PolySécure Podcast

Parce que… c’est l’épisode 0x709!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x708!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Notes

IA

AI threat modeling must include supply chains, agents, and human risk

OpenClaw instances open to the internet present ripe targets

Microsoft boffins show LLM safety can be trained away

Augustus - Open-source LLM Vulnerability Scanner With 210+ Attacks Across 28 LLM Providers

AI-Generated Text and the Detection Arms Race

AI agents can spill secrets via malicious link previews

Claude add-on turns Google Calendar into malware courier

The First Signs of Burnout Are Coming From the People Who Embrace AI the Most

Claude and OpenAI fight over ads while Google monetizes

Prompt Injection Via Road Signs

NanoClaw solves one of OpenClaw’s biggest security issues — and it’s already powering the creator’s biz

Microsoft: Poison AI buttons and links may betray your trust

Anthropic safety researcher quits, warning ‘world is in peril’

Cyber Model Arena

AI bot seemingly shames developer for rejected pull request

AI Weaponization: State Hackers Using Google Gemini for Espionage and Malware Generation

Misconfigured AI could shut down a G20 nation, says Gartner

AI Agents ‘Swarm,’ Security Complexity Follows Suit

OpenAI has deleted the word ‘safely’ from its mission – and its new structure is a test for whether AI serves society or shareholders

Pentagon used Anthropic’s Claude during Maduro raid

How AI could eat itself: Using LLMs to distill rivals

Your Friends Might Be Sharing Your Number With ChatGPT




Souveraineté ou tout ce que je peux faire sur mon terrain

Carmakers Rush To Remove Chinese Code Under New US Rules

White House to meet with GOP lawmakers on FISA Section 702 renewal

Google Warns EU Risks Undermining Own Competitiveness With Tech Sovereignty Push




Privacy ou tout ce qui devrait rester à la maison

Re-Identification vs Anonymization Strength

Ring cancels its partnership with Flock Safety after surveillance backlash

Meta Plans To Let Smart Glasses Identify People Through AI-Powered Facial Recognition




Red ou tout ce qui est brisé

After Six Years, Two Pentesters Arrested in Iowa Receive $600,000 Settlement

Notepad’s new Markdown powers served with a side of RCE

Spying Chrome Extensions: 287 Extensions spying on 37M users

Apple patches decade-old iOS zero-day exploited in the wild

Exclusive: Palo Alto chose not to tie China to hacking campaign for fear of retaliation from Beijing, sources say

Microsoft: New Windows LNK spoofing issues aren’t vulnerabilities

Microsoft Under Pressure to Bolster Defenses for BYOVD Attacks




Blue ou tout ce qui améliore notre posture

Microsoft announces new mobile-style Windows security controls

Patch Tuesday, February 2026 Edition

The EU moves to kill infinite scrolling

Meta, TikTok and others agree to teen safety ratings

European nations gear up to ban social media for children




Divers et insolites

Nobody knows how the whole system works

Counting the waves of tech industry BS from blockchain to AI

Apple and Google agree to change app stores after ‘effective duopoly’ claim

Hacktivism today: What three years of research reveal about its transformation

Europe must adapt to ‘permanent’ cyber and hybrid threats, Sweden warns

US needs to impose ‘real costs’ on bad actors, State Department cyber official says

Stop Using Face ID Right Now. Here’s Why




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x707!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Dans cet épisode de podcast, Casimir Le Grand, fondateur de FairPoint Assurance, un cabinet spécialisé en assurance pour entreprises technologiques, présente les fondamentaux de la cyberassurance et son importance cruciale pour les PME. La discussion met en lumière les aspects souvent méconnus de cette protection devenue essentielle à l’ère numérique.

La nature spécifique de la cyberassurance

La cyberassurance se divise en deux volets principaux : la responsabilité civile et les dommages directs. Le volet responsabilité couvre les poursuites découlant de fautes cybernétiques commises par l’entreprise, mais représente une portion moins importante des pertes. L’accent de la discussion porte sur les dommages directs, qui constituent les coûts réels de remise en état suite à un incident cybernétique.

Un élément fondamental à comprendre est que la cyberassurance est une police monoligne distincte. Elle n’est pas couverte par les polices d’assurance générale combinée commerciale. Bien que certaines polices générales offrent de petites extensions de garantie de 25 000 $ à 100 000 $, ces montants sont largement insuffisants et les couvertures souvent inadéquates. Casimir insiste sur le fait qu’avoir ces petites extensions équivaut pratiquement à n’avoir aucune assurance. Les entreprises doivent donc se procurer une police spécifique pour être réellement protégées contre les risques cybernétiques.

Les coûts de réponse à l’incident

À chaque incident cybernétique, peu importe sa nature, les coûts de réponse sont systématiquement déclenchés. Ces coûts incluent tous les professionnels qui interviendront pour aider l’entreprise à se remettre en état. Cela comprend les experts en gestion de crise, les spécialistes en investigation forensique qui détermineront le point d’entrée des hackers et les données compromises, ainsi que d’autres professionnels spécialisés.

La valeur de l’assurance se manifeste particulièrement ici, car la plupart des PME ne disposent pas d’équipes internes capables de répondre adéquatement à un incident. L’assureur coordonne l’intervention des professionnels et assume les coûts, qui peuvent varier considérablement selon l’urgence. Une intervention d’urgence un samedi matin coûtera significativement plus cher qu’une intervention planifiée le lundi après-midi.

Les obligations juridiques et le rôle du breach coach

Les avocats spécialisés en protection des renseignements personnels, appelés « breach coaches », jouent un rôle crucial dans la gestion d’un incident. Avec l’entrée en vigueur de la loi 25 au Québec, les entreprises ont des obligations juridiques précises lorsque des informations sont volées ou accédées illégalement. Les breach coaches aident à déterminer ces obligations, notamment :

L’obligation d’avertir les personnes concernées

Les exigences de notification aux autorités

Les obligations contractuelles envers les tiers dont les informations confidentielles ont été compromises

Une gestion appropriée de l’incident, guidée par ces professionnels, protège l’entreprise contre d’éventuelles poursuites. À l’inverse, la négligence peut être catastrophique. Certaines entreprises qui ont choisi de ne pas notifier les victimes ou de ne pas offrir de surveillance de crédit se sont exposées à des poursuites qui les ont forcées à fermer leurs portes. L’assureur, qui ne veut pas payer pour ces poursuites, s’assure donc que le breach coach intervienne pour minimiser les risques juridiques.

La perte d’exploitation : un coût majeur

Au-delà des coûts directs de réponse, les pertes d’exploitation constituent souvent le volet le plus coûteux d’un incident cybernétique. Casimir utilise l’exemple parlant d’une entreprise dont tous les ordinateurs deviennent noirs suite à une attaque de rançongiciel. Les employés ne peuvent plus travailler, les commerces de détail ne peuvent plus scanner les codes-barres, l’accès aux inventaires est bloqué.

Pour une entreprise de commerce de détail vendant des produits non uniques, les clients se tourneront rapidement vers la concurrence, entraînant des ventes perdues irrémédiablement. La couverture de perte d’exploitation devient alors vitale. Pourtant, Casimir constate avec préoccupation que cette couverture est souvent sous-limitée. Il voit régulièrement des entreprises qui achètent une limite globale de 5 millions de dollars, mais dont la perte d’exploitation est limitée à seulement 500 000 $ ou 1 million de dollars.

L’importance des limites de couverture adéquates

Certains assureurs, comme Chubb et Coalition, offrent une limite séparée pour les coûts de réponse aux incidents. Cette structure est avantageuse : si la réponse à l’incident coûte 800 000 $, l’entreprise conserve l’intégralité de sa limite d’un million de dollars pour couvrir la perte d’exploitation et le paiement d’une éventuelle rançon. Cette structure évite que l’entreprise soit forcée de « tourner les coins ronds » sur la réponse à l’incident pour préserver des fonds pour d’autres besoins.

Négliger une réponse complète à l’incident est dangereux. Les entreprises qui ne corrigent pas adéquatement les problèmes fondamentaux subissent souvent un deuxième incident dans les six mois suivants, ce qui devient généralement le coup fatal.

Les fraudes non sophistiquées : une menace réelle

Un aspect moins discuté mais très fréquent concerne les fraudes de transfert de fonds par ingénierie sociale. Contrairement aux attaques sophistiquées nécessitant une expertise technique pour contourner les systèmes de sécurité, ces fraudes de type « grab and go » sont relativement simples à orchestrer.

Le scénario typique commence par une compromission de boîte de courriel d’entreprise (Business Email Compromise). Les hackers accèdent à des boîtes courriel mal sécurisées, installent des filtres pour rediriger certains courriels légitimes et surveillent silencieusement les communications. Lorsqu’une transaction importante se profile, ils envoient de fausses instructions de paiement, souvent en prétendant qu’un changement de coordonnées bancaires a eu lieu.

Ces fraudes peuvent facilement atteindre des centaines de milliers de dollars. Casimir mentionne le cas remarquable d’une récupération de 9,5 millions de dollars orchestrée par Coalition, grâce à leur équipe spécialisée qui intervient rapidement pour tenter de récupérer les fonds transférés frauduleusement. Sans cette intervention professionnelle rapide, cet argent aurait été définitivement perdu.

Conclusion

La cyberassurance n’est plus un luxe, mais une nécessité pour toute entreprise moderne utilisant des équipements technologiques. Les coûts d’un incident cybernétique dépassent largement les capacités financières de la plupart des PME. Une couverture adéquate, avec des limites appropriées et l’accès à des professionnels spécialisés, peut faire la différence entre la survie et la fermeture d’une entreprise. L’essentiel est de ne pas sous-estimer les risques et de ne pas se contenter de couvertures inadéquates qui donnent une fausse impression de sécurité.

Collaborateurs

Nicolas-Loïc Fortin

Casimir Le Grand

Crédits

Montage par Intrasecure inc

Locaux réels par Bagel Maguire Café

Parce que… c’est l’épisode 0x706!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Dans cet épisode spécial du podcast, Nicolas reçoit Christophe d’Arlhac pour explorer le monde complexe des enquêtes en cybersécurité. La discussion révèle que l’investigation cyber est avant tout une affaire de méthodologie et non simplement de technologie, avec des parallèles frappants avec les enquêtes dans le monde physique.

Un malentendu fondamental

Christophe souligne d’emblée un malentendu courant : beaucoup pensent que l’investigation cyber est uniquement réservée à des spécialistes ultra-techniques. En réalité, la cyber-investigation s’inscrit dans une tradition très ancienne d’enquête. Comme dans un accident industriel ou une enquête judiciaire, on n’efface pas les traces avant d’avoir observé et compris. Pourtant, en cybersécurité, les ingénieurs ont longtemps fait l’inverse, privilégiant la remise en production rapide au détriment de la compréhension de l’incident.

L’opposition entre deux métiers complémentaires

L’un des points centraux du podcast est la différence fondamentale entre le rôle de l’enquêteur et celui de l’ingénieur. L’ingénieur est formé pour faire fonctionner, créer et maintenir des systèmes. Son objectif est de rétablir le service rapidement et de sécuriser les infrastructures. L’enquêteur, lui, adopte une approche diamétralement opposée : il demande d’arrêter, d’observer et de comprendre avant d’agir. Il se pose des questions sur le contexte, la veille dans le secteur, les changements récents dans l’organisation, les nouveaux arrivants ou les nouvelles technologies déployées.

Cette opposition crée naturellement des tensions lors de la gestion d’incidents. L’ingénieur veut rebrancher immédiatement le système compromis, tandis que l’enquêteur insiste pour préserver les preuves et observer l’attaquant. Comme le souligne Nicolas, il existe une tension particulière en cyber : la nécessité parfois d’observer l’attaquant dans son “état naturel” pour comprendre ses motivations et ses méthodes, une approche contre-intuitive pour les équipes techniques.

La règle d’or : ne jamais effacer les preuves

Les deux experts partagent une conviction forte : il ne faut jamais écouter quelqu’un qui dit d’effacer les preuves rapidement sous prétexte qu’il n’y aura pas d’enquête. L’expérience montre qu’il y a toujours quelqu’un – une autorité, un client, un partenaire – qui finira par poser des questions, parfois des années plus tard. Les contre-enquêtes peuvent survenir des décennies après les faits, et sans preuves conservées, toute investigation devient impossible.

Le réflexe classique lors d’un incident – redémarrer, réinitialiser, restaurer des sauvegardes – est une catastrophe du point de vue de l’enquête. Cette approche efface la chronologie, détruit les journaux et les connexions, rendant impossible la compréhension du “comment” et du “par où” de l’attaque.

L’ordre méthodologique universel

Christophe insiste sur un principe fondamental : bien gérer un incident, ce n’est pas aller vite, c’est agir au bon moment. L’ordre méthodologique est universel : observer, comprendre, décider, puis agir. Inverser cet ordre pose systématiquement des problèmes. Cette approche peut se faire rapidement, mais elle doit respecter cette séquence logique.

Dans l’idéal, l’ingénieur sécurise les périmètres pour éviter que la situation ne s’aggrave, pendant que l’enquêteur fige les preuves et observe. L’utilisation de “pots de miel” pour isoler et observer l’attaquant est mentionnée comme une technique avancée, bien que peu d’organisations aient la capacité de la mettre en œuvre.

Les répercussions multidimensionnelles

Une enquête cyber mal conduite n’est pas seulement un problème informatique. C’est aussi un problème juridique, d’assurance, de gouvernance, de crédibilité et d’image. Sans preuves conservées, impossible d’expliquer aux autorités, aux assureurs ou aux partenaires ce qui s’est passé. Ces réunions post-incident se passent rarement bien quand les preuves ont été effacées.

La préparation : clé du succès

La préparation d’une organisation à l’investigation cyber doit commencer bien avant l’incident. Cela implique plusieurs dimensions :

Le choix des outils et des procédures : Les enquêteurs doivent être consultés dès la sélection des outils de sécurité, car ces outils fourniront les éléments d’investigation. Leurs besoins peuvent différer de ceux des ingénieurs.

La veille juridique : Chaque pays et chaque secteur ont des réglementations différentes concernant la conservation des données, les délais, et les types d’informations à préserver. Les infrastructures critiques ont des obligations particulières.

La conservation des preuves numériques : Le fameux “hash” ou empreinte numérique permet de garantir l’intégrité des preuves et de s’assurer qu’elles n’ont pas été modifiées. Cette capture doit être faite avant toute autre opération.

La documentation exhaustive : Le degré de documentation requis en enquête est beaucoup plus élevé qu’en opération. Il faut documenter les versions des logiciels utilisés, la méthodologie employée, chaque étape de l’investigation. Cette rigueur est essentielle pour que les contre-expertises, parfois des années plus tard, puissent être menées correctement.

L’entraînement : le parent pauvre

Un constat frappant émerge de la discussion : en cyber, contrairement aux corps organisés (police, pompiers, militaires), on répond constamment aux incidents mais on s’entraîne peu. Les corps d’intervention traditionnels passent 95% de leur temps à s’entraîner et sont rarement sollicités. En cyber, c’est l’inverse. Ce manque d’entraînement crée un désavantage majeur lors de la survenue d’un incident réel.

L’entraînement régulier à travers des exercices de crise est essentiel, non seulement pour les équipes techniques mais aussi pour les dirigeants. Ceux-ci doivent comprendre pourquoi les informations ne sont pas disponibles immédiatement et apprendre à gérer leur impatience naturelle.

La nécessité d’un travail d’équipe

L’investigation cyber exige de créer des binômes qui apprennent à travailler ensemble, où chacun comprend le langage de l’autre. Christophe compare cela à un orchestre où chaque musicien a sa partition. L’enquêteur et l’ingénieur doivent jouer en concert, avec la coordination d’un chef d’orchestre (le management).

Quand on ajoute les avocats, les équipes de communication et les managers, la complexité augmente encore. Aligner tout le monde et s’assurer qu’on avance dans la bonne direction devient un défi majeur. La cybersécurité n’est plus l’affaire de spécialistes isolés mais concerne désormais toute l’organisation, des dirigeants aux citoyens.

Conclusion : un changement de paradigme

Comme le conclut Christophe, la cybersécurité change de nature. Après des années centrées sur la technologie, l’heure est venue de se concentrer sur la méthode, la culture et la capacité à prendre de bonnes décisions. L’investigation aura un rôle central à jouer dans cette transformation, à condition que les organisations investissent dans la préparation, l’entraînement et la collaboration entre les différents métiers impliqués.

Collaborateurs

Nicolas-Loïc Fortin

Christophe D’ARLHAC

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x705!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Notes

IA

Dumpster fire called OpenClaw

OpenClaw (a.k.a. Moltbot) is everywhere all at once, and a disaster waiting to happen

‘Moltbook’ social media site for AI agents had big security hole, cyber firm Wiz says

MoltBot Skills exploited to distribute 400+ malware packages in days

DIY AI bot farm OpenClaw is a security ‘dumpster fire’

Detecting and Monitoring OpenClaw (clawdbot, moltbot)

Clouds rush to deliver OpenClaw-as-a-service offerings

A sane but extremely bull case on Clawdbot / OpenClaw

OpenClaw: When AI Agents Get Full System Access – Revolution or Security Nightmare?

It’s easy to backdoor OpenClaw, and its skills leak API keys

Using microvm.nix to sandbox Openclaw

OpenClaw Partners with VirusTotal to Secure AI Agent Skill Marketplace

17% of 3rd-Party Add-Ons for OpenClaw Used in Crypto Theft and macOS Malware




Grok

French prosecutors raid X offices, summon Musk over Grok deepfakes

Kevin Beaumont: “The UK’s Information Commissio…” - Cyberplace

Kevin Beaumont: “Reuters reports Grok is still …” - Cyberplace

Kevin Beaumont: “Elon Musk Under Investigation …” - Cyberplace

Spain, Greece weigh teen social media bans, drawing fury from Elon Musk




Vos agents IA sécurisés en -10 sec. sur Mac

You won: Microsoft is walking back Windows 11’s AI overload

C’est prouvé : Le vibe coding va tuer l’open source

Anthropic keeps Claude ad-free

AWS intruder pulled off AI-assisted cloud break-in in 8 mins

n8n’s latest critical flaws bypass December fix

Microsoft sets Copilot agents loose on your OneDrive files

How Industrial Robot Safety Was Written In Blood

Anthropic’s Claude Opus 4.6 uncovers 500 zero-day flaws in open-source code

GitHub - Deso-PK/make-trust-irrelevant: Make trust irrelevant for agentic AI using kernel-enforced authority boundaries.

Malicious VS Code AI Extensions Harvesting Code from 1.5M Devs




Red

Notepad++

Notepad++ Hack Detailed Along With the IoCs and Custom Malware Used

Notepad++ Users, You May Have Been Hacked by China




Energy infrastructure cyberattacks are suddenly in fashion

EDR killer tool uses signed kernel driver from forensic software

Microsoft releases urgent Office patch. Russian-state hackers pounce.

Attackers Using DNS TXT Records in ClickFix Script to Execute Powershell Commands

nmapUnleashed Makes Nmap Scanning More Comfortable and Effective

Google Looker Bugs Allow Cross-Tenant RCE, Data Exfil




Blue

When Cloud Outages Ripple Across the Internet

Microsoft rolls out native Sysmon monitoring in Windows 11

Ukraine tightens controls on Starlink terminals to counter Russian drones

Satya Nadella decides Microsoft needs a quality czar

EDR, Email, and SASE Miss This Entire Class of Browser Attacks




Privacy

GDPR is a failure

California city turns off Flock cameras after company shared data without authorization

Vos données sont déjà en vente… et vous ne vous en rendez même pas compte

Lockdown Mode - La fonction d’Apple qui a mis le FBI en échec

We had sex in a Chinese hotel, then found we had been broadcast to thousands




Souveraineté

Europe shrugs off tariffs, plots to end tech reliance on US

Russian spy satellites have intercepted EU communications satellites

Munich makes digital sovereignty measurable with its own score

Commission trials European open source communications software




Divers et insolites

Bitcoin

Why This Computer Scientist Says All Cryptocurrency Should “Die in a Fire”

Bitcoin gets a zero price target in wake of Burry warning (BTC-USD:Cryptocurrency)




Bitcoin de la “marde” ou de l’or en barre !! :) (Franck Desert)

Flock CEO calls Deflock a “terrorist organization”

Germany warns of Signal account hijacking targeting senior figures

BrianKrebs: “Must-read: How ‘Pink Slime’ Pu…” - Infosec Exchange

We moved fast and broke things. It’s time for a change.




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc