Afleveringen

  • Parce que… c’est l’épisode 0x713!Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescriptionUn engouement disproportionné

    Enregistré fin janvier 2026, cet épisode spécial du podcast aborde un sujet qui agace de plus en plus : la pression croissante exercée sur les individus et les entreprises pour adopter l’intelligence artificielle, non pas parce qu’elle est utile ou mature, mais parce que des géants technologiques ont massivement parié dessus et doivent récupérer leur mise.

    Les deux intervenants ne rejettent pas l’IA en bloc — ils l’utilisent tous deux et y trouvent des applications concrètes. Mais ils pointent un décalage flagrant entre le discours ambiant, omniprésent dans les médias, les conférences comme Davos et les communications d’entreprise, et la réalité mesurable sur le terrain. Selon une statistique citée, 80 % des projets d’IA en entreprise échouent : mauvais calibrage, mauvaise définition du besoin, ou coût de maintenance trop élevé pour justifier l’investissement. Seuls 20 projets sur 100 génèrent de réels bénéfices.

    L’IA comme récit marketing

    Le premier exemple analysé est l’annonce d’Amazon de supprimer 15 000 postes dans le monde pour les remplacer par des outils d’IA. Si l’annonce a fait grand bruit, les deux interlocuteurs invitent à déconstruire ce récit. Dans une entreprise de cette taille, 15 000 suppressions de postes représentent une restructuration relativement classique, motivée avant tout par des impératifs financiers : réduire la masse salariale pour présenter de meilleurs résultats aux actionnaires, ou encore remplacer des profils seniors par des juniors moins bien payés. Amazon continue d’ailleurs de recruter en parallèle. L’IA sert ici de justification commode, voire de campagne publicitaire : en affirmant « manger sa propre cuisine », Amazon cherche à convaincre d’autres dirigeants que la technologie est suffisamment mûre pour transformer leurs organisations.

    Ce mécanisme révèle un phénomène plus large : les entreprises qui vendent des solutions d’IA ont tout intérêt à entretenir la croyance en leur efficacité. Comme les vendeurs de pelles pendant la ruée vers l’or, elles profitent de la fièvre sans nécessairement garantir que leurs clients trouveront de l’or.

    Quand les éditeurs haussent le ton

    Deuxième exemple : le patron de Microsoft a publiquement réprimandé les utilisateurs de Copilot qui osaient critiquer l’outil, leur demandant non pas de formuler des retours constructifs, mais d’utiliser le produit davantage et de cesser de se plaindre. Cette sortie, qui a engendré le hashtag ironique #Microslops, illustre selon eux un glissement inquiétant : on ne parle plus d’invitation à adopter l’IA, mais d’injonction autoritaire. Cette nervosité trahit une réalité économique : Microsoft, comme d’autres, a investi des milliards dans ces technologies et commence à percevoir un ralentissement de l’adoption. La panique s’installe.

    Nvidia tient un discours similaire au forum de Davos, moins agressif mais tout aussi contraignant : consommer l’IA serait désormais une condition sine qua non de la réussite économique.

    Le mythe du remplacement et la réalité du terrain

    Sur la question du remplacement des travailleurs, notamment des développeurs, les faits démentent les promesses. Des entreprises ont licencié des équipes techniques pour confier leur travail à des outils génératifs, puis ont dû réembaucher — parfois à des salaires plus bas — pour corriger les erreurs produites. Une étude du MIT est citée à ce sujet : ce sont les développeurs seniors qui utilisent le plus les IA de codage, justement parce qu’ils ont les compétences nécessaires pour valider et corriger les sorties. L’IA amplifie la compétence existante, elle ne la remplace pas. Multiplier par zéro donne toujours zéro.

    Le prompt engineering comme profession autonome est également démystifié : sans base en algorithmique, manipuler un LLM revient à avancer dans le noir. Les dirigeants qui imaginent transformer leur entreprise sans comprendre les fondements techniques de ces outils se heurtent inévitablement à la réalité.

    Une bulle à la veille d’exploser

    Les deux intervenants anticipent un éclatement de la bulle spéculative dès 2026, voire 2027. Les signes sont là : plateau des performances (la différence entre GPT-4 et GPT-5 serait marginale), hallucinations persistantes, coûts en ressources exponentiels pour des améliorations minimes, et pénurie croissante de mémoire RAM due à la course aux data centers. Des voix importantes, comme celle de Yann LeCun, affirment que le modèle LLM a atteint ses limites structurelles et ne pourra jamais constituer une intelligence artificielle générale.

    L’impact environnemental est également soulevé : les data centers consomment des quantités massives d’eau et d’énergie, s’implantant parfois dans des régions déjà en stress hydrique, comme au Chili où des droits de consommation d’eau illimités peuvent être achetés.

    Des contre-courants émergent

    Face à cette frénésie, des résistances apparaissent. Des utilisateurs expérimentés adoptent une posture raisonnée : l’IA comme outil de gain de temps sur certaines tâches, non comme substitut à la réflexion. Des jeunes générations décrochent des réseaux sociaux et de l’IA, conscients des effets sur leur santé mentale et de l’inutilité de tricher à l’école si l’on n’acquiert aucune compétence réelle. Des philosophes comme Éric Sadin alertent sur la perte de sens de l’effort et du savoir.

    Conclusion : une nouvelle forme de contrôle

    En filigrane, les deux intervenants voient dans cette marche forcée vers l’IA une manifestation d’un pouvoir nouveau : celui des tech bros, qui ont remplacé le pétrodollar comme levier de contrôle global, et ne s’en cachent plus. La lucidité s’impose : ce grand changement de civilisation prendra une à deux décennies, il sera chaotique, mais il est nécessaire de le traverser les yeux ouverts plutôt que de subir les récits que d’autres construisent pour nous.

    Collaborateurs Nicolas-Loïc Fortin Davy AdamCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x706!Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescription

    Dans cet épisode spécial du podcast, Nicolas reçoit Christophe d’Arlhac pour explorer le monde complexe des enquêtes en cybersécurité. La discussion révèle que l’investigation cyber est avant tout une affaire de méthodologie et non simplement de technologie, avec des parallèles frappants avec les enquêtes dans le monde physique.

    Un malentendu fondamental

    Christophe souligne d’emblée un malentendu courant : beaucoup pensent que l’investigation cyber est uniquement réservée à des spécialistes ultra-techniques. En réalité, la cyber-investigation s’inscrit dans une tradition très ancienne d’enquête. Comme dans un accident industriel ou une enquête judiciaire, on n’efface pas les traces avant d’avoir observé et compris. Pourtant, en cybersécurité, les ingénieurs ont longtemps fait l’inverse, privilégiant la remise en production rapide au détriment de la compréhension de l’incident.

    L’opposition entre deux métiers complémentaires

    L’un des points centraux du podcast est la différence fondamentale entre le rôle de l’enquêteur et celui de l’ingénieur. L’ingénieur est formé pour faire fonctionner, créer et maintenir des systèmes. Son objectif est de rétablir le service rapidement et de sécuriser les infrastructures. L’enquêteur, lui, adopte une approche diamétralement opposée : il demande d’arrêter, d’observer et de comprendre avant d’agir. Il se pose des questions sur le contexte, la veille dans le secteur, les changements récents dans l’organisation, les nouveaux arrivants ou les nouvelles technologies déployées.

    Cette opposition crée naturellement des tensions lors de la gestion d’incidents. L’ingénieur veut rebrancher immédiatement le système compromis, tandis que l’enquêteur insiste pour préserver les preuves et observer l’attaquant. Comme le souligne Nicolas, il existe une tension particulière en cyber : la nécessité parfois d’observer l’attaquant dans son “état naturel” pour comprendre ses motivations et ses méthodes, une approche contre-intuitive pour les équipes techniques.

    La règle d’or : ne jamais effacer les preuves

    Les deux experts partagent une conviction forte : il ne faut jamais écouter quelqu’un qui dit d’effacer les preuves rapidement sous prétexte qu’il n’y aura pas d’enquête. L’expérience montre qu’il y a toujours quelqu’un – une autorité, un client, un partenaire – qui finira par poser des questions, parfois des années plus tard. Les contre-enquêtes peuvent survenir des décennies après les faits, et sans preuves conservées, toute investigation devient impossible.

    Le réflexe classique lors d’un incident – redémarrer, réinitialiser, restaurer des sauvegardes – est une catastrophe du point de vue de l’enquête. Cette approche efface la chronologie, détruit les journaux et les connexions, rendant impossible la compréhension du “comment” et du “par où” de l’attaque.

    L’ordre méthodologique universel

    Christophe insiste sur un principe fondamental : bien gérer un incident, ce n’est pas aller vite, c’est agir au bon moment. L’ordre méthodologique est universel : observer, comprendre, décider, puis agir. Inverser cet ordre pose systématiquement des problèmes. Cette approche peut se faire rapidement, mais elle doit respecter cette séquence logique.

    Dans l’idéal, l’ingénieur sécurise les périmètres pour éviter que la situation ne s’aggrave, pendant que l’enquêteur fige les preuves et observe. L’utilisation de “pots de miel” pour isoler et observer l’attaquant est mentionnée comme une technique avancée, bien que peu d’organisations aient la capacité de la mettre en œuvre.

    Les répercussions multidimensionnelles

    Une enquête cyber mal conduite n’est pas seulement un problème informatique. C’est aussi un problème juridique, d’assurance, de gouvernance, de crédibilité et d’image. Sans preuves conservées, impossible d’expliquer aux autorités, aux assureurs ou aux partenaires ce qui s’est passé. Ces réunions post-incident se passent rarement bien quand les preuves ont été effacées.

    La préparation : clé du succès

    La préparation d’une organisation à l’investigation cyber doit commencer bien avant l’incident. Cela implique plusieurs dimensions :

    Le choix des outils et des procédures : Les enquêteurs doivent être consultés dès la sélection des outils de sécurité, car ces outils fourniront les éléments d’investigation. Leurs besoins peuvent différer de ceux des ingénieurs.

    La veille juridique : Chaque pays et chaque secteur ont des réglementations différentes concernant la conservation des données, les délais, et les types d’informations à préserver. Les infrastructures critiques ont des obligations particulières.

    La conservation des preuves numériques : Le fameux “hash” ou empreinte numérique permet de garantir l’intégrité des preuves et de s’assurer qu’elles n’ont pas été modifiées. Cette capture doit être faite avant toute autre opération.

    La documentation exhaustive : Le degré de documentation requis en enquête est beaucoup plus élevé qu’en opération. Il faut documenter les versions des logiciels utilisés, la méthodologie employée, chaque étape de l’investigation. Cette rigueur est essentielle pour que les contre-expertises, parfois des années plus tard, puissent être menées correctement.

    L’entraînement : le parent pauvre

    Un constat frappant émerge de la discussion : en cyber, contrairement aux corps organisés (police, pompiers, militaires), on répond constamment aux incidents mais on s’entraîne peu. Les corps d’intervention traditionnels passent 95% de leur temps à s’entraîner et sont rarement sollicités. En cyber, c’est l’inverse. Ce manque d’entraînement crée un désavantage majeur lors de la survenue d’un incident réel.

    L’entraînement régulier à travers des exercices de crise est essentiel, non seulement pour les équipes techniques mais aussi pour les dirigeants. Ceux-ci doivent comprendre pourquoi les informations ne sont pas disponibles immédiatement et apprendre à gérer leur impatience naturelle.

    La nécessité d’un travail d’équipe

    L’investigation cyber exige de créer des binômes qui apprennent à travailler ensemble, où chacun comprend le langage de l’autre. Christophe compare cela à un orchestre où chaque musicien a sa partition. L’enquêteur et l’ingénieur doivent jouer en concert, avec la coordination d’un chef d’orchestre (le management).

    Quand on ajoute les avocats, les équipes de communication et les managers, la complexité augmente encore. Aligner tout le monde et s’assurer qu’on avance dans la bonne direction devient un défi majeur. La cybersécurité n’est plus l’affaire de spécialistes isolés mais concerne désormais toute l’organisation, des dirigeants aux citoyens.

    Conclusion : un changement de paradigme

    Comme le conclut Christophe, la cybersécurité change de nature. Après des années centrées sur la technologie, l’heure est venue de se concentrer sur la méthode, la culture et la capacité à prendre de bonnes décisions. L’investigation aura un rôle central à jouer dans cette transformation, à condition que les organisations investissent dans la préparation, l’entraînement et la collaboration entre les différents métiers impliqués.

    Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHACCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Zijn er afleveringen die ontbreken?

    Klik hier om de feed te vernieuwen.

  • Parce que… c’est l’épisode 0x704!Shameless plug

    – 25 et 26 février 2026 - SéQCure 2026

    31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescriptionIntroduction : Entre enthousiasme et vigilance

    Dans cet épisode, les animateurs explorent l’utilisation concrète de l’intelligence artificielle dans leurs environnements professionnels respectifs. Enregistré dans un contexte festif entre Noël et le jour de l’An, ce podcast vise à démystifier l’IA en partageant des expériences réelles, sanctionnées par leurs employeurs, plutôt que de perpétuer des mythes ou des craintes infondées.

    L’IA comme outil, pas comme substitut

    L’analogie centrale du podcast compare l’IA à une caméra de recul automobile : un outil utile qui améliore nos capacités, mais qui peut nous rendre « niaiseux » si on s’y fie aveuglément. Vincent insiste sur l’importance de tester l’outil, comme on teste une voiture en hiver dans un stationnement pour comprendre ses réactions et ses limites. Cette approche expérimentale est essentielle pour développer un usage responsable.

    Depuis le lancement de ChatGPT en novembre 2022, l’écosystème a considérablement évolué avec l’émergence de concurrents comme Claude, Copilot, Gemini et Mistral. Les deux animateurs utilisent principalement Copilot et Gemini dans des environnements contrôlés par leurs employeurs, avec des autorisations spécifiques pour certains types de données – un point crucial pour la sécurité.

    La méthodologie gagnante : partir d’un draft solide

    L’approche recommandée par les deux experts est claire : ne jamais partir de zéro. Vincent décrit son processus de travail pour la production de rapports, d’analyses de risque ou d’avis : il rédige toujours un premier draft lui-même avant de le soumettre à Copilot. Il définit ensuite des critères précis : l’audience (exécutive ou opérationnelle), l’objectif de la présentation, et le format souhaité.

    Cette méthode respecte la règle du 80/20 : on maîtrise 100 % du sujet, ce qui permet de détecter facilement les 20 % d’ajustements nécessaires dans le résultat proposé par l’IA. Vincent souligne que sa force réside dans les idées et le message, tandis que l’IA l’aide sur la présentation et la structure – un domaine qu’il reconnaît comme moins naturel pour lui.

