PolySécure Podcast

Épisodes disponibles

5 sur 677

Teknik - Agentic Access - Auth Gets You In. Zero Trust Keeps You Safe - Parce que... c'est l'épisode 0x678!
Parce que… c’est l’épisode 0x678! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Nick Taylor Model Context Protocol MCP Security Best Practices Pomerium Model Context Protocol (MCP) Support Github/Pomerium Github/mcp-app-demo Github/MCP-typescript-template BeyondCorp: A New Approach to Enterprise Security Collaborateurs Nicolas-Loïc Fortin Nick Taylor Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
31:57
--------
31:57
Teknik - Don't Go with the flaw - Parce que... c'est l'épisode 0x6xx!
Parce que… c’est l’épisode 0x6xx! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Don’t Go with the flaw Collaborateurs Nicolas-Loïc Fortin Garance de la Brosse François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
52:49
--------
52:49
PME - Introduction à la sécurité des réseaux sociaux - Parce que... c'est l'épisode 0x676!
Parce que… c’est l’épisode 0x676! Préambule Le son n’est pas à son meilleur. Nous avons improvisé une session avec deux personnes en présence et le reste à distance. Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description L’importance stratégique des réseaux sociaux Les réseaux sociaux occupent aujourd’hui une place primordiale dans l’écosystème des PME et des solopreneurs. Pour certaines entreprises, ils représentent même la source de revenus la plus importante. Contrairement aux sites web traditionnels, les plateformes comme Facebook, Instagram, LinkedIn et TikTok offrent une accessibilité et une facilité de déploiement qui les rendent particulièrement attractives. Comme le souligne l’équipe du podcast, même sans connaissances techniques approfondies, n’importe qui peut créer et gérer une page professionnelle, ce qui explique leur adoption massive. Cependant, cette omniprésence s’accompagne d’une problématique majeure la sécurité de ces comptes est souvent la dernière préoccupation des entreprises. Alors que les organisations commencent à comprendre l’importance de sécuriser leurs comptes bancaires et leurs courriels, les réseaux sociaux sont encore perçus comme des outils de marketing et de communication qui ne nécessiteraient pas le même niveau de protection. Cette perception erronée expose les entreprises à des risques considérables. Le mythe du support client efficace Un des points les plus révélateurs du podcast concerne la réalité du support technique offert par les géants des médias sociaux, notamment Meta (Facebook et Instagram). Contrairement à ce que beaucoup d’utilisateurs pensent, il n’existe pas vraiment de garantie de service professionnel. Julien explique que le support de Meta est en réalité assuré par des firmes sous-traitantes qui n’ont même pas accès au système interne de la plateforme. Ces équipes de support agissent plutôt comme des messagers : ils peuvent observer ce qui se passe sur les comptes, mais ne peuvent poser aucune action directe. Ils doivent eux-mêmes soumettre des demandes aux équipes internes de Meta, qui détiennent les véritables accès. Si ces équipes internes refusent d’intervenir, le support ne peut rien faire. Cette réalité contraste fortement avec l’image que les utilisateurs se font d’un service client réactif et efficace capable de résoudre rapidement les problèmes. Les conséquences dévastatrices d’un piratage Le podcast illustre les conséquences dramatiques d’un compte compromis à travers plusieurs exemples concrets. Lorsqu’un pirate prend le contrôle d’une page et publie du contenu qui enfreint les règles de la plateforme, c’est la page elle-même qui est sanctionnée et bloquée, même si ce n’est pas la faute du propriétaire légitime. Meta ne cherche pas à comprendre qui a effectué les actions problématiques ; elle applique simplement ses règles, laissant l’entreprise victime sans recours. L’exemple du Parc Safari est particulièrement éloquent. En 2023, leur page Facebook comptant 110 000 abonnés a été piratée et fermée. Trois ans plus tard, ils ne sont parvenus à reconstruire qu’une communauté de 5 000 abonnés, perdant ainsi 95 % de leur audience. Cette perte s’est traduite par une chute drastique des demandes de renseignements, passant d’une vingtaine par jour à seulement deux ou trois par mois. Un autre cas mentionné concerne une nutritionniste indépendante qui a perdu sa page de 10 000 abonnés créée en 2016, représentant l’essentiel de sa valeur commerciale, car son activité reposait principalement sur sa présence sur les réseaux sociaux. La responsabilité des utilisateurs Un point important soulevé dans la discussion est que les plateformes comme Meta offrent effectivement tous les outils nécessaires pour se protéger. Leur infrastructure de sécurité interne est solide, et les piratages ne proviennent généralement pas de failles dans leurs systèmes, mais plutôt de la négligence des utilisateurs eux-mêmes. Les entreprises qui ne mettent pas en place les bonnes pratiques de sécurité sont donc responsables de la compromission de leurs comptes. Cependant, cette réalité soulève des questions sur la responsabilité des plateformes. Bien que les outils de protection existent, si les utilisateurs ne les utilisent pas, les entreprises comme Meta ne considèrent pas nécessaire d’offrir un support efficace. Cette approche peut sembler discutable, mais elle reflète la position de ces géants technologiques : si c’est la faute de l’utilisateur, pourquoi investir dans un support coûteux ? Les bonnes pratiques essentielles Le podcast met l’accent sur plusieurs mesures de sécurité fondamentales. La première et la plus importante est l’activation du double facteur d’authentification (MFA) sur tous les comptes de réseaux sociaux, ainsi que sur les adresses courriel qui leur sont associées. Cette couche de sécurité supplémentaire constitue la défense la plus efficace contre les tentatives de piratage. La gestion des accès représente un autre aspect crucial souvent négligé. Les entreprises doivent régulièrement effectuer des revues d’accès pour s’assurer que seules les personnes autorisées peuvent accéder à leurs pages professionnelles. Lorsqu’un employé quitte l’entreprise ou qu’un mandat avec une agence de marketing se termine, il est impératif de retirer immédiatement leurs accès. Le podcast révèle que de nombreuses entreprises n’ont aucun processus interne pour gérer les accès aux réseaux sociaux lors du départ d’un employé, alors qu’elles ont des protocoles bien établis pour récupérer les ordinateurs portables et fermer les comptes Microsoft. Un autre principe fondamental est la gestion appropriée des rôles et permissions. Trop souvent, toutes les personnes qui travaillent sur les réseaux sociaux d’une entreprise reçoivent le statut d’administrateur, alors que ce niveau d’accès devrait être réservé uniquement à ceux qui en ont réellement besoin. Un stagiaire qui publie du contenu et gère les commentaires n’a pas besoin d’être administrateur de la page. Cette attribution excessive de privilèges augmente considérablement la surface d’attaque en cas de compromission d’un compte. Conclusion Ce podcast met en lumière un paradoxe troublant : alors que les réseaux sociaux sont devenus essentiels pour la survie et la croissance de nombreuses PME, leur sécurité reste largement sous-estimée. La perte d’un compte peut avoir des conséquences dévastatrices, tant sur le plan financier que réputationnel, avec des communautés bâties au fil des années qui disparaissent en un instant. La solution ne réside pas dans l’espoir d’un support client providentiel, mais dans l’adoption proactive de bonnes pratiques de sécurité : activation du MFA, gestion rigoureuse des accès, attribution appropriée des rôles, et sauvegarde des codes de secours. Comme le souligne l’équipe, se protéger avant qu’un incident ne survienne est infiniment plus simple, moins coûteux et moins stressant que tenter de récupérer un compte compromis. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm Locaux réels par Moxy Montreal Downtown
--------
18:44
--------
18:44
Actu - 07 décembre 2025 - Parce que... c'est l'épisode 0x675!
Parce que… c’est l’épisode 0x675! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Divers Users scramble as critical open source project left to die Hegseth needs to go to secure messaging school, report says How I discovered a hidden microphone on a Chinese NanoKVM Jeunesse Dutch study finds teen cybercrime is mostly just a phase The WIRED Guide to Digital Opsec for Teens React2Shell Cloudflare blames today’s outage on React2Shell mitigations Admins and defenders gird themselves against maximum-severity server vuln Cybersecurity industry overreacts to React vulnerability, starts panic, burns own house down again Kevin Beaumont: “Similarly attacks are spraying…” - Cyberplace IA Guardails ou l’abence de Securing AI Agents with Information Flow Control (Part I) Google’s vibe coding platform deletes entire drive AI Agents, Enterprise Risk, and the Future of Recovery: Rubrik’s Vision with Dev Rishi AI-Powered Browsers Create New Vulnerabilities Cocoon – Confidential Compute Open Network UnMarker - Les watermarks IA ne servent à rien Quand l’IA écoute et analyse les appels de millions de détenus américains AWS joins Microsoft, Google in the security AI agent race AWS AI Factories: AI-in-a-box for enterprise datacenters Red Living the long game PRC spies Brickstormed their way into critical US networks Browser extensions pushed malware to 4.3M Chrome, Edge users Hackers are Moving to “Living Off the Land” Techniques to Attack Windows Systems Bypassing EDR Velociraptor Misuse, Pt. II: The Eye of the Storm Hackers Using Calendly-Themed Phishing Attack to Steal Google Workspace Account New wave of VPN login attempts targets Palo Alto GlobalProtect portals Threat Landscape Grows Increasingly Dangerous for Manufacturers Blue Decreasing Certificate Lifetimes to 45 Days - Let’s Encrypt Microsoft fixes Windows shortcut flaw exploited for years The built-in Windows security features you should be using GrapheneOS: “GrapheneOS is the only Android…” - GrapheneOS Mastodon Legalize Lawmakers Want To Ban VPNs—And They Have No Idea What They’re Doing Portugal updates cybercrime law to exempt security researchers Legislation would designate ‘critical cyber threat actors,’ direct sanctions against them Souveraineté Porsche outage in Russia serves as a reminder of the risks in connected vehicle security What digital sovereignty? How a Canadian Court is forcing a French company to break French law Privacy India Orders Phone Makers to Pre-Install Government App to Tackle Telecom Fraud India Mandates SIM-Binding: WhatsApp and Telegram Users Must Re-verify Every 6 Hours Canadian police department becomes first to trial body cameras equipped with facial recognition technology The Age-Gated Internet Is Sweeping the US. Activists Are Fighting Back OpenAI loses fight to keep ChatGPT logs secret in copyright case Insolites Kohler’s Encrypted Smart Toilet Camera is not Actually end-to-end Encrypted Twin brothers charged with deleting 96 US govt databases Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc
--------
49:58
--------
49:58
PME - Sensibilisation - Parce que... c'est l'épisode 0x674!
Parce que… c’est l’épisode 0x674! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Dans cet épisode spécial PME du podcast Pause Sécure, les animateurs Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent en profondeur le sujet crucial de la sensibilisation à la cybersécurité. Leur message est clair dès le départ : la sensibilisation va bien au-delà du simple fait de cocher une case dans un rapport de conformité. Il s’agit d’un véritable enjeu stratégique pour la protection des entreprises et de leurs employés. La sensibilisation : un enjeu vital pour les entreprises Les experts rappellent une réalité incontournable : la majorité des brèches de sécurité commencent par l’humain. Dans un contexte où les courriels d’hameçonnage sont de plus en plus sophistiqués, notamment grâce à l’intelligence artificielle, personne n’est à l’abri. Même les professionnels de la cybersécurité admettent avoir déjà été victimes de ces attaques. Le quotidien professionnel, avec sa charge de travail intense, ses multiples sollicitations et la nécessité de cliquer constamment sur des liens, rend la vigilance d’autant plus difficile. Tests d’hameçonnage versus sensibilisation : deux concepts distincts Un point important soulevé durant la discussion concerne la distinction entre les tests d’hameçonnage et la sensibilisation proprement dite. Les tests servent principalement à mesurer la progression des employés dans leur capacité à détecter les courriels malveillants et à obtenir des statistiques sur l’efficacité de la sensibilisation. Cependant, la sensibilisation elle-même constitue un processus beaucoup plus large visant à instiguer un véritable changement de comportement. Transformer les utilisateurs en maillons forts L’un des messages clés du podcast est la nécessité de considérer les employés comme des maillons forts plutôt que des maillons faibles. Les participants en ont assez de cette étiquette négative. Bien formés et sensibilisés, les employés peuvent devenir la dernière ligne de défense capable de détecter ce que les outils techniques n’auraient pas pu attraper. Au-delà de la simple détection, l’objectif est que les employés développent des réflexes de communication : signaler les menaces au service informatique, alerter leurs collègues et contribuer activement à la sécurité collective de l’entreprise. Les indicateurs d’alerte : le sentiment d’urgence Les experts insistent sur un indicateur particulièrement révélateur : le sentiment d’urgence. Qu’il s’agisse d’une fraude du président demandant un virement urgent ou d’un courriel promettant de gagner un voyage à Cancún en cliquant dans les quatre prochaines minutes, ce sentiment d’urgence artificielle devrait immédiatement éveiller les soupçons. Dans un monde où tout va trop vite, il est essentiel d’apprendre à prendre le temps de la réflexion avant d’agir. Éliminer la honte et encourager la communication Un aspect fondamental de la sensibilisation efficace réside dans l’élimination de toute forme de jugement ou de honte. Tout le monde peut tomber dans un piège d’hameçonnage, même les experts. L’important n’est pas de ne jamais se faire avoir, mais plutôt de le reconnaître rapidement et d’en informer immédiatement le service informatique, même si c’est un vendredi après-midi ou qu’il s’avère finalement qu’il n’y avait pas de menace. Les participants racontent l’histoire d’une entreprise où un employé a attendu le lundi pour signaler une attaque survenue le vendredi, permettant ainsi aux pirates d’agir pendant tout le week-end. Les dirigeants et les équipes informatiques doivent créer une culture d’entreprise où les bons comportements sont récompensés et où il n’y a aucune place pour la honte. L’importance de l’adaptation et de la contextualisation La sensibilisation ne peut pas être une approche universelle. Les experts soulignent l’importance de contextualiser la formation en fonction des différents profils d’employés et de leur réalité quotidienne. Par exemple, former des ouvriers d’usine à la fraude du président n’a pas de sens s’ils n’ont pas accès aux systèmes de paiement. En revanche, les sensibiliser aux clés USB trouvées dans le stationnement ou à la sécurité physique est beaucoup plus pertinent. Cette adaptation nécessite une compréhension fine de l’organisation et des rôles de chacun. Le rôle du marketing et des ressources humaines Nicolas Milot fait une proposition audacieuse : la sensibilisation devrait être gérée par les équipes de marketing et de ressources humaines plutôt que uniquement par l’informatique. La raison est simple : créer un test d’hameçonnage efficace ressemble davantage à la création d’une infolettre marketing engageante qu’à un projet technique. Il s’agit de capturer l’attention, de créer de l’engagement et de faire passer un message. Le service informatique reste essentiel pour les aspects techniques, mais le projet dans son ensemble bénéficierait d’une approche plus orientée communication. La dimension personnelle de la sécurité Depuis la pandémie de COVID-19, la frontière entre vie personnelle et professionnelle est devenue floue. Les experts encouragent à profiter de cette réalité en abordant aussi la sécurité personnelle lors des formations. Si les employés apprennent à se protéger contre les fraudes sur les sites de vente en ligne, les QR codes malveillants ou autres menaces de leur vie quotidienne, ils appliqueront naturellement ces réflexes dans leur contexte professionnel. Les êtres humains sont fondamentalement égoïstes, et en leur montrant comment se protéger personnellement, on les rend plus réceptifs au message global de sécurité. Une approche positive et même humoristique Enfin, les participants insistent sur l’importance de rendre la sensibilisation engageante, voire amusante. La cybersécurité ne doit pas être perçue comme une contrainte pénible, mais comme une partie intégrante de la vie professionnelle abordée avec énergie positive. Utiliser l’humour, célébrer les bons comportements et créer des moments d’apprentissage plaisants permet une meilleure rétention de l’information et une adoption plus naturelle des bonnes pratiques. Conclusion La sensibilisation à la cybersécurité représente un investissement rentable qui ne coûte pas nécessairement très cher, mais qui peut considérablement améliorer la posture de sécurité d’une organisation. En donnant aux employés les outils, le temps et surtout la confiance nécessaires pour devenir des acteurs actifs de la sécurité, les entreprises se dotent d’une défense humaine efficace, capable de compléter leurs solutions techniques. Le message est clair : transformons nos employés en superstars de la sécurité plutôt qu’en suspects potentiels. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
20:54
--------
20:54