PolySécure Podcast volet PME

Nicolas-Loïc Fortin et tous les collaborateurs

Podcast francophone sur la cybersécurité pour les PME

  1. Apr 29

    PME - Retour d'expérience sur la première cohorte du programme UQTR FORCE

    Parce que… c’est l’épisode 0x2F1! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un programme de cybersécurité taillé pour les PME québécoises Dans cet épisode du balado Polysécure, l’animateur Nicolas reçoit Gino Plourde et Dominic Villeneuve pour faire le bilan de la première cohorte du programme Quatre Force, une formation en cybersécurité conçue spécifiquement pour les techniciens et administrateurs des petites et moyennes entreprises (PME). Les résultats sont au-delà des attentes, et l’enthousiasme des deux créateurs est palpable tout au long de la conversation. Une première cohorte prometteuse La première cohorte s’est terminée le 27 février avec 11 participants provenant de six régions administratives différentes du Québec. La diversité des apprenants a été l’une des grandes surprises : on y retrouvait des gens issus de PME manufacturières, de firmes comptables et juridiques, de ministères gouvernementaux, ainsi que des propriétaires de petites entreprises en technologies de l’information. La cohorte s’est conclue par un rassemblement en présentiel où les attestations ont été remises dans une ambiance conviviale. La deuxième cohorte a démarré le 9 mars avec 10 participants, cette fois répartis dans encore plus de régions, incluant la Montérégie, la Vallée-de-l’Outaouais et même la Côte-Nord. Ce dernier participant, géographiquement isolé, a particulièrement apprécié le format asynchrone à distance, qui répond directement aux contraintes des régions éloignées. Fort de ce succès, Gino a ouvert les inscriptions pour une troisième cohorte dès le 13 mars, prévue pour le 14 septembre. Un contenu ancré dans la réalité des entreprises Le programme est structuré en six modules (du module 0 au module 5) sur une durée de 14 semaines, à raison d’environ 10 heures par semaine. Dominic souligne que dès le module zéro — le module de base théorique —, les participants réalisent à quel point leur entreprise est exposée. On y aborde la mentalité des pirates, la doctrine de guerre appliquée à la cybersécurité (notamment l’approche de Sun Tzu), ainsi qu’une introduction au cadre CVSS. Un exercice simple, comme demander un certificat SSL, suffit à illustrer concrètement comment des informations supposément privées deviennent publiquement accessibles. À partir du module 1, les apprenants passent à la pratique avec des laboratoires concrets. Un exemple marquant : les participants apprennent à exploiter la vulnérabilité Print Nightmare dans un environnement contrôlé. Ainsi, lorsqu’ils doivent convaincre leur direction de mettre à jour ou de retirer des serveurs obsolètes, ils peuvent démontrer en temps réel les risques encourus — un argument bien plus percutant qu’un rapport théorique. Le contenu a été délibérément épuré de tout ce qui n’est pas utile aux PME. Chaque heure de formation doit apporter une valeur directe à l’entreprise et à la personne. Les créateurs insistent : ce n’est pas un cours dilué ou facile à survoler comme on en trouve sur des plateformes généralistes. C’est exigeant, mais cette intensité est au service de l’intégration réelle des connaissances. Une formation qui évolue grâce aux retours des apprenants L’équipe a apporté plusieurs ajustements entre la première et la deuxième cohorte, tous basés sur les commentaires des participants. Une semaine supplémentaire a été accordée au module zéro, jugé trop dense à l’origine. Une semaine de relâche a également été introduite à mi-parcours, permettant aux apprenants légèrement en retard de se rattraper, et aux autres de laisser décanter la matière. Quelques laboratoires particulièrement ardus ont aussi été révisés pour mieux correspondre à des défis réalistes, sans sacrifier la rigueur du contenu. Dominic souligne avec humour qu’un laboratoire qu’il complétait lui-même en une heure pouvait prendre jusqu’à huit heures à un apprenant moins expérimenté — un signal clair qu’un ajustement s’imposait. Une communauté de pratique en pleine croissance Au-delà de la formation elle-même, Gino et Dominic ont mis sur pied un groupe privé sur Discord regroupant tous les diplômés des cohortes. Cet espace d’échange permet aux participants de partager des informations sur des attaques récentes, des patterns menaçants ou des solutions concrètes — sans honte ni jugement. Deux semaines après la fin de la première cohorte, un participant a signalé au groupe avoir été victime d’un cryptovirus, détaillant le vecteur d’attaque pour que tout le monde puisse s’en prémunir. Nicolas soulève un point important : cette communauté joue un rôle crucial parce qu’elle est accessible à des gens qui ne se sentent pas encore légitimes pour intégrer les grandes communautés de cybersécurité existantes. Les experts chevronnés peuvent être intimidants pour ceux qui commencent. Ce groupe offre un espace de progression à rythme raisonnable, avec des pairs au niveau comparable. Les échanges y sont aussi agnostiques par rapport aux fournisseurs, ce qui permet des discussions honnêtes sur les produits et solutions disponibles sur le marché. Une vision d’avenir pour le Québec et au-delà En conclusion, Gino et Dominic réaffirment leur ambition : voir ce programme contribuer concrètement à rendre les PME québécoises — et peut-être internationales — plus résilientes face aux cybermenaces. Les inscriptions pour la cohorte d’automne sont ouvertes, des subventions sont disponibles pour les PME et OBNL, et tout professionnel en TI qui souhaite approfondir ses compétences en cybersécurité sans nécessairement être un spécialiste de haut niveau est le bienvenu. La formation est conçue pour les jacks of all trades du numérique — y compris, soulignent-ils avec fierté, les femmes, encore trop peu représentées dans le domaine. Collaborateurs Nicolas-Loïc Fortin Dominic Villeneuve Gino Plourde Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    27 min

  2. Apr 21

    PME - Comment simplifier un message complexe pour qu'il soit retenu?

    Parce que… c’est l’épisode 0x2ED! Préambule Nous avons rencontré un petit défi d’enregistrement vers la 12e minute. Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le contexte : une surcharge informationnelle sans précédent En 2026, nos cerveaux font face à un défi sans précédent : la quantité d’informations importantes à traiter et à retenir n’a jamais été aussi grande. L’essor de l’intelligence artificielle amplifie encore ce phénomène, en générant davantage de contenu tout en réduisant notre capacité à agir sur ce que nous recevons. C’est dans ce contexte que Cédrick Bruyère aborde une question fondamentale pour toute entreprise, tout conférencier ou tout professionnel qui souhaite faire passer un message : comment s’assurer qu’il sera réellement retenu ? L’exemple du courriel en cybersécurité : quand trop d’information tue l’information Pour illustrer son propos de façon concrète, Cédrick présente un cas fictif mais très réaliste : un expert en cybersécurité qui souhaite sensibiliser son équipe aux dangers des clés USB trouvées par terre. Dans sa version initiale, le courriel est un véritable mur de texte technique. Il y est question de vecteurs d’attaque physique, de contournement des mécanismes de sécurité périmétrique, de microcontrôleurs émulant des périphériques HID, d’exfiltration de données, de propagation latérale, de conformité à la loi 25, de politiques GPO, de solutions EDR, et de bacs à sable (sandboxes) pour l’analyse de fichiers suspects. Le résultat ? Un message que même un professionnel du domaine peine à suivre jusqu’au bout. Pour quelqu’un qui n’a pas de formation technique, c’est simplement incompréhensible — et donc inutile. Ce qui se passe dans le cerveau face à trop d’information Cédrick explique le mécanisme neurologique derrière cette défaillance de communication. Lorsqu’une trop grande quantité d’informations arrive simultanément, le cortex préfrontal — la région du cerveau responsable de la prise de décision et de la priorisation — se retrouve en état de saturation cognitive. Il n’est plus capable de distinguer l’essentiel du superflu. Face à cette surcharge, le cerveau abandonne purement et simplement l’idée de retenir quoi que ce soit. Cédrick cite à ce sujet James Carville : « If you say three things, you don’t say anything. » Quand on en dit dix, c’est encore pire. Le contre-exemple : aller à l’essentiel Face au courriel initial, Cédrick propose une version épurée qui tient en quelques lignes : une clé USB inconnue peut infecter un ordinateur en quelques secondes et donner accès à toutes les données de l’entreprise. Si vous trouvez une clé par terre, ne la branchez pas dans votre ordinateur, car elle pourrait déclencher une attaque et compromettre toute l’organisation. C’est le même message. Mais cette fois, il ne contient qu’une seule idée centrale, claire et actionnable : ne branchez pas de clé USB inconnue. Tout ce qui était superflu a été retiré. Ce qui reste, c’est exactement ce que l’on veut que les gens retiennent. Cédrick précise que cette démarche de simplification a été au cœur du travail réalisé chez Vigilia lors de la création de leurs formations en cybersécurité. Des capsules qui duraient initialement entre cinq et dix minutes ont été condensées en formats de une minute trente à trois minutes — sans perdre leur efficacité, bien au contraire. Le principe fondamental : un message parfait, c’est un message auquel on ne peut plus rien enlever Issu d’un background en rédaction, Cédrick partage sa règle d’or : un message atteint la perfection non pas quand il n’y a plus rien à ajouter, mais quand il n’y a plus rien à enlever. Quand chaque mot restant est indispensable, le message est à son niveau optimal d’efficacité. Pour y parvenir, la première question à se poser est : qu’est-ce qu’on veut que les gens retiennent ? Une seule réponse, claire et simple, doit guider l’ensemble de la rédaction. L’exemple de la compagnie aérienne : la mission comme boussole Pour illustrer comment une idée centrale peut structurer toute une organisation, Cédrick évoque l’exemple d’une compagnie aérienne à succès — vraisemblablement Southwest Airlines — dont la mission tient en quelques mots : être la ligne aérienne la moins chère. Cette formulation simple permet à des milliers d’employés de prendre des décisions cohérentes au quotidien, sans avoir besoin de consulter une longue liste de directives. Quand le département marketing propose d’améliorer les repas à bord, la question est immédiate : est-ce que ça nous rend moins chers ? Si la réponse est non, la décision est prise. Une mission bien formulée devient ainsi un filtre décisionnel puissant, applicable à tous les niveaux de l’entreprise. Comment développer ce réflexe au quotidien ? Cédrick propose une approche progressive et accessible. Le site web d’une entreprise constitue un excellent terrain d’entraînement : chaque page peut être relue avec un œil critique, chaque message peut être réécrit en se demandant si l’essentiel est vraiment mis de l’avant. Le même exercice s’applique aux courriels, aux présentations clients, aux dépliants de vente. Avec de la pratique, cette question — est-ce qu’il y a vraiment que l’essentiel ici ? — devient un réflexe naturel. Elle finit par s’intégrer dans la façon de composer n’importe quel message. L’intention plutôt que la planification En guise de conclusion, Cédrick glisse une dernière réflexion : il est souvent plus payant de mettre son énergie sur l’intention plutôt que sur la planification. Une planification rigide peut s’effondrer dès le premier imprévu, sans que l’on sache comment se réaligner. Une intention claire, elle, résiste aux aléas : même si le chemin change, on sait toujours où l’on va. En somme, simplifier un message, ce n’est pas l’appauvrir — c’est lui donner toutes ses chances d’être compris, retenu et appliqué. Collaborateurs Nicolas-Loïc Fortin Cédrick Bruyère Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    16 min

  3. Apr 14

    PME - Vibe coding ou programmation à la bonne franquette

    Parce que… c’est l’épisode 0x746! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode de PME, l’animateur reçoit Cyndie Feltz, Nicholas Milot et Dominique Derrier pour discuter du vibe coding — une tendance qui consiste à générer du code quasi entièrement à l’aide d’outils d’intelligence artificielle, souvent sans posséder de solides bases en développement. Le ton est décontracté, ponctué d’humour, mais le fond du propos est sérieux : si le vibe coding ouvre des portes fascinantes, il comporte aussi des risques bien réels, particulièrement en matière de sécurité et de maintenabilité. L’analogie de la maison : séduisant mais fragile Pour illustrer le concept, Cyndie propose une analogie percutante : imaginez construire une maison en se contentant de décrire vocalement ce qu’on veut — la couleur des murs, l’emplacement des fenêtres — sans aucune connaissance en construction. Le résultat visuel peut être bluffant, mais irait-on habiter cette maison ? Probablement pas, car personne n’a pensé aux normes antisismiques, aux règles du bâtiment, à la plomberie ou à l’électricité. L’analogie tient parfaitement pour le développement logiciel : une application vibe codée peut avoir l’air fonctionnelle et même impressionnante en surface, tout en étant criblée de failles de sécurité, dépourvue de gestion des erreurs, et incapable de passer en production. Le rendu visuel crée une illusion de compétence qui peut être dangereuse si l’on n’a pas les bases pour évaluer ce qu’on a réellement construit. Les cas d’usage légitimes Les participants s’accordent néanmoins à reconnaître la valeur réelle du vibe coding dans certains contextes précis : Les preuves de concept (POC) : pour valider rapidement une idée, démontrer la viabilité d’une fonctionnalité ou présenter un prototype à des parties prenantes, l’outil est fantastique. Il permet d’éviter de gaspiller des cycles de développement coûteux avant même de savoir si l’idée mérite d’être poursuivie. Les outils internes : pour des scripts légers, des automatisations maison ou des utilitaires qui ne seront jamais exposés à des utilisateurs externes, le vibe coding offre une grande souplesse. Les petits sites vitrines : créer une page web simple pour présenter une entreprise est un cas d’usage où les risques restent limités. Nicholas souligne que le scénario change radicalement si c’est un expert qui utilise le vibe coding pour accélérer son travail plutôt qu’un non-initié qui s’y fie aveuglément. Un développeur expérimenté sait quelles questions poser, quelles contraintes intégrer dans ses prompts, et surtout quand le code généré est insuffisant ou dangereux. Les risques concrets La sécurité, grande oubliée Cyndie, qui œuvre dans le domaine de la sécurité, pointe plusieurs vulnérabilités typiques du vibe coding : La gestion des secrets : une personne sans expérience va naturellement coller ses clés API (Stripe, GitHub, OpenAI) directement dans le code, sans comprendre que c’est une pratique catastrophique. Les permissions excessives : si on fournit à l’agent IA un accès complet à une base de données, rien ne l’empêche de générer — et d’exécuter — une commande DROP TABLE. Il faut réfléchir aux moindres privilèges, ce qui requiert une connaissance du domaine. Le contournement des protections : certains LLM, interrogés de la bonne façon, acceptent désormais de fournir des techniques pour bypasser des systèmes de sécurité (comme les EDR), voire d’écrire des preuves de concept malveillantes. L’incident Amazon Un exemple concret frappe les esprits : en février 2026, Amazon aurait subi une interruption de service d’environ 13 heures après qu’un employé a utilisé un outil de type Cursor (l’éditeur interne « Kiro ») pour supprimer et recréer des secrets et des connexions, mettant accidentellement AWS hors ligne. En réaction, Amazon a instauré une règle interne obligeant les développeurs juniors et intermédiaires à faire approuver leurs mises en production par un développeur senior — ce qui revient à admettre officiellement que l’expérience humaine reste indispensable. La dette technique et la maintenabilité Nicholas insiste sur un autre écueil : le code vibe codé est difficile à maintenir. Sans documentation adéquate, sans architecture réfléchie, le code généré par IA ressemble à du Perl écrit en une ligne — on ne comprend plus ce qu’on a fait quelques semaines plus tard. Plus l’application grossit, plus la gestion du contexte entre les différents agents IA devient complexe, et plus il faut investir dans des fichiers de documentation (Markdown, instructions de projet) pour garder le cap. Les hallucinations de dépendances Un autre cas inquiétant est évoqué : un LLM qui invente une dépendance npm inexistante. Des centaines de dépôts GitHub se sont retrouvés à référencer un package qui n’existe pas, parce que l’IA l’avait suggéré avec confiance. Au-delà du dysfonctionnement, le risque de sécurité est évident : si quelqu’un crée un vrai package malveillant portant ce nom, il serait automatiquement adopté par tous ces projets. Le vibe coding comme exosquelette La métaphore finale la plus juste est celle de l’exosquelette : le vibe coding décuple les capacités de ceux qui savent déjà marcher, mais ne remplace pas les jambes. L’humain reste central. L’IA accélère, automatise et débloque des possibilités nouvelles — mais elle ne remplace ni le jugement, ni l’expérience, ni la responsabilité. La course à la vitesse pousse les entreprises à sacrifier la qualité et la sécurité, ce qui mène inévitablement à des échecs retentissants. Le consensus des panélistes : utiliser le vibe coding pour explorer et prototyper, puis confier la production à des processus rigoureux, idéalement guidés par des personnes qui comprennent ce qu’elles construisent. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    18 min

  4. Apr 7

    PME - Shadow IA

    Parce que… c’est l’épisode 0x739! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte et ton de l’épisode Cet épisode spécial PME du podcast P-Secure réunit trois invités : Dominique Derrier, Nicolas Milot et Cyndie Fletz. L’ambiance est décontractée, avec quelques taquineries adressées à Dominique, qui avait raté le rendez-vous précédent. L’épisode fait suite à une discussion sur le Shadow IT en général, et se concentre cette fois-ci exclusivement sur le Shadow AI — un sujet qui suscite un intérêt croissant, autant chez les utilisateurs que chez les équipes de sécurité informatique. D’emblée, les trois participants rappellent qu’ils ne se présentent pas comme des experts absolus : le domaine est si récent et évolue si vite que les opinions exprimées reflètent l’expérience du moment. Ce qui est vrai aujourd’hui pourrait être caduc dans un an. Qu’est-ce que le Shadow AI ? Pour rappeler les bases, le Shadow IT désigne l’ensemble des outils et logiciels installés ou utilisés par les employés sans que le département informatique en ait connaissance ou contrôle. Le Shadow AI en est la déclinaison moderne : il s’agit de l’utilisation non encadrée d’outils d’intelligence artificielle — comme ChatGPT, Claude (Anthropic), Microsoft Copilot ou d’autres — dans le cadre professionnel, que ce soit via des abonnements personnels, des accès navigateur ou des outils non approuvés par l’entreprise. Pourquoi c’est inévitable L’un des points centraux de la discussion est que le Shadow AI ne peut pas être simplement interdit. Les participants font une analogie parlante : tenter de bloquer l’usage de l’IA dans une entreprise, c’est comme penser qu’un adolescent va vous obéir dès que vous avez le dos tourné. Les employés qui souhaitent utiliser ces outils trouveront toujours un moyen de le faire — via leur téléphone personnel, leur propre abonnement cloud ou leur ordinateur à domicile. La réalité, c’est que l’IA apporte une réelle valeur ajoutée : productivité accrue, autonomie renforcée, gain de temps sur des tâches répétitives. Nier cela ou l’interdire en bloc, c’est passer à côté d’une opportunité et pousser les employés vers des comportements encore moins contrôlés. Les risques concrets pour les PME Si les bénéfices sont réels, les risques le sont tout autant. Les intervenants en dressent une liste : La fuite de données confidentielles : les employés peuvent, parfois involontairement, copier-coller des informations sensibles dans un outil d’IA public. La frontière entre une utilisation prudente et un transfert non voulu d’informations est mince. Les MCP (Model Context Protocol) : ces connecteurs permettent de lier un modèle d’IA à des outils externes. Si leur usage n’est pas encadré, ils représentent une porte d’entrée potentielle pour des logiciels malveillants, même lorsque l’entreprise a approuvé un fournisseur d’IA spécifique. La mauvaise configuration des outils : contrairement à un logiciel d’entreprise classique, beaucoup d’outils d’IA sont accessibles directement via un navigateur, sans passer par le département IT. Le contrôle est donc structurellement plus difficile. Le faux sentiment de toute-puissance : les LLM peuvent donner aux utilisateurs l’impression d’avoir accès à une connaissance infaillible. Or, les modèles hallucinent, se trompent, et peuvent générer des rapports erronés sur lesquels des décisions d’entreprise seront prises. Un exemple évoqué dans l’épisode : une entreprise qui, pendant des mois, a fondé ses décisions sur des rapports générés par une IA sans jamais les vérifier — et qui s’est retrouvée avec des données complètement fausses. Le rôle de l’équipe IT : des garde-fous, pas des gardiens Une question intéressante est soulevée : qui est responsable du Shadow AI dans une entreprise ? La réponse est claire : ce ne peut pas être uniquement le département IT. Celui-ci peut mettre en place des garde-fous techniques, mais les décisions stratégiques — quels outils autoriser, dans quel cadre, avec quelles politiques — doivent venir d’un niveau hiérarchique plus élevé, impliquant la direction et les ressources humaines. L’IT est un exécutant de mesures de sécurité, pas le seul décideur d’une politique d’usage de l’IA. Recommandations pratiques pour les PME Les trois invités convergent vers plusieurs recommandations concrètes : Dialoguez avec vos employés avant d’écrire des politiques. Comprenez pourquoi ils utilisent ou voudraient utiliser l’IA, ce qu’ils espèrent en tirer, et intégrez-les dans la réflexion. Fournissez les outils vous-mêmes. Comme pour les gestionnaires de mots de passe, si vous souhaitez que les employés utilisent des outils sécurisés, donnez-leur accès à des licences approuvées. Sinon, ils se débrouilleront avec des alternatives gratuites ou personnelles. Ne montez pas votre propre LLM. Pour une PME, construire son propre modèle de langage local serait extrêmement coûteux et peu pertinent. Mieux vaut s’appuyer sur des fournisseurs existants, en choisissant ceux dont les pratiques éthiques et de sécurité sont les plus solides. Adaptez la politique au profil de risque. Une entreprise avec des développeurs techniques aura besoin d’une politique plus stricte qu’une PME de services dont les employés n’utilisent que le volet conversationnel de l’IA. Idem pour les secteurs réglementés comme le droit, où l’IA est utile pour la recherche générale mais ne doit jamais recevoir de données personnelles de clients. Éduquez et sensibilisez. Rappelez aux employés que l’IA n’est pas magique : elle se trompe, elle ne remplace pas l’expertise humaine, et elle doit être supervisée. L’image du stagiaire est utilisée : capable de beaucoup de choses, mais qui a besoin d’être bien briefé, encadré et vérifié. Conclusion L’épisode se termine sur un message d’équilibre : ni interdire, ni laisser faire sans garde-fous. L’IA est là, elle est utile, et les employés l’utiliseront de toute façon. Le rôle des entreprises — et notamment des PME — est d’en faire un usage contrôlé, éduqué et raisonné, en transmettant aux employés les bons réflexes pour minimiser les risques. Un peu comme avec des adolescents : on ne peut pas tout contrôler, mais on peut inculquer des comportements responsables. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    18 min

  5. Mar 31

    PME - Retour sur l'IA et un regard critique sur le vibe coding

    Parce que… c’est l’épisode 0x733! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode spécial enregistré au chalet, Claude reçoit Nicolas pour une conversation approfondie sur l’utilisation de l’intelligence artificielle dans les PME. L’entretien aborde plusieurs thèmes essentiels : la nature réelle des modèles d’IA, leurs risques et avantages pour les petites et moyennes entreprises, le phénomène du vibe coding, les enjeux de droits d’auteur, la confidentialité des données, ainsi que les risques liés aux achats sur des plateformes étrangères. Ce qu’est réellement l’intelligence artificielle Nicolas commence par démystifier le fonctionnement des grands modèles de langage (LLM). Contrairement à une idée répandue, l’IA ne « réfléchit » pas : il s’agit d’un modèle statistique dont le seul rôle est de prédire le prochain mot dans une séquence, en s’appuyant sur les données d’entraînement ingérées. Même les modèles qui prétendent « raisonner » ne font que relancer ce processus statistique sur lui-même. Cette nuance est fondamentale. Se fier aveuglément à une réponse générée par un LLM comporte des risques importants, particulièrement dans des domaines spécialisés comme la médecine ou le droit. Nicolas précise qu’une recherche dans une vraie base de données structurée — comme Google ou une bibliothèque — offre une meilleure garantie d’exactitude qu’une réponse générée par un modèle ayant « lu en diagonale » une quantité massive de contenu. Les avantages de l’IA pour les PME… avec nuances Il existe néanmoins des gains réels pour les PME qui utilisent l’IA de façon éclairée. L’IA générative de type LLM, popularisée depuis le lancement public de ChatGPT, représente la face la plus visible d’une technologie qui existe en réalité depuis plusieurs décennies. Les avancées récentes ont simplement permis de rendre ces outils accessibles au grand public. Cependant, les LLM sont des outils généralistes : ils performent bien dans l’ensemble, mais montrent leurs limites dès qu’on entre dans des domaines très précis. Pour ces cas, il est nécessaire d’entraîner des modèles spécialisés. La prudence reste de mise : ces technologies sont encore nouvelles, les usages mal maîtrisés peuvent créer des problèmes sérieux. Nicolas conseille aux PME d’observer les erreurs des autres avant de se lancer tête baissée. Les hallucinations et l’aide à la décision Un risque majeur des LLM est le phénomène d’hallucination : le modèle génère une réponse fausse, mais formulée avec assurance. La probabilité d’hallucination dépend notamment de la façon dont le modèle a été configuré et enrichi. Un modèle « augmenté » avec du contenu robuste et pertinent offre de meilleures garanties. Toutefois, Nicolas souligne une règle d’or : seul un expert dans son domaine est réellement en mesure de détecter une hallucination. Il ne poserait jamais une question médicale à une IA, faute de pouvoir valider la réponse. En revanche, un professionnel qui connaît son secteur peut utiliser l’IA comme outil d’exploration d’avenues, tout en exerçant son jugement critique. Des guides de bonnes pratiques existent désormais, publiés par les gouvernements du Québec, du Canada, ainsi que par des agences européennes et américaines. Ces documents encouragent unanimement la prudence, la vérification des sources et l’absence de confiance aveugle envers les réponses générées. Le vibe coding : programmer au pif La partie la plus percutante de l’échange porte sur le vibe coding, cette tendance à utiliser l’IA pour générer du code sans posséder les connaissances techniques nécessaires. Nicolas utilise une analogie parlante : c’est comme demander à quelqu’un sans formation en menuiserie de fabriquer un meuble de qualité. Le résultat fonctionnera peut-être, mais il ne sera ni durable, ni élégant, ni robuste. Le problème central est celui de la dette technologique : le code produit par vibe coding devra être revu, corrigé, voire entièrement réécrit beaucoup plus tôt que du code conçu selon les règles de l’art. Un développeur formé en ingénierie de système ne se contente pas d’atteindre un objectif immédiat — il conçoit une architecture cohérente, évolutive et maintenable. L’IA, elle, est orientée vers l’objectif final, sans souci du chemin parcouru. Ce manque de rigueur dans le processus engendre également de sérieux problèmes de sécurité. Des études récentes ont démontré que le code généré par IA présente un niveau de vulnérabilité significatif. Des exemples publics, notamment aux États-Unis, illustrent les conséquences concrètes : des applications mal sécurisées exposant des données personnelles sensibles. Claude Mercier évoque un cas marquant impliquant des informations personnelles de femmes vulnérables rendues publiques en raison de failles dans une application mal codée. Le vibe coding reste acceptable pour de petits projets internes, sans exposition à internet, lorsque les enjeux sont limités. En revanche, pour des systèmes de production, des applications complexes ou tout ce qui constitue le cœur d’une entreprise, il est fortement déconseillé. Droits d’auteur et confidentialité des données Un aspect souvent négligé est la question des droits d’auteur sur le code généré par IA. Un jugement récent aux États-Unis ne reconnaît pas de droits d’auteur sur les contenus générés par l’intelligence artificielle. Ainsi, si 90 % d’un code est produit par une machine, il n’est probablement pas protégé légalement, ce qui signifie qu’en cas de vol, aucun recours juridique n’est possible. Par ailleurs, la protection des données envoyées aux LLM est un enjeu critique. Seules les licences de type entreprise — comme Microsoft 365 Copilot ou Google Workspace — offrent une protection réelle contre la réutilisation des informations transmises. Les versions gratuites ou personnelles de ces outils, tout comme ChatGPT ou Claude en accès grand public, peuvent utiliser les échanges pour réentraîner leurs modèles. Nicolas rappelle qu’il faut activement décocher certaines options pour retirer son consentement à cette réutilisation. Conclusion Cet échange offre une perspective lucide et nuancée sur l’IA dans le contexte des PME. L’intelligence artificielle est un outil puissant, mais mal compris et souvent mal utilisé. La prudence, la formation et le recours à des professionnels qualifiés restent les meilleures garanties pour en tirer des bénéfices réels sans s’exposer à des risques coûteux. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Le Chalet de Claude

    24 min

  6. Mar 25

    PME - Les postes, sauvegardes et d'autres questions

    Parce que… c’est l’épisode 0x730! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode spécial PME du podcast 0x730, Nicolas reçoit à nouveau Claude Mercier pour une conversation enregistrée au chalet. Claude, qui travaille régulièrement avec des PME, pose une série de questions pratiques sur la cybersécurité en entreprise. L’objectif est simple : traduire des concepts techniques parfois abstraits en conseils concrets et accessibles pour les gestionnaires et propriétaires de petites et moyennes entreprises. Sécuriser les postes de travail La première question porte sur la configuration idéale d’un poste ou d’un portable en PME. Nicolas explique qu’il existe déjà des gabarits de configuration préconçus qui facilitent grandement le travail. Dans un environnement centralisé, leur déploiement est simplifié ; pour les plus petites structures, ils peuvent être appliqués machine par machine. Le principe de base reste le même : garder les systèmes d’exploitation constamment à jour, ce qui constitue la mesure de protection la plus efficace et la plus négligée. Pour illustrer l’importance de protéger un poste, Nicolas recourt à une analogie simple : un ordinateur, c’est comme un édifice physique. On y met des serrures, des verrous, des coffres-forts, non pas pour la forme, mais parce que l’intérieur contient des informations précieuses — liste de clients, données financières, procédés exclusifs. Perdre le contrôle de ces informations peut mettre en péril l’entreprise entière. Chiffrement et mot de passe Le sujet du chiffrement de disque est abordé avec nuance. Des outils comme BitLocker de Microsoft permettent de chiffrer le contenu d’un disque dur, mais cette protection ne vaut que si un mot de passe d’ouverture de session est également configuré. Sans ce mot de passe, le coffre-fort virtuel reste grand ouvert. Nicolas précise que le chiffrement sert principalement à protéger les données en cas de vol physique de l’appareil ou du disque dur : sans la clé associée, le contenu devient illisible pour n’importe qui. Antivirus modernes, EDR et XDR La question des antivirus permet à Nicolas de distinguer les solutions d’ancienne génération des solutions modernes. Le Defender intégré à Windows, par exemple, est considéré comme suffisant pour la grande majorité des PME qui n’évoluent pas dans des secteurs à risques élevés. Il bloque environ 95 % des menaces courantes. Les termes EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response) désignent précisément ces antivirus de nouvelle génération. Leur grande différence par rapport aux anciens outils : ils ne se contentent plus de reconnaître des signatures de fichiers malveillants, ils analysent les comportements anormaux sur la machine. Un processus qui agit de façon suspecte sera détecté, même si aucune signature connue ne lui correspond. Les droits administrateur Sur la question de qui devrait avoir les droits d’administrateur dans une PME, Nicolas est catégorique : le moins de personnes possible. Il compare ces droits à l’accès aux paramètres internes d’un moteur de voiture : personne ne va bricoler les composants d’un véhicule sans être mécanicien qualifié. De même, un utilisateur non formé qui dispose de droits admin peut involontairement causer des dommages considérables, ou pire, offrir aux attaquants le même niveau d’accès que le sien s’il clique sur un lien malveillant. VPN : mythes et réalités Les VPN commerciaux font l’objet d’un marketing souvent trompeur. Nicolas distingue deux types de VPN : les VPN commerciaux (NordVPN, ProtonVPN, etc.), dont l’utilité réelle est très limitée pour une PME, et les VPN d’entreprise, que l’on configure soi-même pour permettre l’accès sécurisé à distance à son propre réseau interne. Le premier est largement superflu dans le contexte actuel, car les communications en ligne sont déjà chiffrées nativement. Le second est utile, mais doit être déployé avec soin : si le poste utilisé est mal sécurisé, le tunnel VPN devient un vecteur d’intrusion vers l’ensemble du réseau d’entreprise. Windows Hello et l’authentification sans mot de passe Nicolas présente Windows Hello comme une solution d’authentification moderne dite passwordless. Plutôt qu’un mot de passe classique — qui peut être volé —, cette approche repose sur une clé cryptographique associée à un scan biométrique. Il n’y a donc rien à dérober. La sécurité est plus robuste et l’expérience utilisateur, plus fluide. Sauvegardes : l’approche 3-2-1 La deuxième grande thématique concerne les sauvegardes. Nicolas présente la règle 3-2-1 : trois copies des données, sur deux supports différents, dont une hors site. L’objectif est de pouvoir récupérer rapidement les informations critiques en cas de panne mécanique, de vol ou d’attaque par rançongiciel. Point crucial : les sauvegardes doivent être hors ligne ou hors réseau (offline). Une copie accessible depuis le réseau de l’entreprise peut être chiffrée ou effacée par un attaquant en même temps que les données originales, la rendant inutile. Elles doivent également être chiffrées, qu’elles soient stockées dans le nuage ou transportées physiquement. Enfin, il est tout à fait possible de sauvegarder les courriels hébergés sur des plateformes comme Microsoft 365 ou Google Workspace grâce à des services tiers dédiés. La « question noire » : les rançongiciels En guise de conclusion, Claude pose une question délicate : si Nicolas était un attaquant, quelle stratégie adopterait-il ? La réponse est sans équivoque : les rançongiciels ciblant les PME. Ces entreprises sont souvent les moins bien protégées, n’ont pas de sauvegardes fiables, et sont prêtes à payer pour récupérer leurs données. Le coût d’une cyberattaque peut rapidement atteindre 100 000 $ par jour en honoraires d’urgence, sans compter les pertes d’exploitation, voire la perte de clients au profit de concurrents. La bonne nouvelle : les PME qui appliquent les mesures de base — sauvegardes hors ligne, MFA, séparation des accès — compliquent suffisamment la tâche des attaquants pour que ceux-ci renoncent plus rapidement. La tendance s’améliore lentement, mais le chemin reste long. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Le Chalet de Claude

    30 min

  7. Mar 18

    PME - La sécurité en toute simplicité

    Parce que… c’est l’épisode 0x726! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode du podcast, je reçois Cédrick Bruyère, associé chez Vigilia, une entreprise spécialisée en cybersécurité qui se concentre principalement sur la formation et la sensibilisation des PME. Cédrick nous partage les réflexions qui ont guidé la création de leur plateforme, articulées autour de trois piliers fondamentaux pour rendre une solution véritablement accessible en entreprise : la simplicité, l’abordabilité et l’adaptabilité. Ces trois concepts, bien que distincts, s’alimentent mutuellement et forment un cadre cohérent pour penser le développement de solutions qui répondent aux besoins réels des organisations. Premier pilier : la simplicité Le premier pilier, la simplicité, est apparu comme une évidence lors des sondages menés par l’équipe de Vigilia auprès d’entrepreneurs et de décideurs. Le constat était récurrent : lorsque les gens visitent le site d’un fournisseur de solutions en cybersécurité, l’impression dominante est celle d’une complexité rebutante. On a l’impression de s’embarquer dans un labyrinthe de configurations et de problèmes techniques. Résultat : beaucoup renoncent avant même d’avoir commencé. Pour Cédrick, la simplicité ne réside pas dans la solution elle-même, mais avant tout dans la façon de communiquer. Il évoque le concept bien connu de la curse of knowledge — la malédiction du savoir — ce phénomène par lequel un expert, tellement immergé dans son domaine, oublie que son interlocuteur ne partage pas le même bagage. On se retrouve alors à utiliser un jargon technique, à accumuler les termes spécialisés sur une page d’accueil pour afficher son expertise, mais on finit par perdre le lecteur plutôt que de le convaincre. La clé, selon Cédrick, est de privilégier une communication humaine, accessible, qui explique clairement ce qu’on fait et comment on peut aider, sans chercher à impressionner. L’objectif d’une communication efficace n’est pas de paraître intelligent, mais d’être compris. C’est un renversement de posture important pour beaucoup d’entreprises habituées à valoriser leur expertise par la complexité de leur discours. Être simple dans sa communication, c’est paradoxalement l’un des exercices les plus difficiles qui soit — et l’un des plus puissants. Deuxième pilier : l’abordabilité Le deuxième pilier est l’abordabilité. Cédrick reconnaît que le sujet est délicat, car il ne s’agit pas d’accuser les entreprises qui proposent des solutions coûteuses d’être motivées uniquement par le profit. Le prix d’une solution est souvent le reflet direct de sa complexité. Plus on accumule de fonctionnalités, plus on mobilise de ressources humaines pour faire fonctionner et entretenir la solution, et inévitablement, le coût grimpe. C’est là que les deux premiers piliers se rejoignent avec force : en simplifiant l’offre, on réduit les coûts. En se concentrant sur l’essentiel — c’est-à-dire ce qu’on veut réellement accomplir pour le client —, on évite de surcharger la solution de fonctionnalités superflues qui alourdissent la structure sans nécessairement apporter de valeur ajoutée à la majorité des utilisateurs. Cédrick illustre cette idée avec une analogie parlante : comme chez Maxi ou dans un magasin de meubles à bas prix, le décor est fonctionnel mais pas tape-à-l’œil. On vend le produit, point. Pas d’artifices, pas d’employés en surnombre pour entretenir une mise en scène. La marchandise est accessible, le client achète, et tout le monde y trouve son compte. En cybersécurité, la logique est identique. Si l’objectif est de sensibiliser les entreprises, il faut concentrer ses efforts sur cet objectif précis, délivrer la solution la plus directe possible, et éviter de complexifier pour le simple plaisir de l’exhaustivité. Moins il y a de personnes nécessaires pour faire tourner la machine, plus la solution peut être proposée à un prix accessible — et donc atteindre un plus grand nombre d’entreprises. Troisième pilier : l’adaptabilité Le troisième pilier, l’adaptabilité, est celui que Cédrick considère comme le plus important, car c’est lui qui permet de répondre aux besoins spécifiques de chaque client. Une solution, aussi bien conçue soit-elle, ne peut pas être universelle si elle ne peut pas s’ajuster aux particularités de chaque organisation. Cédrick insiste toutefois sur un point crucial : l’adaptabilité découle directement de la simplicité. Si la base d’une solution est simple, la modifier pour répondre à un besoin particulier devient une opération légère et rapide. Par exemple, si un client souhaite diviser son compte en plusieurs équipes, il suffit d’effectuer un ajustement minimal sur une structure épurée. En revanche, si la solution est déjà surchargée de couches de complexité, chaque modification devient un chantier, et l’adaptabilité devient illusoire en pratique — même si elle est promise sur le papier. L’adaptabilité n’est donc pas une fonctionnalité qu’on ajoute par-dessus une solution complexe. C’est une qualité qui émerge naturellement d’une solution bien conçue à la base. Cédrick souligne également l’importance d’avoir une solution qui appartient vraiment à l’entreprise qui la développe — une plateforme qu’on peut moduler soi-même, sans dépendre d’une infrastructure tierce rigide. Conclusion Ces trois piliers — simplicité, abordabilité et adaptabilité — forment un tout cohérent et interdépendant. La simplicité conditionne l’abordabilité, et toutes deux rendent l’adaptabilité possible. Le fil conducteur de la réflexion de Cédrick est une mise en garde contre la tendance naturelle des experts à se perdre dans leur propre expertise au détriment des besoins fondamentaux de leurs clients. La vraie valeur d’une solution ne réside pas dans sa sophistication, mais dans sa capacité à aider le plus grand nombre, le plus efficacement et le plus accessiblement possible. Un message simple à retenir, et pourtant difficile à appliquer. Collaborateurs Nicolas-Loïc Fortin Cédrick Bruyère Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    13 min

  8. Mar 10

    PME - Shadow whatever

    Parce que… c’est l’épisode 0x721! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction : qu’est-ce que le shadow IT ? Dans cet épisode du podcast, Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet omniprésent dans les entreprises, mais souvent méconnu : le shadow IT. Le terme désigne l’utilisation d’outils, de logiciels ou de périphériques non approuvés par le département des technologies de l’information (TI), dans un contexte professionnel. Il ne s’agit pas uniquement d’apporter son propre appareil au bureau (bring your own device), mais aussi d’installer des applications sur un poste de travail fourni par l’entreprise sans avoir obtenu l’aval de l’équipe TI. L’exemple classique ? L’employé qui télécharge un convertisseur PDF gratuit trouvé sur Internet parce qu’il avait un problème avec son lecteur PDF habituel. Ce geste, anodin en apparence, illustre bien la nature du phénomène : il n’y a aucune mauvaise intention derrière, seulement un besoin pratique à combler rapidement. Une question de besoin, pas de malveillance L’un des points centraux de la discussion est que le shadow IT naît rarement d’une volonté de nuire. Les employés adoptent des outils non autorisés parce qu’ils veulent simplement faire leur travail efficacement. Ils connaissent un logiciel, ils ont l’habitude de l’utiliser, ou encore ils se retrouvent dans une situation d’urgence — il est 17 h 50, la présentation doit être envoyée dans dix minutes, et l’équipe TI est injoignable. La solution de facilité s’impose alors naturellement, sans que la personne mesure les risques auxquels elle expose son organisation. Comme le soulignent les intervenants, l’être humain a horreur du vide. Lorsqu’un outil manque, il trouve une alternative, qu’on lui ait dit ou non de ne pas le faire. Une politique de refus systématique, sans solution de remplacement proposée, ne résout rien : les employés contournent l’interdiction de toute façon. Les risques concrets pour l’entreprise Le vrai problème avec le shadow IT, c’est qu’il échappe à toutes les mesures de sécurité mises en place par l’entreprise. Ces mesures existent précisément pour réduire les risques ; or, un logiciel installé en dehors des processus officiels ne bénéficie d’aucune de ces protections. Les intervenants soulèvent plusieurs types de risques : Les vulnérabilités logicielles non corrigées. Quand un logiciel est installé par un employé sans passer par les canaux officiels (Intune, GPO, etc.), l’équipe TI n’est souvent même pas au courant de son existence. Elle ne peut donc pas en assurer la maintenance ni les mises à jour. Le cas de VLC est cité en exemple : un employé l’installe pour lire des vidéos, l’oublie pendant trois ans, et entre-temps le logiciel accumule des failles de sécurité (zero-days) jamais corrigées. Pour un testeur d’intrusion comme Nicolas, c’est une aubaine ; pour l’entreprise, c’est une porte ouverte aux attaquants. Les problèmes de licences. Certains logiciels sont soumis à des licences commerciales. Si un employé installe un tel outil sans que l’entreprise l’ait acheté, elle s’expose à des redressements financiers parfois très coûteux, pour un logiciel utilisé une seule fois et oublié. Le shadow AI. Le phénomène s’étend désormais à l’intelligence artificielle. Les intervenants posent la question directement : si une entreprise n’a pas encore officiellement adopté un outil d’IA ni établi de directives à ce sujet, croit-elle vraiment que ses employés n’utilisent pas l’IA ? La réponse est non. Pire encore : même sans utiliser directement un outil d’IA, les employés se servent souvent de logiciels qui intègrent de l’IA en arrière-plan. La question n’est donc plus de savoir si l’IA est utilisée dans l’entreprise, mais comment l’encadrer. Comment s’en prémunir ? Les intervenants s’accordent sur plusieurs pistes concrètes pour limiter le phénomène. Anticiper les besoins. La meilleure façon d’éviter que les employés cherchent leurs propres solutions, c’est de leur fournir les bons outils avant qu’ils en ressentent le besoin. Le département TI doit adopter une posture proactive et proposer des alternatives officielles aux logiciels populaires. Limiter les droits d’administration. S’assurer que les employés ne sont pas administrateurs locaux sur leur poste de travail est une première étape importante. Cela ne résout pas tout, mais complique considérablement l’installation sauvage de logiciels. Favoriser la communication. Il est crucial de créer un environnement où les employés se sentent à l’aise de signaler leurs besoins en matière d’outils, sans craindre un refus automatique ou une réaction négative. Quand un employé demande à son équipe TI s’il peut utiliser tel logiciel, c’est déjà un pas dans la bonne direction : il faut encourager et cultiver ce réflexe. Inclure les TI dans l’adoption de nouveaux outils. Chaque fois qu’un département envisage d’adopter un nouveau logiciel — qu’il soit destiné à la facturation, à l’ingénierie ou à la gestion de projets — l’équipe TI doit être impliquée dès le départ, pas après coup. Faire un inventaire des applications installées. Pour les entreprises qui font appel à un fournisseur de services managés (MSP), il est recommandé de lui demander un inventaire complet des applications présentes sur les postes de travail. Cet exercice réserve souvent de mauvaises surprises, mais il constitue un point de départ indispensable pour reprendre le contrôle. Conclusion : un problème humain avant tout Le shadow IT est un problème complexe, et il l’est d’autant plus que l’entreprise grandit. En PME, la pression de la rapidité et l’absence de processus formels amplifient le phénomène. Mais au fond, c’est avant tout un enjeu humain et communicationnel. Sensibiliser les employés aux risques, leur offrir des alternatives adaptées à leurs besoins et instaurer une culture de dialogue ouverte entre les équipes métier et l’équipe TI : voilà les piliers d’une approche réaliste et efficace face au shadow IT — et à tous ses avatars, du shadow hardware au shadow AI. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    17 min
See All (84)

About

Podcast francophone sur la cybersécurité pour les PME

Information

  • Creator
    Nicolas-Loïc Fortin et tous les collaborateurs
  • Years Active
    2025 - 2026
  • Episodes
    84
  • Rating
    Clean
  • Copyright
    © CC BY-NC-ND 4.0
  • Show Website
    PolySécure Podcast volet PME