PolySécure Podcast

Nicolas-Loïc Fortin et tous les collaborateurs

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. 1D AGO

    Teknik - La place du tooling dans le threat intelligence (CTI)

    Parce que… c’est l’épisode 0x2F3! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Charles Meslay Félix Aimé Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    35 min

  2. 2D AGO

    Actu - 3 mai 2026 (edition home sweet home)

    Parce que… c’est l’épisode 0x2F2! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou Baba Yaga Mythos Changed the Math on Vulnerability Discovery. Most Teams Aren’t Ready for the Remediation Side AI digs up decades of code debt. Patch up. AI Finds 38 Security Flaws in OpenEMR What Anthropic’s Mythos Means for the Future of Cybersecurity Anthropic’s Mythos Has Landed: Here’s What Comes Next for Cyber OpenAI locks GPT-5.5-Cyber behind velvet rope Amid Mythos’ hyped cybersecurity prowess, researchers find GPT-5.5 is just as good Pentagon keeps Anthropic barred despite Mythos interest Pentagon reaches agreements with top AI companies, but not Anthropic Vibe to oblivion Claude-powered AI coding agent deletes entire company database in 9 seconds — backups zapped, after Cursor tool powered by Anthropic’s Claude goes rogue Vibe Coding Will Break Your Company AI threats in the wild: The current state of prompt injections on the web Anthropic’s definition of safety is too narrow Multiple OpenClaw Vulnerabilities Enables Policy Bypass and Host Override Who Owns the Code Claude Wrote? School-shooting lawsuits accuse OpenAI of hiding violent ChatGPT users Fooling large language models just keeps getting simpler Everyone’s building AI agents. Almost nobody’s ready for what they do to identity. Govern your bots carefully or chaos could ensue I can never talk to an AI anonymously again Anthropic Launches Claude Security in Public Beta for Enterprise Customers La guerre, la guerre, c’est pas une raison pour se faire mal! Chinese spy group caught lurking in Poland, Asia networks Cyber spies target Russian aviation firms to steal satellite and GPS data Souveraineté ou vive le numérique libre! Digital Sovereignty: Wire to Replace Signal as Standard in the Bundestag Privacy ou cachez ces informations que je ne saurais voir US tech embraces Sam Altman’s World iris-scan ID banned in places - Rest of World I am the law Age verification bazaar Meta found in breach of EU law for failing to keep children off platforms EU waves through age-check app to keep kids safe online Glenn Meder (@GlennMeder): “🧵 THREAD 1/ Online age verification is the hill to die on. Not a fight you can sit out. Not a battle you can skip. Not a policy you can afford to ignore while you focus on something else. This is it. This is the line. This is the infrastructure that enables every other piece of the digital control grid. If we lose this fight, we lose everything.” Age verification vendor Persona left frontend exposed, researchers say Greece to ban anonymity on social media Attempt to repeal Colorado’s right-to-repair law fails Congress will act against massive IP blockages Hadopi : le Conseil d’État éteint la riposte graduée après 17 ans Meta cuts contractors who reported seeing Ray-Ban Meta users have sex World’s Largest Digital Human Rights Conference Suddenly Canceled Congress punts FISA renewal to June Utah’s New Law Targeting VPNs Goes Into Effect Next Week Red ou tout ce qui est brisé Bad cyber, bad Cybersecurity professional getting more work and less pay Kevin Beaumont: “I’ve been feeling very bad abo…” - Cyberplace The woes of sanitizing SVGs Microsoft Patches Entra ID Role Flaw That Enabled Service Principal Takeover Don’t pay VECT a ransom - your big files are likely gone Kevin Beaumont: “Wiz got RCE on the cloud version of Github.com and access to every customer environment.” - Cyberplace Why a recent supply-chain attack singled out security firms Checkmarx and Bitwarden FBI links cybercriminals to sharp surge in cargo theft attacks French prosecutors link 15-year-old to gov mega-breach FBI: China’s hacker-for-hire ecosystem ‘out of control’ The most severe Linux threat to surface in years catches the world flat-footed Trellix Confirms Source Code Breach With Unauthorized Repository Access Blue ou tout ce qui améliore notre posture ATT&CK v19: The Defense Evasion Split, ICS Sub-Techniques, New AI & Social Engineering Coverage, and Detection Strategies for Mobile [2604.26974] C8s: A Confidential Kubernetes Architecture Artemis II fault tolerance – A Learning a Day A Tool For Testing CANopen Networks Divers ou parce que j’ai aucune idée où les placer A Tractor From A Small Town Might Just Be The Catalyst For Ousting Machinery DRM Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    45 min

  3. APR 29

    PME - Retour d'expérience sur la première cohorte du programme UQTR FORCE

    Parce que… c’est l’épisode 0x2F1! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un programme de cybersécurité taillé pour les PME québécoises Dans cet épisode du balado Polysécure, l’animateur Nicolas reçoit Gino Plourde et Dominic Villeneuve pour faire le bilan de la première cohorte du programme Quatre Force, une formation en cybersécurité conçue spécifiquement pour les techniciens et administrateurs des petites et moyennes entreprises (PME). Les résultats sont au-delà des attentes, et l’enthousiasme des deux créateurs est palpable tout au long de la conversation. Une première cohorte prometteuse La première cohorte s’est terminée le 27 février avec 11 participants provenant de six régions administratives différentes du Québec. La diversité des apprenants a été l’une des grandes surprises : on y retrouvait des gens issus de PME manufacturières, de firmes comptables et juridiques, de ministères gouvernementaux, ainsi que des propriétaires de petites entreprises en technologies de l’information. La cohorte s’est conclue par un rassemblement en présentiel où les attestations ont été remises dans une ambiance conviviale. La deuxième cohorte a démarré le 9 mars avec 10 participants, cette fois répartis dans encore plus de régions, incluant la Montérégie, la Vallée-de-l’Outaouais et même la Côte-Nord. Ce dernier participant, géographiquement isolé, a particulièrement apprécié le format asynchrone à distance, qui répond directement aux contraintes des régions éloignées. Fort de ce succès, Gino a ouvert les inscriptions pour une troisième cohorte dès le 13 mars, prévue pour le 14 septembre. Un contenu ancré dans la réalité des entreprises Le programme est structuré en six modules (du module 0 au module 5) sur une durée de 14 semaines, à raison d’environ 10 heures par semaine. Dominic souligne que dès le module zéro — le module de base théorique —, les participants réalisent à quel point leur entreprise est exposée. On y aborde la mentalité des pirates, la doctrine de guerre appliquée à la cybersécurité (notamment l’approche de Sun Tzu), ainsi qu’une introduction au cadre CVSS. Un exercice simple, comme demander un certificat SSL, suffit à illustrer concrètement comment des informations supposément privées deviennent publiquement accessibles. À partir du module 1, les apprenants passent à la pratique avec des laboratoires concrets. Un exemple marquant : les participants apprennent à exploiter la vulnérabilité Print Nightmare dans un environnement contrôlé. Ainsi, lorsqu’ils doivent convaincre leur direction de mettre à jour ou de retirer des serveurs obsolètes, ils peuvent démontrer en temps réel les risques encourus — un argument bien plus percutant qu’un rapport théorique. Le contenu a été délibérément épuré de tout ce qui n’est pas utile aux PME. Chaque heure de formation doit apporter une valeur directe à l’entreprise et à la personne. Les créateurs insistent : ce n’est pas un cours dilué ou facile à survoler comme on en trouve sur des plateformes généralistes. C’est exigeant, mais cette intensité est au service de l’intégration réelle des connaissances. Une formation qui évolue grâce aux retours des apprenants L’équipe a apporté plusieurs ajustements entre la première et la deuxième cohorte, tous basés sur les commentaires des participants. Une semaine supplémentaire a été accordée au module zéro, jugé trop dense à l’origine. Une semaine de relâche a également été introduite à mi-parcours, permettant aux apprenants légèrement en retard de se rattraper, et aux autres de laisser décanter la matière. Quelques laboratoires particulièrement ardus ont aussi été révisés pour mieux correspondre à des défis réalistes, sans sacrifier la rigueur du contenu. Dominic souligne avec humour qu’un laboratoire qu’il complétait lui-même en une heure pouvait prendre jusqu’à huit heures à un apprenant moins expérimenté — un signal clair qu’un ajustement s’imposait. Une communauté de pratique en pleine croissance Au-delà de la formation elle-même, Gino et Dominic ont mis sur pied un groupe privé sur Discord regroupant tous les diplômés des cohortes. Cet espace d’échange permet aux participants de partager des informations sur des attaques récentes, des patterns menaçants ou des solutions concrètes — sans honte ni jugement. Deux semaines après la fin de la première cohorte, un participant a signalé au groupe avoir été victime d’un cryptovirus, détaillant le vecteur d’attaque pour que tout le monde puisse s’en prémunir. Nicolas soulève un point important : cette communauté joue un rôle crucial parce qu’elle est accessible à des gens qui ne se sentent pas encore légitimes pour intégrer les grandes communautés de cybersécurité existantes. Les experts chevronnés peuvent être intimidants pour ceux qui commencent. Ce groupe offre un espace de progression à rythme raisonnable, avec des pairs au niveau comparable. Les échanges y sont aussi agnostiques par rapport aux fournisseurs, ce qui permet des discussions honnêtes sur les produits et solutions disponibles sur le marché. Une vision d’avenir pour le Québec et au-delà En conclusion, Gino et Dominic réaffirment leur ambition : voir ce programme contribuer concrètement à rendre les PME québécoises — et peut-être internationales — plus résilientes face aux cybermenaces. Les inscriptions pour la cohorte d’automne sont ouvertes, des subventions sont disponibles pour les PME et OBNL, et tout professionnel en TI qui souhaite approfondir ses compétences en cybersécurité sans nécessairement être un spécialiste de haut niveau est le bienvenu. La formation est conçue pour les jacks of all trades du numérique — y compris, soulignent-ils avec fierté, les femmes, encore trop peu représentées dans le domaine. Collaborateurs Nicolas-Loïc Fortin Dominic Villeneuve Gino Plourde Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    27 min

  4. APR 28

    Le gazon selon Cyber Citoyen et PolySécure

    Parce que… c’est l’épisode 0x2F0! Préambule Je suis dans une alcôve dans une chambre d’hôtel, d’où l’écho inhabituel… et première diffusion live sur Twitch. Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Les vérifications d’identité : une fausse sécurité ? L’épisode s’ouvre sur un phénomène observé sur Tinder : certains profils contiennent une dernière photo manifestement absurde — un visage humain grossièrement intégré dans une image aléatoire (statue, panneau publicitaire). La théorie qui circule est que ces photos serviraient à contourner le système de vérification d’identité de la plateforme. Les fraudeurs utiliseraient cette image pour obtenir le badge « vérifié », puis la laisseraient en dernière position en espérant que les utilisateurs, éblouis par les premières photos générées par IA, n’y prêtent pas attention. Ce constat amène une réflexion plus large sur la valeur réelle des systèmes de vérification en ligne. Les coanimateurs rappellent l’époque du « vrai » crochet bleu sur Twitter, qui exigeait pièces d’identité et articles pour valider l’authenticité d’un compte. Depuis le rachat par Elon Musk et la transformation en X, n’importe qui peut acheter cette certification, vidant le système de son sens. L’épisode fait le parallèle avec Meta, qui facture également l’authentification. Résultat : les fraudeurs ont simplement appris à acheter la confiance plutôt qu’à la mériter, et les utilisateurs, rassurés par un badge, perdent leur réflexe naturel de vigilance. Un exemple hilarant illustre bien le chaos engendré : un compte parodique nommé « Eli Lilly » avait annoncé que l’insuline devenait gratuite, forçant la vraie entreprise pharmaceutique à démentir publiquement. Le vibe coding : l’illusion de créer sans comprendre Le second sujet porte sur Bolt.new (appelé « vapor » dans l’épisode), une application qui promet à n’importe qui de créer son propre site web ou application sans connaissances en programmation, grâce à l’IA. Le problème est apparu au grand jour quand des bases de données d’utilisateurs se sont retrouvées entièrement exposées au public. La plateforme a d’abord tenté de rejeter la faute sur ses utilisateurs en affirmant que la notion de « public » dans sa documentation était mal comprise — une formulation que les animateurs attribuent elle-même à une rédaction par IA tant le ton est caractéristique. Cette controverse illustre un problème de fond : coder est un métier qui intègre des principes de sécurité appris au fil des années. Le « vibe coding » reproduit les erreurs des quarante dernières années de développement logiciel, où tout est ouvert par défaut et où la sécurité n’est jamais pensée dès la conception (security by design). L’IA génère du code sans jamais demander « as-tu pensé à la sécurité de tes utilisateurs ? ». Le danger est double : non seulement les applications ainsi créées sont vulnérables, mais les utilisateurs qui s’y connectent ne peuvent pas savoir si elles l’ont été. La discussion s’élargit à la dévalorisation progressive des métiers créatifs et techniques — photographes, graphistes, développeurs — dont le travail devient invisible aux yeux de décideurs incapables de distinguer un résultat généré automatiquement d’un travail véritablement expert. Les animateurs anticipent toutefois un retour de balancier : les entreprises qui misent tout sur l’IA finiront par réaliser que la valeur humaine est ce qui les différencie réellement sur le marché. Modèles d’IA et cybersécurité : la guerre asymétrique Un troisième bloc aborde la sortie de modèles d’IA présentés comme potentiellement « dangereux » pour la cybersécurité. Les animateurs analysent ces annonces avec scepticisme, y voyant surtout des coups marketing habiles. Ils notent que les vulnérabilités mises en avant ont pu être reproduites avec des modèles publics existants, ce qui relativise le danger présenté. L’enjeu réel, selon eux, n’est pas tant la puissance brute des modèles que la façon dont ils sont utilisés. Des modèles plus petits, qui hallucinent davantage, peuvent en réalité trouver des vulnérabilités inédites précisément parce qu’ils explorent des zones imprévisibles — une forme de créativité non intentionnelle. L’approche par agents autonomes décentralisés, inspirée du fonctionnement du cerveau ou même des tentacules d’une pieuvre (chaque tentacule dispose d’une capacité décisionnelle propre), est présentée comme bien plus prometteuse que la course aux modèles toujours plus grands. Le réseau 764 : grooming, extorsion et idéologies radicales Le sujet le plus lourd de l’épisode est abordé par Catherine, qui le prépare depuis plusieurs semaines. À l’occasion de l’arrestation d’un homme de 26 ans à Québec, accusé d’avoir contacté des mineurs de 12-13 ans, elle explique l’écosystème criminel connu sous le nom de The Com — un réseau informel structuré autour du cybercrime, de la sextorsion et de la violence hors ligne. Le groupe 764 est une branche de cet écosystème. Né d’une idéologie néonazie, il s’est rapidement transformé en réseau de grooming systématique ciblant des adolescents vulnérables sur des plateformes comme Roblox, Minecraft et Discord. Les abuseurs repèrent des jeunes exprimant des difficultés (santé mentale, identité, isolement), pratiquent le love bombing pour devenir leur unique point d’ancrage affectif, puis exercent du chantage à partir de photos compromettantes, allant jusqu’à demander des automutilations filmées. Les animateurs insistent sur l’importance de parler ouvertement avec les enfants, sans jugement, et de connaître les signaux d’alerte : blessures inexpliquées, cadeaux inattendus, comportements dissimulateurs en ligne. Des ressources comme le site du gouvernement néo-zélandais (Netsafe) sont recommandées pour accompagner ces conversations. En guise de conclusion : l’humour comme résistance L’épisode se termine sur une réflexion collective sur la déshumanisation numérique, la dissociation permanente que génère l’habitude de tout filmer, et le sentiment d’un futur bouché chez les jeunes générations — autant de facteurs qui alimentent ces dérives. Mais plutôt que le désespoir, les animateurs choisissent l’humour comme mécanisme d’adaptation et comme forme d’espoir : rire ensemble, c’est aussi reconnaître une communauté de valeurs et continuer à croire qu’un autre monde est possible. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1h 18m

  5. APR 27

    Actu - 26 avril 2026

    Parce que… c’est l’épisode 0x2EF! Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos NSA Reportedly Using Anthropic’s Mythos Despite Pentagon Blacklist US security agency is using Anthropic’s Mythos despite blacklist, Axios reports Unauthorized Group Gains Access to Anthropic’s Exclusive Cyber Tool Mythos Anthropic Mythos shaping up as nothingburger The Boy That Cried Mythos: Verification is Collapsing Trust in Anthropic The Guardian view on Anthropic’s Claude Mythos: when AI finds every flaw, who controls the internet? Mozilla: Anthropic’s Mythos found 271 security vulnerabilities in Firefox 150 The AI era demands a different kind of CISO Paradigme AI-Powered Exploitation May Collapse the Patch Window for Defenders AI Model Claude Opus turns bugs into exploits for just $2,283 Why the Axios attack proves AI is mandatory for supply chain security Un agent IA chinois a trouvé près de 1 000 failles inédites, dont certaines dans Microsoft Office MCP MCP Servers Are the New APIs — And We’re Making the Same Security Mistakes How Anthropic’s Model Context Protocol Allows For Easy Remote Execution Prove You Are a Robot: CAPTCHAs for Agents Anthropic secretly installs spyware when you install Claude Desktop AI Agents Think. They Just Don’t Know They’re Being Watched. Vuln in Google’s Antigravity AI agent manager could escape sandbox, give attackers remote code execution Lovable denies data leak, cites ‘intentional behavior’ Kernel code removals driven by LLM-created security reports Introducing OpenAI Privacy Filter La guerre, la guerre, c’est pas une raison pour se faire mal! Iran claims US used backdoors in networking equipment Souveraineté ou vive le numérique libre! [Matrix in Europe Digital sovereignty](https://element.io/en/matrix-in-europe) FCC adds mobile hotspots to router ban Privacy ou cachez ces informations que je ne saurais voir Une faille IndexedDB permettait de relier toutes vos identités Tor Nullroom - Un chat P2P qui s’efface en 15 minutes Proton CEO: Age checks turn internet into ID checkpoint Apple stops weirdly storing data that let cops spy on Signal chats Why you should refuse to let your doctor record you Privacy Advocate Accuses US Government of Investing in AI-Powered Mass Surveillance I am the law Elon Musk fails to appear for questioning by French police over sexualized AI images on X Loi séparatisme - Le blocage sans juge gagne du terrain Most Australian teens admit the social media ban isn’t working as they try to sidestep age verification blocks with face masks and their parents’ IDs Colorado Adds Open-Source Exemption to Age-Attestation Bill Red ou tout ce qui est brisé You Don’t Need to Hack the System. You Just Need to Make People Think You Did. Apple Knows. Visa Knows. Nobody Has Fixed It. Here’s Why. Cyberattack at French identity document agency may have exposed personal data France’s ‘Secure’ ID agency probes claimed 19M record breach Another npm supply chain worm hits dev environments Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain … Why Phishing Still Works (Even If You Know About It) Blue ou tout ce qui améliore notre posture DDoS Kevin Beaumont: “If anybody is wondering, masto…” - Cyberplace DDoS wave continues as Mastodon hit after Bluesky incident Network ‘background noise’ may predict the next big edge-device vulnerability NCSC: Passkeys now good enough to be the default standard Kevin Beaumont: “I just want to give the analysts at Dragos credit here for how they framed this - it’s really responsible.” - Cyberplace You don’t want long-lived keys Divers ou parce que j’ai aucune idée où les placer Quadratic Contrary to popular superstition, AES 128 is just fine in a post-quantum world In a first, a ransomware family is confirmed to be quantum-safe Original GrapheneOS responses to WIRED fact checker Palantir Employees Are Starting to Wonder if They’re the Bad Guys Les cartes bancaires biométriques sont-elles une vraie avancée ou du b******t marketing ? Histoire Un malware qui pourrait être la toute première cyberarme de l’histoire Discret 11, the French TV encryption of the 80’s Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

    48 min

  6. APR 22

    Teknik - IA SOC

    Parce que… c’est l’épisode 0x2EE! Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un historique souvent oublié David Bizeul rappelle d’emblée que l’intelligence artificielle en cybersécurité n’est pas un phénomène récent. Ses racines remontent aux années 1950 avec les travaux d’Alan Turing, mais c’est surtout à partir des années 1990 que le machine learning commence à s’intégrer concrètement dans les produits de sécurité. Les systèmes experts et les algorithmes de classification — supervisés ou non supervisés — permettent alors de traiter de grands volumes de données : filtres bayésiens pour les e-mails, détection d’anomalies réseau via les outils NDR, etc. Cette évolution se fait progressivement et sans grand bruit jusqu’en 2023, où l’architecture Transformer de Google — à l’origine de ChatGPT et d’OpenAI — change radicalement la donne. Les LLM (grands modèles de langage) ouvrent de nouvelles possibilités dès lors qu’on leur fournit un corpus textuel structuré. Les produits de sécurité intègrent d’abord des assistants conversationnels, capables de répondre à des questions sur des groupes d’attaquants ou des menaces connues, en s’appuyant simplement sur ce que le modèle a appris. Vient ensuite le RAG (Retrieval-Augmented Generation), qui permet de combiner la connaissance générale du LLM avec des données internes propres à chaque client : analyses de risques, politiques de sécurité, rapports de tests d’intrusion. Le contexte devient ainsi beaucoup plus pertinent et personnalisé. L’ère agentique : plusieurs agents qui collaborent La véritable rupture arrive avec l’approche agentique, qui s’impose véritablement à partir de fin 2025 et début 2026. Plutôt qu’un modèle unique qui répond à des requêtes, on dispose désormais d’un framework composé de plusieurs agents spécialisés qui travaillent ensemble de façon orchestrée. David illustre cela avec un cas d’usage concret dans un SOC : Un agent d’investigation analyse les alertes en profondeur : il examine les événements associés, identifie les actifs concernés, recoupe les informations pour confirmer si une attaque a réellement progressé ou a été bloquée. Un agent de triage joue le rôle d’orchestrateur : il mobilise l’agent d’investigation sur l’ensemble des alertes en attente, puis produit un verdict ou un score de pertinence pour chacune d’elles. Un agent de contre-mesures prend le relais une fois la situation clarifiée : il propose des actions correctives en tenant compte des outils disponibles (présence ou non d’API, de protocoles MCP) et de leur accessibilité réelle dans l’environnement du client. Chaque agent dispose d’un périmètre d’action délimité, d’une capacité de raisonnement (un LLM interne ou externe) et d’une batterie d’actions possibles. C’est exactement la trajectoire suivie par l’entreprise de David, qui déploie ces modules agentiques cette année. Maîtriser les hallucinations et personnaliser les agents Pour s’assurer qu’un agent reste dans les rails, plusieurs mécanismes sont mis en place. Le premier est le system prompt : une instruction détaillée — parfois l’équivalent de cinq pages — qui définit les objectifs, les étapes à suivre et les comportements à éviter. Les clients peuvent ensuite surcharger ces instructions avec leurs propres règles métier. Par exemple, une entreprise qui préfère parler d’un « score de 0 à 100 » plutôt que de « faux positifs » peut reconfigurer l’agent en conséquence. Pour réduire les hallucinations, il est également possible de faire itérer un agent sur plusieurs passes de vérification, voire de solliciter plusieurs LLM différents afin de confronter leurs points de vue. David donne l’exemple d’un agent de renseignement sur les menaces étatiques : interroger successivement un modèle américain, européen et chinois permet de mettre en évidence des biais géographiques, puis de synthétiser une vue équilibrée. Cette approche multi-modèles n’est cependant pas systématiquement recommandée : elle multiplie les coûts et la latence, et n’apporte une valeur réelle que pour des questions à fort enjeu stratégique. Choisir son modèle : externe, interne ou spécialisé Trois grandes options s’offrent aux organisations : L’API externe (OpenAI, Anthropic, etc.) : simple à mettre en œuvre, mais nécessite un encadrement contractuel rigoureux pour la protection des données. Le modèle open source hébergé en interne : instancié sur les propres GPU de l’entreprise, il garantit confidentialité et maîtrise de la latence, au prix d’une infrastructure plus lourde. Le DSLM (Domain-Specific Language Model) : un modèle entraîné spécifiquement pour la cybersécurité, plus léger et plus rapide qu’un LLM généraliste, à l’image de ce qu’avait réalisé Cisco. Cette approche marque en quelque sorte un retour aux origines du machine learning spécialisé, mais enrichi des apports de l’architecture Transformer. Impact sur les équipes : augmentation, pas remplacement L’IA ne remplacera pas les analystes SOC, mais elle transformera profondément leurs rôles. Le triage — tâche répétitive et chronophage — sera bientôt entièrement automatisé. Les analystes seront alors libérés pour se concentrer sur des missions à plus forte valeur ajoutée : detection engineering, gestion de crise, définition des règles d’automatisation. Le paradigme évolue du « human in the loop » — l’humain intégré dans la boucle, qui la ralentit — vers le « human on the loop » : l’humain en posture de pilotage, qui supervise et ajuste sans intervenir à chaque étape. Face à des attaques de plus en plus automatisées et rapides (des outils comme Shannon permettent déjà de séquencer des opérations de pentest de façon autonome), la défense n’a pas d’autre choix que de s’automatiser à son tour. Une question sans réponse : la formation des futurs experts La discussion se conclut sur une interrogation ouverte et préoccupante : si les postes de niveau junior — qui constituaient historiquement le terrain d’apprentissage des futurs seniors — disparaissent au profit de l’automatisation, comment formera-t-on les experts de demain ? Une piste serait d’utiliser l’IA elle-même pour accélérer la montée en compétences via des simulations réalistes. Mais la question reste entière, et David l’admet sans détour : il n’a pas la réponse. Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    41 min

  7. APR 21

    PME - Comment simplifier un message complexe pour qu'il soit retenu?

    Parce que… c’est l’épisode 0x2ED! Préambule Nous avons rencontré un petit défi d’enregistrement vers la 12e minute. Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le contexte : une surcharge informationnelle sans précédent En 2026, nos cerveaux font face à un défi sans précédent : la quantité d’informations importantes à traiter et à retenir n’a jamais été aussi grande. L’essor de l’intelligence artificielle amplifie encore ce phénomène, en générant davantage de contenu tout en réduisant notre capacité à agir sur ce que nous recevons. C’est dans ce contexte que Cédrick Bruyère aborde une question fondamentale pour toute entreprise, tout conférencier ou tout professionnel qui souhaite faire passer un message : comment s’assurer qu’il sera réellement retenu ? L’exemple du courriel en cybersécurité : quand trop d’information tue l’information Pour illustrer son propos de façon concrète, Cédrick présente un cas fictif mais très réaliste : un expert en cybersécurité qui souhaite sensibiliser son équipe aux dangers des clés USB trouvées par terre. Dans sa version initiale, le courriel est un véritable mur de texte technique. Il y est question de vecteurs d’attaque physique, de contournement des mécanismes de sécurité périmétrique, de microcontrôleurs émulant des périphériques HID, d’exfiltration de données, de propagation latérale, de conformité à la loi 25, de politiques GPO, de solutions EDR, et de bacs à sable (sandboxes) pour l’analyse de fichiers suspects. Le résultat ? Un message que même un professionnel du domaine peine à suivre jusqu’au bout. Pour quelqu’un qui n’a pas de formation technique, c’est simplement incompréhensible — et donc inutile. Ce qui se passe dans le cerveau face à trop d’information Cédrick explique le mécanisme neurologique derrière cette défaillance de communication. Lorsqu’une trop grande quantité d’informations arrive simultanément, le cortex préfrontal — la région du cerveau responsable de la prise de décision et de la priorisation — se retrouve en état de saturation cognitive. Il n’est plus capable de distinguer l’essentiel du superflu. Face à cette surcharge, le cerveau abandonne purement et simplement l’idée de retenir quoi que ce soit. Cédrick cite à ce sujet James Carville : « If you say three things, you don’t say anything. » Quand on en dit dix, c’est encore pire. Le contre-exemple : aller à l’essentiel Face au courriel initial, Cédrick propose une version épurée qui tient en quelques lignes : une clé USB inconnue peut infecter un ordinateur en quelques secondes et donner accès à toutes les données de l’entreprise. Si vous trouvez une clé par terre, ne la branchez pas dans votre ordinateur, car elle pourrait déclencher une attaque et compromettre toute l’organisation. C’est le même message. Mais cette fois, il ne contient qu’une seule idée centrale, claire et actionnable : ne branchez pas de clé USB inconnue. Tout ce qui était superflu a été retiré. Ce qui reste, c’est exactement ce que l’on veut que les gens retiennent. Cédrick précise que cette démarche de simplification a été au cœur du travail réalisé chez Vigilia lors de la création de leurs formations en cybersécurité. Des capsules qui duraient initialement entre cinq et dix minutes ont été condensées en formats de une minute trente à trois minutes — sans perdre leur efficacité, bien au contraire. Le principe fondamental : un message parfait, c’est un message auquel on ne peut plus rien enlever Issu d’un background en rédaction, Cédrick partage sa règle d’or : un message atteint la perfection non pas quand il n’y a plus rien à ajouter, mais quand il n’y a plus rien à enlever. Quand chaque mot restant est indispensable, le message est à son niveau optimal d’efficacité. Pour y parvenir, la première question à se poser est : qu’est-ce qu’on veut que les gens retiennent ? Une seule réponse, claire et simple, doit guider l’ensemble de la rédaction. L’exemple de la compagnie aérienne : la mission comme boussole Pour illustrer comment une idée centrale peut structurer toute une organisation, Cédrick évoque l’exemple d’une compagnie aérienne à succès — vraisemblablement Southwest Airlines — dont la mission tient en quelques mots : être la ligne aérienne la moins chère. Cette formulation simple permet à des milliers d’employés de prendre des décisions cohérentes au quotidien, sans avoir besoin de consulter une longue liste de directives. Quand le département marketing propose d’améliorer les repas à bord, la question est immédiate : est-ce que ça nous rend moins chers ? Si la réponse est non, la décision est prise. Une mission bien formulée devient ainsi un filtre décisionnel puissant, applicable à tous les niveaux de l’entreprise. Comment développer ce réflexe au quotidien ? Cédrick propose une approche progressive et accessible. Le site web d’une entreprise constitue un excellent terrain d’entraînement : chaque page peut être relue avec un œil critique, chaque message peut être réécrit en se demandant si l’essentiel est vraiment mis de l’avant. Le même exercice s’applique aux courriels, aux présentations clients, aux dépliants de vente. Avec de la pratique, cette question — est-ce qu’il y a vraiment que l’essentiel ici ? — devient un réflexe naturel. Elle finit par s’intégrer dans la façon de composer n’importe quel message. L’intention plutôt que la planification En guise de conclusion, Cédrick glisse une dernière réflexion : il est souvent plus payant de mettre son énergie sur l’intention plutôt que sur la planification. Une planification rigide peut s’effondrer dès le premier imprévu, sans que l’on sache comment se réaligner. Une intention claire, elle, résiste aux aléas : même si le chemin change, on sait toujours où l’on va. En somme, simplifier un message, ce n’est pas l’appauvrir — c’est lui donner toutes ses chances d’être compris, retenu et appliqué. Collaborateurs Nicolas-Loïc Fortin Cédrick Bruyère Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    16 min

  8. APR 20

    Actu - 19 avril 2026

    Parce que… c’est l’épisode 0x2EC! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes RETEX Botconf IA ou Ghost in the shell Mythos qui ne veut pas mourir [AI Cybersecurity After Mythos: The Jagged Frontier AISLE](https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier) On Anthropic’s Mythos Preview and Project Glasswing - Schneier on Security UK gov’s Mythos AI tests help separate cybersecurity threat from hype - Ars Technica [In the Wake of Anthropic’s Mythos, OpenAI Has a New Cybersecurity Model—and Strategy WIRED](https://www.wired.com/story/in-the-wake-of-anthropics-mythos-openai-has-a-new-cybersecurity-model-and-strategy/) Anthropic releases Claude Opus 4.7, a less risky model than Mythos [AI cybersecurity is not proof of work - ](https://antirez.com/news/163) [White House to give US agencies Anthropic Mythos access, Bloomberg News reports Reuters](https://www.reuters.com/technology/white-house-give-us-agencies-anthropic-mythos-access-bloomberg-news-reports-2026-04-16/) Frontier AI Reinforces the Future of Modern Cyber Defense We Reproduced Anthropic’s Mythos Findings With Public Models - Vidoc Security Lab Every Old Vulnerability Is Now an AI Vulnerability US Government Now Wants Anthropic’s ‘Mythos’, Preparing for AI Cybersecurity Threats - Slashdot Nude Apple a menacé de virer Grok de l’App Store à cause des deepfakes publiés sur X - Korben [The Deepfake Nudes Crisis in Schools Is Much Worse Than You Thought WIRED](https://www.wired.com/story/deepfake-nudify-schools-global-crisis/) AI Chatbots and Trust - Schneier on Security OpenAI rotates macOS certs after Axios attack hit code-signing workflow How Hackers Are Thinking About AI - Schneier on Security Agentic LLM Browsers Expose New Attack Surface for Prompt Injection and Data Theft AI platform n8n abused for stealthy phishing and malware delivery Google, Pentagon Discuss Classified AI Deal - Slashdot MCP ‘design flaw’ puts 200k servers at risk: Researcher • The Register In the AI propaganda war, Iran is winning La guerre, la guerre, c’est pas une raison pour se faire mal! Hackers Target Israeli Desalination Plants With ZionSiphon Sabotage Malware Souveraineté ou vive le numérique libre! Linux commence à retirer le support des processeurs russes Baikal - Korben Baumgartner Introduces Bipartisan Bill to Tighten Controls on Sensitive Chipmaking Equipment - Michael Baumgartner Privacy ou cachez ces informations que je ne saurais voir Contrôlons nos enfants EU Age Verification Blueprint — the dedicated technical portal EU age verification app announced to protect children online EU’s New Age Verification App Can Be Hacked Within 2 Minutes, Researchers Claim 702 is the code [In defeat for Trump, House extends electronic spying program for just 10 days The Record from Recorded Future News](https://therecord.media/fisa–trump-congress-extension-surveillance) [Keep Pushing: We Get 10 More Days to Reform Section 702 Electronic Frontier Foundation](https://www.eff.org/deeplinks/2026/04/keep-pushing-we-get-10-more-days-reform-section-702) Meta Is Warned That Facial Recognition Glasses Will Arm Sexual Predators - Slashdot Audit Finds Google, Microsoft, and Meta Still Tracking Users After Opt-Out - Slashdot [It Is Time to Ban the Sale of Precise Geolocation Lawfare](https://www.lawfaremedia.org/article/it-is-time-to-ban-the-sale-of-precise-geolocation) Old Cars ‘Tell Tales’ by Storing Data That’s Never Wiped - Slashdot I am the law [Majority of Australian youth still use social media despite ban, researchers find The Record from Recorded Future News](https://therecord.media/social-media-ban-australia-research) FCC exempts Netgear from ban on foreign routers, doesn’t explain why - Ars Technica Red ou tout ce qui peut tourner mal [No one owes you supply-chain security purplesyringa’s blog](https://purplesyringa.moe/blog/no-one-owes-you-supply-chain-security/) [The Dumbest Hack of the Year Exposed a Very Real Problem WIRED](https://www.wired.com/story/crosswalk-city-hack-cybersecurity-lessons/) [Mailbox rules in O365—a post-exploitation tactic in cloud ATO Proofpoint US](https://www.proofpoint.com/us/blog/threat-insight/mailbox-rules-o365-post-exploitation-tactic-cloud-ato?utm_source=twitter&utm_medium=social_organic) Quatre bugs Microsoft ressortent du placard, dont un de 14 ans - Korben [NIST narrows scope of CVE analysis to keep up with rising tide of vulnerabilities CyberScoop](https://cyberscoop.com/nist-narrows-cve-analysis-nvd/) Dutch navy frigate tracked by mailing it a Bluetooth tracker • The Register MAD Bugs: Even “cat readme.txt” is not safe - Calif Tycoon 2FA Phishers Scatter, Adopt Device Code Phishing Microsoft defender under attack as three zero-days, two of them still unpatched, enable elevated access Blue ou bleu est la nuit Defense in Depth, Medieval Style - Schneier on Security [ANNOUNCE] WireGuard for Windows and WireGuardNT, Version 1.0 - Jason A. Donenfeld Divers ou la crise identitaire Rien hahahahahaha! Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Sheraton Saint-Hyacinthe Hotel

    1h 2m
See All (754)

Ratings & Reviews

4.6
out of 5
7 Ratings

About

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Information

  • Creator
    Nicolas-Loïc Fortin et tous les collaborateurs
  • Years Active
    2021 - 2026
  • Episodes
    754
  • Rating
    Explicit
  • Copyright
    © CC BY-NC-ND 4.0
  • Show Website
    PolySécure Podcast

You Might Also Like