PolySécure Podcast

Nicolas-Loïc Fortin et tous les collaborateurs

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. 13 HRS AGO

    H'umain - Projet accompagné par Propolys - Mindlock

    Parce que… c’est l’épisode 0x747! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Notes Parcours Entreprendre en cybersécurité Humanet Collaborateurs Nicolas-Loïc Fortin Mélissa Canseliet Crédits Montage par Intrasecure inc Locaux réels par Club Claude

    38 min

  2. 1D AGO

    PME - Vibe coding ou programmation à la bonne franquette

    Parce que… c’est l’épisode 0x746! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    18 min

  3. 2D AGO

    Actu - 12 avril 2026

    Parce que… c’est l’épisode 0x745! Préambule Je suis en déplacement et je n’ai pas tous mes équipements habituels. Je n’ai pas encore trouvé l’équilibre entre la frugalité des choses que je mets dans ma valise et le maintien de la qualité de l’enregistrement. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos The ‘Vulnpocalypse’: Why experts fear AI could tip the scales toward hackers Kevin Beaumont: “I’ve had a bunch of people ask…” - Cyberplace Kevin Beaumont: “Companion video https://youtu.…” - Cyberplace Kevin Beaumont: “I don’t think anybody actually…” - Cyberplace Anthropic Teams Up With Its Rivals to Keep AI From Hacking Everything Anthropic Mythos model can find and exploit 0-days Anthropic limits access to Mythos, its new cybersecurity AI model Scoop: OpenAI plans new product for cybersecurity use We’re Getting the Wrong Message from Mythos Anthropic’s Mythos Will Force a Cybersecurity Reckoning—Just Not the One You Think Has Mythos just broken the deal that kept the internet safe? Japan relaxes privacy laws to make AI development easy The demise of software engineering jobs has been greatly exaggerated First man convicted under Take It Down Act kept making AI nudes after arrest Police corporal created AI porn from driver’s license pics Trump-appointed judges refuse to block Trump blacklisting of Anthropic AI tech OpenAI Backs Bill That Would Limit Liability for AI-Enabled Mass Deaths or Financial Disasters Florida investigates OpenAI for role ChatGPT may have played in deadly shooting Californians sue over AI tool that records doctor visits Hacker Uses Claude and ChatGPT to Breach Multiple Government Agencies La guerre, la guerre, c’est pas une raison pour se faire mal! Iran intruders disrupting US water, energy facilities UK says it exposed Russian submarine activity near undersea cables Souveraineté ou vive le numérique libre! numerique.gouv.fr Privacy ou cachez ces informations que je ne saurais voir Why you can’t trust Privacy & Security Report: US demands Reddit unmask ICE critic, summons firm to grand jury “Not Even Government Agencies” FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database I am the law Apple continues to roll out age verification around the world Greece to ban under-15s from social media from next year Reaffirming our commitment to child safety in the face of European Union inaction Senator launches inquiry into 8 tech giants for failures to adequately report CSAM Wisconsinites Can Keep Watching Porn After Governor Vetoes Age Verification Bill New Mexico’s Meta Ruling and Encryption LinkedIn scanning users’ browser extensions sparks controversy and two lawsuits UK government threatens tech bosses with jail time if they do not adequately fight nudification tools Red ou tout ce qui est brisé Quantum FTW? A Cryptography Engineer’s Perspective on Quantum Computing Timelines Cloudflare fast-tracks post-quantum rollout as new research puts encryption on notice Why is the timeline to quantum-proof everything constantly shrinking? Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit FBI says cybercrime losses hit record $20.87B in 2025 Microsoft Abruptly Terminates VeraCrypt Account, Halting Windows Updates Un ransomware frappe le logiciel de dossiers patients de 80 % des hôpitaux néerlandais Why more Mac attacks now rely on social engineering Blue ou tout ce qui améliore notre posture Little Snitch for Linux Open source security at Astral Static code analysis in Kotlin Google rolls out Gmail end-to-end encryption on mobile devices Brocards for vulnerability triage Divers ou parce que j’ai aucune idée où les placer Dad stuck in support nightmare after teen lied about age on Discord Scoop: Meta removes ads for social media addiction litigation Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par CitizenM Gare de Lyon

    53 min

  4. 3D AGO

    Spécial - Teaser ITSec - René-Sylvain Bédard

    Parce que… c’est l’épisode 0x744! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un événement communautaire au cœur de la cybersécurité québécoise Dans cet épisode spécial, Nicolas-Loïc Fortin s’entretient avec René-Sylvain Bédard, un acteur bien connu de la communauté cybersécurité au Québec. Au menu : la conférence ITSec, ses origines, sa valeur, son thème de l’année, et les grandes réflexions que René-Sylvain s’apprête à y partager. Une conversation qui déborde rapidement sur des sujets plus larges, de l’intelligence artificielle à la gouvernance des données, en passant par le rôle des gestionnaires face aux défis de la cybersécurité. ITSec : bien plus qu’une conférence technique René-Sylvain décrit ITSec avec une affection non dissimulée. Impliqué depuis quatre ans, il qualifie l’événement de « grande messe » où se retrouvent professionnels de la cybersécurité et fournisseurs de services gérés (MSP) dans un esprit authentiquement communautaire. Ce qui le distingue des grands salons commerciaux, c’est précisément ce qu’il n’est pas : un show de vente. Ici, l’objectif est de partager la passion et les connaissances, pas de pousser des produits. L’ambiance y est conviviale mais résolument technique. La première journée est consacrée à la formation, suivie d’un capture the flag en soirée. Un spectacle humoristique vient ensuite marquer la transition entre les deux jours, permettant de souffler avant de replonger dans le contenu. Ce format — deux jours ni trop longs ni trop courts — contribue à maintenir une énergie positive tout au long de l’événement. Le parcours gestionnaire : amener le boss dans la salle L’une des innovations les plus marquantes des dernières années est l’introduction du « parcours gestionnaire », né d’un constat simple : après les présentations, des participants venaient régulièrement dire à René-Sylvain qu’ils auraient voulu que leur supérieur entende ce qui venait d’être dit. De là est née l’idée du Bring Your Own Boss — une invitation directe faite aux professionnels TI d’amener leur dirigeant à la conférence. Ce parcours, horizontal par nature, s’adresse à des gestionnaires issus de la TI, de la cybersécurité ou du monde MSP. L’objectif est d’assurer une « traduction » entre le langage technique des équipes et la réalité décisionnelle des dirigeants. Une initiative saluée par Nicolas-Loïc, qui souligne à quel point les grands événements comme le RSA contribuent parfois à brouiller les cartes en multipliant les annonces spectaculaires sans réelle valeur opérationnelle pour les praticiens. Le thème 2025 : l’IA qui protège nos mondes numériques Cette année, ITSec a choisi de centrer son édition autour de l’intelligence artificielle, non pas sous l’angle de la menace, mais sous celui de la protection. Le thème retenu — L’IA qui protège nos mondes numériques — ouvre une perspective rafraîchissante dans un paysage médiatique souvent dominé par les discours alarmistes. L’IA peut aussi être un bouclier, et ITSec entend démontrer comment. La conférence d’ouverture sera assurée par Anne-Gwen, dont René-Sylvain anticipe qu’elle va « souffler tout le monde » avec une vision nouvelle du sujet. Par ailleurs, Microsoft animera une formation sur la gouvernance des données comme prérequis à l’adoption de l’IA — un rappel bienvenu que déployer Co-Pilot sans avoir structuré ses données en amont, c’est prendre le problème à l’envers. La formule est connue : garbage in, garbage out. Gouvernance des données et sécurité : les deux faces d’une même pièce La discussion s’étend naturellement à la question de la gouvernance dans les environnements Microsoft 365. René-Sylvain illustre l’enjeu avec un exemple parlant : si la sécurité de vos données dans M365 n’est pas bien configurée, votre IA héritera des mêmes lacunes. Un stagiaire pourrait ainsi se retrouver avec accès aux salaires de toute l’organisation — non pas parce que l’IA est mal paramétrée, mais parce que les fondations de sécurité n’ont jamais été posées correctement. Cette réalité rejoint un problème plus large : la majorité des organisations déploient des outils d’IA générative sans avoir réalisé le travail préparatoire indispensable — nettoyage des données, gestion des accès, étiquetage (tagging). Un travail ingrat, invisible, mais absolument fondamental. La démocratisation de la cybersécurité pour les gestionnaires C’est le sujet que René-Sylvain s’apprête à aborder lors de sa présentation au parcours gestionnaire, en s’appuyant sur son livre en cours de publication. Son constat est sans appel : les outils technologiques de cybersécurité sont inutiles pour les dirigeants. Mettre une console Sentinel ou SentinelOne devant un gestionnaire — qu’il soit comptable, vendeur ou administrateur — ne produira aucun effet utile. 94 % d’entre eux, estime-t-il (et Nicolas-Loïc irait même jusqu’à 99 %), n’ont tout simplement pas les clés pour interpréter ce qu’ils voient. La question qu’il soulève n’est donc pas technique, mais stratégique : quelle est la couche de traduction qui manque pour rendre la cybersécurité digestible à un décideur ? Comment lui donner une visibilité réelle sur ce que ses équipes font, sans le noyer dans des millions de signaux d’alerte qu’il ne peut pas interpréter ? C’est le fil conducteur de sa présentation, et manifestement, un débat qui promet d’être animé. L’esprit de communauté comme moteur En conclusion, les deux interlocuteurs s’accordent sur l’essentiel : ce qui nourrit les professionnels de la cybersécurité, c’est le contact avec d’autres expertises, la confrontation bienveillante des points de vue, les échanges informels autour d’un café. ITSec, comme d’autres événements communautaires, remplit ce rôle en sortant les participants de la bulle négative pour les ramener à leur passion première : la technologie. Et si quelques tomates sont jetées en chemin, c’est souvent le signe qu’on a touché quelque chose de vrai. Notes 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 [ITSec - RenéSylvain Bédard] (https://it-sec.ca/schedule-speaker/rene-sylvain-bedard/) Collaborateurs Nicolas-Loïc Fortin René-Sylvain Bédard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    19 min

  5. 4D AGO

    Spécial - Teaser ITSec - Frédérik Bernard

    Parce que… c’est l’épisode 0x743! Préambule L’enregistrement a été effectué à partir d’un lien Internet avec beaucoup de latence. J’ai corrigé du mieux que je peux. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invité et de son entreprise Frédérik Bernard est président fondateur de Secur01, une entreprise québécoise spécialisée en cybersécurité depuis 12 ans. Dès sa fondation, l’objectif était clair : rendre la cybersécurité accessible aux PME. Si les grandes entreprises bénéficiaient déjà depuis longtemps de services spécialisés dans ce domaine, ce n’est que depuis environ cinq ans que les PME commencent à prendre conscience de l’importance de se protéger. Secure 01 accompagne aujourd’hui plus d’une centaine de clients actifs au Canada, aux États-Unis et en Europe. La cybersécurité, un domaine de spécialisation à part entière L’un des fils conducteurs de l’échange est la transformation profonde du secteur des technologies de l’information. Dans les années 2000, « faire du TI » signifiait tout à la fois : réparer des ordinateurs, installer des imprimantes, maintenir des serveurs, développer des sites web. Aujourd’hui, ces disciplines se sont fragmentées, tout comme le multimédia s’est autrefois détaché du reste de l’informatique. La cybersécurité suit exactement cette trajectoire. Les cadres de contrôle internationaux sont unanimes : les personnes qui gèrent les opérations TI au quotidien ne devraient pas être celles qui supervisent leur propre sécurité. La raison est simple et profondément humaine — on manque d’objectivité lorsqu’on évalue son propre travail. Frédérik Bernard fait le parallèle avec le monde du développement logiciel, où le contrôle qualité est depuis longtemps confié à des équipes distinctes de celles qui produisent le code. L’analogie médicale qu’il propose est particulièrement parlante : demander à un médecin généraliste d’opérer un cerveau n’a aucun sens, aussi compétent et bien intentionné soit-il. La cybersécurité, c’est la neurochirurgie des systèmes d’information. L’état du marché : moins d’attaques, mais plus dévastatrices Les rapports de référence du secteur — CDW, Verizon DBIR et autres — convergent vers un constat préoccupant : si le nombre d’attaques a légèrement diminué ces dernières années, leur portée et leur criticité ont explosé. Les attaquants passent de plus en plus de temps sur les réseaux compromis avant d’être détectés — parfois 20, 30 ou 40 jours —, le temps d’exfiltrer des centaines de gigaoctets de données sensibles. Ce constat est aggravé par une réalité de terrain que Frédérik Bernard rencontre régulièrement lors de réponses aux incidents : des équipes TI incapables de répondre à des questions élémentaires. À quoi sert tel serveur ? Quelles données y sont hébergées ? Quel est l’inventaire des machines actives sur le réseau ? Ces lacunes ne sont pas le résultat d’une mauvaise volonté, mais d’une surcharge chronique et d’un manque de spécialisation. Les équipes TI sont débordées, en retard de plusieurs semaines sur leurs projets, et la vague numérique post-COVID — télétravail, infonuagique, industrie 4.0 — n’a fait qu’amplifier cette pression. L’intelligence artificielle : accélérateur, pas substitut L’essor de l’IA dans le secteur est également abordé. Si les outils dopés à l’IA permettent effectivement de gagner du temps sur des tâches précises — comme l’analyse de journaux d’événements qui passait de 45 minutes à 2 minutes —, ils ne transforment pas pour autant un généraliste en expert de la cybersécurité. Entraîner un modèle à reconnaître des signaux d’alerte pertinents, le connecter à l’ensemble des sources de données d’un environnement, exige un investissement considérable en temps et en expertise. L’IA est un outil d’optimisation, pas une lampe magique. Les enjeux réglementaires et juridiques, un terrain miné La cybersécurité ne se joue pas seulement sur le plan technique. Frédérik Bernard soulève un point méconnu mais capital : au Québec, mener une réponse aux incidents — collecter des preuves, établir le récit d’une attaque — constitue légalement une activité d’investigation encadrée par la loi sur la sécurité privée. Seules les agences de sécurité privée disposant d’enquêteurs accrédités sont habilitées à exercer ces activités. De nombreux prestataires TI l’ignorent et s’y aventurent sans le savoir, s’exposant à des risques juridiques sérieux. Il cite un cas concret : un fournisseur TI ayant effacé toutes les preuves en débranchant physiquement les équipements lors d’une attaque par rançongiciel, puis rédigé un rapport désignant un tiers comme responsable, sans la moindre preuve. Le dossier s’est judiciarisé. Ce type de situation illustre à quel point l’absence de cadre professionnel peut nuire aux clients comme à l’ensemble de l’industrie. Vers une association professionnelle et un ordre professionnel C’est précisément pour répondre à ces dérives que l’association ITSec a été relancée avec une ambition politique claire : créer les conditions nécessaires à l’établissement d’un ordre professionnel en TI et en cybersécurité au Québec. L’objectif n’est pas de bureaucratiser le secteur, mais de lui donner les outils pour se défendre collectivement — un code de déontologie, des lignes directrices partagées, une voix crédible auprès des décideurs politiques et des médias. Le « beau frère » — cette figure du pseudo-expert qui branche une caméra sans fil et se proclame directeur TI — ne disparaîtra que lorsque l’industrie aura la capacité institutionnelle de dire « non » et de faire valoir ce qu’elle représente réellement : le Québec numérique, tenu à bout de bras, en coulisses, par des professionnels dont le travail reste largement invisible. Frédérik Bernard interviendra à deux reprises lors de la conférence ITSec. Le public est invité à assister à ses présentations pour approfondir ces sujets. Notes 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 [ITSec - Frédérik Bernard] (https://it-sec.ca/schedule-speaker/frederik-bernard/) Collaborateurs Nicolas-Loïc Fortin Frédérik Bernard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    35 min

  6. 5D AGO

    Teknik - EvilTokens

    Parce que… c’est l’épisode 0x742! Préambule Ma connexion Internet de l’hôtel où j’étais avait une latence insoutenable. J’ai tenté de retirer le awkward des pauses entre les interactions, mais ce n’est pas parfait. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode, l’animateur s’entretient avec Quentin Bourgue, chercheur en cybersécurité, au sujet d’un rapport récemment publié sur EvilTokens, un nouveau kit de phishing as a service (PhaaS) qui marque un tournant significatif dans le paysage des cybermenaces. Le sujet est présenté d’emblée comme particulièrement préoccupant, l’animateur confiant avoir eu « froid dans le dos » à la lecture des conclusions de l’analyse. Qu’est-ce qu’EvilTokens ? EvilTokens est un service de phishing découvert début mars 2026 lors d’une veille menée sur un canal Telegram spécialisé dans la fraude et le phishing. L’opérateur a développé un kit clé en main qu’il loue à des affiliés selon un modèle de souscription mensuelle — un modèle dit phishing as a service. Ce qui distingue immédiatement ce kit de ses concurrents, c’est sa technique d’attaque : le phishing par device code, plutôt que le phishing par adversary-in-the-middle (AiTM) qui prédomine dans la majorité des plateformes PhaaS existantes. Le phishing par device code : une technique jusque-là réservée aux élites Le phishing par AiTM consiste à s’intercaler entre la victime et le service d’authentification pour récupérer un cookie de session. Le phishing par device code fonctionne différemment : l’attaquant initie lui-même une demande d’autorisation pour un appareil virtuel — une méthode normalement conçue pour les smart TV ou les objets connectés — puis demande à la victime de compléter cette autorisation. Toutes les étapes s’effectuent sur les domaines légitimes de Microsoft, ce qui rend la détection bien plus difficile. À l’issue du processus, l’attaquant ne récupère pas un simple cookie de session, mais deux jetons Microsoft : Un access token, valable 60 à 90 minutes, donnant accès à des services comme Outlook, SharePoint, OneDrive, Microsoft Teams ou l’API Microsoft Graph. Un primary refresh token, permettant de maintenir un accès persistant pendant 90 jours. Avant EvilTokens, cette technique était réservée à des acteurs sophistiqués : groupes étatiques ou cybercriminels avancés. Le fait qu’elle soit désormais packagée dans un service accessible à des attaquants peu qualifiés représente un saut qualitatif majeur dans la menace. Un modèle économique structuré et professionnel Le kit est distribué entièrement via Telegram. L’opérateur a mis en place un bot pour automatiser les souscriptions, des canaux pour promouvoir les nouvelles fonctionnalités, et un système de support client. Le paiement s’effectue en cryptomonnaies via un service nommé Payment Now. La tarification est significativement plus élevée que les offres concurrentes : 1 500 dollars pour accéder au panneau d’administration, 500 dollars par mois pour les pages de phishing opérationnelles, soit 2 000 dollars le premier mois. Ce prix s’explique par les fonctionnalités avancées de post-compromission, notamment l’automatisation augmentée par l’intelligence artificielle — qui constitue sans doute l’innovation la plus redoutable du kit. La post-compromission automatisée par l’IA : le vrai saut technologique Une fois les jetons en main, l’attaquant peut déclencher une phase de reconnaissance automatisée via des requêtes à l’API Microsoft Graph. En quelques clics, il récupère : les emails de la victime, ses contacts, son calendrier, ses dossiers, et même sa position hiérarchique dans l’organisation (manager, subordonnés). Toutes ces données sont ensuite consolidées sur l’infrastructure d’EvilTokens, puis analysées par deux modèles d’intelligence artificielle via un service nommé Groq (avec un Q, distinct du Grok d’Elon Musk) : Groq Llama 3.8B analyse les emails par lots de 250 pour identifier les activités financières. Groq Llama 3.3 70B consolide les analyses, génère un score de fraude potentielle, et rédige automatiquement trois emails de compromission (BEC) prêts à l’envoi, injectés dans des fils de conversation existants pour maximiser leur crédibilité. Une fonction de traduction via l’API d’OpenAI permet également de traiter les boîtes mail dans d’autres langues que l’anglais. Ce qui prenait auparavant plusieurs heures, voire plusieurs jours de reconnaissance manuelle se fait désormais en quelques minutes, avec un niveau de contextualisation bien supérieur à ce qu’un attaquant humain pouvait atteindre seul. Un code probablement généré par IA L’analyse du code JavaScript d’EvilTokens a conduit Quentin Bourgue à estimer qu’il a été vibe-codé, c’est-à-dire généré en grande partie par un outil d’IA générative. Plusieurs indices le suggèrent : tout le code tient dans un seul fichier, les commentaires sont très soignés et sans fautes, des emojis apparaissent dans le code, et certaines fonctions semblent mortes ou non fonctionnelles — caractéristiques fréquentes des sorties LLM. Conséquences et mesures de remédiation EvilTokens préfigure une évolution rapide de l’ensemble de l’écosystème PhaaS. Déjà, des concurrents comme Kratos et Tycoon ont commencé à intégrer le phishing par device code. Il est probable que les fonctionnalités d’automatisation par IA se répandent dans la majorité des plateformes concurrentes dans les mois à venir. Pour les entreprises, les recommandations sont les suivantes : Bloquer l’autorisation par device code dans les politiques d’accès conditionnel, ou en restreindre l’usage à un sous-ensemble précis d’utilisateurs si des cas métier légitimes l’exigent (salles de réunion connectées, IoT). Sensibiliser les employés à risque — particulièrement ceux liés aux activités financières — à ce type de phishing et aux tentatives de fraude par compromission de messagerie professionnelle (BEC). Conclusion EvilTokens représente une convergence inédite entre phishing avancé, automatisation et intelligence artificielle, mise à la portée d’attaquants peu expérimentés. La vitesse et la précision des attaques que ce kit permet rendent la détection et la réponse aux incidents encore plus critiques pour les organisations. Une menace à surveiller de très près. Notes New widespread EvilTokens kit: device code phishing as-a-service – Part 1 EvilTokens: an AI-augmented Phishing-as-a-Service for automating BEC fraud – Part 2 Collaborateurs Nicolas-Loïc Fortin Quentin Bourgue Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    31 min

  7. 6D AGO

    H'umain - Pourquoi LinkedIn me fait sentir aussi mal?

    Parce que… c’est l’épisode 0x741! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un retour inattendu sur une plateforme paradoxale Cet épisode du podcast Sécure réunit deux anciens connaissances, Gabrielle Thibault-Delorme et son interlocuteur, qui se sont retrouvés par hasard grâce à un article publié sur LinkedIn — ce qui constitue en soi une ironie savoureuse étant donné le sujet de leur conversation. Avant même d’appuyer sur « enregistrer », ils ont jasé pendant plus d’une heure dans un café, rappelant au passage qu’une rencontre dans le vrai monde reste, malgré tout, la forme de connexion la plus naturelle et la plus riche. LinkedIn : une plateforme de performance déguisée en réseau professionnel Gabrielle a récemment vécu un changement de carrière majeur : après quinze ans dans les médias, le journalisme et le marketing, elle a choisi de devenir massothérapeute. C’est dans ce contexte de transition professionnelle qu’elle s’est retrouvée aspirée, presque malgré elle, dans le fil d’actualité de LinkedIn. L’expérience a été psychologiquement éprouvante : au moment précis où elle se trouvait dans un « no man’s land » entre deux carrières, elle était bombardée de publications célébrant des promotions, des équipes « en feu » et des lancements de marque triomphants. Ce contraste a mis en lumière un des malaises fondamentaux de la plateforme. LinkedIn n’est pas un réseau de connexion authentique : c’est un espace de performance de soi. Chaque publication devient une mise en scène, un acte de marketing personnel. Le vocabulaire y est codifié — on est toujours « dynamique », toujours « résilient », toujours en croissance. Même les récits d’échec y sont systématiquement assortis d’un spin positif, d’une leçon tirée, d’un rebond annoncé. L’échec pur et simple, sans morale édifiante, n’a pas sa place. Or, comme le souligne Gabrielle, des fois une mauvaise nouvelle, c’est juste une mauvaise nouvelle — et la forcer dans un cadre de croissance personnelle ne fait qu’amplifier le sentiment d’isolement de ceux qui traversent des moments difficiles. La fausse positivité et ses effets pervers La conversation aborde deux phénomènes particulièrement irritants sur LinkedIn : le compliment biaisé et la fausse humilité. Dans les deux cas, il s’agit de formes de communication dissonantes où le message réel est enveloppé dans un vernis de bienveillance qui sonne creux. L’échec n’y sert que de tremplin narratif pour mieux vendre sa réussite. Cette positivité performative, amplifiée depuis l’arrivée de ChatGPT et la multiplication des emojis automatisés, vide progressivement les échanges de leur substance humaine. Ce contexte est d’autant plus problématique que LinkedIn est souvent consulté à des moments de vulnérabilité — lors d’une recherche d’emploi, d’un burnout, d’une réorientation professionnelle. C’est précisément quand on est le moins bien dans sa peau qu’on se retrouve confronté à un flux ininterrompu de succès affichés. Le poids psychologique de cet écart entre la réalité vécue et l’image projetée par les autres est réel et sous-estimé. Un réseau qui tient rarement ses promesses Sur le plan concret, LinkedIn déçoit également. La plateforme promet du réseautage et des opportunités d’emploi, mais les deux interlocuteurs s’accordent à dire que le retour sur investissement est maigre. Les notifications de visites de profil créent une illusion d’attention qui ne se traduit presque jamais en contact réel. Pire encore, savoir que cinquante personnes ont consulté son profil sans laisser de message peut tout aussi bien être vécu comme cinquante rejets silencieux. Pour trouver du travail, les sites d’emploi traditionnels et le réseau réel restent bien plus efficaces. La bonne vieille lettre de motivation — et un profil Facebook sans photo embarrassante — l’emporte souvent sur un profil LinkedIn soigné. La reconnexion entre Gabrielle et son interlocuteur, facilitée par LinkedIn, est ouvertement décrite comme une heureuse exception, pas comme la norme. Reddit : l’anonymat comme espace d’humanité En contraste frappant avec LinkedIn, la discussion se tourne vers Reddit, que Gabrielle fréquente assidûment. Structuré autour de communautés thématiques, basé sur l’écriture et l’anonymat, Reddit offre un espace où les gens parlent de vrais problèmes — maladies, séparations, deuils — sans avoir à les habiller d’un spin positif. L’anonymat, loin d’être un vecteur systématique de toxicité, devient ici un outil de liberté et d’authenticité. Les gens y confient des choses qu’ils ne diraient jamais à visage ouvert, précisément parce qu’ils n’ont pas d’image professionnelle à protéger. La plateforme n’est pas sans défauts — les chambres d’écho, les communautés toxiques et les mouvements extrémistes y ont aussi trouvé terreau fertile — mais son modèle de modération par communauté et son filtrage par pertinence plutôt que par polémique en font un espace plus propice à la vraie connexion. Le vrai monde comme horizon La conclusion naturelle de cet échange revient à ce qui a rendu la conversation elle-même possible et agréable : deux personnes dans un café, avec du non-verbal, de la chaleur humaine, et l’impossibilité d’ouvrir quatre onglets en parallèle. Les réseaux sociaux, dans leur forme actuelle, sont devenus des bazars numériques où tout coexiste pêle-mêle — tribunes, portfolios, confessions, haine, validation — sans jamais vraiment remplir leur promesse originelle de créer du lien. Ce lien, rappellent-ils tous les deux, se construit encore dans le vrai monde, en se montrant dans son humanité imparfaite, sans masque ni mise en scène. Notes Pourquoi LinkedIn me fait sentir aussi mal? Collaborateurs Nicolas-Loïc Fortin Gabrielle Thibault-Delorme Crédits Montage par Intrasecure inc Locaux réels par Cafés Europa

    45 min

  8. APR 8

    Spécial - Gestion de crise

    Parce que… c’est l’épisode 0x740! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Enquête vs gestion de crise : deux mondes opposés Dans cet épisode, Nicolas reçoit Christophe pour approfondir un sujet évoqué lors d’une conversation précédente sur les enquêtes en cybersécurité : la gestion de crise. Si l’enquête s’inscrit dans un cadre ordonné — parfois judiciaire — où l’on dispose du temps, des outils et de la rigueur nécessaires pour reconstituer les faits, la gestion de crise, elle, est son exact opposé. Écrans qui clignotent, téléphones qui sonnent dans tous les sens, experts épuisés, informations incomplètes et décisions à prendre dans l’urgence : voilà le quotidien du gestionnaire de crise. Christophe résume bien cette dualité en parlant du brouillard de la guerre (fog of war) : on avance dans l’incertitude, on ajuste ses hypothèses au fur et à mesure que la réalité se révèle, sans jamais avoir toutes les cartes en main. La complexité humaine au cœur de la crise L’un des points les plus saillants de l’épisode est que la gestion de crise dépasse largement le seul volet technique. Elle constitue avant tout un test de maturité collective, qui mobilise des équipes venues de tous horizons : juridique, communication, ressources humaines, logistique. Or ces acteurs n’ont pas nécessairement de culture cyber, ce qui crée des frictions importantes. Un terme mal compris, une information mal transmise — et c’est déjà plusieurs heures de perdues à des clarifications qui auraient pu être évitées grâce à une sensibilisation préalable. Christophe souligne également le biais de transmission : dans un contexte de stress intense, un message se dégrade à chaque relais humain. Une information déjà incertaine à la source devient encore moins fiable après plusieurs mains. C’est pourquoi le rôle du gestionnaire de crise est d’agir comme un filtre, en s’assurant que seules les informations vérifiées et pertinentes circulent, tant en interne qu’en externe. La communication de crise, une discipline à part entière Les deux interlocuteurs insistent sur le fait que la communication de crise ne s’improvise pas, et ne ressemble en rien à la communication marketing habituelle. Vouloir « lisser » un message ou rassurer trop tôt peut s’avérer catastrophique — notamment face aux réseaux sociaux, qui amplifient immédiatement toute contradiction entre le discours officiel et la réalité sur le terrain. Pire encore : communiquer prématurément sur les actions de remédiation en cours, c’est potentiellement informer les attaquants — qui peuvent très bien observer les communications publiques — de ce que l’organisation est en train de faire. Dans certains cas, il peut même être stratégique d’orienter délibérément les communications pour leurrer des attaquants encore présents dans le système. Cette dimension tactique de la communication exige des spécialistes formés à la crise, pas de simples communicants. Le rôle du gestionnaire de crise : chef d’orchestre, pas omniscient Christophe décrit le gestionnaire de crise comme un chef d’orchestre : il ne joue pas de tous les instruments lui-même, mais il sait qui doit intervenir, à quel moment, et pour combien de temps. Son rôle n’est pas de détenir la vérité, mais de poser les bonnes questions — qu’est-ce qui fonctionne encore ? Que s’est-il passé hier ? Quel est l’état des équipes ? — afin que les experts puissent lever progressivement le brouillard. Une erreur classique en début de crise est de vouloir annoncer une conclusion trop tôt. Présenter une hypothèse comme une certitude fige la réflexion collective et ralentit la résolution, car il devient très difficile de revenir en arrière sur ce qui est perçu comme une « vérité ». Les premières heures doivent servir à collecter des informations, pas à trancher. Il faut aussi savoir gérer la hiérarchie : certains managers, habitués à piloter leurs équipes au quotidien, peuvent parasiter la gestion de crise. Le gestionnaire doit parfois avoir le courage de les écarter temporairement pour laisser les experts s’exprimer sans pression. Préparer la crise avant qu’elle n’arrive Un autre fil conducteur de l’épisode est l’importance de la préparation en amont. Avoir une cartographie du système d’information à jour, des annuaires de contacts valides, des templates de communication prêts, des prestataires externes identifiés, des salles de crise définies avec des moyens de communication de secours : tout cela peut faire gagner des heures précieuses le jour J. À l’inverse, une documentation obsolète contraint les équipes — internes comme externes — à perdre un temps irrémédiable à reconstituer l’existant, comme on tenterait de soigner un inconnu sans connaître ses antécédents médicaux. Crise vs urgence : ne pas confondre les deux Christophe propose une distinction utile entre urgence et crise. L’urgence, c’est une situation difficile mais connue, documentée, pour laquelle on s’est entraîné : on sait quoi faire, il faut juste le faire vite. La crise, en revanche, est par définition imprévisible, non documentée, inédite. L’objectif n’est pas de résoudre la crise d’un coup, mais de la faire redescendre au niveau de l’urgence — un état maîtrisable, moins épuisant pour les équipes. Conclusion : aller jusqu’au bout du traitement L’épisode se clôt sur une métaphore médicale : tout comme un patient qui interrompt son traitement trop tôt parce qu’il se sent mieux risque une rechute, une organisation qui déclare la crise terminée avant d’avoir complètement éradiqué la menace s’expose à une reprise. La vigilance doit se maintenir bien après le retour apparent à la normale — et c’est là toute la subtilité d’une bonne gestion de crise. Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    34 min
See All (746)

Ratings & Reviews

4.6
out of 5
7 Ratings

About

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Information

  • Creator
    Nicolas-Loïc Fortin et tous les collaborateurs
  • Years Active
    2021 - 2026
  • Episodes
    746
  • Rating
    Clean
  • Copyright
    © CC BY-NC-ND 4.0
  • Show Website
    PolySécure Podcast

You Might Also Like