PolySécure Podcast volet pour les professionels

Parce que… c’est l’épisode 0x744!

Shameless plug

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Un événement communautaire au cœur de la cybersécurité québécoise

Dans cet épisode spécial, Nicolas-Loïc Fortin s’entretient avec René-Sylvain Bédard, un acteur bien connu de la communauté cybersécurité au Québec. Au menu : la conférence ITSec, ses origines, sa valeur, son thème de l’année, et les grandes réflexions que René-Sylvain s’apprête à y partager. Une conversation qui déborde rapidement sur des sujets plus larges, de l’intelligence artificielle à la gouvernance des données, en passant par le rôle des gestionnaires face aux défis de la cybersécurité.

ITSec : bien plus qu’une conférence technique

René-Sylvain décrit ITSec avec une affection non dissimulée. Impliqué depuis quatre ans, il qualifie l’événement de « grande messe » où se retrouvent professionnels de la cybersécurité et fournisseurs de services gérés (MSP) dans un esprit authentiquement communautaire. Ce qui le distingue des grands salons commerciaux, c’est précisément ce qu’il n’est pas : un show de vente. Ici, l’objectif est de partager la passion et les connaissances, pas de pousser des produits.

L’ambiance y est conviviale mais résolument technique. La première journée est consacrée à la formation, suivie d’un capture the flag en soirée. Un spectacle humoristique vient ensuite marquer la transition entre les deux jours, permettant de souffler avant de replonger dans le contenu. Ce format — deux jours ni trop longs ni trop courts — contribue à maintenir une énergie positive tout au long de l’événement.

Le parcours gestionnaire : amener le boss dans la salle

L’une des innovations les plus marquantes des dernières années est l’introduction du « parcours gestionnaire », né d’un constat simple : après les présentations, des participants venaient régulièrement dire à René-Sylvain qu’ils auraient voulu que leur supérieur entende ce qui venait d’être dit. De là est née l’idée du Bring Your Own Boss — une invitation directe faite aux professionnels TI d’amener leur dirigeant à la conférence.

Ce parcours, horizontal par nature, s’adresse à des gestionnaires issus de la TI, de la cybersécurité ou du monde MSP. L’objectif est d’assurer une « traduction » entre le langage technique des équipes et la réalité décisionnelle des dirigeants. Une initiative saluée par Nicolas-Loïc, qui souligne à quel point les grands événements comme le RSA contribuent parfois à brouiller les cartes en multipliant les annonces spectaculaires sans réelle valeur opérationnelle pour les praticiens.

Le thème 2025 : l’IA qui protège nos mondes numériques

Cette année, ITSec a choisi de centrer son édition autour de l’intelligence artificielle, non pas sous l’angle de la menace, mais sous celui de la protection. Le thème retenu — L’IA qui protège nos mondes numériques — ouvre une perspective rafraîchissante dans un paysage médiatique souvent dominé par les discours alarmistes. L’IA peut aussi être un bouclier, et ITSec entend démontrer comment.

La conférence d’ouverture sera assurée par Anne-Gwen, dont René-Sylvain anticipe qu’elle va « souffler tout le monde » avec une vision nouvelle du sujet. Par ailleurs, Microsoft animera une formation sur la gouvernance des données comme prérequis à l’adoption de l’IA — un rappel bienvenu que déployer Co-Pilot sans avoir structuré ses données en amont, c’est prendre le problème à l’envers. La formule est connue : garbage in, garbage out.

Gouvernance des données et sécurité : les deux faces d’une même pièce

La discussion s’étend naturellement à la question de la gouvernance dans les environnements Microsoft 365. René-Sylvain illustre l’enjeu avec un exemple parlant : si la sécurité de vos données dans M365 n’est pas bien configurée, votre IA héritera des mêmes lacunes. Un stagiaire pourrait ainsi se retrouver avec accès aux salaires de toute l’organisation — non pas parce que l’IA est mal paramétrée, mais parce que les fondations de sécurité n’ont jamais été posées correctement.

Cette réalité rejoint un problème plus large : la majorité des organisations déploient des outils d’IA générative sans avoir réalisé le travail préparatoire indispensable — nettoyage des données, gestion des accès, étiquetage (tagging). Un travail ingrat, invisible, mais absolument fondamental.

La démocratisation de la cybersécurité pour les gestionnaires

C’est le sujet que René-Sylvain s’apprête à aborder lors de sa présentation au parcours gestionnaire, en s’appuyant sur son livre en cours de publication. Son constat est sans appel : les outils technologiques de cybersécurité sont inutiles pour les dirigeants. Mettre une console Sentinel ou SentinelOne devant un gestionnaire — qu’il soit comptable, vendeur ou administrateur — ne produira aucun effet utile. 94 % d’entre eux, estime-t-il (et Nicolas-Loïc irait même jusqu’à 99 %), n’ont tout simplement pas les clés pour interpréter ce qu’ils voient.

La question qu’il soulève n’est donc pas technique, mais stratégique : quelle est la couche de traduction qui manque pour rendre la cybersécurité digestible à un décideur ? Comment lui donner une visibilité réelle sur ce que ses équipes font, sans le noyer dans des millions de signaux d’alerte qu’il ne peut pas interpréter ? C’est le fil conducteur de sa présentation, et manifestement, un débat qui promet d’être animé.

L’esprit de communauté comme moteur

En conclusion, les deux interlocuteurs s’accordent sur l’essentiel : ce qui nourrit les professionnels de la cybersécurité, c’est le contact avec d’autres expertises, la confrontation bienveillante des points de vue, les échanges informels autour d’un café. ITSec, comme d’autres événements communautaires, remplit ce rôle en sortant les participants de la bulle négative pour les ramener à leur passion première : la technologie. Et si quelques tomates sont jetées en chemin, c’est souvent le signe qu’on a touché quelque chose de vrai.

Notes

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




[ITSec - RenéSylvain Bédard] (https://it-sec.ca/schedule-speaker/rene-sylvain-bedard/)

Collaborateurs

Nicolas-Loïc Fortin

René-Sylvain Bédard

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x743!

Préambule

L’enregistrement a été effectué à partir d’un lien Internet avec beaucoup de latence. J’ai corrigé du mieux que je peux.

Shameless plug

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Présentation de l’invité et de son entreprise

Frédérik Bernard est président fondateur de Secur01, une entreprise québécoise spécialisée en cybersécurité depuis 12 ans. Dès sa fondation, l’objectif était clair : rendre la cybersécurité accessible aux PME. Si les grandes entreprises bénéficiaient déjà depuis longtemps de services spécialisés dans ce domaine, ce n’est que depuis environ cinq ans que les PME commencent à prendre conscience de l’importance de se protéger. Secure 01 accompagne aujourd’hui plus d’une centaine de clients actifs au Canada, aux États-Unis et en Europe.

La cybersécurité, un domaine de spécialisation à part entière

L’un des fils conducteurs de l’échange est la transformation profonde du secteur des technologies de l’information. Dans les années 2000, « faire du TI » signifiait tout à la fois : réparer des ordinateurs, installer des imprimantes, maintenir des serveurs, développer des sites web. Aujourd’hui, ces disciplines se sont fragmentées, tout comme le multimédia s’est autrefois détaché du reste de l’informatique.

La cybersécurité suit exactement cette trajectoire. Les cadres de contrôle internationaux sont unanimes : les personnes qui gèrent les opérations TI au quotidien ne devraient pas être celles qui supervisent leur propre sécurité. La raison est simple et profondément humaine — on manque d’objectivité lorsqu’on évalue son propre travail. Frédérik Bernard fait le parallèle avec le monde du développement logiciel, où le contrôle qualité est depuis longtemps confié à des équipes distinctes de celles qui produisent le code.

L’analogie médicale qu’il propose est particulièrement parlante : demander à un médecin généraliste d’opérer un cerveau n’a aucun sens, aussi compétent et bien intentionné soit-il. La cybersécurité, c’est la neurochirurgie des systèmes d’information.

L’état du marché : moins d’attaques, mais plus dévastatrices

Les rapports de référence du secteur — CDW, Verizon DBIR et autres — convergent vers un constat préoccupant : si le nombre d’attaques a légèrement diminué ces dernières années, leur portée et leur criticité ont explosé. Les attaquants passent de plus en plus de temps sur les réseaux compromis avant d’être détectés — parfois 20, 30 ou 40 jours —, le temps d’exfiltrer des centaines de gigaoctets de données sensibles.