    Nicolas partage cette philosophie : l’IA lui permet de gagner du temps en structurant ses idées plus efficacement, économisant les deuxième et troisième réécritures qu’il effectuait auparavant. Un rapport qui prenait une semaine peut maintenant être complété en 2,5 à 3 jours, mais cela représente toujours un travail humain substantiel.

    L’IA n’est pas votre ami : une relation professionnelle

    Un point crucial soulevé par Nicolas : il ne converse pas avec l’IA, il lui donne des directives. Cette approche professionnelle évite le piège de vouloir « plaire » à l’agent conversationnel. Vincent reconnaît ce risque : l’IA peut effectivement chercher à faire plaisir à l’utilisateur, reproduisant parfois exactement ce qu’on lui a soumis avec des changements cosmétiques.

    La métaphore employée évolue de « wingman » à « copilote », voire à « un enfant de 5 ans qui écrit bien » selon Nicolas. Cette désacralisation est importante : l’IA est un outil, pas un collègue, pas un ami, et certainement pas un expert autonome.

    Les pièges à éviter : hallucinations et références fictives

    Les animateurs mettent en garde contre plusieurs dangers majeurs :

    Les hallucinations : L’IA peut inventer des informations, notamment des références juridiques inexistantes. Plusieurs cas d’avocats américains ont fait les manchettes pour avoir cité des jurisprudences fictives. Au Québec et au Canada, où les données sont plus périphériques dans l’entraînement des modèles, ce risque est encore plus élevé.

    Les références erronées : L’IA propose souvent des sources qu’il faut impérativement vérifier. Vincent raconte avoir reçu des références provenant d’autres pays (Luxembourg, Japon, Chine) totalement inadéquates pour le contexte québécois et canadien. Les lois et règlements variant d’un pays à l’autre, une validation systématique est essentielle.

    Les biais discriminatoires : Vincent rappelle le cas d’Amazon en 2017-2018, où un système d’IA de tri de CV excluait systématiquement les femmes. Ces biais, parfois subtils, peuvent s’infiltrer dans les textes générés et nécessitent une vigilance constante, d’autant plus que l’AMF (Autorité des marchés financiers) s’intéresse de près à ces questions.

    Cas d’usage concret : l’importance du contexte

    Vincent partage un exemple éloquent : pour produire un avis de risque dans un délai serré, il a fourni à l’IA des documents de référence spécifiques (code Maestro, COBIT 4.1) ainsi que le contexte précis, les critères et les limitations. Le résultat : un document à 99 % probant, très cadré, qui lui a permis de présenter rapidement des recommandations claires à son vice-président.

    Cette approche illustre le concept de RAG (Retrieval-Augmented Generation) : en fournissant une base de connaissance spécifique, on obtient des résultats beaucoup plus précis et pertinents. L’IA n’est pas un moteur de recherche, mais un générateur de texte qui performe mieux quand on lui donne le contexte adéquat.

    Votre réputation en jeu

    Un message fort traverse tout le podcast : c’est votre nom qui apparaît sur le document. Si vous déposez un travail médiocre généré par l’IA sans vérification, c’est votre réputation professionnelle qui en souffrira, pas celle de la machine. Les conséquences peuvent être sévères : perte de confiance de la part des gestionnaires, sanctions professionnelles, voire amendes dans le cas d’avocats.

    La relation de confiance avec son supérieur est fragile, particulièrement en début de carrière. Un gestionnaire qui reçoit un document s’attend à ce que son auteur en maîtrise le contenu à 100 %. L’incapacité à répondre aux questions lors de la « question du journaliste » – ce moment où un décideur challenge votre travail – peut détruire cette confiance de manière durable.

    Conclusion : maîtrise et vigilance

    L’analogie de l’automobile revient en conclusion : l’IA est un outil puissant et utile, mais qui nécessite une maîtrise adéquate avant utilisation, comme un permis de conduire. Elle peut générer des gains de productivité de 10 % ou plus, mais ne remplacera pas l’humain, du moins pas dans un avenir immédiat.

    Les animateurs insistent : vous restez imputable de vos décisions et de votre travail. L’IA est un allié dans votre stratégie et votre tactique, mais vous êtes le décideur final. Utilisez-la comme un accélérateur, un rehausseur de qualité, mais jamais comme un substitut à votre expertise et votre jugement professionnel.

    Collaborateurs Nicolas-Loïc Fortin Vincent GroleauCrédits Montage par Intrasecure inc Locaux réels par Intrasecure inc
  • Parce que… c’est l’épisode 0x701!Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescriptionLes initiatives du gouvernement du Québec en cybersécurité

    Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité.

    Un parcours technique impressionnant

    Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique.

    Les 15 mesures obligatoires : une base solide

    En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics.

    Une surveillance centralisée 24/7/365

    L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence.

    Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur.

    Le regroupement RHI : une révolution organisationnelle

    Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble.

    L’automatisation et la réactivité

    L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses.

    Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de 900 serveurs SharePoint.

    Reconnaissance internationale et création de CVE

    Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l’excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l’aide de pentesteurs virtuels basés sur l’IA.

    Le balayage de vulnérabilités : externe et interne

    Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d’attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l’identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS.

    Cet inventaire facilitera grandement la gestion des risques : lorsqu’une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d’alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels.

    Le défi des objets connectés

    Fournier identifie les objets connectés (IoT) comme un défi majeur pour l’avenir. Ces dispositifs, de plus en plus présents dans l’environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L’exemple du thermomètre d’aquarium ayant servi de point d’entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l’appareil gouvernemental représente le “Saint Graal” de la cybersécurité.

    Le projet de loi 82 et les infrastructures critiques

    Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l’eau, l’électricité, et d’autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l’eau.

    Conclusion

    Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l’automatisation des réponses, la surveillance continue, et l’adoption de technologies basées sur l’IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l’ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois.

    Collaborateurs Nicolas-Loïc Fortin Yvan FournierCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x695!Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescriptionIntroduction

    Sandra Aubert, fondatrice de FF2R (From Fiction to Reality), révolutionne l’approche de la sensibilisation aux risques majeurs en entreprise. Son concept audacieux : transformer la formation en cybersécurité et autres sujets arides en séries cinématographiques addictives, façon Netflix. Cette innovation marque une rupture totale avec les méthodes traditionnelles de sensibilisation.

    Une nouvelle approche de la formation

    Contrairement aux capsules de sensibilisation classiques - souvent stériles et dépourvues d’émotions - Sandra Aubert propose une plateforme de streaming à la demande qui diffuse des séries immersives et fictives. L’objectif : rendre la formation aussi captivante qu’une série que l’on dévore en une soirée.

    Son projet phare, Plan Blanc, illustre parfaitement cette approche. Commandée par le ministère de la Santé, l’ARS et la Fédération hospitalière de France, cette série en six épisodes de trois minutes plonge le spectateur au cœur d’une cyberattaque majeure dans un CHU. Pour la première fois, on entre dans la cellule de crise et on vit l’effondrement d’un système hospitalier avec des comédiens professionnels.

    La force du cinéma au service de la pédagogie

    Ce qui distingue FF2R, c’est l’authenticité cinématographique. Sandra Aubert et son réalisateur signature, Valérian Cadissi, ne font pas de simples vidéos : ils créent du véritable cinéma. Chaque production respecte les codes du septième art : scénario travaillé, acteurs professionnels, tournage dans des lieux réels, colorimétrie soignée, musiques originales composées sur mesure.

    Les personnages, comme Cassandre et Thomas dans Plan Blanc, sont développés avec une psychologie complète. L’équipe maîtrise l’art du cliffhanger pour créer l’envie de voir l’épisode suivant immédiatement. Le résultat : des séries qui pourraient être diffusées sur n’importe quelle plateforme de streaming grand public.

    L’alliance de la créativité et de l’expertise technique

    La réussite de cette approche repose sur un équilibre délicat entre créativité et rigueur technique. Pour Plan Blanc, Sandra Aubert s’est entourée de Steven Garnier, expert en cybersécurité au ministère de la Santé, garantissant ainsi l’exactitude technique du scénario.

    Cette collaboration permet de créer des contenus crédibles et respectueux de la réalité du terrain. Les professionnels de la cybersécurité qui découvrent Plan Blanc témoignent : “C’est vraiment comme ça que ça se passe”. La série aborde tous les sujets - phishing, piggy backing, social engineering - sans tomber ni dans l’anxiogène ni dans le ridicule.

    Une méthodologie adaptée à l’ère moderne

    Sandra Aubert a compris les réalités de notre époque : la bande passante d’attention est faible, le temps est précieux, et personne ne veut subir une formation. Sa solution : proposer des épisodes courts (3-4 minutes) que l’on peut regarder quand on le souhaite, dans son canapé, potentiellement en famille.

    Cette approche crée une nouvelle méthodologie : on ne se forme plus, on “binge-learn”. Le format court et addictif, inspiré des neurosciences, maximise la rétention d’information en générant des émotions fortes. Comme dans une histoire d’amour, on n’oublie jamais ce qu’on a ressenti.

    Des résultats impressionnants

    Les chiffres parlent d’eux-mêmes : la plateforme affiche un taux de rétention de 86%, et les utilisateurs reviennent en moyenne entre 4 et 7 fois regarder la même série. Au-delà de la consommation individuelle, les séries servent aussi d’outils de discussion en entreprise. Les managers les utilisent en réunion pour lancer des sujets, créant ainsi des moments de convivialité et de partage plus engageants qu’un PowerPoint traditionnel.

    Une production artisanale et personnalisée

    FF2R refuse la facilité du catalogue standardisé. Chaque production est du sur-mesure, adaptée aux besoins spécifiques de l’entreprise cliente. L’équipe va jusqu’à organiser des castings en interne pour intégrer les employés comme acteurs secondaires ou figurants. Voir son collègue jouer dans la série crée un effet de proximité et d’engagement supplémentaire.

    Cette approche artisanale est rendue possible par une équipe réduite de sept personnes seulement - un exploit dans le monde du cinéma. Cette agilité permet de livrer des projets complets (plateforme et série) en moins de trois mois, tout en maintenant une qualité digne des grandes productions.

    Un impact qui dépasse le cadre professionnel

    L’innovation de Sandra Aubert va au-delà de la simple sensibilisation. Elle crée une culture de vigilance en entreprise tout en touchant potentiellement la sphère personnelle. Regarder ces séries en famille permet de sensibiliser aussi les proches aux risques cyber, créant un langage commun et des réflexes de sécurité qui transcendent la frontière travail-vie personnelle.

    Cette dimension humaine est centrale : les séries montrent que derrière les crises, il y a des hommes et des femmes qui peuvent craquer sous la pression. Elles rappellent que la faille est souvent humaine, mais que cette “parfaite imperfection” est aussi notre force.

    Vers l’avenir

    Sandra Aubert ne compte pas s’arrêter là. Elle constitue un comité d’experts en cybersécurité pour enrichir ses futures productions et prépare déjà une suite à Plan Blanc. Son catalogue s’étend aussi à d’autres domaines : financement du terrorisme, déontologie, conformité. Elle envisage même d’ouvrir un bureau à Montréal pour conquérir le marché québécois.

    Conclusion

    En transformant la sensibilisation en cybersécurité en expérience cinématographique, Sandra Aubert prouve qu’il est possible de concilier rigueur pédagogique et plaisir de consommation. Son approche rappelle que depuis la nuit des temps, l’humanité transmet ses connaissances à travers les histoires. FF2R réinvente simplement cette tradition ancestrale avec les outils du XXIe siècle, démontrant que la meilleure façon d’apprendre reste celle qui nous fait ressentir des émotions.

    Notes À venirCollaborateurs Nicolas-Loïc Fortin Sandra AubertCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x686!Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescriptionIntroduction

    Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée.

    Les trois piliers d’une culture de sécurité efficace

    L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité.

    1. Connect : La communication comme fondement

    La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”.

    Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment).

    La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation.

    2. Reduce Uncertainty : Clarifier les rôles et responsabilités

    L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler.

    Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret.

    La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude.

    Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout.

    3. Inspire Action : Le leadership authentique

    Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ?

    L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate bullshit” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion.

    Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques.

    Les leçons de l’expérience

    L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant.

    Les pièges à éviter

    Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité :

    Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où.

    La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle.

    L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer.

    La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur.

    Conclusion

    La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés.

    Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain.

    Notes À venirCollaborateurs Nicolas-Loïc Fortin Benoit GagnonCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x681!Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026DescriptionIntroduction

    Dans cet épisode spécial du podcast Police Secure, Alexandre Fournier aborde la question cruciale de notre dépendance excessive au numérique, analysant les enjeux de résilience tant sur le plan humain que sociétal. À travers des exemples concrets et des mises en situation, les animateurs explorent les conséquences de cette dépendance et proposent des solutions pour développer notre résilience numérique.

    La mise en situation révélatrice

    Alexandre commence par une expérience vécue : imaginer devoir prendre un avion après avoir oublié son téléphone aux toilettes, sans possibilité de retour. Cette situation, bien que stressante, met en lumière l’ampleur de notre dépendance. Sur nos téléphones se trouvent désormais notre messagerie, nos moyens de paiement, notre GPS, nos outils d’authentification à deux facteurs, et une grande partie de notre vie numérique. Se retrouver sans cet appareil, c’est se sentir nu, vulnérable, déconnecté de sa propre existence.

    La question posée aux auditeurs est simple mais profonde : combien de temps pourriez-vous tenir sans votre téléphone avant que cela ne pose de réels problèmes ? Cette interrogation invite chacun à réfléchir sur sa propre dépendance et sur les risques associés.

    L’évolution post-pandémie

    Les animateurs soulignent que la situation s’est considérablement aggravée ces dernières années, particulièrement depuis la pandémie. Il y a cinq ans, perdre son téléphone était problématique, mais aujourd’hui, c’est devenu catastrophique. L’authentification à deux facteurs est désormais obligatoire pour de nombreux services, les coffres-forts de mots de passe sont souvent uniquement sur mobile, et certains services nécessitent absolument un téléphone avec SMS. La société moderne présume que chacun possède un téléphone cellulaire en permanence, et à peine 1% de la population refuse encore d’en avoir un.

    Les multiples facettes de la dépendanceCommunication et mémoire

    L’un des aspects les plus frappants est la perte de mémoire des numéros de téléphone. Les animateurs constatent que le seul numéro dont ils se souviennent encore est celui de la maison familiale de leur adolescence, à l’époque des téléphones filaires. Cette atrophie de la mémoire illustre parfaitement comment nous déléguons systématiquement à nos appareils tout ce que nous pouvons : dates, numéros, rendez-vous. Le téléphone intelligent nous rend paradoxalement moins intelligents.

