Sam Harper ouvre l’épisode avec le Honduras Gate, une série de fuites de conversations Telegram et téléphoniques publiées par un collectif anonyme de journalistes honduriens. Ces révélations exposent un plan visant à remettre au pouvoir l’ancien président Juan Orlando Hernández, condamné à des décennies de prison pour trafic de drogue sous l’administration Biden, puis gracié par Donald Trump. La campagne de lobbying derrière ce pardon implique Roger Stone, vétéran des coups bas politiques américains depuis l’ère Nixon, ainsi que Benjamin Netanyahu, qui aurait contribué au financement logistique.

Les fuites révèlent également des négociations pour le retour au pays d’Hernández et l’installation, en échange, d’une base militaire américaine au Honduras, la création de zones économiques spéciales — sortes de « charter cities » libertariennes où les lois nationales ne s’appliqueraient pas — et des conditions favorables aux investissements technologiques, notamment en intelligence artificielle. Plus troublant encore, les documents montrent qu’environ 350 000 dollars auraient été versés par le président argentin Javier Milei pour constituer une équipe médiatique financée en partie par des fonds publics, destinée à mener des campagnes de désinformation contre les gouvernements de gauche en Colombie et au Mexique.

Sam souligne que les journalistes à l’origine des publications ont signalé des attaques informatiques massives contre leur site, avec des requêtes provenant principalement des États-Unis et de Tel-Aviv. Ce qui rend ce dossier particulièrement intéressant, note-t-il, c’est qu’on y voit les États-Unis directement impliqués dans des opérations d’influence, un renversement de la dynamique habituelle où l’on pointe du doigt la Russie, la Chine ou l’Iran.

Catherine enchaîne avec un sujet qui lui tient particulièrement à cœur : les caméras de surveillance Flock. Ce système, capable de se connecter à pratiquement n’importe quelle caméra reliée à internet et doté d’outils d’intelligence artificielle, est utilisé par de nombreuses municipalités, principalement aux États-Unis.

Les scandales s’accumulent autour de cette technologie. Des policiers s’en sont servis pour traquer des ex-conjointes via les plaques d’immatriculation. L’organisme ICE l’a utilisé pour des contrôles d’immigration ciblés. Plus inquiétant encore, un vice-président de Flock a été identifié en train d’accéder aux caméras d’un gymnase d’école secondaire, officiellement dans le cadre d’une démonstration de vente, ce que les trois animateurs trouvent profondément troublant. Le système souffre d’un manque criant d’imputabilité : personne n’audite réellement qui accède à quoi.

Catherine rappelle le fiasco publicitaire de Flock lors du Super Bowl, quand l’entreprise avait annoncé un partenariat avec Amazon Ring pour retrouver les chiens perdus grâce à la reconnaissance par IA dans les caméras de sonnettes des quartiers résidentiels. Le tollé public a été tel que le partenariat a été entièrement annulé. Ce rejet populaire est encourageant, selon Catherine, qui insiste sur le pouvoir citoyen au niveau municipal. Elle exhorte les auditeurs à s’impliquer dans les conseils d’arrondissement, à refuser ces technologies de surveillance et à interpeller leurs élus locaux, car c’est à cette échelle que ces décisions se prennent souvent, devant une poignée de citoyens seulement.

Sam présente ensuite un rapport de DisinfoWatch sur les campagnes de désinformation ciblant le mouvement séparatiste albertain. Le phénomène réunit des acteurs improbables. D’abord, une entité liée à l’ancien Institut d’étude de l’internet de Prigogine, qui opérait un site web et des comptes sur les réseaux sociaux promouvant la séparation de l’Alberta. Ensuite, le réseau médiatique russe autour de Pravda, qui publiait des articles gonflant la popularité du mouvement. Puis des influenceurs MAGA comme Tucker Carlson, Tim Pool et Benny Johnson — ces deux derniers ayant d’ailleurs été impliqués dans le scandale Tenet Media, un conduit pour de l’argent russe vers des influenceurs américains. Enfin, des individus aux Pays-Bas qui produisaient du contenu sensationnaliste sur le séparatisme albertain uniquement pour générer des revenus publicitaires, selon le même modèle que les « fake news » macédoniennes.

Tout au long de l’épisode, les trois animateurs tissent des liens entre ces sujets. Catherine introduit le concept de la fenêtre d’Overton pour expliquer comment des discours autrefois inacceptables se normalisent progressivement, et celui de la longue traîne, emprunté au marketing, pour décrire les mécanismes de radicalisation algorithmique : on commence par un intérêt anodin et, d’incrémentation en incrémentation, les algorithmes nous poussent vers des contenus de plus en plus extrêmes parce que les niches sont rentables.

