PolySécure Podcast

Parce que… c’est l’épisode 0x2F9!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Collaborateurs

Nicolas-Loïc Fortin

Nicolas Bédard

Crédits

Montage par Intrasecure inc

Locaux réels par Nicolas Bédard

Parce que… c’est l’épisode 0x2F8!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Notes

7 Islands Defense & Intel

Collaborateurs

Nicolas-Loïc Fortin

Nicolas Duguay

Crédits

Montage par Intrasecure inc

Locaux réels par Cyberconférence 2026

Parce que… c’est l’épisode 0x2F7!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Notes

À venir

Collaborateurs

Nicolas-Loïc Fortin

Maxime Jobin

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x2F6!

Shameless plug

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

IA ou Ghost in the shell

Mythos ou le grand réveil

Mozilla says AI helped squash 423 Firefox security bugs

Opinion: Actually, Mythos is the best cybersecurity news we’ve ever had

Spooked by Mythos, Trump suddenly realized AI safety testing might be good




AI-BOMs replace SBOMs as way to track AI agents and bots

AI didn’t delete your database, you did

Chrome installe en douce un modèle IA de 4 Go sur votre disque sans rien demander

Malicious OpenClaw DeepSeek Skill Exploits Agentic AI Workflows to Deliver RAT and Stealer

Hackers Hate AI Slop Even More Than You Do

Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web

Kevin Beaumont: “got owned by teenagers copying and pasting commands from PDFs written in 2019 by Jurass1cKn0b316” - Cyberplace




La guerre, la guerre, c’est pas une raison pour se faire mal!

Inside Israel’s AI targeting system: How data from a phone become a death sentence

Polish intelligence warns hackers attacked water treatment control systems




Souveraineté ou vive le numérique libre!

DHS Demanded Google Surrender Data on Canadian’s Activity, Location Over Anti-ICE Posts




Privacy ou cachez ces informations que je ne saurais voir

Apple Security Updates: What They Mean for Mac and iPhone Privacy

(1) Alberta voter list leak is a potential public safety disaster: Enforcement experts

Canadian election databases use “canary traps”—and they work

A college student is suing a dating app that allegedly used her TikTok videos to target men in her dormitory

PSA: Instagram Encrypted Messaging Ends on Friday, May 8




I am the law

Protégeons nos enfants

16% of Parents Help Their Children Bypass Online Age Checks, Study Finds. One 15-Year-Old Just Uses a Fake Moustache

Some children are drawing on fake moustaches to bypass online age checks, report finds




Meta, Zuckerberg Sued Over Alleged Copyright Infringement by Book Publishers and Scott Turow

One House Democrat is pressing Commerce on the government’s spyware use

Elon Musk faces criminal probe in France after ignoring summons in X case

France Moves to Break Encrypted Messaging




Red ou tout ce qui est brisé

Copy for the fail

CISA says ‘Copy Fail’ flaw now exploited to root Linux systems

‘Copy Fail’ is a real Linux security crisis wrapped in AI slop




Ransomware is getting uglier as cybercriminals fake leaks and skip encryption entirely

Microsoft Edge Stores Passwords in Process Memory, Posing Risk

VoidStealer Malware Darts Past Google Chrome’s Encryption

Azure AD Conditional Access Bypassed Through Phantom Device Registration and PRT Abuse

White House App Is a Terrifying Security Mess

Guessable admin password exposes sloppy network security

60% of MD5 password hashes are crackable in under an hour




Blue ou tout ce qui améliore notre posture

Security Through Obscurity Is NOT Bad

Achieving CVE Remediation in an Era of Escalating Vulnerabilities




Divers ou parce que j’ai aucune idée où les placer

1 in 8 workers say selling company logins is justifiable

Kevin Beaumont: “Always good when your EDR provider gets hit by a ransomware group.” - Cyberplace




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Moxy Montreal Downtown

Parce que… c’est l’épisode 0x2F5!

Shameless plug

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Contexte et premières impressions

Dans cet épisode spécial du podcast Polysécure, Nicolas Bédard reçoit son collègue de Palo Alto Networks pour un retour d’expérience sur la conférence S3NS, qui s’est tenue à Paris à la mi-février 2026. S3NS est le cloud souverain français, une offre construite sur la technologie de Google Cloud et certifiée par l’ANSSI (l’agence nationale française de cybersécurité) en décembre 2025 — soit à peine trois mois avant la conférence.

L’invité y était envoyé en tant que représentant de Palo Alto Networks, pour présenter comment une entreprise américaine peut s’inscrire dans un écosystème de cloud souverain. Il avoue y être arrivé avec de sérieuses appréhensions : en tant que Nord-Américain travaillant pour une grande compagnie américaine, il craignait un accueil hostile, voire franchement anti-américain. La réalité qu’il a vécue a complètement renversé ses attentes.

Une affluence surprenante, un discours inattendu

Premier constat : l’ampleur de l’événement. Plus de 2 000 personnes étaient inscrites au sommet S3NS, un chiffre qui a surpris l’invité. La conférence était animée et les kiosques, dont celui de Palo Alto qui figurait parmi les plus grands, ont attiré une foule nombreuse et curieuse.

Deuxième constat, et sans doute le plus marquant : le discours sur la souveraineté numérique entendu dans les keynotes était diamétralement opposé à ce qu’on entend habituellement au Québec ou en Amérique du Nord. Contrairement à ce que l’invité anticipait, il n’y avait aucune hostilité envers les entreprises américaines. Le message central de la conférence reposait sur deux piliers : la confiance d’abord, le contrôle ensuite.

L’idée n’était pas de rejeter les technologies étrangères, mais de s’assurer qu’elles priorisent les intérêts des utilisateurs européens et qu’elles respectent leurs contraintes légales et opérationnelles. Cette nuance est fondamentale : mettre la souveraineté et l’innovation en opposition serait contre-productif. Les cyberattaquants, eux, utilisent les outils les plus avancés sans se soucier de leur origine. Une organisation qui sacrifierait l’innovation au nom de la souveraineté se retrouverait donc dans une position défavorable face aux menaces.

Une maturité acquise avec le temps

Nicolas Bédard apporte ici un éclairage précieux : il suit l’évolution du discours européen sur la souveraineté numérique depuis 2021-2022. À cette époque, le ton était beaucoup plus fermé, plus protectionniste, voire souverainiste au sens étroit du terme. En 2026, la pensée européenne a évolué vers une approche beaucoup plus pragmatique et collaborative, reconnaissant que la souveraineté ne signifie pas l’isolement, mais la maîtrise.

Cette maturité, les Français l’ont acquise après des années de débat public sur le sujet. En comparaison, le Québec en est encore à une phase plus émotionnelle, réactive au contexte géopolitique récent. Les animateurs du podcast expriment le souhait que le débat local gagne lui aussi en nuance et en profondeur dans les années à venir.

Palo Alto dans un cloud souverain : comment ça fonctionne ?

La question naturelle se pose : comment une entreprise américaine comme Palo Alto Networks peut-elle opérer dans un environnement souverain, sachant que la certification SecNumCloud impose que l’opérateur soit une entité française ? La réponse est technique et pragmatique.

Palo Alto ne peut pas être directement certifié SecNumCloud — et ne cherche pas à l’être. En revanche, ses produits peuvent tourner à l’intérieur d’une infrastructure souveraine certifiée. La stratégie retenue dans un premier temps consiste à déployer des solutions sous forme de machines virtuelles (VM) : pare-feu virtuels, console de gestion Panorama en VM, ou encore AI Runtime Security pour protéger les inférences localement. Le client télécharge et opère ces outils lui-même, dans son infrastructure souveraine, sans dépendre d’un service SaaS américain.

Cette approche rappelle les déploiements dans les infrastructures critiques hors ligne — comme les sous-stations électriques — où l’on déploie des pare-feu entièrement autonomes, sans connexion à des services cloud externes. Le cloud souverain suit la même logique : le contenant est souverain, et le client garde le plein contrôle sur ce qui tourne à l’intérieur.

Un use case qui dépasse les frontières françaises

Un autre constat inattendu : la conférence S3NS attirait non seulement des organisations françaises, mais aussi des entreprises d’autres pays de l’Union européenne — Suisse, Italie, Allemagne, entre autres. Ces organisations voient dans S3NS une solution idéale pour la reprise après sinistre (DR) ou pour certaines charges de travail sensibles, en dehors même de toute obligation légale française. S3NS représente la certification cloud souveraine la plus exigeante disponible en Europe, ce qui en fait une option attractive pour quiconque cherche à minimiser son exposition aux juridictions extra-européennes.

La souveraineté comme un oignon

L’image la plus éclairante de la conférence est celle de l’oignon : la souveraineté se décline en couches. Certaines données et certains workloads nécessitent une infrastructure pleinement certifiée SecNumCloud — avec le surcoût que cela implique, inévitable pour tout cloud souverain qui ne bénéficie pas des économies d’échelle mondiales des grands hyperscalers. D’autres données, moins sensibles ou non soumises à des obligations légales, peuvent reposer sur des infrastructures alternatives offrant des garanties partielles de souveraineté — comme les offres équivalentes chez Microsoft ou AWS — à moindre coût.

Ce n’est pas tout ou rien. C’est une stratégie graduée, adaptée à la nature de chaque donnée et à chaque contexte réglementaire.

Ce qui s’en vient

En conclusion, les deux animateurs notent que l’écosystème des clouds souverains est en pleine expansion : Bleu (basé sur Azure) est en cours de certification en France, un équivalent est annoncé en Allemagne, et d’autres suivront. La décentralisation vers de plus petits clouds régionaux s’amorce, portée en partie par le contexte géopolitique actuel. Un sujet à suivre de près — et assurément matière à un prochain épisode.

Collaborateurs

Nicolas-Loïc Fortin

Nicolas Bédard

Crédits

Montage par Intrasecure inc

Locaux réels par Nicolas Bédard