    Finance et paiements

    La dépendance s’étend aux transactions financières. Beaucoup utilisent leur téléphone pour payer, consulter leurs comptes bancaires, effectuer des virements. Sans téléphone, impossible de payer si on n’a pas sa carte physique. Alexandre insiste sur l’importance de toujours avoir un minimum de liquide (100 dollars) sur soi, car en cas de panne des systèmes électroniques, l’argent comptant reste le seul moyen d’acheter l’essentiel : eau, nourriture, essence.

    Orientation et repères géographiques

    Le GPS a complètement transformé notre rapport à l’espace. Les gens ne connaissent plus leur propre ville et dépendent entièrement de leur téléphone pour se déplacer. Cette perte des repères géographiques représente une vulnérabilité majeure. Les cartes papier sont devenues obsolètes, considérées comme “old school”, alors qu’elles constituent une solution de secours essentielle.

    Travail et productivité

    Le télétravail et le cloud (Teams, M365) ont créé une dépendance totale à Internet et à l’électricité. Sans connexion, impossible de travailler. Les plans de reprise d’activité sont rarement adaptés à cette nouvelle réalité où les employés travaillent de chez eux, sans avoir nécessairement prévu les solutions de secours nécessaires.

    Les conséquences humaines et psychologiquesStress et anxiété

    La perte du téléphone génère un stress comparable à celui ressenti face à des besoins physiologiques non satisfaits. C’est un sentiment d’inconfort profond, d’impuissance, comme si une partie de soi-même avait disparu. Alexandre partage qu’il peut tenir cinq jours sans téléphone dans un contexte contrôlé et sécurisé, mais seulement une demi-journée dans la vie quotidienne avant de ressentir une anxiété significative.

    Atrophie cognitive et l’effet ChatGPT

    Les animateurs abordent l’impact de l’intelligence artificielle, particulièrement ChatGPT, sur nos capacités cognitives. L’IA nous rend “totalement idiots” en étant toujours d’accord avec nous, quelle que soit notre position politique ou nos opinions. Cette absence de contradiction empêche le développement de notre pensée critique et de notre capacité à débattre de manière constructive. Le numérique atrophie progressivement notre cerveau, comme les réseaux sociaux exploitent notre paresse naturelle pour nous maintenir dans une zone de confort intellectuel.

    Panique sociale et inégalités

    En cas de panne prolongée (plus de 24 heures), on observe des comportements irrationnels : ruée vers les supermarchés, panique collective. Les plus vulnérables - aînés et personnes isolées - sont les plus touchés. Les jeunes générations, qui passent leur vie sur leurs téléphones, sont également très fragilisées face à une absence d’écran.

    Les risques systémiquesInfrastructures critiques

    L’exemple de la panne Rogers en 2022 au Canada illustre parfaitement les risques : des millions de personnes se sont retrouvées sans accès au 911, aux paiements, aux télécommunications. Les cyberattaques sur les hôpitaux causent des morts réelles en annulant des rendez-vous et en redirigeant des patients. Une panne d’électricité affecte les feux de circulation, créant des embouteillages qui empêchent les secours d’intervenir efficacement.

    Dépendance géopolitique

    Les animateurs soulèvent une question inquiétante : voulons-nous d’une société où une panne d’un fournisseur peut paralyser tout un pays ? Ils évoquent le scénario où un décret américain pourrait obliger Microsoft à couper l’accès à M365 pour tout un pays, paralysant ainsi la majorité des entreprises qui dépendent de cette plateforme. Cette dépendance à des services sur lesquels nous n’avons aucun contrôle représente un risque majeur pour la souveraineté numérique.

    Solutions et résiliencePréparation individuelle

    Alexandre propose plusieurs actions concrètes :

    Noter sur papier les numéros de téléphone essentiels (cartes réflexes dans le portefeuille) Garder du cash en réserve (100 dollars minimum) Disposer d’une autonomie électrique minimale (batteries, lampes, radio à manivelle) Avoir des filtres à eau et des moyens de subsistance de baseEntraînement à la déconnexion

    Il est essentiel de s’entraîner régulièrement :

    Une journée sans électronique par mois Simuler des situations de blackout en famille Établir des points de rencontre physiques en cas de séparation Préparer un kit 72 heures sans numériqueÉducation et sensibilisation

    Les animateurs appellent à intégrer la résilience numérique dans les programmes scolaires dès la maternelle, pour apprendre aux jeunes générations à utiliser correctement l’électronique tout en développant leur capacité à fonctionner sans. Cette éducation devrait s’étendre à l’antifragilité en général, pour former des citoyens capables de faire face aux crises.

    Conclusion

    Le podcast se termine sur une réflexion puissante : la question n’est pas de savoir si le numérique tombera, mais quand il tombera. La vraie résilience consiste à rester debout même quand nos écrans s’éteignent. Nous ne pouvons pas nous couper du numérique dans la société actuelle, mais nous pouvons et devons réduire notre dépendance pour mieux encaisser le jour où l’infrastructure numérique faillira.

    Les trois défis concrets proposés aux auditeurs sont simples mais essentiels : noter des numéros importants sur papier, essayer une journée sans cellulaire, et préparer un kit de survie 72 heures. Ces actions, bien que modestes, constituent les premiers pas vers une véritable autonomie face à notre dépendance technologique croissante.

    Collaborateurs Nicolas-Loïc Fortin Alexandre FournierCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x672!Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescription

    Ce podcast spécial European Cyber Week met en lumière les enjeux de la cyberdéfense, de la souveraineté numérique et de la collaboration internationale à travers l’expérience d’Arnaud Coustillière, ancien amiral de la Marine nationale française.

    Parcours et création de la cyberdéfense française

    Arnaud Coustillière a consacré 40 années au service de l’État français dans la Marine nationale, partageant équitablement sa carrière entre le maritime et le numérique. Après avoir navigué pendant quinze ans, il est devenu directeur des systèmes d’information de la Marine avant de récupérer le dossier de création de la cyberdéfense des armées en 2009. Jusqu’en 2017, il a commandé l’ensemble de la structure de cyberdéfense française, développant une capacité qui englobe la protection, la prévention, la défense et l’action offensive dans l’espace numérique.

    Cette cyberdéfense militaire se distingue des services de renseignement par son cadre juridique : contrairement à l’action secrète, l’action militaire reste discrète mais encadrée par le droit des conflits armés, le droit international humanitaire et le code pénal. Les trois dernières années de sa carrière, Coustillière a créé la direction générale du numérique du ministère des armées, passant de la défense des données à leur ouverture et à l’accompagnement de la transformation numérique.

    Le Pôle d’Excellence Cyber : un pari gagnant

    Depuis sa retraite, Coustillière préside le Pôle d’Excellence Cyber (PeC), une association créée il y a dix ans pour concentrer les forces de cyberdéfense françaises en Bretagne. Ce choix stratégique reposait sur trois piliers : la proximité avec Paris, l’expertise technique-opérationnelle déjà présente dans la région, et un terreau d’emplois dans les télécommunications. Le pari, considéré comme audacieux voire fou à l’époque, consistait à faire collaborer une organisation civile (l’association) avec la région Bretagne et l’État.

    Le succès est aujourd’hui manifeste : l’European Cyber Week est passée de 2000 participants il y a cinq ans à plus de 8000 aujourd’hui, avec une projection de 8500 à 9000 participants. L’événement se distingue par son ADN régalien européen, un terme que Coustillière préfère à “souveraineté” car il permet de penser à l’échelle européenne tout en conservant les fonctions essentielles de l’État.

    La collaboration franco-canadienne

    Le PeC développe une stratégie de partenariats choisis, notamment avec le Canada, qui partage les mêmes valeurs démocratiques que l’Europe. Depuis quatre ans, une journée de l’European Cyber Week est consacrée au Canada, et la délégation canadienne est passée d’un seul participant en 2021 à environ 25 personnes aujourd’hui. Des protocoles de coopération ont été signés avec ISECOM, et un laboratoire de recherche cyber-IA est en cours de création entre les universités de Bretagne et celles du Québec (Sherbrooke, ÉTS).

    L’objectif est de créer un véritable écosystème cyber franco-canadien où les entreprises des deux côtés de l’Atlantique travaillent ensemble, avec des partenariats et des offres communes. Les entreprises canadiennes peuvent participer aux appels d’offres européens si elles s’associent avec un partenaire européen.

    Souveraineté numérique : un concept à repenser

    Coustillière critique le terme de “souveraineté numérique” qu’il juge inadapté au monde numérique. Contrairement à la souveraineté terrestre qui définit clairement les frontières, l’espace numérique est plus complexe et comparable au maritime, où différents niveaux de droits coexistent selon la distance des côtes. Il préfère parler d’autonomie stratégique ou de résilience.

    L’écosystème numérique a évolué d’un milieu technique vers un espace de conflictualité centrée sur la captation des données. L’informatique communiquante et Internet ont créé un monde où celui qui possède les données détient le pouvoir. Cette captation est restée longtemps cachée, masquée par les technologies de big data, la transformation numérique et la migration vers le cloud. Le numérique ressemble à un iceberg : visible en surface mais reposant sur des infrastructures massives (câbles, data centers, électricité) qui appartiennent souvent à d’autres.

    L’impact géopolitique et le réveil européen

    Le combat entre la Chine et les États-Unis pour la domination technologique place l’Europe dans une position difficile. L’arrivée du président Trump a eu un effet “salutaire” selon Coustillière, car elle traite tous les pays de la même manière, clarifiant les relations et mettant fin à l’ambiguïté. La doctrine américaine se résume à : liberté des données pour faire des affaires, et cette liberté s’arrête là où commencent leurs intérêts commerciaux.

    Face à cette réalité, l’Europe doit retrouver une autonomie stratégique en faisant écosystème avec des partenaires partageant les mêmes valeurs. L’IA générative complique encore la situation en rendant impossible pour le citoyen moyen de distinguer le vrai du faux en ligne, nécessitant de nouvelles formes de certification.

    Solutions concrètes : cloud souverain et résilience

    Plusieurs initiatives émergent en France et en Allemagne. Les projets Bleu (Cap Gemini, Microsoft, Orange) et Sens (Thalès, Google) proposent des solutions de cloud utilisant la technologie américaine mais exploitées par des sociétés européennes, garantissant que les données restent sous cadre juridique européen. OVH représente une alternative purement européenne avec une forte présence au Canada.

    Le CIGREF, qui rassemble les 150 plus grandes entreprises françaises, ne parle plus de souveraineté mais de résilience face à toutes les menaces : géopolitiques, techniques et commerciales. Cette approche implique de désoptimiser les réseaux pour avoir des architectures plus hétérogènes mais plus robustes. Certaines données, particulièrement celles des citoyens, de la santé ou des services régaliens, doivent impérativement rester sous contrôle national, même si cela implique un système moins performant.

    Défis et perspectives

    Le principal défi reste le lobbying massif des grandes entreprises américaines auprès de l’Union européenne et des gouvernements. Ces sociétés déploient des moyens comparables à ceux des nations pour influencer les politiques et les décideurs.

    Néanmoins, un mouvement de fond s’est enclenché. Le sommet franco-allemand sur la souveraineté numérique, alors que les deux pays avaient des visions initialement opposées, démontre une prise de conscience collective. Les 18 à 24 prochains mois seront cruciaux pour concrétiser les initiatives, développer des certifications et établir une préférence européenne dans les marchés publics.

    Coustillière conclut que l’écosystème doit se mobiliser pour avancer dans la même direction, malgré les forces qui tenteront de l’en empêcher. La fin de la naïveté européenne face aux réalités géopolitiques du numérique constitue peut-être l’héritage le plus important de cette période de transformation.

    Collaborateurs Nicolas-Loïc Fortin Arnaud CoustillièreCrédits Montage par Intrasecure inc Locaux réels par European Cyber Week
  • Parce que… c’est l’épisode 0x668!Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026DescriptionIntroduction

    Ce podcast spécial réunit trois experts pour discuter d’un enjeu crucial : les conseils d’administration comme engrenage raté de la cybersécurité. L’hypothèse centrale avancée est que l’absence de connaissances même basiques en cybersécurité au sein de ces instances de gouvernance explique en partie les problèmes actuels auxquels font face les organisations québécoises et canadiennes.

    Le problème de la composition des conseils d’administration

    Sylvie Guérin soulève un constat troublant : malgré la multiplication des fraudes touchant les institutions, écoles, hôpitaux et universités, les conseils d’administration demeurent largement dominés par des comptables et des avocats. Cette surreprésentation crée un manque flagrant de diversité, particulièrement en matière d’expertise technologique et de cybersécurité.

    Elle partage son expérience personnelle où, malgré son expertise, elle s’est vue écartée d’un poste au conseil d’administration d’un CHSLD privé au profit d’un autre comptable. Cette anecdote illustre bien le caractère consanguin de ces structures, où les membres ont tendance à reproduire les mêmes profils plutôt que d’ouvrir leurs rangs à de nouvelles compétences essentielles à l’ère numérique.

    L’aveuglement volontaire et la dénégation plausible

    Éric Parent expose un phénomène qu’il nomme “l’aveuglement volontaire”. Il raconte avoir été approché pour un poste de CSO (Chief Security Officer) dans une entreprise internationale, où il est rapidement devenu évident que l’organisation cherchait en réalité un bouc émissaire plutôt qu’un véritable responsable de la sécurité. Le poste offert devait se rapporter au directeur des technologies de l’information, créant ainsi une structure hiérarchique dysfonctionnelle.

    Une conversation révélatrice avec Ronald Brisois, ancien PDG de Cognos, illustre parfaitement ce problème. Interrogé sur où devrait se situer la sécurité dans l’organigramme, Brisois a répondu sans hésitation : au conseil d’administration. Pourtant, il admet que ce n’est jamais là qu’elle se trouve en pratique, les dirigeants préférant la cacher sous les technologies de l’information.

    Parent mentionne également le concept de “plausible deniability department” utilisé dans certaines grandes entreprises canadiennes pour désigner les départements légaux, véritables cimetières d’idées où les préoccupations sont écoutées mais jamais suivies d’actions concrètes.

    Le fossé du langage et de la communication

    Un obstacle majeur identifié concerne le langage. Les comptables et avocats ont appris à parler en termes de risques financiers, ce qui leur confère une certaine autorité auprès des conseils d’administration. En contraste, les professionnels de la cybersécurité peinent souvent à traduire leurs préoccupations techniques en risques d’affaires compréhensibles.

    Parent souligne l’importance de cette traduction. Au lieu de parler de bits, de réseaux et de technologies, il faut parler de l’arrêt potentiel des chaînes de montage, des pénalités contractuelles et des impacts financiers concrets. Il mentionne avoir enseigné pendant dix ans à Polytechnique avec cet objectif précis : former des technologues capables de communiquer en langage d’affaires.

    Les lacunes du système éducatif

    La discussion révèle des failles profondes dans le système éducatif, depuis les écoles primaires jusqu’aux universités. Les universités forment des enseignants compétents sur le plan pédagogique, mais largement démunis en matière de technologie et de cybersécurité. Cette lacune se répercute ensuite sur les élèves, créant un cercle vicieux d’incompétence numérique.

    Sylvie partage l’exemple d’une connaissance dont les stagiaires en enseignement étaient prometteurs comme futurs professeurs, mais quasi analphabètes technologiquement. Ironiquement, ce sont souvent les enfants qui doivent aider leurs enseignants avec les ordinateurs et les tableaux interactifs.

    Ce problème s’étend aux comptables et avocats qui siègent aux conseils d’administration. Décrits avec humour comme “une gang de vieux hommes blancs de 75 ans” incapables de reprogrammer leur magnétoscope, ils manquent cruellement de la formation minimale nécessaire pour comprendre les enjeux de cybersécurité.

    Des solutions possibles

    Plusieurs pistes sont explorées pour améliorer la situation. Sylvie suggère de créer un module de formation obligatoire d’environ deux heures pour tout nouveau membre d’un conseil d’administration, les sensibilisant aux risques concrets comme l’usurpation d’identité et les fraudes par courriel.

    Parent propose d’aller plus loin avec une approche réglementaire. Il cite l’exemple de la loi HIPAA aux États-Unis, qui établit une grille de pénalités graduées selon le niveau de négligence. Il imagine un système où les dirigeants seraient personnellement pénalisés financièrement en cas de brèche, créant ainsi un “four autonettoyant” où la cybersécurité deviendrait automatiquement une priorité.

    L’exemple récent de Qantas, qui a pénalisé ses cadres supérieurs suite à un incident, est cité comme un modèle encourageant. Les assureurs pourraient également jouer un rôle en exigeant non seulement la présence d’un responsable de la cybersécurité, mais aussi une gouvernance active du conseil d’administration sur ces questions.

    Conclusion

    Le consensus qui émerge de cette discussion est que le changement ne viendra probablement que par la contrainte : réglementation, pénalités personnelles pour les dirigeants, ou exigences des assureurs. Le bon sens seul ne suffit pas, et comme le souligne Parent, “le monde marche à claque à gueule puis au coup de pelle en pleine face”. Sans événements majeurs ou nouvelles lois, les conseils d’administration continueront probablement à négliger leur rôle crucial en matière de cybersécurité, perpétuant ainsi le cycle de vulnérabilité des organisations québécoises et canadiennes.

    Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric ParentCrédits Montage par Intrasecure inc Locaux réels par Bsides Montréal
  • Parce que… c’est l’épisode 0x660!Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026DescriptionParcours professionnel de Michel Gaudette

    Michel Gaudette possède plus de 25 ans d’expérience dans le secteur technologique montréalais. Son parcours a débuté dans les années 90 chez Discrete Logic, une entreprise spécialisée dans les effets visuels 2D, l’incrustation et la correction couleur, avant que celle-ci ne soit rachetée par Autodesk. Attiré par l’énergie des startups, il a quitté cette position stable pour rejoindre une jeune pousse en tant que VP technologie, une aventure qui s’est soldée par un échec lors de l’éclatement de la bulle technologique. Cette expérience l’a néanmoins “intoxiqué” à l’univers des startups et à l’innovation de pointe.

    Son parcours l’a ensuite mené chez Quebecor, où il a passé 10 ans à développer une plateforme numérique désormais utilisée par des millions d’élèves québécois. Après avoir quitté Quebecor en 2020 pour rejoindre une startup en agrotechnologie, la pandémie de COVID-19 a fait échouer ce projet avant même son premier jour de travail, les investisseurs ayant retiré leur financement. Il a par la suite dirigé une filiale nord-américaine d’une entreprise allemande de modélisation 3D avant de rejoindre FLIR il y a deux ans et demi, recommandé par un ancien collègue qui décrivait FLIR comme la meilleure entreprise montréalaise pour laquelle il avait travaillé.

    Le rôle fondamental du product manager

    Michel définit le rôle de directeur de produit comme celui d’un orchestrateur ou d’un coach. Le product manager ne réalise pas directement le travail technique, mais s’assure que chaque membre de l’équipe performe à son meilleur niveau. Son rôle consiste à équilibrer trois dimensions essentielles : les besoins des clients, les objectifs d’affaires de l’entreprise et les capacités de l’équipe d’ingénierie.

    Cette position requiert des compétences particulières et multidimensionnelles. Le product manager doit pouvoir communiquer efficacement avec les développeurs passionnés et parfois têtus, tout en comprenant les enjeux commerciaux et les attentes des clients. Michel souligne qu’il a rapidement pivoté de l’ingénierie vers ce rôle après avoir découvert son intérêt pour le contact client, réalisant qu’on ne peut pas simultanément être “dans la zone” de développement et gérer les interactions constantes qu’exige la gestion de produit.

    Un aspect crucial du rôle est la capacité à dire non. Le product manager doit constamment prendre des décisions qui optimisent la capacité de l’équipe d’ingénierie tout en restant aligné avec la stratégie globale. Quelqu’un qui cherche à rendre tout le monde heureux en permanence ne fait pas correctement son travail.

    Gestion des parties prenantes et priorisation

    L’un des défis majeurs pour un product manager réside dans la gestion des demandes anecdotiques provenant des vendeurs et de l’équipe de support client. Les vendeurs peuvent vouloir une fonctionnalité immédiate pour conclure une vente, tandis que le support peut signaler des problèmes urgents. Le product manager doit replacer ces demandes dans un contexte holistique : est-ce vraiment prioritaire pour l’ensemble des clients et pour l’entreprise?

    Michel insiste sur l’importance d’écouter les clients, une approche qui résout la moitié des problèmes. Chez FLIR, les clients ont l’opportunité de parler presque directement aux équipes, créant une relation de confiance. Plutôt que de promettre des changements massifs dans 12 mois, l’équipe privilégie des améliorations incrémentales constantes. Cette approche transforme certains clients en co-créateurs et ambassadeurs du produit.

    Méthodologie et évolution organisationnelle

    FLIR a adopté une méthodologie inspirée de Shape Up, développée par Basecamp, avec des cycles de travail de 8 semaines. Les product managers présentent des propositions de projets, et les dirigeants (CTO, CEO, CPO) votent sur les priorités. L’équipe de développement travaille ensuite sans interruption pendant ces 8 semaines.

    L’entreprise a récemment atteint un niveau de maturité où elle développe une vision stratégique et un plan à plus long terme. Avec un doublement de la clientèle chaque année, FLIR doit mettre en place des processus plus robustes de gestion et de communication. Michel précise qu’un processus n’est essentiellement qu’une “manière de communiquer ensemble” dans une organisation en croissance où les collègues peuvent se trouver à Toronto, aux États-Unis ou ailleurs.

    Culture d’équipe et valeurs humaines

    Michel critique fermement le mythe du “10x engineer” toxique popularisé par la Silicon Valley. Il compare la gestion d’une équipe technologique à celle d’un groupe musical : chaque membre doit jouer la bonne note au bon moment, en harmonie avec les autres. Quelqu’un qui arrive avec un ego surdimensionné ne fait pas corps avec l’ensemble et nuit à l’harmonie globale.

    Chez FLIR, l’équipe privilégie des personnes passionnées mais capables de collaborer. La diversité des talents et des contributions est essentielle. Michel souligne que même les développeurs les plus talentueux ne pourraient pas, à eux seuls, soutenir le rythme et la complexité du travail accompli collectivement.

    La prise de décision chez FLIR est remarquablement rapide. L’entreprise évite les débats interminables : si une décision est réversible, l’équipe avance rapidement. Cette culture du momentum attire des personnes à l’aise avec l’action et l’imperfection, sachant qu’ils pourront se réajuster au besoin. Bien que ce ne soit pas une démocratie, chaque voix compte et est entendue.

    Processus d’embauche et travail hybride

    Le processus d’embauche chez FLIR est personnalisé et orienté vers la collaboration. Les candidats rencontrent directement les personnes avec qui ils travailleront et participent à des sessions de résolution de problèmes au tableau pendant 2 à 3 heures. L’objectif n’est pas de piéger les candidats mais d’évaluer la chimie, la communication et la compatibilité culturelle.

    FLIR fonctionne comme une entreprise remote par défaut, mais favorise l’embauche locale à Montréal pour faciliter les interactions. Les employés viennent naturellement au bureau pour des raisons précises : brainstorming, kickoffs de projets ou événements sociaux. Michel est convaincu que l’idéation et le brainstorming fonctionnent mieux en personne, mais que la production individuelle se fait souvent mieux à domicile. Cette approche rejoint le meilleur des deux mondes.

    Conclusion

    Michel Gaudette incarne un product manager qui place l’humain au centre de son approche. Son expérience démontre l’importance de ce rôle souvent dans l’ombre, mais essentiel à la coordination entre les besoins techniques, commerciaux et clients. Chez FLIR, cette philosophie centrée sur la collaboration, l’agilité et le respect mutuel a permis à l’entreprise de doubler sa clientèle chaque année tout en maintenant une culture saine et dynamique dans le secteur exigeant de la cybersécurité.

    Collaborateurs Nicolas-Loïc Fortin Michel GaudetteCrédits Montage par Intrasecure inc Locaux réels par Intrasecure inc
  • Parce que… c’est l’épisode 0x658!Shameless plug 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026Description

    Dans cet épisode spécial du Policure, l’animateur et Alexandre Fournier explorent un scénario à la fois inquiétant et réaliste : que se passerait-il si nous perdions l’électricité de façon prolongée ? À travers une discussion riche en exemples concrets et en recommandations pratiques, les deux interlocuteurs examinent notre vulnérabilité face à une panne électrique généralisée.

    L’exercice de mise en situation

    Le podcast débute par un exercice d’imagination : vous vous réveillez, votre alarme n’a pas sonné, tout est sombre. Vous vous cognez l’orteil, cherchez l’interrupteur qui ne fonctionne pas, constatez que votre téléphone n’a plus que 2 % de batterie. Pas de café, pas de télévision, pas d’ordinateur. Cette mise en situation, familière pour les Québécois habitués aux pannes hivernales, prend une dimension plus inquiétante lorsqu’on en explore toutes les ramifications.

    Une société hyperdépendante

    Alexandre Fournier souligne notre dépendance extrême à l’électricité et au numérique. Sans électricité, impossible d’utiliser sa carte de crédit pour faire le plein d’essence ou acheter de la nourriture. Les adolescents, constamment sur TikTok et Instagram, vivraient une véritable angoisse. L’exemple de la panne de Rogers en 2022 est particulièrement révélateur : même le 911 était inaccessible, passant par les systèmes de l’opérateur.

    Le télétravail, désormais omniprésent, deviendrait impossible. Les centres informatiques, malgré leurs génératrices, ne peuvent fonctionner indéfiniment sans entretien. C’est tout le tissu économique qui risquerait de s’effondrer, avec des conséquences en cascade sur les clients, partenaires et l’ensemble de l’activité.

    Les impacts sur la santé et la sécurité

    Les répercussions sur la santé seraient dramatiques. Les personnes dépendant d’appareils respiratoires risqueraient leur vie. En Espagne, lors d’une récente panne, plusieurs décès ont été attribués à cette cause. Les pharmacies ne pourraient renouveler les prescriptions, privant de nombreuses personnes de médicaments essentiels. L’espérance de vie, que la médecine moderne a réussi à doubler, dépend d’une infrastructure énergétique fiable.

    Les hôpitaux, fonctionnant sur groupes électrogènes, seraient rapidement saturés. Sans feux de circulation opérationnels, les déplacements deviendraient chaotiques, compliquant l’acheminement de carburant pour alimenter les génératrices.

    La vie quotidienne bouleversée

    En hiver québécois, l’absence de chauffage devient rapidement une question de survie. Le froid extrême peut causer engelures et gelures en quelques heures. L’eau courante disparaîtrait également, car elle dépend de pompes électriques. Alexandre conseille de savoir où trouver de l’eau d’urgence : réservoir des toilettes (8 litres), chauffe-eau (150-200 litres), et même les radiateurs.

    L’alimentation pose un autre défi majeur. Sans électricité, impossible d’acheter avec une carte de crédit. Les épiciers refuseraient de donner leur marchandise gratuitement. Une étude citée indique qu’à Londres, 48 heures sans électricité suffiraient à déclencher des émeutes généralisées. La formule est claire : “Chacun pour soi et Dieu pour tous.”

    Les leçons de l’histoire

    Le verglas de 1998 au Québec constitue un cas d’école. Certaines régions sont restées privées d’électricité pendant 32 jours. La solidarité s’est organisée, avec des familles hébergeant leurs voisins, des gymnases transformés en refuges. HydroQuébec fut débordée, l’armée déployée, mais impossible de tout couvrir. Des solutions créatives ont émergé, comme l’utilisation d’une locomotive sur remorque pour alimenter un hôtel en électricité.

    Au Texas, une vague de froid récente a révélé le manque de préparation : des gens ont brûlé des parties de leur maison pour se chauffer, causant de nombreux décès par intoxication. À Mayotte, après le cyclone Chido en décembre 2024, les infrastructures détruites ont laissé la population sans eau potable ni services de base, causant 1800 morts. L’ouragan Katrina a également démontré les limites de l’État dans ces situations critiques.

    La préparation individuelle : la clé de la résilience

    Face à ces constats, Alexandre insiste sur l’importance de la préparation personnelle. Le “sac 72 heures” recommandé par la sécurité civile devrait contenir eau, nourriture, lampes et alimentation électrique d’urgence. Mais 72 heures représentent le minimum légal d’intervention de l’État. Il conseille plutôt de viser 96 heures, voire une semaine complète d’autonomie.

    Il est crucial de comprendre que les secours ne viendront pas immédiatement. Ils prioriseront les services essentiels (hôpitaux, pharmacies) et les personnes vulnérables. De plus, les secouristes sont eux-mêmes des humains avec des familles à protéger, ce qui peut retarder leur intervention.

    La solidarité locale, premier filet de sécurité

    Au-delà de la préparation individuelle, la solidarité de quartier s’avère indispensable. Alexandre encourage à discuter avec ses voisins, même au risque de passer pour un “illuminé”, afin de coordonner les préparatifs. Un quartier préparé collectivement évite les tensions et les conflits pour les ressources, créant plutôt un réseau d’entraide.

    Exercices pratiques et défis

    Le podcast propose trois défis concrets : vérifier ses réserves alimentaires et d’eau, noter cinq numéros de téléphone importants sur papier, et identifier un lieu de repli hors de la ville. L’invitation à simuler une demi-journée sans électricité permet de prendre conscience de nos vulnérabilités réelles.

    Conclusion

    Cette discussion soulève une question fondamentale : sommes-nous prêts à tenir 72 heures seuls ? Dans un monde où les pannes peuvent survenir suite à des tempêtes, des cyberattaques ou même des éruptions solaires, la résilience commence chez soi. Notre société moderne, forte et développée, ne tient que si chaque citoyen peut assurer son autonomie de base. La préparation n’est pas du survivalisme extrême, mais du simple bon sens face à des risques bien réels et documentés.

    Collaborateurs Nicolas-Loïc Fortin Le Magnifique Alexandre FournierCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x648!Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides MontréalDescriptionIntroduction

    Dans cet épisode spécial du podcast, Miguel De Bruycker, directeur général du Centre pour la cybersécurité belge (CCB), partage les approches innovantes et les réalisations de son organisation en matière de protection des citoyens contre les cybermenaces. L’entretien met en lumière une philosophie unique qui place la santé numérique des citoyens au cœur des priorités gouvernementales.

    Une approche belge distinctive

    Contrairement à de nombreux pays occidentaux, la Belgique a adopté une approche proactive de la cybersécurité qui se distingue par son intervention directe pour protéger la population. Miguel De Bruycker souligne que leur clientèle comprend la population générale, les entreprises, les services gouvernementaux et l’infrastructure critique. Cette vision globale reflète une conception de la cybersécurité comme une question de santé publique, où l’État a un rôle actif à jouer pour le bien-être collectif.

    Le système [email protected] : une initiative citoyenne massive

    L’une des initiatives phares du CCB est la création, il y a sept ans, de l’adresse email [email protected]. Disponible en quatre langues, ce service permet aux citoyens belges de signaler les courriels suspects. Les chiffres sont impressionnants : en 2024, le centre a reçu en moyenne 25 000 courriels par jour de la part de la population. Cette mobilisation citoyenne témoigne d’une prise de conscience collective des menaces numériques et d’une confiance dans les institutions pour traiter ces signalements.

    Le Belgian Anti-Phishing Shield : une protection par défaut

    Depuis cinq ans, le CCB a mis en place un système encore plus audacieux : le Belgian Anti-Phishing Shield (BPS). En partenariat avec les principaux fournisseurs d’accès Internet (FAI) du pays, le centre a développé un système de protection DNS avec une approche opt-out, c’est-à-dire que la protection est activée par défaut pour tous les citoyens.

    Le fonctionnement est le suivant : à partir des 25 000 courriels quotidiens reçus, l’équipe identifie les domaines et sites web malveillants. Ces informations sont ensuite transmises aux FAI qui affichent des pages d’avertissement aux utilisateurs tentant d’accéder à ces sites dangereux. En 2024, ces pages d’avertissement ont été affichées 240 millions de fois, démontrant l’ampleur de la protection offerte.

    Un équilibre délicat entre protection et liberté

    Miguel De Bruycker reconnaît le caractère intrusif de cette approche et la nécessité d’éviter toute accusation de censure gouvernementale. C’est pourquoi le système intègre plusieurs garde-fous essentiels. Premièrement, contrairement aux systèmes opt-in utilisés dans d’autres pays (qui sont peu utilisés), le système belge est opt-out : les citoyens peuvent facilement désactiver la protection s’ils le souhaitent, les instructions étant clairement affichées sur les pages d’avertissement.

    Deuxièmement, un mécanisme de contestation permet aux utilisateurs de signaler immédiatement si un site est incorrectement classé comme malveillant. Dans ce cas, le site est retiré de la liste et analysé rapidement. S’il s’avère qu’il n’est pas dangereux, il reste débloqué ; sinon, il est remis sur la liste. Après cinq ans de fonctionnement, aucune plainte officielle n’a été déposée contre ce système, ce qui témoigne de son acceptation par la population.

    Une efficacité mesurable

    Bien que Miguel De Bruycker admette qu’il est difficile de mesurer précisément l’impact de ces mesures (car on peut quantifier ce qui est bloqué, mais pas ce qui aurait pu se produire sans protection), les indicateurs internationaux sont encourageants. La Belgique se classe régulièrement dans le top 3 ou 4 des pays européens en matière de cybersécurité selon divers indices comme le Bitsite Index ou l’ITO Index. Ce positionnement avantageux suggère que l’approche belge porte ses fruits et pourrait inspirer d’autres nations.

    Une organisation efficiente

    L’aspect peut-être le plus remarquable de cette initiative est son efficacité organisationnelle. L’équipe qui traite les 25 000 courriels quotidiens et gère le système BPS ne compte que quatre personnes. Cette prouesse est rendue possible par une automatisation poussée des processus. Le centre travaille avec deux partenaires privés qui aident au traitement. L’information est anonymisée de façon automatisée, puis contrôlée par les partenaires privés avant d’être analysée automatiquement au centre. L’intervention humaine n’est nécessaire que lorsque des anomalies sont détectées.

    Coordination nationale et cadre fédéral

    Sur le plan organisationnel, la cybersécurité en Belgique relève du niveau fédéral, comme la défense et les services de renseignement. Le CCB est au cœur d’un écosystème de coordination complexe. Un comité de coordination réunit mensuellement tous les chefs des services de renseignement et de sécurité (police, renseignement militaire et civil, affaires étrangères, défense). Au-dessus se trouve un comité stratégique incluant les représentants ministériels, et au sommet, le Conseil national de sécurité avec les ministres eux-mêmes. Cette structure permet une circulation efficace de l’information et une prise de décision coordonnée.

    L’initiative Cyber Fundamentals et NIS 2

    Au-delà de la protection des citoyens, le CCB joue un rôle majeur dans l’implémentation de la directive européenne NIS 2. Le centre a développé un framework appelé Cyber Fundamentals, qui établit une couche commune de mesures de cybersécurité pour tous les secteurs, tout en laissant la liberté aux autorités sectorielles et régionales d’ajouter des mesures spécifiques. Cette approche de simplification et de standardisation tout en respectant l’autonomie a été rapidement adoptée et inspire maintenant d’autres pays comme l’Irlande et la Roumanie. Une adoption au niveau européen est même envisagée.

    La patience comme stratégie

    Miguel De Bruycker conclut en soulignant que ces succès sont le fruit de dix années d’efforts soutenus. Le chemin n’a pas été simple : des accords n’ont pas toujours été respectés, des collaborations ont connu des difficultés. Mais la clé du succès a été la persévérance et la capacité à maintenir le dialogue plutôt que de rompre les collaborations. Le CCB a créé un Conseil de cybersécurité permettant de discuter des problèmes en dehors des grandes réunions officielles, favorisant ainsi la conciliation et la recherche de solutions communes.

    Cette approche de collaboration continue, même face aux obstacles, illustre une philosophie où le bénéfice collectif prime sur les frictions individuelles. C’est cette vision à long terme et cette capacité à transformer les conflits apparents en opportunités de solutions qui ont permis à la Belgique de devenir un modèle en matière de cybersécurité citoyenne.

    Notes CCB Une collaboration internationale pour renforcer notre cybersécurité!Collaborateurs Nicolas-Loïc Fortin Miguel De BruyckerCrédits Montage par Intrasecure inc Locaux réels par inCyber Montréal
  • Parce que… c’est l’épisode 0x646!Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026Description

    Ce podcast explore les défis et les opportunités de l’expatriation dans le domaine de la cybersécurité à travers l’expérience unique de Dimitri Souleliac, qui a vécu deux migrations successives : de la France au Québec, puis du Canada à la Nouvelle-Zélande.

    Un parcours atypique en cybersécurité

    Dimitri a commencé sa carrière en cybersécurité en France avant de s’établir au Québec pendant dix ans, puis de poursuivre son parcours en Nouvelle-Zélande juste avant la pandémie. Ce qui devait être initialement un séjour de six mois au Québec s’est transformé en une décennie d’expérience nord-américaine. Son parcours illustre parfaitement la métaphore du canard : si tout semble fluide en surface, la réalité exige un travail considérable en coulisses.

    La complexité des démarches administratives

    L’un des messages centraux du podcast concerne l’importance de la préparation administrative. Dimitri insiste sur le fait que les démarches d’immigration sont devenues significativement plus complexes qu’il y a quinze ans. Aujourd’hui, les pays d’immigration comme le Canada, l’Australie et la Nouvelle-Zélande cherchent principalement de la main-d’œuvre temporaire plutôt que des résidents permanents. Cette approche opportuniste s’explique par les coûts associés à l’intégration des immigrants dans les systèmes de santé et administratifs.

    Dimitri met en garde contre les permis vacances-travail qui, bien qu’attrayants pour une expérience d’un ou deux ans, compliquent l’établissement à long terme. La transition vers un visa de travail permanent nécessite de remplir des critères stricts de salaire, de santé et autres exigences administratives. Il souligne que ces programmes changent constamment, rendant difficile la planification à long terme.

    La préparation stratégique

    Malgré l’apparente spontanéité de son arrivée au Québec, Dimitri révèle une préparation minutieuse. Avant son départ de France, il a obtenu sa certification CISSP à Paris, à une époque où cette certification était rare en Europe et ne pouvait se passer qu’en personne. Cette anticipation lui a permis de valoriser son expertise sur le marché nord-américain, où ces certifications sont reconnues. Son diplôme français était également reconnu par l’Ordre des ingénieurs du Québec, facilitant ainsi son intégration professionnelle.

    Son arrivée au Québec illustre l’importance du réseautage : en assistant à une conférence de cybersécurité sur les Plaines d’Abraham, il a multiplié les contacts, décroché des entrevues et obtenu un emploi en trois semaines. Cependant, il reconnaît que le contexte actuel rend ce type de parcours beaucoup plus difficile qu’il y a quinze ans.

    Les différences culturelles fondamentales

    Au-delà de la langue, Dimitri identifie des différences culturelles majeures qui surprennent souvent les expatriés. La principale concerne l’autonomie professionnelle. Contrairement à la culture française, très hiérarchique et directive, les cultures québécoise et néo-zélandaise valorisent l’initiative personnelle. Les employés doivent prendre leurs responsabilités en main plutôt que d’attendre qu’on leur dise quoi faire.

    Cette différence a causé des difficultés à certains collègues français de Dimitri, qui s’attendaient à être pris en charge par leur employeur pour les démarches administratives. Cette mécompréhension culturelle a même conduit certains à devoir retourner en France, leurs visas n’ayant pas été renouvelés faute de démarches personnelles effectuées.

    En Nouvelle-Zélande, Dimitri a découvert une perception unique du risque géopolitique. Le pays se considère comme un refuge, illustré par l’anecdote d’une application qui surveille l’arrivée de jets privés comme indicateur d’événements mondiaux majeurs. Cette position géographique influence la façon dont la cybersécurité est abordée.

    L’enrichissement professionnel en cybersécurité

    L’expatriation a permis à Dimitri de développer une vision à 360 degrés des cadres de référence en cybersécurité. De l’Europe avec l’ANSSI et le RGPD, il est passé aux cadres américains comme le NIST, puis a découvert les approches britanniques et australo-néo-zélandaises comme Cyber Essentials et le Critical 10.

    Il observe que les compétences techniques fondamentales (red team, blue team, pentest) restent largement identiques d’un pays à l’autre. C’est davantage au niveau de la gouvernance que les différences apparaissent, avec des approches variant selon la réglementation locale et la taille des entreprises. Cette transférabilité des compétences représente un avantage majeur pour les professionnels de la cybersécurité comparativement à d’autres professions comme le droit ou la médecine.

    Les conseils pour réussir son expatriation

    Dimitri propose trois conseils essentiels. Premièrement, bien préparer son projet administrativement en se questionnant sur ses intentions : expérience temporaire ou installation permanente ? Cette clarification influence toute la stratégie de préparation.

    Deuxièmement, ne jamais partir avec un état d’esprit négatif, en fuyant une situation. Changer de pays ne résout pas les problèmes personnels ou professionnels non résolus. L’expatriation doit être motivée par la curiosité et l’envie d’enrichissement plutôt que par le désir d’échapper à quelque chose.

    Troisièmement, cultiver l’ouverture d’esprit et la curiosité. Dimitri recommande d’éviter les communautés d’expatriés négatifs qui alimentent les déceptions. Il valorise plutôt le « syndrome du nouvel arrivant » : se présenter avec curiosité et intérêt ouvre les portes, les locaux étant généralement ravis de partager leur culture et leurs connaissances.

    Conclusion

    L’expérience de Dimitri démontre que l’expatriation, bien que source d’enrichissement personnel et professionnel considérable, exige une préparation rigoureuse et une attitude positive. Les choses ne sont pas nécessairement meilleures ailleurs, mais elles sont différentes, et c’est précisément cette différence qui constitue la richesse de l’expérience. Pour les professionnels de la cybersécurité, les opportunités sont réelles, mais le succès dépend davantage de la préparation, de l’adaptabilité culturelle et de l’état d’esprit que de la simple expertise technique.

    Collaborateurs Nicolas-Loïc Fortin Dimitri SouleliacCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x638!Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026DescriptionIntroduction

    Dans cet épisode spécial du podcast, l’hôte et Davy Adam explorent le vaste sujet de la responsabilité de l’intelligence artificielle, un domaine largement débattu dans l’espace public mais souvent mal compris. Face à la demande croissante des clients et à l’omniprésence de ces technologies, ils constatent la nécessité d’examiner comment utiliser l’IA correctement, ses limites, et surtout comment éviter les pièges courants.

    Comprendre l’IA et l’IA générative

    Beaucoup de clients confondent l’IA générale et l’IA générative. L’IA englobe toute application reproduisant une activité humaine codée pour accomplir des tâches spécifiques, comme les jeux d’échecs électroniques des années 90. L’IA générative, quant à elle, constitue un sous-segment du machine learning et du deep learning. Elle s’appuie sur des services pré-entraînés massivement sur des tâches comme la génération de texte, d’images, de sons, de vidéos ou de code, ainsi que sur des systèmes de questions-réponses et de chatbots.

