Geneviève Lajeunesse est une professionnelle en cybersécurité dont le parcours atypique — du design interactif et du jeu vidéo vers la protection des usagers — lui a forgé une perspective unique sur les enjeux humains derrière la technologie. Elle est cofondatrice d’un organisme à but non lucratif, l’AB 2038, qui offre un cadre d’intervention aux personnes victimes de violences technologiques, notamment dans des contextes de violence conjugale. Elle intervient également de façon bénévole auprès d’organismes variés : médias, banques, groupes communautaires.

Le point de départ de la discussion est une réalité devenue incontournable : la surface de captation de données d’une personne ordinaire est aujourd’hui immense. La voiture connectée géolocalise ses occupants. La laveuse se branche au Wi-Fi. L’aspirateur intelligent cartographie le logement. Les lumières, la sonnette, le réfrigérateur — tout cela génère des données, souvent partagées entre conjoints sans qu’on y réfléchisse vraiment.

Ce qui rend cette réalité particulièrement préoccupante dans un contexte de violence conjugale, c’est que ces accès partagés ne disparaissent pas automatiquement lors d’une rupture. Un calendrier partagé oublié, un compte de véhicule conjoint non résilié, un abonnement Spotify encore lié — chacun de ces éléments peut devenir un vecteur de surveillance. La personne qui cherche à contrôler n’a pas besoin d’être un expert en informatique : elle a juste besoin de conserver l’accès à des outils qu’elle utilise déjà.

Un aspect central abordé dans l’épisode est la nature cumulative de la violence technologique. Un seul geste isolé — éteindre les lumières à distance, consulter la localisation du véhicule — peut sembler bénin ou même humoristique. Mais la répétition transforme ces gestes en harcèlement. C’est ce qu’on appelle parfois « mourir de mille coupures » : aucune blessure n’est fatale prise seule, mais l’accumulation crée un contexte de terreur et de perte de contrôle profonde.

Ce phénomène est particulièrement difficile à documenter sur le plan juridique. Pour obtenir l’aide du système de justice, la victime doit être en mesure d’énoncer clairement les comportements vécus et d’avoir explicitement demandé qu’ils cessent. Or, si certains de ces comportements n’avaient pas été imaginés d’avance, comment aurait-on pu en demander l’arrêt ? De plus, beaucoup de ces gestes ne laissent aucune trace — un interrupteur actionné à distance ne génère pas nécessairement de journal d’activité.

Les forces de l’ordre et les procureurs, bien intentionnés, sont souvent démunis face à ces crimes. Historiquement, la cybercriminalité était associée à des crimes en col blanc — fraudes, vols de données à grande échelle — et les corps policiers ont été formés en ce sens. Les crimes technologiques individualisés, très personnels, relèvent d’une tout autre logique, et l’expertise nécessaire pour y répondre est encore en construction.

Du côté des outils de détection, le constat est similaire. Les logiciels de type accès à distance — ceux que des conjoints malveillants utilisent fréquemment pour surveiller un appareil — ne sont pas automatiquement détectés comme malveillants par les antivirus classiques, car ils ont des usages légitimes. La victime fait un scan, ne trouve rien, et en conclut que la menace est encore plus sophistiquée qu’elle ne le pensait. Ce qui aggrave son état d’anxiété.

Un enjeu émergent soulevé dans l’épisode est l’utilisation croissante des grands modèles de langage — comme ChatGPT — par des personnes en détresse qui cherchent à comprendre ce qui leur arrive. Le problème est double.

D’abord, ces modèles n’ont pas de démarche systématique et rigoureuse. Ils ne vérifient pas les hypothèses les moins graves en premier. Face à des symptômes comme un téléphone qui chauffe ou redémarre, ils vont souvent suggérer des scénarios extrêmes — logiciels espions de type Pegasus, opérations de services de renseignement — alors que l’explication est presque toujours beaucoup plus simple et accessible.

Ensuite, les modèles d’IA ont tendance à confirmer les biais de la personne qui les interroge. Quelqu’un en état d’anxiété intense va formuler ses inquiétudes d’une certaine façon, et le modèle va amplifier ces craintes plutôt que les tempérer. Ce qui aurait pu être désamorcé en quelques échanges avec un professionnel se transforme en spirale d’angoisse. L’intervention humaine, rigoureuse et empathique, reste irremplaçable.

Contre-intuitivement, retirer immédiatement un accès malveillant n’est pas toujours la bonne décision. Dans un contexte de violence conjugale, mettre brusquement fin à la surveillance d’une personne volatile peut déclencher une escalade dangereuse. Avant d’agir, il faut évaluer la situation : comprendre qui est l’auteur, anticiper sa réaction, et s’assurer que la victime ne sera pas en danger accru si l’accès lui est retiré. Parfois, la bonne stratégie consiste à vivre avec la connaissance que le téléphone est compromis, tout en préparant un plan de sortie sécuritaire.

En terminant, Geneviève souligne l’importance d’écouter les personnes qui, autour de nous, expriment un malaise — même timidement. « Il sait toujours où je suis » ou « j’ai l’impression d’être surveillée » ne sont pas des propos à balayer du revers de la main. Ce sont des signaux à prendre au sérieux.

Pour les personnes au Québec qui vivent une situation inconfortable dans leur relation, SOS violence conjugale offre une ligne d’écoute 24 h sur 24 et dispose de ressources adaptées aux enjeux technologiques contemporains.

La violence conjugale n’est pas nouvelle, mais la technologie en a considérablement abaissé le seuil d’entrée et amplifié la portée. Répondre à ce phénomène demande des outils, des lois et une conscience collective à la hauteur de cette réalité.

Dans cet épisode de Polécure consacré aux PME, Cyndie Fletz, Nicholas Milot et Dominique Derrier poursuivent leur discussion sur la santé financière des fournisseurs de services gérés (MSP). Après avoir abordé les contrats et les flux d’argent dans l’épisode précédent, les trois experts s’attaquent cette fois à une question fondamentale : combien devrait-on payer pour un MSP, et qu’est-ce qu’on est en droit d’attendre en retour ?

Cyndie ouvre le bal avec une histoire savoureuse : elle a reçu un message vocal d’une compagnie se présentant comme le MSP le moins cher au Québec, lui proposant des services à… 2 dollars de l’heure. La réaction instinctive est de sauter sur l’occasion, mais les trois invités s’empressent de remettre les choses en perspective.

Le modèle MSP repose sur la duplication des mêmes processus pour optimiser l’efficacité. Cela demande du temps, des investissements et des compétences. Un MSP doit être financièrement viable pour offrir un service fiable sur le long terme. Choisir un fournisseur uniquement sur la base du prix le plus bas, c’est prendre le risque d’obtenir exactement ce pour quoi on a payé : très peu.

Dominique illustre bien le danger : à 2 dollars, le contrat pourrait simplement autoriser le client à appeler le fournisseur, sans que ce dernier ait l’obligation d’intervenir. Tout est une question de ce qui est écrit dans le contrat.

Nicholas propose une métrique concrète pour avoir une base de comparaison : 100 dollars par endpoint par mois pour de la gestion d’équipement de base. Ce chiffre n’est pas arbitraire. Il correspond grosso modo au coût de remplacement d’une ressource IT interne qui accomplirait les mêmes tâches. Externaliser son IT à un MSP, c’est donc un transfert de responsabilité, pas nécessairement une économie radicale.

En dessous de ce seuil, les experts s’entendent : les garanties de service s’effritent, les processus internes du fournisseur sont probablement sous-financés, et la qualité du service devient imprévisible.

La discussion s’oriente naturellement vers le contenu attendu d’un bon contrat MSP. Dominique dresse une liste des services typiques :

Plus on ajoute de services dans le contrat, plus le prix augmente — logiquement. Et c’est là qu’intervient la notion de niveaux de service. Un site transactionnel qui doit fonctionner 24h/24, 7j/7, avec une intervention garantie en moins de deux heures même en pleine nuit, coûtera bien plus cher qu’un service de base. Mais en contrepartie, en cas de panne à 2h du matin, c’est le MSP qui se lève — pas le client.

Cyndie pose la question que beaucoup d’entreprises se posent sans oser l’avouer : comment identifier ses propres besoins quand on n’est pas soi-même expert en IT ?

Nicholas et Dominique suggèrent deux approches. Si l’entreprise dispose d’un responsable IT interne, celui-ci peut dresser la liste des tâches récurrentes ou maîtrisées à externaliser, tout en conservant en interne les décisions stratégiques. Si ce n’est pas le cas, il est fortement recommandé de se faire accompagner par un expert indépendant capable de faire le pont entre les besoins réels de l’entreprise et l’offre des MSP sur le marché.

La notion de risque d’affaires est centrale dans cette démarche. Si un système doit absolument fonctionner en tout temps, il faut choisir un partenaire capable de garantir cette disponibilité. Si une panne le week-end est tolérable, un service moins coûteux peut suffire. L’analogie de l’assurance automobile est parlante : on coche d’abord tout ce qu’on veut, puis on regarde le prix et on réévalue ses priorités.

Dominique rappelle qu’un outil souvent sous-utilisé par les clients existe dans les contrats MSP : le service level agreement (SLA) assorti de pénalités. En définissant des taux de disponibilité (98 %, 99 %) et des délais de réponse contractuels, et en prévoyant des pénalités en cas de non-respect, le client dispose d’un levier concret pour s’assurer que le partenaire reste performant mois après mois. Comme le dit Dominique avec humour : « C’est comme dans le mariage, il faut être bon tous les jours. »

La discussion se conclut sur le sujet de l’offshoring. Le modèle à 2 dollars de l’heure impliquait manifestement une main-d’œuvre délocalisée dans des pays à faibles coûts de main-d’œuvre. Les experts nuancent : l’offshore n’est pas mauvais en soi. Des compétences existent partout dans le monde, et de nombreuses entreprises utilisent déjà des services offshore sans le savoir.

Le vrai risque est ailleurs : un partenaire qui réduit trop ses coûts ne pourra pas investir dans la formation de ses équipes. Or, un technicien offshore mal formé au contexte québécois pourrait redémarrer un serveur critique en pleine période de production fiscale, faute de sensibilisation aux réalités locales. La chaîne de confiance — et les certifications comme le SOC 2 ou l’ISO — doit s’étendre à l’ensemble des sous-traitants.

Choisir un MSP, ce n’est pas choisir le moins cher. C’est choisir un partenaire dont la santé financière garantit la pérennité du service, dont le contrat est clair et mesurable, et dont le niveau de service correspond réellement aux risques d’affaires de l’entreprise. Le prix est un indicateur, pas une finalité.

L’épisode s’ouvre sur un constat préoccupant : la publication des dossiers Epstein constitue ce que Catherine appelle un moment pivot dans l’univers des théories du complot. Sur les réseaux sociaux, un réflexe dangereux se répand — celui de conclure que, puisque certains éléments entourant Epstein s’avèrent vrais, l’ensemble des théories conspirationnistes méritent désormais d’être prises au sérieux. Sam recadre rapidement ce raisonnement : ce n’est pas parce qu’une chose est vraie que tout le reste l’est aussi. La différence fondamentale entre une théorie du complot et une vraie conspiration réside dans la question simple suivante : des gens ont-ils réellement conspiré, oui ou non ?

Ce phénomène n’est pas nouveau. Lors de la divulgation des documents sur le programme MK Ultra, la même vague de légitimation avait déferlé sur des théories n’ayant aucun lien avec les faits révélés.

La discussion aborde ensuite le retour en force de Pizzagate. Certains internautes voient dans les courriels d’Epstein un code autour du mot « pizza ». Sam et Nicolas démontent ce raisonnement : les références à la nourriture dans des échanges professionnels sont banales, surtout dans une culture corporative nord-américaine où la pizza est l’emblème du travail en soirée. Le cerveau humain est naturellement câblé pour détecter des patterns — ce qui le rend vulnérable au biais de confirmation lorsqu’il est exposé à des millions de courriels.

Sam rappelle également qui étaient les grands propagateurs de Pizzagate à l’époque : des personnages aujourd’hui membres de l’administration Trump, qui avaient sauté aux conclusions à partir des courriels de Podesta.

Sam, qui a consacré du temps à explorer les dossiers, souligne que la majorité des échanges est d’une banalité déconcertante : des articles Wikipédia partagés, des fautes d’orthographe, des coordinations logistiques sans intérêt. Cela illustre un paradoxe : c’est précisément parce que c’est ordinaire que certains y projettent quelque chose d’extraordinaire.

Parmi les éléments plus substantiels, Sam évoque le lien entre Epstein et le fondateur de 4chan. Peu après une rencontre entre les deux hommes, le forum politique de 4chan — retiré en raison de contenus racistes et néonazis — a soudainement été restauré. C’est dans cet espace que se sont ensuite développés des mouvements comme le Gamergate, puis l’alt-right, menant jusqu’aux événements de Charlottesville en 2017. Un lien circonstanciel, certes, mais qui illustre comment Epstein gravitait autour de personnages ayant contribué à la montée de l’extrémisme en ligne.

Sam note également qu’Epstein était très impliqué dans le monde des cryptomonnaies en fin de vie, cherchant à mettre ses actifs à l’abri et à redorer son image publique — notamment en finançant des chercheurs universitaires et en faisant modifier sa page Wikipédia.

Catherine insiste sur la nécessité d’une bonne hygiène d’information face à ce flot de données. Plusieurs conseils pratiques émergent :

Le trio s’interroge sur ce qui devrait suivre. Le constat est amer : en Amérique du Nord, les conséquences sont quasi inexistantes, contrairement à l’Europe où des arrestations et des enquêtes sérieuses ont eu lieu. La question de Trump est abordée prudemment — aucune preuve juridique directe ne le lie aux crimes d’Epstein, mais son refus prolongé de divulguer les documents et la présence d’accusations séparées à son encontre soulèvent des questions légitimes.

Nicolas exprime un agacement profond : un système social sain doit exclure ou sanctionner les individus toxiques pour se protéger. Or, ce mécanisme semble paralysé aux États-Unis. Des gestes symboliques comme des bannissements sur des plateformes numériques ne suffisent pas à dissuader de futurs comportements similaires.

Les trois animateurs s’accordent sur une chose : les dossiers publiés sont encore incomplets, et d’autres révélations suivront. La toile d’araignée tissée par Epstein — entre milieux académiques, technologiques, politiques et médiatiques — est loin d’être entièrement dévoilée. Ils espèrent que ces informations, une fois complètes, permettront enfin à la justice de jouer pleinement son rôle et de restaurer la confiance dans le contrat social — ce pacte fondamental qui pose que l’exploitation sexuelle des enfants est universellement condamnable et doit être sanctionnée sans exception.

Manu, alias Korben, est l’auteur du site korben.info depuis 2004, un espace qu’il décrit comme à mi-chemin entre le blog personnel et le média technologique. Il y parle d’informatique, de bidouille et de technologie dans un style accessible, à la fois décontracté et sérieux. Après plus de vingt ans de présence en ligne, il a pris la décision, à mi-2025, de quitter les plateformes de microblogging — X (anciennement Twitter), Facebook, Blue Sky et Mastodon — pour préserver sa santé mentale et son énergie créatrice.

Korben était présent sur X depuis 2007. Il y avait bâti une communauté, des contacts, des amitiés. Mais au fil du temps, la plateforme est devenue de plus en plus difficile à habiter. L’algorithme y mettait en avant des contenus négatifs, des personnalités politiquement douteuses, et des interactions de plus en plus agressives. Malgré ses tentatives de filtrer son fil d’actualité pour ne voir que du contenu tech, il était constamment rattrapé par les tendances et les recommandations toxiques.

L’élément déclencheur final a été le geste controversé d’Elon Musk — ce que beaucoup ont qualifié de salut nazi — qui a convaincu Korben qu’il ne pouvait plus, en conscience, continuer à alimenter cette plateforme. Il avait d’abord résisté au rachat par Musk, voulant maintenir une présence positive, mais ce geste a tout changé.

Malgré un contenu volontairement bon enfant — il parle de logiciels, d’outils, jamais de politique —, Korben a régulièrement été la cible de vagues de haine. Des gens venaient « cracher sur ses chaussures » sans avoir lu ses articles, réagissant à une phrase isolée dans un texte de 2 000 mots. Il décrit l’algorithme comme complice : il semble pousser délibérément son contenu vers des utilisateurs susceptibles de réagir négativement, alimentant ainsi l’engagement au détriment du bien-être des créateurs.

Il a également subi des épisodes plus graves : son adresse personnelle publiée en ligne, des livraisons de pizzas non commandées toute une soirée, des menaces de mort, et même quelqu’un qui prétendait lui avoir « jeté un sort ». Ces expériences l’ont amené à réaliser qu’on ne sait jamais vraiment à qui on a affaire en ligne — troll inoffensif ou personne réellement dangereuse.

En coupant ces quatre plateformes d’un coup, Korben a perdu environ un quart de son trafic web. Mais, fait notable, cette perte n’a pas eu d’impact significatif sur ses revenus publicitaires. Le trafic a d’ailleurs progressivement remonté : les lecteurs véritablement intéressés par son contenu l’ont retrouvé par d’autres voies, comme le flux RSS ou la recherche directe. Cela l’a confirmé dans l’idée que le trafic provenant des réseaux sociaux était souvent superficiel — des clics sans engagement réel.

Quitter les réseaux sociaux ne s’est pas fait du jour au lendemain. Korben compare l’expérience à l’arrêt du tabac ou à une dépendance au sucre : le réflexe de lancer l’application était profondément ancré. Il a dû désinstaller les applis et bloquer les noms de domaine directement sur son routeur pour éviter d’y retourner par automatisme.

Il identifie sa dépendance principale non pas au FOMO (la peur de rater quelque chose), mais à l’addiction aux commentaires : il aimait savoir ce que les gens pensaient de ce qu’il créait, qu’il s’agisse de retours positifs ou négatifs. Paradoxalement, il reconnaît que la grande majorité de ces commentaires n’avaient aucune valeur constructive — soit un enthousiasme vide, soit une hostilité gratuite, rarement quelque chose d’utile entre les deux.

Après son départ, Korben a réorienté ses interactions vers des espaces plus ciblés : Discord, Patreon, LinkedIn et surtout Twitch. Ce dernier est devenu un outil central : plusieurs fois par semaine, il partage en direct sa journée de travail, montre ce qu’il teste, répond aux questions en temps réel. Ce format vidéo lui permet d’être perçu dans son authenticité — son ton, ses expressions, son intention — ce que l’écrit en 140 ou 280 caractères ne permet tout simplement pas.

Il fait une distinction importante entre les plateformes de création de contenu (YouTube, TikTok, Instagram, où il faut un minimum d’effort et d’intention) et les plateformes de microblogging, où n’importe qui peut écrire n’importe quoi sans aucune réflexion préalable. Ces dernières favorisent selon lui l’ego et la performance au détriment de la discussion authentique.

Au fil de la conversation, Korben et son hôte s’accordent sur un constat plus profond : ces réseaux sociaux ont été conçus — ou ont évolué — pour maximiser l’engagement émotionnel, souvent au prix de la bienveillance. La limite en caractères, l’anonymat, l’algorithme de recommandation, et la visibilité publique des commentaires créent un environnement où les gens écrivent pour exister et se mettre en valeur, et non pour contribuer à une conversation.

À l’inverse, des espaces plus fermés comme Discord ou Patreon, où la visibilité est limitée, incitent à une participation plus authentique.

Le bilan de Korben est globalement positif. Il ne regrette pas sa décision, même s’il lui arrive encore de ressentir l’envie de partager une question ou une découverte à grande échelle. Il conclut que l’essentiel — ses lecteurs fidèles, ses revenus, sa santé mentale — n’a pas souffert de ce retrait. Et il observe avec intérêt un mouvement de fond, notamment chez les jeunes, vers une vie moins médiatisée et plus ancrée dans le réel.

Dans cet épisode spécial dédié aux PME, l’animateur reçoit Casimir, spécialiste en cyberassurance, pour approfondir un sujet abordé lors d’une chronique précédente : le rôle fondamental du courtier dans la sélection et le suivi d’une police de cyberassurance. Si la dernière discussion portait sur les couvertures et les fondamentaux du produit, cet épisode se concentre sur l’humain qui guide l’entrepreneur dans un univers complexe, celui des cyberrisques et de leur transfert vers le marché de l’assurance.

La mission première du courtier en assurance est d’accompagner son client dans la compréhension de ses risques d’entreprise. L’entrepreneur, dont le rôle est de développer ses marchés, d’assurer sa croissance et de gérer sa gouvernance, n’a pas nécessairement les outils pour identifier ce qui pourrait mettre son entreprise à l’arrêt. C’est précisément là qu’intervient le courtier : il aide à cartographier ces risques et à déterminer lesquels peuvent être transférés vers une compagnie d’assurance.

Casimir insiste sur un point souvent négligé : le client doit comprendre pourquoi il souscrit une police. Si la cyberassurance est perçue comme une simple dépense, elle sera la première à être coupée lorsque les activités ralentissent. Contrairement à d’autres assurances, elle n’est pas obligatoire. La valeur du courtier réside donc aussi dans sa capacité à rendre concret et tangible ce que couvre la police, afin que le client réalise l’importance de cette protection.

Pour illustrer sa démarche, Casimir prend l’exemple d’un fabricant de hottes de van — une PME industrielle sans expertise en cybersécurité, mais dont les opérations dépendent d’un site web de vente et d’une machinerie connectée. Face à ce type de client, le courtier commence par poser des questions simples et stratégiques : quels sont les revenus annuels ? Combien coûte une semaine d’arrêt ?

Ce réflexe de calcul de la perte d’exploitation est fondamental. Pour une entreprise générant 52 millions de dollars par année, une semaine d’interruption représente 1 million de dollars en ventes perdues — sans compter les coûts supplémentaires liés à la remise en marche. Cette approche permet de concrétiser le risque pour l’entrepreneur et de justifier l’investissement dans une police adaptée.

Une fois les risques identifiés, le courtier aide le client à remplir un formulaire de proposition d’assurance, qui sera soumis aux assureurs pour négociation. La complexité de ce formulaire varie selon la taille de l’entreprise : les PME de moins de 100 millions de dollars en revenus bénéficient d’un questionnaire allégé, tandis que les entreprises plus importantes font face à un processus plus détaillé.

Parmi les éléments qui font une grande différence auprès des assureurs, Casimir mentionne notamment le MDR (Managed Detection and Response). Bien que non obligatoire pour les PME, ce type de solution de cybersécurité peut faire passer une prime de 15 000 $ à 7 000 $ pour une couverture de 2 à 3 millions de dollars. Le MDR permet une détection et une réponse rapides aux incidents, ce qui réduit la probabilité d’un sinistre futur — et les assureurs valorisent fortement cette capacité.

Lorsque des réponses négatives apparaissent dans le formulaire, le courtier ne les ignore pas : il les aborde avec le client pour identifier des pistes d’amélioration. Ces lacunes influencent directement les primes et les termes de la police.

Une fois les soumissions reçues des assureurs — généralement en une semaine pour les dossiers courants —, le courtier effectue un travail d’analyse rigoureux. Les couvertures ne portent pas les mêmes noms d’un assureur à l’autre, mais peuvent couvrir les mêmes réalités. Son rôle est de normaliser ces offres dans un tableau comparatif clair, permettant au client de choisir non seulement la meilleure prime, mais aussi les couvertures les plus complètes et adaptées à son secteur d’activité.

Par exemple, certains assureurs offrent désormais des couvertures liées aux interruptions chez les clients ou les fournisseurs. Si un client important comme un grand donneur d’ordre est victime d’une cyberattaque et ne peut plus passer de commandes pendant deux mois, certaines polices peuvent indemniser le fournisseur touché. De même, si un fournisseur critique — peinture, composants spécialisés — est mis hors ligne, des couvertures de chaîne d’approvisionnement permettent de limiter les pertes.

La cyberassurance évolue à une vitesse remarquable. Casimir souligne que c’est encore le « far west » : les assureurs cherchent à se démarquer, les couvertures sont mises à jour régulièrement, et de nouveaux produits apparaissent fréquemment. Il cite l’exemple de Coalition, un assureur qui, grâce à sa base de 90 000 assurés, est capable de détecter des tendances dans les pertes et d’alerter proactivement ses clients lorsqu’une technologie vulnérable est identifiée dans leur infrastructure.

La relation entre le courtier et son client ne se termine pas à la signature. Rester à l’affût des nouvelles couvertures, des nouvelles menaces et des technologies vulnérables fait partie intégrante du rôle du courtier. Il doit aussi sensibiliser ses clients à des pratiques comme les exercices de simulation d’incident (tabletop exercises), réalisés avec des breach coaches, qui permettent de tester concrètement leur niveau de préparation. Ces simulations révèlent souvent des lacunes importantes — même chez des entreprises qui croyaient avoir un plan de réponse aux incidents en place.

En résumé, le courtier en cyberassurance est un guide indispensable pour les PME qui naviguent dans un univers technique et en perpétuelle mutation. Son apport va bien au-delà de la simple soumission d’une police : il comprend la réalité opérationnelle du client, identifie les risques, négocie les meilleures conditions et assure un suivi proactif tout au long de la vie du contrat.

Enregistré fin janvier 2026, cet épisode spécial du podcast aborde un sujet qui agace de plus en plus : la pression croissante exercée sur les individus et les entreprises pour adopter l’intelligence artificielle, non pas parce qu’elle est utile ou mature, mais parce que des géants technologiques ont massivement parié dessus et doivent récupérer leur mise.

Les deux intervenants ne rejettent pas l’IA en bloc — ils l’utilisent tous deux et y trouvent des applications concrètes. Mais ils pointent un décalage flagrant entre le discours ambiant, omniprésent dans les médias, les conférences comme Davos et les communications d’entreprise, et la réalité mesurable sur le terrain. Selon une statistique citée, 80 % des projets d’IA en entreprise échouent : mauvais calibrage, mauvaise définition du besoin, ou coût de maintenance trop élevé pour justifier l’investissement. Seuls 20 projets sur 100 génèrent de réels bénéfices.

Le premier exemple analysé est l’annonce d’Amazon de supprimer 15 000 postes dans le monde pour les remplacer par des outils d’IA. Si l’annonce a fait grand bruit, les deux interlocuteurs invitent à déconstruire ce récit. Dans une entreprise de cette taille, 15 000 suppressions de postes représentent une restructuration relativement classique, motivée avant tout par des impératifs financiers : réduire la masse salariale pour présenter de meilleurs résultats aux actionnaires, ou encore remplacer des profils seniors par des juniors moins bien payés. Amazon continue d’ailleurs de recruter en parallèle. L’IA sert ici de justification commode, voire de campagne publicitaire : en affirmant « manger sa propre cuisine », Amazon cherche à convaincre d’autres dirigeants que la technologie est suffisamment mûre pour transformer leurs organisations.

Ce mécanisme révèle un phénomène plus large : les entreprises qui vendent des solutions d’IA ont tout intérêt à entretenir la croyance en leur efficacité. Comme les vendeurs de pelles pendant la ruée vers l’or, elles profitent de la fièvre sans nécessairement garantir que leurs clients trouveront de l’or.

Deuxième exemple : le patron de Microsoft a publiquement réprimandé les utilisateurs de Copilot qui osaient critiquer l’outil, leur demandant non pas de formuler des retours constructifs, mais d’utiliser le produit davantage et de cesser de se plaindre. Cette sortie, qui a engendré le hashtag ironique #Microslops, illustre selon eux un glissement inquiétant : on ne parle plus d’invitation à adopter l’IA, mais d’injonction autoritaire. Cette nervosité trahit une réalité économique : Microsoft, comme d’autres, a investi des milliards dans ces technologies et commence à percevoir un ralentissement de l’adoption. La panique s’installe.

Nvidia tient un discours similaire au forum de Davos, moins agressif mais tout aussi contraignant : consommer l’IA serait désormais une condition sine qua non de la réussite économique.

Sur la question du remplacement des travailleurs, notamment des développeurs, les faits démentent les promesses. Des entreprises ont licencié des équipes techniques pour confier leur travail à des outils génératifs, puis ont dû réembaucher — parfois à des salaires plus bas — pour corriger les erreurs produites. Une étude du MIT est citée à ce sujet : ce sont les développeurs seniors qui utilisent le plus les IA de codage, justement parce qu’ils ont les compétences nécessaires pour valider et corriger les sorties. L’IA amplifie la compétence existante, elle ne la remplace pas. Multiplier par zéro donne toujours zéro.

Le prompt engineering comme profession autonome est également démystifié : sans base en algorithmique, manipuler un LLM revient à avancer dans le noir. Les dirigeants qui imaginent transformer leur entreprise sans comprendre les fondements techniques de ces outils se heurtent inévitablement à la réalité.

Les deux intervenants anticipent un éclatement de la bulle spéculative dès 2026, voire 2027. Les signes sont là : plateau des performances (la différence entre GPT-4 et GPT-5 serait marginale), hallucinations persistantes, coûts en ressources exponentiels pour des améliorations minimes, et pénurie croissante de mémoire RAM due à la course aux data centers. Des voix importantes, comme celle de Yann LeCun, affirment que le modèle LLM a atteint ses limites structurelles et ne pourra jamais constituer une intelligence artificielle générale.

L’impact environnemental est également soulevé : les data centers consomment des quantités massives d’eau et d’énergie, s’implantant parfois dans des régions déjà en stress hydrique, comme au Chili où des droits de consommation d’eau illimités peuvent être achetés.

Face à cette frénésie, des résistances apparaissent. Des utilisateurs expérimentés adoptent une posture raisonnée : l’IA comme outil de gain de temps sur certaines tâches, non comme substitut à la réflexion. Des jeunes générations décrochent des réseaux sociaux et de l’IA, conscients des effets sur leur santé mentale et de l’inutilité de tricher à l’école si l’on n’acquiert aucune compétence réelle. Des philosophes comme Éric Sadin alertent sur la perte de sens de l’effort et du savoir.

En filigrane, les deux intervenants voient dans cette marche forcée vers l’IA une manifestation d’un pouvoir nouveau : celui des tech bros, qui ont remplacé le pétrodollar comme levier de contrôle global, et ne s’en cachent plus. La lucidité s’impose : ce grand changement de civilisation prendra une à deux décennies, il sera chaotique, mais il est nécessaire de le traverser les yeux ouverts plutôt que de subir les récits que d’autres construisent pour nous.

Dans cet épisode, l’animateur reçoit Vicky Desjardins, dont le parcours en criminologie l’a amenée à se spécialiser dans la victimisation en ligne. Sa motivation est à la fois professionnelle et personnelle : devenue tante, elle souhaite rendre le monde numérique plus sécuritaire pour ses neveux et nièces. Le constat de départ est clair : la technologie n’est pas aussi inoffensive qu’on veut bien nous le faire croire, et ses dangers — tant sur la santé mentale que sur le plan criminel — restent largement méconnus du grand public.

L’un des points les plus frappants de la discussion est le rajeunissement des victimes potentielles. Là où l’on parlait autrefois de risques à partir de 13 ou 15 ans, on constate aujourd’hui des situations problématiques dès 6 ou 7 ans. Cette réalité est amplifiée par les fonctionnalités vocales des plateformes, qui éliminent la barrière de l’écriture et permettent aux très jeunes enfants de communiquer sans difficulté avec des inconnus.

Vicky souligne également que l’éducation à la sécurité en ligne a longtemps ciblé principalement les filles, laissant les garçons sous-éduqués face aux risques. Pourtant, ces derniers sont eux aussi très visés, notamment via les plateformes de jeux vidéo — un environnement qu’ils fréquentent depuis bien plus longtemps. Des jeux comme Roblox, Minecraft ou World of Warcraft permettent des communications en temps réel, créant un terrain fertile pour le grooming (manipulation progressive d’un enfant par un prédateur).

La particularité du grooming en ligne, par rapport aux dangers du monde physique, réside dans la création d’un lien de confiance progressif. Contrairement à l’image du « monsieur louche dans le parc », le prédateur numérique prend le temps de construire une amitié. Pendant que l’enfant est concentré sur son jeu, les conversations se déroulent en parallèle, sans que son attention critique soit pleinement mobilisée.

Le prédateur exploite des expériences universelles — les devoirs difficiles, les tensions scolaires — pour créer des points communs avec sa victime, quel que soit l’écart d’âge. Il peut mentir sur son identité, son âge, et capter rapidement les expressions propres à chaque génération. Avec le temps, la garde de l’enfant baisse : il perçoit son interlocuteur comme un ami, ce qui rend toute mise en garde ultérieure beaucoup plus difficile.

La géolocalisation aggrave encore la situation. Des applications comme Snapchat, Instagram ou même Google Maps — utilisé de façon détournée par des jeunes pour planifier des rencontres via des points placés dans l’océan — permettent de savoir en temps réel où se trouvent les enfants. Ce qui était autrefois un obstacle logistique pour un prédateur (se déplacer sur des centaines de kilomètres) peut désormais se réduire à quelques kilomètres.

Face à ces risques, Vicky déconseille de miser uniquement sur les contrôles parentaux technologiques, qu’elle juge souvent inefficaces, mal conçus, et facilement contournés par des enfants même très jeunes. Une surveillance excessive reproduit d’ailleurs un effet bien connu : les enfants les plus encadrés sont souvent les premiers à chercher à s’émanciper en cachette.

La clé, selon elle, réside dans la création d’un environnement de confiance. Il faut que l’enfant se sente à l’aise de venir parler à ses parents sans craindre d’être puni. Cela commence par des gestes simples et non technologiques : valoriser l’honnêteté de l’enfant lorsqu’il avoue une bêtise, s’excuser soi-même en tant que parent quand on fait une erreur, et montrer qu’une conversation difficile n’entraîne pas automatiquement des conséquences sévères. Ce lien de confiance constitue le meilleur « contrôle parental » qui soit.

Il importe aussi de connaître les influenceurs que suivent ses enfants en ligne et de surveiller certains signes d’alerte comportementaux, comme des attitudes sexistes envers les sœurs ou des comportements d’hypersexualisation précoce.

La seconde partie de l’épisode s’intéresse aux personnes âgées, qui font face à des menaces différentes mais tout aussi sérieuses. La fraude aux grands-parents est la plus connue : un escroc se fait passer pour un proche en difficulté (emprisonné à l’étranger, par exemple) et réclame un transfert d’argent urgent. Vicky recommande d’établir avec ses aînés un mot de passe ou un souvenir personnel — quelque chose qui ne figure nulle part sur internet — pour vérifier l’identité de l’appelant.

Il existe aussi des arnaques en personne, où des fraudeurs se présentent dans des résidences pour personnes âgées en se faisant passer pour des employés de banque. L’arnaque au pig butchering — qui consiste à gagner la confiance d’une victime pendant des semaines avant de la convaincre d’investir massivement en cryptomonnaie, puis de disparaître avec les fonds — est particulièrement dévastatrice, car elle exploite à la fois l’isolement et le désir de bien faire fructifier ses économies.

Vicky rappelle aussi qu’il est tout à fait acceptable de ne pas répondre à un message ou un appel d’un numéro inconnu. La pression à la politesse est souvent utilisée contre les victimes.

Le message final est simple mais fondamental : rien ne remplace la socialisation dans le monde réel pour développer l’esprit critique et la capacité à détecter ce qui est anormal. Il faut investir du temps avec les enfants comme avec les aînés pour qu’ils comprennent les risques du monde numérique dans lequel ils évoluent. La technologie a ses bons côtés, mais elle ne doit pas devenir un substitut aux liens humains authentiques — ni pour les plus jeunes, ni pour les plus vulnérables.

Dans cet épisode spécial du Policé Sécure, l’animateur reçoit Guillaume Ross pour discuter d’un projet qui a fait couler beaucoup d’encre dans la communauté de la cybersécurité : Hacklore (hacklore.org). L’initiative a été fondée par Bob Lord, un vétéran de l’industrie qui a notamment été le premier CISO de Twitter, a découvert la mégabrèche chez Yahoo et a travaillé pour le Comité national démocrate (DNC) après l’ingérence russe lors des élections américaines. Fort de ces expériences face à de véritables menaces, Bob Lord a voulu s’attaquer à un problème bien précis : les recommandations de sécurité périmées qui font perdre du temps aux gens sans réellement améliorer leur posture de sécurité.

Le principe central du projet est simple — arrêter de distraire le grand public avec des conseils qui ne correspondent plus à la réalité technologique actuelle, pour mieux concentrer les efforts sur ce qui fonctionne vraiment. La lettre fondatrice du projet a été signée par de nombreux professionnels reconnus du milieu. Elle a suscité autant d’adhésion que de controverse, certains experts techniques reprochant aux signataires de négliger des détails techniques pointus. Guillaume répond à ces critiques : savoir qu’un risque existe théoriquement, c’est très différent d’estimer si ce risque est pertinent pour madame et monsieur Tout-le-Monde.

C’est probablement le mythe qui a généré le plus de débat. À l’époque de Firesheep — une extension Firefox qui permettait de voler des sessions authentifiées sur des réseaux non chiffrés —, l’avertissement était légitime. Mais aujourd’hui, plus de 99 % du trafic web est chiffré via TLS. Les applications mobiles modernes, notamment sur iOS, ne peuvent même plus se connecter en HTTP sans une configuration explicite. Les réseaux Wi-Fi publics d’une certaine taille intègrent généralement l’isolation entre clients. Le conseil pertinent serait plutôt : si vous voyez une erreur de certificat dans un café, ne cliquez pas sur « continuer ».

Certes, des cas de faux codes QR collés sur des parcomètres ont été documentés. Mais la réalité est que la majorité des gens sont incapables de distinguer un nom de domaine légitime d’un faux, que ce soit dans un lien texte ou via un code QR. Le vrai conseil à retenir : ne jamais entrer ses identifiants bancaires après avoir scanné un code QR, tout comme on ne le ferait pas après avoir cliqué sur un lien reçu par SMS. Le code QR, en soi, n’t est pas plus dangereux qu’une URL.

Le terme juice jacking a été inventé autour de 2014, à une époque où connecter un iPhone en USB permettait pratiquement d’en télécharger tout le contenu. Depuis, les systèmes d’exploitation mobiles ont radicalement évolué : demande de confiance explicite, désactivation de l’accès USB lorsque l’écran est verrouillé, etc. Surtout, aucun cas documenté de juice jacking n’a affecté un utilisateur ordinaire. Exploiter cette vulnérabilité nécessiterait un zero-day iOS ou Android valant facilement un million de dollars — des outils que personne ne déploierait dans un aéroport pour hacker n’importe qui. Le conseil utile : ne pas appuyer sur « faire confiance à cet ordinateur » quand vous branchez votre téléphone sur un port inconnu.

Des vulnérabilités Bluetooth ont existé, notamment au moment du jumelage des appareils. Mais ce type d’attaque exige une proximité physique au moment précis du pairing — une contrainte majeure pour n’importe quel attaquant opportuniste. De plus, les téléphones modernes ne diffusent plus leur présence Bluetooth en permanence et font tourner des clés rotatives. Dire aux gens de désactiver leur Bluetooth, c’est leur demander de renoncer à leurs écouteurs, leur souris ou leur clavier sans fil — pour les remplacer, ironiquement, par des périphériques RF bon marché souvent bien moins sécurisés.

Ce conseil crée plus de problèmes qu’il n’en résout : les utilisateurs se retrouvent constamment déconnectés de leurs services, doivent ressaisir leurs mots de passe en boucle, et perdent leurs préférences. La peur des cookies est largement entretenue par les bannières de consentement omniprésentes, mais les navigateurs modernes bloquent déjà les cookies tiers par défaut. Et de toute façon, le tracking publicitaire ne dépend plus uniquement des cookies — le fingerprinting du navigateur offre des méthodes alternatives tout aussi efficaces.

La rotation forcée des mots de passe est inutile si chaque compte a déjà un mot de passe unique et robuste. Ce qui expose vraiment les gens, c’est la réutilisation du même mot de passe sur des dizaines de sites. Quand l’un d’eux est compromis, des botnets essaient automatiquement ces identifiants partout ailleurs. Changer un mot de passe sans raison précise génère du travail, de la confusion et des erreurs, sans bénéfice réel.

En contrepartie, Hacklore formule des recommandations simples et efficaces pour le commun des mortels : maintenir ses systèmes et applications à jour, activer l’authentification multifacteur (les passkeys si disponibles, le SMS si c’est la seule option — c’est mieux que rien), et utiliser un gestionnaire de mots de passe avec des mots de passe uniques partout.

L’enjeu, conclut Guillaume, c’est la crédibilité. Si la communauté de la sécurité continue d’alarmer les gens sur des risques négligeables, personne n’écoutera quand il s’agira de vraies menaces.