Actu - 2 novembre 2025
02 novembre 2025
Parce que... c'est l'épisode 0x655!
Teknik - Dans le feu des tranchés, opérer le SOC au Hackfest
23 octobre 2025
Parce que... c'est l'épisode 0x654!
PME - NotPetya, l'histoire des dommages collatéraux
17 septembre 2025
Parce que... c'est l'épisode 0x653!
Le monde selon Cyber Citoyen et Polysécure collab no9
22 octobre 2025
Parce que... c'est l'épisode 0x652!
Actu - 26 octobre 2025
26 octobre 2025
Parce que... c'est l'épisode 0x651!
Teknik - The Overlooked Playground - An Attacker’s Journey Through GCP
13 septembre 2025
Parce que... c'est l'épisode 0x650!
PME - Balayage de vulnérabilités vs test d'intrusion avec des ninjas
17 septembre 2025
Parce que... c'est l'épisode 0x649!
Spécial - Entretiens avec Miguel De Bruycker du Centre pour la Cybersécurité Belgique
14 octobre 2025
Parce que... c'est l'épisode 0x648!
Actu - 19 ocotbre 2025
19 octobre 2025
Parce que... c'est l'épisode 0x647!
Spécial - Structurer l'expatriation
07 juillet 2025
Parce que... c'est l'épisode 0x646!
Teknik - Browser Detection and Response
10 juillet 2025
Parce que... c'est l'épisode 0x645!
PME - Les certifications
17 septembre 2025
Parce que... c'est l'épisode 0x644!
Actu - 12 octobre 2025
12 ocotbre 2025
Parce que... c'est l'épisode 0x643!
Teknik - Tendance pour terminer 2025
01 octobre 2025
Parce que... c'est l'épisode 0x642!
PME - La sécurité, trop cher?
17 septembre 2025
Parce que... c'est l'épisode 0x641!
Teknik - BloodHound et OpenGraph
13 septmbre 2025
Parce que... c'est l'épisode 0x640!
Actu - 5 octobre 2025
05 octobre 2025
Parce que... c'est l'épisode 0x639!
Spécial - Responsabilité IA
22 mai 2025
Parce que... c'est l'épisode 0x638!
PME - Petit quiz PME ou que ce que vous avez toujours voulu savoir
26 juillet 2025
Parce que... c'est l'épisode 0x637!
Le monde selon Cyber Citoyen et Polysécure édition GoSec (collab no8)
11 septembre 2025
Parce que... c'est l'épisode 0x636!
Actu - 28 septembre 2025
28 septembre 2025
Parce que... c'est l'épisode 0x635!
Spécial - Reconversion en cybersécurité
22 juillet 2025
Parce que... c'est l'épisode 0x634!
PME - Protection des renseignements personelles
26 juillet 2025
Parce que... c'est l'épisode 0x633!
Actu - 21 septembre 2025
21 septembre 2025
Parce que... c'est l'épisode 0x632!
Spécial - Les boeufs sont lents mais la terre est patiente (Panel au BSides Montréal 2025)
13 septembre 2025
Parce que... c'est l'épisode 0x631!
Parce que… c’est l’épisode 0x631!
Shameless plug
- 12 au 17 octobre 2025 - Objective by the sea v8
- 14 et 15 octobre 2025 - ATT&CKcon 6.0
- 14 et 15 octobre 2025 - Forum inCyber Canada
- Code rabais de 30% - CA25KDUX92
- 4 et 5 novembre 2025 - FAIRCON 2025
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2026
Description
Ce panel enregistré lors du BSides Montréal 2025 réunit plusieurs experts en cybersécurité pour discuter des défis actuels de l’industrie, notamment la gestion des incidents, la protection des PME et l’évolution rapide des menaces.
La faille Salesforce et les attaques de supply chain
La discussion débute avec l’analyse de la récente faille Salesforce impliquant Drift, qui a exposé des tokens d’authentification permettant aux attaquants d’énumérer les instances Salesforce de nombreuses organisations. Olivier Bilodeau explique comment cette brèche a déclenché une attaque de supply chain en profondeur, touchant des entreprises comme J Frog et HP Enterprise. Le groupe Shiny Hunters est identifié comme l’acteur de menace derrière cette campagne.
Cette situation illustre la vitesse alarmante à laquelle les incidents se déroulent aujourd’hui. En seulement deux jours, quatorze articles ont été publiés avec des informations contradictoires, forçant les professionnels à démêler constamment de nouvelles données. Les panélistes soulignent la difficulté de répondre aux questions des clients lorsque l’information évolue si rapidement et que ce qui était vrai il y a quelques heures ne l’est plus.
La pression de la communication en temps de crise
Les experts décrivent la pression intense de devoir réagir rapidement aux incidents médiatisés. Dès qu’une vulnérabilité reçoit un nom et apparaît dans la presse, les clients appellent pour obtenir des réponses, même s’ils ne sont pas directement affectés. Cette dynamique transforme les professionnels en “psychologues de la menace” dont le rôle principal devient la réassurance plutôt que l’analyse technique.
Le problème est amplifié par la course au marketing dans l’industrie, où les entreprises se précipitent pour être les premières à publier sur un incident, quitte à dire peu de choses substantielles ou à partager des informations qui seront invalidées vingt-quatre heures plus tard. Cette urgence de communication nuit à la qualité de l’analyse et crée de la confusion.
Les PME : le maillon faible de la chaîne
Un thème central du podcast concerne la vulnérabilité des petites et moyennes entreprises. Les panélistes constatent que les PME représentent 80 % de la main-d’œuvre au Québec, mais constituent un angle mort majeur en cybersécurité. Ces entreprises manquent souvent de ressources, d’expertise et d’accès à l’information nécessaire pour se protéger adéquatement.
Le problème est particulièrement préoccupant car ces PME sont souvent des fournisseurs de grandes organisations. Comme le démontre l’incident Drift, un petit fournisseur peut devenir la porte d’entrée pour compromettre des géants de l’industrie. Pascal Gad souligne qu’un incident de fin de semaine peut coûter entre 100 000 et 120 000 dollars, alors que des mesures préventives comme un EDR coûteraient environ 4 000 dollars par mois.
Le rôle ambigu des MSP et MSSP
La discussion révèle une problématique importante concernant les fournisseurs de services managés. Beaucoup de MSP, particulièrement en région, n’ont pas l’expertise nécessaire en cybersécurité mais offrent quand même ces services. Certains se limitent à vérifier le tableau de bord d’un pare-feu Fortinet sans réelle analyse approfondie.
Les panélistes comparent cette situation à quelqu’un qui s’improviserait chirurgien : ce n’est pas parce qu’on offre un service qu’on a les compétences pour le faire correctement. Le problème est aggravé par le fait que les PME ne savent souvent pas ce qu’elles achètent en matière de cybersécurité, permettant aux MSP peu scrupuleux de vendre à peu près n’importe quoi.
Prévention versus réaction
Un débat émerge sur la difficulté de faire investir les entreprises en prévention plutôt qu’en réaction. Les panélistes observent qu’historiquement, les investissements significatifs en cybersécurité ne surviennent qu’après un incident. Cette fenêtre d’opportunité ne dure que quinze jours avant que tout redevienne “business as usual”.
La sensibilisation seule ne suffit pas, comme en témoigne le fait que les mêmes messages sont répétés depuis dix ou vingt ans sans changement significatif des comportements. La loi 25 au Québec est citée comme exemple de réglementation qui, malgré ses imperfections, force les entreprises à se conformer à des standards minimums acceptables.
L’évolution technologique et ses défis
La conversation aborde l’adoption lente des nouvelles technologies de sécurité comme les passkeys. Bien que ces solutions représentent une avancée majeure, leur déploiement prend du temps en raison de la complexité pour les utilisateurs finaux. Les panélistes reconnaissent que même eux-mêmes n’ont pas tous fait la transition, illustrant le défi d’adoption au niveau du grand public.
L’analogie avec l’histoire médicale est frappante : tout comme il a fallu des décennies pour que les chirurgiens adoptent le simple geste de se laver les mains, les changements de comportement en cybersécurité nécessitent du temps et de la patience.
La nécessité de parler le langage des affaires
Un point crucial soulevé concerne l’importance des compétences en communication. Les professionnels de la cybersécurité doivent apprendre à parler en termes de risques d’affaires plutôt qu’en jargon technique. Les exercices de registres de risques fonctionnent bien car ils permettent aux dirigeants non techniques de comprendre les enjeux en termes d’impact et de probabilité.
Dominique Derrier insiste sur le fait que ce qui se vend avant tout, c’est la confiance. Les clients ne font pas appel à un professionnel pour des produits, mais pour une relation de confiance où ils peuvent partager leurs vulnérabilités sans crainte.
Vers plus de réglementation ?
Le panel conclut sur la nécessité probable d’une régulation accrue. Comparant la situation à celle des services d’incendie ou de santé publique, les experts suggèrent qu’un niveau minimum de cybersécurité devrait peut-être devenir un service public ou être strictement réglementé, comme c’est le cas pour l’ingénierie ou la médecine.
Les initiatives européennes comme NIS2 et DORA sont mentionnées comme exemples de réglementations fortes qui établissent un “niveau d’eau” égal pour toutes les entreprises. Cette approche évite que certaines organisations prennent des raccourcis pour obtenir un avantage économique au détriment de la sécurité collective.
Le titre de l’épisode, “Les bœufs sont lents mais la terre est patiente”, capture parfaitement le message central : les changements en cybersécurité prennent du temps, mais ils finissent par arriver. L’industrie doit accepter que l’évolution se mesure en décennies plutôt qu’en mois, tout en continuant à pousser pour des améliorations constantes.
Collaborateurs
- Nicolas-Loïc Fortin
- Dominique Derrier
- Olivier Bilodeau
- Marc Cormier
- Jean-Philippe Décarie-Mathieu
- [Pascal Gad]
- [Tyler Chevrier]
Crédits
- Montage par Intrasecure inc
- Locaux réels par BAnQ
Tag: incident
Tweet