    Ces outils génératifs attirent les entreprises par leur capacité à systématiser des tâches répétitives sur de grands volumes avec un certain niveau de personnalisation. Cependant, contrairement à ce que beaucoup pensent, ces technologies ne sont pas neutres et leur intégration ne se résume pas à installer un simple plugin.

    Les risques et limites fondamentauxLes hallucinations et la nature statistique

    L’un des défis majeurs de l’IA générative réside dans sa nature fondamentalement statistique. Contrairement à Google qui indexe du contenu factuel, l’IA générative ne comprend pas réellement les questions posées. Elle analyse l’ordonnancement des mots et génère la suite statistique la plus probable basée sur son entraînement. Cette approche provoque ce qu’on appelle des “hallucinations” : l’IA, incapable de reconnaître qu’une question n’a pas de sens, s’obstine à fournir une réponse en assemblant des mots statistiquement probables, même si le résultat est erroné ou inventé.

    Yan Lecun, chercheur chez Google, souligne que les IA génératives actuelles ne survivront pas sur ce modèle car elles manquent du recul nécessaire pour comprendre quand une question est inappropriée. L’IA n’est intelligente que dans la mesure de la qualité des données qu’on lui fournit et des questions qu’on lui pose.

    Les biais multiples

    Les biais constituent un autre enjeu majeur, et ils se manifestent à plusieurs niveaux. D’abord, il y a le biais humain : les développeurs projettent leur propre perception du monde dans les données d’entraînement. Un homme blanc de 47 ans, par exemple, n’a pas une expérience représentative de l’ensemble de l’humanité, et cette limitation peut se refléter dans les choix de données, leur filtrage et leur labellisation.

    Ensuite, il existe des biais sociologiques préexistants dans les données elles-mêmes. En médecine, les femmes sont historiquement sous-représentées dans les études cliniques, reproduisant ainsi des discriminations séculaires. La reconnaissance faciale illustre parfaitement ce problème : entraînée principalement sur des visages caucasiens, elle performe mal sur les autres populations.

    L’ordre même dans lequel les informations sont ingérées par le modèle peut influencer les réponses. Les tentatives de débiaisage se révèlent complexes, comme l’a montré Google avec des résultats historiquement inexacts en essayant de corriger les représentations.

    Responsabilité et transparence

    L’utilisateur d’une IA générative demeure responsable de tout ce qu’elle génère en son nom. Cette responsabilité juridique a été établie par une jurisprudence canadienne impliquant Air Canada, dont le chatbot avait fourni des informations erronées sur un rabais de 200 dollars. L’entreprise a été jugée responsable des promesses faites par son IA.

    Cette responsabilité implique la capacité d’expliquer la logique menant à chaque résultat (explainability). Les organisations doivent pouvoir rendre des comptes aux auditeurs, clients, partenaires ou tribunaux sur le fonctionnement de leurs systèmes d’IA. Cela nécessite une compréhension approfondie de l’origine des données, des algorithmes d’apprentissage, des modèles utilisés et de leur paramétrage.

    Les bonnes pratiques d’implémentationDéfinir des périmètres clairs

    Les intervenants insistent sur l’importance de définir précisément le rôle de l’IA générative. Elle ne doit pas être considérée comme un nouvel employé polyvalent, mais comme un outil spécialisé avec des fonctions précises : générer des résumés, traduire des documents, systématiser des tâches répétitives. L’anthropomorphisme constitue un piège dangereux : l’IA n’a aucune émotion, empathie ou véritable intelligence, c’est une application statistique qui transforme des inputs en outputs.

    Les domaines à éviter

    Certains domaines sont inappropriés pour l’IA générative, notamment le médical et le légal pour des décisions critiques. Si ces professionnels peuvent utiliser l’IA pour synthétiser ou traduire des documents, ils ne doivent jamais s’y fier pour des diagnostics ou des défenses juridiques. La complexité contextuelle de ces domaines, où même les experts humains peinent à obtenir des verdicts unanimes, dépasse largement les capacités actuelles des IA génératives.

    Enrichir et contrôler les données

    Les organisations peuvent améliorer leurs IA génératives par plusieurs méthodes. Le RAG (Retrieval Augmented Generation) permet d’ajouter des bases de connaissances spécifiques au métier. Le prompt engineering, le one-shot ou few-shot learning permettent de fournir des exemples de réponses préformatées. Des paramètres comme la “température” permettent de contrôler le niveau de créativité, utile pour la littérature mais risqué pour la documentation technique.

    Les “guardrails” (garde-fous) permettent d’interdire certains vocabulaires ou domaines, limitant ainsi les risques de réponses inappropriées ou dangereuses.

    Gouvernance et sécuritéComités d’éthique et d’IA

    La mise en place d’un comité d’IA devient indispensable pour toute organisation adoptant ces technologies. Ce comité, à la fois technique, professionnel et éthique, doit réfléchir aux questions de responsabilité, éviter les erreurs et établir des frameworks reproductibles pour chaque nouveau projet d’IA.

    Cette gouvernance s’intègre naturellement dans les structures existantes comme les Cloud Centers of Excellence, car les données d’IA proviennent souvent du cloud et doivent être cartographiées, labellisées et nettoyées.

    Menaces de sécurité

    L’empoisonnement des données constitue une menace émergente. Des acteurs malveillants, notamment étatiques, peuvent injecter des données fausses dans les sources d’entraînement pour influencer les résultats. L’exemple de Microsoft avec son chatbot sur Twitter, devenu rapidement nazi et misogyne en 24 heures suite à des interactions malveillantes, illustre cette vulnérabilité. Dans un contexte géopolitique tendu, ces risques nécessitent des stratégies robustes de filtrage et de validation des données.

    Conclusion

    L’adoption de l’IA générative exige une approche mature et réfléchie. Comme pour l’apprentissage de la conduite automobile, il ne suffit pas de savoir manipuler l’outil : il faut comprendre et respecter un “code de l’IA”. Les organisations doivent accepter de tâtonner, d’apprendre et d’itérer pour développer progressivement une culture d’entreprise capable d’intégrer ces technologies de manière responsable, éthique et efficace. La consommation énergétique considérable de ces systèmes et leur impact sociétal renforcent encore l’urgence d’une utilisation consciente et maîtrisée.

    Collaborateurs Nicolas-Loïc Fortin Davy AdamCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x634!Préambule

    Le son n’est pas nickel.

    Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026Description

    Ce podcast spécial réunit quatre professionnels de la cybersécurité qui ont effectué une reconversion professionnelle : Antoine Vacher, Florian Guyot, Charlotte Trudelle et Julien Atsarias. Leurs parcours variés et leurs témoignages offrent un éclairage précieux sur les défis et opportunités de la reconversion vers le domaine de la cyber.

    Des parcours diversifiés vers la cybersécurité

    Les quatre invités proviennent d’horizons professionnels très différents. Antoine était ingénieur télécom réseau dans l’aéronautique, travaillant sur les essais de systèmes embarqués et l’analyse d’incidents. Florian occupait un poste d’ingénieur en conception automobile, spécialisé dans les pièces mécaniques pour moteurs et systèmes antipollution. Charlotte a d’abord étudié la mécanique et l’automatique industrielle avant de devenir conductrice de travaux dans le bâtiment. Quant à Julien, il était ingénieur acousticien du bâtiment pendant une quinzaine d’années.

    Aujourd’hui, Antoine, Florian et Julien exercent comme pentesters chez Ciblex, tandis que Charlotte est consultante en gouvernance, risque et conformité dans la même entreprise. Cette diversité de profils démontre que la cybersécurité peut accueillir des talents venus de nombreux horizons.

    Les motivations : passion technique et besoin de challenge

    Pour Antoine, la motivation principale résidait dans son profil technique et son désir constant de comprendre le fonctionnement des choses. Après avoir maîtrisé les systèmes aéronautiques, il cherchait de nouveaux défis. L’aéronautique, avec ses technologies évoluant lentement sur plusieurs dizaines d’années, ne lui offrait plus le stimulus intellectuel nécessaire. Les perspectives d’évolution orientées vers le management ne l’intéressaient pas, alors que le pentest promettait des challenges techniques permanents.

    Julien partage cette passion pour l’informatique, présente depuis son adolescence. Son intérêt pour les logiciels libres, l’auto-hébergement et les challenges Root-Me l’a progressivement conduit vers la sécurité. Il constatait que son cerveau était “en mode off” après quinze ans dans le même métier, effectuant son travail presque automatiquement. Les challenges techniques ont rallumé cette flamme intellectuelle.

    Florian se retrouve dans cette dynamique : un poste axé sur le management et la gestion d’équipe, sans aspect technique satisfaisant. La découverte des challenges sur New B Contest, puis l’exploration progressive des différentes technologies de la cybersécurité, lui ont révélé un domaine vaste et stimulant. Charlotte a suivi un chemin similaire, découvrant la communauté cyber lors d’événements comme la Nuit du Hack, où elle a rencontré un écosystème accueillant et passionné.

    Les doutes et la zone de confort

    La reconversion implique de sortir de sa zone de confort, ce qui représente un défi psychologique majeur. Julien exprime bien cette difficulté : même si son métier ne le passionnait plus, il comportait des aspects positifs, notamment ses collègues. La cybersécurité lui apparaissait comme “une montagne complètement infranchissable”, nécessitant des connaissances dans de nombreux domaines.

    L’aspect financier constitue également une préoccupation majeure. Arrêter de travailler pour reprendre des études pendant un ou deux ans pose des questions pratiques importantes. Plusieurs ont tenté d’obtenir un financement via le congé individuel de formation, souvent sans succès.

    Charlotte souligne le syndrome du “ce n’est pas le bon moment”, qui peut servir d’excuse indéfiniment. Elle-même a appris sa grossesse deux jours après avoir démissionné pour commencer sa formation, en pleine période COVID, illustrant qu’il n’y a jamais de moment parfait.

    Le passage du statut d’expert reconnu à celui de junior dans un nouveau domaine représente aussi un obstacle psychologique. Recommencer au bas de l’échelle, devoir faire ses preuves à nouveau, nécessite une certaine humilité et détermination.

    Le rôle crucial du soutien

    Le soutien de l’entourage s’avère déterminant dans la réussite d’une reconversion. Tous mentionnent l’importance du soutien de leur conjoint(e), qui les a encouragés et parfois poussés à franchir le pas. Julien remercie publiquement sa compagne qui a su voir avant lui que cette reconversion était indispensable.

    La communauté cybersécurité joue également un rôle essentiel. Charlotte décrit un écosystème “hyper ouvert d’esprit et dans le partage”, où tout le monde est bienvenu. Les événements comme la Nuit du Hack, le THC (Toulouse Hacking Convention), ou les plateformes de challenges permettent de découvrir cette communauté accueillante.

    Julien a rencontré plusieurs professionnels de la cybersécurité avant sa reconversion, les invitant au restaurant pour discuter de leur quotidien. Ces échanges l’ont aidé à concrétiser son projet. Le responsable de la formation Toulouse Sec, Carlos, a également joué un rôle crucial en soutenant son admission malgré un dossier peu conventionnel.

    L’impact de la formation et du diplôme

    La question du diplôme divise. Florian souligne qu’en France, particulièrement dans les grands groupes, le diplôme reste un filtre important, influençant même les grilles salariales. Il a effectué deux formations principalement pour obtenir le “papier” nécessaire, même si les formations elles-mêmes ne lui ont pas apporté beaucoup de compétences.

    Néanmoins, pour les postes très techniques comme le pentest, l’expérience pratique (bug bounty, CTF, challenges, publication d’outils) compte souvent plus que le diplôme lui-même. Antoine et Julien ont suivi la formation Toulouse Sec, un master spécialisé porté par trois écoles d’ingénieurs, qui leur a permis d’acquérir de solides compétences techniques.

    L’apport des expériences antérieures

    Contrairement aux apparences, les expériences professionnelles passées enrichissent considérablement leur pratique actuelle. Julien, ancien acousticien, retrouve la même posture de consultant-ingénieur : comprendre le problème du client, proposer une solution adaptée, rédiger des rapports. Il compare même l’acoustique à la cybersécurité : un domaine souvent négligé, considéré comme un coût non prévu, mais finalement essentiel.

    Antoine applique sa méthodologie d’analyse des cas tordus en aéronautique au pentest, cherchant les scénarios non imaginés par les concepteurs. Sa rigueur dans la rédaction de rapports d’incidents, où chaque mot compte, se retrouve dans ses restitutions en cybersécurité.

    Charlotte utilise quotidiennement son expérience industrielle et du bâtiment, notamment pour la gouvernance dans les environnements OT (technologies opérationnelles). Sa connaissance des lignes de production, de leur fabrication et de leurs coûts d’immobilisation lui donne une compréhension précieuse des enjeux clients.

    Florian valorise surtout la prise de recul acquise avec l’expérience professionnelle, cette capacité à réfléchir posément et à considérer la globalité d’un problème, compétence qui manque souvent aux débutants.

    Conclusion : une porte ouverte

    Les intervenants concluent sur une note encourageante. Il existe une réelle pénurie de talents en cybersécurité, avec de nombreux postes variés au-delà du technique pur. Julien insiste sur le fait que reprendre des études à trente ou trente-cinq ans diffère complètement de l’expérience à vingt ans : la motivation transforme cette année en “la meilleure année de sa vie”.

    La reconversion démontre également une motivation exceptionnelle aux yeux des recruteurs. Quelqu’un qui a quitté une carrière établie par passion pour un nouveau métier n’est pas là par défaut, ce qui constitue un avantage certain.

    Cette flamme, cette passion pour la technique et le partage qui caractérisait les pionniers de la cybersécurité, reste bien vivante dans cette nouvelle génération de professionnels reconvertis, promettant un avenir riche pour le domaine.

    Collaborateurs Nicolas-Loïc Fortin Charlotte Trudelle Antoine Vacher Julien Atsarias Florian GuyotCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x631!Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP Description

    Ce panel enregistré lors du BSides Montréal 2025 réunit plusieurs experts en cybersécurité pour discuter des défis actuels de l’industrie, notamment la gestion des incidents, la protection des PME et l’évolution rapide des menaces.

    La faille Salesforce et les attaques de supply chain

    La discussion débute avec l’analyse de la récente faille Salesforce impliquant Drift, qui a exposé des tokens d’authentification permettant aux attaquants d’énumérer les instances Salesforce de nombreuses organisations. Olivier Bilodeau explique comment cette brèche a déclenché une attaque de supply chain en profondeur, touchant des entreprises comme J Frog et HP Enterprise. Le groupe Shiny Hunters est identifié comme l’acteur de menace derrière cette campagne.

    Cette situation illustre la vitesse alarmante à laquelle les incidents se déroulent aujourd’hui. En seulement deux jours, quatorze articles ont été publiés avec des informations contradictoires, forçant les professionnels à démêler constamment de nouvelles données. Les panélistes soulignent la difficulté de répondre aux questions des clients lorsque l’information évolue si rapidement et que ce qui était vrai il y a quelques heures ne l’est plus.

    La pression de la communication en temps de crise

    Les experts décrivent la pression intense de devoir réagir rapidement aux incidents médiatisés. Dès qu’une vulnérabilité reçoit un nom et apparaît dans la presse, les clients appellent pour obtenir des réponses, même s’ils ne sont pas directement affectés. Cette dynamique transforme les professionnels en “psychologues de la menace” dont le rôle principal devient la réassurance plutôt que l’analyse technique.

    Le problème est amplifié par la course au marketing dans l’industrie, où les entreprises se précipitent pour être les premières à publier sur un incident, quitte à dire peu de choses substantielles ou à partager des informations qui seront invalidées vingt-quatre heures plus tard. Cette urgence de communication nuit à la qualité de l’analyse et crée de la confusion.

    Les PME : le maillon faible de la chaîne

    Un thème central du podcast concerne la vulnérabilité des petites et moyennes entreprises. Les panélistes constatent que les PME représentent 80 % de la main-d’œuvre au Québec, mais constituent un angle mort majeur en cybersécurité. Ces entreprises manquent souvent de ressources, d’expertise et d’accès à l’information nécessaire pour se protéger adéquatement.

    Le problème est particulièrement préoccupant car ces PME sont souvent des fournisseurs de grandes organisations. Comme le démontre l’incident Drift, un petit fournisseur peut devenir la porte d’entrée pour compromettre des géants de l’industrie. Pascal Gad souligne qu’un incident de fin de semaine peut coûter entre 100 000 et 120 000 dollars, alors que des mesures préventives comme un EDR coûteraient environ 4 000 dollars par mois.

    Le rôle ambigu des MSP et MSSP

    La discussion révèle une problématique importante concernant les fournisseurs de services managés. Beaucoup de MSP, particulièrement en région, n’ont pas l’expertise nécessaire en cybersécurité mais offrent quand même ces services. Certains se limitent à vérifier le tableau de bord d’un pare-feu Fortinet sans réelle analyse approfondie.

    Les panélistes comparent cette situation à quelqu’un qui s’improviserait chirurgien : ce n’est pas parce qu’on offre un service qu’on a les compétences pour le faire correctement. Le problème est aggravé par le fait que les PME ne savent souvent pas ce qu’elles achètent en matière de cybersécurité, permettant aux MSP peu scrupuleux de vendre à peu près n’importe quoi.

    Prévention versus réaction

    Un débat émerge sur la difficulté de faire investir les entreprises en prévention plutôt qu’en réaction. Les panélistes observent qu’historiquement, les investissements significatifs en cybersécurité ne surviennent qu’après un incident. Cette fenêtre d’opportunité ne dure que quinze jours avant que tout redevienne “business as usual”.

    La sensibilisation seule ne suffit pas, comme en témoigne le fait que les mêmes messages sont répétés depuis dix ou vingt ans sans changement significatif des comportements. La loi 25 au Québec est citée comme exemple de réglementation qui, malgré ses imperfections, force les entreprises à se conformer à des standards minimums acceptables.

    L’évolution technologique et ses défis

    La conversation aborde l’adoption lente des nouvelles technologies de sécurité comme les passkeys. Bien que ces solutions représentent une avancée majeure, leur déploiement prend du temps en raison de la complexité pour les utilisateurs finaux. Les panélistes reconnaissent que même eux-mêmes n’ont pas tous fait la transition, illustrant le défi d’adoption au niveau du grand public.

    L’analogie avec l’histoire médicale est frappante : tout comme il a fallu des décennies pour que les chirurgiens adoptent le simple geste de se laver les mains, les changements de comportement en cybersécurité nécessitent du temps et de la patience.

    La nécessité de parler le langage des affaires

    Un point crucial soulevé concerne l’importance des compétences en communication. Les professionnels de la cybersécurité doivent apprendre à parler en termes de risques d’affaires plutôt qu’en jargon technique. Les exercices de registres de risques fonctionnent bien car ils permettent aux dirigeants non techniques de comprendre les enjeux en termes d’impact et de probabilité.

    Dominique Derrier insiste sur le fait que ce qui se vend avant tout, c’est la confiance. Les clients ne font pas appel à un professionnel pour des produits, mais pour une relation de confiance où ils peuvent partager leurs vulnérabilités sans crainte.

    Vers plus de réglementation ?

    Le panel conclut sur la nécessité probable d’une régulation accrue. Comparant la situation à celle des services d’incendie ou de santé publique, les experts suggèrent qu’un niveau minimum de cybersécurité devrait peut-être devenir un service public ou être strictement réglementé, comme c’est le cas pour l’ingénierie ou la médecine.

    Les initiatives européennes comme NIS2 et DORA sont mentionnées comme exemples de réglementations fortes qui établissent un “niveau d’eau” égal pour toutes les entreprises. Cette approche évite que certaines organisations prennent des raccourcis pour obtenir un avantage économique au détriment de la sécurité collective.

    Le titre de l’épisode, “Les bœufs sont lents mais la terre est patiente”, capture parfaitement le message central : les changements en cybersécurité prennent du temps, mais ils finissent par arriver. L’industrie doit accepter que l’évolution se mesure en décennies plutôt qu’en mois, tout en continuant à pousser pour des améliorations constantes.

    Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Olivier Bilodeau Marc Cormier Jean-Philippe Décarie-Mathieu [Pascal Gad] [Tyler Chevrier]Crédits Montage par Intrasecure inc Locaux réels par BAnQ
  • Parce que… c’est l’épisode 0x630!Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026Description

    Ce podcast spécial réunit Sylvie Guérin et Éric Parent, tous deux experts en cybersécurité et cofondateurs de BSides Montréal, pour rendre hommage à Michel Cusin, une figure marquante qui a façonné la communauté de cybersécurité au Québec pendant plus de deux décennies.

    Un formateur dévoué et passionné

    Michel Cusin a débuté sa carrière à une époque où la cybersécurité se limitait principalement aux pare-feu. Éric Parent l’a rencontré il y a plus de 25 ans chez Services Maxon, où Michel était l’un des deux seuls instructeurs certifiés CheckPoint au Québec. Ce qui le distinguait particulièrement était sa capacité à former les gens en français, rendant accessible une expertise technique souvent disponible uniquement en anglais.

    Plus tard, Michel est devenu formateur SANS, possiblement le premier et peut-être le seul formateur SANS francophone au Québec. Cette contribution était cruciale pour les professionnels québécois qui ne pouvaient pas toujours se déplacer à l’extérieur pour suivre des formations. Michel excellait dans la vulgarisation de concepts techniques complexes, présentant toujours les dernières tendances en cybersécurité avec énergie et de nombreux exemples concrets. Ses formations étaient reconnues pour leur qualité exceptionnelle et leur documentation exhaustive, qu’il avait soigneusement traduite et adaptée en français.

    Cofondateur de HackFest et BSides

    En 2009, Michel s’est joint au groupe fondateur de HackFest (devenu NorthSec), apportant une telle énergie et passion qu’il est devenu le quatrième cofondateur de l’événement. Son dévouement était tel qu’il trouvait constamment de nouvelles opportunités et ressources pour faire grandir la communauté.

    Plus tard, inspiré par le mouvement BSides international, Michel a contacté Jack Daniel pour obtenir la permission de lancer BSides Québec en 2013-2014. L’événement a démarré avec un budget minimal, l’équipe faisant elle-même l’épicerie au Costco et expérimentant diverses configurations (incluant une mémorable tentative ratée de système de distribution de bière artisanale qui ne produisait que de la mousse). Malgré ces débuts modestes, le premier BSides Québec a été un franc succès, notamment grâce au réseau et à la détermination de Michel qui avait réussi à attirer le fondateur de Metasploit comme conférencier.

    Une culture familiale et inclusive

    Michel portait une vision particulière pour BSides Québec : créer un événement accessible financièrement (environ 50 dollars incluant la nourriture) et qui se déroulerait principalement en français. Il souhaitait également encourager la diversité, recherchant activement des femmes conférencières pour les éditions suivantes.

    L’une des contributions les plus marquantes de Michel fut d’instaurer une culture familiale dans ces événements. Il encourageait les participants à amener leurs conjoints et leurs enfants, créant ainsi un environnement inclusif où même les adolescents pouvaient s’initier à la cybersécurité. Cette philosophie s’est perpétuée à BSides Montréal, où des bébés assistent encore aux conférences aujourd’hui.

    Un défenseur de l’intégrité professionnelle

    Michel s’est également illustré comme défenseur de l’éthique dans l’industrie. Lorsqu’il a découvert que certaines entreprises utilisaient frauduleusement des CV de professionnels pour remporter des appels d’offres, il s’est battu publiquement, contactant des journalistes pour dénoncer ces pratiques. Ces efforts collectifs ont probablement contribué aux changements de processus au gouvernement, où les CV doivent maintenant être signés par les personnes concernées.

    Michel n’hésitait pas à dire les choses franchement, même face aux grandes organisations ou à la machine gouvernementale, une position que seuls ceux qui ont atteint une certaine maturité professionnelle peuvent se permettre d’adopter.

    Un collaborateur toujours disponible

    L’une des qualités les plus appréciées de Michel était sa disponibilité inconditionnelle. Peu importe le projet, aussi fou soit-il, il embarquait sans hésiter. Un exemple mémorable fut sa participation à un documentaire d’Explora sur les hackers, où avec seulement quelques jours de préavis, il a réalisé un véritable piratage de l’entreprise Téo Taxi pour démontrer les vulnérabilités de sécurité. Cette disponibilité et ce dévouement à la communauté caractérisaient parfaitement Michel.

    Un message crucial sur la santé mentale

    L’hommage prend une dimension particulièrement importante en abordant la santé mentale dans le domaine de la cybersécurité. Le stress du métier, les incidents de sécurité, et même la victimisation par des cyberfrauds peuvent avoir des impacts dévastateurs sur les professionnels. Éric et Sylvie rappellent avoir vu des gestionnaires partir en épuisement professionnel après des incidents, et insistent sur l’importance de ne pas blâmer les victimes d’erreurs humaines.

    Ils encouragent vivement la communauté à créer des réseaux de soutien, à surveiller le bien-être de leurs collègues, et à ne pas hésiter à demander de l’aide. Le travail à distance post-COVID a aggravé l’isolement, rendant encore plus crucial de maintenir des contacts humains significatifs lors d’événements communautaires.

    Un héritage durable

    Michel Cusin laisse derrière lui un héritage considérable : des formations de qualité en français, des événements communautaires florissants, une culture d’entraide et d’inclusion, et l’exemple d’un professionnel passionné qui donnait sans compter à sa communauté. Son énergie pure, son accessibilité et son dévouement continuent d’inspirer la communauté de cybersécurité québécoise.

    L’hommage se termine sur un appel à perpétuer les valeurs de Michel : l’ouverture, le soutien mutuel, et l’importance de prendre soin les uns des autres dans une industrie exigeante où la collaboration et l’humanité sont essentielles.

    Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric ParentCrédits Montage par Intrasecure inc Locaux réels par BAnQ
  • Parce que… c’est l’épisode 0x621!Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026DescriptionIntroduction

    Ce podcast explore l’expérience de Dimitri Souleliac, professionnel en cybersécurité qui a vécu deux expatriations majeures : de la France vers le Québec, puis du Québec vers la Nouvelle-Zélande. Son parcours illustre les défis, opportunités et réalités d’une carrière internationale dans le domaine de la sécurité informatique.

    Un parcours atypique

    Dimitri a débuté sa carrière en France avant de s’établir au Québec pendant 10 ans, puis de s’installer en Nouvelle-Zélande peu avant la pandémie. Ce qui devait être une expérience de 6 mois au Québec s’est transformé en une décennie d’intégration complète. Cette trajectoire révèle qu’une expatriation réussie demande bien plus que de simples compétences techniques.

    La réalité derrière le rêve

    L’image romantique de l’expatriation cache une réalité beaucoup plus complexe. Dimitri utilise la métaphore du canard : en surface, tout semble paisible, mais sous l’eau, il faut constamment “pédaler”. Les destinations comme le Québec et la Nouvelle-Zélande font rêver dans l’imaginaire collectif, mais s’y établir nécessite une préparation rigoureuse et une énergie considérable.

    Les pays d’immigration actuels (Canada, Australie, Nouvelle-Zélande) recherchent principalement de la main-d’œuvre temporaire pour combler des besoins spécifiques, pas nécessairement des immigrants permanents. Cette réalité économique rend l’installation à long terme plus difficile qu’auparavant, particulièrement dans le contexte actuel où le marché de l’emploi en IT et cybersécurité n’est plus aussi favorable.

    Les défis administratifsVisas et immigration

    La question fondamentale à se poser avant tout départ : s’agit-il d’une expérience temporaire ou d’un projet d’installation à long terme ? Cette distinction détermine toute la stratégie administrative. Les permis vacances-travail (PVT) permettent des séjours de 1 à 2 ans, mais la transition vers un statut permanent nécessite de remplir des critères stricts de salaire, santé et qualification.

    Dimitri et sa famille avaient préparé leur démarche en amont en demandant la résidence permanente avant même de quitter la France. Cette anticipation leur a offert la flexibilité de rester si l’expérience s’avérait positive. Les démarches administratives sont complexes, coûteuses et chronophages, mais essentielles à planifier correctement.

    Reconnaissance des compétences

    Pour faciliter son intégration professionnelle, Dimitri a obtenu sa certification CISSP en personne à Paris avant son départ, une démarche stratégique puisque ces certifications sont reconnues en Amérique du Nord. Il a dû trouver un parrain chez IBM pour cette certification, alors rare en Europe. Cette préparation a considérablement facilité sa crédibilité professionnelle à l’arrivée.

    L’intégration professionnelleUne arrivée audacieuse

    L’arrivée de Dimitri au Québec illustre l’importance du réseautage. En se présentant à une conférence ASIC sur les Plaines d’Abraham, il a établi des contacts qui ont mené à des entrevues puis à un emploi en trois semaines. Cette approche proactive démontre qu’au-delà de la préparation administrative, l’audace et l’ouverture sont essentielles.

    L’employeur s’inquiétait davantage que Dimitri ne reste pas plutôt que de ses qualifications, illustrant que les compétences en cybersécurité sont très transférables internationalement.

    Les différences culturelles majeuresAutonomie versus hiérarchie

    Une différence fondamentale entre la culture française et celle du Québec ou de la Nouvelle-Zélande réside dans l’autonomie accordée aux professionnels. En Europe, particulièrement en France, la culture est plus hiérarchique et directive. L’État encadre davantage les activités professionnelles.

    Au Québec et en Nouvelle-Zélande, on attend des professionnels qu’ils se prennent en main. Dimitri rapporte qu’à son premier emploi québécois, personne ne lui a dit quoi faire. On lui a simplement reconnu son expertise et on attendait qu’il propose des solutions. Cette différence a surpris plusieurs de ses collègues français qui n’y étaient pas préparés et ont dû retourner en France.

    Perception du risque

    La Nouvelle-Zélande présente une perception unique du risque, liée à son isolement géographique. Bien que non complètement détachée des événements géopolitiques mondiaux, l’île bénéficie d’un sentiment de distance qui influence les approches en cybersécurité. Un exemple frappant : un Néo-Zélandais a développé une application surveillant l’arrivée de jets privés, considérant cela comme un indicateur d’événements majeurs imminents dans le monde.

    L’enrichissement professionnel

    L’expatriation permet de découvrir différents cadres de référence en cybersécurité. Dimitri a pu comparer les approches européennes (ANSSI, RGPD) avec celles nord-américaines (NIST CSF) et celles spécifiques à l’Océanie (Critical 10 de Nouvelle-Zélande, Essential Eight d’Australie, Cyber Essentials du Royaume-Uni).

    Les compétences techniques fondamentales (red team, blue team, pentest) restent similaires d’un pays à l’autre. C’est davantage la gouvernance, les réglementations et l’organisation des rôles qui diffèrent. Cette transférabilité des compétences constitue un avantage majeur de la cybersécurité par rapport à d’autres professions comme médecin ou avocat.

    Conseils essentiels pour réussir1. Préparation administrative rigoureuse

    Déterminer dès le départ si le projet est temporaire ou permanent et planifier en conséquence. Les démarches de visa et d’immigration doivent être anticipées avec soin.

    2. Attitude positive

    Ne jamais partir dans un état d’esprit de fuite. Changer de pays ne résout pas les problèmes personnels ou professionnels non résolus. L’expatriation doit être motivée par un désir d’enrichissement, non par l’insatisfaction.

    3. Ouverture d’esprit et curiosité

    Éviter les communautés d’expatriés négatifs qui partagent uniquement leurs déceptions. Privilégier les rencontres avec des locaux curieux de partager leur culture. Se présenter comme un nouvel arrivant intéressé génère généralement un accueil chaleureux.

    4. Participation aux événements

    Les conférences et événements professionnels constituent la porte d’entrée idéale pour comprendre l’écosystème local et créer un réseau professionnel dans son nouveau pays.

    Conclusion

    L’expatriation en cybersécurité offre d’immenses opportunités d’enrichissement professionnel et personnel, mais ne doit pas être idéalisée. Le succès repose sur une préparation minutieuse, une attitude positive, et la compréhension que les choses ne sont pas forcément meilleures ailleurs, mais différentes. Cette différence constitue précisément la richesse de l’expérience internationale.

    Collaborateurs Nicolas-Loïc Fortin Dimitri SouleliacCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x620!Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026DescriptionL’inflation des titres sur LinkedIn et dans l’informatique

    Dans cet épisode, NLF et Davy Adam abordent un phénomène problématique qui touche le secteur informatique : l’inflation et la dénaturation des titres professionnels, particulièrement visible sur LinkedIn. Ils observent que des métiers traditionnels et essentiels comme technicien, administrateur système ou administrateur de base de données ont quasiment disparu au profit de titres plus ronflants comme “architecte”, “consultant”, “expert” ou “spécialiste”.

    La disparition des métiers de base

    Davy Adam note qu’il ne croise pratiquement plus d’administrateurs système ou réseau dans ses formations, alors que ces rôles restent fondamentaux pour le bon fonctionnement des infrastructures informatiques. Les professionnels préfèrent se présenter comme “spécialistes sécurité” quand ils font du réseau basique, ou “architectes cloud” quand ils administrent du Windows sur Azure.

    Cette dévalorisation des métiers techniques de base pose problème car ces rôles sont essentiels. Comme le souligne NLF, sans bons administrateurs et techniciens pour opérer les infrastructures, les dommages peuvent être énormes. L’excellence dans ces qualifications est très importante et ne devrait pas être dévalorisée.

    Le malentendu autour du rôle d’architecte

    Les intervenants expliquent que le titre d’architecte a un sens précis, similaire à celui d’un architecte de bâtiment. Un vrai architecte informatique doit :

    Écouter le client en premier lieu pour comprendre ses besoins réels Reformuler la demande avec le client, ce qui aide souvent ce dernier à clarifier ses véritables besoins Concevoir des plans en appliquant les bonnes pratiques et normes Documenter ses recommandations de manière claire Avoir une vision transversale sans être expert dans tous les domaines

    Au Québec notamment, il existe une présomption qu’un architecte sait rédiger, analyser et documenter, compétences souvent absentes chez ceux qui s’autoproclament architectes tout en excellant dans l’opérationnel.

    Les problèmes de recrutement et d’attentes

    Cette confusion des titres crée des dysfonctionnements :

    Pour les recruteurs : ils cherchent des “architectes” pour faire de l’implémentation technique Pour les consultants : on leur propose des missions opérationnelles alors qu’ils veulent faire du conseil stratégique Pour les clients : leurs attentes ne correspondent pas aux profils recrutés

    Davy Adam utilise l’analogie médicale : on ne demande pas à un chirurgien orthopédique de couper les ongles, même s’il en a techniquement la capacité. La hiérarchisation des rôles n’est pas un jugement de valeur mais une question de répartition efficace des compétences.

    La vraie nature du consulting

    Les deux experts insistent sur ce qu’est réellement le consulting :

    Intervention ponctuelle : quelques jours par mois chez plusieurs clients plutôt qu’une présence permanente Conseil à la demande : comme un avocat ou un médecin qu’on consulte pour son expertise Synthèse d’expérience : apporter la richesse de multiples expériences vécues chez différents clients Autonomisation des équipes : donner les clés pour que les équipes internes puissent implémenter

    Davy Adam compare son profil à un “couteau suisse” : de multiples capacités sans être le meilleur dans aucune, mais avec la capacité de faire le lien entre tous les domaines.

    Les défis du freelancing et les malentendus

    Les consultants freelance font face à des demandes inadéquates :

    Missions de résidence alors qu’ils cherchent du conseil ponctuel Tâches opérationnelles alors qu’ils veulent faire de la stratégie Attentes de présence permanente incompatibles avec leur modèle économique

    NLF et Davy Adam expliquent que leur valeur réside dans la diversité de leurs expériences, pas dans une expertise approfondie unique. Ils préfèrent refuser des missions inadéquates plutôt que de créer de la frustration mutuelle.

    L’aspect économique du consulting

    Le consulting coûte plus cher à l’heure mais reste moins onéreux sur l’année car :

    Usage ponctuel : on ne paie que quand on a besoin du consultant Expertise concentrée : résolution rapide des problématiques Pas de coûts de structure : pas de charges sociales permanentes

    Comme le dit Davy Adam : “Je synthétise 10 ans d’expérience en une journée et réponds à toutes tes questions.”

    L’intelligence artificielle ne remplace pas l’expertise contextuelle

    Face aux questionnements sur l’IA, les experts restent confiants. L’IA générative ne peut pas :

    Comprendre le contexte spécifique de chaque entreprise Gérer les particularités des systèmes patrimoniaux Naviguer les dynamiques humaines et politiques internes Adapter les bonnes pratiques aux contraintes réelles

    NLF utilise l’analogie de la rénovation : demander à ChatGPT de rénover une maison patrimoniale de 200 ans serait inadéquat car ses références ne correspondent pas au contexte spécifique.

    Solutions recherchées vs problèmes réels

    Un problème récurrent observé est la tendance des organisations à adopter des solutions trendy (IA, Kubernetes, cloud) sans avoir identifié le vrai problème à résoudre. C’est une approche inverse où “la solution cherche un problème”.

    Le rôle du consultant est justement de remonter aux vrais besoins et de guider vers les solutions appropriées, en tenant compte des contraintes organisationnelles, culturelles et techniques réelles.

    Conclusion

    Cet épisode appelle à une clarification des terminologies professionnelles et une meilleure compréhension des rôles de chacun. L’objectif n’est pas de critiquer mais de rétablir la cohérence entre les titres, les compétences réelles et les besoins des organisations pour améliorer l’efficacité du marché du travail informatique.

    Collaborateurs Nicolas-Loïc Fortin Davy AdamCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
  • Parce que… c’est l’épisode 0x619!Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026DescriptionIntroduction : La pyramide des conspirations

    Catherine Dupont-Gagnon ouvre l’épisode en présentant la pyramide des conspirations d’Abby Richards (connue sous le nom de Tofologie), un outil pédagogique pour comprendre les différents niveaux de théories conspiratrices. Cette pyramide part de la base avec des éléments ancrés dans la réalité (comme MK-Ultra, aujourd’hui documenté), puis progresse vers la ligne de spéculation (Area 51), les théories sans danger mais fausses (le Titanic n’a jamais coulé, Avril Lavigne remplacée par un clone), jusqu’aux niveaux dangereux qui nient la réalité (5G, Pizzagate) et finalement les théories antisémites et déshumanisantes (lézards extraterrestres, négationnisme de l’Holocauste).

    L’objectif est de montrer qu’il est normal et sain de poser des questions, tant qu’on reste ancré dans les faits et les preuves. Le problème survient quand on commence à “remplir les vides” avec des spéculations non fondées.

    L’histoire factuelle d’Jeffrey Epstein

    Samuel Harper présente ensuite les faits documentés de l’affaire Epstein. En 1998, Ghislaine Maxwell commence à recruter des “assistantes” et “masseuses” dans des écoles et centres pour Jeffrey Epstein. En 2005, une enquête policière révèle un système pyramidal de recrutement où des mineures, souvent de 13-14 ans, étaient exploitées sexuellement et encouragées à recruter d’autres victimes.

    L’enquête de West Palm Beach identifie 18 victimes nommées, tandis que le FBI en trouve 34. Malgré l’ampleur des preuves, Epstein plaide coupable à seulement deux accusations mineures en 2008 et purge 13 mois d’une sentence de 18 mois, avec des conditions de détention exceptionnellement favorables.

    Le parcours d’Epstein révèle des éléments troublants : sans diplôme universitaire, il est embauché comme professeur à l’école élitiste Dalton par Donald Barr (père de William Barr), puis recruté chez Bear Stearns avant de fonder sa propre entreprise d’investissement prétendument réservée aux milliardaires.

    Les zones grises et spéculations

    Le podcast explore ensuite les aspects plus nébuleux de l’affaire. Epstein a généré plus de 800 millions de dollars entre 1999 et 2018, principalement grâce à des “frais de consultation” de clients comme Les Wexner (200 millions) et Leon Black (170 millions) - des sommes inhabituellement élevées pour des conseils fiscaux.

    Les liens d’Epstein avec des personnalités influentes soulèvent des questions : Bill Clinton, le prince Andrew, Donald Trump, Kevin Spacey, et de nombreuses autres figures publiques fréquentaient ses cercles. Virginia Giuffre a notamment accusé plusieurs personnalités d’agressions dans le cadre du réseau d’Epstein.

    Les circonstances de la mort d’Epstein

    La mort d’Epstein en prison en août 2019 alimente de nombreuses spéculations. L’autopsie révèle une fracture de l’os hyoïde, plus fréquente dans les homicides que les suicides. Les enregistrements vidéo du premier incident en juillet ont mystérieusement disparu, et son compagnon de cellule était Nick Tartaglione, un ancien policier condamné pour quadruple meurtre.

    Alexander Acosta, le procureur qui avait accordé l’accord clément à Epstein en 2008, aurait déclaré qu’Epstein “appartenait au renseignement” et était “au-dessus de son niveau de compétence”, avant de se rétracter.

    Les théories sur les services de renseignement

    Le podcast aborde les rumeurs de liens avec les services secrets. Des sources non confirmées suggèrent des connections avec le Mossad israélien, notamment à travers le père de Ghislaine Maxwell, Robert Maxwell, magnat de la presse décédé dans des circonstances mystérieuses. Ces théories restent largement spéculatives, manquant de corroboration solide.

    Trump et les développements récents

    Les relations entre Trump et Epstein sont documentées : ils se connaissaient depuis les années 1990, Trump a voyagé sur le jet d’Epstein, et des citations de 2002 montrent Trump louant Epstein comme “un type formidable” qui “aime les belles femmes, et beaucoup d’entre elles sont plutôt jeunes”.

    Le podcast révèle un retournement politique récent : après avoir promis de divulguer les “fichiers Epstein” pendant sa campagne, l’administration Trump a publié en juillet 2025 un mémo déclarant qu’aucune nouvelle divulgation n’était nécessaire, qu’il n’existait pas de “liste de clients” et qu’Epstein s’était bien suicidé.

    Cette volte-face a provoqué la colère de la base MAGA et des partisans de QAnon, qui avaient fait de cette promesse un pilier de leur soutien. Des figures comme Cash Patel et Dan Bongino, nouvellement nommés au FBI, semblaient visiblement inconfortables en défendant cette position.

    Conclusion et réflexions

    Les animateurs concluent que l’affaire Epstein illustre parfaitement les dangers de combler les vides informationnels avec des spéculations. Ils soulignent qu’il n’est pas nécessaire d’invoquer des rituels sataniques ou des conspirations mondiales pour expliquer ce qui semble être, fondamentalement, un réseau d’hommes puissants abusant de leur position.

    Cette affaire révèle aussi la fragilité des mouvements conspirationnistes face aux prophéties non réalisées. Le moment actuel pourrait représenter un point de fracture pour QAnon et MAGA, leurs leaders étant confrontés à l’impossibilité de tenir leurs promesses sans s’incriminer eux-mêmes.

    L’épisode se termine sur une réflexion plus large concernant l’ère de l’information et la difficulté croissante de distinguer les faits de la fiction dans un paysage médiatique fragmenté.

    Notes Abbie Richards fights TikTok disinformation with a cup of tea, a conspiracy chart and a punchline The conspiracy chart 2021 Abbie RichardsCollaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel HarperCrédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm