Parce que… c’est l’épisode 0x600!

Shameless plug

• 2 au 4 avril 2025 - Humaco
• 8 et 9 avril 2025 - Cybereco
• 10 au 18 mai 2025 - NorthSec
• 27 au 30 mai 2025 - Cycon
• 4 au 6 juin 2025 - SSTIC
• 12 au 17 octobre 2025 - Objective by the sea v8
• 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
• 17 au 20 novembre 2025 - European Cyber Week
• 25 et 26 février 2026 - SéQCure 2065

Description

Introduction et contexte

Le 600e épisode du podcast Policesécure réunit une assemblée d’experts en cybersécurité pour aborder un sujet particulièrement pertinent : l’obsec (operational security) personnel et la façon dont les professionnels de la sécurité gèrent leurs propres risques numériques. L’animateur Nicolas souligne d’emblée le paradoxe central de cette discussion : bien que ces experts conseillent quotidiennement leurs clients sur les meilleures pratiques de sécurité, ils admettent volontiers ne pas toujours appliquer ces recommandations dans leur vie personnelle.

Cette conversation virtuelle rassemble des professionnels aux parcours variés : Vincent Milette (gestionnaire chez Air Canada), Guillaume Ross (expert en sécurité avec plus de 20 ans d’expérience), Samuel Harper (journaliste spécialisé), Dominique Derrier (consultant en cybersécurité), Catherine Dupont-Gagnon (spécialiste en sensibilisation), Alexandre Fournier (expert en continuité d’activité), Stéphane Laberge (professionnel chevronné) et Andréanne Bergeron (professeure associée à l’Université de Montréal).

Les approches personnelles de la sécurité

Vincent Milette : l’approche pragmatique

Vincent adopte une perspective d’affaires même dans sa vie personnelle. Il privilégie la praticité et évite les solutions trop contraignantes qui pourraient affecter la flexibilité de sa famille. Sa stratégie repose sur la diversification : plusieurs navigateurs selon les contextes, utilisation de VPN pour certaines activités spécifiques, et adaptation aux besoins d’une famille où les niveaux techniques varient considérablement.

Guillaume Ross : l’expert prudent mais réaliste

Guillaume se distingue par sa rigueur concernant les mises à jour système et les sauvegardes. Il maintient un chiffrement systématique de ses données, qu’elles soient locales ou dans le cloud. Cependant, il avoue ne pas utiliser de VPN par paranoïa du WiFi public, préférant s’appuyer sur le chiffrement TLS généralisé. Son approche révèle une contradiction intéressante : parfois, trop de sécurité peut créer des vulnérabilités, comme il l’illustre avec l’anecdote de ses trois appareils dans le même sac contenant son gestionnaire de mots de passe.

Samuel Harper : le journaliste pragmatique

En tant que journaliste d’enquête, Samuel présente un cas d’usage particulier. Il utilise des VPN principalement pour ses recherches sur des infrastructures suspectes et maintient des comptes séparés pour ses investigations. Il souligne la difficulté pratique de maintenir un anonymat total, notamment concernant les numéros de téléphone anonymes, et prône une approche équilibrée entre sécurité et sanité mentale.

Les autres approches

Dominique se décrit comme “pourri” dans son obsec personnel malgré ses conseils professionnels. Catherine révèle les défis liés à son passé en marketing, où elle a construit une présence numérique importante avant de s’intéresser à la cybersécurité. Andréanne propose une philosophie intéressante : éviter la paranoïa excessive tout en maintenant une cohérence entre discours et pratique.

Les anecdotes révélatrices

L’incident de Catherine : un cas d’école de sécurité physique

Catherine partage une anecdote particulièrement instructive de l’époque où elle animait un canal Twitch. En annonçant publiquement ses déplacements vers un café spécifique et en diffusant depuis son appartement avec une fenêtre visible, elle a involontairement fourni assez d’informations pour qu’un spectateur déduise son adresse exacte. Cette histoire illustre parfaitement comment l’ingénierie sociale et l’agrégation d’informations apparemment anodines peuvent compromettre la sécurité personnelle.

Les désastres de sauvegarde

Plusieurs participants partagent leurs expériences de pertes de données. Nicolas raconte avoir perdu des machines complètes à cause de clés de chiffrement perdues, tandis qu’Alexandre évoque sa “formation” précoce à l’importance des sauvegardes après avoir accidentellement supprimé des répertoires entiers sur un mainframe militaire, affectant 200 personnes passant un examen.

La sécurité physique versus numérique

La discussion révèle une dichotomie intéressante entre sécurité numérique et physique. Andréanne avoue une obsession pour la sécurité physique, cachant ses équipements dans des “pièces secrètes” et utilisant des leurres, contrastant avec son approche décontractée de la cybersécurité. Cette différence d’approche soulève des questions sur la perception des menaces et leur hiérarchisation.

Les participants abordent également les défis pratiques des voyages : où laisser son passeport, comment gérer les appareils électroniques, l’utilisation des coffres-forts d’hôtel (généralement considérés comme peu fiables), et les précautions à prendre aux frontières.

Les outils et leur utilisation

Gestionnaires de mots de passe

La conversation révèle des approches variées concernant les gestionnaires de mots de passe. Alors que la plupart utilisent des solutions classiques, Andréanne se distingue en utilisant un algorithme mental personnel pour générer ses mots de passe. Dominique utilise trois voûtes différentes selon le niveau de sensibilité des comptes.

VPN et WiFi public

Les avis divergent considérablement sur l’utilité des VPN. Guillaume argue que le chiffrement TLS généralisé rend les VPN moins critiques pour le WiFi public, tandis que d’autres les utilisent pour des cas spécifiques. La discussion souligne l’importance de comprendre la menace réelle plutôt que de suivre aveuglément des recommandations génériques.

Passkeys et nouvelles technologies

Les participants sont généralement optimistes concernant les passkeys, avec Sony PlayStation citée comme exemple positif d’implémentation, malgré des défis de récupération complexes. L’adoption reste limitée par la fragmentation entre les écosystèmes (Google, Apple, Microsoft).

La fatigue sécuritaire et l’expérience utilisateur

Un thème central émerge : la fatigue sécuritaire. Trop de mesures de sécurité peuvent conduire à l’abandon ou à des pratiques moins sûres. Les participants soulignent l’importance de l’expérience utilisateur dans l’adoption des bonnes pratiques. Les exemples incluent les sites bloquant le copier-coller de mots de passe, les demandes répétitives d’authentification, et les interfaces mal conçues qui poussent les utilisateurs vers des solutions moins sécurisées.

Signal et la communication sécurisée

La discussion sur “Signalgate” illustre les limites des outils de communication sécurisée. Signal offre un excellent chiffrement de bout en bout, mais ne protège pas contre les mauvaises pratiques d’utilisation ou les compromissions d’appareils. Les participants soulignent l’importance de comprendre ce que chaque outil protège réellement versus ce qu’il ne protège pas.

Les menaces modernes et l’évaluation des risques

Au-delà du hacker traditionnel

Les participants identifient des menaces souvent négligées : la manipulation par la publicité ciblée, l’exploitation des données par des courtiers légitimes, et l’utilisation de ces informations par les forces de l’ordre sans mandat. Samuel souligne que cette collecte légale de données personnelles représente souvent une menace plus concrète que les cyberattaques traditionnelles.

L’exemple des employés nord-coréens

La discussion aborde le phénomène des employés nord-coréens infiltrant des entreprises occidentales, illustrant comment les processus de vérification d’identité pour les employés distants sont souvent moins rigoureux que ceux appliqués aux clients.

Évolutions technologiques et perspectives

Les participants notent plusieurs améliorations positives : 99% des connexions Chrome utilisent maintenant TLS, les gestionnaires de mots de passe sont intégrés dans les systèmes d’exploitation, et le chiffrement devient standard. Cependant, des défis persistent, notamment les paramètres par défaut souvent inadéquats et la complexité de maintenance de certaines solutions.

Réflexions sur l’industrie et l’éducation

La conversation révèle une autocritique de l’industrie de la sécurité : les experts reconnaissent leur difficulté à communiquer efficacement avec le grand public. Les conseils sont souvent trop techniques, contradictoires, ou inadaptés au modèle de menace réel des utilisateurs moyens. L’exemple du “carnet de mots de passe” illustre cette déconnexion : universellement critiqué par les experts, il peut pourtant être la solution la plus sécurisée pour certains utilisateurs.

Conclusion

Ce 600e épisode de Policesécure offre une perspective rafraîchissante et honnête sur la sécurité personnelle. En admettant leurs propres failles et contradictions, ces experts humanisent les défis de la cybersécurité. Leur message principal est clair : l’évaluation du risque doit précéder toute mesure de sécurité. Il ne s’agit pas d’atteindre la perfection sécuritaire, mais de trouver un équilibre praticable entre protection et fonctionnalité.

La discussion souligne l’importance de contextualiser les conseils de sécurité selon le profil de menace réel de chaque individu, plutôt que d’appliquer une approche universelle. Elle met également en lumière les défis persistants de l’industrie pour rendre la sécurité accessible et compréhensible pour tous, tout en évitant la fatigue sécuritaire qui peut paradoxalement réduire le niveau de protection global.

Collaborateurs

• Nicolas-Loïc Fortin
• Dominique Derrier
• Stéphane Laberge
• Andréanne Bergeron
• Catherine Dupont-Gagnon
• Samuel Harper
• Vincent Milette
• Guillaume Ross
• Alexandre Fournier

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tag: risque