Nicolas-Loïc fait le parallèle avec l’intelligence artificielle, qui tend au contraire à ramener les utilisateurs vers un « centre » défini par les données d’entraînement, tout en étant vulnérable à la manipulation — Sam cite d’ailleurs une étude montrant que les points de discussion pro-russes sur la guerre en Ukraine ont doublé dans les réponses de certains modèles d’IA.

L’épisode se conclut sur un appel à l’action citoyenne. Catherine rappelle que le pouvoir d’influence ne s’exerce pas uniquement lors des élections fédérales ou provinciales : les décisions municipales, souvent prises devant des salles quasi vides, ont un impact direct sur la vie privée et la surveillance au quotidien. Comme le résume Nicolas-Loïc, les citoyens disposent encore d’un pouvoir considérable pour façonner la société dans laquelle ils veulent vivre — à condition de l’exercer.

Nicolas Bédard, professionnel en cybersécurité chez Palo Alto Networks, revient de Google Next où il a tenu 16 rencontres clients. Un constat frappant : la quasi-totalité de ces clients avaient Mythos en tête de liste de leurs préoccupations. Ce modèle d’intelligence artificielle d’Anthropic, encore en phase de prévisualisation, a déclenché une vague d’inquiétude dans l’industrie. Nicolas admet lui-même qu’il avait sous-estimé l’ampleur du phénomène avant de constater, face à face, l’anxiété généralisée de ses interlocuteurs.

Mythos est un modèle d’IA de nouvelle génération, considérablement plus performant que les modèles précédents (comme Opus 4.7 de Claude) pour une tâche précise : trouver des vulnérabilités dans du code logiciel. Sa force ne réside pas uniquement dans sa capacité à détecter des failles individuelles, mais surtout dans son aptitude à établir des liens entre plusieurs vulnérabilités mineures. Là où deux ou trois failles de niveau faible ou moyen seraient jugées sans conséquence prises isolément, Mythos est capable de les relier pour révéler une vulnérabilité critique. C’est un changement de paradigme majeur.

Palo Alto Networks fait partie du programme « Class Wing » d’Anthropic, aux côtés d’autres grands acteurs du cloud et de la cybersécurité. Ces partenaires ont reçu un accès privilégié à Mythos avant son lancement public, leur permettant de scanner leur propre code à la recherche de failles inconnues. Selon Nicolas, cette démarche relève d’un geste de responsabilité corporative : Anthropic a anticipé les risques liés à la puissance de son modèle et a donné une longueur d’avance aux joueurs majeurs pour se préparer. Palo Alto a d’ailleurs lancé, en collaboration avec son équipe Unit 42, une offre d’accompagnement pour aider les clients à réaliser des analyses similaires avec des modèles déjà accessibles publiquement.

L’un des aspects les plus préoccupants concerne les systèmes hérités. Historiquement, un vieux programme en COBOL sur AS/400 ou un mainframe oublié bénéficiait d’une forme de sécurité par l’obscurité : personne ne s’intéressait à y chercher des failles parce que c’était trop coûteux et peu rentable. Seuls les acteurs étatiques avaient les moyens de développer des exploits sophistiqués. Avec Mythos et ses futurs équivalents, cette barrière financière disparaît. N’importe qui pourra potentiellement analyser du code ancien et y trouver des failles exploitables.

Le risque s’étend aussi à la chaîne d’approvisionnement logicielle. Le code ouvert, massivement réutilisé par l’industrie, devient un vecteur d’attaque amplifié. Un acteur malveillant pourrait scanner des bibliothèques populaires, y découvrir des vulnérabilités non divulguées, et les exploiter à grande échelle — ou pire, contribuer du code malicieux que des milliers de développeurs téléchargeraient en toute confiance.

Les premières conséquences sont déjà visibles : Microsoft et d’autres grandes entreprises ayant accès à Mythos publient des volumes de correctifs bien supérieurs à la normale. Nicolas anticipe que la situation va s’intensifier considérablement dans les mois à venir, particulièrement autour de la sortie publique du modèle, estimée vers juin ou juillet. Le modèle traditionnel du « Patch Tuesday » — ce cycle mensuel prévisible d’application de correctifs — risque de voler en éclats, car certaines failles seront trop critiques pour attendre le prochain cycle.

Pour les entreprises qui peinent déjà à appliquer 10 à 12 correctifs mensuels sur des systèmes comme SAP, l’idée d’en gérer 200 ou 500 est vertigineuse. Les arrêts de production, les tests de régression, la coordination avec les équipes d’affaires : tout cela se complexifie de manière exponentielle. Et les pratiques modernes de développement (microservices, SRE, CI/CD) qui pourraient absorber ce choc ne sont maîtrisées que par une poignée de grandes entreprises technologiques.

Face à ce tsunami, Nicolas et son interlocuteur reviennent aux fondamentaux avec trois axes prioritaires. Premièrement, scanner son propre code dès maintenant avec les modèles disponibles, sans attendre Mythos. Des chercheurs ont publié des méthodes de prompting permettant de simuler les capacités de Mythos avec Opus 4.7.

Deuxièmement, assurer une couverture à 100 % des contrôles de sécurité existants. Chaque exception, chaque angle mort, chaque compte de service mal configuré devient une porte d’entrée potentielle. L’analogie de l’eau est parlante : comme l’eau qui s’infiltre par la moindre fissure, ces modèles d’IA trouveront inlassablement le moindre trou dans les configurations.

Troisièmement, réduire l’exposition externe au maximum et développer une capacité de réaction en temps réel. Le passage de « plusieurs jours » à « quelques minutes » pour répondre aux menaces impose une transformation profonde des centres d’opérations de sécurité. Les approches traditionnelles de réponse aux incidents, avec leurs processus de révision humaine, ne suffiront plus.

Nicolas conclut avec un message direct : chaque responsable de la sécurité (CISO) devrait engager dès maintenant une conversation transparente avec son conseil d’administration sur les implications de Mythos. Il s’agit d’aller chercher les budgets et les ressources nécessaires avant la crise, plutôt qu’après une attaque. L’industrie s’apprête à vivre un moment pivot où l’on passera d’une logique de liste noire à une logique de liste blanche, où seul ce qui est explicitement autorisé sera permis. Les paradigmes vont changer, et ceux qui ne s’y préparent pas risquent d’en subir les conséquences de plein fouet.

Nicolas Duguay est le président fondateur de Seven Islands Defense and Intel, une jeune firme spécialisée dans le conseil stratégique en cybersécurité, cyberdéfense et renseignement. Avant de lancer cette entreprise, il a occupé le poste de directeur général d’InCyber (anciennement In.Sec.M), le cluster canadien de la cybersécurité. Son parcours est atypique : il a d’abord été journaliste à Radio-Canada pendant une dizaine d’années, puis a évolué dans le secteur du renseignement privé, avant de bifurquer progressivement vers la cybersécurité. C’est cette trajectoire diversifiée qui lui a permis de développer une compréhension fine des écosystèmes internationaux et des dynamiques de marché.

Seven Islands est née d’un constat simple : l’écosystème canadien de la cybersécurité est principalement composé de PME ambitieuses mais disposant de peu de moyens, qui passent souvent sous le radar des grands donneurs d’ordre. Fort de son expérience chez In.Sec.M, où il a mené des travaux de prospection et de cartographie d’écosystèmes à l’international en collaboration avec Affaires mondiales Canada, Nicolas a accumulé une connaissance approfondie des distinctions entre les marchés et des facteurs qui font qu’une entreprise réussit ou échoue à l’étranger. Seven Islands met cette expertise au service d’organisations qui souhaitent pénétrer de nouveaux marchés, non seulement en cybersécurité, mais aussi dans les secteurs de la défense et des outils de renseignement.

L’Ukraine constitue un exemple frappant de marché en rupture de paradigme. La pression à ses frontières a engendré une explosion de la demande et le développement d’un écosystème local très innovant. Les pays limitrophes de l’espace russe — pays baltes, Europe centrale et de l’Est — connaissent une dynamique similaire. Or, plusieurs entreprises canadiennes arrivent dans ces marchés avec des produits pensés selon une logique traditionnelle de défense, sans tenir compte de la réalité du terrain : il faut des solutions abordables, accessibles, produites rapidement et utilisables sans formation poussée. C’est pratiquement l’inverse de la tradition habituelle en matière de produits de défense.

La clientèle type de Seven Islands se compose de startups et de scaleups ayant atteint un niveau de maturité technologique suffisant pour aborder les marchés internationaux. La firme intervient pour raccourcir le temps d’acquisition de marché, c’est-à-dire pour permettre à ces entreprises de comprendre rapidement les particularités du procurement local, d’identifier les bons partenaires ou acheteurs, d’éviter les pièges propres à chaque marché et de structurer leur montage financier. Nicolas estime pouvoir réduire de moitié, voire du tiers, le temps et les coûts habituellement nécessaires à une pénétration de marché, qui se chiffrent normalement en centaines de milliers de dollars sur six mois à un an.

Une partie importante de la conversation porte sur les particularités du marché canadien, souvent mal compris par les entreprises étrangères. L’erreur la plus répandue est de considérer le Canada comme un marché américain en plus petit ou, pour les Français, de voir le Québec comme une extension naturelle de la France. La réalité est tout autre : le Canada est un ensemble de silos distincts, chacun avec sa culture, ses réseaux et ses dynamiques propres.

Toronto représente le pôle principal pour la cybersécurité privée, porté par le secteur bancaire et sa position de deuxième ou troisième place financière nord-américaine. La compétition y est féroce. Vancouver constitue le deuxième pôle en importance, avec un écosystème vibrant tourné vers la côte ouest américaine, la Silicon Valley et le marché Asie-Pacifique — une porte d’entrée stratégique souvent sous-estimée. Montréal est un marché significatif mais très insulaire, fortement centré sur lui-même et sur le Québec, avec des réseaux établis difficiles à pénétrer. Ottawa est le cœur du marché gouvernemental et devrait devenir l’un des pôles les plus intéressants du pays grâce aux récents investissements en défense. Calgary se distingue pour tout ce qui touche à la sécurité des systèmes énergétiques, tandis que des villes atlantiques comme Halifax et Fredericton investissent beaucoup d’efforts dans le développement de leur écosystème.

Nicolas souligne que les entreprises étrangères qui échouent au Canada reviennent chez elles avec une image déformée du marché : elles racontent leur échec sans en analyser les causes profondes, alimentant ainsi des perceptions erronées chez d’autres entreprises qui pourraient autrement y trouver leur place.

La conversation s’ouvre ensuite sur les marchés émergents les plus prometteurs. Nicolas observe un recadrage géopolitique important qui redéfinit les alliances commerciales du Canada. Le marché scandinave, longtemps ignoré, suscite aujourd’hui un intérêt considérable : la Suède notamment exprime un véritable appétit pour des échanges avec le Canada dans une dynamique nordique partagée. Les pays baltes — Estonie, Lettonie, Lituanie — ainsi que la Pologne offrent également des occasions majeures, avec moins de protectionnisme que les grands marchés traditionnels comme l’Allemagne, la France ou le Royaume-Uni.

Nicolas constate que les entreprises canadiennes, habituées à la proximité confortable du marché américain, ont développé une certaine paresse stratégique. Elles commencent à peine à regarder au-delà de l’Amérique du Nord, et la courbe d’apprentissage risque d’être exigeante pour celles qui ne se sont pas outillées pour comprendre ces nouveaux marchés. C’est précisément là que Seven Islands entend jouer son rôle d’accompagnement.

En septembre 2024, Matt Mullenweg, fondateur de WordPress et dirigeant d’Automattic, profite de sa présentation de clôture au WordCamp US pour s’en prendre violemment à WP Engine, un hébergeur spécialisé WordPress. Il les qualifie de « cancer pour l’écosystème ». Le ton est d’autant plus choquant que les WordCamp sont des événements communautaires accessibles et abordables, portés par l’esprit de l’open source — le WordCamp Montréal, par exemple, ne coûtait que 50 dollars pour un weekend complet.

WP Engine est un acteur majeur qui a bâti tout son modèle d’affaires autour de WordPress, offrant de l’hébergement dédié et ayant acquis plusieurs produits populaires, dont Advanced Custom Fields (ACF), un plugin utilisé par des millions de sites. Mullenweg reproche à WP Engine de générer d’importants revenus grâce à WordPress sans contribuer suffisamment au projet. Il avait d’ailleurs lancé l’initiative « Five for the Future », invitant les entreprises bénéficiant de l’écosystème à y consacrer 5 % de leurs ressources. Or, aucune obligation légale ne contraint quiconque à contribuer, et Mullenweg lui-même tire profit de l’écosystème via Automattic et WordPress.com.

Trois jours après l’attaque publique, WP Engine réplique par une mise en demeure pour diffamation et extorsion. Le 25 septembre, Mullenweg bloque l’accès des serveurs de WP Engine au dépôt officiel de plugins et thèmes WordPress, empêchant des centaines de milliers de sites clients de recevoir leurs mises à jour, y compris les correctifs de sécurité. WP Engine doit alors développer en urgence des solutions de contournement.

Le 30 septembre, la communauté découvre que WordPress.org — la plateforme qui héberge tout l’écosystème open source — appartient personnellement à Matt Mullenweg et non à la fondation WordPress, créée pourtant pour assurer transparence et gouvernance indépendante. Cette révélation amplifie l’inquiétude : une seule personne contrôle l’infrastructure sur laquelle repose près de 40 à 50 % des CMS du web, alors que le deuxième concurrent plafonne sous les 5 %.

Le 2 octobre, WP Engine dépose une plainte officielle pour pratiques anticoncurrentielles et abus de pouvoir, rendant publics des échanges compromettants entre Mullenweg et la direction de WP Engine.

En parallèle, les employés d’Automattic s’interrogent sur les agissements de leur patron, qui communique de façon impulsive sur les réseaux sociaux et son blogue. Mullenweg pose un ultimatum à ses employés : être avec lui ou partir, avec un délai de 24 à 48 heures. Environ 159 personnes, soit près de 10 % de l’effectif, choisissent de quitter l’entreprise.

Mullenweg reprend ensuite le contrôle du plugin ACF au nom de la sécurité de l’écosystème, s’appuyant sur la licence GPL qui régit les extensions déposées sur le dépôt WordPress. Il crée un clone baptisé SCF (Secure Custom Fields) et redirige silencieusement les mises à jour d’ACF vers SCF, de sorte que la plupart des utilisateurs changent de plugin sans même s’en rendre compte. Cette manœuvre soulève de sérieuses questions sur la pérennité de SCF, un produit gratuit sans modèle économique ni équipe dédiée à long terme.

Pour les agences comme celle de Maxime, la situation est un casse-tête : faut-il informer les clients, revenir à ACF, attendre ? L’équipe de Maxime décide de redéployer ACF sur les sites concernés, estimant que les clients sont pris en otage dans ce conflit.

Mullenweg réduit drastiquement les contributions d’Automattic au projet open source, passant de 4 000 heures par semaine à environ 45, provoquant une stagnation du développement. La version 6.8 de WordPress accumule les retards. BlackRock, investisseur dans Automattic, dévalue ses parts. Des développeurs commencent à remettre en question la pertinence de publier sur le dépôt WordPress.

Face à cette centralisation problématique, des initiatives émergent pour décentraliser la distribution des extensions. WP Engine rachète WP Packagist et Roots lance WP Packages, offrant des alternatives au dépôt officiel. L’adoption reste cependant un défi majeur pour les utilisateurs non techniques.

Le 1er avril 2025, Cloudflare lance EmDash, une solution de gestion de contenu basée sur le framework Astro. Son approche distingue le contenu statique du contenu dynamique grâce au concept d’« îles », offrant de meilleures performances. EmDash isole également les plugins dans des sandbox pour renforcer la sécurité, contrairement à WordPress où un plugin défaillant peut compromettre tout le site.

Maxime reconnaît l’intérêt technique de cette solution, mais tempère l’enthousiasme : aucun écosystème de plugins, aucune communauté établie, aucun expert disponible. Cloudflare a les moyens financiers de soutenir le projet, mais il est trop tôt pour y migrer des projets clients. WordPress n’est ni mort ni véritablement menacé à court terme.

La bataille juridique entre Automattic et WP Engine devrait connaître des avancées en juin 2025. Maxime anticipe une tentative de règlement hors cour de la part de Mullenweg, face à un WP Engine soutenu par un fonds d’investissement de plusieurs milliards déterminé à aller jusqu’au bout. Plus le conflit dure, plus il nuit à l’ensemble de l’écosystème. L’espoir reste qu’un retour à la maturité permette à chacun de poursuivre son activité dans un marché suffisamment vaste pour tous.

Dans cet épisode spécial du podcast Polysécure, Nicolas Bédard reçoit son collègue de Palo Alto Networks pour un retour d’expérience sur la conférence S3NS, qui s’est tenue à Paris à la mi-février 2026. S3NS est le cloud souverain français, une offre construite sur la technologie de Google Cloud et certifiée par l’ANSSI (l’agence nationale française de cybersécurité) en décembre 2025 — soit à peine trois mois avant la conférence.

L’invité y était envoyé en tant que représentant de Palo Alto Networks, pour présenter comment une entreprise américaine peut s’inscrire dans un écosystème de cloud souverain. Il avoue y être arrivé avec de sérieuses appréhensions : en tant que Nord-Américain travaillant pour une grande compagnie américaine, il craignait un accueil hostile, voire franchement anti-américain. La réalité qu’il a vécue a complètement renversé ses attentes.

Premier constat : l’ampleur de l’événement. Plus de 2 000 personnes étaient inscrites au sommet S3NS, un chiffre qui a surpris l’invité. La conférence était animée et les kiosques, dont celui de Palo Alto qui figurait parmi les plus grands, ont attiré une foule nombreuse et curieuse.

Deuxième constat, et sans doute le plus marquant : le discours sur la souveraineté numérique entendu dans les keynotes était diamétralement opposé à ce qu’on entend habituellement au Québec ou en Amérique du Nord. Contrairement à ce que l’invité anticipait, il n’y avait aucune hostilité envers les entreprises américaines. Le message central de la conférence reposait sur deux piliers : la confiance d’abord, le contrôle ensuite.

L’idée n’était pas de rejeter les technologies étrangères, mais de s’assurer qu’elles priorisent les intérêts des utilisateurs européens et qu’elles respectent leurs contraintes légales et opérationnelles. Cette nuance est fondamentale : mettre la souveraineté et l’innovation en opposition serait contre-productif. Les cyberattaquants, eux, utilisent les outils les plus avancés sans se soucier de leur origine. Une organisation qui sacrifierait l’innovation au nom de la souveraineté se retrouverait donc dans une position défavorable face aux menaces.

Nicolas Bédard apporte ici un éclairage précieux : il suit l’évolution du discours européen sur la souveraineté numérique depuis 2021-2022. À cette époque, le ton était beaucoup plus fermé, plus protectionniste, voire souverainiste au sens étroit du terme. En 2026, la pensée européenne a évolué vers une approche beaucoup plus pragmatique et collaborative, reconnaissant que la souveraineté ne signifie pas l’isolement, mais la maîtrise.

Cette maturité, les Français l’ont acquise après des années de débat public sur le sujet. En comparaison, le Québec en est encore à une phase plus émotionnelle, réactive au contexte géopolitique récent. Les animateurs du podcast expriment le souhait que le débat local gagne lui aussi en nuance et en profondeur dans les années à venir.

La question naturelle se pose : comment une entreprise américaine comme Palo Alto Networks peut-elle opérer dans un environnement souverain, sachant que la certification SecNumCloud impose que l’opérateur soit une entité française ? La réponse est technique et pragmatique.

Palo Alto ne peut pas être directement certifié SecNumCloud — et ne cherche pas à l’être. En revanche, ses produits peuvent tourner à l’intérieur d’une infrastructure souveraine certifiée. La stratégie retenue dans un premier temps consiste à déployer des solutions sous forme de machines virtuelles (VM) : pare-feu virtuels, console de gestion Panorama en VM, ou encore AI Runtime Security pour protéger les inférences localement. Le client télécharge et opère ces outils lui-même, dans son infrastructure souveraine, sans dépendre d’un service SaaS américain.

Cette approche rappelle les déploiements dans les infrastructures critiques hors ligne — comme les sous-stations électriques — où l’on déploie des pare-feu entièrement autonomes, sans connexion à des services cloud externes. Le cloud souverain suit la même logique : le contenant est souverain, et le client garde le plein contrôle sur ce qui tourne à l’intérieur.

Un autre constat inattendu : la conférence S3NS attirait non seulement des organisations françaises, mais aussi des entreprises d’autres pays de l’Union européenne — Suisse, Italie, Allemagne, entre autres. Ces organisations voient dans S3NS une solution idéale pour la reprise après sinistre (DR) ou pour certaines charges de travail sensibles, en dehors même de toute obligation légale française. S3NS représente la certification cloud souveraine la plus exigeante disponible en Europe, ce qui en fait une option attractive pour quiconque cherche à minimiser son exposition aux juridictions extra-européennes.

L’image la plus éclairante de la conférence est celle de l’oignon : la souveraineté se décline en couches. Certaines données et certains workloads nécessitent une infrastructure pleinement certifiée SecNumCloud — avec le surcoût que cela implique, inévitable pour tout cloud souverain qui ne bénéficie pas des économies d’échelle mondiales des grands hyperscalers. D’autres données, moins sensibles ou non soumises à des obligations légales, peuvent reposer sur des infrastructures alternatives offrant des garanties partielles de souveraineté — comme les offres équivalentes chez Microsoft ou AWS — à moindre coût.

Ce n’est pas tout ou rien. C’est une stratégie graduée, adaptée à la nature de chaque donnée et à chaque contexte réglementaire.

En conclusion, les deux animateurs notent que l’écosystème des clouds souverains est en pleine expansion : Bleu (basé sur Azure) est en cours de certification en France, un équivalent est annoncé en Allemagne, et d’autres suivront. La décentralisation vers de plus petits clouds régionaux s’amorce, portée en partie par le contexte géopolitique actuel. Un sujet à suivre de près — et assurément matière à un prochain épisode.

Dans cet épisode spécial enregistré dans le cadre de la cohorte Propolys, Nicolas reçoit Elnathan Tiokou, fondateur et CEO de Vraust.ai (vraust.ai). Cette startup québécoise se spécialise dans la prévention des arnaques (scams) en temps réel, ciblant principalement les citoyens canadiens les plus vulnérables. Elnathan présente sa plateforme comme un outil capable d’évaluer en quelques secondes si un site web, un courriel ou une conversation téléphonique présente des signes de fraude, en retournant un score de risque accompagné de recommandations concrètes.

Elnathan rappelle que la grande majorité des fraudes modernes repose sur le social engineering, c’est-à-dire la manipulation psychologique des victimes. Il illustre le propos avec un exemple parlant : un parent âgé qui tombe sur une fausse plateforme d’investissement et qui, faute de pouvoir rejoindre un proche plus averti, n’a aucun moyen de vérifier la légitimité du site.

L’intelligence artificielle a considérablement amplifié la menace. Les fraudeurs peuvent désormais cibler des dizaines de milliers de personnes simultanément, avec des messages rédigés dans un français impeccable, rendant la détection humaine de plus en plus difficile. Même des professionnels en cybersécurité peuvent se faire piéger, comme Nicolas l’admet lui-même au fil de l’échange.

La plateforme s’appuie sur trois grandes familles d’analyse :

L’analyse textuelle : courriels, sites web, messages de romance scam sur les réseaux sociaux. La plateforme effectue une analyse sémantique et sentimentale du contenu pour détecter les tentatives de manipulation.

L’analyse vocale : les arnaques par appel téléphonique ou en vidéoconférence (Zoom, Teams) sont également couvertes. L’outil repère des signaux comme l’urgence dans le ton, les silences inhabituels ou les incohérences dans le discours.

L’analyse technique : vérification de l’adresse IP, localisation du domaine, et autres indicateurs classiques en cybersécurité qui permettent de tracer l’origine d’une tentative de fraude.

Ces trois couches alimentent un score de risque global, accompagné d’une catégorisation du type d’arnaque détecté (job scam, romance scam, fraude bancaire, etc.) et d’un lien vers des ressources gouvernementales présentant des situations similaires déjà documentées.

Elnathan soulève une statistique frappante : 78 % des adultes canadiens se disent confiants dans leur capacité à détecter une fraude, alors que 23 % d’entre eux continuent pourtant d’en être victimes. Cette fausse assurance crée un angle mort dangereux : plus on se croit invulnérable, plus on baisse sa garde.

Plutôt que de dépenser énergie et capital à convaincre cette majorité confiante, Vraust.ai concentre ses efforts sur les segments les plus exposés : les personnes âgées, d’une part, et les jeunes de 13 à 18 ans, d’autre part — ces derniers représentant 25 à 27 % des victimes de fraude, un chiffre souvent méconnu. La stratégie commerciale repose sur un forfait familial : un adulte inscrit peut y intégrer ses parents et ses enfants, ces derniers ne pouvant rejoindre la plateforme qu’avec autorisation parentale.

Actuellement, la plateforme fonctionne comme une interface conversationnelle en ligne — l’utilisateur y colle un texte suspect et reçoit une analyse instantanée. La prochaine étape, en cours de développement, est une application en arrière-plan (overlay) installée sur téléphone ou ordinateur. Celle-ci restera invisible dans l’usage quotidien et n’alertera l’utilisateur que lorsqu’une situation suspecte est détectée : un appel entrant frauduleux, un site web malveillant, etc.

L’utilisateur garde le contrôle : il choisit quelles applications faire surveiller. La vie privée est au cœur de la conception — les données des utilisateurs ne sont pas stockées par défaut, et le modèle tourne en grande partie localement sur l’appareil.

L’un des problèmes majeurs soulevés dans l’épisode est la barrière au signalement. Selon Elnathan, les 643 millions de dollars de pertes liées à la fraude rapportés l’an dernier au Canada ne représentent que 5 à 10 % des fraudes réelles — le reste n’étant jamais déclaré, souvent par honte, par découragement ou par manque de temps.

Vraust.ai cherche à réduire ce processus à un seul clic : la plateforme structure automatiquement l’information (numéro du fraudeur, type d’arnaque, localisation potentielle) et la transmet aux autorités compétentes — en commençant par le Québec. Des échanges sont déjà en cours avec les autorités locales pour bâtir ce pipeline de signalement. Une fonction de rapport vocal est également prévue, permettant à une victime de simplement raconter son histoire à voix haute pour que la plateforme l’analyse et la transmette.

Elnathan conclut l’épisode par un appel au partage et à la déstigmatisation. Se faire arnaquer n’est ni une honte ni un signe d’ignorance — tout le monde peut en être victime. Il encourage chacun à reporter ses expériences, car chaque signalement alimente le modèle et protège les prochaines victimes potentielles. Nicolas renchérit : même les professionnels de la cybersécurité se font piéger, et 2026 s’annonce comme une année charnière dans la lutte contre la fraude numérique au Canada.

Dans cet épisode technique de Polysécure, l’animateur reçoit deux analystes de l’équipe TDR (Threat Detection and Research) de Sekoya. Charles Meslay se spécialise en reverse engineering et en analyse de malware, tandis que Félix Aimé se concentre sur l’étude de campagnes liées à des États — cyberespionnage, sabotage — et joue un rôle central dans le développement d’outils internes pour mener les investigations. L’épisode prend appui sur un billet de blog récemment publié par l’équipe portant sur une campagne d’APT28, groupe étatique lié à la Russie, pour élargir la discussion à l’ensemble du tooling utilisé en CTI.

Le point de départ concret est l’analyse d’un malware écrit en .NET, attribué à APT28 et découvert début 2025. Initialement, le travail reposait sur des outils classiques comme dnSpy : une interface graphique permettant de décompiler le code, de renommer les fonctions et de comprendre progressivement leur logique. Ce processus, bien que relativement accessible, est extrêmement chronophage — de une à trois semaines par binaire et par analyste.

Avec l’émergence des LLM, Charles a d’abord commencé à copier-coller manuellement des portions de code dans ChatGPT pour accélérer l’analyse. Cette pratique l’a conduit à une idée d’automatisation : la création d’un serveur MCP (Model Context Protocol), un protocole permettant à un LLM d’interagir avec des outils externes via une interface de type API. Ce serveur, mis en open source, est en réalité une brique d’un outil plus large développé en interne : Sara.

Sara est présentée comme le cœur de l’écosystème d’analyse de Sekoya. Son fonctionnement est le suivant : on lui soumet un fichier, le LLM identifie le type de fichier et sélectionne les outils adaptés — qu’il s’agisse de Ghidra, d’IDA Pro ou d’outils maison en ligne de commande — pour procéder à l’analyse. À l’issue du processus, Sara génère un rapport structuré comprenant la description du comportement du binaire, les différentes couches d’obfuscation détectées, des scripts de désobfuscation si nécessaire, et une liste explicite des angles morts de l’analyse, notamment en cas de limitations liées aux tokens ou au nombre de passes effectuées.

Le gain est spectaculaire : le temps d’analyse est passé de plusieurs semaines à quelques minutes. Au-delà du gain de vitesse, Sara a également élargi le cercle des analystes capables de contribuer au reverse engineering, y compris ceux qui n’avaient pas de formation approfondie dans ce domaine. Les analystes spécialisés, comme Charles, continuent quant à eux à intervenir sur les cas complexes que l’outil ne résout pas seul.

Félix retrace l’histoire du tooling interne, développé de façon itérative au fil des années. Au départ, l’équipe disposait d’un simple serveur de cache connecté à des API tierces comme VirusTotal, permettant de limiter la consommation de quotas. Ce serveur a ensuite été refondu pour gérer de manière transparente les clés d’API, simplifiant ainsi la vie des développeurs internes.

L’équipe a ensuite créé un ensemble d’API maison pour automatiser des tâches courantes : requêtes DNS, récupération de plages d’IP sur des AS, etc. Ces briques ont permis de construire 150 transformes pour Maltego, un logiciel d’analyse permettant d’appliquer des micro-opérations sur des entités (adresses IP, noms de domaine, etc.) afin d’enrichir les investigations. Aujourd’hui, l’équipe envisage de migrer vers Flosint, une solution open source française au fonctionnement similaire.

Pour le suivi dans le temps des infrastructures malveillantes, deux outils ont été développés. Tracker interroge des services comme Shodan, Censys ou VirusTotal avec des règles précises pour surveiller en quasi-temps réel des infrastructures ou des malwares. Irma, plus orientée vers le hunting, permet d’initier des investigations à partir d’heuristiques poussées — par exemple, détecter un nom de domaine enregistré chez un registraire douteux qui résout vers un routeur potentiellement compromis en France.

Un principe philosophique fort ressort de l’échange : l’ergonomie prime sur la complexité technique. Félix insiste sur le fait que les outils en ligne de commande, aussi puissants soient-ils, finissent par être abandonnés si leur utilisation requiert de consulter le manuel à chaque fois. L’objectif est que l’intégralité des outils soit accessible depuis un navigateur web, via des sous-domaines dédiés, avec une interface de recherche permettant de trouver un outil par mot-clé (par exemple, taper « LLM » pour lister tous les outils liés à l’intelligence artificielle).

Cette centralisation présente plusieurs avantages : harmonisation des dépendances, déploiement automatisé via des pipelines CI/CD, et adoption effective par l’ensemble de l’équipe. Comme le résument les deux invités, un outil que personne n’utilise ne vaut rien — peu importe ses capacités techniques.

L’arrivée des LLM a transformé deux autres facettes du travail. D’abord, le prototypage : là où il fallait parfois des semaines pour valider une preuve de concept, quelques heures suffisent aujourd’hui pour déterminer si une idée mérite d’être poursuivie ou abandonnée.

Ensuite, la capitalisation du renseignement. L’équipe ingère des rapports publics d’éditeurs tiers, les modélise au format STIX — un standard structuré d’objets liés (campagnes, groupes d’attaquants, indicateurs de compromission) — et enrichit sa base de connaissance. Ce travail, autrefois fastidieux et manuel, est aujourd’hui en grande partie automatisé grâce aux LLM, avec une revue humaine finale. L’analyste se retrouve alors libéré des tâches répétitives pour se concentrer sur ce qui reste hors de portée de l’IA : la création de règles YARA, le développement de trackers d’infrastructure, et l’identification de détails techniques fins qui nécessitent encore un vrai jus de cerveau.

Cet épisode offre un regard rare et concret sur le quotidien d’une équipe CTI de pointe. Entre automatisation intelligente, philosophie d’ergonomie et intégration progressive de l’IA, Charles et Félix décrivent un métier en pleine mutation — où l’analyste humain reste indispensable, mais se concentre désormais sur ce qu’il fait le mieux.