Ce deuxième épisode du podcast technique avec Charles F. Hamilton explore en profondeur les techniques d’évasion des solutions EDR (Endpoint Detection and Response) et les stratégies que les red teamers peuvent utiliser pour contourner ces systèmes de détection. La discussion révèle que malgré les avancées technologiques, les EDR restent vulnérables à des techniques relativement simples lorsqu’on comprend leurs mécanismes de détection.

Un exemple concret illustre les faiblesses des EDR modernes : un exécutable malveillant qui communique avec internet tout en effectuant de la reconnaissance sur le réseau interne. Les EDR “top tier” détectent généralement cette activité anormale grâce au machine learning, identifiant qu’un processus communique simultanément vers l’extérieur et vers le réseau local via SMB, Kerberos ou d’autres protocoles.

La solution de contournement est élégante : utiliser les named pipes de Windows. Cette fonctionnalité native permet la communication inter-processus. En séparant les tâches entre deux processus indépendants - l’un gérant les communications externes, l’autre la reconnaissance interne - et en les faisant communiquer via named pipes, on brise complètement la chaîne de détection du machine learning. Cette technique, enseignée depuis 8 ans dans les formations red team, demeure efficace.

Paradoxalement, malgré leurs prétentions, les EDR fonctionnent encore largement sur des principes de signatures. La différence avec les antivirus traditionnels réside davantage dans où ils appliquent cette détection - non seulement sur le disque, mais aussi en mémoire et au niveau comportemental. Le compromis entre faux positifs et détection reste délicat : générer 1500 alertes par jour conduirait à l’“alert fatigue” et rendrait le système inutile.

Pour éviter la détection statique, l’obfuscation doit être réfléchie. Un piège courant : générer des variables aléatoires de longueur fixe (par exemple, toujours 16 caractères). Les règles Yara peuvent détecter ce pattern. La solution consiste à introduire de la randomness dans le random : utiliser des longueurs variables (entre 6 et 22 caractères) et concaténer plusieurs mots du dictionnaire plutôt que des chaînes purement aléatoires.

L’obfuscation ne s’arrête pas à l’exécution. Même après déchiffrement en mémoire, des artefacts subsistent. Par exemple, Cobalt Strike laisse des patterns reconnaissables dans les premiers bytes du shellcode. La stratégie recommandée utilise plusieurs threads d’exécution : un pour déchiffrer et lancer le shellcode, un autre pour nettoyer la mémoire des variables intermédiaires. Bien que les EDR ne scannent pas la mémoire en continu (ce serait trop coûteux en performance), ces artefacts restent détectables.

Microsoft a introduit les PPL pour protéger les processus critiques comme LSASS. Même avec des privilèges système, un attaquant ne peut accéder à ces processus. Le problème : le kernel reste le point de confiance ultime. Une fois qu’un attaquant obtient l’exécution de code au niveau kernel - via des drivers vulnérables par exemple - toutes les protections PPL tombent.

La technique “EDR Freeze” illustre cette réalité : en utilisant ProcDump (un outil Windows légitime), on peut créer un dump mémoire d’un processus EDR, ce qui le met en pause. En arrêtant ensuite ProcDump avant qu’il ne termine, le processus EDR reste indéfiniment en pause, sans générer d’alerte de tampering puisqu’il n’a pas été modifié.

Le passage au cloud déplace simplement les problèmes. Les attaques traditionnelles visaient le “domain admin” en local ; aujourd’hui, avec l’authentification multifacteur, les attaquants utilisent le device code phishing ou des applications tierces malveillantes pour obtenir des tokens OAuth valides. Une fois ces tokens obtenus, l’escalade vers “global admin” devient possible.

La difficulté : aucun EDR ne peut surveiller ces attaques puisqu’elles se déroulent depuis la machine de l’attaquant. La seule visibilité provient de ce que Microsoft accepte de partager, souvent derrière des paywalls supplémentaires. Les entreprises ont passé 20 ans à maîtriser Active Directory et les outils de sécurité on-premise, mais repartent de zéro dans le cloud avec des outils immatures.

Plusieurs mesures basiques restent sous-utilisées :

Ces mesures élimineraient la majorité des attaques “commodity malware” qui fonctionnent uniquement parce que les entreprises n’ont pas fermé ces vecteurs d’accès basiques.

Les EDR excellent contre le malware de masse mais peinent face aux attaques ciblées. L’IA et les agents ne remplaceront pas les analystes humains capables de :

Les NDR/XDR commencent à combler cette lacune, mais restent embryonnaires. La détection réseau devrait identifier :

La sophistication des attaquants reste limitée car ils n’en ont pas encore besoin - trop d’environnements demeurent mal configurés. Les entreprises investissent massivement dans les EDR mais négligent les configurations de base et le facteur humain. L’histoire se répète avec le cloud et l’IA : plutôt que de résoudre les problèmes fondamentaux, on déplace la responsabilité vers de nouveaux outils. La vraie sécurité nécessite une compréhension technique approfondie, des configurations rigoureuses, et surtout, des analystes compétents pour interpréter les signaux et raconter l’histoire des incidents.

Ce deuxième épisode sur la Cyber Threat Intelligence (CTI) réunit Nicolas, Alexis Dorais-Joncas et Jordan Theodore pour approfondir les mécanismes de production et de consommation de l’intelligence sur les menaces. La conversation explore les défis techniques, organisationnels et éthiques auxquels font face les professionnels de la sécurité dans ce domaine en constante évolution.

Alexis établit une distinction fondamentale entre deux « clusters » dans l’écosystème de la CTI. D’un côté, les producteurs : entreprises de réponse d’incident et fournisseurs de services de cybersécurité comme CrowdStrike, Microsoft, Kaspersky ou Proofpoint, qui observent directement les attaques chez leurs clients et génèrent des rapports détaillés. De l’autre, les consommateurs : organisations qui utilisent ces rapports pour comprendre leurs risques et se protéger contre les attaques potentielles.

Cette dichotomie se reflète même dans les rôles professionnels. Un analyste CTI chez un vendeur dispose d’une visibilité globale sur des milliers de clients, tandis qu’un analyste en entreprise se concentre sur son propre environnement. Les mindsets et les résultats sont fondamentalement différents, bien que les compétences de base soient similaires.

Les chiffres partagés par Alexis illustrent l’échelle impressionnante du problème. Chez ESET, environ 300 000 fichiers exécutables malveillants ou suspects uniques arrivent chaque jour. Chez Proofpoint, ce sont 3,5 milliards d’emails quotidiens, avec 50 millions de pièces jointes et 90 millions d’URL à analyser. Face à ce déluge, les équipes de recherche doivent développer des heuristiques sophistiquées et des règles de tri pour identifier ce qui mérite une attention particulière.

Le cœur du travail de CTI réside dans la capacité à regrouper des attaques apparemment distinctes en « clusters » attribuables à un même acteur. Alexis explique que cette attribution repose sur la recherche d’éléments uniques ou de combinaisons uniques d’éléments observables. L’exemple du certificat SSL avec une coquille typographique illustre parfaitement ce concept : un seul détail peut permettre de lier des dizaines de domaines entre eux et de découvrir toute une infrastructure d’attaque.

Les indicateurs utilisés pour le clustering sont multiples : similarité de code source, exploits modifiés, choix d’hébergeurs et de registraires, mais aussi des éléments plus « soft » comme le ciblage. Un professeur spécialisé sur l’Iran qui se fait soudainement cibler peut indiquer l’implication de groupes iraniens, même si les indicateurs techniques sont nouveaux.

Alexis révèle que 95% ou plus de la CTI produite par les vendeurs n’est jamais rendue publique. L’information suit une cascade : d’abord partagée uniquement avec les clients directement ciblés, puis avec l’ensemble des clients payants, et enfin, pour une fraction seulement, avec le public. Cette dernière étape implique des choix délicats : révéler certains indicateurs peut aider la défense, mais aussi alerter l’attaquant et compromettre la capacité à le tracker à l’avenir.

Un point de frustration majeur émerge concernant la couverture médiatique et les analyses secondaires. Alexis estime que 80% de la couverture secondaire n’apporte aucune valeur ajoutée, 5% apporte une vraie perspective informée, et 10-15% est carrément nuisible en véhiculant des erreurs ou des exagérations. Cette désinformation force les analystes en entreprise à perdre des journées entières à remonter aux sources originales et à désamorcer les inquiétudes injustifiées des dirigeants.

Bien qu’il existe une certaine compétition entre vendeurs pour être le premier à publier sur une nouvelle menace, Alexis nuance fortement ce phénomène. La collaboration informelle entre analystes de différentes entreprises est courante. De plus, même si un concurrent publie en premier, il reste possible d’apporter une valeur complémentaire en confirmant les découvertes depuis une perspective différente ou en ajoutant des observations uniques. L’exemple de Kaspersky et Proofpoint sur un APT illustre comment deux entreprises peuvent enrichir mutuellement la compréhension d’une menace.

L’attribution géopolitique des attaques s’avère principalement pertinente pour les grandes organisations et les entités gouvernementales ciblées de manière spécifique. Pour la majorité des entreprises victimes d’attaques opportunistes, savoir qu’un ransomware vient de tel ou tel groupe importe peu. L’essentiel est de comprendre les techniques d’attaque et les prochaines étapes possibles. Alexis souligne qu’environ 95% des attaques ciblées chez Proofpoint touchent moins de 5 clients avec moins de 60 emails – un volume extrêmement faible qui contraste avec les attaques opportunistes massives.

Un problème persistant dans l’industrie concerne la prolifération de noms différents pour les mêmes groupes. APT28 peut être appelé Fancy Bear, Pawn Storm, TA422, ou une quinzaine d’autres noms selon le vendeur. Cette situation s’explique par les différences de visibilité : Proofpoint observe l’infrastructure email, tandis qu’un EDR voit le comportement post-compromission. Chaque vendeur nomme ce qu’il peut observer, créant une confusion considérable pour les praticiens en réponse d’incident.

Alexis confirme cependant qu’aucune pression marketing n’a jamais été exercée pour créer des noms propriétaires, et qu’il est inacceptable de renommer un groupe découvert par un autre sans l’avoir observé soi-même.

Ce podcast met en lumière la complexité et les nuances du monde de la CTI. Entre volumes de données massifs, décisions éthiques sur ce qu’il faut publier, collaboration et compétition entre acteurs, et défis d’attribution, les professionnels naviguent dans un écosystème en constante évolution. La clé réside dans la compréhension que chaque vendeur apporte une perspective unique basée sur sa visibilité spécifique, et que la véritable valeur de la CTI se trouve dans la capacité à corréler ces différentes sources pour obtenir une image complète des menaces.

Nous abordons des sujets sensibles, notamment la dépression et le suicide. Si vous y êtes sensible, nous vous conseillons de sauter cet épisode. Si vous avez besoin d’aide, vous pouvez consulter les ressources mentionnées plus bas, parler à votre entourage ou nous écrire pour que nous puissions vous diriger des ressources pour vous aider.

Dans cet épisode du podcast Davy Adam partage avec une grande transparence son expérience d’un épisode dépressif majeur vécu durant l’été 2024. Ce témoignage poignant offre des enseignements précieux pour quiconque pourrait vivre ou accompagner une telle épreuve.

Davy, 48 ans, se considérait comme quelqu’un de solide. Ancien alcoolique sobre depuis 21 ans, ayant surmonté de nombreuses épreuves dont le décès de sa mère à 20 ans, il pensait que le pire était derrière lui. Pourtant, cet été, il a vécu ce qu’il n’avait pas anticipé : une dépression nerveuse suite à un cumul de changements majeurs simultanés – déménagement en Bretagne à 600 km de chez lui, séparation après 12 ans de vie commune, et changement radical de cadre de vie.

Le premier enseignement crucial de son témoignage concerne les signes avant-coureurs qu’il n’a pas su entendre. Pendant six mois avant le déménagement, Davy ressentait un stress constant, des maux de ventre persistants, et surtout une sensation d’être « pris au piège ». Dès la signature du compromis de vente, il regrettait déjà sa décision mais se convainquait que c’était normal. Même lors des visites de biens immobiliers, il pleurait le soir à l’hôtel – lui qui avait mis 10 ans de thérapie à pouvoir pleurer à nouveau.

Cette sensation d’être pris au piège est un symptôme typique qu’il identifie aujourd’hui comme un signal d’alarme majeur : « Dès que vous avez la sensation d’être pris au piège dans une situation où vous avez encore le choix, c’est qu’il y a un problème. » Même pendant le processus d’achat, il espérait secrètement que la banque refuse le crédit.

Le jour du déménagement, arrivé seul dans sa nouvelle maison avec son chien après six heures de route par 40 degrés, Davy s’est retrouvé à minuit entouré de cartons, sans eau chaude fonctionnelle. C’est là que tout s’est effondré. Dès le lendemain matin, il se réveillait avec la sensation de se noyer, la respiration bloquée, le ventre noué. En huit jours, il a perdu 5 kilos (après avoir déjà perdu 26 kilos l’année précédente). Il pleurait dans les rayons du supermarché, incapable de choisir quoi acheter.

Davy explique avec clarté ce qu’est biologiquement une dépression : le cerveau se coupe du corps, tous les récepteurs liés au plaisir, au sommeil, à la faim et à la libido cessent de fonctionner. Ce n’est pas une question de volonté – c’est une cassure chimique. Il réfute fermement l’idée simpliste du « bouge-toi le cul » : « Si c’était une question de volonté, ça aurait duré trois jours pour moi. »

Les symptômes qu’il a vécus incluaient une perte d’appétit complète, un niveau d’anxiété extrême, une tristesse profonde, et surtout l’incapacité de voir une issue. Il partage un moment bouleversant où, voulant acheter une poêle au supermarché, une partie de son esprit lui disait : « Ça ne sert à rien, tu vas te suicider. » Un autre jour, il a mis 40 minutes à simplement se lever pour aller aux toilettes, son corps ne répondant plus aux commandes de son cerveau.

Après seulement deux jours dans cet état, Davy a fait ce qu’il considère aujourd’hui comme son meilleur réflexe : demander de l’aide. Il a contacté son entourage, posté sur LinkedIn, et s’est rendu aux urgences psychiatriques. « C’est une situation dont on ne se sortira pas tout seul. Tous les psys vous le diront, tous ceux qui sont passés par là vous le diront, vous ne pouvez pas vous en sortir seul, c’est beaucoup trop gros. »

Les urgences de Quimper l’ont pris en charge rapidement et avec bienveillance, lui prescrivant des antidépresseurs. Il insiste sur plusieurs points concernant ces médicaments : ils ne guérissent pas la dépression, mais réparent la machine biologique en permettant au cerveau de reproduire la sérotonine et autres neurotransmetteurs essentiels. Ils mettent 10 à 15 jours à faire effet (dans son cas, quelques jours avec beaucoup de chance), et peuvent d’abord avoir l’effet inverse. Surtout, ils ne fonctionnent pas seuls – ils doivent être accompagnés d’un travail thérapeutique.

Face à l’impossibilité de rester en Bretagne, Davy a pris la décision difficile mais salvatrice de tout arrêter et de rentrer à Paris. Cette décision lui a coûté environ 50 000 euros – toutes ses économies de plusieurs années. Mais comme il le dit avec sagesse : « C’est que de l’argent. Ça se regagne. » Il affirme que s’il était resté, il n’aurait probablement pas survécu.

Plusieurs éléments l’ont aidé dans son processus de guérison. D’abord, l’activité physique – même si c’est très difficile quand on est en dépression. En Bretagne, il marchait 10 km par jour avec son chien, ce qui lui permettait de quitter la maison et de se reconnecter à son corps. Ensuite, le fait de ne pas rester seul : sa sœur l’a accueilli, et le simple fait de ranger des Playmobil avec elle a remis sa « machine » en marche.

La méditation de pleine conscience et les exercices de cohérence cardiaque ont également joué un rôle important, l’aidant à se reconnecter à son corps et à sortir de sa tête. Il recommande de se concentrer sur le présent plutôt que de se projeter dans un futur qui semble impossible.

Davy suit une thérapie depuis 10 ans avec la même thérapeute, et ce travail l’a « sauvé la vie au sens littéral du terme à plusieurs reprises ». Durant sa dépression, il a intensifié les séances, ce qui l’a aidé à comprendre ce qui s’était passé et surtout à envisager un après. Il encourage vivement à se faire accompagner par un professionnel qualifié – psychiatre ou psychothérapeute.

Quatre mois après le début de l’épisode (juillet-octobre), Davy va mieux mais n’est pas sorti d’affaire. Un épisode dépressif prend en moyenne six mois pour en sortir. Contrairement à ce qu’il pensait initialement, c’est lui qui demande maintenant à son psychiatre de continuer les antidépresseurs, conscient de sa fragilité persistante face aux défis qui l’attendent (vente de la maison, nouveau déménagement).

Il partage une vérité importante : la fragilité demeure. Une fois qu’on a vécu un épisode dépressif, on vivra avec cette expérience toute sa vie. Mais on apprend à vivre avec, à reconnaître les signaux, et à demander de l’aide avant de sombrer à nouveau.

Le message central de Davy est clair : même si on ne voit pas la sortie quand on est au fond, elle existe. Il affirme aujourd’hui, depuis « l’autre côté », qu’il y a une sortie possible. Son conseil est simple mais vital : « Allez chercher de l’aide. » Que ce soit auprès de proches, de professionnels, ou via des numéros d’urgence, il ne faut surtout pas rester seul face à la dépression.

Ce témoignage rappelle que la dépression touche 20% de la population mondiale à un moment de leur vie, qu’elle n’est pas une question de force ou de faiblesse, et qu’elle nécessite un accompagnement médical et thérapeutique. Davy conclut avec son mantra personnel : « Je fais ce que je peux avec ce que j’ai. Et c’est déjà pas mal. »

Dans cet épisode du podcast PME, l’équipe composée de Julien Teste-Harnois, Cyndie Feltz, Nicolas Milot et Dominique Derrier explore une problématique contemporaine majeure : le partage excessif d’informations sur les réseaux sociaux et ses implications pour les individus et les entreprises. La discussion met en lumière comment le mélange entre vie personnelle et professionnelle sur les plateformes sociales peut créer des vulnérabilités significatives en matière de sécurité.

Les intervenants soulignent d’abord que les plateformes comme Facebook encouragent activement les utilisateurs à partager une quantité considérable d’informations personnelles. Bien que ces plateformes proposent de renseigner la ville de résidence, l’école secondaire fréquentée, l’école primaire, les liens familiaux et bien d’autres détails, il ne s’agit que de suggestions. Les utilisateurs ne sont nullement obligés de compléter ces champs, surtout s’ils configurent leur profil en mode public.

La recommandation est claire : se limiter au strict minimum, soit nom, prénom et éventuellement la ville. Tout le reste n’apporte que peu de valeur réelle tout en augmentant considérablement l’exposition aux risques.

La logique s’applique également au niveau corporatif. Sur LinkedIn, par exemple, il existe une pression implicite à tout partager. L’équipe illustre ce point avec un exemple parlant : annoncer que toute l’équipe part au chalet pour un team building peut sembler anodin et même positif pour l’image de l’entreprise. Cependant, cette annonce révèle publiquement que les bureaux sont inoccupés pendant plusieurs jours.

Si l’entreprise possède un bureau physique où des documents confidentiels pourraient traîner, cette information devient une invitation ouverte aux personnes mal intentionnées. Le conseil des experts est pragmatique : partagez ces moments après coup, pas en temps réel. Publiez vos belles photos et vos témoignages d’événement réussi une fois que tout le monde est de retour au bureau.

Un point crucial soulevé concerne l’environnement capturé dans les photos et vidéos. Les participants rappellent qu’il faut faire attention à ce qui apparaît en arrière-plan : éviter de publier des photos où le bilan financier de l’entreprise est visible, ou encore ces fameux post-it avec des mots de passe collés sur les écrans. Ces détails apparemment anodins peuvent fournir des informations précieuses à des acteurs malveillants.

Le podcast aborde également un phénomène fréquent : les employés qui affichent leur employeur sur Facebook puis commentent publiquement sur des sujets controversés, qu’ils soient politiques ou autres. Cette association directe entre opinions personnelles et entreprise peut nuire significativement à la réputation de celle-ci. Le problème s’amplifie lorsqu’il s’agit du propriétaire de l’entreprise lui-même.

Julien partage une anecdote marquante survenue récemment : une influenceuse australienne a montré son billet d’avion en direct sur TikTok devant ses centaines de milliers d’abonnés. Un spectateur a capturé l’écran, récupéré le numéro de réservation et annulé son vol. L’influenceuse s’est retrouvée bloquée à l’aéroport, contrainte de racheter un billet et de décaler son voyage. Cet incident illustre parfaitement comment un partage innocent peut avoir des conséquences immédiates et coûteuses.

Nicolas, dans son expertise en tests de pénétration, explique que la phase de reconnaissance représente une part importante du travail. Les réseaux sociaux constituent une mine d’or pour les attaquants qui cherchent la meilleure porte d’entrée. Les informations partagées publiquement facilitent considérablement le social engineering et permettent de construire des prétextes crédibles pour tromper les employés et accéder aux systèmes ou locaux d’une entreprise.

Un conseil particulièrement astucieux concerne les questions de sécurité. Les participants révèlent que personne ne vérifie réellement si vos réponses sont exactes. Plutôt que d’utiliser le véritable nom de votre chien ou votre école primaire – informations souvent publiques sur Facebook – il est préférable de créer des réponses complètement aléatoires et de les stocker dans un gestionnaire de mots de passe. Cette approche rend inutile toute tentative de récupération d’informations via les réseaux sociaux.

L’équipe recommande aux directions d’établir des lignes directrices claires pour les employés souhaitant partager des contenus liés à l’entreprise. Il vaut mieux être proactif et définir ce qui est acceptable plutôt que de réagir après coup. De même, les employés devraient systématiquement demander l’autorisation avant de publier du contenu corporatif.

Un point souvent négligé concerne les offres d’emploi : il n’est pas nécessaire de détailler toutes les versions de logiciels et de faire l’inventaire complet des systèmes de l’entreprise. De même, ceux qui partagent leur CV en ligne devraient retirer leurs coordonnées personnelles complètes pour éviter de faciliter le travail des escrocs.

Beaucoup d’utilisateurs ignorent que LinkedIn possède une section “coordonnées” souvent accessible par leur réseau. Certains y inscrivent leur adresse personnelle, leur courriel personnel et leur numéro de téléphone sans réaliser que ces informations sont visibles par des centaines, voire des milliers de connexions, dont ils ne connaissent même pas l’identité réelle.

L’équipe conclut en soulignant l’importance d’être conscient de son environnement, particulièrement en visioconférence. Les exemples cocasses du confinement, avec des personnes se promenant nues en arrière-plan ou se levant en sous-vêtements, démontrent ce manque de conscience. La solution simple : s’installer dos à un mur et s’habiller correctement.

Le message principal de ce podcast est un appel à la réflexion avant la publication. Dans un monde où les algorithmes nous poussent à partager en temps réel pour maximiser l’engagement, il faut prendre deux secondes pour se demander : est-ce vraiment urgent de diffuser cette information ? Qui pourrait l’utiliser à mauvais escient ? Cette pause réflexive peut prévenir de nombreux problèmes de sécurité tant personnels que professionnels.

Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée.

L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité.

La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”.

Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment).

La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation.

L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler.

Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret.

La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude.

Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout.

Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ?

L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate bullshit” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion.

Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques.

L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant.

Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité :

Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où.

La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle.

L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer.

La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur.

La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés.

Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain.

Dans cet épisode spécial PME du podcast PoSécure, l’équipe composée de Dominique Derrier, Nicolas Milot, Cyndie Feltz et Julien Teste-Harnois aborde un sujet crucial mais souvent négligé dans les petites et moyennes entreprises : la gestion du cycle de vie des identités sur les réseaux sociaux. Cette discussion met en lumière les enjeux du onboarding (intégration) et de l’offboarding (départ) des employés, particulièrement en ce qui concerne leurs accès aux plateformes sociales de l’entreprise.

L’un des constats les plus frappants soulevés durant la discussion est que les réseaux sociaux sont systématiquement oubliés lors du départ d’un employé. Contrairement aux équipements physiques comme les ordinateurs portables ou les souris que l’on pense à récupérer, les accès aux comptes sociaux de l’entreprise ne font généralement pas partie des listes de vérification de départ. Cette négligence peut avoir des conséquences graves pour l’organisation.

Le panel souligne qu’il est essentiel d’intégrer les réseaux sociaux dans les processus d’offboarding existants. Lorsqu’un employé du marketing qui avait accès à la page Facebook de l’entreprise quitte son poste, il faut impérativement lui retirer ces accès. Plus problématique encore, si cette personne était la seule à détenir les droits d’administrateur et qu’elle part en mauvais termes, l’entreprise peut se retrouver complètement verrouillée hors de ses propres comptes.

Les intervenants partagent plusieurs scénarios catastrophiques qui surviennent régulièrement. Une entreprise peut réaliser six mois après le départ d’un employé que celui-ci était le seul administrateur d’un compte social important. Si les relations sont cordiales, il est parfois possible de le recontacter pour qu’il transfère les accès. Cependant, en cas de départ conflictuel, l’entreprise peut perdre définitivement l’accès à ses propres pages et communautés.

Cyndie Feltz mentionne notamment l’exemple de LinkedIn où, si l’administrateur refuse de coopérer, la page est perdue à jamais. Cette situation est d’autant plus préoccupante que les actifs numériques, incluant les communautés bâties sur les réseaux sociaux, représentent aujourd’hui une valeur considérable pour les entreprises, particulièrement lors d’acquisitions.

Au-delà de l’aspect sécuritaire, Nicolas Milot attire l’attention sur l’impact financier de ces négligences. Combien d’entreprises continuent de payer des licences pour d’anciens employés dont les accès n’ont jamais été révoqués ? Ces coûts récurrents s’accumulent mois après mois sans que personne ne s’en rende compte, représentant une perte financière évitable avec de simples processus de revue.

La discussion met en évidence les défis spécifiques auxquels font face les petites et moyennes entreprises. Dans ces structures, tout le monde met la main à la pâte, et il y a une volonté naturelle de donner rapidement accès aux nouveaux employés pour qu’ils puissent être productifs. Cette urgence opérationnelle conduit souvent à ouvrir trop de portes sans documentation adéquate.

Le problème est aggravé dans les PME par les acquisitions fréquentes et les changements organisationnels rapides. Sans inventaire rigoureux, on perd la trace des comptes de médias sociaux, surtout lors de fusions ou d’acquisitions. La connaissance institutionnelle disparaît avec les employés, et sans documentation claire du onboarding, il devient impossible de savoir qui a accès à quoi.

Dominique Derrier apporte une perspective plus technique en abordant les problématiques liées à Active Directory et Azure. Il explique le concept de “ghost users” - des comptes utilisateurs qui restent actifs dans le système même s’ils ne sont plus utilisés. Ces comptes dormants représentent un risque de sécurité important car un attaquant pourrait les réactiver pour passer inaperçu plutôt que de créer de nouveaux comptes suspects.

Il recommande d’implémenter des politiques claires : désactiver les comptes après trois mois d’inactivité, puis les supprimer définitivement. Il est également crucial de supprimer les ordinateurs de l’Active Directory lorsqu’ils sont retirés du parc informatique. De plus, il suggère fortement d’avoir un utilisateur dédié au onboarding plutôt que d’utiliser des comptes administrateurs de domaine pour joindre des machines, car cela crée des relations de confiance problématiques dans Active Directory.

Le panel souligne qu’il ne faut pas oublier les consultants et les agences de marketing dans la gestion des accès. Lorsqu’une agence gère les réseaux sociaux d’une entreprise, elle a légitimement besoin d’accès. Cependant, à la fin du mandat, ces accès doivent être révoqués. Julien observe fréquemment des agences qui conservent encore des accès à des comptes de clients datant de plusieurs années, créant un vecteur d’attaque potentiel si le compte d’un employé de l’agence est compromis.

Pour résoudre ces problèmes, les intervenants proposent plusieurs solutions concrètes :

Créer des processus documentés : Établir des listes de vérification claires pour le onboarding et l’offboarding qui incluent spécifiquement les réseaux sociaux et tous les outils SaaS utilisés par l’entreprise.

Maintenir un inventaire : Tenir à jour une liste de tous les comptes, plateformes et accès, en précisant qui y a accès et pourquoi. Cet inventaire est crucial pour les changements de poste internes également.

Penser aux changements de rôle : Ne pas se concentrer uniquement sur les départs, mais aussi sur les mobilités internes. Un employé qui change de département doit perdre les accès de son ancien poste.

Conserver les droits administrateurs : S’assurer que l’entreprise garde toujours au moins un accès administrateur aux comptes sociaux, même si une seule personne les gère au quotidien.

Instituer une “journée de revue des accès” : Cyndie suggère de créer un événement annuel dédié à la revue de tous les accès aux réseaux sociaux, similaire à la journée mondiale du mot de passe ou des sauvegardes.

Le message central de ce podcast est clair : les réseaux sociaux doivent être traités avec le même sérieux que les autres actifs de l’entreprise. Ils ne sont pas simplement des outils de communication périphériques, mais font partie intégrante de la vitrine numérique et de la valeur de l’entreprise. L’équipe insiste sur l’importance de mettre en place des processus dès maintenant, car plus on attend, plus le ménage devient complexe et risqué. La gestion proactive du cycle de vie des identités sur les réseaux sociaux n’est pas seulement une question de sécurité, mais aussi de protection de la valeur et de la réputation de l’entreprise.

Dans ce onzième balado collaboratif entre Polysécure et Cyber Citoyens, Catherine Dupont-Gagnon, Samuel Harper et Nicolas Lick explorent les impacts souvent négligés de l’intelligence artificielle sur la société. La discussion débute avec le concept de l’effet Eliza, cette tendance humaine à attribuer des émotions, de l’empathie et une conscience à des programmes informatiques. Ce phénomène d’anthropomorphisme, comparable à l’attachement qu’on peut développer pour des objets inanimés, constitue la racine de nombreux problèmes liés à l’utilisation des IA conversationnelles.

L’équipe soulève une distinction cruciale : l’IA cause-t-elle des psychoses ou les aggrave-t-elle simplement ? Avec seulement trois ans de recul depuis le lancement de ChatGPT, les données scientifiques robustes manquent encore. Les cas documentés montrent souvent des personnes présentant déjà des facteurs de risque, comme des dépressions antérieures, des symptômes proches de la schizophrénie ou des problèmes de consommation.

Deux facteurs de risque majeurs émergent : la déification de l’IA (la percevoir comme une intelligence supérieure omnisciente) et la dose d’utilisation. L’isolement social au profit d’heures passées avec un chatbot crée un terrain fertile pour les problèmes psychologiques. Les animateurs établissent un parallèle troublant avec les techniques de radicalisation et les cultes : isolation, coupure des liens familiaux, validation inconditionnelle et mise sur piédestal d’une autorité.

Le cas tragique d’un jeune homme qui s’est suicidé après que l’IA l’ait « challengé » à prouver sa détermination illustre dramatiquement ces dangers. Selon des données internes d’OpenAI, environ 0,07 % des utilisateurs montrent des signes de psychose et 0,15 % des indicateurs suicidaires. Ces pourcentages, bien que faibles, représentent des chiffres absolus alarmants : avec 800 millions d’utilisateurs actifs hebdomadaires, on parle de 560 000 personnes montrant des signes de psychose et 1,2 million ayant contemplé le suicide.

Une étude du MIT (non encore publiée dans une revue à comité de lecture) révèle des conséquences préoccupantes sur les capacités cognitives. Les chercheurs ont demandé à des participants d’écrire des essais en 20 minutes, certains utilisant des modèles de langage, d’autres uniquement leur cerveau. Les résultats sont frappants : moins de connectivité cérébrale chez les utilisateurs d’IA, incapacité à se rappeler ce qu’ils avaient écrit (80-90 % ne pouvaient citer une phrase de leur propre texte), et homogénéité troublante des opinions sur des sujets normalement sujets à débat.

Nicolas Lick, enseignant universitaire, témoigne de cette réalité sur le terrain. Il constate une résistance croissante de ses étudiants face à la charge de travail et une diminution de leur capacité d’absorption. Il doit ralentir son débit de parole et réduire le contenu de ses cours. Les étudiants du primaire paniquent désormais devant des textes de quelques centaines de mots, alors qu’auparavant ils rédigeaient régulièrement des dissertations de 2500 mots.

Le concept de dette cognitive émerge comme un problème central. En déléguant les tâches difficiles à l’IA, on évite l’effort mental immédiat mais on hypothèque nos capacités futures. L’exemple des moteurs de recherche est éclairant : même avec Google, on doit trier l’information, évaluer sa fiabilité, distinguer le vrai du faux. Avec l’IA, tout est présenté comme également vrai, éliminant cet exercice de pensée critique.

L’université vise notamment à enseigner la lecture rapide et l’analyse de grandes quantités de documents. Sans cette pratique intensive, la capacité à discriminer l’information pertinente ne se développe pas. Le passage d’un rôle de producteur à celui de superviseur de l’IA crée également un épuisement cognitif paradoxal : même si on produit cinq fois plus de contenu, l’effort mental reste le même, menant à un burnout accéléré.

Une étude sur le « vibe coding » révèle que les développeurs utilisant des outils d’IA pensent économiser 20-25 % de leur temps, mais sont en réalité 20 % moins productifs que ceux qui n’en utilisent pas. Cette distorsion entre perception et réalité témoigne de notre difficulté à nous auto-évaluer.

Au-delà des impacts cognitifs, l’IA génère des coûts environnementaux considérables. Chaque requête consomme de l’énergie, et les centres de données affectent la qualité de l’eau des municipalités avoisinantes. Hydro-Québec a d’ailleurs émis des alertes sur les réserves d’électricité. L’utilisation massive de ressources naturelles pour fabriquer des GPU et l’infrastructure nécessaire soulève des questions sur la viabilité à long terme.

La vie privée constitue un autre enjeu majeur. Les informations partagées avec les IA ne bénéficient d’aucune protection comparable à celle du secret professionnel. Des fraudeurs se font même passer pour des policiers pour obtenir des données auprès des entreprises technologiques. Les jouets pour enfants dotés d’IA non sécurisée représentent également un danger, certains ayant déjà divulgué du contenu inapproprié.

La discussion se termine sur une note interrogative : l’IA crée-t-elle plus de problèmes qu’elle n’en résout ? Pour les traductions, Google Translate suffisait. Pour l’écriture, les correcteurs automatiques fonctionnaient bien. Les coûts humains, psychologiques, environnementaux et sociétaux justifient-ils les bénéfices marginaux apportés ?

Certains usages spécifiques montrent du potentiel, comme la reconnaissance de grains de beauté suspects. La règle proposée : « Feriez-vous confiance à un chien savant pour cette tâche ? » Si oui, l’IA peut probablement aider. Sinon, mieux vaut s’abstenir.

Sur une note optimiste, Nicolas Lick rappelle que contrairement aux prédictions alarmistes, les emplois humains demeurent essentiels. Les entreprises qui ont licencié massivement en comptant sur l’IA sont souvent obligées de réembaucher. Le conseil final du podcast : pour éviter les psychoses liées à l’IA, continuez à voir des humains réels. C’est le meilleur remède contre l’isolement et la dérive qu’encourage une dépendance excessive aux assistants virtuels.