PolySécure Podcast

Épisodes disponibles

5 sur 644

Teknik - Browser Detection and Response - Parce que... c'est l'épisode 0x645!
Parce que… c’est l’épisode 0x645! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
25:53
--------
25:53
PME - Les certifications - Parce que... c'est l'épisode 0x644!
Parce que… c’est l’épisode 0x644! Préambule Ce n’est pas CMMI… mais CMMC!?! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
20:11
--------
20:11
Actu - 12 octobre 2025 - Parce que... c'est l'épisode 0x643!
Parce que… c’est l’épisode 0x643! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CFP Notes Vidéos DEF CON 33 Videos NothSec 2025 SéQCure 2025 IA Google DeepMind minds the patch with AI flaw-fixing scheme SAIF Map v2 Agentic Google won’t fix new ASCII smuggling attack in Gemini Google declares AI bug hunting season open, sets a $30K max reward Severe Framelink Figma MCP Vulnerability Lets Hackers Execute Code Remotely Deepfake Awareness High at Orgs, But Cyber Defenses Badly Lag Rethinking AI Data Security: A Buyer’s Guide for CISOs Employees regularly paste company secrets into ChatGPT 1Password Addresses Critical AI Browser Agent Security Gap Offensif Supply Chain Attacks Are Spreading: NPM, PyPI, and Docker Hub All Hit in 2025 Nearly a third of bosses report increase in cyber-attacks on their supply chains Security leaders at Okta and Zscaler share lessons from Salesloft Drift attacks Hackers Exploit Zimbra Vulnerability as 0-Day with Weaponized iCalendar Files How Windows Command-line Utility PsExec Can Be Abused To Execute Malicious Code Thieves steal IDs and payment info after data leaks from Discord support vendor Scattered Lapsus$ Hunters offering $10 in Bitcoin to ‘endlessly harass’ execs Redis warns of critical flaw impacting thousands of instances Oracle zero-day defect amplifies panic over Clop’s data theft attack spree Hackers Attacking Remote Desktop Protocol Services from 100,000+ IP Addresses North Korean hackers stole over $2 billion in crypto this year Russia is at ‘hybrid war’ with Europe, warns EU chief, calling for members ‘to take it very seriously’ Poland says cyberattacks on critical infrastructure rising, blames Russia 3 more infamous cybercrime crews team up to ‘maximize income’ in ‘challenging’ ransomware biz Threat actors steal firewall configs, impacting all Sonicwall cloud backup users Hackers now use Velociraptor DFIR tool in ransomware attacks Polymorphic Python Malware Legalize L’Allemagne dit non à Chat Control - Une victoire pour la vie privée en Europe ! Internet Archive Ordered to Block Books in Belgium After Talks With Publishers Fail Défensif 5 Immediate Steps to be Followed After Clicking on a Malicious Link Wazuh and MISP integration Researchers Reversed Asgard Malware Protector to Uncover it’s Antivirus Bypass Techniques ClamAV 1.5.0 Released with New MS Office and PDF Verification Features Apple now offers $2 million for zero-click RCE vulnerabilities Insolite Un incendie et pas de backup - La Corée du Sud perd 858 To de données gouvernementales Apple turned the CrowdStrike BSOD issue into an anti-PC ad Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc
--------
41:01
--------
41:01
Teknik - Tendance pour terminer 2025 - Parce que... c'est l'épisode 0x642!
Parce que… c’est l’épisode 0x642! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode du podcast Sécurité technique, l’animateur reçoit Charles F. Hamilton pour discuter des tendances en cybersécurité à surveiller pour la fin de l’année 2025. La discussion s’amorce sur une réalité préoccupante : l’automne marque une période de forte activité tant pour les équipes légitimes que pour les cybercriminels, avec une hausse notable des incidents de sécurité nécessitant des réponses d’urgence. La complexité d’Azure : un terrain propice aux vulnérabilités Un des points majeurs abordés concerne la plateforme Azure de Microsoft. Une vulnérabilité récemment publiée permet de prendre le rôle Global Admin sur tous les tenants Azure, illustrant parfaitement les dangers liés à la complexité excessive de cet écosystème. Cette faille, découverte par manipulation de jetons de service, rappelle les problèmes similaires rencontrés avec Active Directory Certificate Services il y a quelques années. La complexité d’Azure réside dans ses multiples méthodes d’authentification, ses contextes variés et ses centaines d’applications déployées par défaut dans chaque tenant. Les organisations ajoutent souvent leurs propres applications avec des permissions mal configurées, créant involontairement des chemins d’accès privilégiés. Le problème s’aggrave car il n’existe pas d’outils officiels de Microsoft pour auditer ces configurations, forçant les équipes de sécurité à se fier à des scripts PowerShell disparates ou à des outils développés par la communauté. Le faux sentiment de sécurité Un exemple frappant illustre le décalage entre la perception et la réalité de la sécurité : lors d’un test red team, un client disposait d’une infrastructure de sécurité impressionnante incluant filtrage réseau, EDR, NDR et autres solutions avancées. Paradoxalement, l’outil d’accès à distance légitime a été bloqué, nécessitant trois jours pour configurer des exceptions. En revanche, le payload malveillant a passé sans problème, sans générer aucune alerte. Cette situation démontre que ces outils créent souvent plus de complexité pour les équipes IT légitimes qu’ils ne protègent réellement contre les menaces sophistiquées. Le fossé entre red team et blue team La discussion révèle un écart de compétences préoccupant entre les équipes offensives et défensives. Les red teamers investissent constamment dans l’apprentissage de nouvelles techniques, tandis que les équipes défensives ont tendance à s’appuyer aveuglément sur l’intelligence artificielle de leurs outils de sécurité. Le threat hunting, pourtant essentiel, demeure rare au Québec et au Canada, malgré la disponibilité des données nécessaires dans les solutions EDR et NDR. Un test révélateur : demander à des professionnels d’expliquer le fonctionnement de SecretDump, un outil largement utilisé. Très peu peuvent fournir une réponse complète sur ses mécanismes internes et les artefacts qu’il laisse. Cette lacune empêche les red teamers d’expliquer efficacement aux équipes bleues comment détecter leurs actions. La sophistication des attaquants : un mythe à déconstruire Contrairement à la perception populaire, la majorité des attaquants ne sont pas particulièrement sophistiqués. Ils suivent des playbooks répétitifs et comptent sur le volume pour réussir. Les intervenants ont observé des cas où des attaquants ont obtenu des accès privilégiés, puis ont immédiatement alerté leurs victimes par des actions bruyantes comme tenter de rendre publics tous les dépôts GitHub d’une entreprise. Paradoxalement, les red teamers modernes développent des techniques si avancées qu’ils représentent désormais un niveau de sophistication comparable aux groupes parrainés par des États-nations, un scénario irréaliste pour la plupart des petites et moyennes entreprises québécoises. Cette situation crée un décalage : on teste la capacité à détecter des attaques extrêmement sophistiquées alors que les vraies menaces utilisent des méthodes beaucoup plus basiques. Les tendances à surveiller pour l’automne 2025 Plusieurs éléments méritent une attention particulière pour la fin de l’année : Les vulnérabilités sur les équipements périmétriques : Les solutions VPN de Cisco, SonicWall et Fortinet ont toutes été touchées récemment. Les délais d’exploitation se comptent maintenant en heures après la publication d’une vulnérabilité, amplifiés par la publication immédiate de preuves de concept sur les réseaux sociaux. L’audit des tenants Azure et Google Enterprise : Les vecteurs d’attaque identifiés sur Azure s’appliquent également aux environnements Google Enterprise. Les organisations doivent absolument auditer leurs applications, leurs permissions et leurs configurations. Les employés infiltrés : Une tendance émergente concerne l’embauche de développeurs travaillant pour des pays politiquement non neutres, qui obtiennent un accès au code source dans le but apparent de voler la propriété intellectuelle. Les vulnérabilités GitHub Actions : Les fuites de clés API continuent de poser problème, avec des délais d’exploitation extrêmement rapides. Le problème de la publication des preuves de concept La course à la visibilité pousse certains chercheurs en sécurité à publier immédiatement des preuves de concept complètes, parfois dans l’heure suivant la découverte d’une vulnérabilité. Cette pratique, combinée à l’intelligence artificielle capable de générer du code fonctionnel à partir de bulletins de sécurité, met les organisations en danger avant qu’elles n’aient le temps d’appliquer les correctifs. Un retour aux pratiques de divulgation responsable avec un délai minimum de 80 jours serait bénéfique. Conclusion : l’importance de l’éducation Le podcast se termine sur l’importance cruciale de l’éducation en cybersécurité. Plutôt que de se focaliser uniquement sur l’utilisation d’outils, les professionnels doivent comprendre les fondements : comment fonctionne Windows, comment un programme s’exécute, comment créer ses propres exploits. La simplicité est souvent plus efficace que la complexité. Les solutions les plus durables reposent sur une compréhension approfondie des systèmes plutôt que sur l’accumulation d’outils sophistiqués dont personne ne maîtrise vraiment le fonctionnement. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
57:03
--------
57:03
PME - La sécurité, trop cher? - Parce que... c'est l'épisode 0x641!
Parce que… c’est l’épisode 0x641! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode, trois experts en cybersécurité partagent leur expérience pour démystifier l’idée reçue selon laquelle la sécurité informatique serait financièrement hors de portée pour les petites et moyennes entreprises. Nicholas Milot, cofondateur de Yack et spécialiste des tests d’intrusion, Cyndie Feltz, également cofondatrice de Yack avec une expertise en gestion exécutive, et Dominique Derrier, RSSI chez Neotrust, apportent un éclairage pragmatique sur cette question cruciale. Le mythe du coût prohibitif L’un des principaux obstacles psychologiques pour les PME est la perception que la cybersécurité nécessite des budgets comparables à ceux des grandes entreprises comme Desjardins. Cette croyance est renforcée par l’abondance de solutions coûteuses sur le marché, souvent assorties de minimums d’utilisateurs qui peuvent rapidement faire grimper la facture à des centaines de milliers de dollars. Face à ces chiffres, de nombreuses PME concluent que la sécurité n’est tout simplement pas à leur portée et abandonnent l’idée d’investir dans ce domaine. Pourtant, cette vision est fondamentalement erronée. Comme le souligne Cyndie Feltz à travers une analogie pertinente avec la santé, la cybersécurité s’apparente davantage à une bonne hygiène de vie qu’à un traitement de luxe. Certes, on peut dépenser des sommes importantes pour des coachs sportifs personnalisés et des programmes d’entraînement sophistiqués, mais les bases d’une bonne santé reposent simplement sur une alimentation équilibrée, une paire de chaussures de course et de la régularité. La cybersécurité fonctionne selon le même principe : il s’agit d’adopter de bonnes pratiques quotidiennes plutôt que d’accumuler des solutions technologiques onéreuses. Le piège du “buffet de cybersécurité” Le marché propose environ 300 types de produits différents en matière de sécurité informatique. Face à ce buffet gargantuesque où tout semble briller et attirer l’attention, il est facile pour une PME de se sentir dépassée et de faire des choix inadaptés à ses besoins réels. Le problème ne réside pas uniquement dans le coût d’acquisition de ces solutions, mais aussi dans les ressources nécessaires pour les administrer correctement. Les experts constatent régulièrement que les PME acquièrent des outils sophistiqués qu’elles n’ont ni le temps ni les compétences d’utiliser efficacement. Une solution non configurée ou mal administrée n’apporte aucune valeur, quelle que soit sa qualité intrinsèque. De plus, les vendeurs, naturellement motivés par leurs objectifs commerciaux, peuvent convaincre les entreprises d’acheter des produits performants mais inadaptés à leur contexte spécifique. Nicolas Milot observe dans ses tests d’intrusion que les entreprises compromises disposent souvent de solutions de sécurité en place, mais que celles-ci ne sont pas correctement exploitées. Le manque de temps pour se “mettre les mains dedans” et maintenir ces outils à jour rend les investissements initiaux largement inefficaces. Les fondamentaux accessibles Avant même de considérer l’achat de nouvelles solutions, les PME peuvent mettre en place des mesures de base à faible coût. Dominique Derrier suggère de commencer simplement par des politiques internes et des mémos, même si leur efficacité reste limitée. L’important est de ne pas se cacher derrière l’excuse du coût pour ne rien faire du tout. Une approche progressive, étape par étape, permet d’avancer sans dépenses excessives. Les experts s’accordent sur quatre piliers fondamentaux que toute PME devrait prioriser : L’authentification multifacteur (MFA) : Protéger l’identification des utilisateurs avec des mots de passe robustes et le MFA représente un investissement minimal avec un impact sécuritaire maximal. Ces outils sont souvent déjà disponibles dans les licences Microsoft ou Google que les entreprises possèdent. Les mises à jour régulières : Nicolas souligne avec humour qu’il profite justement des entreprises négligentes en matière de mises à jour pour démontrer la facilité avec laquelle on peut compromettre leurs systèmes. Maintenir ses logiciels à jour ne coûte rien, mais sauve beaucoup de problèmes. Les antivirus et solutions de détection (EDR/XDR) : Même Windows Defender, bien que pas optimal, vaut mieux que rien et est souvent déjà inclus dans les licences existantes. L’essentiel est de le configurer correctement et de surveiller les alertes. Les sauvegardes (backups) : Point crucial soulevé par tous les intervenants, les backups devraient relever de l’opérationnel TI plutôt que de la sécurité. Ils doivent être correctement configurés, testés régulièrement, et surtout ne jamais être joints au domaine Active Directory, une erreur courante aux conséquences désastreuses. Les pièges à éviter Les experts mettent en garde contre plusieurs écueils. L’utilisation de l’intelligence artificielle comme argument de vente pour les PME constitue un signal d’alarme : ces entreprises n’ont pas besoin de ce type de fonctionnalités sophistiquées, même si certaines formes d’analyse comportementale existent depuis longtemps dans les outils de sécurité sous d’autres appellations. Un bon conseiller ne cherchera pas à vendre de nouvelles solutions, mais plutôt à optimiser l’existant. La configuration correcte de Microsoft ou Google, dont les paramètres par défaut laissent souvent à désirer, peut transformer radicalement la posture de sécurité sans investissement supplémentaire. Conclusion Le message est clair : mieux vaut faire peu de choses mais les faire bien, plutôt que de multiplier les outils partiellement déployés. La question fondamentale pour chaque PME devrait être : “Que se passerait-il si nous perdions toutes nos données ?” Cette réflexion sur ce qui est véritablement précieux permet d’orienter les investissements de manière pragmatique. La cybersécurité n’est pas une question de budget illimité, mais de choix judicieux et d’utilisation optimale des ressources disponibles. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
16:55
--------
16:55