PolySécure Podcast volet pour les professionels

Nicolas-Loïc Fortin et tous les collaborateurs
  • 0.0 (0)
  • Technology

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. May 21

    Spécial - Retour sur Google Next 2026

    Parce que… c’est l’épisode 0x2FD! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial, Nicolas Bédard revient sur sa participation à Google Next 2026, son quatrième événement du genre, mais le premier qu’il vivait en tant qu’employé de Palo Alto plutôt que de Google. Il y présente les quatre intégrations majeures que Palo Alto a lancées en partenariat avec Google, dans un contexte où l’intelligence artificielle agentielle se déploie à grande vitesse — souvent sans encadrement de sécurité adéquat. Le contexte : la plateforme Gemini Enterprise se réorganise Avant d’aborder les intégrations, Nicolas explique les changements de nomenclature chez Google. Gemini Enterprise est désormais divisé en deux volets : Gemini Enterprise Apps : l’interface utilisateur permettant d’accéder aux agents, aux connecteurs de données (SharePoint, Outlook, etc.) et aux outils IA. Gemini Enterprise AI Platform : la couche cloud sous-jacente, qui remplace l’ancienne plateforme Vertex AI. Cette restructuration simplifie la compréhension de l’écosystème : tout ce qui touche à l’IA en entreprise chez Google s’appelle désormais Gemini Enterprise. Intégration 1 — Prisma AIRS dans l’Agent Gateway La première et probablement la plus stratégique des intégrations concerne Agent Gateway, une nouvelle fonction au cœur d’Agent Cloud, la plateforme Google pour exécuter des agents IA. Agent Gateway agit comme un point d’insertion au sein des load balancers internes : il permet d’injecter des fonctions de sécurité ou d’autres capacités dans les flux de communication entre agents, entre un agent et un serveur MCP, ou entre un utilisateur et son agent. Palo Alto a annoncé l’intégration de son AI Runtime de Prisma AIRS directement dans ce gateway. L’idée est de centraliser la sécurité plutôt que de la déléguer à chaque développeur. Concrètement, cela signifie que les garde-fous — validation des comportements, prévention des fuites de données, protection contre les abus — s’appliquent automatiquement à tous les agents, sans que les équipes de développement aient besoin d’expertise en cybersécurité. Agent Gateway s’articule autour de trois piliers : l’identité, le runtime (pare-feu IA) et l’observabilité. Pour l’instant, seuls les deux premiers sont ouverts aux partenaires tiers comme Palo Alto. Cette approche répond directement à la préoccupation numéro un des équipes de sécurité en entreprise : le Shadow AI, soit l’utilisation non contrôlée d’outils IA par des employés ou des développeurs, qui expose l’organisation à des risques importants. Intégration 2 — Le scan de modèles open source via Gemini Enterprise Apps La deuxième intégration adresse un risque souvent sous-estimé : l’utilisation de modèles IA provenant de plateformes communautaires comme Hugging Face. Si les grands modèles commerciaux (Google, Anthropic, OpenAI, Mistral) offrent des garanties relatives à leur provenance, les modèles open source sont publiés par n’importe qui, sans vérification systématique. Ils peuvent contenir des vulnérabilités cachées, des kill switches, du code malveillant dissimulé dans l’enveloppe du fichier (notamment via des fichiers pickle), ou avoir été entraînés sur des données douteuses. Palo Alto a lancé un agent de scan de modèles directement accessible depuis Gemini Enterprise Apps. Intégré au cycle de développement logiciel (SDLC), cet agent permet à un développeur de soumettre un modèle hébergé sur Hugging Face ou dans un registre interne pour vérification avant déploiement — sans avoir à sortir de son environnement de travail habituel. Nicolas précise que cet agent fonctionne dans le tenant du client, ce qui garantit que les données restent dans l’infrastructure de l’entreprise. Intégration 3 — Wildfire et l’analyse de malwares dans les flux IA La troisième intégration s’inscrit dans une approche plus classique, mais essentielle : la détection de malwares dans les fichiers transitant par des agents IA. Google utilisait déjà la technologie de pare-feu de Palo Alto pour son Cloud NGFW. Ce qui est nouveau à Google Next, c’est l’ajout de Wildfire, le moteur de sandboxing de Palo Alto, sous la forme d’un service géré appelé Advance Malware Sandboxing. Concrètement : lorsqu’un utilisateur envoie un fichier via un agent Gemini Enterprise — vers un dépôt documentaire, par exemple — ce fichier est intercepté, analysé dans un environnement isolé, puis validé avant d’être stocké. Cela protège les autres utilisateurs ou agents qui pourraient accéder à ce fichier ultérieurement. L’enjeu est d’autant plus grand que les malwares générés par IA sont désormais créés on the fly, spécifiquement pour une cible, ce qui rend les approches basées sur des signatures connues insuffisantes. Intégration 4 — Le pare-feu dans l’Application Design Center La quatrième intégration touche à l’expérience des développeurs. Google a ouvert son Application Design Center (ADC) aux partenaires tiers. L’ADC est un outil visuel dans la console cloud qui permet d’assembler des services Google (Cloud Run, Pub/Sub, BigQuery, etc.) pour créer des applications. Palo Alto a travaillé avec Google pour permettre l’insertion native d’un pare-feu dans ces assemblages. Un développeur qui crée une architecture dans l’ADC peut maintenant ajouter un gabarit Palo Alto d’un clic. Une fois la configuration validée, l’outil génère automatiquement le code Terraform correspondant, incluant les load balancers et le pare-feu. L’objectif est de démocratiser la sécurité réseau en la rendant accessible à des développeurs qui ne maîtrisent pas nécessairement les subtilités des pare-feux d’infrastructure. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Nicolas Bédard

    25 min

  2. May 13

    Spécial - Naviguer à travers les sept îles (7 islands)

    Parce que… c’est l’épisode 0x2F8! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invité et de Seven Islands Nicolas Duguay est le président fondateur de Seven Islands Defense and Intel, une jeune firme spécialisée dans le conseil stratégique en cybersécurité, cyberdéfense et renseignement. Avant de lancer cette entreprise, il a occupé le poste de directeur général d’InCyber (anciennement In.Sec.M), le cluster canadien de la cybersécurité. Son parcours est atypique : il a d’abord été journaliste à Radio-Canada pendant une dizaine d’années, puis a évolué dans le secteur du renseignement privé, avant de bifurquer progressivement vers la cybersécurité. C’est cette trajectoire diversifiée qui lui a permis de développer une compréhension fine des écosystèmes internationaux et des dynamiques de marché. La mission de Seven Islands Seven Islands est née d’un constat simple : l’écosystème canadien de la cybersécurité est principalement composé de PME ambitieuses mais disposant de peu de moyens, qui passent souvent sous le radar des grands donneurs d’ordre. Fort de son expérience chez In.Sec.M, où il a mené des travaux de prospection et de cartographie d’écosystèmes à l’international en collaboration avec Affaires mondiales Canada, Nicolas a accumulé une connaissance approfondie des distinctions entre les marchés et des facteurs qui font qu’une entreprise réussit ou échoue à l’étranger. Seven Islands met cette expertise au service d’organisations qui souhaitent pénétrer de nouveaux marchés, non seulement en cybersécurité, mais aussi dans les secteurs de la défense et des outils de renseignement. Des marchés en pleine transformation L’Ukraine constitue un exemple frappant de marché en rupture de paradigme. La pression à ses frontières a engendré une explosion de la demande et le développement d’un écosystème local très innovant. Les pays limitrophes de l’espace russe — pays baltes, Europe centrale et de l’Est — connaissent une dynamique similaire. Or, plusieurs entreprises canadiennes arrivent dans ces marchés avec des produits pensés selon une logique traditionnelle de défense, sans tenir compte de la réalité du terrain : il faut des solutions abordables, accessibles, produites rapidement et utilisables sans formation poussée. C’est pratiquement l’inverse de la tradition habituelle en matière de produits de défense. Le rôle concret de Seven Islands auprès de ses clients La clientèle type de Seven Islands se compose de startups et de scaleups ayant atteint un niveau de maturité technologique suffisant pour aborder les marchés internationaux. La firme intervient pour raccourcir le temps d’acquisition de marché, c’est-à-dire pour permettre à ces entreprises de comprendre rapidement les particularités du procurement local, d’identifier les bons partenaires ou acheteurs, d’éviter les pièges propres à chaque marché et de structurer leur montage financier. Nicolas estime pouvoir réduire de moitié, voire du tiers, le temps et les coûts habituellement nécessaires à une pénétration de marché, qui se chiffrent normalement en centaines de milliers de dollars sur six mois à un an. Le Canada, un marché en silos Une partie importante de la conversation porte sur les particularités du marché canadien, souvent mal compris par les entreprises étrangères. L’erreur la plus répandue est de considérer le Canada comme un marché américain en plus petit ou, pour les Français, de voir le Québec comme une extension naturelle de la France. La réalité est tout autre : le Canada est un ensemble de silos distincts, chacun avec sa culture, ses réseaux et ses dynamiques propres. Toronto représente le pôle principal pour la cybersécurité privée, porté par le secteur bancaire et sa position de deuxième ou troisième place financière nord-américaine. La compétition y est féroce. Vancouver constitue le deuxième pôle en importance, avec un écosystème vibrant tourné vers la côte ouest américaine, la Silicon Valley et le marché Asie-Pacifique — une porte d’entrée stratégique souvent sous-estimée. Montréal est un marché significatif mais très insulaire, fortement centré sur lui-même et sur le Québec, avec des réseaux établis difficiles à pénétrer. Ottawa est le cœur du marché gouvernemental et devrait devenir l’un des pôles les plus intéressants du pays grâce aux récents investissements en défense. Calgary se distingue pour tout ce qui touche à la sécurité des systèmes énergétiques, tandis que des villes atlantiques comme Halifax et Fredericton investissent beaucoup d’efforts dans le développement de leur écosystème. Nicolas souligne que les entreprises étrangères qui échouent au Canada reviennent chez elles avec une image déformée du marché : elles racontent leur échec sans en analyser les causes profondes, alimentant ainsi des perceptions erronées chez d’autres entreprises qui pourraient autrement y trouver leur place. De nouvelles alliances géopolitiques et commerciales La conversation s’ouvre ensuite sur les marchés émergents les plus prometteurs. Nicolas observe un recadrage géopolitique important qui redéfinit les alliances commerciales du Canada. Le marché scandinave, longtemps ignoré, suscite aujourd’hui un intérêt considérable : la Suède notamment exprime un véritable appétit pour des échanges avec le Canada dans une dynamique nordique partagée. Les pays baltes — Estonie, Lettonie, Lituanie — ainsi que la Pologne offrent également des occasions majeures, avec moins de protectionnisme que les grands marchés traditionnels comme l’Allemagne, la France ou le Royaume-Uni. Nicolas constate que les entreprises canadiennes, habituées à la proximité confortable du marché américain, ont développé une certaine paresse stratégique. Elles commencent à peine à regarder au-delà de l’Amérique du Nord, et la courbe d’apprentissage risque d’être exigeante pour celles qui ne se sont pas outillées pour comprendre ces nouveaux marchés. C’est précisément là que Seven Islands entend jouer son rôle d’accompagnement. Notes 7 Islands Defense & Intel Collaborateurs Nicolas-Loïc Fortin Nicolas Duguay Crédits Montage par Intrasecure inc Locaux réels par Cyberconférence 2026

    27 min

  3. May 12

    Spécial - Rebondissement dans l'univers WordPress

    Parce que… c’est l’épisode 0x2F7! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le déclencheur : une attaque publique au WordCamp US En septembre 2024, Matt Mullenweg, fondateur de WordPress et dirigeant d’Automattic, profite de sa présentation de clôture au WordCamp US pour s’en prendre violemment à WP Engine, un hébergeur spécialisé WordPress. Il les qualifie de « cancer pour l’écosystème ». Le ton est d’autant plus choquant que les WordCamp sont des événements communautaires accessibles et abordables, portés par l’esprit de l’open source — le WordCamp Montréal, par exemple, ne coûtait que 50 dollars pour un weekend complet. WP Engine est un acteur majeur qui a bâti tout son modèle d’affaires autour de WordPress, offrant de l’hébergement dédié et ayant acquis plusieurs produits populaires, dont Advanced Custom Fields (ACF), un plugin utilisé par des millions de sites. Mullenweg reproche à WP Engine de générer d’importants revenus grâce à WordPress sans contribuer suffisamment au projet. Il avait d’ailleurs lancé l’initiative « Five for the Future », invitant les entreprises bénéficiant de l’écosystème à y consacrer 5 % de leurs ressources. Or, aucune obligation légale ne contraint quiconque à contribuer, et Mullenweg lui-même tire profit de l’écosystème via Automattic et WordPress.com. L’escalade : actions légales et blocages Trois jours après l’attaque publique, WP Engine réplique par une mise en demeure pour diffamation et extorsion. Le 25 septembre, Mullenweg bloque l’accès des serveurs de WP Engine au dépôt officiel de plugins et thèmes WordPress, empêchant des centaines de milliers de sites clients de recevoir leurs mises à jour, y compris les correctifs de sécurité. WP Engine doit alors développer en urgence des solutions de contournement. Le 30 septembre, la communauté découvre que WordPress.org — la plateforme qui héberge tout l’écosystème open source — appartient personnellement à Matt Mullenweg et non à la fondation WordPress, créée pourtant pour assurer transparence et gouvernance indépendante. Cette révélation amplifie l’inquiétude : une seule personne contrôle l’infrastructure sur laquelle repose près de 40 à 50 % des CMS du web, alors que le deuxième concurrent plafonne sous les 5 %. Le 2 octobre, WP Engine dépose une plainte officielle pour pratiques anticoncurrentielles et abus de pouvoir, rendant publics des échanges compromettants entre Mullenweg et la direction de WP Engine. Le chaos interne et la prise de contrôle d’ACF En parallèle, les employés d’Automattic s’interrogent sur les agissements de leur patron, qui communique de façon impulsive sur les réseaux sociaux et son blogue. Mullenweg pose un ultimatum à ses employés : être avec lui ou partir, avec un délai de 24 à 48 heures. Environ 159 personnes, soit près de 10 % de l’effectif, choisissent de quitter l’entreprise. Mullenweg reprend ensuite le contrôle du plugin ACF au nom de la sécurité de l’écosystème, s’appuyant sur la licence GPL qui régit les extensions déposées sur le dépôt WordPress. Il crée un clone baptisé SCF (Secure Custom Fields) et redirige silencieusement les mises à jour d’ACF vers SCF, de sorte que la plupart des utilisateurs changent de plugin sans même s’en rendre compte. Cette manœuvre soulève de sérieuses questions sur la pérennité de SCF, un produit gratuit sans modèle économique ni équipe dédiée à long terme. Pour les agences comme celle de Maxime, la situation est un casse-tête : faut-il informer les clients, revenir à ACF, attendre ? L’équipe de Maxime décide de redéployer ACF sur les sites concernés, estimant que les clients sont pris en otage dans ce conflit. Les conséquences sur l’écosystème Mullenweg réduit drastiquement les contributions d’Automattic au projet open source, passant de 4 000 heures par semaine à environ 45, provoquant une stagnation du développement. La version 6.8 de WordPress accumule les retards. BlackRock, investisseur dans Automattic, dévalue ses parts. Des développeurs commencent à remettre en question la pertinence de publier sur le dépôt WordPress. Face à cette centralisation problématique, des initiatives émergent pour décentraliser la distribution des extensions. WP Engine rachète WP Packagist et Roots lance WP Packages, offrant des alternatives au dépôt officiel. L’adoption reste cependant un défi majeur pour les utilisateurs non techniques. L’arrivée de EmDash par Cloudflare Le 1er avril 2025, Cloudflare lance EmDash, une solution de gestion de contenu basée sur le framework Astro. Son approche distingue le contenu statique du contenu dynamique grâce au concept d’« îles », offrant de meilleures performances. EmDash isole également les plugins dans des sandbox pour renforcer la sécurité, contrairement à WordPress où un plugin défaillant peut compromettre tout le site. Maxime reconnaît l’intérêt technique de cette solution, mais tempère l’enthousiasme : aucun écosystème de plugins, aucune communauté établie, aucun expert disponible. Cloudflare a les moyens financiers de soutenir le projet, mais il est trop tôt pour y migrer des projets clients. WordPress n’est ni mort ni véritablement menacé à court terme. Perspectives La bataille juridique entre Automattic et WP Engine devrait connaître des avancées en juin 2025. Maxime anticipe une tentative de règlement hors cour de la part de Mullenweg, face à un WP Engine soutenu par un fonds d’investissement de plusieurs milliards déterminé à aller jusqu’au bout. Plus le conflit dure, plus il nuit à l’ensemble de l’écosystème. L’espoir reste qu’un retour à la maturité permette à chacun de poursuivre son activité dans un marché suffisamment vaste pour tous. Collaborateurs Nicolas-Loïc Fortin Maxime Jobin Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    59 min

  4. May 7

    Spécial - RETEX conférence S3NS 2026 aka part 2

    Parce que… c’est l’épisode 0x2F5! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte et premières impressions Dans cet épisode spécial du podcast Polysécure, Nicolas Bédard reçoit son collègue de Palo Alto Networks pour un retour d’expérience sur la conférence S3NS, qui s’est tenue à Paris à la mi-février 2026. S3NS est le cloud souverain français, une offre construite sur la technologie de Google Cloud et certifiée par l’ANSSI (l’agence nationale française de cybersécurité) en décembre 2025 — soit à peine trois mois avant la conférence. L’invité y était envoyé en tant que représentant de Palo Alto Networks, pour présenter comment une entreprise américaine peut s’inscrire dans un écosystème de cloud souverain. Il avoue y être arrivé avec de sérieuses appréhensions : en tant que Nord-Américain travaillant pour une grande compagnie américaine, il craignait un accueil hostile, voire franchement anti-américain. La réalité qu’il a vécue a complètement renversé ses attentes. Une affluence surprenante, un discours inattendu Premier constat : l’ampleur de l’événement. Plus de 2 000 personnes étaient inscrites au sommet S3NS, un chiffre qui a surpris l’invité. La conférence était animée et les kiosques, dont celui de Palo Alto qui figurait parmi les plus grands, ont attiré une foule nombreuse et curieuse. Deuxième constat, et sans doute le plus marquant : le discours sur la souveraineté numérique entendu dans les keynotes était diamétralement opposé à ce qu’on entend habituellement au Québec ou en Amérique du Nord. Contrairement à ce que l’invité anticipait, il n’y avait aucune hostilité envers les entreprises américaines. Le message central de la conférence reposait sur deux piliers : la confiance d’abord, le contrôle ensuite. L’idée n’était pas de rejeter les technologies étrangères, mais de s’assurer qu’elles priorisent les intérêts des utilisateurs européens et qu’elles respectent leurs contraintes légales et opérationnelles. Cette nuance est fondamentale : mettre la souveraineté et l’innovation en opposition serait contre-productif. Les cyberattaquants, eux, utilisent les outils les plus avancés sans se soucier de leur origine. Une organisation qui sacrifierait l’innovation au nom de la souveraineté se retrouverait donc dans une position défavorable face aux menaces. Une maturité acquise avec le temps Nicolas Bédard apporte ici un éclairage précieux : il suit l’évolution du discours européen sur la souveraineté numérique depuis 2021-2022. À cette époque, le ton était beaucoup plus fermé, plus protectionniste, voire souverainiste au sens étroit du terme. En 2026, la pensée européenne a évolué vers une approche beaucoup plus pragmatique et collaborative, reconnaissant que la souveraineté ne signifie pas l’isolement, mais la maîtrise. Cette maturité, les Français l’ont acquise après des années de débat public sur le sujet. En comparaison, le Québec en est encore à une phase plus émotionnelle, réactive au contexte géopolitique récent. Les animateurs du podcast expriment le souhait que le débat local gagne lui aussi en nuance et en profondeur dans les années à venir. Palo Alto dans un cloud souverain : comment ça fonctionne ? La question naturelle se pose : comment une entreprise américaine comme Palo Alto Networks peut-elle opérer dans un environnement souverain, sachant que la certification SecNumCloud impose que l’opérateur soit une entité française ? La réponse est technique et pragmatique. Palo Alto ne peut pas être directement certifié SecNumCloud — et ne cherche pas à l’être. En revanche, ses produits peuvent tourner à l’intérieur d’une infrastructure souveraine certifiée. La stratégie retenue dans un premier temps consiste à déployer des solutions sous forme de machines virtuelles (VM) : pare-feu virtuels, console de gestion Panorama en VM, ou encore AI Runtime Security pour protéger les inférences localement. Le client télécharge et opère ces outils lui-même, dans son infrastructure souveraine, sans dépendre d’un service SaaS américain. Cette approche rappelle les déploiements dans les infrastructures critiques hors ligne — comme les sous-stations électriques — où l’on déploie des pare-feu entièrement autonomes, sans connexion à des services cloud externes. Le cloud souverain suit la même logique : le contenant est souverain, et le client garde le plein contrôle sur ce qui tourne à l’intérieur. Un use case qui dépasse les frontières françaises Un autre constat inattendu : la conférence S3NS attirait non seulement des organisations françaises, mais aussi des entreprises d’autres pays de l’Union européenne — Suisse, Italie, Allemagne, entre autres. Ces organisations voient dans S3NS une solution idéale pour la reprise après sinistre (DR) ou pour certaines charges de travail sensibles, en dehors même de toute obligation légale française. S3NS représente la certification cloud souveraine la plus exigeante disponible en Europe, ce qui en fait une option attractive pour quiconque cherche à minimiser son exposition aux juridictions extra-européennes. La souveraineté comme un oignon L’image la plus éclairante de la conférence est celle de l’oignon : la souveraineté se décline en couches. Certaines données et certains workloads nécessitent une infrastructure pleinement certifiée SecNumCloud — avec le surcoût que cela implique, inévitable pour tout cloud souverain qui ne bénéficie pas des économies d’échelle mondiales des grands hyperscalers. D’autres données, moins sensibles ou non soumises à des obligations légales, peuvent reposer sur des infrastructures alternatives offrant des garanties partielles de souveraineté — comme les offres équivalentes chez Microsoft ou AWS — à moindre coût. Ce n’est pas tout ou rien. C’est une stratégie graduée, adaptée à la nature de chaque donnée et à chaque contexte réglementaire. Ce qui s’en vient En conclusion, les deux animateurs notent que l’écosystème des clouds souverains est en pleine expansion : Bleu (basé sur Azure) est en cours de certification en France, un équivalent est annoncé en Allemagne, et d’autres suivront. La décentralisation vers de plus petits clouds régionaux s’amorce, portée en partie par le contexte géopolitique actuel. Un sujet à suivre de près — et assurément matière à un prochain épisode. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Nicolas Bédard

    24 min

  5. May 6

    Spécial - Vraust.ai ou comment protéger les personnes vulnérables de la fraude (Propolys)

    Parce que… c’est l’épisode 0x2F4! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invité et de la plateforme Dans cet épisode spécial enregistré dans le cadre de la cohorte Propolys, Nicolas reçoit Elnathan Tiokou, fondateur et CEO de Vraust.ai (vraust.ai). Cette startup québécoise se spécialise dans la prévention des arnaques (scams) en temps réel, ciblant principalement les citoyens canadiens les plus vulnérables. Elnathan présente sa plateforme comme un outil capable d’évaluer en quelques secondes si un site web, un courriel ou une conversation téléphonique présente des signes de fraude, en retournant un score de risque accompagné de recommandations concrètes. Comment fonctionne la fraude aujourd’hui Elnathan rappelle que la grande majorité des fraudes modernes repose sur le social engineering, c’est-à-dire la manipulation psychologique des victimes. Il illustre le propos avec un exemple parlant : un parent âgé qui tombe sur une fausse plateforme d’investissement et qui, faute de pouvoir rejoindre un proche plus averti, n’a aucun moyen de vérifier la légitimité du site. L’intelligence artificielle a considérablement amplifié la menace. Les fraudeurs peuvent désormais cibler des dizaines de milliers de personnes simultanément, avec des messages rédigés dans un français impeccable, rendant la détection humaine de plus en plus difficile. Même des professionnels en cybersécurité peuvent se faire piéger, comme Nicolas l’admet lui-même au fil de l’échange. Les axes d’analyse de Vraust.ai La plateforme s’appuie sur trois grandes familles d’analyse : L’analyse textuelle : courriels, sites web, messages de romance scam sur les réseaux sociaux. La plateforme effectue une analyse sémantique et sentimentale du contenu pour détecter les tentatives de manipulation. L’analyse vocale : les arnaques par appel téléphonique ou en vidéoconférence (Zoom, Teams) sont également couvertes. L’outil repère des signaux comme l’urgence dans le ton, les silences inhabituels ou les incohérences dans le discours. L’analyse technique : vérification de l’adresse IP, localisation du domaine, et autres indicateurs classiques en cybersécurité qui permettent de tracer l’origine d’une tentative de fraude. Ces trois couches alimentent un score de risque global, accompagné d’une catégorisation du type d’arnaque détecté (job scam, romance scam, fraude bancaire, etc.) et d’un lien vers des ressources gouvernementales présentant des situations similaires déjà documentées. La cible : les personnes vulnérables, pas les convaincus Elnathan soulève une statistique frappante : 78 % des adultes canadiens se disent confiants dans leur capacité à détecter une fraude, alors que 23 % d’entre eux continuent pourtant d’en être victimes. Cette fausse assurance crée un angle mort dangereux : plus on se croit invulnérable, plus on baisse sa garde. Plutôt que de dépenser énergie et capital à convaincre cette majorité confiante, Vraust.ai concentre ses efforts sur les segments les plus exposés : les personnes âgées, d’une part, et les jeunes de 13 à 18 ans, d’autre part — ces derniers représentant 25 à 27 % des victimes de fraude, un chiffre souvent méconnu. La stratégie commerciale repose sur un forfait familial : un adulte inscrit peut y intégrer ses parents et ses enfants, ces derniers ne pouvant rejoindre la plateforme qu’avec autorisation parentale. Une intégration pensée pour réduire la friction Actuellement, la plateforme fonctionne comme une interface conversationnelle en ligne — l’utilisateur y colle un texte suspect et reçoit une analyse instantanée. La prochaine étape, en cours de développement, est une application en arrière-plan (overlay) installée sur téléphone ou ordinateur. Celle-ci restera invisible dans l’usage quotidien et n’alertera l’utilisateur que lorsqu’une situation suspecte est détectée : un appel entrant frauduleux, un site web malveillant, etc. L’utilisateur garde le contrôle : il choisit quelles applications faire surveiller. La vie privée est au cœur de la conception — les données des utilisateurs ne sont pas stockées par défaut, et le modèle tourne en grande partie localement sur l’appareil. Simplifier le signalement aux autorités L’un des problèmes majeurs soulevés dans l’épisode est la barrière au signalement. Selon Elnathan, les 643 millions de dollars de pertes liées à la fraude rapportés l’an dernier au Canada ne représentent que 5 à 10 % des fraudes réelles — le reste n’étant jamais déclaré, souvent par honte, par découragement ou par manque de temps. Vraust.ai cherche à réduire ce processus à un seul clic : la plateforme structure automatiquement l’information (numéro du fraudeur, type d’arnaque, localisation potentielle) et la transmet aux autorités compétentes — en commençant par le Québec. Des échanges sont déjà en cours avec les autorités locales pour bâtir ce pipeline de signalement. Une fonction de rapport vocal est également prévue, permettant à une victime de simplement raconter son histoire à voix haute pour que la plateforme l’analyse et la transmette. En conclusion : la fraude se combat en communauté Elnathan conclut l’épisode par un appel au partage et à la déstigmatisation. Se faire arnaquer n’est ni une honte ni un signe d’ignorance — tout le monde peut en être victime. Il encourage chacun à reporter ses expériences, car chaque signalement alimente le modèle et protège les prochaines victimes potentielles. Nicolas renchérit : même les professionnels de la cybersécurité se font piéger, et 2026 s’annonce comme une année charnière dans la lutte contre la fraude numérique au Canada. Notes Vraust.ai Propolys Collaborateurs Nicolas-Loïc Fortin Elnathan Tiokou Crédits Montage par Intrasecure inc Locaux réels par Cyberconférence 2026

    31 min

  6. Apr 12

    Spécial - Teaser ITSec - René-Sylvain Bédard

    Parce que… c’est l’épisode 0x744! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un événement communautaire au cœur de la cybersécurité québécoise Dans cet épisode spécial, Nicolas-Loïc Fortin s’entretient avec René-Sylvain Bédard, un acteur bien connu de la communauté cybersécurité au Québec. Au menu : la conférence ITSec, ses origines, sa valeur, son thème de l’année, et les grandes réflexions que René-Sylvain s’apprête à y partager. Une conversation qui déborde rapidement sur des sujets plus larges, de l’intelligence artificielle à la gouvernance des données, en passant par le rôle des gestionnaires face aux défis de la cybersécurité. ITSec : bien plus qu’une conférence technique René-Sylvain décrit ITSec avec une affection non dissimulée. Impliqué depuis quatre ans, il qualifie l’événement de « grande messe » où se retrouvent professionnels de la cybersécurité et fournisseurs de services gérés (MSP) dans un esprit authentiquement communautaire. Ce qui le distingue des grands salons commerciaux, c’est précisément ce qu’il n’est pas : un show de vente. Ici, l’objectif est de partager la passion et les connaissances, pas de pousser des produits. L’ambiance y est conviviale mais résolument technique. La première journée est consacrée à la formation, suivie d’un capture the flag en soirée. Un spectacle humoristique vient ensuite marquer la transition entre les deux jours, permettant de souffler avant de replonger dans le contenu. Ce format — deux jours ni trop longs ni trop courts — contribue à maintenir une énergie positive tout au long de l’événement. Le parcours gestionnaire : amener le boss dans la salle L’une des innovations les plus marquantes des dernières années est l’introduction du « parcours gestionnaire », né d’un constat simple : après les présentations, des participants venaient régulièrement dire à René-Sylvain qu’ils auraient voulu que leur supérieur entende ce qui venait d’être dit. De là est née l’idée du Bring Your Own Boss — une invitation directe faite aux professionnels TI d’amener leur dirigeant à la conférence. Ce parcours, horizontal par nature, s’adresse à des gestionnaires issus de la TI, de la cybersécurité ou du monde MSP. L’objectif est d’assurer une « traduction » entre le langage technique des équipes et la réalité décisionnelle des dirigeants. Une initiative saluée par Nicolas-Loïc, qui souligne à quel point les grands événements comme le RSA contribuent parfois à brouiller les cartes en multipliant les annonces spectaculaires sans réelle valeur opérationnelle pour les praticiens. Le thème 2025 : l’IA qui protège nos mondes numériques Cette année, ITSec a choisi de centrer son édition autour de l’intelligence artificielle, non pas sous l’angle de la menace, mais sous celui de la protection. Le thème retenu — L’IA qui protège nos mondes numériques — ouvre une perspective rafraîchissante dans un paysage médiatique souvent dominé par les discours alarmistes. L’IA peut aussi être un bouclier, et ITSec entend démontrer comment. La conférence d’ouverture sera assurée par Anne-Gwen, dont René-Sylvain anticipe qu’elle va « souffler tout le monde » avec une vision nouvelle du sujet. Par ailleurs, Microsoft animera une formation sur la gouvernance des données comme prérequis à l’adoption de l’IA — un rappel bienvenu que déployer Co-Pilot sans avoir structuré ses données en amont, c’est prendre le problème à l’envers. La formule est connue : garbage in, garbage out. Gouvernance des données et sécurité : les deux faces d’une même pièce La discussion s’étend naturellement à la question de la gouvernance dans les environnements Microsoft 365. René-Sylvain illustre l’enjeu avec un exemple parlant : si la sécurité de vos données dans M365 n’est pas bien configurée, votre IA héritera des mêmes lacunes. Un stagiaire pourrait ainsi se retrouver avec accès aux salaires de toute l’organisation — non pas parce que l’IA est mal paramétrée, mais parce que les fondations de sécurité n’ont jamais été posées correctement. Cette réalité rejoint un problème plus large : la majorité des organisations déploient des outils d’IA générative sans avoir réalisé le travail préparatoire indispensable — nettoyage des données, gestion des accès, étiquetage (tagging). Un travail ingrat, invisible, mais absolument fondamental. La démocratisation de la cybersécurité pour les gestionnaires C’est le sujet que René-Sylvain s’apprête à aborder lors de sa présentation au parcours gestionnaire, en s’appuyant sur son livre en cours de publication. Son constat est sans appel : les outils technologiques de cybersécurité sont inutiles pour les dirigeants. Mettre une console Sentinel ou SentinelOne devant un gestionnaire — qu’il soit comptable, vendeur ou administrateur — ne produira aucun effet utile. 94 % d’entre eux, estime-t-il (et Nicolas-Loïc irait même jusqu’à 99 %), n’ont tout simplement pas les clés pour interpréter ce qu’ils voient. La question qu’il soulève n’est donc pas technique, mais stratégique : quelle est la couche de traduction qui manque pour rendre la cybersécurité digestible à un décideur ? Comment lui donner une visibilité réelle sur ce que ses équipes font, sans le noyer dans des millions de signaux d’alerte qu’il ne peut pas interpréter ? C’est le fil conducteur de sa présentation, et manifestement, un débat qui promet d’être animé. L’esprit de communauté comme moteur En conclusion, les deux interlocuteurs s’accordent sur l’essentiel : ce qui nourrit les professionnels de la cybersécurité, c’est le contact avec d’autres expertises, la confrontation bienveillante des points de vue, les échanges informels autour d’un café. ITSec, comme d’autres événements communautaires, remplit ce rôle en sortant les participants de la bulle négative pour les ramener à leur passion première : la technologie. Et si quelques tomates sont jetées en chemin, c’est souvent le signe qu’on a touché quelque chose de vrai. Notes 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 [ITSec - RenéSylvain Bédard] (https://it-sec.ca/schedule-speaker/rene-sylvain-bedard/) Collaborateurs Nicolas-Loïc Fortin René-Sylvain Bédard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    19 min

  7. Apr 11

    Spécial - Teaser ITSec - Frédérik Bernard

    Parce que… c’est l’épisode 0x743! Préambule L’enregistrement a été effectué à partir d’un lien Internet avec beaucoup de latence. J’ai corrigé du mieux que je peux. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invité et de son entreprise Frédérik Bernard est président fondateur de Secur01, une entreprise québécoise spécialisée en cybersécurité depuis 12 ans. Dès sa fondation, l’objectif était clair : rendre la cybersécurité accessible aux PME. Si les grandes entreprises bénéficiaient déjà depuis longtemps de services spécialisés dans ce domaine, ce n’est que depuis environ cinq ans que les PME commencent à prendre conscience de l’importance de se protéger. Secure 01 accompagne aujourd’hui plus d’une centaine de clients actifs au Canada, aux États-Unis et en Europe. La cybersécurité, un domaine de spécialisation à part entière L’un des fils conducteurs de l’échange est la transformation profonde du secteur des technologies de l’information. Dans les années 2000, « faire du TI » signifiait tout à la fois : réparer des ordinateurs, installer des imprimantes, maintenir des serveurs, développer des sites web. Aujourd’hui, ces disciplines se sont fragmentées, tout comme le multimédia s’est autrefois détaché du reste de l’informatique. La cybersécurité suit exactement cette trajectoire. Les cadres de contrôle internationaux sont unanimes : les personnes qui gèrent les opérations TI au quotidien ne devraient pas être celles qui supervisent leur propre sécurité. La raison est simple et profondément humaine — on manque d’objectivité lorsqu’on évalue son propre travail. Frédérik Bernard fait le parallèle avec le monde du développement logiciel, où le contrôle qualité est depuis longtemps confié à des équipes distinctes de celles qui produisent le code. L’analogie médicale qu’il propose est particulièrement parlante : demander à un médecin généraliste d’opérer un cerveau n’a aucun sens, aussi compétent et bien intentionné soit-il. La cybersécurité, c’est la neurochirurgie des systèmes d’information. L’état du marché : moins d’attaques, mais plus dévastatrices Les rapports de référence du secteur — CDW, Verizon DBIR et autres — convergent vers un constat préoccupant : si le nombre d’attaques a légèrement diminué ces dernières années, leur portée et leur criticité ont explosé. Les attaquants passent de plus en plus de temps sur les réseaux compromis avant d’être détectés — parfois 20, 30 ou 40 jours —, le temps d’exfiltrer des centaines de gigaoctets de données sensibles. Ce constat est aggravé par une réalité de terrain que Frédérik Bernard rencontre régulièrement lors de réponses aux incidents : des équipes TI incapables de répondre à des questions élémentaires. À quoi sert tel serveur ? Quelles données y sont hébergées ? Quel est l’inventaire des machines actives sur le réseau ? Ces lacunes ne sont pas le résultat d’une mauvaise volonté, mais d’une surcharge chronique et d’un manque de spécialisation. Les équipes TI sont débordées, en retard de plusieurs semaines sur leurs projets, et la vague numérique post-COVID — télétravail, infonuagique, industrie 4.0 — n’a fait qu’amplifier cette pression. L’intelligence artificielle : accélérateur, pas substitut L’essor de l’IA dans le secteur est également abordé. Si les outils dopés à l’IA permettent effectivement de gagner du temps sur des tâches précises — comme l’analyse de journaux d’événements qui passait de 45 minutes à 2 minutes —, ils ne transforment pas pour autant un généraliste en expert de la cybersécurité. Entraîner un modèle à reconnaître des signaux d’alerte pertinents, le connecter à l’ensemble des sources de données d’un environnement, exige un investissement considérable en temps et en expertise. L’IA est un outil d’optimisation, pas une lampe magique. Les enjeux réglementaires et juridiques, un terrain miné La cybersécurité ne se joue pas seulement sur le plan technique. Frédérik Bernard soulève un point méconnu mais capital : au Québec, mener une réponse aux incidents — collecter des preuves, établir le récit d’une attaque — constitue légalement une activité d’investigation encadrée par la loi sur la sécurité privée. Seules les agences de sécurité privée disposant d’enquêteurs accrédités sont habilitées à exercer ces activités. De nombreux prestataires TI l’ignorent et s’y aventurent sans le savoir, s’exposant à des risques juridiques sérieux. Il cite un cas concret : un fournisseur TI ayant effacé toutes les preuves en débranchant physiquement les équipements lors d’une attaque par rançongiciel, puis rédigé un rapport désignant un tiers comme responsable, sans la moindre preuve. Le dossier s’est judiciarisé. Ce type de situation illustre à quel point l’absence de cadre professionnel peut nuire aux clients comme à l’ensemble de l’industrie. Vers une association professionnelle et un ordre professionnel C’est précisément pour répondre à ces dérives que l’association ITSec a été relancée avec une ambition politique claire : créer les conditions nécessaires à l’établissement d’un ordre professionnel en TI et en cybersécurité au Québec. L’objectif n’est pas de bureaucratiser le secteur, mais de lui donner les outils pour se défendre collectivement — un code de déontologie, des lignes directrices partagées, une voix crédible auprès des décideurs politiques et des médias. Le « beau frère » — cette figure du pseudo-expert qui branche une caméra sans fil et se proclame directeur TI — ne disparaîtra que lorsque l’industrie aura la capacité institutionnelle de dire « non » et de faire valoir ce qu’elle représente réellement : le Québec numérique, tenu à bout de bras, en coulisses, par des professionnels dont le travail reste largement invisible. Frédérik Bernard interviendra à deux reprises lors de la conférence ITSec. Le public est invité à assister à ses présentations pour approfondir ces sujets. Notes 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 [ITSec - Frédérik Bernard] (https://it-sec.ca/schedule-speaker/frederik-bernard/) Collaborateurs Nicolas-Loïc Fortin Frédérik Bernard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    35 min

  8. Apr 8

    Spécial - Gestion de crise

    Parce que… c’est l’épisode 0x740! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Enquête vs gestion de crise : deux mondes opposés Dans cet épisode, Nicolas reçoit Christophe pour approfondir un sujet évoqué lors d’une conversation précédente sur les enquêtes en cybersécurité : la gestion de crise. Si l’enquête s’inscrit dans un cadre ordonné — parfois judiciaire — où l’on dispose du temps, des outils et de la rigueur nécessaires pour reconstituer les faits, la gestion de crise, elle, est son exact opposé. Écrans qui clignotent, téléphones qui sonnent dans tous les sens, experts épuisés, informations incomplètes et décisions à prendre dans l’urgence : voilà le quotidien du gestionnaire de crise. Christophe résume bien cette dualité en parlant du brouillard de la guerre (fog of war) : on avance dans l’incertitude, on ajuste ses hypothèses au fur et à mesure que la réalité se révèle, sans jamais avoir toutes les cartes en main. La complexité humaine au cœur de la crise L’un des points les plus saillants de l’épisode est que la gestion de crise dépasse largement le seul volet technique. Elle constitue avant tout un test de maturité collective, qui mobilise des équipes venues de tous horizons : juridique, communication, ressources humaines, logistique. Or ces acteurs n’ont pas nécessairement de culture cyber, ce qui crée des frictions importantes. Un terme mal compris, une information mal transmise — et c’est déjà plusieurs heures de perdues à des clarifications qui auraient pu être évitées grâce à une sensibilisation préalable. Christophe souligne également le biais de transmission : dans un contexte de stress intense, un message se dégrade à chaque relais humain. Une information déjà incertaine à la source devient encore moins fiable après plusieurs mains. C’est pourquoi le rôle du gestionnaire de crise est d’agir comme un filtre, en s’assurant que seules les informations vérifiées et pertinentes circulent, tant en interne qu’en externe. La communication de crise, une discipline à part entière Les deux interlocuteurs insistent sur le fait que la communication de crise ne s’improvise pas, et ne ressemble en rien à la communication marketing habituelle. Vouloir « lisser » un message ou rassurer trop tôt peut s’avérer catastrophique — notamment face aux réseaux sociaux, qui amplifient immédiatement toute contradiction entre le discours officiel et la réalité sur le terrain. Pire encore : communiquer prématurément sur les actions de remédiation en cours, c’est potentiellement informer les attaquants — qui peuvent très bien observer les communications publiques — de ce que l’organisation est en train de faire. Dans certains cas, il peut même être stratégique d’orienter délibérément les communications pour leurrer des attaquants encore présents dans le système. Cette dimension tactique de la communication exige des spécialistes formés à la crise, pas de simples communicants. Le rôle du gestionnaire de crise : chef d’orchestre, pas omniscient Christophe décrit le gestionnaire de crise comme un chef d’orchestre : il ne joue pas de tous les instruments lui-même, mais il sait qui doit intervenir, à quel moment, et pour combien de temps. Son rôle n’est pas de détenir la vérité, mais de poser les bonnes questions — qu’est-ce qui fonctionne encore ? Que s’est-il passé hier ? Quel est l’état des équipes ? — afin que les experts puissent lever progressivement le brouillard. Une erreur classique en début de crise est de vouloir annoncer une conclusion trop tôt. Présenter une hypothèse comme une certitude fige la réflexion collective et ralentit la résolution, car il devient très difficile de revenir en arrière sur ce qui est perçu comme une « vérité ». Les premières heures doivent servir à collecter des informations, pas à trancher. Il faut aussi savoir gérer la hiérarchie : certains managers, habitués à piloter leurs équipes au quotidien, peuvent parasiter la gestion de crise. Le gestionnaire doit parfois avoir le courage de les écarter temporairement pour laisser les experts s’exprimer sans pression. Préparer la crise avant qu’elle n’arrive Un autre fil conducteur de l’épisode est l’importance de la préparation en amont. Avoir une cartographie du système d’information à jour, des annuaires de contacts valides, des templates de communication prêts, des prestataires externes identifiés, des salles de crise définies avec des moyens de communication de secours : tout cela peut faire gagner des heures précieuses le jour J. À l’inverse, une documentation obsolète contraint les équipes — internes comme externes — à perdre un temps irrémédiable à reconstituer l’existant, comme on tenterait de soigner un inconnu sans connaître ses antécédents médicaux. Crise vs urgence : ne pas confondre les deux Christophe propose une distinction utile entre urgence et crise. L’urgence, c’est une situation difficile mais connue, documentée, pour laquelle on s’est entraîné : on sait quoi faire, il faut juste le faire vite. La crise, en revanche, est par définition imprévisible, non documentée, inédite. L’objectif n’est pas de résoudre la crise d’un coup, mais de la faire redescendre au niveau de l’urgence — un état maîtrisable, moins épuisant pour les équipes. Conclusion : aller jusqu’au bout du traitement L’épisode se clôt sur une métaphore médicale : tout comme un patient qui interrompt son traitement trop tôt parce qu’il se sent mieux risque une rechute, une organisation qui déclare la crise terminée avant d’avoir complètement éradiqué la menace s’expose à une reprise. La vigilance doit se maintenir bien après le retour apparent à la normale — et c’est là toute la subtilité d’une bonne gestion de crise. Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    34 min
See All (268)

About

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Information