Ce podcast explore l’évolution de l’utilisation de l’intelligence artificielle dans les compétitions de type Capture The Flag (CTF) en cybersécurité, comparant la situation actuelle à celle d’il y a environ deux ans lorsque les outils d’IA étaient encore peu développés.

Mickael Nadeau constate que les outils d’IA se sont considérablement développés, particulièrement aux États-Unis, avec des intégrations de plus en plus sophistiquées. Ces nouveaux outils offrent:

Alors qu’auparavant, les modèles comme GPT-3.5/3.7 commençaient tout juste à comprendre le code de façon cohérente, l’évolution actuelle permet d’avoir des agents autonomes capables d’interagir avec un ensemble d’outils pour accomplir des tâches complexes. Cette évolution marque une différence majeure avec l’expérience précédente où l’impact de l’IA dans les CTF était marginal.

L’un des aspects les plus prometteurs est l’utilisation de l’IA pour faciliter le travail de décompilation et de reverse engineering, un domaine traditionnellement aride qui demande beaucoup de temps:

Les participants discutent comment cette évolution technologique pourrait transformer les CTF:

Mickael partage son expérience de conception de challenges CTF intégrant de l’IA:

Pour le prochain NSec CTF, Mickael prévoit:

Les intervenants concluent que les CTF devront évoluer face à ces nouvelles technologies:

Le podcast se termine sur la promesse d’un futur épisode pour discuter des résultats de cette expérimentation lors du prochain NSec CTF.

Ce second entretien avec Julien Levrard approfondit les aspects de la souveraineté numérique, en explorant la différence fondamentale entre le protectionnisme économique et la protection des données dans un contexte d’autonomie stratégique.

Julien clarifie que la souveraineté numérique ne doit pas être confondue avec le protectionnisme économique. Alors que le protectionnisme relève des politiques entre États, la souveraineté numérique concerne davantage l’agilité et l’autonomie des acteurs dans leur gestion technologique. Pour OVH Cloud, l’enjeu est d’assurer à leurs clients des services qui leur permettent d’évoluer sans risques juridiques ou opérationnels malgré les tensions internationales.

Julien identifie plusieurs formes de verrouillage client :

OVH Cloud valorise la réversibilité et s’engage à faciliter tant l’arrivée que le départ des clients. Cette approche se matérialise par l’adoption de standards ouverts (comme S3) et l’utilisation de technologies open source.

La protection contre les demandes extraterritoriales s’organise sur trois niveaux :

L’intégration verticale d’OVH Cloud (peu de dépendance à des tiers) leur confère une maîtrise plus complète de ces leviers d’indépendance.

Julien nuance l’importance du chiffrement dans la souveraineté numérique :

OVH a développé un service KMS (Key Management Service) conforme aux standards KMIP, contrairement aux implémentations propriétaires des hyperscalers américains. Cette approche standardisée facilite l’intégration pour les clients et préserve leur liberté de migration.

Julien explique la dualité dans leur approche :

Cette double approche crée une tension constructive : penser en termes de risques tout en justifiant la conformité. Parfois, une exigence de conformité peut diminuer la sécurité réelle, nécessitant un dialogue avec les auditeurs pour expliquer pourquoi certaines déviations sont justifiées.

La souveraineté numérique chez OVH se traduit paradoxalement par une ouverture (standards, interopérabilité) plutôt qu’une fermeture. Cette approche permet aux clients de rester maîtres de leurs données tout en bénéficiant d’une collaboration technologique internationale. La discussion se termine sur l’intérêt d’approfondir ultérieurement le référentiel SecNumCloud, qui représente un modèle potentiellement pertinent pour le Canada.

Gabriel St-Hilaire, enseignant au Cégep Seigneur de Sichel depuis une dizaine d’années et spécialiste en développement d’applications web, a mené une recherche dans le cadre de sa maîtrise en cybersécurité à l’Université de Sherbrooke. Sa recherche porte sur l’utilisation de ChatGPT pour aider au développement sécuritaire.

La problématique qui a motivé cette recherche est simple : pourquoi les programmeurs continuent-ils à faire des erreurs de sécurité dans leur code malgré l’enseignement des bonnes pratiques ? Pour répondre à cette question, Gabriel a exploré la littérature scientifique et identifié trois constats majeurs :

Gabriel a ensuite examiné l’efficacité des méthodes actuelles pour détecter les vulnérabilités :

Face à ces lacunes, Gabriel s’est intéressé au potentiel de l’intelligence artificielle pour améliorer la détection des vulnérabilités. Deux éléments sont ressortis de ses recherches :

Gabriel souligne que l’IA générative présente un double avantage : non seulement elle peut analyser le code, mais elle permet aussi d’entamer un dialogue pour comprendre les problèmes détectés, ce qui en fait un excellent outil pédagogique.

Pour tester l’efficacité de ChatGPT dans un contexte réaliste, Gabriel a :

Les résultats ont été analysés selon trois critères :

ChatGPT a atteint un taux de détection complète (avec le bon code CWE) d’environ 17-19%, ce qui est faible. Cependant, en incluant les détections partielles, le taux monte à environ 56%, ce qui est supérieur aux revues de code humaines et aux outils d’analyse statique actuels.

Gabriel a identifié plusieurs limites et pistes d’amélioration :

Pour améliorer ces résultats, Gabriel suggère :

Cette recherche ouvre la voie à une meilleure intégration de l’IA dans les processus de développement sécuritaire, non seulement pour détecter les vulnérabilités mais aussi pour aider les développeurs à les comprendre et les corriger.

Ce podcast présente un format ludique où différents invités viennent répondre à des questions tirées au hasard grâce à une “roue” qui détermine la nature des questions (sérieuses ou drôles). L’animation est décontractée et les participants, qualifiés de “cobails” (cobayes), sont sélectionnés successivement par le précédent participant.

L’émission adopte un format de jeu où les participants doivent tourner une roue qui détermine le type de question qu’ils recevront (sérieuse, drôle, à développement). Ils répondent puis choisissent la personne suivante qui viendra participer. L’animateur précise qu’il n’est “pas responsable des questions” qui semblent avoir été préparées par les organisateurs.

Politiques de l’ONU : Un participant a tenté de deviner l’année où l’ONU s’est engagée dans une réflexion sur les enjeux du numérique et de la cybersécurité (réponse : 2003)

Intelligence artificielle en entreprise : Discussion sur la façon dont les entreprises devraient aborder l’IA dans leurs outils de bureau. Un participant suggère de faire fonctionner l’IA en local plutôt que dans le cloud pour des raisons de sécurité des données.

Formation en cybersécurité : Débat sur la qualité de la formation des étudiants en cybersécurité dans les institutions d’enseignement. Les participants s’accordent à dire que l’apprentissage autodidacte, les CTF (Capture The Flag) et l’implication dans la communauté sont souvent plus formateurs que les cursus académiques.

Souveraineté numérique : Question sur la pertinence d’utiliser des services canadiens plutôt que ceux de géants américains comme Microsoft, Amazon et Google. Discussion sur les défis de la “monoculture” technologique et l’importance de la diversification des solutions.

Budget cybersécurité pour PME : Question sur les priorités d’investissement en cybersécurité pour les PME québécoises. Un participant conseille de ne pas surinvestir dans des outils DevOps au détriment de la sécurité du code lui-même.

Attrait de la cybersécurité : Réflexion sur les raisons pour lesquelles un jeune choisirait de travailler en cybersécurité en 2025, notamment la nécessité d’avoir une vision holistique et la résistance à l’automatisation par l’IA.

Plusieurs questions portaient sur l’année de lancement de diverses technologies et plateformes :

Un participant a partagé comme cas insolite de cybersécurité une situation où une personne chargée de la formation contre le phishing envoyait des liens de test qui étaient eux-mêmes des pièges de phishing, créant ainsi une méta-formation où même les messages de sensibilisation devaient être analysés avec prudence.

L’ambiance est décontractée et conviviale, avec des participants qui se montrent parfois surpris ou amusés par les questions. L’animateur maintient un ton léger tout en permettant des discussions plus approfondies sur certains sujets sérieux. La roue utilisée pour sélectionner les questions semble avoir été endommagée au cours de l’enregistrement, ce qui est devenu un running gag.

Le podcast mêle ainsi expertise technique, culture numérique et humour dans un format accessible et interactif qui permet d’aborder des sujets de cybersécurité variés sous un angle détendu.

Dans ce podcast, Omar Abdul-Wahab, professeur adjoint à Polytechnique Montréal spécialisé en cybersécurité et cyberdéfense, présente le concept crucial de la défense en profondeur dans un contexte technologique moderne et complexe.

Omar souligne que le concept de défense en profondeur n’est plus un luxe mais une nécessité absolue dans un environnement où les entreprises utilisent simultanément des infrastructures TI traditionnelles, des services cloud, des objets connectés (IoT) et l’intelligence artificielle. La complexité croissante de ces environnements multitechnologiques exige une approche de sécurité qui prend en compte les spécificités de chaque couche et leurs interactions.

Omar identifie trois défis majeurs :

Pour répondre à ces défis, Omar suggère :

Le cloud présente des défis spécifiques qui diffèrent de l’infrastructure TI traditionnelle :

Solutions proposées :

L’IoT présente des défis encore plus distincts :

Omar suggère de combiner des approches mathématiques et de machine learning pour développer des solutions plus généralisables et adaptables à l’hétérogénéité de l’IoT.

L’IA, tout en étant un outil de défense, présente elle-même des risques de sécurité, notamment :

Face à la difficulté de détecter ces attaques, Omar recommande de se concentrer sur la résilience : entraîner les modèles à résister aux attaques en injectant délibérément des backdoors simulés pendant l’entraînement pour renforcer leur robustesse.

Omar Abdul-Wahab conclut en insistant sur l’importance d’une véritable architecture de cyberdéfense en profondeur intégrant les spécificités de chaque couche technologique et leurs interactions. Dans un monde où les organisations utilisent nécessairement plusieurs de ces couches simultanément, comprendre leurs vulnérabilités particulières et développer des stratégies de défense adaptées est crucial pour une cybersécurité efficace.

Dans cet épisode, Nicolas et Vanessa Deschênes discutent de l’importance de la dimension humaine dans le domaine de la cybersécurité, en revenant sur la conférence donnée par Vanessa.

Vanessa commence par remettre en question la vision répandue de l’humain comme “le maillon le plus faible” en cybersécurité. Elle préfère parler de l’humain comme “le maillon le plus complexe”, soulignant que cette complexité se retrouve dans son mode de fonctionnement, sa pensée et ses perceptions. Dans les domaines techniques, cette dimension humaine est souvent négligée, alors qu’elle est fondamentale pour éviter les conflits de perception.

Les deux intervenants partagent leurs expériences personnelles similaires : au début de leur carrière, ils adoptaient une posture de confrontation, cherchant à démontrer leur expertise technique et à “gagner” face à leurs interlocuteurs.

Vanessa raconte une anecdote concernant des débats sur la définition du “renseignement personnel”, où elle considérait que les autres étaient “incompétents”. Elle a réalisé plus tard que le problème venait du fait que chacun parlait un langage différent, utilisant l’analogie du chiffre 6 ou 9 selon l’angle de vue. Cette prise de conscience a transformé son approche, l’amenant à poser plus de questions pour comprendre l’autre, plutôt que de dépenser de l’énergie à le convaincre.

Nicolas confirme avoir vécu le même parcours, passant d’une position rigide et technique à une approche plus collaborative, comprenant que l’objectif n’est pas de “gagner” mais de “construire ensemble”.

Les intervenants discutent de la terminologie : ce qu’on appelle “soft skills” (compétences douces) est désormais plutôt qualifié de “power skills” (compétences de puissance) par les experts. Ces compétences humaines ne sont pas “molles” mais complexes et difficiles à maîtriser, parfois plus que les compétences techniques. Elles permettent d’améliorer considérablement l’efficacité professionnelle en facilitant les interactions.

Un aspect important abordé est le storytelling comme outil de communication efficace. Plutôt que d’assener des faits et des chiffres froids, raconter une histoire qui touche émotionnellement l’interlocuteur permet une meilleure mémorisation et adhésion. Les études montrent que l’émotion est ce qui ancre l’information dans la mémoire.

Nicolas souligne comment son style de communication a évolué d’un mode très factuel à une approche plus narrative, où les chiffres viennent en appui d’une histoire plutôt que l’inverse. Cette approche permet d’adapter son vocabulaire au contexte de l’interlocuteur et de créer des ponts entre différents domaines d’expertise.

Vanessa explique que la peur peut être un levier d’influence puissant, car l’humain est plus sensible à l’idée de perdre quelque chose qu’à celle de gagner. Cependant, elle met en garde contre un usage excessif qui pourrait paralyser la prise de décision en générant trop de stress. Il faut trouver un juste milieu pour être efficace sans être contre-productif.

En conclusion, Vanessa recommande de partir de la curiosité, qualité répandue chez les professionnels de la cybersécurité. Utiliser cette curiosité pour comprendre le point de vue de l’autre permet de réduire l’écart entre les personnes et de maintenir une posture d’ouverture plutôt que de défense. Cette approche favorise la collaboration et l’enrichissement mutuel plutôt que la confrontation.

Cette conversation illustre l’évolution de professionnels techniques vers une approche plus humaine et collaborative, démontrant que la maîtrise des compétences relationnelles peut être aussi cruciale que l’expertise technique dans les domaines de la cybersécurité et de la conformité.

Ce podcast aborde les défis de sécurité liés à la migration vers l’infonuagique (cloud computing) et les incidents qui en découlent. Cédric Thibault, expert en sécurité cloud chez KPMG, partage son expertise sur les tendances actuelles en matière de cyberattaques ciblant les environnements cloud.

L’augmentation des incidents de sécurité dans l’infonuagique suit logiquement la migration massive des charges de travail vers ces environnements. Selon les statistiques partagées :

Cette tendance s’explique par le fait que les données et les charges de travail se sont massivement déplacées vers le cloud, notamment accélérées par la période de confinement, attirant naturellement l’attention des attaquants.

Un des problèmes majeurs identifiés est la mauvaise compréhension du modèle de responsabilité partagée. De nombreuses organisations migrent vers le cloud pour des raisons de sécurité mais oublient que les fournisseurs cloud ne sécurisent que leur infrastructure et non ce que les clients y déploient.

Cette confusion est particulièrement prononcée pour les services SaaS où les clients pensent, à tort, que toute la sécurité est prise en charge par le fournisseur. Cédric compare les outils de sécurité cloud à une “boîte à outils” mise à disposition, qui reste inutile si personne ne s’en sert correctement.

L’identité est devenue la nouvelle frontière de sécurité dans le cloud, remplaçant les pare-feu traditionnels. Les problèmes majeurs incluent :

Un exemple concret partagé : un client utilisant uniquement M365 s’est fait compromettre via un compte disposant de permissions pour créer des souscriptions Azure, permettant à l’attaquant de déployer des ressources pour du crypto-mining.

Les erreurs de configuration, notamment des stockages cloud (buckets S3, blobs, etc.), restent un vecteur d’attaque important :

Les serveurs exposés avec des authentifications faibles permettent aux attaquants d’accéder à la couche de gestion cloud, notamment via :

Un vecteur émergent concerne les attaques ciblant les pipelines d’intégration et déploiement continus :

Les attaquants profitent pleinement des avantages du cloud :

Cédric suggère plusieurs approches pour améliorer la sécurité :

Cette transition vers le cloud nécessite un changement culturel et une évolution des pratiques de sécurité, au-delà des simples outils techniques.

Dans cet épisode spécial du podcast on s’entretient avec Dimitri Souleliac, un expert en cybersécurité qui, après avoir débuté sa carrière en France puis passé dix ans au Québec, s’est établi en Nouvelle-Zélande depuis environ sept ans où il dirige sa propre entreprise.

Dimitri présente d’abord la Nouvelle-Zélande comme un petit pays composé de deux îles totalisant 5 millions d’habitants, dont seulement 1 million sur l’île du Sud où il réside. Pour mettre ces chiffres en perspective, il souligne que le Québec compte 8 millions d’habitants et que Montréal seule a deux fois plus d’habitants que toute l’île du Sud.

Ce qui a attiré Dimitri en Nouvelle-Zélande n’est pas l’expertise en cybersécurité ou un client particulier, mais plutôt le style de vie. Il apprécie particulièrement la possibilité de prendre du recul par rapport aux événements mondiaux et de véritablement déconnecter après sa journée de travail, dans un environnement naturel qu’il qualifie d’incroyable.

Depuis la Nouvelle-Zélande, Dimitri peut travailler avec des clients du monde entier grâce à une position centrale dans les fuseaux horaires : le matin avec l’Amérique du Nord, la journée avec l’Australie, la Nouvelle-Zélande et l’Asie-Pacifique, et le soir avec l’Europe. Cette flexibilité lui a permis de créer sa société Corésilium, offrant son expertise à diverses entreprises internationales.

La relation entre la Nouvelle-Zélande et l’Australie (26 millions d’habitants) est comparable à celle entre le Canada et les États-Unis. De nombreux Néo-Zélandais vont se former en cybersécurité puis travaillent en Australie où les opportunités sont plus nombreuses, avant parfois de revenir s’installer en Nouvelle-Zélande pour le style de vie.

L’écosystème régional inclut également les îles de la Polynésie (Samoa, Tonga, Fiji, îles Cook) et des territoires français comme la Nouvelle-Calédonie. Bien que ces marchés soient plus petits, ils ont des besoins importants en matière de sécurité des opérateurs télécom, d’énergie et d’infrastructures essentielles.

Un aspect fascinant évoqué par Dimitri est la différence dans la perception du risque en Nouvelle-Zélande. Contrairement à l’Europe qui a connu des guerres sur son territoire, la Nouvelle-Zélande n’a jamais été le théâtre de conflits armés. De plus, contrairement à l’Australie où la faune peut être dangereuse, la Nouvelle-Zélande n’abrite pas de prédateurs ou d’animaux venimeux.

Cette absence historique de menaces a forgé une culture où les gens se sentent généralement en sécurité et font facilement confiance, ce qui peut les rendre vulnérables aux cyberattaques. Dimitri observe que les Néo-Zélandais sous-estiment souvent la menace cybernétique, mais sont paradoxalement bien préparés aux catastrophes naturelles comme les tremblements de terre ou tsunamis.

L’écosystème cybersécurité néo-zélandais comprend plusieurs événements notables comme le Kiwicon (devenu Kawai Con) à Wellington et le Christchurch Hacking Conference. Dimitri évoque aussi le “CH Camp”, un concept original de conférence en format camp d’été où les participants campent et partagent leurs connaissances autour d’un feu.

La Nouvelle-Zélande se distingue par une approche beaucoup plus libérale et simplifiée en matière de réglementation. Contrairement à l’Europe avec le RGPD ou au Québec avec la Loi 25, le pays n’a pas d’équivalent strict pour la protection des renseignements personnels. Créer une entreprise y est extrêmement simple - la Nouvelle-Zélande et Singapour sont classées numéro 1 et 2 des pays de l’OCDE pour la facilité de création d’entreprise.

Cette simplicité juridique s’explique en partie par le fait que le pays est une juridiction unique, sans provinces ni états, contrairement au Canada, aux États-Unis ou à l’Australie. Cependant, cette approche plus laxiste inquiète Dimitri concernant la protection des données personnelles.

Sur le plan géopolitique, la Nouvelle-Zélande occupe une position singulière. Membre du Commonwealth et des “Five Eyes” avec les États-Unis, le Royaume-Uni, le Canada et l’Australie, elle partage des informations sur les menaces et risques cybernétiques avec ces pays. Cependant, son principal client commercial est la Chine, à qui elle exporte massivement des produits agricoles et laitiers.

Cette situation économique conduit à une posture plus neutre dans les discours officiels. Contrairement au Canada ou aux États-Unis où l’attribution des cyberattaques à des acteurs étatiques comme la Chine ou la Russie est courante, la Nouvelle-Zélande maintient généralement une position plus diplomatique.