Ce constat est aggravé par une réalité de terrain que Frédérik Bernard rencontre régulièrement lors de réponses aux incidents : des équipes TI incapables de répondre à des questions élémentaires. À quoi sert tel serveur ? Quelles données y sont hébergées ? Quel est l’inventaire des machines actives sur le réseau ? Ces lacunes ne sont pas le résultat d’une mauvaise volonté, mais d’une surcharge chronique et d’un manque de spécialisation. Les équipes TI sont débordées, en retard de plusieurs semaines sur leurs projets, et la vague numérique post-COVID — télétravail, infonuagique, industrie 4.0 — n’a fait qu’amplifier cette pression.

L’intelligence artificielle : accélérateur, pas substitut

L’essor de l’IA dans le secteur est également abordé. Si les outils dopés à l’IA permettent effectivement de gagner du temps sur des tâches précises — comme l’analyse de journaux d’événements qui passait de 45 minutes à 2 minutes —, ils ne transforment pas pour autant un généraliste en expert de la cybersécurité. Entraîner un modèle à reconnaître des signaux d’alerte pertinents, le connecter à l’ensemble des sources de données d’un environnement, exige un investissement considérable en temps et en expertise. L’IA est un outil d’optimisation, pas une lampe magique.

Les enjeux réglementaires et juridiques, un terrain miné

La cybersécurité ne se joue pas seulement sur le plan technique. Frédérik Bernard soulève un point méconnu mais capital : au Québec, mener une réponse aux incidents — collecter des preuves, établir le récit d’une attaque — constitue légalement une activité d’investigation encadrée par la loi sur la sécurité privée. Seules les agences de sécurité privée disposant d’enquêteurs accrédités sont habilitées à exercer ces activités. De nombreux prestataires TI l’ignorent et s’y aventurent sans le savoir, s’exposant à des risques juridiques sérieux.

Il cite un cas concret : un fournisseur TI ayant effacé toutes les preuves en débranchant physiquement les équipements lors d’une attaque par rançongiciel, puis rédigé un rapport désignant un tiers comme responsable, sans la moindre preuve. Le dossier s’est judiciarisé. Ce type de situation illustre à quel point l’absence de cadre professionnel peut nuire aux clients comme à l’ensemble de l’industrie.

Vers une association professionnelle et un ordre professionnel

C’est précisément pour répondre à ces dérives que l’association ITSec a été relancée avec une ambition politique claire : créer les conditions nécessaires à l’établissement d’un ordre professionnel en TI et en cybersécurité au Québec. L’objectif n’est pas de bureaucratiser le secteur, mais de lui donner les outils pour se défendre collectivement — un code de déontologie, des lignes directrices partagées, une voix crédible auprès des décideurs politiques et des médias.

Le « beau frère » — cette figure du pseudo-expert qui branche une caméra sans fil et se proclame directeur TI — ne disparaîtra que lorsque l’industrie aura la capacité institutionnelle de dire « non » et de faire valoir ce qu’elle représente réellement : le Québec numérique, tenu à bout de bras, en coulisses, par des professionnels dont le travail reste largement invisible.

Frédérik Bernard interviendra à deux reprises lors de la conférence ITSec. Le public est invité à assister à ses présentations pour approfondir ces sujets.

Notes

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




[ITSec - Frédérik Bernard] (https://it-sec.ca/schedule-speaker/frederik-bernard/)

Collaborateurs

Nicolas-Loïc Fortin

Frédérik Bernard

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x740!

Shameless plug

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Enquête vs gestion de crise : deux mondes opposés

Dans cet épisode, Nicolas reçoit Christophe pour approfondir un sujet évoqué lors d’une conversation précédente sur les enquêtes en cybersécurité : la gestion de crise. Si l’enquête s’inscrit dans un cadre ordonné — parfois judiciaire — où l’on dispose du temps, des outils et de la rigueur nécessaires pour reconstituer les faits, la gestion de crise, elle, est son exact opposé. Écrans qui clignotent, téléphones qui sonnent dans tous les sens, experts épuisés, informations incomplètes et décisions à prendre dans l’urgence : voilà le quotidien du gestionnaire de crise. Christophe résume bien cette dualité en parlant du brouillard de la guerre (fog of war) : on avance dans l’incertitude, on ajuste ses hypothèses au fur et à mesure que la réalité se révèle, sans jamais avoir toutes les cartes en main.

La complexité humaine au cœur de la crise

L’un des points les plus saillants de l’épisode est que la gestion de crise dépasse largement le seul volet technique. Elle constitue avant tout un test de maturité collective, qui mobilise des équipes venues de tous horizons : juridique, communication, ressources humaines, logistique. Or ces acteurs n’ont pas nécessairement de culture cyber, ce qui crée des frictions importantes. Un terme mal compris, une information mal transmise — et c’est déjà plusieurs heures de perdues à des clarifications qui auraient pu être évitées grâce à une sensibilisation préalable.

Christophe souligne également le biais de transmission : dans un contexte de stress intense, un message se dégrade à chaque relais humain. Une information déjà incertaine à la source devient encore moins fiable après plusieurs mains. C’est pourquoi le rôle du gestionnaire de crise est d’agir comme un filtre, en s’assurant que seules les informations vérifiées et pertinentes circulent, tant en interne qu’en externe.

La communication de crise, une discipline à part entière

Les deux interlocuteurs insistent sur le fait que la communication de crise ne s’improvise pas, et ne ressemble en rien à la communication marketing habituelle. Vouloir « lisser » un message ou rassurer trop tôt peut s’avérer catastrophique — notamment face aux réseaux sociaux, qui amplifient immédiatement toute contradiction entre le discours officiel et la réalité sur le terrain.

Pire encore : communiquer prématurément sur les actions de remédiation en cours, c’est potentiellement informer les attaquants — qui peuvent très bien observer les communications publiques — de ce que l’organisation est en train de faire. Dans certains cas, il peut même être stratégique d’orienter délibérément les communications pour leurrer des attaquants encore présents dans le système. Cette dimension tactique de la communication exige des spécialistes formés à la crise, pas de simples communicants.

Le rôle du gestionnaire de crise : chef d’orchestre, pas omniscient

Christophe décrit le gestionnaire de crise comme un chef d’orchestre : il ne joue pas de tous les instruments lui-même, mais il sait qui doit intervenir, à quel moment, et pour combien de temps. Son rôle n’est pas de détenir la vérité, mais de poser les bonnes questions — qu’est-ce qui fonctionne encore ? Que s’est-il passé hier ? Quel est l’état des équipes ? — afin que les experts puissent lever progressivement le brouillard.

Une erreur classique en début de crise est de vouloir annoncer une conclusion trop tôt. Présenter une hypothèse comme une certitude fige la réflexion collective et ralentit la résolution, car il devient très difficile de revenir en arrière sur ce qui est perçu comme une « vérité ». Les premières heures doivent servir à collecter des informations, pas à trancher.

Il faut aussi savoir gérer la hiérarchie : certains managers, habitués à piloter leurs équipes au quotidien, peuvent parasiter la gestion de crise. Le gestionnaire doit parfois avoir le courage de les écarter temporairement pour laisser les experts s’exprimer sans pression.

Préparer la crise avant qu’elle n’arrive

Un autre fil conducteur de l’épisode est l’importance de la préparation en amont. Avoir une cartographie du système d’information à jour, des annuaires de contacts valides, des templates de communication prêts, des prestataires externes identifiés, des salles de crise définies avec des moyens de communication de secours : tout cela peut faire gagner des heures précieuses le jour J. À l’inverse, une documentation obsolète contraint les équipes — internes comme externes — à perdre un temps irrémédiable à reconstituer l’existant, comme on tenterait de soigner un inconnu sans connaître ses antécédents médicaux.

Crise vs urgence : ne pas confondre les deux

Christophe propose une distinction utile entre urgence et crise. L’urgence, c’est une situation difficile mais connue, documentée, pour laquelle on s’est entraîné : on sait quoi faire, il faut juste le faire vite. La crise, en revanche, est par définition imprévisible, non documentée, inédite. L’objectif n’est pas de résoudre la crise d’un coup, mais de la faire redescendre au niveau de l’urgence — un état maîtrisable, moins épuisant pour les équipes.

Conclusion : aller jusqu’au bout du traitement

L’épisode se clôt sur une métaphore médicale : tout comme un patient qui interrompt son traitement trop tôt parce qu’il se sent mieux risque une rechute, une organisation qui déclare la crise terminée avant d’avoir complètement éradiqué la menace s’expose à une reprise. La vigilance doit se maintenir bien après le retour apparent à la normale — et c’est là toute la subtilité d’une bonne gestion de crise.

Collaborateurs

Nicolas-Loïc Fortin

Christophe D’ARLHAC

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x734!

Shameless plug

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Contexte

Dans cet épisode spécial du podcast, l’animateur reçoit Guillaume Ross pour discuter d’un sujet d’actualité brûlant en cybersécurité mobile : la publication d’un outil d’exploitation sophistiqué — le toolkit DarkSword — sur la place publique, et ce que cela signifie concrètement pour la sécurité des utilisateurs ordinaires. La discussion s’inscrit dans la continuité des conseils véhiculés par le projet Hacklore, qui vise à démystifier la sécurité informatique pour le grand public.

DarkSword et Corona : des outils de surveillance commerciaux

Guillaume commence par recontextualiser la situation. DarkSword et Corona sont deux toolkits d’exploitation mobile qui combinent de nombreuses vulnérabilités — notamment plusieurs failles dans WebKit et dans iOS — pour compromettre des appareils ciblés. Ces outils, qui valaient autrefois des millions de dollars, semblent provenir d’une entreprise commerciale de surveillance. Comment ils se sont retrouvés dans le domaine public reste flou : fuite interne, employé corrompu ou revente illicite, l’origine exacte n’est pas encore établie.

Ce qui est clair, c’est leur évolution d’utilisation : au départ déployés pour cibler des Ukrainiens dans le contexte du conflit avec la Russie (notamment via des watering hole attacks, soit des attaques à l’abreuvoir, où l’on compromise des sites web fréquentés par les cibles), ces outils ont ensuite été utilisés contre des acteurs du monde des cryptomonnaies et des jeux d’argent en ligne.

Faut-il vraiment paniquer ?

Guillaume tient un discours nuancé et rassurant pour la majorité des utilisateurs. La plupart des vulnérabilités exploitées par DarkSword et Corona ont été corrigées. En particulier, une personne qui maintenait son appareil à jour avec la version la plus récente d’iOS au moment de leur diffusion n’était généralement pas affectée. Aujourd’hui, il faudrait être deux versions en retard (soit en dessous d’iOS 26.2 au moment de l’enregistrement) pour rester vulnérable.

Ce constat rejoint directement le message de fond de Hacklore : les mises à jour système sont la mesure de protection la plus importante. Non pas par peur des ports USB à l’aéroport ou des réseaux Wi-Fi publics — aucune des vulnérabilités connues de DarkSword n’est liée aux ports USB —, mais parce que le vecteur d’attaque principal reste les messages textes (SMS, iMessage) et la navigation web.

Le vrai vecteur de menace : les messages et le web

Contrairement à l’idée populaire que le danger vient des connexions physiques ou des réseaux publics, Guillaume souligne que les exploits mobiles les plus redoutables transitent principalement par :

Les messages textes et iMessage, car l’utilisateur ne contrôle pas ce qu’il reçoit, et l’application Messages est complexe et supporte de nombreux formats de fichiers.

La navigation web (attaques à l’abreuvoir), où un site légitime mais compromis peut servir de vecteur d’infection via Safari.

Cela signifie que même en faisant « attention », une personne ciblée peut être compromise sans avoir cliqué sur quoi que ce soit de suspect.

Recommandations concrètes selon le profil de risque

Guillaume distingue clairement deux catégories d’utilisateurs :

Pour monsieur et madame tout le monde :

Installer les mises à jour iOS ou Android dès que possible, sans attendre.

S’abonner à la liste de diffusion Security Announce d’Apple pour être alerté rapidement.

Utiliser l’application iVerify pour recevoir des notifications presque instantanées lors de nouvelles mises à jour.

Envisager le DNS over HTTPS pour avoir une meilleure visibilité sur le trafic réseau en entreprise.

Pour les personnes à haut risque (journalistes, militants, détenteurs de cryptomonnaies importantes) :

Activer le mode Isolement (Lockdown Mode) sur iPhone, qui désactive les aperçus de fichiers dans Messages et réduit considérablement la surface d’attaque.

Utiliser iVerify pour une analyse forensique de l’appareil.

Considérer le renouvellement régulier de l’appareil : le processeur de l’iPhone 17 (et des puces M5) intègre le Memory Integrity Enforcement (MIE), une technologie qui rend de nombreuses techniques d’exploitation nettement plus difficiles.

Le problème des mises à jour négligées

Un point important est soulevé concernant iOS 26 et son interface Liquid Glass, jugée peu populaire, voire franchement mauvaise selon Guillaume. Beaucoup d’utilisateurs décident délibérément de ne pas mettre à jour, préférant attendre iOS 27. C’est une erreur de sécurité significative, car les correctifs arrivent d’abord sur la version actuelle, avec un délai parfois important avant d’être rétroportés sur les versions plus anciennes. Ironiquement, Guillaume suggère que les nouveaux emojis inclus dans iOS 26.4 pourraient être le meilleur argument pour convaincre les récalcitrants de mettre à jour.

Qui est vraiment à risque sans le savoir ?

La partie la plus importante de la discussion porte sur les personnes qui ne se rendent pas compte de leur profil de risque élevé. Parmi elles : les détenteurs de cryptomonnaies avec des portefeuilles locaux, qui se sont retrouvés propriétaires d’actifs considérables sans avoir mis en place une hygiène de sécurité adéquate. Mais aussi des personnes vivant dans des pays où certaines caractéristiques personnelles (orientation sexuelle, opinions politiques) peuvent faire d’eux des cibles gouvernementales, sans qu’ils y pensent nécessairement.

Conclusion

En somme, la publication de DarkSword ne contredit pas les conseils de Hacklore — elle les confirme. Pour la grande majorité des utilisateurs, maintenir ses appareils à jour reste la mesure la plus efficace. Ce qui change, c’est que la fenêtre entre la disponibilité d’un exploit et son utilisation à plus grande échelle se rétrécit. La vigilance doit s’accélérer en conséquence.

Collaborateurs

Nicolas-Loïc Fortin

Guillaume Ross

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x731!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Présentation et contexte

Dans cet épisode spécial du podcast, Nicolas reçoit François Khourbiga et Thomas Raffineau Maréchal, cofondateurs d’une startup dans le domaine de la cybersécurité (Defants). Après quatre années d’activité, la compagnie a officiellement fermé ses portes en août 2025. Quelques mois après cette fermeture, les deux fondateurs acceptent de revenir sur cette expérience avec sérénité, dans un esprit de partage et de transmission pour ceux qui souhaiteraient se lancer dans l’aventure entrepreneuriale.

La fermeture : un événement difficile, vécu différemment

Thomas et François s’accordent sur le fait que la fermeture a été un choc émotionnel profond, mais que les effets se sont souvent manifestés après coup. Pendant les turbulences, les fondateurs restaient concentrés sur la gestion quotidienne, tenant le cap. C’est seulement une fois la tempête passée que le vide s’est fait ressentir — une expérience qu’ils comparent à un deuil, ou à la perte d’une relation importante. Leur engagement avait été total : familial, financier, personnel. Cela rend inévitablement la chute plus douloureuse que pour des collaborateurs salariés.

Les causes de l’échec : une suite d’erreurs cumulées

Les deux fondateurs sont honnêtes sur les facteurs qui ont conduit à la fermeture.

Un excès de confiance envers l’écosystème. Lors de leur première levée de fonds, ils ont idéalisé le rôle des investisseurs et des structures d’accompagnement. Ils ont découvert que tous les fonds n’avaient pas la même vision : certains adoptaient une approche purement comptable, incompatible avec les horizons longs que nécessite une startup deeptech investissant massivement en R&D.

Une divergence de visions. Les cofondateurs et leurs investisseurs n’avaient pas les mêmes objectifs ni les mêmes contraintes. Cette tension entre croissance à long terme et exigence de rentabilité immédiate n’a jamais vraiment été résolue, épuisant l’énergie de l’équipe — et le cash.

Un marché français très régulé. La startup opérait dans un secteur où les certifications coûtent des centaines de milliers d’euros aux entreprises clientes, rendant ces dernières très résistantes au changement. Proposer de l’innovation dans un marché aussi rigide s’est avéré extrêmement difficile commercialement. Leur demande de pivoter vers des marchés moins régulés n’a pas reçu le soutien espéré.

Une stratégie commerciale inadaptée. En rétrospective, Thomas et François estiment qu’ils auraient dû commencer par une activité de service outillé — démontrer la valeur de leur logiciel par des prestations concrètes — plutôt que d’essayer de vendre directement une solution logicielle à de grandes entreprises. Arriver face à des groupes qui voient défiler quinze startups par jour en clamant « nous sommes différents » n’était pas la bonne approche. La preuve par l’exemple aurait été bien plus convaincante.

Des pivots trop fréquents. S’adresser trop tôt à de trop grands comptes, pivoter trop souvent : l’accumulation de ces faux pas a fini par mener dans une impasse.

« Rater bien » : la fermeture dans le respect des équipes

Malgré l’échec, François et Thomas tiennent à souligner ce qu’ils considèrent comme une réussite dans la manière de conclure l’aventure. Conscients de leur responsabilité envers leurs collaborateurs, ils ont tout fait pour que personne ne se retrouve du jour au lendemain sans filet. Transparents sur les difficultés tout au long de la vie de la startup, ils ont accompagné chaque membre de l’équipe vers une sortie digne, à l’opposé des fermetures brutales que l’on observe parfois dans l’écosystème américain. Comme le dit François : « Le bateau a coulé, certes, mais tout le monde avait un radeau. »

L’écosystème breton : une bienveillance remarquable

Un point revient avec insistance dans la discussion : la qualité de l’écosystème entrepreneurial en Bretagne et à Rennes. Les deux fondateurs saluent la chaleur humaine, la proximité des acteurs et le soutien reçu, aussi bien pendant la vie de la startup qu’au moment de sa fermeture. Beaucoup de personnes ont répondu présent pour échanger, partager des expériences similaires ou simplement témoigner leur soutien. Si cet accompagnement s’est parfois révélé être une forme de « sirène » — encourageant sans nécessairement aligner les attentes — la reconnaissance reste entière envers celles et ceux qui ont cru en eux.

Ce qu’ils referaient, et ce qu’ils changeraient

Sur les décisions passées, Thomas et François refusent de tomber dans le regret. Chaque choix a été pris avec les informations et la conviction du moment. Ce qui change, c’est le bagage accumulé. Si c’était à refaire, ils opteraient pour une approche plus pragmatique et mesurée : commencer petit, prouver la valeur par le service, créer de la traction concrète avant de chercher des financements, et ne jamais considérer qu’une levée de fonds ou un accompagnement équivaut automatiquement à des clients.

La suite : rebondir et regarder vers l’avenir

Aujourd’hui, chacun a repris sa route. François a lancé une activité indépendante centrée sur la réponse à incident, le threat hunting et la forensique — des domaines qu’il a découvert être ses véritables moteurs. Thomas, de son côté, a rejoint un centre d’excellence cyber en tant que product owner, se retrouvant désormais de l’autre côté du miroir, à évaluer les idées de startups qu’il reçoit.

Ce qui importe le plus, peut-être, c’est que les deux cofondateurs ont traversé la tempête ensemble et sont arrivés sur la même plage. Leur amitié est intacte, leur envie d’entreprendre n’est pas éteinte, et leur sac à dos est désormais bien plus riche d’expériences. Comme le résume Thomas : « Si une prochaine bêtise est à faire, on la refera peut-être ensemble. »

Notes

Thunt Labs Security

Collaborateurs

Nicolas-Loïc Fortin

Thomas Raffineau Maréchal

François Khourbiga

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm