PolySécure Podcast volet pour les professionels

Parce que… c’est l’épisode 0x706!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Dans cet épisode spécial du podcast, Nicolas reçoit Christophe d’Arlhac pour explorer le monde complexe des enquêtes en cybersécurité. La discussion révèle que l’investigation cyber est avant tout une affaire de méthodologie et non simplement de technologie, avec des parallèles frappants avec les enquêtes dans le monde physique.

Un malentendu fondamental

Christophe souligne d’emblée un malentendu courant : beaucoup pensent que l’investigation cyber est uniquement réservée à des spécialistes ultra-techniques. En réalité, la cyber-investigation s’inscrit dans une tradition très ancienne d’enquête. Comme dans un accident industriel ou une enquête judiciaire, on n’efface pas les traces avant d’avoir observé et compris. Pourtant, en cybersécurité, les ingénieurs ont longtemps fait l’inverse, privilégiant la remise en production rapide au détriment de la compréhension de l’incident.

L’opposition entre deux métiers complémentaires

L’un des points centraux du podcast est la différence fondamentale entre le rôle de l’enquêteur et celui de l’ingénieur. L’ingénieur est formé pour faire fonctionner, créer et maintenir des systèmes. Son objectif est de rétablir le service rapidement et de sécuriser les infrastructures. L’enquêteur, lui, adopte une approche diamétralement opposée : il demande d’arrêter, d’observer et de comprendre avant d’agir. Il se pose des questions sur le contexte, la veille dans le secteur, les changements récents dans l’organisation, les nouveaux arrivants ou les nouvelles technologies déployées.

Cette opposition crée naturellement des tensions lors de la gestion d’incidents. L’ingénieur veut rebrancher immédiatement le système compromis, tandis que l’enquêteur insiste pour préserver les preuves et observer l’attaquant. Comme le souligne Nicolas, il existe une tension particulière en cyber : la nécessité parfois d’observer l’attaquant dans son “état naturel” pour comprendre ses motivations et ses méthodes, une approche contre-intuitive pour les équipes techniques.

La règle d’or : ne jamais effacer les preuves

Les deux experts partagent une conviction forte : il ne faut jamais écouter quelqu’un qui dit d’effacer les preuves rapidement sous prétexte qu’il n’y aura pas d’enquête. L’expérience montre qu’il y a toujours quelqu’un – une autorité, un client, un partenaire – qui finira par poser des questions, parfois des années plus tard. Les contre-enquêtes peuvent survenir des décennies après les faits, et sans preuves conservées, toute investigation devient impossible.

Le réflexe classique lors d’un incident – redémarrer, réinitialiser, restaurer des sauvegardes – est une catastrophe du point de vue de l’enquête. Cette approche efface la chronologie, détruit les journaux et les connexions, rendant impossible la compréhension du “comment” et du “par où” de l’attaque.

L’ordre méthodologique universel

Christophe insiste sur un principe fondamental : bien gérer un incident, ce n’est pas aller vite, c’est agir au bon moment. L’ordre méthodologique est universel : observer, comprendre, décider, puis agir. Inverser cet ordre pose systématiquement des problèmes. Cette approche peut se faire rapidement, mais elle doit respecter cette séquence logique.

Dans l’idéal, l’ingénieur sécurise les périmètres pour éviter que la situation ne s’aggrave, pendant que l’enquêteur fige les preuves et observe. L’utilisation de “pots de miel” pour isoler et observer l’attaquant est mentionnée comme une technique avancée, bien que peu d’organisations aient la capacité de la mettre en œuvre.

Les répercussions multidimensionnelles

Une enquête cyber mal conduite n’est pas seulement un problème informatique. C’est aussi un problème juridique, d’assurance, de gouvernance, de crédibilité et d’image. Sans preuves conservées, impossible d’expliquer aux autorités, aux assureurs ou aux partenaires ce qui s’est passé. Ces réunions post-incident se passent rarement bien quand les preuves ont été effacées.

La préparation : clé du succès

La préparation d’une organisation à l’investigation cyber doit commencer bien avant l’incident. Cela implique plusieurs dimensions :

Le choix des outils et des procédures : Les enquêteurs doivent être consultés dès la sélection des outils de sécurité, car ces outils fourniront les éléments d’investigation. Leurs besoins peuvent différer de ceux des ingénieurs.

La veille juridique : Chaque pays et chaque secteur ont des réglementations différentes concernant la conservation des données, les délais, et les types d’informations à préserver. Les infrastructures critiques ont des obligations particulières.

La conservation des preuves numériques : Le fameux “hash” ou empreinte numérique permet de garantir l’intégrité des preuves et de s’assurer qu’elles n’ont pas été modifiées. Cette capture doit être faite avant toute autre opération.

La documentation exhaustive : Le degré de documentation requis en enquête est beaucoup plus élevé qu’en opération. Il faut documenter les versions des logiciels utilisés, la méthodologie employée, chaque étape de l’investigation. Cette rigueur est essentielle pour que les contre-expertises, parfois des années plus tard, puissent être menées correctement.

L’entraînement : le parent pauvre

Un constat frappant émerge de la discussion : en cyber, contrairement aux corps organisés (police, pompiers, militaires), on répond constamment aux incidents mais on s’entraîne peu. Les corps d’intervention traditionnels passent 95% de leur temps à s’entraîner et sont rarement sollicités. En cyber, c’est l’inverse. Ce manque d’entraînement crée un désavantage majeur lors de la survenue d’un incident réel.

L’entraînement régulier à travers des exercices de crise est essentiel, non seulement pour les équipes techniques mais aussi pour les dirigeants. Ceux-ci doivent comprendre pourquoi les informations ne sont pas disponibles immédiatement et apprendre à gérer leur impatience naturelle.

La nécessité d’un travail d’équipe

L’investigation cyber exige de créer des binômes qui apprennent à travailler ensemble, où chacun comprend le langage de l’autre. Christophe compare cela à un orchestre où chaque musicien a sa partition. L’enquêteur et l’ingénieur doivent jouer en concert, avec la coordination d’un chef d’orchestre (le management).

Quand on ajoute les avocats, les équipes de communication et les managers, la complexité augmente encore. Aligner tout le monde et s’assurer qu’on avance dans la bonne direction devient un défi majeur. La cybersécurité n’est plus l’affaire de spécialistes isolés mais concerne désormais toute l’organisation, des dirigeants aux citoyens.

Conclusion : un changement de paradigme

Comme le conclut Christophe, la cybersécurité change de nature. Après des années centrées sur la technologie, l’heure est venue de se concentrer sur la méthode, la culture et la capacité à prendre de bonnes décisions. L’investigation aura un rôle central à jouer dans cette transformation, à condition que les organisations investissent dans la préparation, l’entraînement et la collaboration entre les différents métiers impliqués.

Collaborateurs

Nicolas-Loïc Fortin

Christophe D’ARLHAC

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x704!

Shameless plug

– 25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction : Entre enthousiasme et vigilance

Dans cet épisode, les animateurs explorent l’utilisation concrète de l’intelligence artificielle dans leurs environnements professionnels respectifs. Enregistré dans un contexte festif entre Noël et le jour de l’An, ce podcast vise à démystifier l’IA en partageant des expériences réelles, sanctionnées par leurs employeurs, plutôt que de perpétuer des mythes ou des craintes infondées.

L’IA comme outil, pas comme substitut

L’analogie centrale du podcast compare l’IA à une caméra de recul automobile : un outil utile qui améliore nos capacités, mais qui peut nous rendre « niaiseux » si on s’y fie aveuglément. Vincent insiste sur l’importance de tester l’outil, comme on teste une voiture en hiver dans un stationnement pour comprendre ses réactions et ses limites. Cette approche expérimentale est essentielle pour développer un usage responsable.

Depuis le lancement de ChatGPT en novembre 2022, l’écosystème a considérablement évolué avec l’émergence de concurrents comme Claude, Copilot, Gemini et Mistral. Les deux animateurs utilisent principalement Copilot et Gemini dans des environnements contrôlés par leurs employeurs, avec des autorisations spécifiques pour certains types de données – un point crucial pour la sécurité.

La méthodologie gagnante : partir d’un draft solide

L’approche recommandée par les deux experts est claire : ne jamais partir de zéro. Vincent décrit son processus de travail pour la production de rapports, d’analyses de risque ou d’avis : il rédige toujours un premier draft lui-même avant de le soumettre à Copilot. Il définit ensuite des critères précis : l’audience (exécutive ou opérationnelle), l’objectif de la présentation, et le format souhaité.

Cette méthode respecte la règle du 80/20 : on maîtrise 100 % du sujet, ce qui permet de détecter facilement les 20 % d’ajustements nécessaires dans le résultat proposé par l’IA. Vincent souligne que sa force réside dans les idées et le message, tandis que l’IA l’aide sur la présentation et la structure – un domaine qu’il reconnaît comme moins naturel pour lui.

Nicolas partage cette philosophie : l’IA lui permet de gagner du temps en structurant ses idées plus efficacement, économisant les deuxième et troisième réécritures qu’il effectuait auparavant. Un rapport qui prenait une semaine peut maintenant être complété en 2,5 à 3 jours, mais cela représente toujours un travail humain substantiel.

L’IA n’est pas votre ami : une relation professionnelle

Un point crucial soulevé par Nicolas : il ne converse pas avec l’IA, il lui donne des directives. Cette approche professionnelle évite le piège de vouloir « plaire » à l’agent conversationnel. Vincent reconnaît ce risque : l’IA peut effectivement chercher à faire plaisir à l’utilisateur, reproduisant parfois exactement ce qu’on lui a soumis avec des changements cosmétiques.

La métaphore employée évolue de « wingman » à « copilote », voire à « un enfant de 5 ans qui écrit bien » selon Nicolas. Cette désacralisation est importante : l’IA est un outil, pas un collègue, pas un ami, et certainement pas un expert autonome.

Les pièges à éviter : hallucinations et références fictives

Les animateurs mettent en garde contre plusieurs dangers majeurs :

Les hallucinations : L’IA peut inventer des informations, notamment des références juridiques inexistantes. Plusieurs cas d’avocats américains ont fait les manchettes pour avoir cité des jurisprudences fictives. Au Québec et au Canada, où les données sont plus périphériques dans l’entraînement des modèles, ce risque est encore plus élevé.

Les références erronées : L’IA propose souvent des sources qu’il faut impérativement vérifier. Vincent raconte avoir reçu des références provenant d’autres pays (Luxembourg, Japon, Chine) totalement inadéquates pour le contexte québécois et canadien. Les lois et règlements variant d’un pays à l’autre, une validation systématique est essentielle.

Les biais discriminatoires : Vincent rappelle le cas d’Amazon en 2017-2018, où un système d’IA de tri de CV excluait systématiquement les femmes. Ces biais, parfois subtils, peuvent s’infiltrer dans les textes générés et nécessitent une vigilance constante, d’autant plus que l’AMF (Autorité des marchés financiers) s’intéresse de près à ces questions.

Cas d’usage concret : l’importance du contexte

Vincent partage un exemple éloquent : pour produire un avis de risque dans un délai serré, il a fourni à l’IA des documents de référence spécifiques (code Maestro, COBIT 4.1) ainsi que le contexte précis, les critères et les limitations. Le résultat : un document à 99 % probant, très cadré, qui lui a permis de présenter rapidement des recommandations claires à son vice-président.

Cette approche illustre le concept de RAG (Retrieval-Augmented Generation) : en fournissant une base de connaissance spécifique, on obtient des résultats beaucoup plus précis et pertinents. L’IA n’est pas un moteur de recherche, mais un générateur de texte qui performe mieux quand on lui donne le contexte adéquat.

Votre réputation en jeu

Un message fort traverse tout le podcast : c’est votre nom qui apparaît sur le document. Si vous déposez un travail médiocre généré par l’IA sans vérification, c’est votre réputation professionnelle qui en souffrira, pas celle de la machine. Les conséquences peuvent être sévères : perte de confiance de la part des gestionnaires, sanctions professionnelles, voire amendes dans le cas d’avocats.

La relation de confiance avec son supérieur est fragile, particulièrement en début de carrière. Un gestionnaire qui reçoit un document s’attend à ce que son auteur en maîtrise le contenu à 100 %. L’incapacité à répondre aux questions lors de la « question du journaliste » – ce moment où un décideur challenge votre travail – peut détruire cette confiance de manière durable.

Conclusion : maîtrise et vigilance

L’analogie de l’automobile revient en conclusion : l’IA est un outil puissant et utile, mais qui nécessite une maîtrise adéquate avant utilisation, comme un permis de conduire. Elle peut générer des gains de productivité de 10 % ou plus, mais ne remplacera pas l’humain, du moins pas dans un avenir immédiat.

Les animateurs insistent : vous restez imputable de vos décisions et de votre travail. L’IA est un allié dans votre stratégie et votre tactique, mais vous êtes le décideur final. Utilisez-la comme un accélérateur, un rehausseur de qualité, mais jamais comme un substitut à votre expertise et votre jugement professionnel.

Collaborateurs

Nicolas-Loïc Fortin

Vincent Groleau

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x701!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Les initiatives du gouvernement du Québec en cybersécurité

Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité.

Un parcours technique impressionnant

Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique.

Les 15 mesures obligatoires : une base solide

En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics.

Une surveillance centralisée 24/7/365

L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence.

Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur.

Le regroupement RHI : une révolution organisationnelle

Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble.

L’automatisation et la réactivité

L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses.

Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de 900 serveurs SharePoint.

Reconnaissance internationale et création de CVE

Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l’excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l’aide de pentesteurs virtuels basés sur l’IA.

Le balayage de vulnérabilités : externe et interne

Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d’attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l’identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS.

Cet inventaire facilitera grandement la gestion des risques : lorsqu’une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d’alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels.

Le défi des objets connectés

Fournier identifie les objets connectés (IoT) comme un défi majeur pour l’avenir. Ces dispositifs, de plus en plus présents dans l’environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L’exemple du thermomètre d’aquarium ayant servi de point d’entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l’appareil gouvernemental représente le “Saint Graal” de la cybersécurité.

Le projet de loi 82 et les infrastructures critiques

Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l’eau, l’électricité, et d’autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l’eau.

Conclusion

Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l’automatisation des réponses, la surveillance continue, et l’adoption de technologies basées sur l’IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l’ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois.

Collaborateurs

Nicolas-Loïc Fortin

Yvan Fournier

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x695!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Sandra Aubert, fondatrice de FF2R (From Fiction to Reality), révolutionne l’approche de la sensibilisation aux risques majeurs en entreprise. Son concept audacieux : transformer la formation en cybersécurité et autres sujets arides en séries cinématographiques addictives, façon Netflix. Cette innovation marque une rupture totale avec les méthodes traditionnelles de sensibilisation.

Une nouvelle approche de la formation

Contrairement aux capsules de sensibilisation classiques - souvent stériles et dépourvues d’émotions - Sandra Aubert propose une plateforme de streaming à la demande qui diffuse des séries immersives et fictives. L’objectif : rendre la formation aussi captivante qu’une série que l’on dévore en une soirée.

Son projet phare, Plan Blanc, illustre parfaitement cette approche. Commandée par le ministère de la Santé, l’ARS et la Fédération hospitalière de France, cette série en six épisodes de trois minutes plonge le spectateur au cœur d’une cyberattaque majeure dans un CHU. Pour la première fois, on entre dans la cellule de crise et on vit l’effondrement d’un système hospitalier avec des comédiens professionnels.

La force du cinéma au service de la pédagogie

Ce qui distingue FF2R, c’est l’authenticité cinématographique. Sandra Aubert et son réalisateur signature, Valérian Cadissi, ne font pas de simples vidéos : ils créent du véritable cinéma. Chaque production respecte les codes du septième art : scénario travaillé, acteurs professionnels, tournage dans des lieux réels, colorimétrie soignée, musiques originales composées sur mesure.

Les personnages, comme Cassandre et Thomas dans Plan Blanc, sont développés avec une psychologie complète. L’équipe maîtrise l’art du cliffhanger pour créer l’envie de voir l’épisode suivant immédiatement. Le résultat : des séries qui pourraient être diffusées sur n’importe quelle plateforme de streaming grand public.

L’alliance de la créativité et de l’expertise technique

La réussite de cette approche repose sur un équilibre délicat entre créativité et rigueur technique. Pour Plan Blanc, Sandra Aubert s’est entourée de Steven Garnier, expert en cybersécurité au ministère de la Santé, garantissant ainsi l’exactitude technique du scénario.

Cette collaboration permet de créer des contenus crédibles et respectueux de la réalité du terrain. Les professionnels de la cybersécurité qui découvrent Plan Blanc témoignent : “C’est vraiment comme ça que ça se passe”. La série aborde tous les sujets - phishing, piggy backing, social engineering - sans tomber ni dans l’anxiogène ni dans le ridicule.

Une méthodologie adaptée à l’ère moderne

Sandra Aubert a compris les réalités de notre époque : la bande passante d’attention est faible, le temps est précieux, et personne ne veut subir une formation. Sa solution : proposer des épisodes courts (3-4 minutes) que l’on peut regarder quand on le souhaite, dans son canapé, potentiellement en famille.

Cette approche crée une nouvelle méthodologie : on ne se forme plus, on “binge-learn”. Le format court et addictif, inspiré des neurosciences, maximise la rétention d’information en générant des émotions fortes. Comme dans une histoire d’amour, on n’oublie jamais ce qu’on a ressenti.

Des résultats impressionnants

Les chiffres parlent d’eux-mêmes : la plateforme affiche un taux de rétention de 86%, et les utilisateurs reviennent en moyenne entre 4 et 7 fois regarder la même série. Au-delà de la consommation individuelle, les séries servent aussi d’outils de discussion en entreprise. Les managers les utilisent en réunion pour lancer des sujets, créant ainsi des moments de convivialité et de partage plus engageants qu’un PowerPoint traditionnel.

Une production artisanale et personnalisée

FF2R refuse la facilité du catalogue standardisé. Chaque production est du sur-mesure, adaptée aux besoins spécifiques de l’entreprise cliente. L’équipe va jusqu’à organiser des castings en interne pour intégrer les employés comme acteurs secondaires ou figurants. Voir son collègue jouer dans la série crée un effet de proximité et d’engagement supplémentaire.

Cette approche artisanale est rendue possible par une équipe réduite de sept personnes seulement - un exploit dans le monde du cinéma. Cette agilité permet de livrer des projets complets (plateforme et série) en moins de trois mois, tout en maintenant une qualité digne des grandes productions.

Un impact qui dépasse le cadre professionnel

L’innovation de Sandra Aubert va au-delà de la simple sensibilisation. Elle crée une culture de vigilance en entreprise tout en touchant potentiellement la sphère personnelle. Regarder ces séries en famille permet de sensibiliser aussi les proches aux risques cyber, créant un langage commun et des réflexes de sécurité qui transcendent la frontière travail-vie personnelle.

Cette dimension humaine est centrale : les séries montrent que derrière les crises, il y a des hommes et des femmes qui peuvent craquer sous la pression. Elles rappellent que la faille est souvent humaine, mais que cette “parfaite imperfection” est aussi notre force.

Vers l’avenir

Sandra Aubert ne compte pas s’arrêter là. Elle constitue un comité d’experts en cybersécurité pour enrichir ses futures productions et prépare déjà une suite à Plan Blanc. Son catalogue s’étend aussi à d’autres domaines : financement du terrorisme, déontologie, conformité. Elle envisage même d’ouvrir un bureau à Montréal pour conquérir le marché québécois.

Conclusion

En transformant la sensibilisation en cybersécurité en expérience cinématographique, Sandra Aubert prouve qu’il est possible de concilier rigueur pédagogique et plaisir de consommation. Son approche rappelle que depuis la nuit des temps, l’humanité transmet ses connaissances à travers les histoires. FF2R réinvente simplement cette tradition ancestrale avec les outils du XXIe siècle, démontrant que la meilleure façon d’apprendre reste celle qui nous fait ressentir des émotions.

Notes

À venir

Collaborateurs

Nicolas-Loïc Fortin

Sandra Aubert

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x686!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée.

Les trois piliers d’une culture de sécurité efficace

L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité.

1. Connect : La communication comme fondement

La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”.

Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment).

La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation.

2. Reduce Uncertainty : Clarifier les rôles et responsabilités

L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler.

Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret.

La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude.

Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout.

3. Inspire Action : Le leadership authentique

Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ?

L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate bullshit” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion.

Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques.

Les leçons de l’expérience

L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant.

Les pièges à éviter

Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité :


Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où.




La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle.




L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer.




La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur.



Conclusion

La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés.

Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain.

Notes

À venir

Collaborateurs

Nicolas-Loïc Fortin

Benoit Gagnon

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm