock CEO calls Deflock a “terrorist organization” Germany warns of Signal account hijacking targeting senior figures BrianKrebs: “Must-read: How ‘Pink Slime' Pu…” - Infosec Exchange We moved fast and broke things. It's time for a change. Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x704! Shameless plug – 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : Entre enthousiasme et vigilance Dans cet épisode, les animateurs explorent l'utilisation concrète de l'intelligence artificielle dans leurs environnements professionnels respectifs. Enregistré dans un contexte festif entre Noël et le jour de l'An, ce podcast vise à démystifier l'IA en partageant des expériences réelles, sanctionnées par leurs employeurs, plutôt que de perpétuer des mythes ou des craintes infondées. L'IA comme outil, pas comme substitut L'analogie centrale du podcast compare l'IA à une caméra de recul automobile : un outil utile qui améliore nos capacités, mais qui peut nous rendre « niaiseux » si on s'y fie aveuglément. Vincent insiste sur l'importance de tester l'outil, comme on teste une voiture en hiver dans un stationnement pour comprendre ses réactions et ses limites. Cette approche expérimentale est essentielle pour développer un usage responsable. Depuis le lancement de ChatGPT en novembre 2022, l'écosystème a considérablement évolué avec l'émergence de concurrents comme Claude, Copilot, Gemini et Mistral. Les deux animateurs utilisent principalement Copilot et Gemini dans des environnements contrôlés par leurs employeurs, avec des autorisations spécifiques pour certains types de données – un point crucial pour la sécurité. La méthodologie gagnante : partir d'un draft solide L'approche recommandée par les deux experts est claire : ne jamais partir de zéro. Vincent décrit son processus de travail pour la production de rapports, d'analyses de risque ou d'avis : il rédige toujours un premier draft lui-même avant de le soumettre à Copilot. Il définit ensuite des critères précis : l'audience (exécutive ou opérationnelle), l'objectif de la présentation, et le format souhaité. Cette méthode respecte la règle du 80/20 : on maîtrise 100 % du sujet, ce qui permet de détecter facilement les 20 % d'ajustements nécessaires dans le résultat proposé par l'IA. Vincent souligne que sa force réside dans les idées et le message, tandis que l'IA l'aide sur la présentation et la structure – un domaine qu'il reconnaît comme moins naturel pour lui. Nicolas partage cette philosophie : l'IA lui permet de gagner du temps en structurant ses idées plus efficacement, économisant les deuxième et troisième réécritures qu'il effectuait auparavant. Un rapport qui prenait une semaine peut maintenant être complété en 2,5 à 3 jours, mais cela représente toujours un travail humain substantiel. L'IA n'est pas votre ami : une relation professionnelle Un point crucial soulevé par Nicolas : il ne converse pas avec l'IA, il lui donne des directives. Cette approche professionnelle évite le piège de vouloir « plaire » à l'agent conversationnel. Vincent reconnaît ce risque : l'IA peut effectivement chercher à faire plaisir à l'utilisateur, reproduisant parfois exactement ce qu'on lui a soumis avec des changements cosmétiques. La métaphore employée évolue de « wingman » à « copilote », voire à « un enfant de 5 ans qui écrit bien » selon Nicolas. Cette désacralisation est importante : l'IA est un outil, pas un collègue, pas un ami, et certainement pas un expert autonome. Les pièges à éviter : hallucinations et références fictives Les animateurs mettent en garde contre plusieurs dangers majeurs : Les hallucinations : L'IA peut inventer des informations, notamment des références juridiques inexistantes. Plusieurs cas d'avocats américains ont fait les manchettes pour avoir cité des jurisprudences fictives. Au Québec et au Canada, où les données sont plus périphériques dans l'entraînement des modèles, ce risque est encore plus élevé. Les références erronées : L'IA propose souvent des sources qu'il faut impérativement vérifier. Vincent raconte avoir reçu des références provenant d'autres pays (Luxembourg, Japon, Chine) totalement inadéquates pour le contexte québécois et canadien. Les lois et règlements variant d'un pays à l'autre, une validation systématique est essentielle. Les biais discriminatoires : Vincent rappelle le cas d'Amazon en 2017-2018, où un système d'IA de tri de CV excluait systématiquement les femmes. Ces biais, parfois subtils, peuvent s'infiltrer dans les textes générés et nécessitent une vigilance constante, d'autant plus que l'AMF (Autorité des marchés financiers) s'intéresse de près à ces questions. Cas d'usage concret : l'importance du contexte Vincent partage un exemple éloquent : pour produire un avis de risque dans un délai serré, il a fourni à l'IA des documents de référence spécifiques (code Maestro, COBIT 4.1) ainsi que le contexte précis, les critères et les limitations. Le résultat : un document à 99 % probant, très cadré, qui lui a permis de présenter rapidement des recommandations claires à son vice-président. Cette approche illustre le concept de RAG (Retrieval-Augmented Generation) : en fournissant une base de connaissance spécifique, on obtient des résultats beaucoup plus précis et pertinents. L'IA n'est pas un moteur de recherche, mais un générateur de texte qui performe mieux quand on lui donne le contexte adéquat. Votre réputation en jeu Un message fort traverse tout le podcast : c'est votre nom qui apparaît sur le document. Si vous déposez un travail médiocre généré par l'IA sans vérification, c'est votre réputation professionnelle qui en souffrira, pas celle de la machine. Les conséquences peuvent être sévères : perte de confiance de la part des gestionnaires, sanctions professionnelles, voire amendes dans le cas d'avocats. La relation de confiance avec son supérieur est fragile, particulièrement en début de carrière. Un gestionnaire qui reçoit un document s'attend à ce que son auteur en maîtrise le contenu à 100 %. L'incapacité à répondre aux questions lors de la « question du journaliste » – ce moment où un décideur challenge votre travail – peut détruire cette confiance de manière durable. Conclusion : maîtrise et vigilance L'analogie de l'automobile revient en conclusion : l'IA est un outil puissant et utile, mais qui nécessite une maîtrise adéquate avant utilisation, comme un permis de conduire. Elle peut générer des gains de productivité de 10 % ou plus, mais ne remplacera pas l'humain, du moins pas dans un avenir immédiat. Les animateurs insistent : vous restez imputable de vos décisions et de votre travail. L'IA est un allié dans votre stratégie et votre tactique, mais vous êtes le décideur final. Utilisez-la comme un accélérateur, un rehausseur de qualité, mais jamais comme un substitut à votre expertise et votre jugement professionnel. Collaborateurs Nicolas-Loïc Fortin Vincent Groleau Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x703! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast réunit Nicolas Milot, Cyndie Fletz et Dominique Derrier pour discuter d'un sujet pour les PME : la différence entre les fournisseurs de services gérés traditionnels (MSP) et les fournisseurs de services de sécurité gérés (MSSP). Cette distinction, souvent mal comprise, a des implications importantes pour la stratégie technologique et la cybersécurité des entreprises. Définitions et différences fondamentales Le MSP (Managed Service Provider) et le MSSP (Managed Security Service Provider) ne sont pas interchangeables, malgré la tentation de certains fournisseurs de vouloir tout couvrir. La différence se résume ainsi : le MSP s'occupe principalement de la disponibilité des systèmes informatiques, tandis que le MSSP se concentre sur la sécurité contre les cybermenaces. Le rôle du MSP est de s'assurer que tout fonctionne sans interruption : les pages web s'affichent, les commandes sont traitées, les bons de commande s'impriment et les clients reçoivent des réponses. C'est une question d'opérations quotidiennes et de continuité des affaires. Le MSSP, quant à lui, se préoccupe de l'intégrité et de la confidentialité des données. Il surveille et protège contre les acteurs malveillants et les cyberattaques. Au Québec, pratiquement toutes les entreprises offrant des services de cybersécurité sont des MSSP, même si elles ne l'affichent pas toujours explicitement dans leur nom. Approches opérationnelles distinctes Une différence majeure réside dans la nature du travail. Le MSP a “les mains dans la technologie” : il intervient directement sur les systèmes, gère les serveurs, connaît les processus de redémarrage et l'ordre dans lequel les services doivent être relancés. Il sait si la base de données doit redémarrer avant le service web, ou si l'ERP doit être prioritaire sur les robots. Le MSSP, en revanche, travaille davantage dans l'analyse que dans l'intervention directe. Il collecte des informations via des technologies comme les EDR (Endpoint Detection and Response) et les SIEM (Security Information and Event Management). Ces outils de défense requièrent une spécialisation particulière pour être exploités à leur pleine valeur. Avoir la capacité technique de déployer ces outils ne signifie pas nécessairement pouvoir en extraire toute la valeur pour le client. Comme l'explique l'équipe, “rouler un outil et l'analyser sont deux choses vraiment différentes”. Un MSP peut savoir utiliser un outil de sécurité, mais sera-t-il capable d'en tirer la valeur analytique maximale? Ce sont des questions essentielles à poser lors du choix d'un fournisseur. L'importance de choisir le bon partenaire Les MSP et MSSP deviennent des partenaires à long terme, voire des extensions de l'équipe TI interne. Il est crucial de ne pas “mélanger les genres”. Demander à un MSSP de gérer le patching ou les opérations quotidiennes, c'est comme “enfoncer une vis avec un marteau ou un clou avec un tournevis” : ce n'est pas le bon outil pour le travail. Inversement, si vous payez un MSSP pour faire du travail de MSP, vous risquez soit de payer trop cher, soit de recevoir un service inadéquat. Les contrats étant généralement conclus sur le long terme, choisir le mauvais type de service peut sérieusement nuire aux objectifs de l'entreprise. La coexistence MSP-MSSP : défis et collaboration Un aspect délicat est la coexistence de ces deux types de fournisseurs. Le MSP se concentre sur le “run” quotidien, tandis que le MSSP doit collaborer avec celui qui opère ce “run”, particulièrement en cas d'incident de sécurité. Cette dynamique peut créer des tensions. La mission du MSP est que tout fonctionne et roule sans interruption, tandis que la mission du MSSP est que tout soit sécuritaire, ce qui peut impliquer des processus plus longs. En cas d'incident de sécurité majeur, ce conflit devient aigu : le client veut remettre sa chaîne de production en marche rapidement, mais le MSSP insiste pour mener une enquête forensique et récupérer des informations critiques. Il peut même y avoir un conflit d'intérêts si la même entreprise offre ces deux volets. C'est au client d'arbitrer entre ces positions, avec toutes les informations fournies par ses partenaires. Le client reste “accountable” devant son propre client et doit pouvoir faire des choix éclairés en fonction de ses priorités d'affaires et de ses obligations légales. L'ordre logique pour les PME Un conseil crucial pour les PME : ne prenez pas de MSSP si vous n'avez pas d'abord une gestion solide de votre IT. Il faut d'abord établir une hygiène de base avant d'investir dans la sécurité avancée. Si un fournisseur de sécurité découvre que vous n'avez même pas d'EDR déployé, vous paierez pour qu'il fasse votre travail TI de base en plus de la sécurité. Cela rendra la sécurité prohibitivement chère et risque de vous “dégoûter” du domaine. Comme le souligne l'équipe, avec 97,1% des entreprises québécoises comptant moins de 100 employés, beaucoup n'ont même pas d'équipe TI interne. Les équipes de sécurité dédiées sont encore plus rares. Ces entreprises devront inévitablement se tourner vers des MSSP à un moment donné, mais seulement après avoir établi des bases solides avec un MSP. Le facteur cyberassurance Les cyberassurances ajoutent une couche de complexité. Elles exigent généralement la présence d'un SOC (Security Operations Center), donc d'un MSSP. Mais elles requièrent aussi que des mesures de base soient en place : l'authentification multifacteur (MFA), la gestion des comptes, le DKIM, etc. Ces éléments, qui relèvent du MSP, doivent être implémentés avant même de pouvoir contracter sérieusement une cyberassurance. Conclusion Le message final est clair : cherchez un partenaire, pas un simple fournisseur. Soyez curieux, posez des questions, mais ne cherchez pas à “coincer” vos fournisseurs avec des questions pièges. La relation doit être collaborative. Et rappelez-vous : ni le MSP ni le MSSP n'est responsable de votre maturité technologique ou sécuritaire. Ils vous aident dans la mesure où vous le voulez, moyennant des frais supplémentaires pour augmenter cette maturité. Enfin, un dernier conseil important : les audits ne doivent jamais être réalisés par votre MSP, car il ne peut pas se vérifier lui-même. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x702! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA The leaky one Exposed Moltbook Database Let Anyone Take Control of Any AI Agent on the Site Massive AI Chat App Leaked Millions of Users Private Conversations An AI Toy Exposed 50,000 Logs of Its Chats With Kids to Anyone With a Gmail Account Trump's acting cyber chief uploaded sensitive files into a public version of ChatGPT The uncontrolled one Viral Moltbot AI assistant raises concerns over data security OpenClaw AI Runs Wild in Business Environments Claude Code ignores ignore rules meant to block secrets Unaccounted-for AI agents are being handed wide access Vibe-Coded ‘Sicarii' Ransomware Can't Be Decrypted AISLE Discovered 12 out of 12 OpenSSL Vulnerabilities Kevin Beaumont: “Amazon have reported “hundreds…” - Cyberplace Second Round of Critical RCE Bugs in n8n Spikes Corporate Risk Souveraineté Iran is building a two-tier internet that locks 85 million citizens out of the global web - Rest of World France says au revoir to US videoconferencing software Nations must spend 1% of GDP on AI infrastructure – Gartner Privacy Supreme Court to hear Facebook pixel tracking case UK House of Lords Votes to Extend Age Verification to VPNs The Constitutionality of Geofence Warrants Kash Patel says the FBI is investigating Signal chats of Minnesotans tracking ICE Speak in code, delete the chats: The tactics Venezuelans are using out of fear of phone checks Data Protection Day: 5 misconceptions about data protection, debunked France fines unemployment agency €5 million over data breach New Apple feature will block cell networks from capturing precise location data Blue 1Password adds pop-up warnings for suspected phishing sites Google Announces Android Theft Protection Feature to Make Your Device Harder Target for Hackers Microsoft to disable NTLM by default in future Windows releases Red Microsoft 365 Outlook Add-ins Weaponized to Exfiltrate Sensitive Email Data Without Leaving Traces Meet IClickFix: a widespread framework using the ClickFix tactic Legalize et Politics Grok EU launches formal investigation into X and Grok over sexual images For These Women, Grok's Sexualized Images Are Personal Trump Administration Rescinds Biden-Era Software Guidance Is America's Cyber Weakness Self-Inflicted? Finland looks to end “uncontrolled human experiment” with Australia-style ban on social media France passes bill to ban social media use by under-15s Divers Kevin Beaumont: “if you want to buy yourself a …” - Cyberplace DOJ releases details alleged talented hacker working for Jeffrey Epstein Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x701! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Les initiatives du gouvernement du Québec en cybersécurité Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l'information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l'ampleur des transformations en cours au sein de l'appareil gouvernemental québécois en matière de cybersécurité. Un parcours technique impressionnant Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu'au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd'hui d'apporter une vision pragmatique et éclairée à son rôle stratégique. Les 15 mesures obligatoires : une base solide En 2019, en collaboration avec des champions du réseau gouvernemental, l'équipe d'Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l'authentification multifacteur, l'application des correctifs de sécurité, et l'utilisation de systèmes d'exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd'hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics. Une surveillance centralisée 24/7/365 L'un des projets phares actuels est la mise en place d'un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l'intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d'avoir du personnel de garde en permanence. Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l'IA, permettant une vue d'ensemble complète de l'état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur. Le regroupement RHI : une révolution organisationnelle Un changement majeur qui n'a pas reçu l'attention médiatique qu'il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d'harmoniser les choix technologiques et stratégiques dans tout l'appareil gouvernemental. Comme le souligne Fournier, ce n'est pas parce qu'un organisme est petit qu'il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l'ensemble. L'automatisation et la réactivité L'un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l'arrivée de l'intelligence artificielle, le nombre d'attaques a augmenté drastiquement, et le temps entre la découverte d'une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses. Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d'automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L'exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu'une autre province a subi le piratage de 900 serveurs SharePoint. Reconnaissance internationale et création de CVE Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l'excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l'aide de pentesteurs virtuels basés sur l'IA. Le balayage de vulnérabilités : externe et interne Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d'attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l'identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS. Cet inventaire facilitera grandement la gestion des risques : lorsqu'une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d'alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels. Le défi des objets connectés Fournier identifie les objets connectés (IoT) comme un défi majeur pour l'avenir. Ces dispositifs, de plus en plus présents dans l'environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L'exemple du thermomètre d'aquarium ayant servi de point d'entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l'appareil gouvernemental représente le “Saint Graal” de la cybersécurité. Le projet de loi 82 et les infrastructures critiques Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l'eau, l'électricité, et d'autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l'eau. Conclusion Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l'automatisation des réponses, la surveillance continue, et l'adoption de technologies basées sur l'IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l'ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois. Collaborateurs Nicolas-Loïc Fortin Yvan Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x700! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce 12e épisode de collaboration entre Cyber Citoyen et Polysécure marque également la première année de partenariat entre les animateurs. Nicolas, Catherine Dupont-Gagnon et Samuel Harper abordent deux sujets majeurs d'actualité en cybersécurité : la controverse autour de Grok et les développements récents concernant les centres de fraude au Cambodge. Grok : une plateforme problématique Le problème de la pornographie juvénile générée par IA Le premier sujet abordé concerne Grok, l'outil d'intelligence artificielle de X (anciennement Twitter), qui soulève de graves préoccupations en matière de pornographie juvénile générée par IA. Les animateurs dénoncent l'hypocrisie apparente de ceux qui prétendent lutter contre ce fléau tout en tolérant l'existence de cette plateforme. Seuls quelques pays, notamment l'Indonésie et la Malaisie en Asie, ont officiellement bloqué Grok. L'Europe reste relativement passive, l'Angleterre mène une enquête, et les États-Unis ainsi que le Canada n'ont pris que des mesures limitées. Elon Musk a même dénoncé cette situation comme de la « censure », un choix de bataille que les animateurs trouvent particulièrement troublant. Les cas choquants Le podcast relate des histoires tragiques, notamment celle d'une jeune victime d'un incendie dont la photo mémoriale a été utilisée par des utilisateurs de X pour demander à Grok de générer des images pornographiques. Ces cas se multiplient, particulièrement lorsque des visages féminins ou de jeunes filles apparaissent en ligne. Les mesures insuffisantes Les premières barrières mises en place par Musk consistaient à limiter cette fonctionnalité aux comptes payants, créant des situations absurdes où l'outil proposait de passer au forfait premium pour accéder à ces fonctionnalités illégales. Les filtres sont facilement contournables, contrairement à d'autres plateformes comme Google, MidJourney ou ChatGPT qui ont mis en place des filtres stricts dès le départ. L'inaction des grandes entreprises Apple et Google n'ont pas retiré l'application de leurs boutiques, malgré les violations apparentes de leurs conditions d'utilisation. L'administration Trump actuelle montre une tolérance extrême envers ce type de contenu, et les tentatives européennes d'imposer des amendes ont été contrecarrées par des représailles, incluant la révocation de visas et le placement sur des listes de sanctions. Un problème sociétal plus large Les animateurs soulignent que le problème dépasse Grok. Craig Silverman, journaliste spécialisé dans la fraude en ligne, a découvert 25 000 publicités sur Meta en 2025 pour des applications de « deepnude ». La facilité d'accès à ces outils, comparativement à l'époque où il fallait maîtriser Photoshop, amplifie considérablement le problème. La génération instantanée d'images ne laisse pas le temps de réfléchir aux conséquences, facilitant les actes impulsifs de revenge porn et de harcèlement. Les centres de fraude au Cambodge Le contexte Le deuxième sujet porte sur les développements majeurs concernant les centres de fraude au Cambodge et au Myanmar. Ces « scam compounds » sont des centres où des personnes sont retenues en esclavage pour commettre des fraudes en ligne. Pendant la pandémie, d'anciens casinos se sont reconvertis en centres de fraude, représentant jusqu'à 60 % du PIB cambodgien. L'arrestation de Chen Ji Récemment, Chen Ji, un magnat de cette industrie membre du Prince Group (un conglomérat incluant une compagnie aérienne, des projets immobiliers et des casinos), a été arrêté au Cambodge et extradé vers la Chine. Cette arrestation est surprenante car Chen Ji avait des liens étroits avec le pouvoir cambodgien. En 2019, le premier ministre avait même refusé de l'extrader malgré les demandes chinoises. Les développements récents Suite à cette arrestation, plusieurs centres se sont vidés. À certains endroits, les gérants ont simplement ouvert les portes et laissé partir les prisonniers. Des centaines de ressortissants chinois se sont retrouvés devant l'ambassade à Phnom Penh, cherchant à rentrer chez eux. Des milliers de personnes sont dans les rues en situation de crise, certains ayant été retenus pendant des années après avoir perdu leur argent au casino et s'être fait confisquer leur passeport. Une répression sélective Plusieurs hauts gradés de la police et un général du ministère de l'immigration ont été démis de leurs fonctions pour implication dans le trafic humain. Cependant, la répression semble sélective : certains centres continuent d'opérer normalement, et des journalistes rapportent avoir vu des personnes tentant de s'échapper être rattrapées, battues et ramenées à l'intérieur. La fermeture des marchés de blanchiment Parallèlement, We Guarantee, le plus gros marché illégal de l'histoire (sur Telegram), appartenant à des proches du pouvoir cambodgien, a fermé en mai 2025 après qu'une compagnie d'enquête crypto ait exposé ses opérations de blanchiment. Son successeur, Todo Guarantee, a également fermé après 7 semaines. Les pressions internationales Les hypothèses suggèrent que les sanctions américaines, la pression de la Corée du Sud (qui a émis des avis de voyage contre le Cambodge) et surtout l'insistance chinoise ont forcé le Cambodge à agir. La Chine est particulièrement motivée car ce sont principalement ses citoyens qui sont victimes de ces fraudes et qui se font trafiquer dans ces centres. Conclusion Les animateurs concluent en soulignant l'inaction générale face à ces problèmes. Que ce soit pour Grok ou pour les centres de fraude, les pouvoirs en place tardent à agir efficacement. Ils comparent la situation à l'époque du Far West d'internet des années 90, où l'absence de conséquences encourageait tous les comportements. La professionnalisation et l'application de règles avaient alors permis d'améliorer la situation, mais aujourd'hui, on semble avoir régressé vers un état d'impunité, particulièrement sur les réseaux sociaux où la tolérance est devenue extrême sous l'administration Trump. Cette première année de collaboration se termine sur l'espoir que 2026 apportera des changements positifs, bien que les signes actuels ne soient pas encourageants. Notes Malaysia and Indonesia block X over deepfake smut Ofcom officially investigating X over Grok nudification Kevin Beaumont: “The UK government is to enforc…” Apps like Grok are explicitly banned under Google's rules—why is it still in the Play Store?à California AG to probe Musk's Grok for nonconsensual deepfakes Kevin Beaumont: “X has finally climbed down ove…” Ofcom continues X probe despite Grok ‘nudify' fix Elon Musk's X says it will block Grok from making sexual images Campaigners demand Apple, Google remove Grok from stores X serre la vis de sa plateforme de nudification, mais pas trop fort quand même State Department Threatens UK Over Grok Investigation, Because Only The US Is Allowed To Ban Foreign Apps Elon Musk's Grok ‘Undressing' Problem Isn't Fixed Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x699! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Le ciel nous tombe sur la tête New Study Shows GPT-5.2 Can Reliably Develop Zero-Day Exploits at Scale An AI wrote VoidLink, the cloud-targeting Linux malware AIs are Getting Better at Finding and Exploiting Internet Vulnerabilities AI-powered cyberattack kits are ‘just a matter of time' Fail West Midlands copper chief cops it after Copilot copped out When two years of academic work vanished with a single click L'humain dans tout ça Could ChatGPT Convince You to Buy Something? Why AI Keeps Falling for Prompt Injection Attacks Google Gemini Prompt Injection Flaw Exposed Private Calendar Data via Malicious Invites What an AI-Written Honeypot Taught Us About Trusting Machines Microsoft & Anthropic MCP Servers at Risk of RCE, Cloud Takeovers apply_chat_template() Is the Safety Switch Ukraine's new defence minister vows data-driven overhaul of military AI Agents ‘Perilous' for Secure Apps Such as Signal, Whittaker Says cURL removes bug bounties Nadella talks AI sovereignty at the World Economic Forum Wikipedia volunteers spent years cataloging AI tells. Now there's a plugin to avoid them. Souveraineté European Open Digital Ecosystems What it's like to be banned from the US for fighting online hate Europe wants to end its dangerous reliance on US internet technology Red A scammer's blueprint: How cybercriminals plot to rob a target in a week Shostack + Associates > Threat Advisory: GPS Attacks [SA-26-01] Risky Chinese Electric Buses Spark Aussie Gov't Review Blue Congressional appropriators move to extend information-sharing law, fund CISA IPv6 is not insecure because it lacks a NAT Microsoft Teams External Domain Anomalies Allow Defenders to Detect Attackers at Earliest Healthy Security Cultures Thrive on Risk Reporting Privacy Starmer stares down social media ban barrel in latest U-turn Europe's GDPR cops dished out €1.2B in fines last year Microsoft Gave FBI BitLocker Encryption Keys, Exposing Privacy Flaw Shostack + Associates > Shostack + Friends Blog > Bitlocker, the FBI, and Risk TikTok Is Now Collecting Even More Data About Its Users. Here Are the 3 Biggest Changes Social Analyzer - Le détective du web qui scanne vos profils sociaux (OSINT) iCloud with Advanced Data Protection doesn't delete your files Divers CISA won't attend infosec industry's biggest conference You Got Phished? Of Course! You're Human… Internet Voting is Too Insecure for Use in Elections Work-from-office mandate? Expect top talent turnover, culture rot Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x698! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode, David Bizeul et Nicolas explorent l'interopérabilité entre composants de sécurité et présentent le projet Open XDR Architecture (OXA). La discussion met en lumière les défis de l'approche “best of breed” face à la plateformisation du marché de la cybersécurité, ainsi que les solutions innovantes pour favoriser l'interopérabilité. L'approche best of breed et ses défis David Bizeul se définit comme un fervent défenseur de l'approche best of breed, qui consiste à sélectionner la meilleure solution pour chaque problème spécifique en cybersécurité. Cette philosophie s'inscrit dans l'ADN de Sekoia, où l'ouverture et l'interopérabilité constituent des valeurs fondamentales. Cependant, cette approche se heurte à une réalité complexe : bien qu'un produit puisse être excellent dans son domaine, il ne représente qu'une lettre dans l'alphabet complet d'un workflow de cybersécurité. Le principal défi réside dans la compétition avec les grandes plateformes intégrées. Ces acteurs, principalement américains, ont pu racheter la concurrence pour des centaines de millions ou des milliards de dollars, créant des offres complètes de A à Z. Face à cette concentration, les éditeurs spécialisés doivent trouver des moyens alternatifs de créer de la valeur pour leurs clients sans disposer des mêmes ressources financières. Le projet Open XDR Architecture (OXA) Pour répondre à ces enjeux, trois sociétés françaises - Sekoia, Arfanglab et Glims - ont collaboré pour créer OXA. Sekoia propose une plateforme SOC, Arfanglab une solution EDR, et Glims une solution d'analyse de malware. Ensemble, ils ont développé une architecture ouverte permettant de faire du XDR (Extended Detection and Response) en favorisant l'interopérabilité entre différentes solutions technologiques de qualité. L'objectif d'OXA est de se positionner face aux acteurs plateformisants, non pas en suivant leur modèle d'acquisition agressive, mais en promouvant les standards, l'interopérabilité et des formats de données ouverts. Cette approche vise à faciliter les workflows entre différents composants de sécurité. Les différentes couches d'OXA Formats de données La première couche concerne les formats de données générés et consommés par les différentes solutions. Historiquement, le marché souffrait d'une prolifération de formats propriétaires, rendant l'intégration extrêmement complexe. OXA s'appuie sur des standards existants comme OCSF (Open Cyber Security Framework), qui définit un cadre pour les différents types de produits et leurs champs de données pertinents. L'objectif n'est pas de réinventer la roue, mais de promouvoir ce qui existe déjà et fonctionne bien. Spécifications d'API La deuxième couche aborde l'automatisation et la communication entre produits. Contrairement aux formats de données, il n'existe pas sur le marché de spécification d'API standardisée pour la cybersécurité. Chaque éditeur développe ses propres API propriétaires pour communiquer avec les EDR, firewalls ou SIEM. OXA propose une spécification d'API définissant comment les composants de sécurité devraient interagir : comment suspendre un processus sur un EDR, comment ajouter une règle de détection dans un SIEM, etc. Cette standardisation permet de gagner énormément de temps d'ingénierie. Au lieu de passer trois jours d'intégration pour chaque nouveau produit, multiplié par cent produits (soit 300 jours de travail), une API standardisée permettrait de minimiser drastiquement ces délais d'intégration, bénéficiant à l'ensemble de la communauté. Distribution de Threat Intelligence La troisième couche concerne la dissémination de la Threat Intelligence. L'idée est qu'un client ayant déjà payé pour une source de Threat Intelligence devrait pouvoir la distribuer à tous ses produits de sécurité, et non seulement à quelques-uns. Cela permet d'agir plus rapidement, plus près de la menace, en diffusant l'information directement aux équipements réseau ou endpoints avant même que les alertes n'arrivent au SIEM. L'analogie médicale et la spécialisation Nicolas établit une analogie pertinente avec la médecine pour illustrer l'évolution de la cybersécurité. Il y a 15 ans, le domaine était relativement limité et rudimentaire, comparable à la médecine générale d'il y a un siècle. Aujourd'hui, comme en médecine où personne n'accepterait qu'un généraliste pratique une neurochirurgie, la cybersécurité nécessite des spécialistes. La plateformisation ne fait plus sens dans un contexte où chaque domaine requiert une expertise pointue. Cette spécialisation se reflète également au niveau des professionnels et des entreprises. Il est désormais impossible pour une personne de maîtriser tous les aspects de la cybersécurité, tout comme une entreprise ne peut exceller dans tous les domaines simultanément. Vision future et Cyber Security Mesh Architecture David Bizeul établit un parallèle intéressant entre OXA et le concept de Cyber Security Mesh Architecture (CSMA) proposé par Gartner. Le CSMA représente une vision du marché où la cybersécurité est pensée comme un ensemble de composants travaillant en chaîne. OXA constitue une manière d'opérationnaliser cette vision, offrant aux clients la possibilité de choisir les meilleurs produits pour leur contexte spécifique tout en garantissant leur interopérabilité. Le projet intègre également un système de labels (bronze, silver, gold) permettant aux éditeurs de s'autodéclarer compatibles avec différents niveaux d'interopérabilité OXA. L'objectif est d'encourager les clients à favoriser l'interopérabilité plutôt que la plateformisation dans leurs appels d'offres et budgets. Avantages pour l'innovation Un aspect particulièrement intéressant d'OXA est son potentiel pour favoriser l'innovation. Une startup avec une simple preuve de concept peut se rendre compatible OXA et être rapidement intégrée dans des workflows matures de grands groupes. Par exemple, une startup développant une solution d'analyse de deepfakes pourrait être sollicitée dans un workflow de cybersécurité dès ses débuts, là où elle aurait dû attendre trois ans de maturation dans un modèle classique. Pour les utilisateurs, cette approche offre également une résilience accrue : si un produit ne satisfait plus ou si l'éditeur fait faillite, il peut être facilement remplacé par un autre produit compatible OXA, sans disruption majeure du workflow. Conclusion Le projet OXA, disponible sur le repository GitHub d'Open Cyber Alliance, représente une approche innovante pour repenser l'interopérabilité en cybersécurité. En promouvant les standards ouverts et en facilitant la collaboration entre solutions spécialisées, OXA offre une alternative crédible à la plateformisation dominante, au bénéfice tant des éditeurs que des utilisateurs finaux. Notes Open XDR Architecture: redefining the contours of XDR Open XDR architecture Open Cybersecurity Alliance Github opencybersecurityalliance/oxa Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux réels par Sekoia

Parce que… c'est l'épisode 0x697! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : Le contrat comme socle de démarrage Dans cet épisode spécial PME consacré aux fournisseurs de services gérés (MSP), les experts Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet crucial : le contrat MSP. Après avoir défini ce qu'est un MSP dans un épisode précédent, ils se concentrent maintenant sur l'importance de bien formaliser la relation contractuelle, qui constitue le socle de démarrage de tout partenariat MSP. Le contrat définit la portée du travail, la valeur apportée et les modalités du partenariat entre l'entreprise et son fournisseur de services. L'importance de la formalisation Lorsqu'une entreprise décide de confier une partie de ses activités TI à un MSP, elle lui confie ce qu'elle a de plus précieux : ses systèmes d'information. Cette démarche ne peut se faire à la légère ou sur une simple entente verbale. Il est essentiel de formaliser les règles et les attentes dès le départ. Comme le soulignent les intervenants, quand tout va bien, personne ne se pose de questions, mais lorsque des problèmes surviennent, il devient crucial d'avoir un contrat clair pour apporter les éclaircissements nécessaires. La clarification des rôles et responsabilités Un des éléments fondamentaux à définir avant de signer un contrat est de déterminer précisément qui sera en charge de quoi. Selon le niveau de service choisi, le MSP peut effectuer des tâches très basiques, comme la simple revente de licences avec un service minimal, ou prendre en charge l'ensemble des opérations TI de l'entreprise. Il existe une multitude d'options sur le marché, et il est impératif de choisir celle qui convient le mieux aux besoins spécifiques de l'entreprise. L'erreur à éviter est de présumer que le MSP répondra automatiquement à tous les besoins sans vérifier ce qui est réellement inclus dans le contrat. Par exemple, si un MSP vend des licences Microsoft, cela ne signifie pas nécessairement qu'il assurera la configuration et la gestion de la console. De même, la vente d'une solution de sauvegarde comme Veeam ne garantit pas que le MSP gérera les backups au quotidien. Les trois niveaux de service : buy, build, run Dominique Derrier introduit une distinction importante entre trois niveaux de service : Buy (achat/revente) : L'achat et la revente de licences, permettant de profiter des effets de volume du MSP pour réaliser des économies ou accéder à des produits normalement réservés aux grandes entreprises. Build (mise en place) : La configuration initiale et le déploiement des solutions, incluant la première mise en marche et l'initialisation des systèmes. Run (opérationnel) : La gestion quotidienne et l'opérationnalisation des services TI. Il est crucial de bien comprendre ces trois volets lors de l'achat de services MSP. Posséder un produit sans l'avoir installé ni opérationnalisé, ou inversement, avoir la mise en place sans l'opération quotidienne, crée des lacunes problématiques dans la couverture des besoins TI. Le partenariat d'affaires et la vision à long terme Les experts insistent sur la notion de partenariat d'affaires. Le MSP doit être perçu comme un véritable partenaire, car en cas d'incident, c'est lui qui sera là pour remonter les systèmes et assurer la continuité des opérations. Cette relation de confiance est essentielle, particulièrement dans l'adversité. Il faut éviter à tout prix de se retrouver dans une situation où, lors d'un incident, personne ne sait qui est responsable de quoi, ajoutant une complexité et une tension inutiles à un moment critique. Lors du choix d'un MSP, il est important de ne pas penser uniquement au présent, mais aussi de se projeter dans l'avenir. Il faut évaluer la capacité du fournisseur à accompagner l'entreprise sur une durée de cinq ans ou plus. Les limites et l'importance de la transparence Un bon MSP doit être transparent sur ce qui n'est pas inclus dans le contrat. Les intervenants mettent en garde contre les vendeurs évasifs qui évitent de parler des exclusions par peur de perdre la vente. Un vendeur de confiance présentera de manière très concrète ce qui est inclus et ce qui ne l'est pas. Cette transparence est un indicateur de fiabilité. L'entreprise cliente doit se sentir écoutée et comprendre que le MSP cherche réellement à répondre à ses besoins spécifiques, plutôt que de simplement vendre le service le plus cher. Dans certains cas complexes, il peut être judicieux d'engager un consultant ou un RSSI virtuel pour accompagner le choix du MSP. Les clauses contractuelles essentielles Plusieurs clauses importantes doivent figurer dans un contrat MSP : Clause d'auditabilité : Elle permet à l'entreprise de se réserver le droit de demander un audit du MSP. Même si cet audit n'est jamais réalisé, cette clause garde une porte ouverte et maintient une certaine vigilance. Service Level Agreements (SLA) avec pénalités : Les SLA doivent inclure des pénalités en cas de non-respect des engagements. Cependant, ces SLA doivent être bilatéraux. Le client doit aussi s'engager, par exemple à répondre dans un délai raisonnable aux demandes du MSP concernant les mises à jour de sécurité. Clause de réversibilité : Cette clause définit les modalités de séparation au cas où l'entreprise souhaiterait changer de MSP. Paradoxalement, l'existence de cette clause tend à prolonger la durée des contrats, car elle crée de la transparence et évite le sentiment d'être piégé. La responsabilisation mutuelle Comme le souligne Cyndie, les attentes envers un MSP sont similaires à celles envers des employés internes. On attend du personnel TI interne qu'il assure le service convenu, qu'il lève la main lorsqu'il est débordé, et qu'il respecte les rôles et responsabilités établis. Il en va de même pour un MSP. Conclusion Le contrat MSP n'est pas un document à prendre à la légère. Il constitue la fondation d'un partenariat qui peut durer plusieurs années. Comme dans un mariage, selon l'analogie de Dominique, il vaut mieux avoir un bon contrat sur lequel se replier quand les choses vont mal, même si l'espoir est de ne jamais en arriver là. L'objectif n'est pas de discréditer les MSP, mais de s'assurer que le contrat protège à la fois le client et le fournisseur, permettant ainsi une collaboration fructueuse et durable. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x696! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Grok… What Should We Learn From How Attackers Leveraged AI in 2025? LLMs are Accelerating the Ransomware Lifecycle to Gain Speed, Volume, and Multilingual Reach Prompt injection Anthropic's Files API exfiltration risk resurfaces in Cowork New One-Click Microsoft Copilot Vulnerability Grants Attackers Undetected Access to Sensitive Data Claude Cowork – Quand l'IA d'Anthropic se fait exfiltrer vos fichiers Signal Signal creator Moxie Marlinspike wants to do for AI what he did for messaging ‘Signal' President and VP warn agentic AI is insecure, unreliable, and a surveillance nightmare ‘Most Severe AI Vulnerability to Date' Hits ServiceNow ChatGPT will get ads. Free and Go users first Souveraineté Cloudflare CEO threatens to pull out of Italy Italy's privacy watchdog, scourge of US big tech, hit by corruption probe La France remet ça et ordonne aux VPNs de bloquer encore plus de sites pirates China bans U.S. and Israeli cybersecurity software over security concerns SéQCure 2021 - Splinternet par Franck Desert AWS flips switch on Euro cloud as sovereignty fears mount Dutch experts warn U.S. takeover of DigiD platform poses national security risks Escaping the trap of US tech dependence Privacy Privacy and Cybersecurity Laws in 2026 Pose Challenges Police Unmask Millions of Surveillance Targets Because of Flock Redaction Error UK backtracks on digital ID requirement for right to work France fines telcos €42M for issues leading to 2024 breach US regulator tells GM to hit the brakes on customer tracking Foreigners' data stolen in hack of French immigration agency Red Facebook login thieves now using browser-in-browser trick More than 40 countries impacted by North Korea IT worker scams, crypto thefts Never-before-seen Linux malware is “far more advanced than typical” Predator spyware demonstrates troubleshooting, researcher-dodging capabilities OGhidra - Dopage à l'IA pour Ghidra en local China spies used Maduro capture as lure to phish US agencies A simple CodeBuild flaw put every AWS environment at risk Pourquoi votre vieux serveur Windows est une bombe à retardement, et comment la désamorcer Windows? Linux? Browser? Same Executable Blue Selectively showing “act on your behalf” warning for GitHub Apps is in public preview Python Software Foundation News: Anthropic invests $1.5 million in the Python Software Foundation and open source security Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws CISO Succession Crisis Highlights How Turnover Amplifies Risks Divers Internet monitoring experts say Iran blackout likely to continue Access to Elon Musk's Starlink internet service is now free in Iran as regime continues brutal crackdown on protests Poland says it repelled major cyberattack on power grid, blames Russia Judge tosses CrowdStrike shareholder suit over 2024 outage 1980s Hacker Manifesto Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x695! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Sandra Aubert, fondatrice de FF2R (From Fiction to Reality), révolutionne l'approche de la sensibilisation aux risques majeurs en entreprise. Son concept audacieux : transformer la formation en cybersécurité et autres sujets arides en séries cinématographiques addictives, façon Netflix. Cette innovation marque une rupture totale avec les méthodes traditionnelles de sensibilisation. Une nouvelle approche de la formation Contrairement aux capsules de sensibilisation classiques - souvent stériles et dépourvues d'émotions - Sandra Aubert propose une plateforme de streaming à la demande qui diffuse des séries immersives et fictives. L'objectif : rendre la formation aussi captivante qu'une série que l'on dévore en une soirée. Son projet phare, Plan Blanc, illustre parfaitement cette approche. Commandée par le ministère de la Santé, l'ARS et la Fédération hospitalière de France, cette série en six épisodes de trois minutes plonge le spectateur au cœur d'une cyberattaque majeure dans un CHU. Pour la première fois, on entre dans la cellule de crise et on vit l'effondrement d'un système hospitalier avec des comédiens professionnels. La force du cinéma au service de la pédagogie Ce qui distingue FF2R, c'est l'authenticité cinématographique. Sandra Aubert et son réalisateur signature, Valérian Cadissi, ne font pas de simples vidéos : ils créent du véritable cinéma. Chaque production respecte les codes du septième art : scénario travaillé, acteurs professionnels, tournage dans des lieux réels, colorimétrie soignée, musiques originales composées sur mesure. Les personnages, comme Cassandre et Thomas dans Plan Blanc, sont développés avec une psychologie complète. L'équipe maîtrise l'art du cliffhanger pour créer l'envie de voir l'épisode suivant immédiatement. Le résultat : des séries qui pourraient être diffusées sur n'importe quelle plateforme de streaming grand public. L'alliance de la créativité et de l'expertise technique La réussite de cette approche repose sur un équilibre délicat entre créativité et rigueur technique. Pour Plan Blanc, Sandra Aubert s'est entourée de Steven Garnier, expert en cybersécurité au ministère de la Santé, garantissant ainsi l'exactitude technique du scénario. Cette collaboration permet de créer des contenus crédibles et respectueux de la réalité du terrain. Les professionnels de la cybersécurité qui découvrent Plan Blanc témoignent : “C'est vraiment comme ça que ça se passe”. La série aborde tous les sujets - phishing, piggy backing, social engineering - sans tomber ni dans l'anxiogène ni dans le ridicule. Une méthodologie adaptée à l'ère moderne Sandra Aubert a compris les réalités de notre époque : la bande passante d'attention est faible, le temps est précieux, et personne ne veut subir une formation. Sa solution : proposer des épisodes courts (3-4 minutes) que l'on peut regarder quand on le souhaite, dans son canapé, potentiellement en famille. Cette approche crée une nouvelle méthodologie : on ne se forme plus, on “binge-learn”. Le format court et addictif, inspiré des neurosciences, maximise la rétention d'information en générant des émotions fortes. Comme dans une histoire d'amour, on n'oublie jamais ce qu'on a ressenti. Des résultats impressionnants Les chiffres parlent d'eux-mêmes : la plateforme affiche un taux de rétention de 86%, et les utilisateurs reviennent en moyenne entre 4 et 7 fois regarder la même série. Au-delà de la consommation individuelle, les séries servent aussi d'outils de discussion en entreprise. Les managers les utilisent en réunion pour lancer des sujets, créant ainsi des moments de convivialité et de partage plus engageants qu'un PowerPoint traditionnel. Une production artisanale et personnalisée FF2R refuse la facilité du catalogue standardisé. Chaque production est du sur-mesure, adaptée aux besoins spécifiques de l'entreprise cliente. L'équipe va jusqu'à organiser des castings en interne pour intégrer les employés comme acteurs secondaires ou figurants. Voir son collègue jouer dans la série crée un effet de proximité et d'engagement supplémentaire. Cette approche artisanale est rendue possible par une équipe réduite de sept personnes seulement - un exploit dans le monde du cinéma. Cette agilité permet de livrer des projets complets (plateforme et série) en moins de trois mois, tout en maintenant une qualité digne des grandes productions. Un impact qui dépasse le cadre professionnel L'innovation de Sandra Aubert va au-delà de la simple sensibilisation. Elle crée une culture de vigilance en entreprise tout en touchant potentiellement la sphère personnelle. Regarder ces séries en famille permet de sensibiliser aussi les proches aux risques cyber, créant un langage commun et des réflexes de sécurité qui transcendent la frontière travail-vie personnelle. Cette dimension humaine est centrale : les séries montrent que derrière les crises, il y a des hommes et des femmes qui peuvent craquer sous la pression. Elles rappellent que la faille est souvent humaine, mais que cette “parfaite imperfection” est aussi notre force. Vers l'avenir Sandra Aubert ne compte pas s'arrêter là. Elle constitue un comité d'experts en cybersécurité pour enrichir ses futures productions et prépare déjà une suite à Plan Blanc. Son catalogue s'étend aussi à d'autres domaines : financement du terrorisme, déontologie, conformité. Elle envisage même d'ouvrir un bureau à Montréal pour conquérir le marché québécois. Conclusion En transformant la sensibilisation en cybersécurité en expérience cinématographique, Sandra Aubert prouve qu'il est possible de concilier rigueur pédagogique et plaisir de consommation. Son approche rappelle que depuis la nuit des temps, l'humanité transmet ses connaissances à travers les histoires. FF2R réinvente simplement cette tradition ancestrale avec les outils du XXIe siècle, démontrant que la meilleure façon d'apprendre reste celle qui nous fait ressentir des émotions. Notes À venir Collaborateurs Nicolas-Loïc Fortin Sandra Aubert Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x694! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode spécial consacré aux PME, l'équipe composée de Cyndie Fletz, Nicolas Milot et Dominique Derrier explore un sujet crucial pour les entreprises modernes : le rôle des MSP (Managed Service Providers) et leur contribution à la gestion des technologies de l'information. Cette discussion vise à démystifier ce qu'est un MSP, à clarifier son utilité et à mettre en lumière les bonnes pratiques d'engagement avec ces partenaires technologiques. Qu'est-ce qu'un MSP ? Un MSP, ou Managed Service Provider, est une entreprise spécialisée en technologies de l'information qui permet aux organisations d'externaliser la gestion de leur infrastructure TI plutôt que d'embaucher du personnel technique en interne. Il s'agit essentiellement d'impartition de services TI, où une compagnie confie la responsabilité de ses systèmes informatiques à un fournisseur externe spécialisé. Contrairement à ce que l'on pourrait penser, ce concept n'est pas nouveau. L'impartition de services TI existe depuis les années 1980, soit depuis plus de quarante ans. Cette longévité s'explique par le fait que les entreprises ont rapidement compris que leur mission principale n'était généralement pas de gérer une infrastructure technologique complexe, mais plutôt de se concentrer sur leur cœur de métier. Les raisons d'engager un MSP L'expertise spécialisée La première raison justifiant le recours à un MSP est l'accès à une expertise technique appropriée. Gérer correctement une infrastructure TI ne s'improvise pas et ne peut être fait “à la fin de semaine”. Lorsqu'une entreprise commence à croître et que les risques liés aux technologies augmentent, il devient essentiel de faire appel à des professionnels capables d'effectuer les maintenances, les mises à jour et d'assurer le bon fonctionnement continu des systèmes. La gestion du risque Le choix d'un MSP relève principalement d'un calcul de risque. Les entreprises doivent se poser la question fondamentale : combien coûterait une panne de nos systèmes ? Est-il préférable d'investir dans la prévention ou de risquer des réparations coûteuses en cas de défaillance majeure ? Cette réflexion s'applique à toutes les tailles d'entreprise, même celles de 15 à 20 employés utilisant uniquement des services cloud comme Google Drive. L'analogie du garagiste L'entretien informatique peut être comparé à l'entretien automobile. Tout comme une voiture nécessite des changements d'huile réguliers, des rotations de pneus et diverses vérifications périodiques, les systèmes TI requièrent une maintenance constante. Ignorer ces besoins d'entretien peut conduire à des défaillances catastrophiques, similaires à un moteur qui cesse de fonctionner par manque d'huile. Le coût de remplacement d'une infrastructure TI complètement défaillante, comme celui d'un moteur automobile, peut s'avérer prohibitif et souvent supérieur au coût d'un entretien préventif régulier. Le MSP agit donc comme un garagiste spécialisé qui possède les outils, les connaissances et l'expérience nécessaires pour maintenir les systèmes en bon état de fonctionnement. La plupart des dirigeants d'entreprise, bien qu'ils puissent “mettre de l'essence” (effectuer des tâches basiques), ne possèdent pas les compétences pour “changer les roulements de roue” (effectuer des opérations techniques complexes). La disponibilité et l'hygiène informatique Les MSP jouent un rôle crucial dans l'un des trois piliers de la cybersécurité : la disponibilité (aux côtés de l'intégrité et de la confidentialité). Ils assurent que les actifs informatiques restent opérationnels, permettant aux entreprises d'émettre des factures, de traiter des commandes et de servir leurs clients sans interruption. L'hygiène informatique, concept développé par les professionnels de la sécurité pour rendre la maintenance accessible au grand public, implique des actions régulières comme l'application de correctifs, la mise à jour des logiciels et la protection antivirus. Cette responsabilité incombe au propriétaire de l'entreprise, qui doit décider s'il possède les compétences nécessaires pour l'assumer en interne ou s'il est préférable de la confier à un MSP dont c'est la mission première. Ce qu'un MSP n'est pas Il est essentiel de comprendre qu'engager un MSP ne délègue pas la responsabilité ultime des données et de la sécurité de l'entreprise. En cas de fuite de données ou d'incident de sécurité, c'est l'entreprise cliente qui demeure légalement responsable, pas le MSP. Cette réalité souligne l'importance de choisir soigneusement son partenaire MSP et de maintenir une relation de collaboration active. L'analogie de la garderie Une métaphore particulièrement éloquente compare le MSP à une garderie. Tout comme les parents confient ce qu'ils ont de plus précieux – leurs enfants – à une garderie pendant qu'ils travaillent, les entreprises confient leurs systèmes informatiques à un MSP. Dans les deux cas, on s'attend à : Des soins quotidiens appropriés Une intervention rapide en cas de problème mineur Une communication immédiate pour les situations graves Un rapport régulier sur l'état général Une optimisation et un développement continus Cependant, tout comme les parents ne délèguent pas l'éducation complète de leurs enfants à la garderie, les entreprises ne peuvent pas déléguer entièrement toutes leurs responsabilités TI au MSP. Il existe des paramètres clairs définis dans le contrat qui établissent les responsabilités de chaque partie. L'importance du partenariat et de la vérification La relation avec un MSP doit être vue comme un véritable partenariat plutôt qu'une simple relation client-fournisseur. Il est crucial de bien définir les termes de l'engagement dès le début : quels services sont couverts, quels sont les horaires d'intervention, quelles sont les limites de responsabilité ? De plus, tout comme des parents vérifient avec leurs enfants comment s'est passée leur journée à la garderie, les entreprises doivent auditer régulièrement le travail de leur MSP. Cette approche de “confiance zéro” (zero trust) garantit que les rapports fournis correspondent à la réalité et que les maintenances promises sont effectivement réalisées. Conclusion Le choix d'un MSP représente une décision stratégique importante pour toute PME. Ces partenaires permettent d'accéder à une expertise technique de haut niveau, assurent la résilience des systèmes, maintiennent l'hygiène informatique et contribuent à la disponibilité continue des actifs technologiques. Cependant, cette relation nécessite une définition claire des responsabilités, une communication régulière et une vérification périodique pour garantir que le partenariat fonctionne de manière optimale. En fin de compte, pour les entreprises modernes où la technologie est essentielle au fonctionnement quotidien, le MSP devient un allié indispensable dans la réussite et la croissance de l'organisation. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x693! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Grok / juvénile Grok Is Pushing AI ‘Undressing' Mainstream Grok assumes users seeking images of underage girls have “good intent” Dems pressure Google, Apple to drop X app as international regulators turn up heat Tim Cook and Sundar Pichai are cowards MCP The 5 Knights of the MCP Apocalypse

Parce que… c'est l'épisode 0x692! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce deuxième épisode du podcast technique avec Charles F. Hamilton explore en profondeur les techniques d'évasion des solutions EDR (Endpoint Detection and Response) et les stratégies que les red teamers peuvent utiliser pour contourner ces systèmes de détection. La discussion révèle que malgré les avancées technologiques, les EDR restent vulnérables à des techniques relativement simples lorsqu'on comprend leurs mécanismes de détection. Les limites de la détection EDR Corrélation réseau et named pipes Un exemple concret illustre les faiblesses des EDR modernes : un exécutable malveillant qui communique avec internet tout en effectuant de la reconnaissance sur le réseau interne. Les EDR “top tier” détectent généralement cette activité anormale grâce au machine learning, identifiant qu'un processus communique simultanément vers l'extérieur et vers le réseau local via SMB, Kerberos ou d'autres protocoles. La solution de contournement est élégante : utiliser les named pipes de Windows. Cette fonctionnalité native permet la communication inter-processus. En séparant les tâches entre deux processus indépendants - l'un gérant les communications externes, l'autre la reconnaissance interne - et en les faisant communiquer via named pipes, on brise complètement la chaîne de détection du machine learning. Cette technique, enseignée depuis 8 ans dans les formations red team, demeure efficace. Des signatures déguisées Paradoxalement, malgré leurs prétentions, les EDR fonctionnent encore largement sur des principes de signatures. La différence avec les antivirus traditionnels réside davantage dans où ils appliquent cette détection - non seulement sur le disque, mais aussi en mémoire et au niveau comportemental. Le compromis entre faux positifs et détection reste délicat : générer 1500 alertes par jour conduirait à l'“alert fatigue” et rendrait le système inutile. Techniques d'obfuscation et d'évasion La randomisation intelligente Pour éviter la détection statique, l'obfuscation doit être réfléchie. Un piège courant : générer des variables aléatoires de longueur fixe (par exemple, toujours 16 caractères). Les règles Yara peuvent détecter ce pattern. La solution consiste à introduire de la randomness dans le random : utiliser des longueurs variables (entre 6 et 22 caractères) et concaténer plusieurs mots du dictionnaire plutôt que des chaînes purement aléatoires. Nettoyage de la mémoire L'obfuscation ne s'arrête pas à l'exécution. Même après déchiffrement en mémoire, des artefacts subsistent. Par exemple, Cobalt Strike laisse des patterns reconnaissables dans les premiers bytes du shellcode. La stratégie recommandée utilise plusieurs threads d'exécution : un pour déchiffrer et lancer le shellcode, un autre pour nettoyer la mémoire des variables intermédiaires. Bien que les EDR ne scannent pas la mémoire en continu (ce serait trop coûteux en performance), ces artefacts restent détectables. Protection au niveau kernel Protected Process Light (PPL) Microsoft a introduit les PPL pour protéger les processus critiques comme LSASS. Même avec des privilèges système, un attaquant ne peut accéder à ces processus. Le problème : le kernel reste le point de confiance ultime. Une fois qu'un attaquant obtient l'exécution de code au niveau kernel - via des drivers vulnérables par exemple - toutes les protections PPL tombent. Techniques d'anti-tampering La technique “EDR Freeze” illustre cette réalité : en utilisant ProcDump (un outil Windows légitime), on peut créer un dump mémoire d'un processus EDR, ce qui le met en pause. En arrêtant ensuite ProcDump avant qu'il ne termine, le processus EDR reste indéfiniment en pause, sans générer d'alerte de tampering puisqu'il n'a pas été modifié. Cloud et nouvelles vulnérabilités Le passage au cloud déplace simplement les problèmes. Les attaques traditionnelles visaient le “domain admin” en local ; aujourd'hui, avec l'authentification multifacteur, les attaquants utilisent le device code phishing ou des applications tierces malveillantes pour obtenir des tokens OAuth valides. Une fois ces tokens obtenus, l'escalade vers “global admin” devient possible. La difficulté : aucun EDR ne peut surveiller ces attaques puisqu'elles se déroulent depuis la machine de l'attaquant. La seule visibilité provient de ce que Microsoft accepte de partager, souvent derrière des paywalls supplémentaires. Les entreprises ont passé 20 ans à maîtriser Active Directory et les outils de sécurité on-premise, mais repartent de zéro dans le cloud avec des outils immatures. Recommandations défensives Configurations simples mais efficaces Plusieurs mesures basiques restent sous-utilisées : Bloquer PowerShell pour les utilisateurs non techniques Désactiver la fonction Run (Windows+R) pour 99% des utilisateurs Supprimer MSHTA.exe via GPO (aucun besoin légitime des fichiers HTA) Restreindre les scripts Office par défaut Ces mesures élimineraient la majorité des attaques “commodity malware” qui fonctionnent uniquement parce que les entreprises n'ont pas fermé ces vecteurs d'accès basiques. Le facteur humain irremplaçable Les EDR excellent contre le malware de masse mais peinent face aux attaques ciblées. L'IA et les agents ne remplaceront pas les analystes humains capables de : Faire du threat hunting actif Contextualiser les alertes (pourquoi un utilisateur non technique lancerait-il PowerShell ?) Détecter les anomalies dans le trafic réseau (nouveaux domaines, patterns de requêtes POST répétitives) Raconter l'histoire complète d'une intrusion en corrélant les événements Détection réseau Les NDR/XDR commencent à combler cette lacune, mais restent embryonnaires. La détection réseau devrait identifier : Les nouveaux domaines jamais vus auparavant Les patterns de communication C2 (requêtes POST régulières avec jitter) Les anomalies d'authentification Le trafic inhabituel pour un profil utilisateur donné Conclusion La sophistication des attaquants reste limitée car ils n'en ont pas encore besoin - trop d'environnements demeurent mal configurés. Les entreprises investissent massivement dans les EDR mais négligent les configurations de base et le facteur humain. L'histoire se répète avec le cloud et l'IA : plutôt que de résoudre les problèmes fondamentaux, on déplace la responsabilité vers de nouveaux outils. La vraie sécurité nécessite une compréhension technique approfondie, des configurations rigoureuses, et surtout, des analystes compétents pour interpréter les signaux et raconter l'histoire des incidents. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x6xx! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce deuxième épisode sur la Cyber Threat Intelligence (CTI) réunit Nicolas, Alexis Dorais-Joncas et Jordan Theodore pour approfondir les mécanismes de production et de consommation de l'intelligence sur les menaces. La conversation explore les défis techniques, organisationnels et éthiques auxquels font face les professionnels de la sécurité dans ce domaine en constante évolution. Les deux univers de la CTI Alexis établit une distinction fondamentale entre deux « clusters » dans l'écosystème de la CTI. D'un côté, les producteurs : entreprises de réponse d'incident et fournisseurs de services de cybersécurité comme CrowdStrike, Microsoft, Kaspersky ou Proofpoint, qui observent directement les attaques chez leurs clients et génèrent des rapports détaillés. De l'autre, les consommateurs : organisations qui utilisent ces rapports pour comprendre leurs risques et se protéger contre les attaques potentielles. Cette dichotomie se reflète même dans les rôles professionnels. Un analyste CTI chez un vendeur dispose d'une visibilité globale sur des milliers de clients, tandis qu'un analyste en entreprise se concentre sur son propre environnement. Les mindsets et les résultats sont fondamentalement différents, bien que les compétences de base soient similaires. L'ampleur du défi : naviguer dans l'océan de données Les chiffres partagés par Alexis illustrent l'échelle impressionnante du problème. Chez ESET, environ 300 000 fichiers exécutables malveillants ou suspects uniques arrivent chaque jour. Chez Proofpoint, ce sont 3,5 milliards d'emails quotidiens, avec 50 millions de pièces jointes et 90 millions d'URL à analyser. Face à ce déluge, les équipes de recherche doivent développer des heuristiques sophistiquées et des règles de tri pour identifier ce qui mérite une attention particulière. L'art du clustering : trouver l'aiguille dans la botte de foin Le cœur du travail de CTI réside dans la capacité à regrouper des attaques apparemment distinctes en « clusters » attribuables à un même acteur. Alexis explique que cette attribution repose sur la recherche d'éléments uniques ou de combinaisons uniques d'éléments observables. L'exemple du certificat SSL avec une coquille typographique illustre parfaitement ce concept : un seul détail peut permettre de lier des dizaines de domaines entre eux et de découvrir toute une infrastructure d'attaque. Les indicateurs utilisés pour le clustering sont multiples : similarité de code source, exploits modifiés, choix d'hébergeurs et de registraires, mais aussi des éléments plus « soft » comme le ciblage. Un professeur spécialisé sur l'Iran qui se fait soudainement cibler peut indiquer l'implication de groupes iraniens, même si les indicateurs techniques sont nouveaux. Les niveaux de confidentialité : une cascade d'information Alexis révèle que 95% ou plus de la CTI produite par les vendeurs n'est jamais rendue publique. L'information suit une cascade : d'abord partagée uniquement avec les clients directement ciblés, puis avec l'ensemble des clients payants, et enfin, pour une fraction seulement, avec le public. Cette dernière étape implique des choix délicats : révéler certains indicateurs peut aider la défense, mais aussi alerter l'attaquant et compromettre la capacité à le tracker à l'avenir. La qualité variable de la CTI secondaire Un point de frustration majeur émerge concernant la couverture médiatique et les analyses secondaires. Alexis estime que 80% de la couverture secondaire n'apporte aucune valeur ajoutée, 5% apporte une vraie perspective informée, et 10-15% est carrément nuisible en véhiculant des erreurs ou des exagérations. Cette désinformation force les analystes en entreprise à perdre des journées entières à remonter aux sources originales et à désamorcer les inquiétudes injustifiées des dirigeants. La course à la publication et ses nuances Bien qu'il existe une certaine compétition entre vendeurs pour être le premier à publier sur une nouvelle menace, Alexis nuance fortement ce phénomène. La collaboration informelle entre analystes de différentes entreprises est courante. De plus, même si un concurrent publie en premier, il reste possible d'apporter une valeur complémentaire en confirmant les découvertes depuis une perspective différente ou en ajoutant des observations uniques. L'exemple de Kaspersky et Proofpoint sur un APT illustre comment deux entreprises peuvent enrichir mutuellement la compréhension d'une menace. L'attribution : utile pour qui ? L'attribution géopolitique des attaques s'avère principalement pertinente pour les grandes organisations et les entités gouvernementales ciblées de manière spécifique. Pour la majorité des entreprises victimes d'attaques opportunistes, savoir qu'un ransomware vient de tel ou tel groupe importe peu. L'essentiel est de comprendre les techniques d'attaque et les prochaines étapes possibles. Alexis souligne qu'environ 95% des attaques ciblées chez Proofpoint touchent moins de 5 clients avec moins de 60 emails – un volume extrêmement faible qui contraste avec les attaques opportunistes massives. Le casse-tête des noms de groupes Un problème persistant dans l'industrie concerne la prolifération de noms différents pour les mêmes groupes. APT28 peut être appelé Fancy Bear, Pawn Storm, TA422, ou une quinzaine d'autres noms selon le vendeur. Cette situation s'explique par les différences de visibilité : Proofpoint observe l'infrastructure email, tandis qu'un EDR voit le comportement post-compromission. Chaque vendeur nomme ce qu'il peut observer, créant une confusion considérable pour les praticiens en réponse d'incident. Alexis confirme cependant qu'aucune pression marketing n'a jamais été exercée pour créer des noms propriétaires, et qu'il est inacceptable de renommer un groupe découvert par un autre sans l'avoir observé soi-même. Conclusion Ce podcast met en lumière la complexité et les nuances du monde de la CTI. Entre volumes de données massifs, décisions éthiques sur ce qu'il faut publier, collaboration et compétition entre acteurs, et défis d'attribution, les professionnels naviguent dans un écosystème en constante évolution. La clé réside dans la compréhension que chaque vendeur apporte une perspective unique basée sur sa visibilité spécifique, et que la véritable valeur de la CTI se trouve dans la capacité à corréler ces différentes sources pour obtenir une image complète des menaces. Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Alexis Dorais-Joncas Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x690! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA DAST Automation Using BurpSuite MCP HexStrike MCP Orchestration with Ollama: Ubuntu Host, Kali VM, SSH Bridging, and Performance Caveats Prompt Injection Is Permanent: Your AI Agent Needs Seatbelts, Not Smarter Prompts Kevin Beaumont: “Microsoft have dropped a bollo…” - Cyberplace Are We Ready to Be Governed by Artificial Intelligence? Blue Hong Kong uses brick-and-mortar banks to stop scams Finland seizes ship suspected of damaging subsea cable in Baltic Sea Protégez vos clés SSH avec Touch ID sur macOS The ROI Problem in Attack Surface Management Linux kernel security work How to Protect Your iPhone or Android Device From Spyware Red New Vulnerabilities in Bluetooth Headphones Let Hackers Hijack Connected Smartphone Former Coinbase support agent arrested for helping hackers Podcast avec Quantum - Spécial - Prévention de la fraude Mustang Panda Uses Signed Kernel-Mode Rootkit to Load TONESHELL Backdoor Intercept - Un dashboard SIGINT pour votre clé RTL-SDR Infostealers Enable Attackers to Hijack Legitimate Business Infrastructure for Malware Hosting Privacy Comment les proxies TCP se font démasquer ? Et ce que ça signifie pour votre VPN… Flock Exposes Its AI-Enabled Surveillance Cameras Aux Etats-Unis, la police peut maintenant fouiller dans les recherches Google Trump government demands access to European police databases and biometrics The New Surveillance State Is You Souveraineté Europe building an Airbus for the cloud age Adam Shostack :donor: :rebelverified:: “Digital euro: what it is and how we will use the new form of cash” - Infosec Exchange China mandates 50% domestic equipment rule for chipmakers, sources say ASML, la boite hollandaise qui tient le monde tech en otage The Post-American Internet (Cory Doctorow) Fails / insolites The Worst Hacks of 2025 Salesforce Integrations Clop's Oracle E-Business Hacking Spree University Breaches Aflac Mixpanel Jaguar Land Rover Quand la France invente le “data leak as a service” French software company fined $2 million for cyber failings leading to data breach New York's incoming mayor bans Raspberry Pi at inauguration Hijacked Mobility: CISA Warns of Critical 9.8 Flaw Allowing Remote Control of WHILL Power Chairs Fears Mount That US Federal Cybersecurity Is Stagnating—or Worse DHS says REAL ID is too unreliable to confirm U.S. citizenship X / Grok / juvénile X dégringole en France - Elon Musk va bientôt se retrouver tout seul avec ses fachos Kevin Beaumont: “Twitter generated child sexual…” - Cyberplace French authorities investigate AI ‘undressing' deepfakes on X Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x689! Préambule Nous abordons des sujets sensibles, notamment la dépression et le suicide. Si vous y êtes sensible, nous vous conseillons de sauter cet épisode. Si vous avez besoin d'aide, vous pouvez consulter les ressources mentionnées plus bas, parler à votre entourage ou nous écrire pour que nous puissions vous diriger des ressources pour vous aider. Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x688! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x687! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA API fantôme - Quand l'IA crée des backdoors dans le dos des dev Critical n8n Automation Platform Vulnerability Enables RCE Attacks - 103,000+ Instances Exposed How to determine if agentic AI browsers are safe enough for your enterprise The Age of the All-Access AI Agent Is Here China is worried AI threatens party rule—and is trying to tame it 30% AI, 100% Broken Cursor CEO warns vibe coding builds ‘shaky foundations' and eventually ‘things start to crumble' Claude Code Safety Net - Le plugin qui empêche l'IA de tout niquer OpenAI is hiring a new Head of Preparedness to try to predict and mitigate AI's harms Salesforce pulls back from LLMs, pivots Agentforce to deterministic automation after 4,000 layoffs GitHub - PwnFunction/sandbox: Run untrusted AI code safely, fast Souveraineté FCC bans foreign-made drones over national security, spying concerns Europe gets serious about cutting US digital umbilical cord US bars five Europeans accused of censoring Americans Privacy Mullvad VPN: “The European Commission lost t…” - Mastodon Judge rules that NSO cannot continue to install spyware via WhatsApp pending appeal Industry Continues to Push Back on HIPAA Security Rule Overhaul I didn't realize my LG TV was spying on me until I turned off this setting Red Cyberattack disrupts France's postal service and banking arm Budding infosec pros and aspiring cyber crooks targeted with fake PoC exploits BrianKrebs: “When an entire class of techno…” - Infosec Exchange One Year Of Zero-Click Exploits: What 2025 Taught Us About Modern Malware New MacSync macOS Stealer Uses Signed App to Bypass Apple Gatekeeper mongobleed/mongobleed.py at main · joe-desimone/mongobleed · GitHub I Didn't Hack You. You Posted Everything Stolen LastPass backups enable crypto theft through 2025 Blue Now Admins Can Block External Users in Microsoft Teams From Defender Portal Microsoft Teams to Enforce Messaging Safety Defaults Starting January 2026 How to enable Windows' new, wider Run dialog box Microsoft wants to replace its entire C and C++ codebase Divers et insolites Quand les robots humanoïdes se font pirater en 1 minute via Bluetooth Seven Diabetes Patients Die Due to Undisclosed Bug in Abbott's Continuous Glucose Monitors ‘All brakes are off': Russia's attempt to rein in illicit market for leaked data backfires Cleartext Signatures Considered Harmful The dangers of SSL certificates Public Domain Day 2026 Everything is a Remix Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x686! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Benoit Gagnon Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x685! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x684! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x683! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 Notes IA It Only Takes A Handful Of Samples To Poison Any Size LLM, Anthropic Finds Chinese Surveillance and AI LLMs are Accelerating the Ransomware Operations with Functional Tools and RaaS Microsoft confirms Windows 11 will ask for consent before AI agents can access your personal files, after outrage Automatically Remove AI Features From Windows 11 In Cybersecurity, Claude Leaves Other LLMs in the Dust AI-authored code needs more attention, contains worse bugs Privacy Privacy is Marketing. Anonymity is Architecture Chrome, Edge privacy extensions quietly snarf AI chats UK surveillance law still full of holes, watchdog warns Pa. high court rules that police can access Google searches without a warrant Souveraineté Nutanix pushes sovereign cloud in another swipe at VMware ‘It's surreal': US sanctions lock International Criminal Court judge out of daily life NATO's battle for cloud sovereignty: Speed is existential Airbus to migrate critical apps to a sovereign Euro cloud Red Deepfake Deception: How I Hacked Biometric Authentication with $ and a YouTube Video

Parce que… c'est l'épisode 0x682! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux réels par Sekoia

Parce que… c'est l'épisode 0x681! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Alexandre Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x680! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm Locaux réels par Intrasecure inc Locaux réels par Moxy Montreal Downtown

Parce que… c'est l'épisode 0x679! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA Surfer Block all AI browsers for the foreseeable future: Gartner Google says Chrome's AI creates risks only more AI can fix Se tirer dans le pied Gemini Enterprise No-Click Flaw Exposes Sensitive Data Copilot's No Code AI Agents Liable to Leak Company Data ClickFix Style Attack Uses Grok, ChatGPT for Malware Delivery Over the top New OpenAI models likely to pose “high” cybersecurity risk AI hackers are coming dangerously close to beating humans New cybersecurity guidance paves the way for AI in critical infrastructure AI-Powered Free Security-Audit Checklist 2026 3 ans d'audits cybersécu et finalement, c'est une IA qui trouve la faille en 4 jours New Prompt Injection Attack via Malicious MCP Servers Let Attackers Drain Resources ‘Botnets in physical form' are top humanoid robot risk Building Trustworthy AI Agents Microsoft to Bundle Security Copilot in M365 Enterprise License Privacy Firewall - Le garde fou de vos IA Red Malicious Go Packages Mimic as Google's UUID Library to Exfiltrate Sensitive Data Ransomware gangs turn to Shanya EXE packer to hide EDR killers Researchers spot 700 percent increase in hypervisor attacks New Mirai Botnet Variant ‘Broadside' Actively Attacking Users in the Wild 700+ self-hosted Git instances battered in 0-day attacks 10K Docker images spray live cloud creds across the internet Infoblox Threat Intel: “Canadian online marketplace se…” - Infosec Exchange Kali Linux 2025.4 released with 3 new tools, desktop updates Apple fixes two zero-day flaws exploited in ‘sophisticated' attacks Blue Windows PowerShell now warns when running Invoke-WebRequest scripts Stop Breaking TLS Daring Fireball: iMessage's Delivery Architecture Makes It Hard to Block Without Blocking All iOS Push Notifications Why a secure software development life cycle is critical for manufacturers Le BISO, maillon opérationnel entre cybersécurité et métiers Microsoft bounty program now includes any flaw impacting its services MITRE Releases Top 25 Most Dangerous Software Weaknesses of 2025 Harden Windows Security - Blindez votre Windows sans installer un seul logiciel tiers ! Privacy ICO: Home Office hushed up facial recognition biases Hackers Can Leverage Delivery Receipts on WhatsApp and Signal to Extract User Private Information Identité The EFF Nails It: What's Wrong With UK Digital ID Why Isn't Online Age Verification Just Like Showing Your ID In Person? Australia social media ban: Teens navigate new world without social media as ban takes effect Lawmaker calls facial recognition on doorbell cameras a ‘privacy nightmare' Effacer son téléphone devant les douaniers peut vous envoyer en prison (logique) Canada's privacy regulator to probe billboards equipped with facial scanning tech Firefox Survey Finds Only 16% Feel In Control of Their Privacy Choices Online Information warfare The war on disinformation is a losing battle UK calls on Europe to counter Russia's expanding info wars Germany summons Russian ambassador over cyberattack, election disinformation Want to sway an election? Here's how much fake online accounts cost Divers Bad OPSEC Considered Harmful Should You Trust Your VPN Location? Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

Parce que… c'est l'épisode 0x678! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Nick Taylor Model Context Protocol MCP Security Best Practices Pomerium Model Context Protocol (MCP) Support Github/Pomerium Github/mcp-app-demo Github/MCP-typescript-template BeyondCorp: A New Approach to Enterprise Security Collaborateurs Nicolas-Loïc Fortin Nick Taylor Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x6xx! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Don't Go with the flaw Collaborateurs Nicolas-Loïc Fortin Garance de la Brosse François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x676! Préambule Le son n'est pas à son meilleur. Nous avons improvisé une session avec deux personnes en présence et le reste à distance. Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description L'importance stratégique des réseaux sociaux Les réseaux sociaux occupent aujourd'hui une place primordiale dans l'écosystème des PME et des solopreneurs. Pour certaines entreprises, ils représentent même la source de revenus la plus importante. Contrairement aux sites web traditionnels, les plateformes comme Facebook, Instagram, LinkedIn et TikTok offrent une accessibilité et une facilité de déploiement qui les rendent particulièrement attractives. Comme le souligne l'équipe du podcast, même sans connaissances techniques approfondies, n'importe qui peut créer et gérer une page professionnelle, ce qui explique leur adoption massive. Cependant, cette omniprésence s'accompagne d'une problématique majeure la sécurité de ces comptes est souvent la dernière préoccupation des entreprises. Alors que les organisations commencent à comprendre l'importance de sécuriser leurs comptes bancaires et leurs courriels, les réseaux sociaux sont encore perçus comme des outils de marketing et de communication qui ne nécessiteraient pas le même niveau de protection. Cette perception erronée expose les entreprises à des risques considérables. Le mythe du support client efficace Un des points les plus révélateurs du podcast concerne la réalité du support technique offert par les géants des médias sociaux, notamment Meta (Facebook et Instagram). Contrairement à ce que beaucoup d'utilisateurs pensent, il n'existe pas vraiment de garantie de service professionnel. Julien explique que le support de Meta est en réalité assuré par des firmes sous-traitantes qui n'ont même pas accès au système interne de la plateforme. Ces équipes de support agissent plutôt comme des messagers : ils peuvent observer ce qui se passe sur les comptes, mais ne peuvent poser aucune action directe. Ils doivent eux-mêmes soumettre des demandes aux équipes internes de Meta, qui détiennent les véritables accès. Si ces équipes internes refusent d'intervenir, le support ne peut rien faire. Cette réalité contraste fortement avec l'image que les utilisateurs se font d'un service client réactif et efficace capable de résoudre rapidement les problèmes. Les conséquences dévastatrices d'un piratage Le podcast illustre les conséquences dramatiques d'un compte compromis à travers plusieurs exemples concrets. Lorsqu'un pirate prend le contrôle d'une page et publie du contenu qui enfreint les règles de la plateforme, c'est la page elle-même qui est sanctionnée et bloquée, même si ce n'est pas la faute du propriétaire légitime. Meta ne cherche pas à comprendre qui a effectué les actions problématiques ; elle applique simplement ses règles, laissant l'entreprise victime sans recours. L'exemple du Parc Safari est particulièrement éloquent. En 2023, leur page Facebook comptant 110 000 abonnés a été piratée et fermée. Trois ans plus tard, ils ne sont parvenus à reconstruire qu'une communauté de 5 000 abonnés, perdant ainsi 95 % de leur audience. Cette perte s'est traduite par une chute drastique des demandes de renseignements, passant d'une vingtaine par jour à seulement deux ou trois par mois. Un autre cas mentionné concerne une nutritionniste indépendante qui a perdu sa page de 10 000 abonnés créée en 2016, représentant l'essentiel de sa valeur commerciale, car son activité reposait principalement sur sa présence sur les réseaux sociaux. La responsabilité des utilisateurs Un point important soulevé dans la discussion est que les plateformes comme Meta offrent effectivement tous les outils nécessaires pour se protéger. Leur infrastructure de sécurité interne est solide, et les piratages ne proviennent généralement pas de failles dans leurs systèmes, mais plutôt de la négligence des utilisateurs eux-mêmes. Les entreprises qui ne mettent pas en place les bonnes pratiques de sécurité sont donc responsables de la compromission de leurs comptes. Cependant, cette réalité soulève des questions sur la responsabilité des plateformes. Bien que les outils de protection existent, si les utilisateurs ne les utilisent pas, les entreprises comme Meta ne considèrent pas nécessaire d'offrir un support efficace. Cette approche peut sembler discutable, mais elle reflète la position de ces géants technologiques : si c'est la faute de l'utilisateur, pourquoi investir dans un support coûteux ? Les bonnes pratiques essentielles Le podcast met l'accent sur plusieurs mesures de sécurité fondamentales. La première et la plus importante est l'activation du double facteur d'authentification (MFA) sur tous les comptes de réseaux sociaux, ainsi que sur les adresses courriel qui leur sont associées. Cette couche de sécurité supplémentaire constitue la défense la plus efficace contre les tentatives de piratage. La gestion des accès représente un autre aspect crucial souvent négligé. Les entreprises doivent régulièrement effectuer des revues d'accès pour s'assurer que seules les personnes autorisées peuvent accéder à leurs pages professionnelles. Lorsqu'un employé quitte l'entreprise ou qu'un mandat avec une agence de marketing se termine, il est impératif de retirer immédiatement leurs accès. Le podcast révèle que de nombreuses entreprises n'ont aucun processus interne pour gérer les accès aux réseaux sociaux lors du départ d'un employé, alors qu'elles ont des protocoles bien établis pour récupérer les ordinateurs portables et fermer les comptes Microsoft. Un autre principe fondamental est la gestion appropriée des rôles et permissions. Trop souvent, toutes les personnes qui travaillent sur les réseaux sociaux d'une entreprise reçoivent le statut d'administrateur, alors que ce niveau d'accès devrait être réservé uniquement à ceux qui en ont réellement besoin. Un stagiaire qui publie du contenu et gère les commentaires n'a pas besoin d'être administrateur de la page. Cette attribution excessive de privilèges augmente considérablement la surface d'attaque en cas de compromission d'un compte. Conclusion Ce podcast met en lumière un paradoxe troublant : alors que les réseaux sociaux sont devenus essentiels pour la survie et la croissance de nombreuses PME, leur sécurité reste largement sous-estimée. La perte d'un compte peut avoir des conséquences dévastatrices, tant sur le plan financier que réputationnel, avec des communautés bâties au fil des années qui disparaissent en un instant. La solution ne réside pas dans l'espoir d'un support client providentiel, mais dans l'adoption proactive de bonnes pratiques de sécurité : activation du MFA, gestion rigoureuse des accès, attribution appropriée des rôles, et sauvegarde des codes de secours. Comme le souligne l'équipe, se protéger avant qu'un incident ne survienne est infiniment plus simple, moins coûteux et moins stressant que tenter de récupérer un compte compromis. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm Locaux réels par Moxy Montreal Downtown

Parce que… c'est l'épisode 0x675! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Divers Users scramble as critical open source project left to die Hegseth needs to go to secure messaging school, report says How I discovered a hidden microphone on a Chinese NanoKVM Jeunesse Dutch study finds teen cybercrime is mostly just a phase The WIRED Guide to Digital Opsec for Teens React2Shell Cloudflare blames today's outage on React2Shell mitigations Admins and defenders gird themselves against maximum-severity server vuln Cybersecurity industry overreacts to React vulnerability, starts panic, burns own house down again Kevin Beaumont: “Similarly attacks are spraying…” - Cyberplace IA Guardails ou l'abence de Securing AI Agents with Information Flow Control (Part I) Google's vibe coding platform deletes entire drive AI Agents, Enterprise Risk, and the Future of Recovery: Rubrik's Vision with Dev Rishi AI-Powered Browsers Create New Vulnerabilities Cocoon – Confidential Compute Open Network UnMarker - Les watermarks IA ne servent à rien Quand l'IA écoute et analyse les appels de millions de détenus américains AWS joins Microsoft, Google in the security AI agent race AWS AI Factories: AI-in-a-box for enterprise datacenters Red Living the long game PRC spies Brickstormed their way into critical US networks Browser extensions pushed malware to 4.3M Chrome, Edge users Hackers are Moving to “Living Off the Land” Techniques to Attack Windows Systems Bypassing EDR Velociraptor Misuse, Pt. II: The Eye of the Storm Hackers Using Calendly-Themed Phishing Attack to Steal Google Workspace Account New wave of VPN login attempts targets Palo Alto GlobalProtect portals Threat Landscape Grows Increasingly Dangerous for Manufacturers Blue Decreasing Certificate Lifetimes to 45 Days - Let's Encrypt Microsoft fixes Windows shortcut flaw exploited for years The built-in Windows security features you should be using GrapheneOS: “GrapheneOS is the only Android…” - GrapheneOS Mastodon Legalize Lawmakers Want To Ban VPNs—And They Have No Idea What They're Doing Portugal updates cybercrime law to exempt security researchers Legislation would designate ‘critical cyber threat actors,' direct sanctions against them Souveraineté Porsche outage in Russia serves as a reminder of the risks in connected vehicle security What digital sovereignty? How a Canadian Court is forcing a French company to break French law Privacy India Orders Phone Makers to Pre-Install Government App to Tackle Telecom Fraud India Mandates SIM-Binding: WhatsApp and Telegram Users Must Re-verify Every 6 Hours Canadian police department becomes first to trial body cameras equipped with facial recognition technology The Age-Gated Internet Is Sweeping the US. Activists Are Fighting Back OpenAI loses fight to keep ChatGPT logs secret in copyright case Insolites Kohler's Encrypted Smart Toilet Camera is not Actually end-to-end Encrypted Twin brothers charged with deleting 96 US govt databases Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x674! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Dans cet épisode spécial PME du podcast Pause Sécure, les animateurs Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent en profondeur le sujet crucial de la sensibilisation à la cybersécurité. Leur message est clair dès le départ : la sensibilisation va bien au-delà du simple fait de cocher une case dans un rapport de conformité. Il s'agit d'un véritable enjeu stratégique pour la protection des entreprises et de leurs employés. La sensibilisation : un enjeu vital pour les entreprises Les experts rappellent une réalité incontournable : la majorité des brèches de sécurité commencent par l'humain. Dans un contexte où les courriels d'hameçonnage sont de plus en plus sophistiqués, notamment grâce à l'intelligence artificielle, personne n'est à l'abri. Même les professionnels de la cybersécurité admettent avoir déjà été victimes de ces attaques. Le quotidien professionnel, avec sa charge de travail intense, ses multiples sollicitations et la nécessité de cliquer constamment sur des liens, rend la vigilance d'autant plus difficile. Tests d'hameçonnage versus sensibilisation : deux concepts distincts Un point important soulevé durant la discussion concerne la distinction entre les tests d'hameçonnage et la sensibilisation proprement dite. Les tests servent principalement à mesurer la progression des employés dans leur capacité à détecter les courriels malveillants et à obtenir des statistiques sur l'efficacité de la sensibilisation. Cependant, la sensibilisation elle-même constitue un processus beaucoup plus large visant à instiguer un véritable changement de comportement. Transformer les utilisateurs en maillons forts L'un des messages clés du podcast est la nécessité de considérer les employés comme des maillons forts plutôt que des maillons faibles. Les participants en ont assez de cette étiquette négative. Bien formés et sensibilisés, les employés peuvent devenir la dernière ligne de défense capable de détecter ce que les outils techniques n'auraient pas pu attraper. Au-delà de la simple détection, l'objectif est que les employés développent des réflexes de communication : signaler les menaces au service informatique, alerter leurs collègues et contribuer activement à la sécurité collective de l'entreprise. Les indicateurs d'alerte : le sentiment d'urgence Les experts insistent sur un indicateur particulièrement révélateur : le sentiment d'urgence. Qu'il s'agisse d'une fraude du président demandant un virement urgent ou d'un courriel promettant de gagner un voyage à Cancún en cliquant dans les quatre prochaines minutes, ce sentiment d'urgence artificielle devrait immédiatement éveiller les soupçons. Dans un monde où tout va trop vite, il est essentiel d'apprendre à prendre le temps de la réflexion avant d'agir. Éliminer la honte et encourager la communication Un aspect fondamental de la sensibilisation efficace réside dans l'élimination de toute forme de jugement ou de honte. Tout le monde peut tomber dans un piège d'hameçonnage, même les experts. L'important n'est pas de ne jamais se faire avoir, mais plutôt de le reconnaître rapidement et d'en informer immédiatement le service informatique, même si c'est un vendredi après-midi ou qu'il s'avère finalement qu'il n'y avait pas de menace. Les participants racontent l'histoire d'une entreprise où un employé a attendu le lundi pour signaler une attaque survenue le vendredi, permettant ainsi aux pirates d'agir pendant tout le week-end. Les dirigeants et les équipes informatiques doivent créer une culture d'entreprise où les bons comportements sont récompensés et où il n'y a aucune place pour la honte. L'importance de l'adaptation et de la contextualisation La sensibilisation ne peut pas être une approche universelle. Les experts soulignent l'importance de contextualiser la formation en fonction des différents profils d'employés et de leur réalité quotidienne. Par exemple, former des ouvriers d'usine à la fraude du président n'a pas de sens s'ils n'ont pas accès aux systèmes de paiement. En revanche, les sensibiliser aux clés USB trouvées dans le stationnement ou à la sécurité physique est beaucoup plus pertinent. Cette adaptation nécessite une compréhension fine de l'organisation et des rôles de chacun. Le rôle du marketing et des ressources humaines Nicolas Milot fait une proposition audacieuse : la sensibilisation devrait être gérée par les équipes de marketing et de ressources humaines plutôt que uniquement par l'informatique. La raison est simple : créer un test d'hameçonnage efficace ressemble davantage à la création d'une infolettre marketing engageante qu'à un projet technique. Il s'agit de capturer l'attention, de créer de l'engagement et de faire passer un message. Le service informatique reste essentiel pour les aspects techniques, mais le projet dans son ensemble bénéficierait d'une approche plus orientée communication. La dimension personnelle de la sécurité Depuis la pandémie de COVID-19, la frontière entre vie personnelle et professionnelle est devenue floue. Les experts encouragent à profiter de cette réalité en abordant aussi la sécurité personnelle lors des formations. Si les employés apprennent à se protéger contre les fraudes sur les sites de vente en ligne, les QR codes malveillants ou autres menaces de leur vie quotidienne, ils appliqueront naturellement ces réflexes dans leur contexte professionnel. Les êtres humains sont fondamentalement égoïstes, et en leur montrant comment se protéger personnellement, on les rend plus réceptifs au message global de sécurité. Une approche positive et même humoristique Enfin, les participants insistent sur l'importance de rendre la sensibilisation engageante, voire amusante. La cybersécurité ne doit pas être perçue comme une contrainte pénible, mais comme une partie intégrante de la vie professionnelle abordée avec énergie positive. Utiliser l'humour, célébrer les bons comportements et créer des moments d'apprentissage plaisants permet une meilleure rétention de l'information et une adoption plus naturelle des bonnes pratiques. Conclusion La sensibilisation à la cybersécurité représente un investissement rentable qui ne coûte pas nécessairement très cher, mais qui peut considérablement améliorer la posture de sécurité d'une organisation. En donnant aux employés les outils, le temps et surtout la confiance nécessaires pour devenir des acteurs actifs de la sécurité, les entreprises se dotent d'une défense humaine efficace, capable de compléter leurs solutions techniques. Le message est clair : transformons nos employés en superstars de la sécurité plutôt qu'en suspects potentiels. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x673! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Dans cet épisode technique du podcast, Yoan Schinck, directeur de la pratique de cyber réponse chez KPMG Canada, partage son expertise sur le threat hunting utilisant le Kusto Query Language (KQL). Fort de 12 ans d'expérience en technologies de l'information, dont 6 ans chez KPMG et la moitié en cybersécurité, Schinck se spécialise dans la réponse aux incidents, particulièrement les ransomwares et les compromissions de courriels d'affaires (business email compromise). Le workshop de threat hunting Lors de l'événement DeathC, dédié au detection engineering et au threat hunting, Schinck a conçu un workshop intitulé “Threat hunting en KQL 101”. Ce workshop vise à démontrer comment effectuer du threat hunting dans l'environnement Microsoft Sentinel en utilisant le KQL, le langage de requête pour explorer les données dans l'univers Microsoft. L'accent est mis particulièrement sur la télémétrie de Microsoft Defender for Endpoint, un choix stratégique reflétant la réalité du terrain où les organisations utilisant Sentinel travaillent généralement avec la suite de produits Microsoft Defender. Infrastructure et méthodologie Pour créer un environnement d'apprentissage réaliste, Schinck a mis en place une infrastructure comprenant deux machines virtuelles : un client Windows et un serveur Windows. Sur ces machines, il a exécuté une attaque complète simulée, couvrant toutes les étapes depuis l'accès initial jusqu'à l'exfiltration de données. Cette approche synthétique permet aux participants d'explorer des artefacts d'attaque authentiques dans un environnement contrôlé. L'infrastructure incluait également des politiques d'audit avancées Windows pour capturer des événements spécifiques dans le Security Event Log, notamment pour les processus, la gestion des utilisateurs et la création de comptes. Un déploiement de Sysmon avec une configuration étendue complétait le dispositif de collecte de données. Tous ces événements étaient ensuite envoyés vers Microsoft Sentinel, créant ainsi un environnement réaliste de threat hunting. Les organisateurs de DeathC ont fourni l'infrastructure on-premise, incluant le contrôleur de domaine, l'Active Directory, le Windows Event Collector et la configuration des Group Policies pour le transfert des événements Windows. Schinck s'est chargé de créer les deux machines virtuelles localement, de les joindre au domaine et d'installer Microsoft Defender for Endpoint avant d'exécuter son scénario d'attaque. Contenu pédagogique du workshop Le workshop est structuré en quatre catégories principales de threat hunting. La première se concentre sur les vecteurs d'accès initial, explorant différentes techniques pour identifier comment un accès a été obtenu. La deuxième catégorie examine les services Windows, analysant leur création, exécution et configuration pour détecter les abus potentiels par des attaquants. La troisième catégorie explore les tâches planifiées (scheduled tasks), un concept similaire aux services Windows en termes d'opportunités de hunting. Schinck souligne que la maîtrise de l'une de ces techniques facilite l'apprentissage de l'autre en raison de leurs similarités conceptuelles. Enfin, la quatrième catégorie aborde le hunting au niveau réseau en utilisant l'enrichissement de sources externes, notamment le projet Living Off Trusted Sites (LOTS) de Mr. D0x, qui répertorie les sites et domaines internet pouvant être abusés par des attaquants. Pour les participants plus expérimentés, Schinck propose un défi bonus : effectuer les mêmes analyses en utilisant la télémétrie Sysmon ou les Windows Event Logs plutôt que les données de Microsoft Defender for Endpoint. Cette approche alternative permet d'explorer différentes sources de données et de développer une compréhension plus complète du threat hunting. Expérience terrain et cas pratiques L'expertise de Schinck en réponse aux incidents enrichit considérablement le workshop. Il partage des observations concrètes issues de ses interventions, notamment l'abus fréquent des comptes de service par les attaquants. Ces comptes, souvent configurés comme des comptes utilisateurs normaux dans Active Directory avec simplement le préfixe “SVC”, peuvent être exploités pour des connexions RDP sur des systèmes où ils ne devraient pas avoir accès. Schinck recommande de chasser activement ces anomalies en surveillant les connexions de comptes de service entre serveurs, particulièrement celles survenant en dehors des heures normales de travail. Un autre pattern récurrent concerne l'emplacement des fichiers malveillants. Les attaquants déposent fréquemment leurs binaires ou scripts dans des emplacements moins surveillés comme la racine de Program Data, le dossier Users Public, ou divers répertoires AppData. Lors d'une intervention récente sur un cas de ransomware, Schinck a identifié rapidement un fichier DLL suspect dans le dossier Users Public, qui s'est révélé être un backdoor Cobalt Strike. Méthodologie de hunting et conseils pratiques Schinck insiste sur l'importance de filtrer le bruit dans les données de threat hunting. Une technique qu'il privilégie consiste à utiliser la fonction “distinct” pour regrouper les résultats uniques. Par exemple, lors de l'analyse de commandes PowerShell, plutôt que de parcourir 15 000 exécutions individuelles, le regroupement par lignes de commande distinctes peut réduire le jeu de données à 500 entrées, rendant l'analyse visuelle beaucoup plus efficace. Il souligne également que l'œil humain possède une capacité remarquable à détecter des anomalies. En parcourant lentement 50 lignes de commande PowerShell sans filtres additionnels, un analyste expérimenté peut souvent repérer des éléments suspects. Cette capacité repose sur deux piliers : la connaissance approfondie de son environnement et l'expérience accumulée à travers de multiples incidents. Accessibilité et reproductibilité Un aspect important du workshop est son accessibilité. Schinck démontre qu'il est possible de créer un environnement de threat hunting fonctionnel avec seulement deux machines virtuelles, un Windows Event Collector et Microsoft Sentinel. Cette simplicité rend l'apprentissage accessible à quiconque souhaite créer un homelab, même sur un ordinateur personnel ou portable. Il note qu'au Québec, le stack Microsoft (Sentinel et Defender) est devenu très populaire ces dernières années, rendant ces compétences particulièrement pertinentes. Paradoxalement, il observe que très peu d'organisations déploient Sysmon ou collectent les Security Event Logs dans Sentinel, malgré la gratuité de ces outils et leur valeur considérable en cas d'incident. Conclusion Le workshop de Yoan Schinck offre une approche pragmatique et réaliste du threat hunting en KQL, combinant expertise technique et expérience terrain. En se concentrant sur des scénarios d'attaque concrets et des outils largement déployés en entreprise, il prépare efficacement les participants aux défis réels de la cybersécurité moderne. Sa philosophie est claire : une fois les concepts de threat hunting maîtrisés, ils peuvent s'appliquer à n'importe quel produit ou langage de requête, seule la syntaxe change. Collaborateurs Nicolas-Loïc Fortin Yoan Schinck Crédits Montage par Intrasecure inc Locaux réels par DEATHcon Montréal

Parce que… c'est l'épisode 0x672! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast spécial European Cyber Week met en lumière les enjeux de la cyberdéfense, de la souveraineté numérique et de la collaboration internationale à travers l'expérience d'Arnaud Coustillière, ancien amiral de la Marine nationale française. Parcours et création de la cyberdéfense française Arnaud Coustillière a consacré 40 années au service de l'État français dans la Marine nationale, partageant équitablement sa carrière entre le maritime et le numérique. Après avoir navigué pendant quinze ans, il est devenu directeur des systèmes d'information de la Marine avant de récupérer le dossier de création de la cyberdéfense des armées en 2009. Jusqu'en 2017, il a commandé l'ensemble de la structure de cyberdéfense française, développant une capacité qui englobe la protection, la prévention, la défense et l'action offensive dans l'espace numérique. Cette cyberdéfense militaire se distingue des services de renseignement par son cadre juridique : contrairement à l'action secrète, l'action militaire reste discrète mais encadrée par le droit des conflits armés, le droit international humanitaire et le code pénal. Les trois dernières années de sa carrière, Coustillière a créé la direction générale du numérique du ministère des armées, passant de la défense des données à leur ouverture et à l'accompagnement de la transformation numérique. Le Pôle d'Excellence Cyber : un pari gagnant Depuis sa retraite, Coustillière préside le Pôle d'Excellence Cyber (PeC), une association créée il y a dix ans pour concentrer les forces de cyberdéfense françaises en Bretagne. Ce choix stratégique reposait sur trois piliers : la proximité avec Paris, l'expertise technique-opérationnelle déjà présente dans la région, et un terreau d'emplois dans les télécommunications. Le pari, considéré comme audacieux voire fou à l'époque, consistait à faire collaborer une organisation civile (l'association) avec la région Bretagne et l'État. Le succès est aujourd'hui manifeste : l'European Cyber Week est passée de 2000 participants il y a cinq ans à plus de 8000 aujourd'hui, avec une projection de 8500 à 9000 participants. L'événement se distingue par son ADN régalien européen, un terme que Coustillière préfère à “souveraineté” car il permet de penser à l'échelle européenne tout en conservant les fonctions essentielles de l'État. La collaboration franco-canadienne Le PeC développe une stratégie de partenariats choisis, notamment avec le Canada, qui partage les mêmes valeurs démocratiques que l'Europe. Depuis quatre ans, une journée de l'European Cyber Week est consacrée au Canada, et la délégation canadienne est passée d'un seul participant en 2021 à environ 25 personnes aujourd'hui. Des protocoles de coopération ont été signés avec ISECOM, et un laboratoire de recherche cyber-IA est en cours de création entre les universités de Bretagne et celles du Québec (Sherbrooke, ÉTS). L'objectif est de créer un véritable écosystème cyber franco-canadien où les entreprises des deux côtés de l'Atlantique travaillent ensemble, avec des partenariats et des offres communes. Les entreprises canadiennes peuvent participer aux appels d'offres européens si elles s'associent avec un partenaire européen. Souveraineté numérique : un concept à repenser Coustillière critique le terme de “souveraineté numérique” qu'il juge inadapté au monde numérique. Contrairement à la souveraineté terrestre qui définit clairement les frontières, l'espace numérique est plus complexe et comparable au maritime, où différents niveaux de droits coexistent selon la distance des côtes. Il préfère parler d'autonomie stratégique ou de résilience. L'écosystème numérique a évolué d'un milieu technique vers un espace de conflictualité centrée sur la captation des données. L'informatique communiquante et Internet ont créé un monde où celui qui possède les données détient le pouvoir. Cette captation est restée longtemps cachée, masquée par les technologies de big data, la transformation numérique et la migration vers le cloud. Le numérique ressemble à un iceberg : visible en surface mais reposant sur des infrastructures massives (câbles, data centers, électricité) qui appartiennent souvent à d'autres. L'impact géopolitique et le réveil européen Le combat entre la Chine et les États-Unis pour la domination technologique place l'Europe dans une position difficile. L'arrivée du président Trump a eu un effet “salutaire” selon Coustillière, car elle traite tous les pays de la même manière, clarifiant les relations et mettant fin à l'ambiguïté. La doctrine américaine se résume à : liberté des données pour faire des affaires, et cette liberté s'arrête là où commencent leurs intérêts commerciaux. Face à cette réalité, l'Europe doit retrouver une autonomie stratégique en faisant écosystème avec des partenaires partageant les mêmes valeurs. L'IA générative complique encore la situation en rendant impossible pour le citoyen moyen de distinguer le vrai du faux en ligne, nécessitant de nouvelles formes de certification. Solutions concrètes : cloud souverain et résilience Plusieurs initiatives émergent en France et en Allemagne. Les projets Bleu (Cap Gemini, Microsoft, Orange) et Sens (Thalès, Google) proposent des solutions de cloud utilisant la technologie américaine mais exploitées par des sociétés européennes, garantissant que les données restent sous cadre juridique européen. OVH représente une alternative purement européenne avec une forte présence au Canada. Le CIGREF, qui rassemble les 150 plus grandes entreprises françaises, ne parle plus de souveraineté mais de résilience face à toutes les menaces : géopolitiques, techniques et commerciales. Cette approche implique de désoptimiser les réseaux pour avoir des architectures plus hétérogènes mais plus robustes. Certaines données, particulièrement celles des citoyens, de la santé ou des services régaliens, doivent impérativement rester sous contrôle national, même si cela implique un système moins performant. Défis et perspectives Le principal défi reste le lobbying massif des grandes entreprises américaines auprès de l'Union européenne et des gouvernements. Ces sociétés déploient des moyens comparables à ceux des nations pour influencer les politiques et les décideurs. Néanmoins, un mouvement de fond s'est enclenché. Le sommet franco-allemand sur la souveraineté numérique, alors que les deux pays avaient des visions initialement opposées, démontre une prise de conscience collective. Les 18 à 24 prochains mois seront cruciaux pour concrétiser les initiatives, développer des certifications et établir une préférence européenne dans les marchés publics. Coustillière conclut que l'écosystème doit se mobiliser pour avancer dans la même direction, malgré les forces qui tenteront de l'en empêcher. La fin de la naïveté européenne face aux réalités géopolitiques du numérique constitue peut-être l'héritage le plus important de cette période de transformation. Collaborateurs Nicolas-Loïc Fortin Arnaud Coustillière Crédits Montage par Intrasecure inc Locaux réels par European Cyber Week

Parce que… c'est l'épisode 0x671! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 27 février 2026 - Blackout 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 juin 2026 - leHACK Notes IA Vibe coding: What is it good for? Absolutely nothing The slow rise of SBOMs meets the rapid advance of AI Malveillant How Malware Authors Incorporate LLMs to Evade Detection KawaiiGPT - Free WormGPT Variant Leveraging DeepSeek, Gemini, and Kimi-K2 AI Models LLMs Tools Like GPT-3.5-Turbo and GPT-4 Fuels the Development of Fully Autonomous Malware Amazon Is Using Specialized AI Agents for Deep Bug Hunting OpenAI dumps Mixpanel after analytics breach hits API users Gibberifier Souveraineté Europe Is Bending the Knee to the US on Tech Policy NATO taps Google for air-gapped sovereign cloud Canadian data order risks blowing a hole in EU sovereignty Underwater Cables That Carry the Internet Are in Trouble Social media giants liable for financial scams under new EU law Switzerland: Data Protection Officers Recommend Broad Cloud Ban for Authorities Pluralistic: (Digital) Elbows Up (28 Nov 2025) – Pluralistic: Daily links from Cory Doctorow Red Threats Actors Leverage Python-based Malware to Inject Process into a Legitimate Windows Binary New Fluent Bit Flaws Expose Cloud to RCE and Stealthy Infrastructure Intrusions ClickFix Hackers Tricks macOS Users to Execute Command in Terminal to Deliver FlexibleFerret Malware Beware of Weaponized Google Meet page that uses ClickFix to deliver Malicious Payload ClickFix attack uses fake Windows Update screen to push malware Malicious Blender model files deliver StealC infostealing malware HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials Cheap Device Bypasses AMD, Intel Memory Encryption Advanced Security Isn't Stopping Old Phishing Tactics Des outils de formatage de code ont exposé des milliers de mots de passe Over 390 Abandoned iCalendar Sync Domains Could Expose ~4 Million Devices to Security Risks Public GitLab repositories exposed more than 17,000 secrets Blue Leonardo unveils ‘Michelangelo Dome' AI-powered shield system Ex-CISA officials, CISOs aim to stop the spread of hacklore Mobile phones : Threat landscape since 2015 Air Force practices operating from cut-off bases in fierce future war Airbus: We were hours from pausing production in Spain Microsoft to secure Entra ID sign-ins from script injection attacks Privacy Mind-reading devices can now predict preconscious thoughts: is it time to worry? One Tech Tip: Modern cars are spying on you. Here's what you can do about it Proton Meet: Secure, end-to-end encrypted video conferencing Chat Control - 3 ans de débats pour accoucher d'un truc qui ne sert à rien GrapheneOS: “We no longer have any active s…” - GrapheneOS Mastodon GrapheneOS bails on OVHcloud over France's privacy stance European Parliament for mandatory age verification for social media Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x670! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast réunit François Proulx, Alexis Maurer-Fortin et Sébastien Graveline, chercheurs chez BoostSecurity, une startup montréalaise spécialisée en sécurité applicative. L'épisode explore les coulisses de leur travail de recherche et développement, particulièrement leurs découvertes récentes sur les vulnérabilités de type “race condition” dans les pipelines CI/CD. Structure et méthodologie de recherche L'équipe de recherche de BoostSecurity fonctionne de manière structurée mais flexible. François Proulx définit les grandes orientations annuelles basées sur les tendances émergentes et les apprentissages de l'année précédente. Alexis apporte son expertise en développement backend et son approche défensive, tandis que Sébastien, joueur avide de CTF, contribue avec une perspective offensive de red team. Garance, absente lors de l'enregistrement, assure la rigueur académique en effectuant des revues approfondies de la littérature scientifique. Infrastructure de recherche massive L'équipe a développé une infrastructure impressionnante pour la détection de vulnérabilités à grande échelle. Au cœur de leur système se trouve Poutine, un outil open source développé en Go pour scanner les pipelines de build, particulièrement les GitHub Actions. Cette infrastructure analyse continuellement l'écosystème open source, accumulant plusieurs téraoctets de données sur des millions de projets. Leur système “Threat Hunter” ingère en quasi-temps réel tous les événements publics sur GitHub avec un délai d'environ cinq minutes, capturant même les dépôts éphémères qui n'existent que brièvement. Cette capacité leur permet de détecter des attaques en cours, comme l'attaque par “confused deputy” de Kong qu'ils ont pu capturer et analyser. Les données sont stockées dans Google Cloud BigQuery, permettant des analyses complexes qui auraient autrefois nécessité des semaines de travail. Découverte d'une nouvelle technique de malware François décrit une découverte récente concernant une technique d'obfuscation utilisant les “Private Use Areas” d'Unicode. Ces plages de caractères, réservées mais jamais attribuées officiellement, permettent d'encoder des données arbitraires dans des chaînes de caractères invisibles. Un malware peut ainsi être caché dans du code source JavaScript, Python ou Go sans être visible dans les éditeurs standards comme Visual Studio Code. En réponse, l'équipe a développé “Puant”, un outil open source capable de scanner efficacement des millions de fichiers en quelques secondes pour détecter l'utilisation de ces caractères suspects. L'outil peut s'intégrer facilement dans les pipelines CI/CD pour bloquer du code contenant ces caractères invisibles lors de la révision de pull requests. Vulnérabilités “Time of Check, Time of Use” dans les pipelines CI/CD La découverte majeure présentée concerne une classe de vulnérabilités de type “race condition” appliquée aux build pipelines. L'équipe a identifié six cas significatifs affectant des entreprises comme Nvidia, GitHub Copilot et Jupyter Notebook. Le premier cas découvert impliquait le “copy-pr-bot” de Nvidia. Ce bot copie le code d'une pull request dans une branche dédiée après qu'un mainteneur ait commenté “ok to test”. L'équipe a découvert une fenêtre d'environ cinq secondes entre la commande du mainteneur et l'exécution du bot, pendant laquelle un attaquant pouvait modifier le code malicieusement puis le rétablir, rendant l'attaque invisible. Pour GitHub Copilot, la vulnérabilité était encore plus exploitable manuellement. Lorsqu'un mainteneur assignait Copilot pour résoudre un bug décrit dans une issue, un attaquant pouvait modifier les instructions pendant la race condition, demandant au bot d'insérer une backdoor tout en affichant une tâche légitime à l'écran. Le cas de Jupyter Notebook était particulièrement ironique : la vulnérabilité résidait dans le code de mitigation d'une race condition précédemment rapportée. La correction initiale présentait une erreur typographique dans la référence temporelle utilisée, rendant la mitigation complètement inefficace. Recommandations et mitigations L'équipe propose plusieurs stratégies de mitigation. La plus importante consiste à utiliser des mécanismes atomiques qui lient l'approbation du mainteneur à un commit SHA spécifique. GitHub offre la fonctionnalité “Pull Request Review” qui garantit cette atomicité, contrairement aux simples commentaires ou labels qui restent vulnérables aux race conditions. Les environnements GitHub constituent une autre défense robuste. Ils permettent de définir des règles d'approbation liées à des commits précis et de limiter l'accès aux secrets sensibles. L'équipe recommande fortement de restreindre la permission “Workflow Write”, qui permet de modifier les workflows GitHub Actions, car elle amplifie considérablement l'impact potentiel d'une attaque. Finalement, l'adoption du principe “fail-close” plutôt que “fail-open” est essentielle : en cas d'erreur inattendue, le système doit arrêter l'exécution plutôt que de continuer. Des outils comme Poutine peuvent scanner automatiquement les workflows pour détecter ces vulnérabilités avant leur déploiement. D'ailleurs, une recherche académique récente a identifié Poutine comme l'un des meilleurs outils du domaine, particulièrement pour son excellent ratio signal/bruit. Impact de l'intelligence artificielle L'équipe observe que l'IA générative crée involontairement de nouvelles vulnérabilités. Certains pipelines vulnérables qu'ils ont découverts provenaient clairement de code généré automatiquement, créant ainsi de nouvelles chaînes d'attaque dans la supply chain logicielle. Cette conversation met en lumière l'importance croissante de la sécurité des pipelines CI/CD dans l'écosystème open source moderne, où l'automatisation accrue multiplie les vecteurs d'attaque potentiels. Notes Split-Second Side Doors: How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model Collaborateurs Nicolas-Loïc Fortin Alexis-Maurer Fortin Sébastien Graveline François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x669! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Le dark web fascine et inquiète en même temps. Pourtant, ce concept n'est pas aussi mystérieux qu'on pourrait le croire, bien qu'il joue un rôle crucial dans le paysage de la cybersécurité actuelle. Cyndie Feltz, Nicholas Milot et Dominique Derrier nous aident à mieux comprendre cet écosystème et son importance pour les petites et moyennes entreprises. Qu'est-ce que le dark web? Pour bien comprendre le dark web, il faut d'abord parler du deep web. Le deep web représente toute la partie non indexée d'internet. Lorsqu'on effectue une recherche sur Google, on ne consulte que la portion indexée du web. Mais internet contient beaucoup plus : les canaux Telegram, par exemple, font partie du deep web car ils ne sont pas indexés par les moteurs de recherche traditionnels. Le dark web constitue la partie la plus profonde du deep web, celle où se déroulent la plupart des activités criminelles en ligne. L'image de l'iceberg illustre bien cette structure : au-dessus de l'eau se trouve la partie indexée d'internet, tandis que tout ce qui est submergé représente le deep web. Au fond, là où se trouvent les créatures marines les plus imposantes, on retrouve le dark web. Il est important de noter qu'on n'accède pas au dark web par hasard. Il faut utiliser un navigateur spécialisé comme Tor pour y naviguer. De plus, contrairement au web traditionnel, il n'existe pas de Google du deep web. Il faut savoir où chercher pour trouver ce qu'on recherche. Des usages légitimes existent Bien que le dark web soit souvent associé aux activités criminelles, il possède également des usages légitimes. Les journalistes l'utilisent pour protéger leurs sources, et de nombreux gouvernements y ont recours pour des communications sécurisées. Cet espace permet des transactions sur internet qui ne sont pas indexées par Google, offrant ainsi un niveau de confidentialité supérieur. Pourquoi les PME doivent-elles s'y intéresser? Pour une PME, le dark web devient pertinent dans deux cas principaux. Le premier survient lors d'un incident de sécurité. Lorsqu'une entreprise subit une violation de données, l'assurance ou l'équipe de réponse à incident recommandera souvent d'investiguer le dark web pour tenter de récupérer les informations volées. Le deuxième cas relève de la prévention. Certaines organisations choisissent de surveiller le dark web pour anticiper les menaces. Cette surveillance permet de découvrir si des acteurs malveillants planifient une attaque ou s'ils possèdent déjà des informations compromettantes sur l'entreprise. Une véritable industrie criminelle Lorsqu'une entreprise se fait voler des données, celles-ci ont de la valeur. Les cybercriminels ne gardent pas ces informations pour eux : ils cherchent à les vendre sur des canaux Telegram ou des sites non indexés. Le dark web fonctionne comme une véritable chaîne d'approvisionnement. Des spécialistes collectent des identifiants de connexion fonctionnels, souvent par hameçonnage. Ces credentials sont ensuite vendus en lot à d'autres criminels qui les utiliseront pour déployer des rançongiciels ou des voleurs d'information. Cette division du travail crée un écosystème criminel professionnalisé, comparable à un modèle d'affaires SaaS (software as a service). Les limites de la surveillance du dark web Malgré son utilité, la surveillance du dark web comporte des limitations importantes. Par nature, cet espace n'est pas indexable comme Google. Il n'existe donc aucune garantie de retrouver toutes les informations recherchées. On peut passer des années à chercher quelque chose qui pourrait ne jamais être trouvé. Le dark web fonctionne comme un marché aux puces : les lieux où se commercent des biens illégaux apparaissent et disparaissent rapidement. Les données volées ont une durée de vie limitée. Comme on vérifie la fraîcheur des fruits à l'épicerie, les acheteurs vérifient la fraîcheur des credentials. Une fois le produit périmé, il disparaît du marché. Au-delà des mots de passe Le dark web ne contient pas que des mots de passe. Suite à une violation de données, des informations sur des centaines ou milliers de clients peuvent s'y retrouver. Ces données permettent aux attaquants de mener des campagnes d'harponnage hautement ciblées. Avec le bon contexte, leurs courriels frauduleux deviennent beaucoup plus crédibles et efficaces. Le piège des jetons de session Même avec l'authentification à deux facteurs activée, les entreprises ne sont pas totalement protégées. Les voleurs d'information peuvent extraire des jetons de session du navigateur. Ces jetons sont octroyés après qu'un utilisateur a complété son authentification complète, incluant le deuxième facteur. Si un attaquant met la main sur ce jeton et l'insère dans son propre navigateur, il peut se faire passer pour l'utilisateur légitime sans avoir besoin du deuxième facteur. Ce scénario devient particulièrement problématique lorsque les employés utilisent leur ordinateur personnel pour accéder aux ressources professionnelles. Un simple téléchargement malveillant peut compromettre une session d'entreprise et ouvrir la porte à une attaque par rançongiciel. L'hygiène de base avant tout La surveillance du dark web ne remplace pas les bonnes pratiques de sécurité. Les entreprises doivent d'abord mettre en place leur hygiène de base : authentification à deux facteurs, gestion rigoureuse des mots de passe, et autres mesures de protection accessibles aux PME. Ces éléments ne sont ni extrêmement coûteux ni particulièrement complexes à implémenter. La surveillance du dark web devrait être considérée comme une couche de protection supplémentaire, pas comme la solution principale. Elle ne fonctionne efficacement que lorsque les fondations de sécurité sont solides. Un investissement pour ne rien trouver Paradoxalement, la meilleure utilisation d'un service de surveillance du dark web est de ne jamais recevoir de notification. Si une entreprise paie pour ce service et n'est jamais alertée, cela signifie que son équipe fait du bon travail et que les mesures de sécurité fonctionnent. C'est un investissement qu'on espère ne jamais devoir utiliser, mais qui offre une tranquillité d'esprit précieuse. La nouvelle surveillance de crédit Le dark web devient le nouveau terrain de surveillance pour la protection des données personnelles. Autrefois, on surveillait son crédit pour détecter les fraudes. Aujourd'hui, avec la multiplication des violations de données, il devient plus pertinent de surveiller si nos informations se retrouvent sur le dark web. Cette évolution reflète les nouvelles réalités de la cybersécurité. Le dark web n'est finalement qu'un outil parmi d'autres dans l'arsenal de cybersécurité d'une PME. Comprendre son fonctionnement et ses limites permet de l'utiliser judicieusement, sans y investir des ressources démesurées ni négliger les fondamentaux qui demeurent la meilleure protection. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x668! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Ce podcast spécial réunit trois experts pour discuter d'un enjeu crucial : les conseils d'administration comme engrenage raté de la cybersécurité. L'hypothèse centrale avancée est que l'absence de connaissances même basiques en cybersécurité au sein de ces instances de gouvernance explique en partie les problèmes actuels auxquels font face les organisations québécoises et canadiennes. Le problème de la composition des conseils d'administration Sylvie Guérin soulève un constat troublant : malgré la multiplication des fraudes touchant les institutions, écoles, hôpitaux et universités, les conseils d'administration demeurent largement dominés par des comptables et des avocats. Cette surreprésentation crée un manque flagrant de diversité, particulièrement en matière d'expertise technologique et de cybersécurité. Elle partage son expérience personnelle où, malgré son expertise, elle s'est vue écartée d'un poste au conseil d'administration d'un CHSLD privé au profit d'un autre comptable. Cette anecdote illustre bien le caractère consanguin de ces structures, où les membres ont tendance à reproduire les mêmes profils plutôt que d'ouvrir leurs rangs à de nouvelles compétences essentielles à l'ère numérique. L'aveuglement volontaire et la dénégation plausible Éric Parent expose un phénomène qu'il nomme “l'aveuglement volontaire”. Il raconte avoir été approché pour un poste de CSO (Chief Security Officer) dans une entreprise internationale, où il est rapidement devenu évident que l'organisation cherchait en réalité un bouc émissaire plutôt qu'un véritable responsable de la sécurité. Le poste offert devait se rapporter au directeur des technologies de l'information, créant ainsi une structure hiérarchique dysfonctionnelle. Une conversation révélatrice avec Ronald Brisois, ancien PDG de Cognos, illustre parfaitement ce problème. Interrogé sur où devrait se situer la sécurité dans l'organigramme, Brisois a répondu sans hésitation : au conseil d'administration. Pourtant, il admet que ce n'est jamais là qu'elle se trouve en pratique, les dirigeants préférant la cacher sous les technologies de l'information. Parent mentionne également le concept de “plausible deniability department” utilisé dans certaines grandes entreprises canadiennes pour désigner les départements légaux, véritables cimetières d'idées où les préoccupations sont écoutées mais jamais suivies d'actions concrètes. Le fossé du langage et de la communication Un obstacle majeur identifié concerne le langage. Les comptables et avocats ont appris à parler en termes de risques financiers, ce qui leur confère une certaine autorité auprès des conseils d'administration. En contraste, les professionnels de la cybersécurité peinent souvent à traduire leurs préoccupations techniques en risques d'affaires compréhensibles. Parent souligne l'importance de cette traduction. Au lieu de parler de bits, de réseaux et de technologies, il faut parler de l'arrêt potentiel des chaînes de montage, des pénalités contractuelles et des impacts financiers concrets. Il mentionne avoir enseigné pendant dix ans à Polytechnique avec cet objectif précis : former des technologues capables de communiquer en langage d'affaires. Les lacunes du système éducatif La discussion révèle des failles profondes dans le système éducatif, depuis les écoles primaires jusqu'aux universités. Les universités forment des enseignants compétents sur le plan pédagogique, mais largement démunis en matière de technologie et de cybersécurité. Cette lacune se répercute ensuite sur les élèves, créant un cercle vicieux d'incompétence numérique. Sylvie partage l'exemple d'une connaissance dont les stagiaires en enseignement étaient prometteurs comme futurs professeurs, mais quasi analphabètes technologiquement. Ironiquement, ce sont souvent les enfants qui doivent aider leurs enseignants avec les ordinateurs et les tableaux interactifs. Ce problème s'étend aux comptables et avocats qui siègent aux conseils d'administration. Décrits avec humour comme “une gang de vieux hommes blancs de 75 ans” incapables de reprogrammer leur magnétoscope, ils manquent cruellement de la formation minimale nécessaire pour comprendre les enjeux de cybersécurité. Des solutions possibles Plusieurs pistes sont explorées pour améliorer la situation. Sylvie suggère de créer un module de formation obligatoire d'environ deux heures pour tout nouveau membre d'un conseil d'administration, les sensibilisant aux risques concrets comme l'usurpation d'identité et les fraudes par courriel. Parent propose d'aller plus loin avec une approche réglementaire. Il cite l'exemple de la loi HIPAA aux États-Unis, qui établit une grille de pénalités graduées selon le niveau de négligence. Il imagine un système où les dirigeants seraient personnellement pénalisés financièrement en cas de brèche, créant ainsi un “four autonettoyant” où la cybersécurité deviendrait automatiquement une priorité. L'exemple récent de Qantas, qui a pénalisé ses cadres supérieurs suite à un incident, est cité comme un modèle encourageant. Les assureurs pourraient également jouer un rôle en exigeant non seulement la présence d'un responsable de la cybersécurité, mais aussi une gouvernance active du conseil d'administration sur ces questions. Conclusion Le consensus qui émerge de cette discussion est que le changement ne viendra probablement que par la contrainte : réglementation, pénalités personnelles pour les dirigeants, ou exigences des assureurs. Le bon sens seul ne suffit pas, et comme le souligne Parent, “le monde marche à claque à gueule puis au coup de pelle en pleine face”. Sans événements majeurs ou nouvelles lois, les conseils d'administration continueront probablement à négliger leur rôle crucial en matière de cybersécurité, perpétuant ainsi le cycle de vulnérabilité des organisations québécoises et canadiennes. Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric Parent Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c'est l'épisode 0x667! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA MCP Hackers Use Rogue MCP Server to Inject Malicious Code and Control the Cursor's Built-in Browser Obscure MCP API in Comet Browser Breaches User Trust, Enabling Full Device Control via AI Browsers Microsoft Microsoft Integrated Azure Firewall With AI-powered Security Copilot Microsoft's New Windows AI Feature Comes With Warnings About Malware and Data Theft Le crime ne paie pas GenAI Makes it Easier for Cybercriminals to Successfully Lure Victims into Scams LLM-generated malware improving, but not operational (yet) anthropic's paper smells like bullshit – djnn@localhost AI as Cyberattacker Ollama Vulnerabilities Let Attackers Execute Arbitrary Code by Parsing of Malicious Model Files Beyond IAM Silos: Why the Identity Security Fabric is Essential for Securing AI and Non-Human Identities La poésie est une arme… pour contourner la sécurité des LLMs AI-Based Obfuscated Malicious Apps Evading AV Detection to Deploy Malicious Payload Blue Why bcrypt Can Be Unsafe for Password Hashing ? Chasse aux hostiles Authorities Seized Thousands of Servers from Rogue Hosting Company Used to Fuel Cyberattacks Five Eyes just made life harder for bulletproof hosting providers NSA Issues Guidance for ISPs and Network Defenders to Combat Malicious Activity Microsoft Finally Makes Sysmon Native To Windows Microsoft Threat Intelligence Briefing Agent Now Integrated into the Defender Portal Security 101: Cyber Training Still Fails Miserably What Cybersecurity Can Learn From Car Racing Red Malicious ‘Free' VPN Extension with 9 Million Installs Hijacks User Traffic and Steals Browsing Data Researchers discover security vulnerability in WhatsApp Browser Fingerprinting And Why VPNs Won't Make You Anonymous Kevin Boone: The privacy nightmare of browser fingerprinting Multi-threat Android malware Sturnus steals Signal, WhatsApp messages Threat Actors Allegedly Selling Microsoft Office 0-Day RCE Vulnerability on Hacking Forums Salesforce flags another third-party security incident Stolen VPN Credentials Most Common Ransomware Attack Vector Ransomware Actors Primarily Targeting Retailers This Holiday Season to Deploy Malicious Payloads Dark Web Job Market Evolved - Prioritizes Practical Skills Over Formal Education Privacy Google Is Collecting Troves of Data From Downgraded Nest Thermostats Europe is scaling back its landmark privacy and AI laws Europe's cookie nightmare is crumbling Canadian privacy regulators say schools share blame for PowerSchool hack The FBI spied on a Signal group chat of immigration activists, records reveal Random Cloud Sovereignty: How Berlin and Paris Are Trying to Draw a European Line Cloudflare broke the internet with a bad DB query The Cloudflare Outage May Be a Security Roadmap Legal Restrictions on Vulnerability Disclosure Can Chinese-Made Buses Be Hacked? Norway Drove One Down a Mine to Find Out Rogue techie pleads guilty in $862K employer attack La Quadrature du Net: “Deux articles du Parisien hier…” - Mamot - Le Mastodon de La Quadrature du Net GrapheneOS: “@Fritange France is taking sta…” - GrapheneOS Mastodon BrianKrebs: “Social engineering – the art …” - Infosec Exchange Canonical expands total coverage for Ubuntu LTS releases to 15 years with Legacy add-on Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x666! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast technique réunit Jérémy Scion et Quentin Bourgue, analystes en cybersécurité chez Sekoia, qui présentent leurs recherches sur une campagne sophistiquée de phishing baptisée “Double Paiement” (ou “I Paid Twice”). Un mode opératoire en deux phases Cette attaque se distingue par son approche méthodique en deux étapes distinctes. La première phase cible spécifiquement les hôtels et leurs administrateurs dans le but de compromettre leurs systèmes et d'accéder aux comptes de gestion sur des plateformes comme Booking.com, Expedia ou Airbnb. Une fois ces accès obtenus, la deuxième phase consiste à cibler les clients de ces hôtels pour leur extorquer de l'argent en les faisant payer une seconde fois leur réservation. La force de cette attaque réside dans le niveau de personnalisation rendu possible par l'accès aux informations de réservation. Les attaquants disposent de détails précis comme le nombre de nuits, les noms des clients, leurs coordonnées téléphoniques et les tarifs exacts, ce qui leur permet de créer des messages extrêmement convaincants. L'infection des systèmes hôteliers Pour compromettre les hôtels, les attaquants envoient des messages de phishing qui imitent le style de Booking.com ou d'autres plateformes de réservation. Ces messages prétendent provenir de clients avec des demandes d'information ou des besoins particuliers concernant leur séjour. Les hôteliers, soucieux de bien servir leur clientèle, sont naturellement enclins à répondre. La technique utilisée repose sur une méthode appelée “ClickFix”, particulièrement insidieuse. Contrairement au phishing classique où la charge malveillante est contenue dans le courriel, cette approche redirige vers une page qui reprend l'apparence de Booking.com et incite l'utilisateur à exécuter lui-même une commande PowerShell. Cette auto-infection permet de contourner de nombreuses mesures de sécurité, car le téléchargement de la charge malveillante ne se fait pas via les canaux habituellement surveillés comme la messagerie ou le navigateur web. La chaîne d'infection fait appel à des techniques avancées comme le DLL Side Loading et l'utilisation détournée d'outils légitimes pour charger le malware en mémoire. Dans le cas étudié, le malware utilisé était PureRAT, un logiciel malveillant proposé comme service, que l'attaquant loue plutôt que de développer lui-même. Spécialisation et professionnalisation Les attaquants démontrent une spécialisation claire dans le secteur hôtelier. Bien que leurs techniques restent relativement opportunistes, ils ont adapté leur approche à cet environnement spécifique. Fait intéressant, les chercheurs ont découvert que les attaquants ne développent de charges malveillantes que pour Windows, négligeant les systèmes Mac, ce qui suggère une approche coût-bénéfice calculée basée sur la prédominance de Windows dans ce secteur. Cette campagne illustre particulièrement bien la professionnalisation croissante de l'écosystème cybercriminel. On observe un véritable découpage des fonctions avec différents acteurs spécialisés : un développeur crée et loue PureRAT comme service, un opérateur utilise sa propre infrastructure de phishing et ce malware pour voler des accès, puis revend ces accès à d'autres criminels spécialisés dans la fraude bancaire. L'exploitation frauduleuse Une fois les accès aux comptes Booking.com obtenus, ils sont revendus sur des forums cybercriminels. Les acheteurs utilisent alors ces accès pour mener la deuxième phase de l'attaque. Ils récupèrent les listes de réservations à venir et contactent les clients, principalement par courriel ou WhatsApp, en se faisant passer pour l'hôtel. Le prétexte utilisé est généralement une vérification bancaire aléatoire ou un problème avec la validation de la carte de crédit. Les victimes sont rassurées qu'aucun prélèvement ne sera effectué, mais doivent simplement confirmer leurs informations. La légitimité apparente de ces messages, renforcée par les détails précis de la réservation, rend la fraude particulièrement efficace. Les victimes sont redirigées vers de fausses pages qui imitent parfaitement Booking.com ou d'autres plateformes. Ces pages professionnelles récupèrent les informations bancaires et initient directement des transactions correspondant au montant de la réservation. Comme il s'agit souvent de montants de plusieurs centaines, voire milliers d'euros, la fraude devient rapidement lucrative. Origine et évolution L'analyse des forums cybercriminels révèle que ces opérations proviennent principalement de l'écosystème russophone, avec des acteurs situés dans l'ex-URSS. L'écosystème s'est considérablement professionnalisé avec des services spécialisés : certains vendent des listes d'adresses courriel d'hôtels, d'autres proposent des accès compromis, et certains recrutent même des opérateurs pour mener ces campagnes. Jérémy Scion souligne l'évolution historique de cette menace. Il y a quelques années, il s'agissait d'opérations quasi artisanales menées par des groupes isolés. Aujourd'hui, attirés par les gains financiers substantiels, plusieurs groupes se sont lancés dans ce type d'activité. Cette professionnalisation s'accompagne d'une capacité d'adaptation remarquable : les attaquants modifient rapidement leurs chaînes d'infection pour rester discrets tout en maintenant une approche générique qui ne nécessite pas de personnalisation pour chaque victime. Indicateurs de compromission et détection Sekoia suit désormais plusieurs clusters utilisant ce mode opératoire, démontrant sa popularisation au sein de l'écosystème cybercriminel. Les chercheurs ont développé des méthodes automatiques et proactives pour suivre ces campagnes. Les indicateurs de compromission incluent principalement des noms de domaine imitant Booking.com ou utilisant des termes liés aux réservations et à l'hôtellerie, ainsi que les adresses IP hébergeant ces domaines. Cette recherche met en lumière la réalité concrète de la professionnalisation du cybercrime, qui n'est plus une simple prédiction mais une réalité observable opérant à échelle industrielle. Notes Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers Collaborateurs Nicolas-Loïc Fortin Quentin Bourgue Jérémy Scion Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x665! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Dans cet épisode, l'équipe composée de Nicolas, Dominique et Cindy explore les mesures d'hygiène de base en cybersécurité que les petites et moyennes entreprises devraient mettre en place. L'objectif est d'identifier les solutions peu coûteuses qui offrent un gain important en sécurité et qui aident les organisations à répondre aux exigences de certifications et de conformité. L'authentification et la gestion des mots de passe Le premier pilier essentiel abordé concerne l'authentification et la gestion des mots de passe. Contrairement à ce que certains pourraient penser, les mots de passe demeurent un enjeu critique et représentent la faiblesse numéro un dans la majorité des tests d'intrusion. Cette problématique touche autant les mots de passe utilisés pour se connecter aux services externes que ceux utilisés à l'interne, incluant les comptes de service. L'équipe recommande fortement l'adoption de l'authentification unique (SSO) dès que possible, malgré l'existence d'une liste de la honte recensant les entreprises qui forcent leurs clients à prendre des forfaits coûteux pour accéder au SSO. Le principe est simple : moins il y a de mots de passe, mieux c'est. L'utilisation d'un gestionnaire de mots de passe s'avère non négociable. Il ne suffit pas de demander aux employés d'utiliser des mots de passe différents et complexes pour chaque site sans leur fournir les outils appropriés. Les experts mettent en garde contre l'utilisation des gestionnaires intégrés aux navigateurs web comme Chrome ou Edge, qui ne sont pas de qualité égale aux véritables gestionnaires de mots de passe autonomes disponibles sur le marché. Un point crucial soulevé est que si quelqu'un compromet une machine en tant qu'administrateur, il peut accéder à tous les mots de passe stockés dans le navigateur, alors qu'un gestionnaire de mots de passe dédié nécessite le mot de passe maître pour y accéder, offrant ainsi une protection supplémentaire même en cas de compromission de la machine. La protection des postes de travail Le deuxième élément fondamental concerne ce qu'on appelait autrefois les antivirus, maintenant connus sous le nom d'EDR (Endpoint Detection and Response). Cette protection minimale devrait être mise en place sur tous les environnements, même sur les ordinateurs Mac. Bien que les EDR ne soient pas infaillibles et puissent être contournés, ils représentent un premier niveau de protection accessible financièrement. L'équipe souligne l'importance de choisir un EDR adapté aux besoins spécifiques de l'entreprise en considérant plusieurs facteurs : le prix, la quantité de postes à protéger, le support offert, l'interface utilisateur, et la présence ou non de ressources techniques internes capables de gérer la solution. Certains EDR sont plus faciles à administrer tandis que d'autres offrent plus d'options mais nécessitent des formations et du personnel qualifié. Ces solutions deviennent de plus en plus accessibles pour les PME et constituent une brique essentielle de la sécurité. Les mises à jour automatiques Le troisième pilier aborde la question du patching, ces fameuses mises à jour souvent perçues comme un mal nécessaire. Pour les PME, la recommandation est claire : activer le patching automatique plutôt que de compter sur une vérification manuelle quotidienne. Cette approche s'applique non seulement aux systèmes internes mais aussi aux applications web comme WordPress. Un point important soulevé est que l'activation du patching automatique implique probablement d'avoir une bonne gestion des sauvegardes. Par exemple, si WordPress se met à jour automatiquement le mercredi, il est prudent de faire une sauvegarde le mardi pour pouvoir restaurer rapidement en cas de problème. Cette règle s'applique également aux serveurs internes, même si certains secteurs comme le manufacturier ou l'industriel peuvent nécessiter une approche plus nuancée. Il est rappelé que dans le cadre de Sécuritaire Canada, une des questions d'évaluation porte justement sur l'activation du patching automatique pour les postes de travail, ce qui devrait être une pratique standard. La gestion des sauvegardes Le quatrième élément essentiel concerne les sauvegardes. Une recommandation cruciale est de ne jamais joindre les sauvegardes au domaine. L'équipe partage plusieurs anecdotes illustrant les conséquences d'une mauvaise gestion des sauvegardes, comme la perte de dix ans de photos personnelles ou l'impossibilité d'accéder à une sauvegarde chiffrée dont le mot de passe était uniquement stocké sur la machine principale défaillante. La qualité d'une sauvegarde est égale à la dernière fois qu'elle a été testée. Les experts ont vu des situations catastrophiques où des organisations pensaient avoir des sauvegardes fonctionnelles mais ne les avaient jamais testées, pour découvrir leur inefficacité au moment d'un incident. Les sauvegardes ne servent pas uniquement en cas d'incident de sécurité, mais aussi lors de bris matériels, d'incendies ou d'autres catastrophes. Un conseil important : bien que le chiffrement des sauvegardes soit essentiel, il faut s'assurer que la clé principale n'est pas uniquement stockée sur le système sauvegardé. Il en va de même pour le mot de passe maître d'un gestionnaire de mots de passe, qui devrait être conservé sur papier quelque part en lieu sûr. Mesures complémentaires Au-delà de ces quatre piliers fondamentaux, l'équipe propose quelques mesures additionnelles. Pour les entreprises ayant un site web, l'utilisation d'un service de proxy comme Cloudflare permet d'ajouter une couche de protection accessible, voire quasi gratuite pour les PME. Bien que non infaillible, cette solution offre de la détection et une protection contre les exploits potentiels, tout en améliorant la performance et la rapidité du site. Pour les organisations utilisant Active Directory, deux outils gratuits sont recommandés : Purple Knight de Semperis et Pink Castle (récemment acquis par Tenable). Ces outils permettent de réaliser des audits de configuration et fournissent un score de sécurité sans avoir à engager immédiatement un auditeur externe coûteux. Ils génèrent des rapports en HTML, PDF ou Excel permettant d'identifier et de corriger les problèmes de configuration les plus évidents. L'importance de la base L'équipe insiste sur le fait qu'avant d'investir dans des outils complexes et coûteux comme la surveillance du dark web, il est primordial d'avoir une base solide. Comme pour une maison, si les fondations sont bancales, la plus belle construction s'effondrera. La bonne nouvelle est que cette base n'est pas nécessairement coûteuse et que de nombreux outils gratuits ou peu dispendieux existent pour établir un diagnostic et améliorer sa posture de sécurité. Un dernier point crucial, qui fera l'objet d'un épisode ultérieur, concerne la sensibilisation des employés. Ceux-ci peuvent être le meilleur allié ou la pire faiblesse d'une organisation. Il ne s'agit pas d'une formation ponctuelle mais d'un effort continu. En conclusion, les experts rappellent que ces éléments de base sont précisément ceux qui sont vérifiés dans les formulaires d'assurance et les certifications. Prendre ces mesures préventives est comparable à une visite médicale préventive : c'est beaucoup moins coûteux et traumatisant qu'une opération d'urgence suite à un incident majeur. Consulter un expert pour mettre en place ces mesures de base coûte généralement moins cher que de gérer les conséquences d'une cyberattaque. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x664! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce dixième épisode collaboratif entre Polysécure et Cyber Citoyen réunit Sam Harper et Catherine Dupont-Gagnon pour discuter de trois enjeux majeurs en cybersécurité et protection de la vie privée. Les publicités malveillantes et l'importance des bloqueurs de publicité L'épisode débute avec le cas du Nevada, touché par un ransomware après qu'un employé ait cliqué sur une publicité malveillante. En cherchant un logiciel standard, l'employé est tombé sur un faux site positionné en premier dans les résultats de recherche Google grâce à de la publicité payante. Ce site clonait l'apparence du site légitime et a permis l'installation d'un malware qui a mené à une attaque par rançongiciel. Catherine souligne qu'un expert en sécurité suggère maintenant que les bloqueurs de publicité devraient être considérés comme des outils de cybersécurité essentiels, au-delà de leur rôle dans la protection de la vie privée. Elle partage sa propre expérience d'avoir failli tomber dans un piège similaire en magasinant des vêtements en ligne, se retrouvant sur un site frauduleux qui cherchait à collecter des informations de paiement. Sam explique utiliser un système de filtrage DNS à domicile via un Raspberry Pi qui bloque les domaines publicitaires connus, rendant la navigation plus rapide et sécuritaire pour tous les habitants de sa demeure. Il mentionne des solutions gratuites comme Quad9 en Suisse et le Canadian Shield de CIRA au Canada, qui offrent des niveaux de protection variables. La Belgique va même jusqu'à imposer un système opt-out plutôt qu'opt-in, avec des résultats positifs sur la réduction de la fraude. Le groupe note que Meta tire environ 10% de ses revenus de publicités frauduleuses, soit environ 7 milliards de dollars annuellement, créant une situation où bloquer les publicités devient nécessaire pour se protéger, tout en privant les médias légitimes de revenus. Ils encouragent les auditeurs à s'abonner à des médias de qualité plutôt que de compter sur le modèle publicitaire. L'enquête sur les courtiers de données (Data Broker Files) Le deuxième sujet porte sur une enquête journalistique internationale révélatrice menée par plusieurs médias européens, dont Le Monde, L'Écho et Netzpolitik. Des journalistes se sont fait passer pour une compagnie de marketing et ont obtenu gratuitement 13 milliards de points de données de géolocalisation auprès de courtiers de données. L'enquête démontre qu'avec seulement quatre points de géolocalisation, il est possible de désanonymiser pratiquement n'importe qui. Les journalistes ont pu suivre des employés de l'OTAN, de l'Union européenne et de centrales nucléaires, connaissant leurs trajets quotidiens entre la maison, la garderie, le travail et le gym. Lorsque les journalistes ont demandé si c'était légal, les vendeurs ont répondu avec un sourire que oui, car les gens avaient cliqué “j'accepte”, mais que l'anonymisation n'était “pas vraiment” garantie. Catherine explique comment ces données sont collectées : par les applications elles-mêmes, par du code tiers intégré dans les applications, et même par le système d'enchères publicitaires où chaque demande de publicité transmet la localisation de l'utilisateur à plusieurs vendeurs potentiels. Certaines compagnies participent au marché publicitaire uniquement pour collecter ces données, sans intention réelle de vendre des publicités. Sam rappelle que Tim Hortons avait été impliqué dans un scandale similaire au Canada, traçant ses clients pour savoir s'ils visitaient des compétiteurs. L'exemple de John Oliver est mentionné, où il avait créé un faux site pour collecter des données d'employés gouvernementaux afin de les confronter à la réalité de cette surveillance. Le groupe constate que ni le RGPD en Europe ni la Loi 25 au Québec ne protègent adéquatement contre les courtiers de données. Ils suggèrent qu'il faudrait peut-être “combattre le feu par le feu” en exposant publiquement les données des politiciens pour les motiver à légiférer efficacement. L'extorsion des restaurateurs via de fausses évaluations Le dernier sujet aborde une nouvelle forme de fraude ciblant les petits commerçants, particulièrement les restaurants. Des fraudeurs inondent soudainement un commerce de critiques négatives d'une étoile sur Google, souvent avec des commentaires absurdes (comme critiquer un burger dans une pizzeria). Parmi ces fausses critiques apparaît un message offrant de retirer les avis pour 100 à 200 dollars via WhatsApp. Cette tactique exploite l'importance des évaluations Google pour les commerces et la difficulté du processus de contestation. Catherine souligne que ce n'est pas nouveau – Yelp avait connu des problèmes similaires – mais que Google n'a pas mis en place les mêmes protections. Les animateurs conseillent fermement aux commerçants de ne pas payer, car cela encourage les fraudeurs. Ils suggèrent plutôt de répondre individuellement aux faux commentaires, de signaler l'attaque et de demander des révisions à Google, même si le processus est long. Cette approche s'inspire du succès de la stratégie de non-paiement face aux ransomwares, qui a conduit à une réduction significative des montants totaux payés en 2025. L'épisode se termine sur un appel humoristique aux auditeurs pour créer un “bingo” des marottes et expressions fétiches des animateurs, soulignant l'atmosphère conviviale de cette collaboration entre Polysécure et Cyber Citoyen. Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x663! Préambule Je teste une nouvelle façon d'enregistrer en mode nomade. J'ai l'air essoufflé, même si je ne suis pas en train de courir. C'est mon mode delivery avec ce type de micro qui est à retravailler pour mieux respirer et ne pas avoir l'air de courir. Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA Anthropic claims of Claude AI-automated cyberattacks met with doubt Kevin Beaumont: “If you're wondering what any o…” - Cyberplace EchoGram tokens like ‘=coffee' flip AI guardrail verdicts OpenAI Fights Order To Turn Over Millions of ChatGPT Conversation SecureVibes - AI-backed Tool Uses Claude AI Agents to Scan for Vulnerabilities Across 11 Languages Google is introducing its own version of Apple's private AI cloud compute Red SilentButDeadly - Network Communication Blocker Tool That Neutralizes EDR/AV Ubuntu 25.10's Rusty sudo holes quickly welded shut Active Directory Under Siege: Why Critical Infrastructure Needs Stronger Security Authentication Coercion Attack Tricks Windows Machines into Revealing Credentials to Attack-controlled Servers Hackers abuse Triofox antivirus feature to deploy remote access tools Blue What is OpenID Connect (OIDC)? — Explainer tied to CVE-2025-54603 Orgs Move to SSO, Passkeys to Solve Bad Password Habits Removing support for –no-quarantine for casks · Issue #20755 · Homebrew/brew Google sues to dismantle Chinese phishing platform behind US toll scams Kevin Beaumont: “My suggestion with ClickFix fo…” - Cyberplace CISA's expiration leaves a dangerous void in US cyber collaboration Cyber information sharing law would get extension under shutdown deal bill DNS Provider Quad9 Sees Piracy Blocking Orders as “Existential Threat” Privacy Copy-paste now exceeds file transfer as top corporate data exfiltration vector Proton might recycle abandoned email addresses and the privacy risks are terrifying Firefox vous protège sérieusement contre le fingerprinting EU's leaked GDPR, AI reforms slated by privacy activists Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par CitizenM

Parce que… c'est l'épisode 0x662! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction et parcours professionnel Youna Chosse-Bentabed est ingénieure en sécurité réseau spécialisée en social engineering (ingénierie sociale). Son parcours illustre une transition intéressante du monde très technique des réseaux vers l'aspect humain de la cybersécurité. Cette évolution s'est amorcée par la création de contenu sur LinkedIn, où elle démystifiait les concepts de hacking pour un large public. Cette démarche l'a menée à une prise de conscience fondamentale : si le hacking technique et physique est important, c'est le hacking humain qui constitue la clé de voûte de la sécurité informatique. Pour approfondir ses compétences, elle s'est formée aux États-Unis auprès de Christopher Hadnagy, considéré comme une référence mondiale en social engineering. Son objectif est désormais de démocratiser cette expertise en France et en Europe, où le domaine accuse un retard par rapport aux États-Unis, similaire à celui qu'avait le pentesting il y a quinze ans. Qu'est-ce que le social engineering ? Le social engineering est défini comme l'art de manipuler les autres pour obtenir des informations ou atteindre un objectif précis. Cette pratique prend de multiples formes dans notre quotidien : phishing (courriels frauduleux), vishing (appels téléphoniques), smishing (SMS), et intrusion physique. La réalité est que nous sommes tous exposés à ces attaques de manière constante. Une statistique particulièrement révélatrice indique que 72 % des incidents de sécurité impliquent un facteur humain. Pourtant, lorsqu'on demande au public qui pense avoir déjà subi une attaque de social engineering, peu de mains se lèvent, témoignant d'un manque de conscience de la régularité de ces menaces. Les services offerts aux entreprises Youna propose deux approches principales pour accompagner les organisations. La première consiste en des masterclass d'une à deux journées, particulièrement adaptées aux TPE, PME et collectivités territoriales disposant de budgets limités. Ces formations combinent théorie et exercices pratiques pour que les participants deviennent acteurs de leur sécurité et apprennent à penser comme des hackers. La seconde approche implique des audits réels avec intrusion physique, cartographie des vulnérabilités et identification des failles humaines. La solution la plus efficace pour augmenter la vigilance consiste à attaquer régulièrement l'entreprise dans le cadre de contrats à long terme (de un à cinq ans), avec des campagnes de phishing, vishing et smishing adaptées aux besoins spécifiques. L'intrusion physique, bien que moins fréquente, représente l'aspect le plus excitant du métier, nécessitant reconnaissance, création d'une légende (pretexting) et planification minutieuse de la mission. La culture du “no blame” Un principe fondamental de l'approche de Youna est la culture du “no blame” (sans reproche). Cette philosophie est essentielle car tout le monde peut tomber dans les pièges du social engineering, et il est contre-productif de culpabiliser les employés. L'expérience montre qu'une personne piégée une fois a moins de chances de récidiver. L'approche consiste à gamifier le processus, à rendre la remontée d'informations gratifiante et à accompagner les personnes qui se font prendre de manière constructive. Cette culture doit être établie dès le départ avec le top management et clairement intégrée dans les contrats. Les biais cognitifs exploités Les attaquants exploitent de nombreux biais cognitifs, dont plusieurs sont particulièrement efficaces. Le biais d'urgence est probablement le plus puissant, souvent associé au phénomène d'amygdala hijacking. L'amygdale, cette petite zone du cerveau qui assure notre survie depuis des millions d'années, nous fait perdre 60 % de notre capacité de raisonnement face à une situation d'urgence. La bonne nouvelle est qu'il n'existe jamais de situation réelle nécessitant une réaction dans les 30 secondes. Prendre 20 à 30 secondes pour respirer et se questionner permet de réactiver le raisonnement. D'autres biais fréquemment exploités incluent le biais d'autorité (difficile de remettre en question un supérieur, un médecin ou un policier), le biais de réciprocité (notre désir naturel de rendre service) et le biais de conformité (si tout le monde le fait, je le fais aussi, et l'importance d'être cohérent avec l'image qu'on projette). Stratégies de défense et formation La défense la plus efficace commence par la prise de conscience de l'existence de ces biais. Toutefois, la formation purement théorique ne suffit pas, car les réactions exploitées sont émotionnelles et 90 % de nos actions quotidiennes relèvent de l'automatisme. D'où l'importance cruciale d'exercices pratiques et concrets qui permettent d'observer différemment les situations et soi-même. La formation doit être récurrente et non ponctuelle. L'idéal est d'établir un lien direct avec l'utilisateur lorsqu'il clique sur un lien malveillant, en lui expliquant immédiatement ce qui s'est passé et pourquoi, permettant une intégration directe dans la mémoire. L'aspect éthique et l'ocytocine Youna met l'accent sur l'éthique de son travail. Formée dans cette optique par Christopher Hadnagy, elle applique le principe de laisser les gens qu'elle croise dans un meilleur état qu'avant leur rencontre. Elle n'utilise jamais de chantage, de blackmail ou de techniques de coercition basées sur la peur. Un concept fascinant abordé est celui de l'ocytocine, l'hormone de la confiance. Cette hormone, connue comme “l'hormone de l'amour”, est ce qui permet aux humains de travailler ensemble à travers le monde avec des personnes qu'ils n'ont jamais rencontrées. Le pic d'ocytocine se produit particulièrement lorsque quelqu'un nous dit qu'il nous fait confiance, créant un rapport fort et une envie de rendre service. Paradoxalement, la coopération et la confiance s'avèrent être des leviers extrêmement efficaces en social engineering. L'écoute active fait des miracles, et les gens ont naturellement tendance à beaucoup parler lorsqu'ils se sentent écoutés et validés. Conclusion et perspective globale Le social engineering dépasse largement le cadre de la cybersécurité d'entreprise. Les techniques et biais exploités sont identiques à ceux utilisés dans la désinformation, la manipulation de l'information et l'influence des démocraties. Dans un contexte d'infobésité et de bulles de filtres, développer une culture de vigilance de l'information devient essentiel, tant pour protéger l'entreprise que pour mieux comprendre le monde dans lequel nous vivons. La clé réside dans deux éléments fondamentaux : le jeu et la connaissance de soi. Créer une responsabilité collective où chacun devient acteur de la sécurité, tout en développant sa capacité à se connaître et à identifier quand on est manipulé, constitue la meilleure défense. Cette approche transforme la vulnérabilité humaine en force, en mobilisant notre capacité d'apprentissage et d'adaptation. Youna poursuit cette réflexion dans son podcast “Human Ecos”, où elle explore les liens entre cybersécurité, sciences humaines, philosophie et psychologie, offrant une vision non cloisonnée de ces enjeux qui façonnent nos sociétés et démocraties contemporaines. Notes Human Echoes Collaborateurs Nicolas-Loïc Fortin Youna Chosse-Bentabed Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc