PolySécure Podcast cover art

PolySécure Podcast

PolySécure Podcast

Written by: Nicolas-Loïc Fortin et tous les collaborateurs
Listen for free

About this listen

 Podcast francophone sur la cybersécurité. Pour professionels et curieux.CC BY-NC-ND 4.0
Episodes
  • SéQCure - Les initiatives du gouvernement du Québec en cybersécurité (Yvan Fournier) - Parce que... c'est l'épisode 0x701!

    SéQCure - Les initiatives du gouvernement du Québec en cybersécurité (Yvan Fournier) - Parce que... c'est l'épisode 0x701!
    Jan 28 2026
    Parce que… c’est l’épisode 0x701! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 202614 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 202619 septembre 2026 - Bsides Montréal Description Les initiatives du gouvernement du Québec en cybersécurité Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité. Un parcours technique impressionnant Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique. Les 15 mesures obligatoires : une base solide En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics. Une surveillance centralisée 24/7/365 L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence. Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur. Le regroupement RHI : une révolution organisationnelle Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble. L’automatisation et la réactivité L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses. Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de ...
    Show More Show Less
    35 mins
  • Grok selon Cyber Citoyen et Polysécure - Parce que... c'est l'épisode 0x700!

    Grok selon Cyber Citoyen et Polysécure - Parce que... c'est l'épisode 0x700!
    Jan 27 2026
    Parce que… c’est l’épisode 0x700! Shameless plug 29 janvier 2026 - The Coming AI Hackers25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 202614 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 202619 septembre 2026 - Bsides Montréal Description Introduction Ce 12e épisode de collaboration entre Cyber Citoyen et Polysécure marque également la première année de partenariat entre les animateurs. Nicolas, Catherine Dupont-Gagnon et Samuel Harper abordent deux sujets majeurs d’actualité en cybersécurité : la controverse autour de Grok et les développements récents concernant les centres de fraude au Cambodge. Grok : une plateforme problématique Le problème de la pornographie juvénile générée par IA Le premier sujet abordé concerne Grok, l’outil d’intelligence artificielle de X (anciennement Twitter), qui soulève de graves préoccupations en matière de pornographie juvénile générée par IA. Les animateurs dénoncent l’hypocrisie apparente de ceux qui prétendent lutter contre ce fléau tout en tolérant l’existence de cette plateforme. Seuls quelques pays, notamment l’Indonésie et la Malaisie en Asie, ont officiellement bloqué Grok. L’Europe reste relativement passive, l’Angleterre mène une enquête, et les États-Unis ainsi que le Canada n’ont pris que des mesures limitées. Elon Musk a même dénoncé cette situation comme de la « censure », un choix de bataille que les animateurs trouvent particulièrement troublant. Les cas choquants Le podcast relate des histoires tragiques, notamment celle d’une jeune victime d’un incendie dont la photo mémoriale a été utilisée par des utilisateurs de X pour demander à Grok de générer des images pornographiques. Ces cas se multiplient, particulièrement lorsque des visages féminins ou de jeunes filles apparaissent en ligne. Les mesures insuffisantes Les premières barrières mises en place par Musk consistaient à limiter cette fonctionnalité aux comptes payants, créant des situations absurdes où l’outil proposait de passer au forfait premium pour accéder à ces fonctionnalités illégales. Les filtres sont facilement contournables, contrairement à d’autres plateformes comme Google, MidJourney ou ChatGPT qui ont mis en place des filtres stricts dès le départ. L’inaction des grandes entreprises Apple et Google n’ont pas retiré l’application de leurs boutiques, malgré les violations apparentes de leurs conditions d’utilisation. L’administration Trump actuelle montre une tolérance extrême envers ce type de contenu, et les tentatives européennes d’imposer des amendes ont été contrecarrées par des représailles, incluant la révocation de visas et le placement sur des listes de sanctions. Un problème sociétal plus large Les animateurs soulignent que le problème dépasse Grok. Craig Silverman, journaliste spécialisé dans la fraude en ligne, a découvert 25 000 publicités sur Meta en 2025 pour des applications de « deepnude ». La facilité d’accès à ces outils, comparativement à l’époque où il fallait maîtriser Photoshop, amplifie considérablement le problème. La génération instantanée d’images ne laisse pas le temps de réfléchir aux conséquences, facilitant les actes impulsifs de revenge porn et de harcèlement. Les centres de fraude au Cambodge Le contexte Le deuxième sujet porte sur les développements majeurs concernant les centres de fraude au Cambodge et au Myanmar. Ces « scam compounds » sont des centres où des personnes sont retenues en esclavage pour commettre des fraudes en ligne. Pendant la pandémie, d’anciens casinos se sont reconvertis en centres de fraude, représentant jusqu’à 60 % du PIB cambodgien. L’arrestation de Chen Ji Récemment, Chen Ji, un magnat de cette industrie membre du Prince Group (un conglomérat incluant une compagnie aérienne, des projets immobiliers et des casinos), a été arrêté au Cambodge et extradé vers la Chine. Cette arrestation est surprenante car Chen Ji avait des liens étroits avec le pouvoir cambodgien. En 2019, le premier ministre avait même refusé de l’extrader malgré les demandes chinoises. Les développements récents Suite à cette arrestation, plusieurs centres se sont vidés. À certains endroits, les gérants ont simplement ouvert les portes et laissé partir les prisonniers. Des centaines de ressortissants chinois se sont retrouvés devant l’ambassade à Phnom Penh, cherchant à rentrer chez eux. Des milliers de personnes sont dans les rues en situation de crise, certains ayant été retenus pendant des années après avoir perdu leur argent au casino et s’être fait confisquer leur passeport. Une répression sélective Plusieurs hauts gradés de la police et un général du ministère de l’immigration ont été démis de leurs fonctions ...
    Show More Show Less
    59 mins
  • Actu - 25 janvier 2026 - Parce que... c'est l'épisode 0x699!

    Actu - 25 janvier 2026 - Parce que... c'est l'épisode 0x699!
    Jan 26 2026
    Parce que… c’est l’épisode 0x699! Shameless plug 29 janvier 2026 - The Coming AI Hackers25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 202614 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 202619 septembre 2026 - Bsides Montréal Notes IA Le ciel nous tombe sur la tête New Study Shows GPT-5.2 Can Reliably Develop Zero-Day Exploits at ScaleAn AI wrote VoidLink, the cloud-targeting Linux malwareAIs are Getting Better at Finding and Exploiting Internet VulnerabilitiesAI-powered cyberattack kits are ‘just a matter of time’ Fail West Midlands copper chief cops it after Copilot copped outWhen two years of academic work vanished with a single click L’humain dans tout ça Could ChatGPT Convince You to Buy Something?Why AI Keeps Falling for Prompt Injection AttacksGoogle Gemini Prompt Injection Flaw Exposed Private Calendar Data via Malicious InvitesWhat an AI-Written Honeypot Taught Us About Trusting Machines Microsoft & Anthropic MCP Servers at Risk of RCE, Cloud Takeoversapply_chat_template() Is the Safety SwitchUkraine’s new defence minister vows data-driven overhaul of militaryAI Agents ‘Perilous’ for Secure Apps Such as Signal, Whittaker SayscURL removes bug bountiesNadella talks AI sovereignty at the World Economic ForumWikipedia volunteers spent years cataloging AI tells. Now there’s a plugin to avoid them. Souveraineté European Open Digital EcosystemsWhat it’s like to be banned from the US for fighting online hateEurope wants to end its dangerous reliance on US internet technology Red A scammer’s blueprint: How cybercriminals plot to rob a target in a weekShostack + Associates > Threat Advisory: GPS Attacks [SA-26-01]Risky Chinese Electric Buses Spark Aussie Gov’t Review Blue Congressional appropriators move to extend information-sharing law, fund CISAIPv6 is not insecure because it lacks a NATMicrosoft Teams External Domain Anomalies Allow Defenders to Detect Attackers at EarliestHealthy Security Cultures Thrive on Risk Reporting Privacy Starmer stares down social media ban barrel in latest U-turnEurope’s GDPR cops dished out €1.2B in fines last yearMicrosoft Gave FBI BitLocker Encryption Keys, Exposing Privacy FlawShostack + Associates > Shostack + Friends Blog > Bitlocker, the FBI, and RiskTikTok Is Now Collecting Even More Data About Its Users. Here Are the 3 Biggest ChangesSocial Analyzer - Le détective du web qui scanne vos profils sociaux (OSINT)iCloud with Advanced Data Protection doesn’t delete your files Divers CISA won’t attend infosec industry’s biggest conferenceYou Got Phished? Of Course! You’re Human…Internet Voting is Too Insecure for Use in ElectionsWork-from-office mandate? Expect top talent turnover, culture rot Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure incLocaux réels par Intrasecure inc
    Show More Show Less
    1 hr
No reviews yet