PolySécure Podcast volet pour les professionels

Nicolas-Loïc Fortin et tous les collaborateurs
  • 0.0 (0)
  • TECHNOLOGY

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. FEB 10

    Spécial - Enquêtes en cybersécurité - Méthodes et enjeux

    Parce que… c’est l’épisode 0x706! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Dans cet épisode spécial du podcast, Nicolas reçoit Christophe d’Arlhac pour explorer le monde complexe des enquêtes en cybersécurité. La discussion révèle que l’investigation cyber est avant tout une affaire de méthodologie et non simplement de technologie, avec des parallèles frappants avec les enquêtes dans le monde physique. Un malentendu fondamental Christophe souligne d’emblée un malentendu courant : beaucoup pensent que l’investigation cyber est uniquement réservée à des spécialistes ultra-techniques. En réalité, la cyber-investigation s’inscrit dans une tradition très ancienne d’enquête. Comme dans un accident industriel ou une enquête judiciaire, on n’efface pas les traces avant d’avoir observé et compris. Pourtant, en cybersécurité, les ingénieurs ont longtemps fait l’inverse, privilégiant la remise en production rapide au détriment de la compréhension de l’incident. L’opposition entre deux métiers complémentaires L’un des points centraux du podcast est la différence fondamentale entre le rôle de l’enquêteur et celui de l’ingénieur. L’ingénieur est formé pour faire fonctionner, créer et maintenir des systèmes. Son objectif est de rétablir le service rapidement et de sécuriser les infrastructures. L’enquêteur, lui, adopte une approche diamétralement opposée : il demande d’arrêter, d’observer et de comprendre avant d’agir. Il se pose des questions sur le contexte, la veille dans le secteur, les changements récents dans l’organisation, les nouveaux arrivants ou les nouvelles technologies déployées. Cette opposition crée naturellement des tensions lors de la gestion d’incidents. L’ingénieur veut rebrancher immédiatement le système compromis, tandis que l’enquêteur insiste pour préserver les preuves et observer l’attaquant. Comme le souligne Nicolas, il existe une tension particulière en cyber : la nécessité parfois d’observer l’attaquant dans son “état naturel” pour comprendre ses motivations et ses méthodes, une approche contre-intuitive pour les équipes techniques. La règle d’or : ne jamais effacer les preuves Les deux experts partagent une conviction forte : il ne faut jamais écouter quelqu’un qui dit d’effacer les preuves rapidement sous prétexte qu’il n’y aura pas d’enquête. L’expérience montre qu’il y a toujours quelqu’un – une autorité, un client, un partenaire – qui finira par poser des questions, parfois des années plus tard. Les contre-enquêtes peuvent survenir des décennies après les faits, et sans preuves conservées, toute investigation devient impossible. Le réflexe classique lors d’un incident – redémarrer, réinitialiser, restaurer des sauvegardes – est une catastrophe du point de vue de l’enquête. Cette approche efface la chronologie, détruit les journaux et les connexions, rendant impossible la compréhension du “comment” et du “par où” de l’attaque. L’ordre méthodologique universel Christophe insiste sur un principe fondamental : bien gérer un incident, ce n’est pas aller vite, c’est agir au bon moment. L’ordre méthodologique est universel : observer, comprendre, décider, puis agir. Inverser cet ordre pose systématiquement des problèmes. Cette approche peut se faire rapidement, mais elle doit respecter cette séquence logique. Dans l’idéal, l’ingénieur sécurise les périmètres pour éviter que la situation ne s’aggrave, pendant que l’enquêteur fige les preuves et observe. L’utilisation de “pots de miel” pour isoler et observer l’attaquant est mentionnée comme une technique avancée, bien que peu d’organisations aient la capacité de la mettre en œuvre. Les répercussions multidimensionnelles Une enquête cyber mal conduite n’est pas seulement un problème informatique. C’est aussi un problème juridique, d’assurance, de gouvernance, de crédibilité et d’image. Sans preuves conservées, impossible d’expliquer aux autorités, aux assureurs ou aux partenaires ce qui s’est passé. Ces réunions post-incident se passent rarement bien quand les preuves ont été effacées. La préparation : clé du succès La préparation d’une organisation à l’investigation cyber doit commencer bien avant l’incident. Cela implique plusieurs dimensions : Le choix des outils et des procédures : Les enquêteurs doivent être consultés dès la sélection des outils de sécurité, car ces outils fourniront les éléments d’investigation. Leurs besoins peuvent différer de ceux des ingénieurs. La veille juridique : Chaque pays et chaque secteur ont des réglementations différentes concernant la conservation des données, les délais, et les types d’informations à préserver. Les infrastructures critiques ont des obligations particulières. La conservation des preuves numériques : Le fameux “hash” ou empreinte numérique permet de garantir l’intégrité des preuves et de s’assurer qu’elles n’ont pas été modifiées. Cette capture doit être faite avant toute autre opération. La documentation exhaustive : Le degré de documentation requis en enquête est beaucoup plus élevé qu’en opération. Il faut documenter les versions des logiciels utilisés, la méthodologie employée, chaque étape de l’investigation. Cette rigueur est essentielle pour que les contre-expertises, parfois des années plus tard, puissent être menées correctement. L’entraînement : le parent pauvre Un constat frappant émerge de la discussion : en cyber, contrairement aux corps organisés (police, pompiers, militaires), on répond constamment aux incidents mais on s’entraîne peu. Les corps d’intervention traditionnels passent 95% de leur temps à s’entraîner et sont rarement sollicités. En cyber, c’est l’inverse. Ce manque d’entraînement crée un désavantage majeur lors de la survenue d’un incident réel. L’entraînement régulier à travers des exercices de crise est essentiel, non seulement pour les équipes techniques mais aussi pour les dirigeants. Ceux-ci doivent comprendre pourquoi les informations ne sont pas disponibles immédiatement et apprendre à gérer leur impatience naturelle. La nécessité d’un travail d’équipe L’investigation cyber exige de créer des binômes qui apprennent à travailler ensemble, où chacun comprend le langage de l’autre. Christophe compare cela à un orchestre où chaque musicien a sa partition. L’enquêteur et l’ingénieur doivent jouer en concert, avec la coordination d’un chef d’orchestre (le management). Quand on ajoute les avocats, les équipes de communication et les managers, la complexité augmente encore. Aligner tout le monde et s’assurer qu’on avance dans la bonne direction devient un défi majeur. La cybersécurité n’est plus l’affaire de spécialistes isolés mais concerne désormais toute l’organisation, des dirigeants aux citoyens. Conclusion : un changement de paradigme Comme le conclut Christophe, la cybersécurité change de nature. Après des années centrées sur la technologie, l’heure est venue de se concentrer sur la méthode, la culture et la capacité à prendre de bonnes décisions. L’investigation aura un rôle central à jouer dans cette transformation, à condition que les organisations investissent dans la préparation, l’entraînement et la collaboration entre les différents métiers impliqués. Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    42 min

  2. FEB 4

    Spécial - L'IA appliquée au travail, pour vrai ;-)

    Parce que… c’est l’épisode 0x704! Shameless plug – 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : Entre enthousiasme et vigilance Dans cet épisode, les animateurs explorent l’utilisation concrète de l’intelligence artificielle dans leurs environnements professionnels respectifs. Enregistré dans un contexte festif entre Noël et le jour de l’An, ce podcast vise à démystifier l’IA en partageant des expériences réelles, sanctionnées par leurs employeurs, plutôt que de perpétuer des mythes ou des craintes infondées. L’IA comme outil, pas comme substitut L’analogie centrale du podcast compare l’IA à une caméra de recul automobile : un outil utile qui améliore nos capacités, mais qui peut nous rendre « niaiseux » si on s’y fie aveuglément. Vincent insiste sur l’importance de tester l’outil, comme on teste une voiture en hiver dans un stationnement pour comprendre ses réactions et ses limites. Cette approche expérimentale est essentielle pour développer un usage responsable. Depuis le lancement de ChatGPT en novembre 2022, l’écosystème a considérablement évolué avec l’émergence de concurrents comme Claude, Copilot, Gemini et Mistral. Les deux animateurs utilisent principalement Copilot et Gemini dans des environnements contrôlés par leurs employeurs, avec des autorisations spécifiques pour certains types de données – un point crucial pour la sécurité. La méthodologie gagnante : partir d’un draft solide L’approche recommandée par les deux experts est claire : ne jamais partir de zéro. Vincent décrit son processus de travail pour la production de rapports, d’analyses de risque ou d’avis : il rédige toujours un premier draft lui-même avant de le soumettre à Copilot. Il définit ensuite des critères précis : l’audience (exécutive ou opérationnelle), l’objectif de la présentation, et le format souhaité. Cette méthode respecte la règle du 80/20 : on maîtrise 100 % du sujet, ce qui permet de détecter facilement les 20 % d’ajustements nécessaires dans le résultat proposé par l’IA. Vincent souligne que sa force réside dans les idées et le message, tandis que l’IA l’aide sur la présentation et la structure – un domaine qu’il reconnaît comme moins naturel pour lui. Nicolas partage cette philosophie : l’IA lui permet de gagner du temps en structurant ses idées plus efficacement, économisant les deuxième et troisième réécritures qu’il effectuait auparavant. Un rapport qui prenait une semaine peut maintenant être complété en 2,5 à 3 jours, mais cela représente toujours un travail humain substantiel. L’IA n’est pas votre ami : une relation professionnelle Un point crucial soulevé par Nicolas : il ne converse pas avec l’IA, il lui donne des directives. Cette approche professionnelle évite le piège de vouloir « plaire » à l’agent conversationnel. Vincent reconnaît ce risque : l’IA peut effectivement chercher à faire plaisir à l’utilisateur, reproduisant parfois exactement ce qu’on lui a soumis avec des changements cosmétiques. La métaphore employée évolue de « wingman » à « copilote », voire à « un enfant de 5 ans qui écrit bien » selon Nicolas. Cette désacralisation est importante : l’IA est un outil, pas un collègue, pas un ami, et certainement pas un expert autonome. Les pièges à éviter : hallucinations et références fictives Les animateurs mettent en garde contre plusieurs dangers majeurs : Les hallucinations : L’IA peut inventer des informations, notamment des références juridiques inexistantes. Plusieurs cas d’avocats américains ont fait les manchettes pour avoir cité des jurisprudences fictives. Au Québec et au Canada, où les données sont plus périphériques dans l’entraînement des modèles, ce risque est encore plus élevé. Les références erronées : L’IA propose souvent des sources qu’il faut impérativement vérifier. Vincent raconte avoir reçu des références provenant d’autres pays (Luxembourg, Japon, Chine) totalement inadéquates pour le contexte québécois et canadien. Les lois et règlements variant d’un pays à l’autre, une validation systématique est essentielle. Les biais discriminatoires : Vincent rappelle le cas d’Amazon en 2017-2018, où un système d’IA de tri de CV excluait systématiquement les femmes. Ces biais, parfois subtils, peuvent s’infiltrer dans les textes générés et nécessitent une vigilance constante, d’autant plus que l’AMF (Autorité des marchés financiers) s’intéresse de près à ces questions. Cas d’usage concret : l’importance du contexte Vincent partage un exemple éloquent : pour produire un avis de risque dans un délai serré, il a fourni à l’IA des documents de référence spécifiques (code Maestro, COBIT 4.1) ainsi que le contexte précis, les critères et les limitations. Le résultat : un document à 99 % probant, très cadré, qui lui a permis de présenter rapidement des recommandations claires à son vice-président. Cette approche illustre le concept de RAG (Retrieval-Augmented Generation) : en fournissant une base de connaissance spécifique, on obtient des résultats beaucoup plus précis et pertinents. L’IA n’est pas un moteur de recherche, mais un générateur de texte qui performe mieux quand on lui donne le contexte adéquat. Votre réputation en jeu Un message fort traverse tout le podcast : c’est votre nom qui apparaît sur le document. Si vous déposez un travail médiocre généré par l’IA sans vérification, c’est votre réputation professionnelle qui en souffrira, pas celle de la machine. Les conséquences peuvent être sévères : perte de confiance de la part des gestionnaires, sanctions professionnelles, voire amendes dans le cas d’avocats. La relation de confiance avec son supérieur est fragile, particulièrement en début de carrière. Un gestionnaire qui reçoit un document s’attend à ce que son auteur en maîtrise le contenu à 100 %. L’incapacité à répondre aux questions lors de la « question du journaliste » – ce moment où un décideur challenge votre travail – peut détruire cette confiance de manière durable. Conclusion : maîtrise et vigilance L’analogie de l’automobile revient en conclusion : l’IA est un outil puissant et utile, mais qui nécessite une maîtrise adéquate avant utilisation, comme un permis de conduire. Elle peut générer des gains de productivité de 10 % ou plus, mais ne remplacera pas l’humain, du moins pas dans un avenir immédiat. Les animateurs insistent : vous restez imputable de vos décisions et de votre travail. L’IA est un allié dans votre stratégie et votre tactique, mais vous êtes le décideur final. Utilisez-la comme un accélérateur, un rehausseur de qualité, mais jamais comme un substitut à votre expertise et votre jugement professionnel. Collaborateurs Nicolas-Loïc Fortin Vincent Groleau Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    54 min

  3. JAN 28

    SéQCure - Les initiatives du gouvernement du Québec en cybersécurité (Yvan Fournier)

    Parce que… c’est l’épisode 0x701! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Les initiatives du gouvernement du Québec en cybersécurité Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité. Un parcours technique impressionnant Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique. Les 15 mesures obligatoires : une base solide En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics. Une surveillance centralisée 24/7/365 L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence. Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur. Le regroupement RHI : une révolution organisationnelle Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble. L’automatisation et la réactivité L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses. Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de 900 serveurs SharePoint. Reconnaissance internationale et création de CVE Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l’excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l’aide de pentesteurs virtuels basés sur l’IA. Le balayage de vulnérabilités : externe et interne Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d’attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l’identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS. Cet inventaire facilitera grandement la gestion des risques : lorsqu’une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d’alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels. Le défi des objets connectés Fournier identifie les objets connectés (IoT) comme un défi majeur pour l’avenir. Ces dispositifs, de plus en plus présents dans l’environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L’exemple du thermomètre d’aquarium ayant servi de point d’entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l’appareil gouvernemental représente le “Saint Graal” de la cybersécurité. Le projet de loi 82 et les infrastructures critiques Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l’eau, l’électricité, et d’autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l’eau. Conclusion Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l’automatisation des réponses, la surveillance continue, et l’adoption de technologies basées sur l’IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l’ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois. Collaborateurs Nicolas-Loïc Fortin Yvan Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    35 min

  4. JAN 14

    Spécial - Lorsque la sensibilisation en cybersécurité devient une série qu'on veut binger

    Parce que… c’est l’épisode 0x695! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Sandra Aubert, fondatrice de FF2R (From Fiction to Reality), révolutionne l’approche de la sensibilisation aux risques majeurs en entreprise. Son concept audacieux : transformer la formation en cybersécurité et autres sujets arides en séries cinématographiques addictives, façon Netflix. Cette innovation marque une rupture totale avec les méthodes traditionnelles de sensibilisation. Une nouvelle approche de la formation Contrairement aux capsules de sensibilisation classiques - souvent stériles et dépourvues d’émotions - Sandra Aubert propose une plateforme de streaming à la demande qui diffuse des séries immersives et fictives. L’objectif : rendre la formation aussi captivante qu’une série que l’on dévore en une soirée. Son projet phare, Plan Blanc, illustre parfaitement cette approche. Commandée par le ministère de la Santé, l’ARS et la Fédération hospitalière de France, cette série en six épisodes de trois minutes plonge le spectateur au cœur d’une cyberattaque majeure dans un CHU. Pour la première fois, on entre dans la cellule de crise et on vit l’effondrement d’un système hospitalier avec des comédiens professionnels. La force du cinéma au service de la pédagogie Ce qui distingue FF2R, c’est l’authenticité cinématographique. Sandra Aubert et son réalisateur signature, Valérian Cadissi, ne font pas de simples vidéos : ils créent du véritable cinéma. Chaque production respecte les codes du septième art : scénario travaillé, acteurs professionnels, tournage dans des lieux réels, colorimétrie soignée, musiques originales composées sur mesure. Les personnages, comme Cassandre et Thomas dans Plan Blanc, sont développés avec une psychologie complète. L’équipe maîtrise l’art du cliffhanger pour créer l’envie de voir l’épisode suivant immédiatement. Le résultat : des séries qui pourraient être diffusées sur n’importe quelle plateforme de streaming grand public. L’alliance de la créativité et de l’expertise technique La réussite de cette approche repose sur un équilibre délicat entre créativité et rigueur technique. Pour Plan Blanc, Sandra Aubert s’est entourée de Steven Garnier, expert en cybersécurité au ministère de la Santé, garantissant ainsi l’exactitude technique du scénario. Cette collaboration permet de créer des contenus crédibles et respectueux de la réalité du terrain. Les professionnels de la cybersécurité qui découvrent Plan Blanc témoignent : “C’est vraiment comme ça que ça se passe”. La série aborde tous les sujets - phishing, piggy backing, social engineering - sans tomber ni dans l’anxiogène ni dans le ridicule. Une méthodologie adaptée à l’ère moderne Sandra Aubert a compris les réalités de notre époque : la bande passante d’attention est faible, le temps est précieux, et personne ne veut subir une formation. Sa solution : proposer des épisodes courts (3-4 minutes) que l’on peut regarder quand on le souhaite, dans son canapé, potentiellement en famille. Cette approche crée une nouvelle méthodologie : on ne se forme plus, on “binge-learn”. Le format court et addictif, inspiré des neurosciences, maximise la rétention d’information en générant des émotions fortes. Comme dans une histoire d’amour, on n’oublie jamais ce qu’on a ressenti. Des résultats impressionnants Les chiffres parlent d’eux-mêmes : la plateforme affiche un taux de rétention de 86%, et les utilisateurs reviennent en moyenne entre 4 et 7 fois regarder la même série. Au-delà de la consommation individuelle, les séries servent aussi d’outils de discussion en entreprise. Les managers les utilisent en réunion pour lancer des sujets, créant ainsi des moments de convivialité et de partage plus engageants qu’un PowerPoint traditionnel. Une production artisanale et personnalisée FF2R refuse la facilité du catalogue standardisé. Chaque production est du sur-mesure, adaptée aux besoins spécifiques de l’entreprise cliente. L’équipe va jusqu’à organiser des castings en interne pour intégrer les employés comme acteurs secondaires ou figurants. Voir son collègue jouer dans la série crée un effet de proximité et d’engagement supplémentaire. Cette approche artisanale est rendue possible par une équipe réduite de sept personnes seulement - un exploit dans le monde du cinéma. Cette agilité permet de livrer des projets complets (plateforme et série) en moins de trois mois, tout en maintenant une qualité digne des grandes productions. Un impact qui dépasse le cadre professionnel L’innovation de Sandra Aubert va au-delà de la simple sensibilisation. Elle crée une culture de vigilance en entreprise tout en touchant potentiellement la sphère personnelle. Regarder ces séries en famille permet de sensibiliser aussi les proches aux risques cyber, créant un langage commun et des réflexes de sécurité qui transcendent la frontière travail-vie personnelle. Cette dimension humaine est centrale : les séries montrent que derrière les crises, il y a des hommes et des femmes qui peuvent craquer sous la pression. Elles rappellent que la faille est souvent humaine, mais que cette “parfaite imperfection” est aussi notre force. Vers l’avenir Sandra Aubert ne compte pas s’arrêter là. Elle constitue un comité d’experts en cybersécurité pour enrichir ses futures productions et prépare déjà une suite à Plan Blanc. Son catalogue s’étend aussi à d’autres domaines : financement du terrorisme, déontologie, conformité. Elle envisage même d’ouvrir un bureau à Montréal pour conquérir le marché québécois. Conclusion En transformant la sensibilisation en cybersécurité en expérience cinématographique, Sandra Aubert prouve qu’il est possible de concilier rigueur pédagogique et plaisir de consommation. Son approche rappelle que depuis la nuit des temps, l’humanité transmet ses connaissances à travers les histoires. FF2R réinvente simplement cette tradition ancestrale avec les outils du XXIe siècle, démontrant que la meilleure façon d’apprendre reste celle qui nous fait ressentir des émotions. Notes À venir Collaborateurs Nicolas-Loïc Fortin Sandra Aubert Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1h 2m

  5. 12/25/2025

    Spécial - Create a Company Culture That Takes Cybersecurity Seriously

    Parce que… c’est l’épisode 0x686! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée. Les trois piliers d’une culture de sécurité efficace L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité. 1. Connect : La communication comme fondement La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”. Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment). La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation. 2. Reduce Uncertainty : Clarifier les rôles et responsabilités L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler. Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret. La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude. Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout. 3. Inspire Action : Le leadership authentique Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ? L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate b******t” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion. Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques. Les leçons de l’expérience L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant. Les pièges à éviter Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité : Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où. La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle. L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer. La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur. Conclusion La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés. Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain. Notes À venir Collaborateurs Nicolas-Loïc Fortin Benoit Gagnon Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    53 min

  6. 12/17/2025

    Spécial - Sommes-nous trop dépendant du numérique?

    Parce que… c’est l’épisode 0x681! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Dans cet épisode spécial du podcast Police Secure, Alexandre Fournier aborde la question cruciale de notre dépendance excessive au numérique, analysant les enjeux de résilience tant sur le plan humain que sociétal. À travers des exemples concrets et des mises en situation, les animateurs explorent les conséquences de cette dépendance et proposent des solutions pour développer notre résilience numérique. La mise en situation révélatrice Alexandre commence par une expérience vécue : imaginer devoir prendre un avion après avoir oublié son téléphone aux toilettes, sans possibilité de retour. Cette situation, bien que stressante, met en lumière l’ampleur de notre dépendance. Sur nos téléphones se trouvent désormais notre messagerie, nos moyens de paiement, notre GPS, nos outils d’authentification à deux facteurs, et une grande partie de notre vie numérique. Se retrouver sans cet appareil, c’est se sentir nu, vulnérable, déconnecté de sa propre existence. La question posée aux auditeurs est simple mais profonde : combien de temps pourriez-vous tenir sans votre téléphone avant que cela ne pose de réels problèmes ? Cette interrogation invite chacun à réfléchir sur sa propre dépendance et sur les risques associés. L’évolution post-pandémie Les animateurs soulignent que la situation s’est considérablement aggravée ces dernières années, particulièrement depuis la pandémie. Il y a cinq ans, perdre son téléphone était problématique, mais aujourd’hui, c’est devenu catastrophique. L’authentification à deux facteurs est désormais obligatoire pour de nombreux services, les coffres-forts de mots de passe sont souvent uniquement sur mobile, et certains services nécessitent absolument un téléphone avec SMS. La société moderne présume que chacun possède un téléphone cellulaire en permanence, et à peine 1% de la population refuse encore d’en avoir un. Les multiples facettes de la dépendance Communication et mémoire L’un des aspects les plus frappants est la perte de mémoire des numéros de téléphone. Les animateurs constatent que le seul numéro dont ils se souviennent encore est celui de la maison familiale de leur adolescence, à l’époque des téléphones filaires. Cette atrophie de la mémoire illustre parfaitement comment nous déléguons systématiquement à nos appareils tout ce que nous pouvons : dates, numéros, rendez-vous. Le téléphone intelligent nous rend paradoxalement moins intelligents. Finance et paiements La dépendance s’étend aux transactions financières. Beaucoup utilisent leur téléphone pour payer, consulter leurs comptes bancaires, effectuer des virements. Sans téléphone, impossible de payer si on n’a pas sa carte physique. Alexandre insiste sur l’importance de toujours avoir un minimum de liquide (100 dollars) sur soi, car en cas de panne des systèmes électroniques, l’argent comptant reste le seul moyen d’acheter l’essentiel : eau, nourriture, essence. Orientation et repères géographiques Le GPS a complètement transformé notre rapport à l’espace. Les gens ne connaissent plus leur propre ville et dépendent entièrement de leur téléphone pour se déplacer. Cette perte des repères géographiques représente une vulnérabilité majeure. Les cartes papier sont devenues obsolètes, considérées comme “old school”, alors qu’elles constituent une solution de secours essentielle. Travail et productivité Le télétravail et le cloud (Teams, M365) ont créé une dépendance totale à Internet et à l’électricité. Sans connexion, impossible de travailler. Les plans de reprise d’activité sont rarement adaptés à cette nouvelle réalité où les employés travaillent de chez eux, sans avoir nécessairement prévu les solutions de secours nécessaires. Les conséquences humaines et psychologiques Stress et anxiété La perte du téléphone génère un stress comparable à celui ressenti face à des besoins physiologiques non satisfaits. C’est un sentiment d’inconfort profond, d’impuissance, comme si une partie de soi-même avait disparu. Alexandre partage qu’il peut tenir cinq jours sans téléphone dans un contexte contrôlé et sécurisé, mais seulement une demi-journée dans la vie quotidienne avant de ressentir une anxiété significative. Atrophie cognitive et l’effet ChatGPT Les animateurs abordent l’impact de l’intelligence artificielle, particulièrement ChatGPT, sur nos capacités cognitives. L’IA nous rend “totalement idiots” en étant toujours d’accord avec nous, quelle que soit notre position politique ou nos opinions. Cette absence de contradiction empêche le développement de notre pensée critique et de notre capacité à débattre de manière constructive. Le numérique atrophie progressivement notre cerveau, comme les réseaux sociaux exploitent notre paresse naturelle pour nous maintenir dans une zone de confort intellectuel. Panique sociale et inégalités En cas de panne prolongée (plus de 24 heures), on observe des comportements irrationnels : ruée vers les supermarchés, panique collective. Les plus vulnérables - aînés et personnes isolées - sont les plus touchés. Les jeunes générations, qui passent leur vie sur leurs téléphones, sont également très fragilisées face à une absence d’écran. Les risques systémiques Infrastructures critiques L’exemple de la panne Rogers en 2022 au Canada illustre parfaitement les risques : des millions de personnes se sont retrouvées sans accès au 911, aux paiements, aux télécommunications. Les cyberattaques sur les hôpitaux causent des morts réelles en annulant des rendez-vous et en redirigeant des patients. Une panne d’électricité affecte les feux de circulation, créant des embouteillages qui empêchent les secours d’intervenir efficacement. Dépendance géopolitique Les animateurs soulèvent une question inquiétante : voulons-nous d’une société où une panne d’un fournisseur peut paralyser tout un pays ? Ils évoquent le scénario où un décret américain pourrait obliger Microsoft à couper l’accès à M365 pour tout un pays, paralysant ainsi la majorité des entreprises qui dépendent de cette plateforme. Cette dépendance à des services sur lesquels nous n’avons aucun contrôle représente un risque majeur pour la souveraineté numérique. Solutions et résilience Préparation individuelle Alexandre propose plusieurs actions concrètes : Noter sur papier les numéros de téléphone essentiels (cartes réflexes dans le portefeuille) Garder du cash en réserve (100 dollars minimum) Disposer d’une autonomie électrique minimale (batteries, lampes, radio à manivelle) Avoir des filtres à eau et des moyens de subsistance de base Entraînement à la déconnexion Il est essentiel de s’entraîner régulièrement : Une journée sans électronique par mois Simuler des situations de blackout en famille Établir des points de rencontre physiques en cas de séparation Préparer un kit 72 heures sans numérique Éducation et sensibilisation Les animateurs appellent à intégrer la résilience numérique dans les programmes scolaires dès la maternelle, pour apprendre aux jeunes générations à utiliser correctement l’électronique tout en développant leur capacité à fonctionner sans. Cette éducation devrait s’étendre à l’antifragilité en général, pour former des citoyens capables de faire face aux crises. Conclusion Le podcast se termine sur une réflexion puissante : la question n’est pas de savoir si le numérique tombera, mais quand il tombera. La vraie résilience consiste à rester debout même quand nos écrans s’éteignent. Nous ne pouvons pas nous couper du numérique dans la société actuelle, mais nous pouvons et devons réduire notre dépendance pour mieux encaisser le jour où l’infrastructure numérique faillira. Les trois défis concrets proposés aux auditeurs sont simples mais essentiels : noter des numéros importants sur papier, essayer une journée sans cellulaire, et préparer un kit de survie 72 heures. Ces actions, bien que modestes, constituent les premiers pas vers une véritable autonomie face à notre dépendance technologique croissante. Collaborateurs Nicolas-Loïc Fortin Alexandre Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    44 min

  7. 12/02/2025

    Spécial - 10 ans d'ECW, le PeC, la collaboration communautaire et l'espace régalien

    Parce que… c’est l’épisode 0x672! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Ce podcast spécial European Cyber Week met en lumière les enjeux de la cyberdéfense, de la souveraineté numérique et de la collaboration internationale à travers l’expérience d’Arnaud Coustillière, ancien amiral de la Marine nationale française. Parcours et création de la cyberdéfense française Arnaud Coustillière a consacré 40 années au service de l’État français dans la Marine nationale, partageant équitablement sa carrière entre le maritime et le numérique. Après avoir navigué pendant quinze ans, il est devenu directeur des systèmes d’information de la Marine avant de récupérer le dossier de création de la cyberdéfense des armées en 2009. Jusqu’en 2017, il a commandé l’ensemble de la structure de cyberdéfense française, développant une capacité qui englobe la protection, la prévention, la défense et l’action offensive dans l’espace numérique. Cette cyberdéfense militaire se distingue des services de renseignement par son cadre juridique : contrairement à l’action secrète, l’action militaire reste discrète mais encadrée par le droit des conflits armés, le droit international humanitaire et le code pénal. Les trois dernières années de sa carrière, Coustillière a créé la direction générale du numérique du ministère des armées, passant de la défense des données à leur ouverture et à l’accompagnement de la transformation numérique. Le Pôle d’Excellence Cyber : un pari gagnant Depuis sa retraite, Coustillière préside le Pôle d’Excellence Cyber (PeC), une association créée il y a dix ans pour concentrer les forces de cyberdéfense françaises en Bretagne. Ce choix stratégique reposait sur trois piliers : la proximité avec Paris, l’expertise technique-opérationnelle déjà présente dans la région, et un terreau d’emplois dans les télécommunications. Le pari, considéré comme audacieux voire fou à l’époque, consistait à faire collaborer une organisation civile (l’association) avec la région Bretagne et l’État. Le succès est aujourd’hui manifeste : l’European Cyber Week est passée de 2000 participants il y a cinq ans à plus de 8000 aujourd’hui, avec une projection de 8500 à 9000 participants. L’événement se distingue par son ADN régalien européen, un terme que Coustillière préfère à “souveraineté” car il permet de penser à l’échelle européenne tout en conservant les fonctions essentielles de l’État. La collaboration franco-canadienne Le PeC développe une stratégie de partenariats choisis, notamment avec le Canada, qui partage les mêmes valeurs démocratiques que l’Europe. Depuis quatre ans, une journée de l’European Cyber Week est consacrée au Canada, et la délégation canadienne est passée d’un seul participant en 2021 à environ 25 personnes aujourd’hui. Des protocoles de coopération ont été signés avec ISECOM, et un laboratoire de recherche cyber-IA est en cours de création entre les universités de Bretagne et celles du Québec (Sherbrooke, ÉTS). L’objectif est de créer un véritable écosystème cyber franco-canadien où les entreprises des deux côtés de l’Atlantique travaillent ensemble, avec des partenariats et des offres communes. Les entreprises canadiennes peuvent participer aux appels d’offres européens si elles s’associent avec un partenaire européen. Souveraineté numérique : un concept à repenser Coustillière critique le terme de “souveraineté numérique” qu’il juge inadapté au monde numérique. Contrairement à la souveraineté terrestre qui définit clairement les frontières, l’espace numérique est plus complexe et comparable au maritime, où différents niveaux de droits coexistent selon la distance des côtes. Il préfère parler d’autonomie stratégique ou de résilience. L’écosystème numérique a évolué d’un milieu technique vers un espace de conflictualité centrée sur la captation des données. L’informatique communiquante et Internet ont créé un monde où celui qui possède les données détient le pouvoir. Cette captation est restée longtemps cachée, masquée par les technologies de big data, la transformation numérique et la migration vers le cloud. Le numérique ressemble à un iceberg : visible en surface mais reposant sur des infrastructures massives (câbles, data centers, électricité) qui appartiennent souvent à d’autres. L’impact géopolitique et le réveil européen Le combat entre la Chine et les États-Unis pour la domination technologique place l’Europe dans une position difficile. L’arrivée du président Trump a eu un effet “salutaire” selon Coustillière, car elle traite tous les pays de la même manière, clarifiant les relations et mettant fin à l’ambiguïté. La doctrine américaine se résume à : liberté des données pour faire des affaires, et cette liberté s’arrête là où commencent leurs intérêts commerciaux. Face à cette réalité, l’Europe doit retrouver une autonomie stratégique en faisant écosystème avec des partenaires partageant les mêmes valeurs. L’IA générative complique encore la situation en rendant impossible pour le citoyen moyen de distinguer le vrai du faux en ligne, nécessitant de nouvelles formes de certification. Solutions concrètes : cloud souverain et résilience Plusieurs initiatives émergent en France et en Allemagne. Les projets Bleu (Cap Gemini, Microsoft, Orange) et Sens (Thalès, Google) proposent des solutions de cloud utilisant la technologie américaine mais exploitées par des sociétés européennes, garantissant que les données restent sous cadre juridique européen. OVH représente une alternative purement européenne avec une forte présence au Canada. Le CIGREF, qui rassemble les 150 plus grandes entreprises françaises, ne parle plus de souveraineté mais de résilience face à toutes les menaces : géopolitiques, techniques et commerciales. Cette approche implique de désoptimiser les réseaux pour avoir des architectures plus hétérogènes mais plus robustes. Certaines données, particulièrement celles des citoyens, de la santé ou des services régaliens, doivent impérativement rester sous contrôle national, même si cela implique un système moins performant. Défis et perspectives Le principal défi reste le lobbying massif des grandes entreprises américaines auprès de l’Union européenne et des gouvernements. Ces sociétés déploient des moyens comparables à ceux des nations pour influencer les politiques et les décideurs. Néanmoins, un mouvement de fond s’est enclenché. Le sommet franco-allemand sur la souveraineté numérique, alors que les deux pays avaient des visions initialement opposées, démontre une prise de conscience collective. Les 18 à 24 prochains mois seront cruciaux pour concrétiser les initiatives, développer des certifications et établir une préférence européenne dans les marchés publics. Coustillière conclut que l’écosystème doit se mobiliser pour avancer dans la même direction, malgré les forces qui tenteront de l’en empêcher. La fin de la naïveté européenne face aux réalités géopolitiques du numérique constitue peut-être l’héritage le plus important de cette période de transformation. Collaborateurs Nicolas-Loïc Fortin Arnaud Coustillière Crédits Montage par Intrasecure inc Locaux réels par European Cyber Week

    30 min

  8. 11/25/2025

    Spécial - Le rôle des conseils d'administration

    Parce que… c’est l’épisode 0x668! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Ce podcast spécial réunit trois experts pour discuter d’un enjeu crucial : les conseils d’administration comme engrenage raté de la cybersécurité. L’hypothèse centrale avancée est que l’absence de connaissances même basiques en cybersécurité au sein de ces instances de gouvernance explique en partie les problèmes actuels auxquels font face les organisations québécoises et canadiennes. Le problème de la composition des conseils d’administration Sylvie Guérin soulève un constat troublant : malgré la multiplication des fraudes touchant les institutions, écoles, hôpitaux et universités, les conseils d’administration demeurent largement dominés par des comptables et des avocats. Cette surreprésentation crée un manque flagrant de diversité, particulièrement en matière d’expertise technologique et de cybersécurité. Elle partage son expérience personnelle où, malgré son expertise, elle s’est vue écartée d’un poste au conseil d’administration d’un CHSLD privé au profit d’un autre comptable. Cette anecdote illustre bien le caractère consanguin de ces structures, où les membres ont tendance à reproduire les mêmes profils plutôt que d’ouvrir leurs rangs à de nouvelles compétences essentielles à l’ère numérique. L’aveuglement volontaire et la dénégation plausible Éric Parent expose un phénomène qu’il nomme “l’aveuglement volontaire”. Il raconte avoir été approché pour un poste de CSO (Chief Security Officer) dans une entreprise internationale, où il est rapidement devenu évident que l’organisation cherchait en réalité un bouc émissaire plutôt qu’un véritable responsable de la sécurité. Le poste offert devait se rapporter au directeur des technologies de l’information, créant ainsi une structure hiérarchique dysfonctionnelle. Une conversation révélatrice avec Ronald Brisois, ancien PDG de Cognos, illustre parfaitement ce problème. Interrogé sur où devrait se situer la sécurité dans l’organigramme, Brisois a répondu sans hésitation : au conseil d’administration. Pourtant, il admet que ce n’est jamais là qu’elle se trouve en pratique, les dirigeants préférant la cacher sous les technologies de l’information. Parent mentionne également le concept de “plausible deniability department” utilisé dans certaines grandes entreprises canadiennes pour désigner les départements légaux, véritables cimetières d’idées où les préoccupations sont écoutées mais jamais suivies d’actions concrètes. Le fossé du langage et de la communication Un obstacle majeur identifié concerne le langage. Les comptables et avocats ont appris à parler en termes de risques financiers, ce qui leur confère une certaine autorité auprès des conseils d’administration. En contraste, les professionnels de la cybersécurité peinent souvent à traduire leurs préoccupations techniques en risques d’affaires compréhensibles. Parent souligne l’importance de cette traduction. Au lieu de parler de bits, de réseaux et de technologies, il faut parler de l’arrêt potentiel des chaînes de montage, des pénalités contractuelles et des impacts financiers concrets. Il mentionne avoir enseigné pendant dix ans à Polytechnique avec cet objectif précis : former des technologues capables de communiquer en langage d’affaires. Les lacunes du système éducatif La discussion révèle des failles profondes dans le système éducatif, depuis les écoles primaires jusqu’aux universités. Les universités forment des enseignants compétents sur le plan pédagogique, mais largement démunis en matière de technologie et de cybersécurité. Cette lacune se répercute ensuite sur les élèves, créant un cercle vicieux d’incompétence numérique. Sylvie partage l’exemple d’une connaissance dont les stagiaires en enseignement étaient prometteurs comme futurs professeurs, mais quasi analphabètes technologiquement. Ironiquement, ce sont souvent les enfants qui doivent aider leurs enseignants avec les ordinateurs et les tableaux interactifs. Ce problème s’étend aux comptables et avocats qui siègent aux conseils d’administration. Décrits avec humour comme “une gang de vieux hommes blancs de 75 ans” incapables de reprogrammer leur magnétoscope, ils manquent cruellement de la formation minimale nécessaire pour comprendre les enjeux de cybersécurité. Des solutions possibles Plusieurs pistes sont explorées pour améliorer la situation. Sylvie suggère de créer un module de formation obligatoire d’environ deux heures pour tout nouveau membre d’un conseil d’administration, les sensibilisant aux risques concrets comme l’usurpation d’identité et les fraudes par courriel. Parent propose d’aller plus loin avec une approche réglementaire. Il cite l’exemple de la loi HIPAA aux États-Unis, qui établit une grille de pénalités graduées selon le niveau de négligence. Il imagine un système où les dirigeants seraient personnellement pénalisés financièrement en cas de brèche, créant ainsi un “four autonettoyant” où la cybersécurité deviendrait automatiquement une priorité. L’exemple récent de Qantas, qui a pénalisé ses cadres supérieurs suite à un incident, est cité comme un modèle encourageant. Les assureurs pourraient également jouer un rôle en exigeant non seulement la présence d’un responsable de la cybersécurité, mais aussi une gouvernance active du conseil d’administration sur ces questions. Conclusion Le consensus qui émerge de cette discussion est que le changement ne viendra probablement que par la contrainte : réglementation, pénalités personnelles pour les dirigeants, ou exigences des assureurs. Le bon sens seul ne suffit pas, et comme le souligne Parent, “le monde marche à claque à gueule puis au coup de pelle en pleine face”. Sans événements majeurs ou nouvelles lois, les conseils d’administration continueront probablement à négliger leur rôle crucial en matière de cybersécurité, perpétuant ainsi le cycle de vulnérabilité des organisations québécoises et canadiennes. Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric Parent Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

    27 min
See All (257)

About

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Information