Ce panel enregistré lors du BSides Montréal 2025 réunit plusieurs experts en cybersécurité pour discuter des défis actuels de l’industrie, notamment la gestion des incidents, la protection des PME et l’évolution rapide des menaces.

La discussion débute avec l’analyse de la récente faille Salesforce impliquant Drift, qui a exposé des tokens d’authentification permettant aux attaquants d’énumérer les instances Salesforce de nombreuses organisations. Olivier Bilodeau explique comment cette brèche a déclenché une attaque de supply chain en profondeur, touchant des entreprises comme J Frog et HP Enterprise. Le groupe Shiny Hunters est identifié comme l’acteur de menace derrière cette campagne.

Cette situation illustre la vitesse alarmante à laquelle les incidents se déroulent aujourd’hui. En seulement deux jours, quatorze articles ont été publiés avec des informations contradictoires, forçant les professionnels à démêler constamment de nouvelles données. Les panélistes soulignent la difficulté de répondre aux questions des clients lorsque l’information évolue si rapidement et que ce qui était vrai il y a quelques heures ne l’est plus.

Les experts décrivent la pression intense de devoir réagir rapidement aux incidents médiatisés. Dès qu’une vulnérabilité reçoit un nom et apparaît dans la presse, les clients appellent pour obtenir des réponses, même s’ils ne sont pas directement affectés. Cette dynamique transforme les professionnels en “psychologues de la menace” dont le rôle principal devient la réassurance plutôt que l’analyse technique.

Le problème est amplifié par la course au marketing dans l’industrie, où les entreprises se précipitent pour être les premières à publier sur un incident, quitte à dire peu de choses substantielles ou à partager des informations qui seront invalidées vingt-quatre heures plus tard. Cette urgence de communication nuit à la qualité de l’analyse et crée de la confusion.

Un thème central du podcast concerne la vulnérabilité des petites et moyennes entreprises. Les panélistes constatent que les PME représentent 80 % de la main-d’œuvre au Québec, mais constituent un angle mort majeur en cybersécurité. Ces entreprises manquent souvent de ressources, d’expertise et d’accès à l’information nécessaire pour se protéger adéquatement.

Le problème est particulièrement préoccupant car ces PME sont souvent des fournisseurs de grandes organisations. Comme le démontre l’incident Drift, un petit fournisseur peut devenir la porte d’entrée pour compromettre des géants de l’industrie. Pascal Gad souligne qu’un incident de fin de semaine peut coûter entre 100 000 et 120 000 dollars, alors que des mesures préventives comme un EDR coûteraient environ 4 000 dollars par mois.

La discussion révèle une problématique importante concernant les fournisseurs de services managés. Beaucoup de MSP, particulièrement en région, n’ont pas l’expertise nécessaire en cybersécurité mais offrent quand même ces services. Certains se limitent à vérifier le tableau de bord d’un pare-feu Fortinet sans réelle analyse approfondie.

Les panélistes comparent cette situation à quelqu’un qui s’improviserait chirurgien : ce n’est pas parce qu’on offre un service qu’on a les compétences pour le faire correctement. Le problème est aggravé par le fait que les PME ne savent souvent pas ce qu’elles achètent en matière de cybersécurité, permettant aux MSP peu scrupuleux de vendre à peu près n’importe quoi.

Un débat émerge sur la difficulté de faire investir les entreprises en prévention plutôt qu’en réaction. Les panélistes observent qu’historiquement, les investissements significatifs en cybersécurité ne surviennent qu’après un incident. Cette fenêtre d’opportunité ne dure que quinze jours avant que tout redevienne “business as usual”.

La sensibilisation seule ne suffit pas, comme en témoigne le fait que les mêmes messages sont répétés depuis dix ou vingt ans sans changement significatif des comportements. La loi 25 au Québec est citée comme exemple de réglementation qui, malgré ses imperfections, force les entreprises à se conformer à des standards minimums acceptables.

La conversation aborde l’adoption lente des nouvelles technologies de sécurité comme les passkeys. Bien que ces solutions représentent une avancée majeure, leur déploiement prend du temps en raison de la complexité pour les utilisateurs finaux. Les panélistes reconnaissent que même eux-mêmes n’ont pas tous fait la transition, illustrant le défi d’adoption au niveau du grand public.

L’analogie avec l’histoire médicale est frappante : tout comme il a fallu des décennies pour que les chirurgiens adoptent le simple geste de se laver les mains, les changements de comportement en cybersécurité nécessitent du temps et de la patience.

Un point crucial soulevé concerne l’importance des compétences en communication. Les professionnels de la cybersécurité doivent apprendre à parler en termes de risques d’affaires plutôt qu’en jargon technique. Les exercices de registres de risques fonctionnent bien car ils permettent aux dirigeants non techniques de comprendre les enjeux en termes d’impact et de probabilité.

Dominique Derrier insiste sur le fait que ce qui se vend avant tout, c’est la confiance. Les clients ne font pas appel à un professionnel pour des produits, mais pour une relation de confiance où ils peuvent partager leurs vulnérabilités sans crainte.

Le panel conclut sur la nécessité probable d’une régulation accrue. Comparant la situation à celle des services d’incendie ou de santé publique, les experts suggèrent qu’un niveau minimum de cybersécurité devrait peut-être devenir un service public ou être strictement réglementé, comme c’est le cas pour l’ingénierie ou la médecine.

Les initiatives européennes comme NIS2 et DORA sont mentionnées comme exemples de réglementations fortes qui établissent un “niveau d’eau” égal pour toutes les entreprises. Cette approche évite que certaines organisations prennent des raccourcis pour obtenir un avantage économique au détriment de la sécurité collective.

Le titre de l’épisode, “Les bœufs sont lents mais la terre est patiente”, capture parfaitement le message central : les changements en cybersécurité prennent du temps, mais ils finissent par arriver. L’industrie doit accepter que l’évolution se mesure en décennies plutôt qu’en mois, tout en continuant à pousser pour des améliorations constantes.