Ce podcast réunit un panel d’experts en cybersécurité lors de l’événement NortSsec, avec comme participants : Olivier Arteau (recherche académique, créateur du prototype pollution), Joey D. (superviseur d’équipe d’analyse au Centre canadien pour la cybersécurité), Jean-Philippe Décarie-Mathieu (analyste principal chez Cyber Québec), Estelle Ruellan (chercheuse en cybersécurité chez Flair spécialisée en data science), et François Proulx (vice-président recherche chez Boost Security, expert en supply chain security).

La discussion s’ouvre sur la question troublante de la souveraineté numérique, particulièrement concernant les récents bouleversements autour du système CVE (Common Vulnerabilities and Exposures). L’administration américaine a menacé de couper le financement de MITRE, l’organisme gérant les CVE, créant une crise qui a révélé la dépendance occidentale aux infrastructures numériques américaines. En réaction, l’Europe a rapidement développé son propre système équivalent.

Les panélistes voient cette fragmentation comme potentiellement positive. Estelle note que dans la recherche sur le dark web, ce qui compte est l’adoption par les utilisateurs plutôt que l’uniformité des standards. Jean-Philippe souligne que beaucoup de vulnérabilités n’avaient déjà pas de CVE, et qu’avoir des doublons pourrait accélérer l’attribution de numéros. Il perçoit cette situation comme une opportunité de revoir un système CVE critiqué pour son manque de précision et sa gestion centralisée problématique.

François appuie cette vision, qualifiant ce bouleversement de “shakeup nécessaire” qui force à repenser une dépendance de quinze ans aux États-Unis. Joey y voit une contre-vérification bénéfique, rappelant que l’industrie s’adapte déjà aux nomenclatures multiples pour l’attribution d’acteurs malveillants.

Olivier partage son expérience de création de CVE, expliquant que MITRE préfère que les demandes passent par des intermédiaires (entreprises ou organisations) plutôt que directement par les chercheurs. Cette structure limite les soumissions de faible qualité mais oblige les chercheurs à “s’agenouiller” devant les entreprises pour obtenir des crédits. François confirme cette approche via GitHub Security Advisory, tandis que François mentionne son expérience chez Intel/McAfee comme autorité de numérotation CVE.

Les experts s’accordent sur le fait que la fragmentation ne pose pas de problème majeur tant que les informations essentielles (produits affectés, versions, standards) restent cohérentes. Joey souligne que le vrai problème était la dépendance à un point de défaillance unique. Cette diversification pourrait même être salutaire en évitant qu’une seule interruption paralyse l’industrie entière.

La discussion évoque la possibilité d’un système décentralisé de type fédératif, mais les panélistes restent prudents quant aux résistances des entreprises ayant des blocs CVE pré-alloués.

La conversation prend une tournure géopolitique avec l’analyse de la dépendance canadienne aux infrastructures américaines. François note que la Chine a développé son propre système de gestion des vulnérabilités avec contrôle étatique, gardant un accès prioritaire avant publication publique. Pour les autres pays (Iran, Russie, Corée du Nord), la distinction est faite entre espionnage d’État et cybercriminalité, cette dernière tendant à utiliser les outils existants par facilité.

Les panélistes soulignent l’ironie de l’administration Trump abandonnant volontairement une position de dominance stratégique dans le renseignement cyber, révélant la vulnérabilité occidentale. Jean-Philippe évoque la dépendance canadienne au renseignement des Five Eyes, particulièrement face à des États-Unis potentiellement hostiles.

La discussion se tourne vers les solutions concrètes pour réduire la dépendance technologique. Jean-Philippe identifie un problème historique de valorisation du talent technique au Canada, où la mentalité était d’aller travailler aux États-Unis pour du travail de pointe. Cette fuite des cerveaux a affaibli les capacités canadiennes.

François exprime sa fierté envers son équipe “world-class” chez Boost Security, soulignant que le talent canadien existe et peut rivaliser internationalement. Le défi est l’adoption de produits canadiens face au monopole des logiciels américains. Estelle note que même avec d’excellents produits locaux, l’adoption prend du temps face à la domination mainstream américaine.

L’exemple de CanCyber est évoqué comme modèle d’initiative gouvernementale réussie. Ce projet fédéral donnait accès gratuit à du renseignement de menaces et des services de cybersécurité aux PME, particulièrement précieux pour les entreprises ne pouvant s’offrir des solutions coûteuses. Malheureusement supprimé après un changement de ministre, il illustre le potentiel canadien mais aussi la fragilité politique de ces initiatives.

Joey confirme que des services similaires existent encore via le CCCS pour les secteurs critiques, mais sous une forme différente.

Jean-Philippe souligne l’importance du lobbying pour la pérennité des initiatives technologiques. Le milieu IT s’investit peu en politique, contrairement aux industries ayant des lobbyistes payés. La communauté cybersécurité doit s’organiser via des OBNL pour porter ses enjeux politiquement.

NorthSec est identifié comme un véhicule potentiel, démocratisant la cybersécurité pour les PME et permettant l’échange entre secteurs public et privé. CyberEcho, partenaire principal financé par les banques canadiennes, représente aussi un bon véhicule d’influence avec une vision à long terme.

Un point crucial émerge sur la tendance de la communauté cybersécurité à “prêcher entre convertis”. Olivier insiste sur la nécessité de transcender leur écosystème pour influencer les décideurs et le grand public. Il encourage les experts à donner des entrevues médiatiques malgré les risques, ayant lui-même influencé des ministres via Radio-Canada.

Les obstacles identifiés incluent : la peur d’être mal cité (Jean-Philippe), les stéréotypes sur les “nerds” de la cyber (Estelle), et la difficulté de vulgariser des sujets techniques complexes. Historiquement, la communauté hacker était hostile aux médias et très élitiste, culture qui évolue heureusement vers plus de permissivité.

Joey mentionne l’initiative CyberSci qui coach les étudiants canadiens en CTF, avec l’équipe gagnante représentant le Canada internationalement. L’exemple danois est cité, où les médias mainstream ont couvert leur équipe CTF comme un sport, popularisant ainsi la cybersécurité.

Le panel conclut sur l’importance de déconstruire l’élitisme historique de la communauté pour permettre l’émergence de nouveaux talents et améliorer la communication externe. La période d’incertitude géopolitique, bien que déstabilisante, offre une opportunité de repenser la souveraineté numérique canadienne et de valoriser l’expertise locale.

Les experts s’accordent sur la nécessité d’actions concrètes : développer des alternatives canadiennes aux solutions américaines, renforcer le lobbying communautaire via des OBNL, améliorer la communication publique des enjeux cybersécuritaires, et surtout, surmonter la réticence à s’exposer médiatiquement pour influencer les politiques publiques.

Cette discussion révèle une communauté cybersécuritaire canadienne consciente de ses défis mais confiante en ses capacités, prête à saisir l’opportunité créée par l’instabilité géopolitique actuelle pour affirmer sa souveraineté numérique.