PolySécure Podcast

Parce que… c’est l’épisode 0x731!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Présentation et contexte

Dans cet épisode spécial du podcast, Nicolas reçoit François Khourbiga et Thomas Raffineau Maréchal, cofondateurs d’une startup dans le domaine de la cybersécurité (Defants). Après quatre années d’activité, la compagnie a officiellement fermé ses portes en août 2025. Quelques mois après cette fermeture, les deux fondateurs acceptent de revenir sur cette expérience avec sérénité, dans un esprit de partage et de transmission pour ceux qui souhaiteraient se lancer dans l’aventure entrepreneuriale.

La fermeture : un événement difficile, vécu différemment

Thomas et François s’accordent sur le fait que la fermeture a été un choc émotionnel profond, mais que les effets se sont souvent manifestés après coup. Pendant les turbulences, les fondateurs restaient concentrés sur la gestion quotidienne, tenant le cap. C’est seulement une fois la tempête passée que le vide s’est fait ressentir — une expérience qu’ils comparent à un deuil, ou à la perte d’une relation importante. Leur engagement avait été total : familial, financier, personnel. Cela rend inévitablement la chute plus douloureuse que pour des collaborateurs salariés.

Les causes de l’échec : une suite d’erreurs cumulées

Les deux fondateurs sont honnêtes sur les facteurs qui ont conduit à la fermeture.

Un excès de confiance envers l’écosystème. Lors de leur première levée de fonds, ils ont idéalisé le rôle des investisseurs et des structures d’accompagnement. Ils ont découvert que tous les fonds n’avaient pas la même vision : certains adoptaient une approche purement comptable, incompatible avec les horizons longs que nécessite une startup deeptech investissant massivement en R&D.

Une divergence de visions. Les cofondateurs et leurs investisseurs n’avaient pas les mêmes objectifs ni les mêmes contraintes. Cette tension entre croissance à long terme et exigence de rentabilité immédiate n’a jamais vraiment été résolue, épuisant l’énergie de l’équipe — et le cash.

Un marché français très régulé. La startup opérait dans un secteur où les certifications coûtent des centaines de milliers d’euros aux entreprises clientes, rendant ces dernières très résistantes au changement. Proposer de l’innovation dans un marché aussi rigide s’est avéré extrêmement difficile commercialement. Leur demande de pivoter vers des marchés moins régulés n’a pas reçu le soutien espéré.

Une stratégie commerciale inadaptée. En rétrospective, Thomas et François estiment qu’ils auraient dû commencer par une activité de service outillé — démontrer la valeur de leur logiciel par des prestations concrètes — plutôt que d’essayer de vendre directement une solution logicielle à de grandes entreprises. Arriver face à des groupes qui voient défiler quinze startups par jour en clamant « nous sommes différents » n’était pas la bonne approche. La preuve par l’exemple aurait été bien plus convaincante.

Des pivots trop fréquents. S’adresser trop tôt à de trop grands comptes, pivoter trop souvent : l’accumulation de ces faux pas a fini par mener dans une impasse.

« Rater bien » : la fermeture dans le respect des équipes

Malgré l’échec, François et Thomas tiennent à souligner ce qu’ils considèrent comme une réussite dans la manière de conclure l’aventure. Conscients de leur responsabilité envers leurs collaborateurs, ils ont tout fait pour que personne ne se retrouve du jour au lendemain sans filet. Transparents sur les difficultés tout au long de la vie de la startup, ils ont accompagné chaque membre de l’équipe vers une sortie digne, à l’opposé des fermetures brutales que l’on observe parfois dans l’écosystème américain. Comme le dit François : « Le bateau a coulé, certes, mais tout le monde avait un radeau. »

L’écosystème breton : une bienveillance remarquable

Un point revient avec insistance dans la discussion : la qualité de l’écosystème entrepreneurial en Bretagne et à Rennes. Les deux fondateurs saluent la chaleur humaine, la proximité des acteurs et le soutien reçu, aussi bien pendant la vie de la startup qu’au moment de sa fermeture. Beaucoup de personnes ont répondu présent pour échanger, partager des expériences similaires ou simplement témoigner leur soutien. Si cet accompagnement s’est parfois révélé être une forme de « sirène » — encourageant sans nécessairement aligner les attentes — la reconnaissance reste entière envers celles et ceux qui ont cru en eux.

Ce qu’ils referaient, et ce qu’ils changeraient

Sur les décisions passées, Thomas et François refusent de tomber dans le regret. Chaque choix a été pris avec les informations et la conviction du moment. Ce qui change, c’est le bagage accumulé. Si c’était à refaire, ils opteraient pour une approche plus pragmatique et mesurée : commencer petit, prouver la valeur par le service, créer de la traction concrète avant de chercher des financements, et ne jamais considérer qu’une levée de fonds ou un accompagnement équivaut automatiquement à des clients.

La suite : rebondir et regarder vers l’avenir

Aujourd’hui, chacun a repris sa route. François a lancé une activité indépendante centrée sur la réponse à incident, le threat hunting et la forensique — des domaines qu’il a découvert être ses véritables moteurs. Thomas, de son côté, a rejoint un centre d’excellence cyber en tant que product owner, se retrouvant désormais de l’autre côté du miroir, à évaluer les idées de startups qu’il reçoit.

Ce qui importe le plus, peut-être, c’est que les deux cofondateurs ont traversé la tempête ensemble et sont arrivés sur la même plage. Leur amitié est intacte, leur envie d’entreprendre n’est pas éteinte, et leur sac à dos est désormais bien plus riche d’expériences. Comme le résume Thomas : « Si une prochaine bêtise est à faire, on la refera peut-être ensemble. »

Notes

Thunt Labs Security

Collaborateurs

Nicolas-Loïc Fortin

Thomas Raffineau Maréchal

François Khourbiga

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x730!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Introduction

Dans cet épisode spécial PME du podcast 0x730, Nicolas reçoit à nouveau Claude Mercier pour une conversation enregistrée au chalet. Claude, qui travaille régulièrement avec des PME, pose une série de questions pratiques sur la cybersécurité en entreprise. L’objectif est simple : traduire des concepts techniques parfois abstraits en conseils concrets et accessibles pour les gestionnaires et propriétaires de petites et moyennes entreprises.

Sécuriser les postes de travail

La première question porte sur la configuration idéale d’un poste ou d’un portable en PME. Nicolas explique qu’il existe déjà des gabarits de configuration préconçus qui facilitent grandement le travail. Dans un environnement centralisé, leur déploiement est simplifié ; pour les plus petites structures, ils peuvent être appliqués machine par machine. Le principe de base reste le même : garder les systèmes d’exploitation constamment à jour, ce qui constitue la mesure de protection la plus efficace et la plus négligée.

Pour illustrer l’importance de protéger un poste, Nicolas recourt à une analogie simple : un ordinateur, c’est comme un édifice physique. On y met des serrures, des verrous, des coffres-forts, non pas pour la forme, mais parce que l’intérieur contient des informations précieuses — liste de clients, données financières, procédés exclusifs. Perdre le contrôle de ces informations peut mettre en péril l’entreprise entière.

Chiffrement et mot de passe

Le sujet du chiffrement de disque est abordé avec nuance. Des outils comme BitLocker de Microsoft permettent de chiffrer le contenu d’un disque dur, mais cette protection ne vaut que si un mot de passe d’ouverture de session est également configuré. Sans ce mot de passe, le coffre-fort virtuel reste grand ouvert. Nicolas précise que le chiffrement sert principalement à protéger les données en cas de vol physique de l’appareil ou du disque dur : sans la clé associée, le contenu devient illisible pour n’importe qui.

Antivirus modernes, EDR et XDR

La question des antivirus permet à Nicolas de distinguer les solutions d’ancienne génération des solutions modernes. Le Defender intégré à Windows, par exemple, est considéré comme suffisant pour la grande majorité des PME qui n’évoluent pas dans des secteurs à risques élevés. Il bloque environ 95 % des menaces courantes.

Les termes EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response) désignent précisément ces antivirus de nouvelle génération. Leur grande différence par rapport aux anciens outils : ils ne se contentent plus de reconnaître des signatures de fichiers malveillants, ils analysent les comportements anormaux sur la machine. Un processus qui agit de façon suspecte sera détecté, même si aucune signature connue ne lui correspond.

Les droits administrateur

Sur la question de qui devrait avoir les droits d’administrateur dans une PME, Nicolas est catégorique : le moins de personnes possible. Il compare ces droits à l’accès aux paramètres internes d’un moteur de voiture : personne ne va bricoler les composants d’un véhicule sans être mécanicien qualifié. De même, un utilisateur non formé qui dispose de droits admin peut involontairement causer des dommages considérables, ou pire, offrir aux attaquants le même niveau d’accès que le sien s’il clique sur un lien malveillant.

VPN : mythes et réalités

Les VPN commerciaux font l’objet d’un marketing souvent trompeur. Nicolas distingue deux types de VPN : les VPN commerciaux (NordVPN, ProtonVPN, etc.), dont l’utilité réelle est très limitée pour une PME, et les VPN d’entreprise, que l’on configure soi-même pour permettre l’accès sécurisé à distance à son propre réseau interne. Le premier est largement superflu dans le contexte actuel, car les communications en ligne sont déjà chiffrées nativement. Le second est utile, mais doit être déployé avec soin : si le poste utilisé est mal sécurisé, le tunnel VPN devient un vecteur d’intrusion vers l’ensemble du réseau d’entreprise.

Windows Hello et l’authentification sans mot de passe

Nicolas présente Windows Hello comme une solution d’authentification moderne dite passwordless. Plutôt qu’un mot de passe classique — qui peut être volé —, cette approche repose sur une clé cryptographique associée à un scan biométrique. Il n’y a donc rien à dérober. La sécurité est plus robuste et l’expérience utilisateur, plus fluide.

Sauvegardes : l’approche 3-2-1

La deuxième grande thématique concerne les sauvegardes. Nicolas présente la règle 3-2-1 : trois copies des données, sur deux supports différents, dont une hors site. L’objectif est de pouvoir récupérer rapidement les informations critiques en cas de panne mécanique, de vol ou d’attaque par rançongiciel.

Point crucial : les sauvegardes doivent être hors ligne ou hors réseau (offline). Une copie accessible depuis le réseau de l’entreprise peut être chiffrée ou effacée par un attaquant en même temps que les données originales, la rendant inutile. Elles doivent également être chiffrées, qu’elles soient stockées dans le nuage ou transportées physiquement. Enfin, il est tout à fait possible de sauvegarder les courriels hébergés sur des plateformes comme Microsoft 365 ou Google Workspace grâce à des services tiers dédiés.

La « question noire » : les rançongiciels

En guise de conclusion, Claude pose une question délicate : si Nicolas était un attaquant, quelle stratégie adopterait-il ? La réponse est sans équivoque : les rançongiciels ciblant les PME. Ces entreprises sont souvent les moins bien protégées, n’ont pas de sauvegardes fiables, et sont prêtes à payer pour récupérer leurs données. Le coût d’une cyberattaque peut rapidement atteindre 100 000 $ par jour en honoraires d’urgence, sans compter les pertes d’exploitation, voire la perte de clients au profit de concurrents.

La bonne nouvelle : les PME qui appliquent les mesures de base — sauvegardes hors ligne, MFA, séparation des accès — compliquent suffisamment la tâche des attaquants pour que ceux-ci renoncent plus rapidement. La tendance s’améliore lentement, mais le chemin reste long.

Collaborateurs

Nicolas-Loïc Fortin

Claude Mercier

Crédits

Montage par Intrasecure inc

Locaux réels par Le Chalet de Claude

Parce que… c’est l’épisode 0x729!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Introduction

Dans cette 14e collaboration entre les balados Cyber Citoyen et PolySécure, Nicolas reçoit Catherine Dupont-Gagnon et Samuel Harper pour une discussion dense et animée sur plusieurs enjeux de cybersécurité, de surveillance et de démocratie numérique. L’épisode couvre trois grands thèmes : le projet de loi canadien C-22, les révélations sur le Department of Homeland Security américain, et la montée des outils d’influence politique automatisés.

Le projet de loi C-22 : entre progrès et inquiétudes

Samuel Harper introduit le projet de loi C-22, une version remaniée et plus ciblée de l’ancien C-2, qui avait suscité beaucoup de controverse. Si certaines dispositions particulièrement attentatoires à la vie privée ont été retirées — notamment la fouille du courrier postal et la collecte de données sans mandat — d’autres éléments soulèvent encore des préoccupations.

Parmi les changements notables, les forces de l’ordre pourront désormais demander à un fournisseur de services Internet ou de télécommunication si une personne y détient un compte, sans avoir besoin d’un mandat préalable. La compagnie doit simplement répondre par oui ou non. Sam souligne que cette disposition, bien qu’encadrée, pourrait permettre de dresser des profils assez détaillés en croisant les informations de plusieurs fournisseurs.

Le projet de loi prévoit également d’obliger certains fournisseurs — désignés comme « core providers » — à conserver les métadonnées de communications pendant une période maximale d’un an. Cela inclut notamment des données de géolocalisation et des informations sur quels appareils ont communiqué entre eux. Catherine soulève un point crucial : cette obligation de conservation crée une cible de choix pour des acteurs malveillants ou des employés internes corrompus qui pourraient accéder à ces données de façon non autorisée.

Le trio discute également de la légalisation pour les forces de l’ordre d’utiliser des données de sources ouvertes (réseaux sociaux publics, forums) et potentiellement d’acheter des données auprès de data brokers. Cette dernière pratique est particulièrement problématique, car elle permet de contourner l’exigence d’un mandat judiciaire en remplaçant la procédure légale par un simple budget d’enquête. La question des données de santé achetables sur le marché, et la facilité croissante de désanonymiser des individus grâce à l’intelligence artificielle, vient compléter ce tableau préoccupant.

Pour ceux qui souhaitent s’opposer au projet de loi, Samuel rappelle que les citoyens peuvent contacter leur député, écrire des commentaires sur le site du Parlement ou demander à témoigner en comité.

Les révélations sur le Department of Homeland Security

Catherine prend ensuite la parole pour présenter des documents divulgués par des activistes concernant des projets de surveillance du Department of Homeland Security américain. Environ 6 000 entreprises auraient soumis des propositions à l’agence, allant de la surveillance biométrique avancée dans les aéroports jusqu’à l’utilisation des téléphones comme scanners biométriques.

Le projet qui retient le plus l’attention de Catherine est une plateforme qui analyserait les appels au 911 à l’échelle nationale pour créer une carte prédictive des incidents criminels — une forme de « minority report » appliquée à la police. Cette approche algorithmique de la prévention du crime est hautement problématique en raison des biais systémiques qu’elle risque de reproduire et d’amplifier. Le livre Automating Inequality est mentionné comme référence sur ce sujet.

Samuel insiste sur le fait que ces projets ne sont pas que théoriques : certains sont déjà partiellement retenus et font l’objet de financements dépassant les 100 milliards de dollars. Sans tomber dans le fatalisme, les trois animateurs rappellent que la résistance citoyenne a déjà démontré son efficacité — notamment à Minneapolis — et que des solutions créatives et low-tech, comme des techniques de maquillage perturbant la reconnaissance faciale, peuvent constituer des formes de résistance accessibles et efficaces.

Les « combattants numériques » et la démocratie gamifiée

Catherine présente ensuite un article du Devoir portant sur une entreprise israélienne qui commercialise une technologie d’influence politique au Canada. Le principe : envoyer des messages à des sympathisants pour les inciter à interagir avec des publications politiques, en générant même des commentaires personnalisés par intelligence artificielle afin d’éviter la détection des plateformes.

Il ne s’agit pas de bots, mais d’humains dont l’action est orchestrée et facilitée par la machine, ce que Samuel qualifie d’« astroturfing gamifié ». La comparaison avec Cambridge Analytica est inévitable : on instrumentalise les liens de confiance entre individus, comme Farmville le faisait jadis sur Facebook pour aspirer les données des amis d’utilisateurs. L’enjeu démocratique est fondamental : l’application est conçue pour que l’utilisateur n’ait pas à réfléchir au message qu’il diffuse, court-circuitant ainsi l’engagement politique authentique.

La dette cognitive et l’intelligence artificielle en éducation

La discussion dérive naturellement vers l’usage de l’IA générative dans les milieux professionnels et éducatifs. Catherine observe une dégradation notable chez ses étudiants : travaux générés en quelques secondes sans relecture, anxiété accrue aux examens, baisse des résultats sur des évaluations identiques à celles d’il y a 18 mois. Elle note que les étudiants délèguent même la prise de notes à des outils IA lors des cours Zoom, privant leur cerveau du travail cognitif nécessaire à la mémorisation.

Nicolas renchérit en évoquant la qualité des documents reçus dans son milieu professionnel, qu’il décrit comme des textes « bien polis mais sans substance » — un éternuement qui n’aboutit pas. Le groupe s’entend pour dire que l’IA est un outil utile dans certains contextes, mais que son utilisation généralisée et non réfléchie érode des compétences fondamentales. La solution, jugée simple mais exigeante, reste de faire l’effort cognitif soi-même.

Conclusion

L’épisode se termine sur une note d’espoir mesuré : sans nier la gravité des enjeux abordés, les trois animateurs refusent le fatalisme. Ils évoquent la possibilité de diffuser le balado sur Twitch pour rejoindre un public plus jeune, et s’engagent à tester prochainement la fameuse application de militantisme virtuel pour en analyser les résultats dans un épisode futur.

Collaborateurs

Nicolas-Loïc Fortin

Catherine Dupont-Gagnon

Samuel Harper

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x728!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

RadioCSIRT


Cyblex Consulting



IA ou dans le prisme de la machine

Child abuse

Europe takes first step to banning AI-generated child sexual abuse images

Teens sue Elon Musk’s xAI over Grok’s pornographic images of them

Prevalence of generative artificial intelligence sexualized image usage by adolescents in the United States







New study raises concerns about AI chatbots fueling delusional thinking

AI Didn’t Make Expertise Optional. It Made It More Valuable

Why Security Validation Is Becoming Agentic

AI-driven fraud far more profitable, Interpol warns

Google lance une IA pour traquer les bugs dans le noyau Linux

Okta made a nightmare micromanager for your AI agents

Signal’s Creator Is Helping Encrypt Meta AI

A rogue AI led to a serious security incident at Meta

AI Conundrum: Why MCP Security Can’t Be Patched Away

US to embed Palantir AI across entire military: Report




La guerre, la guerre, c’est pas une raison pour se faire mal!

Iran

Poland Says It Foiled a Cyberattack on Its Nuclear Research Centre: Why the Iran Clue Matters Less Than the Operational Lesson

Cybercrime up 245% since the start of the Iran war




Iran cyberattack against med tech firm ‘just the beginning’

Microsoft Intune: Lock it down, warn feds after Stryker

Iran’s internet blackout enters day 18

Le GPS des navires complètement brouillé dans le détroit d’Hormuz, plus de 1 100 bateaux touchés







Ukraine strike on Kremniy El plant sparks rift between Russian propaganda and milbloggers

White House pours cold water on cyber ‘letters of marque’ speculation




Souveraineté ou tout ce que je peux faire sur mon terrain

Don’t let hyperscalers hijack digital sovereignty, EC told

Framasoft dit tout haut ce qu’on est nombreux à penser tout bas




Privacy ou tout ce qui devrait rester à la maison

Surveillance en vrac

FBI is buying location data to track US citizens, director confirms

Quand la publicité ciblée devient un outil de surveillance pour le gouvernement américain




Les joueurs de Pokémon Go ont entraîné des robots livreurs sans le savoir

The Danger Behind Meta Killing End-to-End Encryption for Instagram DMs

‘StravaLeaks’: France’s aircraft carrier located in real time through fitness app

A Top Democrat Is Urging Colleagues to Support Trump’s Spy Machine




Je suis la loi

Age verification isn’t sage verification inside OSes

End of “Chat Control”: Paving the Way for Genuine Child Protection!

Hacking The System In A Moral Panic: We Need To Talk

Apple can delist apps “with or without cause,” judge says in loss for Musi app

Cloudflare appeals Piracy Shield fine, hopes to kill Italy’s site-blocking law




Red ou tout ce qui est brisé

Washington is right: Cybercrime is organized crime. Now we need to shut down the business model

EU sanctions Iranian cyber crew behind US election tampering

Ransomware Tactics, Techniques, and Procedures in a Shifting Threat Landscape

Hundreds of Millions of iPhones Can Be Hacked With a New Tool Found in the Wild

Boîtiers KVM IP - Les 9 failles qui vous offrent un accès root OKLM

Ransomware crims abused Cisco 0-day weeks before disclosure





[20 Days Later: Trivy Compromise, Act II
Boost Security Labs](https://labs.boostsecurity.io/articles/20-days-later-trivy-compromise-act-ii/)





The Art of Self-Healing Code: Malware that fixes itself

Ils trouvent 100 failles dans le noyau Windows pour 600 dollars

Delve - Fake Compliance as a Service - Part I

Jaguar Land Rover’s cyber bailout sets worrying precedent, watchdog warns




Blue ou tout ce qui améliore notre posture

North Korean workers are taking remote U.S. jobs. This company set a trap to expose one.

Boot ROM Security on Silicon Macs (M1/M2/M3) - Olivia A. Gallucci

Android 17 va bloquer les apps qui abusent des services d’accessibilité

Japan to allow ‘proactive cyber-defense’ from October 1st

EA prépare son système anti-triche pour les PC ARM et envisage un support de Linux

ArXiv, the pioneering preprint server, declares independence from Cornell

Google adds ‘Advanced Flow’ for safe APK sideloading on Android




Divers

Ubuntu 26.04 Ends 46 Years of Silent sudo Passwords

Why One Key Shouldn’t Rule Them All: Threshold Signatures for the Rest of Us

Social media harms kids, says most evidence

Flexibility boosts productivity, not office mandates




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Moxy Montreal Downtown

Parce que… c’est l’épisode 0x727!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Contexte et invités

Dans cet épisode, Nicolas reçoit David Bizeul pour un retour approfondi sur le concept de SOC (Security Operations Center) moderne. David est notamment l’un des artisans de Secoya, une plateforme SOC développée par son équipe, ce qui lui confère une perspective à la fois pratique et stratégique sur l’évolution du domaine.

Ce que contient un SOC moderne en 2026

David commence par dresser un portrait du SOC contemporain tel qu’il devrait fonctionner aujourd’hui. Selon lui, trois grandes dimensions structurent un SOC efficace.

1. La fusion de la connaissance interne et externe avec les événements de sécurité

La première brique fondamentale est la capacité à ingérer, normaliser et consolider les événements de sécurité issus du système d’information. À cela s’ajoutent deux couches de connaissance complémentaires :

La connaissance interne : elle porte sur les assets de l’entreprise, les identités, les vulnérabilités, les chemins critiques métier. En somme, tout ce qui permet de comprendre ce que l’on protège.

La connaissance externe : c’est le domaine de la threat intelligence (CTI). Elle répond à la question « qu’est-ce que je dois craindre ? » et modélise les menaces extérieures, les campagnes d’attaque, les modes opératoires.

David explique que Secoya a justement construit son produit en partant de la CTI, avant même de s’intéresser aux événements clients. L’idée était d’abord de bien connaître la menace, puis de confronter cette connaissance aux données du terrain.

2. Les moteurs de détection

Une fois les données ingérées, trois moteurs distincts entrent en jeu :


Le moteur de threat intelligence : il repose sur une base de connaissances en graphe. Chaque indicateur (une adresse IP, par exemple) est relié à des nœuds représentant des malwares, des campagnes, des acteurs malveillants. Quand un indicateur apparaît dans les événements, le moteur remonte automatiquement tout le contexte associé, permettant d’évaluer rapidement la gravité de la situation.




Le moteur de corrélation : basé sur le langage Sigma et Sigma Correlation, il modélise des comportements suspects à partir d’enchaînements d’événements. Par exemple : cinq échecs d’authentification sur un poste suivis d’une connexion anormale sur un équipement réseau peuvent caractériser une tentative d’intrusion. Toutes les règles sont créées ou validées par des experts internes, ce qui permet d’atteindre un taux de faux positifs infime (environ 0,001 %).




Le moteur d’anomalie : il détecte les déviances par rapport à une baseline comportementale. Un pic de trafic soudain sur un serveur web, une exfiltration de données inhabituelle ou une activité de type brute force sont autant de signaux que ce moteur est conçu à relever.



Le retour en arrière : le SOC d’il y a dix ans

Pour mieux illustrer les progrès accomplis, David fait un flash-back sur les SOC de la génération précédente. Monter un SOC il y a dix ans était une opération longue et coûteuse : infrastructure à déployer, licences SIEM à acquérir, threat intelligence quasi inexistante ou inutilisable, enrichissement des alertes quasi nul. Une seule alerte pouvait mobiliser un analyste pendant une heure sans déboucher sur une conclusion claire. Les règles de corrélation, souvent dérivées de politiques de sécurité mal rédigées, généraient un volume d’alertes sans valeur réelle. Le bilan : des millions dépensés pour un SOC qui ne produisait rien d’utile.

De l’alerte à la réponse : l’automatisation et l’IA agentique

La génération d’alertes n’est qu’une étape. Le vrai objectif d’un SOC est de contenir les risques avant qu’ils ne se concrétisent en impacts. David décrit la chaîne de réponse moderne :


Qualification automatique des alertes : des agents IA prennent en charge le triage préliminaire, vérifient le contexte autour d’un événement (les cinq minutes avant/après, la nature de l’asset concerné), et déterminent si l’alerte mérite d’être escaladée ou peut être ignorée.




Playbooks automatisés : des plans de réponse préconfigurés peuvent déclencher des actions concrètes, comme l’isolation d’une machine compromise, sans intervention humaine immédiate.




Le rôle central de l’humain : malgré l’automatisation, l’analyste reste indispensable pour les décisions complexes, la communication de crise, l’adaptation des plans de réponse aux spécificités du client.



Le modèle MDR et l’architecture multitenant

David aborde également la réalité économique : la grande majorité des entreprises n’ont pas les ressources pour gérer un SOC en interne. C’est là qu’interviennent les prestataires MDR (Managed Detection and Response), qui mutualisent les services de SOC pour plusieurs clients. Secoya répond à ce besoin avec une architecture multitenant : un opérateur MDR peut gérer dix clients dans une seule interface, tout en maintenant une séparation stricte des données.

L’interopérabilité et le rôle d’OXA

La dernière partie de l’échange porte sur l’interopérabilité entre produits de cybersécurité, notamment via la plateforme ouverte OXA et le protocole MCP (Model Context Protocol). L’idée est de permettre à chaque outil de se « présenter » aux autres — ses capacités, ses endpoints, ses types de données — afin de construire des workflows automatisés sans friction.

La mise en garde finale : l’IA ne vaut que ce que valent ses données

Les deux interlocuteurs s’accordent sur un point crucial pour conclure : l’engouement pour l’IA agentique en 2025 a souvent masqué un problème fondamental. Si les sources de données en entrée sont de mauvaise qualité, l’IA produira des résultats erronés, voire dangereux. La vraie tendance de 2026 sera donc la valorisation des data sources de pertinence : une CTI fiable, une connaissance interne solide des assets, avant d’y injecter de l’intelligence artificielle. Un prochain épisode est annoncé pour approfondir spécifiquement cette question.

Collaborateurs

Nicolas-Loïc Fortin

David Bizeul

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm