Parce que… c’est l’épisode 0x358! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Thomas Veynachter Crédits Montage par Intrasecure inc Locaux réels par Neotrust

Parce que… c’est l’épisode 0x357! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet épisode, l’invité nous plonge dans l’univers du pentest cloud, en mettant particulièrement l’accent sur la phase d’accès initial, essentielle pour s’ancrer dans un système cible. Le discours s’appuie sur une série de concepts, d’exemples concrets et de techniques pour dépeindre le paysage des tests d’intrusion dans le cloud. L’invité introduit la notion de TTP (Tactique, Technique et Procédures) et référence la matrice MITRE ATT@CK Enterprise, qui aide à définir la chaîne d’une attaque. Il met en lumière l’importance de l’accès initial dans le processus d’attaque, soulignant la variété de techniques et de procédures utilisées pour réaliser cette étape cruciale. La discussion se centre ensuite sur les spécificités des environnements cloud, mentionnant des plateformes telles qu’AWS, Azure, et GCP. L’orateur explique que malgré l’existence de la matrice MITRE ATT@CK Cloud, de nombreux outils et ressources spécifiques sont nécessaires pour simuler et comprendre le cycle de vie d’une attaque dans ces environnements particuliers. Il cite l’exemple de Microsoft qui a créé Azureattaque matrix pour Azure et Microsoft 365, fournissant ainsi des détails plus précis pour la défense. La conversation aborde les initiatives de la communauté et des éditeurs visant à améliorer et à affiner ces matrices d’attaque. L’orateur note que ces efforts sont essentiels car chaque CSP (Cloud Service Provider) a son propre nommage et ses spécificités, nécessitant des approches différentes pour identifier les vulnérabilités. L’invité soulève également le problème récurrent des entreprises déployant des environnements cloud sans avoir une compréhension et une expertise suffisantes de la technologie. Il cite des exemples de failles de sécurité liées à des configurations incorrectes, des erreurs humaines et des permissions excessives. Il évoque plusieurs techniques d’identification de vulnérabilités, y compris l’utilisation de Google Dorks et Bing Dorks, qui permettent de découvrir des ressources cloud spécifiques. L’orateur rappelle que l’Internet est permanent, et toute erreur devient publique et éternelle, soulignant l’importance de vérifications en amont. La conversation explore ensuite différentes techniques de phishing basées sur le protocole OAuth. L’orateur détaille le processus du device code phishing et explique comment les attaquants créent des applications malveillantes, demandent le consentement des utilisateurs, et exploitent les permissions accordées pour accéder à des informations sensibles. L’invité décrit également des exemples de scénarios où les utilisateurs accordent imprudemment des permissions, et comment cela peut être exploité. Il met en lumière la complexité et les défis liés à la gestion des droits dans les environnements cloud, et en particulier sur Azure. Il mentionne les difficultés à suivre les mises à jour constantes et les changements dans le domaine du cloud, soulignant que cela rend la tâche encore plus ardue pour les professionnels de la sécurité. La transcription se termine sur une note de réflexion, laissant le lecteur à considérer les implications et les défis persistants dans le domaine du pentest cloud. En conclusion, cet épisode offre un aperçu approfondi du pentest cloud et de ses diverses facettes. Elle souligne l’importance de l’accès initial, explore les défis liés aux environnements cloud spécifiques et aux différentes plateformes, et met en lumière les dangers liés à un manque de compréhension et d’expertise. Les techniques de phishing, la gestion des droits et les défis constants dans le domaine de la sécurité cloud sont également discutés en détail, offrant ainsi une ressource complète pour quiconque s’intéresse à la sécurité dans le cloud. Notes Azure Cloud ATT&CK and others threat lifecycle Matrix Security Stack Mappings Azure Microsoft Azure Security Control Mappings to MITRE ATT&CK® Azure Threat Research Matrix Lina Lau (Inversecos) - Azure AD - O365 Matrix AWS ATT&CK Matrix Security Stack Mappings AWS Amazon Web Services Security Control Mappings to MITRE ATT&CK® GCP ATT&CK Matrix Security Stack Mappings GCP Google Cloud Platform Security Control Mappings to MITRE ATT&CK® Collaborateurs Nicolas-Loïc Fortin Clément Cruchet Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x356! Préambule J’ai commis une erreur en introduction. C’est en 2015 que John Lambert a fait son énoncé, pas en 2017. Je prononce IR en franglais, ceci agace Olivier. Sorry! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win. Collaborateurs Nicolas-Loïc Fortin Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x355! Préambule Avertissement de rigueur. Nous ne sommes pas des comptables, avocats ou fiscalistes. Nous nous limitons à partager notre expérience dans le domaine. Si vous avez des questions pointues ou techniques, nous nous invitons à consulter un professionnel dans le domaine. De l’autre côté, nous pouvons vous accompagner dans la formation de l’entreprise et des objectifs que vous y cherchez. Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Introduction L’émission explore aujourd’hui les structures légales pour freelances en France et au Canada. Le podcast aborde la diversité des statuts, les différences entre salariat et indépendance, et les enjeux fiscaux et juridiques. I. Salariat versus Indépendance : un choix de vie Perception de la liberté : La liberté associée à l’indépendance n’est pas seulement financière; elle implique également des responsabilités. Nécessité de rémunération : L’argent demeure indispensable pour subvenir à ses besoins, que l’on soit salarié ou freelance. II. Structures Légales en France Micro-entreprise : Un choix initial pour de nombreux freelances, offrant simplicité mais avec des limites de revenus. EURL et SASU : Structures plus sophistiquées, sans limite de revenus, offrant la possibilité d’investir dans l’entreprise et d’opérer légalement. ACRE : Une aide française pour les créateurs d’entreprise, transformant les droits de chômage en soutien à la création d’entreprise. Considérations fiscales et sociales : Les charges varient selon les statuts, influençant les choix des freelances. III. Équivalents Canadiens Entreprise enregistrée : Structure légère, essentiellement axée sur la déclaration fiscale. Corporation fédérale ou provinciale : Options offrant une existence juridique officielle et nationale. Perspectives internationales : Une structure canadienne peut faciliter le travail avec des clients internationaux, notamment en France. IV. Considérations Pratiques Gestion des revenus et dépenses : Importance de la gestion financière et des investissements pour le succès à long terme. Protection sociale : Les freelances doivent considérer les couvertures sociales et la retraite, variant selon les statuts. Risques et continuité : Les freelances doivent prévoir des fonds pour les périodes creuses et gérer les délais de paiement des clients. V. Conseils et astuces Préparation financière : Il est conseillé d’avoir trois mois de fonds disponibles pour couvrir les périodes sans revenus. Négociation et relations clients : Les freelances doivent être prêts à négocier les délais de paiement et à maintenir de bonnes relations avec leurs clients. Gestion des risques : La gestion proactive des risques est cruciale pour la pérennité de l’entreprise freelance. Conclusion Le choix entre le salariat et l’indépendance est complexe, impliquant des considérations légales, fiscales, et pratiques. Que ce soit en France ou au Canada, les freelances disposent de plusieurs options de structures légales, chacune avec ses avantages et inconvénients. La clé du succès réside dans la compréhension des différents statuts, une gestion financière avisée, et la capacité à naviguer dans le paysage entrepreneurial. Notes AQII Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x354! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes All 161 things we announced at Google Cloud Next ‘23 – a recap Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Pub Victoria

Parce que… c’est l’épisode 0x353! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Sébastien Thomas Crédits Montage par Intrasecure inc Locaux réels par Noctem

Parce que… c’est l’épisode 0x352! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Collaborateurs Nicolas-Loïc Fortin Andréanne Bergeron Olivier Bilodeau Nabil Rachad Claudio Francavilla Maxime Nadeau Crédits Montage par Intrasecure inc Locaux réels par Palais des congrés Montréal

Parce que… c’est l’épisode 0x351! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Notes Communication ou réalisation d’une tâche qui concerne des renseignements personnels à l’extérieur du Québec Collaborateurs Nicolas-Loïc Fortin Simon Du Perron Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x350! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description À venir Notes À venir Collaborateurs Nicolas-Loïc Fortin Frédéric Grelot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x349! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet épisode du podcast, on discute des nouvelles lignes directrices concernant le consentement des renseignements personnels sous la Loi 25, dont l’échéance principale pour la conformité est fixée au 22 septembre 2022. Les intervenants, Simon et son interlocuteur, examinent comment cette réglementation vient modifier les pratiques des organisations en matière de collecte et d’utilisation des données personnelles au Québec. Ils notent que ces changements sont très concrets et ont un impact majeur sur le fonctionnement des organisations, les obligeant à revoir et ajuster leurs processus existants. La Loi 25 apporte de nouvelles obligations pour les entreprises, en particulier autour de la question du consentement. Les organisations doivent s’assurer que la forme de consentement qu’elles obtiennent est adéquate pour les types de données qu’elles collectent. Les renseignements personnels sensibles, tels que les données médicales ou biométriques, nécessitent une attention particulière. Il est souligné que le consentement n’est pas toujours express et peut être implicite ou présumé dans certaines situations. Les intervenants discutent des différences entre le régime québécois et le régime européen RGPD, notant que le premier repose essentiellement sur le consentement alors que le second permet d’autres bases juridiques pour la collecte de données. Cependant, ils notent que cette approche unique au Québec crée des zones grises et des ambiguïtés, et que les lignes directrices de la Loi 25, bien qu’elles apportent certaines clarifications, introduisent également de nouvelles zones d’incertitude. Un point important soulevé est l’obligation pour les organisations d’informer les individus sur leur droit de retirer leur consentement, avec des nuances concernant les limites de ce retrait. Ils soulignent qu’il existe des finalités essentielles, par exemple, dans le cadre d’un contrat de vente, où le consentement ne peut être retiré. Les organisations doivent donc élaborer des processus pour gérer ces retraits de consentement et distinguer entre les utilisations essentielles et non essentielles des données personnelles. Les intervenants mettent également en lumière la question des cookies, mentionnant que la Loi 25 traite cette question de manière séparée et permet une certaine flexibilité dans l’utilisation de différents types de cookies. Ils soulignent que les organisations ont besoin de mieux comprendre et naviguer dans les nuances de la réglementation concernant les cookies pour éviter les complications. L’introduction de cette loi a également pour conséquence une augmentation de la communication des organisations vers leurs clients pour les informer des modifications apportées à leurs politiques de confidentialité. Ils évoquent les défis technologiques associés à la mise en œuvre de ces changements, notamment en ce qui concerne l’intégration de l’intelligence artificielle et le rôle des fournisseurs de services marketing dans la gestion du retrait du consentement. En conclusion, ils notent que l’ajustement aux nouvelles directives est un processus complexe et dynamique, avec des éléments encore ambivalents et incertains. Ils anticipent que les organisations feront face à une “aventure” en naviguant dans les ramifications technologiques de la conformité. Ils appellent à une réflexion sur l’équilibre entre la protection des données personnelles et le maintien d’un service personnalisé basé sur l’IA, soulignant le dilemme entre la sécurité des données et la qualité du service. En somme, cet épisode met en évidence les nuances complexes et les défis pratiques que les organisations doivent aborder dans le contexte des nouvelles directives sur le consentement des renseignements personnels introduites par la Loi 25 au Québec. Notes Lignes directrices sur les critères de validité du consentement - renseignements personnels - Consultation sur le projet de texte Lignes directrices 2023-1 sur les critères de validité du consentement Collaborateurs Nicolas-Loïc Fortin Simon Du Perron Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x348! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Au Google Next ‘23, des annonces majeures ont été faites concernant la sécurité dans le Google Cloud. Au cœur de ces annonces se trouvaient des améliorations substantielles des pare-feu. Historiquement, Google a constamment amélioré ses pare-feu. L’année précédente, par exemple, Google avait lancé une version du Cloud firewall distincte du VPC firewall, offrant plus de flexibilité. Elle permettait aux utilisateurs d’établir des politiques plutôt que des règles simples, de gérer la sécurité à plusieurs niveaux organisationnels et d’intégrer des listes dynamiques d’adresses. Ces améliorations ont aussi introduit la possibilité de gérer l’accès basé sur des domaines qualifiés et des géolocalisations. Cette année, l’innovation majeure est le “Firewall Plus”. L’objectif principal de cette nouvelle version est d’inspecter et de bloquer proactivement les attaques, offrant ainsi une granularité sans précédent dans la gestion du trafic. Cette capacité a été rendue possible grâce à une technologie appelée “paquet intersif”, qui capture et traite le trafic sans perturber les structures existantes. Cela signifie que les utilisateurs peuvent facilement migrer vers Firewall Plus sans avoir à réviser leurs architectures existantes. Le Firewall Plus n’est pas seulement une version gérée par Google. Il offre également la possibilité d’intégrer des pare-feu tiers comme ceux de Palo Alto, Fortinet et Cisco, offrant ainsi aux entreprises une flexibilité dans la manière dont elles souhaitent gérer leur sécurité. Les entreprises peuvent même apporter leurs licences existantes de pare-feu, éliminant le besoin d’investissements supplémentaires. L’une des grandes valeurs ajoutées de cette innovation est la facilité d’intégration et de migration. Les entreprises peuvent maintenant transporter leurs compétences et technologies éprouvées dans le Cloud sans avoir à surmonter les obstacles techniques traditionnels associés au routage et à l’équilibrage des charges. En conclusion, avec Firewall Plus, Google a simplifié et renforcé la sécurité du cloud, permettant aux entreprises de toutes tailles de bénéficier d’une protection améliorée tout en conservant ou en intégrant leurs solutions existantes. Il s’agit d’un pas géant vers la création d’environnements Cloud plus sûrs et plus flexibles pour tous. Notes Cloud Firewall Plus Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Moscone Center

Parce que… c’est l’épisode 0x347! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description La cybersécurité est devenue un élément central dans le monde numérique actuel. Rosa philacos, experte en sécurité et responsable des services professionnels de son entreprise, évoque l’importance de la sensibilisation de l’utilisateur à ces enjeux. Introduction à la Sensibilisation Les programmes de sensibilisation visent à éduquer et à guider l’utilisateur, l’empêchant ainsi de se sentir seul face aux menaces numériques. Ces initiatives permettent d’inculquer une culture de la cybersécurité dès le plus jeune âge, que ce soit à la maison, à l’école ou par des initiatives gouvernementales. Les Nouveaux Défis Avec la montée du télétravail suite à la pandémie en 2020, de nouveaux défis sont apparus. Les utilisateurs sont devenus les administrateurs de leurs propres réseaux à domicile. Cela nécessite une sensibilisation accrue sur la sécurisation de leurs environnements numériques, tant sur le plan professionnel que personnel. L’Importance de la Simulation La simulation joue un rôle clé dans la sensibilisation. Au-delà des méthodes éducatives classiques, les simulations offrent une expérience réelle aux participants. Elles les confrontent à des scénarios concrets, leur permettant d’identifier des menaces et de renforcer leurs compétences pratiques. L’Évolution des Menaces Les menaces évoluent constamment, avec notamment l’apparition de nouvelles techniques comme l’intelligence artificielle. Les cybercriminels exploitent des scénarios d’actualité pour tromper leurs victimes. Les organisations doivent donc constamment adapter leurs programmes de sensibilisation. L’Approche Pratique de la Sensibilisation La simulation est plus qu’un simple test. Elle vise à offrir un apprentissage concret aux participants. Les scénarios utilisés doivent être pertinents et réalistes, sans pour autant être émotionnellement manipulatoires. La Culture de la Sécurité au Sein de l’Organisation Pour qu’un programme de sensibilisation soit efficace, il doit être soutenu par la direction et intégré dans la culture de l’entreprise. Cela va au-delà de la simple formation; il s’agit de créer un environnement où la sécurité est valorisée et priorisée. Personnalisation de la Formation Les programmes de sensibilisation doivent être adaptés aux besoins et aux risques spécifiques des employés. Certains employés, en particulier les cadres supérieurs, peuvent être plus ciblés par des menaces et nécessitent donc une formation plus approfondie. Conclusion Dans le paysage numérique en constante évolution, la sensibilisation à la cybersécurité est plus importante que jamais. Les organisations doivent investir dans des programmes éducatifs complets, intégrant à la fois des méthodes théoriques et pratiques, pour garantir la sécurité de leurs employés et de leurs actifs numériques. Ainsi, la cybersécurité n’est pas seulement une affaire d’outils technologiques, mais également d’éducation et de sensibilisation. Chaque individu a un rôle à jouer pour garantir la sécurité de l’ensemble. Notes TerraNova Collaborateurs Actif Nicolas-Loïc Fortin Theo Zafirakos Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x346! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Bienvenue dans le compte-rendu du Blue Team Con 2023. Lors du mois d’août, j’ai participé au Blue Team Con, un événement axé sur la sécurité défensive en cybersécurité. L’événement a attiré mon attention car il se concentre sur des sujets rarement abordés dans la cybersécurité. Ayant organisé des événements similaires à Québec, j’étais curieux de voir comment ils s’organisent ailleurs. Le Blue Team Con a eu lieu à Chicago pendant trois jours, avec un format similaire à celui du DEFCON. Il y avait des sessions de formation, des conférences, et des “villages”, des zones spécialisées pour des démonstrations et des ateliers. L’une des conférences mémorables était celle de Lesley Carhart (hacks4pancakes), qui a parlé des défis de santé mentale auxquels sont confrontés les professionnels de la sécurité. D’autres sessions ont couvert des outils spécifiques comme “Evilginx”, qui permet d’extraire des tokens de session Microsoft. Une autre présentation a souligné l’importance de la réflexion stratégique dans la défense plutôt que de simplement suivre une liste de vérification. L’événement a également abordé la façon dont nous introduisons les nouveaux venus dans le domaine. Nous avons tendance à faire des références à la culture cyberpunk des années 90 et 2000, ce qui pourrait être déroutant pour les nouveaux venus. Un autre thème récurrent était le besoin d’adopter une approche proactive en matière de défense. Au lieu de réagir uniquement aux menaces, les équipes devraient essayer d’anticiper et de prévenir les attaques. Cela peut inclure la mise en place de fausses informations pour détourner ou piéger les attaquants. La question des métriques a également été abordée. Un intervenant a parlé de l’importance de prendre en compte le bien-être des employés et de considérer comment l’efficacité, la productivité et le moral peuvent être améliorés, conduisant à une meilleure sécurité. Finalement, la question de la formation et de l’embauche dans le domaine de la cybersécurité a été soulevée. Il est crucial d’investir dans la formation des nouveaux talents et d’assurer que les bonnes personnes sont au bon endroit. En dehors de l’événement, j’ai également eu l’occasion de découvrir Chicago. C’était ma première visite dans cette magnifique ville. Chaque ville américaine a sa propre culture et son propre charme, et Chicago ne fait pas exception. En conclusion, le Blue Team Con 2023 a été une expérience enrichissante. J’ai acquis de nouvelles connaissances, découvert de nouveaux outils et stratégies, et établi des contacts avec d’autres professionnels du domaine. Je suis impatient d’y retourner l’année prochaine. Notes Blue Team Con 2023 Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x345! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Le podcast technique 0x345 aborde un sujet brûlant : la récente fuite de sécurité chez Microsoft liée à la clé MSA. Cette fuite a suscité de nombreuses réactions, à la fois dans les médias et au sein de la communauté tech. L’origine du problème vient d’un groupe, vraisemblablement chinois, identifié sous le nom de “Storm 05 58”. Ils auraient volé des clés d’inscription destinées aux clients Microsoft, permettant notamment l’authentification sur divers services, dont Outlook. Bien que les premiers rapports suggéraient que seuls les comptes Outlook étaient compromis, il est rapidement apparu que le problème était plus étendu. Environ 20 à 30 organisations ont été affectées, incluant des instances gouvernementales américaines et européennes. Ces clés d’inscription, spécifiques à Microsoft, servent à signer des tokens d’authentification pour accéder aux services Cloud de l’entreprise. Une fois volées, elles ont été utilisées pour forger des signatures valides. Cela a permis aux pirates de se faire passer pour des utilisateurs légitimes et d’accéder aux services comme s’ils étaient ces utilisateurs. L’une des grandes questions reste : comment ces clés, certaines étant même considérées comme invalides par Microsoft, ont-elles pu être utilisées sans déclencher d’alertes ? Le podcast souligne également la différence de réaction entre Google et Microsoft face à des violations de sécurité. En 2010, Google avait subi une attaque et avait rapidement identifié, corrigé le problème et informé le public. À l’inverse, Microsoft a mis deux mois entre la découverte de la fuite et l’annonce publique. Les auditeurs du podcast ont ainsi été encouragés à réfléchir sur l’importance de la transparence et de la rapidité de réaction face à de telles situations. Bien que la technologie ait progressé, les entreprises doivent toujours être vigilantes et proactives face aux menaces, tout en étant transparentes avec leurs utilisateurs. Notes HACKING GOOGLE series Security News This Week: China’s Breach of Microsoft Cloud Email May Expose Deeper Problems Microsoft Signing Key Stolen by Chinese Collaborateurs Nicolas-Loïc Fortin Yan Bellerose Crédits Montage par Intrasecure inc Locaux réels par 3 BRASSEURS LAURIER

Parce que… c’est l’épisode 0x344! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description La sécurité en matière de technologie de l’information est cruciale pour les entreprises modernes, en particulier dans le contexte du cloud, où les frontières traditionnelles entre les ressources internes et externes sont de plus en plus floues. C’est le thème central de cette discussion qui aborde les tests d’intrusion dans l’environnement du cloud, une dimension souvent négligée ou mal évaluée par rapport aux approches traditionnelles sur site. Au cours des dernières années, de nombreuses entreprises ont migré leurs ressources vers le cloud. Cependant, ce mouvement a souvent été réalisé sans un accompagnement adéquat, et sans une compréhension profonde de la sécurité du cloud, laissant des failles potentielles qui attirent de plus en plus les attaquants. L’importance d’une approche basée sur un “modèle de sécurité partagé” a été soulignée, surtout lorsqu’on travaille avec des fournisseurs de cloud comme Azure. Dans cet environnement, il ne suffit pas de s’appuyer uniquement sur les mesures de sécurité du fournisseur. Les entreprises doivent également jouer leur rôle en matière de protection. Selon le type de service - Infrastructure en tant que Service (IaaS), Plateforme en tant que Service (PaaS) ou Logiciel en tant que Service (SaaS) - la responsabilité de la sécurité peut varier considérablement. L’une des principales différenciations mises en avant est la gestion de l’identité et de l’accès. Les problèmes tels que la configuration incorrecte du Multifactor Authentication (MFA) ou la mauvaise gestion des équipements dans des services comme Azure peuvent donner aux attaquants un accès direct, mettant ainsi les ressources de l’entreprise en danger. En explorant davantage les environnements de cloud, il est essentiel de comprendre les risques associés aux services conteneurisés comme Kubernetes. Les attaquants peuvent exploiter les faiblesses dans ces configurations pour accéder aux ressources. Lors de l’évaluation de la sécurité du cloud, il ne s’agit pas uniquement de prévention, mais également de réaction. Les entreprises doivent être en mesure de répondre rapidement aux failles potentielles et de comprendre les menaces pour pouvoir les atténuer. La discussion a également évoqué des exemples spécifiques de menaces, notamment les problèmes liés à la gestion des versions dans des services comme SharePoint, où les attaquants peuvent effacer les versions précédentes d’un document, rendant les tentatives de récupération inefficaces. En conclusion, le cloud offre des capacités puissantes et flexibles aux entreprises, mais il nécessite une nouvelle approche en matière de sécurité. Les entreprises doivent adopter des stratégies proactives pour protéger leurs ressources, tout en restant vigilantes face aux évolutions constantes du paysage des menaces. Notes À venir Collaborateurs Nicolas-Loïc Fortin Maxime Lamothe-Brassard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x343! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Nous discutons de l’importance des signaux dans l’analyse de la cybersécurité. Maxime souligne qu’un signal peut varier en importance selon le contexte. Tous les signaux ne sont pas critiques, mais certains sont essentiels pour détecter des anomalies ou des menaces. Un élément clé à comprendre est que la simple accumulation de signaux peut amplifier leur importance. Par exemple, si un système émet plusieurs signaux de faible niveau dans une période courte, cela pourrait être traité comme un signal de haute importance. Les signaux peuvent être bénéfiques ou problématiques. Dans certains environnements sophistiqués, certains signaux peuvent être considérés comme du bruit ou des fausses alertes. Cependant, il est crucial de comprendre le contexte pour interpréter correctement un signal. Par exemple, un signal de détection de la Chine pourrait être inutile s’il provient d’une source externe, mais s’il provient de l’intérieur d’une machine, il pourrait être significatif. Maxime insiste sur l’importance d’avoir des règles spécifiques à chaque environnement. Les tendances générales du marché ne peuvent pas toujours prévoir les menaces spécifiques à un système particulier. C’est l’hygiène digitale, la capacité de comprendre ce qui se passe dans un environnement, qui permet de mieux détecter et répondre aux menaces. L’analyse des signaux nécessite une réduction progressive de l’information. Le concept d’entonnoir est mentionné, où les données brutes sont progressivement réduites jusqu’à ce qu’un analyste puisse les examiner efficacement. Le timing est un aspect essentiel de cette analyse. Les signaux sont aussi un moyen de vérifier la stabilité des infrastructures. Les événements rares peuvent être plus intéressants que ceux qui se produisent fréquemment. Maxime suggère de commencer par les événements les moins fréquents pour raffiner et nettoyer les données. En conclusion, la gestion et l’analyse des signaux sont cruciales pour la cybersécurité. Bien que tous les signaux ne soient pas également importants, comprendre leur contexte et leur relation les uns avec les autres permet une meilleure détection et réponse aux menaces. Notes Google BeyondCorp Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage audio par Intrasecure inc Locaux réels par 3 Brasseurs

Parce que… c’est l’épisode 0x342! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Suite aux changements mondiaux tels que la pandémie de COVID-19 et les fluctuations politiques et sociales, une augmentation de la demande pour le travail indépendant est observée. Nombreux sont ceux qui souhaitent désormais travailler pour eux-mêmes plutôt que pour d’autres. Cependant, il existe à la fois de bonnes et de mauvaises raisons pour devenir freelance. Il est vrai que le freelancing n’est pas pour tout le monde, mais il peut convenir à plus de personnes qu’on ne le pense. Davy évoque sa propre expérience, expliquant qu’il était fatigué de ne pas contrôler son temps et de se sentir sous-utilisé dans ses emplois précédents. Une expérience dans les transports parisiens lui a fait réaliser qu’il voulait travailler pour lui-même. Devenir freelance comporte des défis, notamment la gestion du temps et la nécessité de chercher activement du travail. Les freelances ont la possibilité de travailler sur des projets à long terme ou de fournir des services ponctuels. Davy mentionne qu’il est essentiel d’avoir une relation saine avec l’argent, car vous devrez peut-être négocier vos tarifs et gérer vos finances de manière autonome. Il existe différents modèles pour devenir freelance, comme passer par des sociétés de portage salarial. Ces sociétés gèrent les aspects administratifs pour le freelance en échange d’une commission. L’avantage est qu’elles simplifient la gestion, mais elles peuvent aussi retenir une part significative des revenus. Davy souligne l’importance de clarifier sa relation à l’argent avant de devenir freelance. La manière dont nous percevons et gérons l’argent peut influencer notre succès en tant qu’indépendant. En France, la notion de “jour” est couramment utilisée pour calculer les tarifs, et l’auteur mentionne qu’il aime distinguer ses clients de ses partenaires. Les clients ont des besoins ponctuels, tandis que les partenaires sont ceux avec qui il existe une relation de travail plus profonde et continue. En conclusion, la transition vers le freelancing est une démarche profonde qui nécessite de la réflexion et une préparation adéquate. C’est un mode de travail qui peut offrir une grande liberté, mais qui vient aussi avec son lot de défis. Avant de s’engager sur cette voie, il est essentiel de comprendre ses motivations, ses capacités et d’être prêt à gérer les aspects financiers et administratifs de cette profession. Notes À venir Collaborateurs Actif Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x341! Shameless plug 10 au 13 août 2023 - DEFCON 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Bienvenue dans l’univers de la sécurité offensive avec “belle sécurité”. Le domaine couvre tout ce qui concerne les tests de sécurité et le piratage éthique. Ce secteur, quoique vaste, est essentiel pour comprendre les nuances des tests d’intrusion dans l’informatique nuagique. La tendance actuelle montre que de nombreuses entreprises migrent leurs ressources vers le cloud, notamment en raison de ses avantages en matière de flexibilité et de coût. Cependant, cette migration se fait souvent sans une connaissance approfondie des défis de sécurité qui y sont associés. En effet, les attaquants s’intéressent de plus en plus aux environnements cloud, y voyant des points d’entrée potentiels vers des réseaux internes ou des données sensibles. Il est essentiel de comprendre le modèle de sécurité partagée propre au cloud. Ce modèle stipule que, bien que le fournisseur de cloud (comme Azure, AWS ou GCP) soit responsable de certains aspects de la sécurité, la responsabilité finale incombe à l’entreprise utilisatrice. Les différentes offres cloud, comme IaaS, PaaS et SaaS, ont chacune leurs spécificités et risques associés en termes de sécurité. La gestion des accès est primordiale. Des erreurs comme l’absence de MFA (authentification multi-facteurs) peuvent offrir aux attaquants une porte ouverte. De plus, la gestion des équipements et des identités est essentielle, d’autant plus que les attaques basées sur l’identité sont de plus en plus courantes dans le monde du cloud. Il est intéressant de noter que même si les environnements cloud sont basés sur des serveurs physiques traditionnels, la méthodologie d’approche est différente. Les tests d’intrusion dans le cloud nécessitent une compréhension approfondie des spécificités de l’environnement cible, car une simple erreur de configuration peut être exploitée par des attaquants. Les tests d’intrusion, qu’ils soient en mode Black Box, Grey Box ou White Box, varient selon les informations disponibles pour l’attaquant. C’est dans ce contexte que les outils comme Truffaut, qui se concentrent sur la détection d’entropie, peuvent s’avérer utiles pour identifier les secrets ou les tokens d’accès. Il est également crucial d’être conscient de la persistance des attaques. Par exemple, un refresh token valide pendant 90 jours peut permettre à un attaquant de maintenir un accès non autorisé pendant une longue période. Les attaques sophistiquées, comme le ransomware, exploitent également les fonctionnalités natives des services cloud pour infliger des dommages. En conclusion, l’informatique nuagique offre d’énormes avantages aux entreprises, mais elle présente également des défis uniques en matière de sécurité. La clé est de comprendre ces défis, de s’équiper des outils et des connaissances appropriés, et de toujours rester un pas en avance sur les attaquants potentiels. Notes À venir Collaborateurs Nicolas-Loïc Fortin Clément Cruchet Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x340! Shameless plug 10 au 13 août 2023 - DEFCON 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet épisode consacré au PME, la discussion tourne autour des mots de passe, un sujet omniprésent dans notre vie numérique. L’importance des mots de passe réside dans le fait qu’ils empêchent l’accès non autorisé à nos comptes en ligne, qui renferment une multitude d’informations, que ce soit sur nous-mêmes, nos entreprises, nos clients ou nos équipes. L’une des préoccupations majeures est d’assurer que nos mots de passe soient robustes. Les mots de passe basés sur des données personnelles, comme les dates de naissance, sont facilement devinables. Une bonne pratique consiste à choisir une phrase mémorable et à l’adapter à chaque plateforme en y incorporant des éléments spécifiques, comme les trois premières lettres du nom de la plateforme. Malheureusement, de nombreux utilisateurs gardent encore leurs mots de passe dans des fichiers Excel, souvent stockés en ligne, une pratique risquée. Si le stockage hors ligne est une meilleure option, il est encore préférable d’utiliser un gestionnaire de mots de passe. Ces outils stockent et génèrent des mots de passe complexes pour chaque compte, l’utilisateur n’ayant qu’à se souvenir d’un mot de passe principal ultra robuste. L’un des avantages des gestionnaires de mots de passe est leur capacité à intégrer des identifiants aléatoires. L’utilisation d’adresses e-mail différentes pour chaque site renforce la sécurité en rendant plus difficile le lien entre les différentes fuites de données. Enfin, la discussion évoque les nouvelles méthodes d’authentification sans mot de passe, comme celles proposées par Google. Bien que ces méthodes offrent une sécurité renforcée, il est crucial de comprendre leur fonctionnement et de rester informé des dernières évolutions en matière de cybersécurité. Notes À venir Collaborateurs Nicolas-Loïc Fortin Emeline Manson Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x339! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Bienvenue à cet épisode technique où Sébastien nous présente le concept de conteneurisation et sa pertinence, en particulier dans le monde de Kubernetes. Les containers, souvent considérés comme la pierre angulaire de la modernité en informatique, sont comparés à des versions allégées des systèmes d’exploitation, construites par couches superposées. Cette superposition permet de standardiser et de faciliter la distribution. Docker, avec son système de “docker build”, a rendu populaire cette manière de construire des containers. On commence avec une image de base, souvent un système d’exploitation complet comme Debian ou Ubuntu, puis on ajoute des couches selon les besoins de l’application. Cependant, cette approche peut s’avérer lourde et vulnérable aux attaques. Pour résoudre ce problème, on préfère souvent utiliser des images de base plus légères, comme Alpine, qui est un OS minimaliste. L’avantage est double : sécurité renforcée et rapidité de déploiement. En effet, un conteneur minimaliste limite l’exposition aux attaques. Cependant, toutes les applications ne sont pas adaptées à ce modèle minimaliste. Par exemple, les langages interprétés comme Python ou Node.js nécessitent un environnement d’exécution plus complet, d’où la nécessité d’avoir des containers plus volumineux. Dans ces cas, la sécurité repose en partie sur l’isolation du container, qui est réalisée grâce aux fonctionnalités Linux. Les “capabilités” de Linux permettent de restreindre les permissions d’un conteneur. Par exemple, un conteneur peut être privé de l’accès au réseau ou avoir des permissions d’accès aux disques restreintes. Ces restrictions ajoutent une couche de sécurité supplémentaire. En outre, il est recommandé de ne pas exécuter les conteneurs en tant qu’utilisateur “root”, car cela présente des risques supplémentaires. En conclusion, la conteneurisation, popularisée par des outils comme Docker, a transformé la manière dont les applications sont déployées. Toutefois, il est crucial de comprendre et de maîtriser les aspects de sécurité associés pour garantir un environnement sûr et efficace. Notes À venir Collaborateurs Nicolas-Loïc Fortin Sébastien Thomas Crédits Montage par Intrasecure inc Locaux réels par Noctem

Parce que… c’est l’épisode 0x338! Shameless plug 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description L’événement DEFCON 31 a été l’occasion de rassembler des experts en sécurité informatique, des chercheurs européens et de nombreuses personnes passionnées par la sécurité. Cette édition de DEFCON s’est déroulée dans un nouvel endroit qui a été apprécié pour sa logistique fluide par rapport aux années précédentes. L’un des aspects marquants de cette DEFCON a été l’augmentation du nombre de villages, chacun se concentrant sur des sujets spécifiques tels que l’intelligence artificielle. Cette nouveauté a été bien accueillie, montrant que ces villages sont devenus des lieux d’intérêt pour les participants, même s’ils étaient historiquement moins spécialisés. De plus, de nombreux participants ont remarqué la présence de familles avec des enfants, montrant que la DEFCON attire désormais un public de tous âges et de tous horizons. L’ambiance générale de cette DEFCON a été différente des éditions précédentes, marquée par une réflexion sur l’infonuagique et l’importance de la sécurité dans ce domaine en constante évolution. Les conférences ont abordé des sujets tels que les consoles d’administration des grands fournisseurs cloud comme GCP, AWS et Azure, soulignant l’importance des certifications pour les professionnels de la sécurité. Une partie de la réflexion a également porté sur l’évolution de la sécurité informatique au fil des années, notamment depuis l’époque des premières versions de Windows. On a constaté que la dépendance envers certains fournisseurs et compétences est devenue de plus en plus cruciale pour maintenir la sécurité des systèmes d’entreprise. Cela a soulevé des préoccupations quant à la vulnérabilité potentielle en cas de panne ou de compromission de ces systèmes clés. Un autre point important soulevé lors de la DEFCON a été la question de l’intégrité des données et des systèmes. On a rappelé l’importance d’assurer une sécurité rigoureuse pour éviter la manipulation ou la destruction de données. Des exemples ont été donnés de situations où l’intégrité des données a été compromise, mettant en évidence les défis auxquels les entreprises peuvent être confrontées pour rétablir la confiance de leurs clients. Le thème de la crypto-monnaie a également été abordé, avec des discussions sur les vulnérabilités potentielles et les raccourcis pris dans ce domaine. Les présentateurs ont montré comment certaines autorisations liées à la crypto-monnaie ont été mal utilisées pour dépasser les limites du système, ce qui soulève des questions sur la sécurité des transactions financières. Une présentation a également mis en lumière les attaques manuelles et les différentes catégories d’attaquants, montrant comment certains d’entre eux ciblent des systèmes de manière mécanique et non sophistiquée. Cette présentation a souligné l’importance de rester vigilant face à ces attaques. Une dernière présentation a abordé la question de la conception des systèmes, soulignant l’importance de la réflexion en amont pour éviter les vulnérabilités. L’idée était que de nombreux problèmes de sécurité résultent d’une conception insuffisante ou d’un manque de réflexion sur les failles potentielles. En conclusion, DEFCON 31 a été un événement marqué par la diversité des sujets abordés, allant de la sécurité des systèmes infonuagiques à l’intégrité des données en passant par les défis posés par la crypto-monnaie. L’importance de la sécurité informatique dans un monde de plus en plus connecté et dépendant de la technologie a été mise en avant, ainsi que la nécessité d’une réflexion approfondie lors de la conception des systèmes. L’événement a également montré que la DEFCON continue d’évoluer pour accueillir un public varié et de toutes générations, ce qui est prometteur pour l’avenir de la sécurité informatique. Notes À venir Collaborateurs Nicolas-Loïc Fortin Vincent Groleau Crédits Montage par Intrasecure inc Locaux réels par The Venetian Las Vegas

Parce que… c’est l’épisode 0x337! Shameless plug 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Les interlocuteurs discutent des enjeux liés à la sécurité dans le domaine de l’infonuagique et se demandent pourquoi cette sécurité est souvent considérée comme un service additionnel et non comme un élément fondamental inclus dans le service de base. Dès le début, l’un des intervenants exprime son mécontentement face au fait que la sécurité ne soit pas intégrée en standard dans les offres de services infonuagiques, tout comme lorsqu’on achète une voiture, certains éléments de sécurité sont inclus. La discussion s’oriente rapidement vers des préoccupations précises telles que l’absence de journaux de logs qui permettraient de tracer l’origine d’un problème de sécurité, et le manque de transparence et d’accessibilité à ces informations cruciales. Les intervenants abordent également le sujet des réglementations légales et la mise en place de normes pour réguler le secteur de l’infonuagique, citant notamment l’exemple de lois québécoises et fédérales en préparation. Ces lois visent à encadrer l’activité des fournisseurs de services infonuagiques et à instaurer des standards minimaux de sécurité. Dans ce contexte, ils mentionnent que beaucoup d’entreprises, y compris les startups technologiques et les grandes industries, ne sont pas prêtes à répondre aux exigences de ces réglementations, et s’interrogent sur la façon dont elles vont s’adapter à ce nouveau paysage réglementaire. L’accent est mis sur le fait que la non-conformité aux normes de sécurité peut avoir des conséquences graves, notamment juridiques. La conversation dérive ensuite sur les défis spécifiques aux différents fournisseurs de services infonuagiques, notamment Azure et Amazon Web Services (AWS), et le manque d’uniformité dans la manière dont ces services gèrent la sécurité. Les interlocuteurs soulignent l’importance d’avoir une certaine “paranoïa” constructive pour rester vigilant et proactif dans la gestion de la sécurité. Les intervenants pointent également du doigt la complexité et l’incohérence des offres de services, avec une multitude d’options souvent difficiles à comprendre pour le consommateur moyen. Ils critiquent le modèle économique actuel qui incite à ajouter toujours plus d’options, et donc à augmenter les coûts, au lieu de proposer des packages de sécurité inclus de base et permettant de retirer ce qui n’est pas nécessaire. Ils expriment le besoin d’un certain niveau de standardisation dans l’industrie pour éviter que les clients aient à apprendre les spécificités de chaque fournisseur. Ils suggèrent qu’une telle standardisation pourrait conduire à une meilleure transparence et à une meilleure compréhension des enjeux de sécurité pour les clients. En résumé, le podcast aborde des questions cruciales relatives à la sécurité dans le domaine de l’infonuagique, en mettant en lumière les défis et les incohérences actuelles du secteur. Il appelle à une meilleure intégration de la sécurité dans les offres de base, à une réglementation plus stricte et à une standardisation de l’industrie pour faciliter la compréhension et l’adoption des bonnes pratiques en matière de sécurité par les clients. Les intervenants invitent à une réflexion profonde sur les modèles économiques en place, critiquant une tendance à la monétisation excessive des fonctionnalités de sécurité essentielles et appelant à une approche plus éthique et responsable de la part des fournisseurs de services infonuagiques. Notes À venir Collaborateurs Nicolas-Loïc Fortin Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x336! Shameless plug 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans ce podcast technique, les intervenants, Nicolas et Franck, abordent plusieurs sujets techniques liés à Microsoft 365 (M365) et à la sécurité informatique. Ils échangent sur diverses expériences, problématiques et outils associés au monde de la tech, principalement autour de l’univers Microsoft. D’emblée, ils encouragent les auditeurs à participer, à poser des questions et à apporter des contributions sur les sujets abordés, soulignant l’importance des échanges communautaires dans le secteur technique. Ils discutent ensuite des erreurs potentiellement commises dans l’utilisation de certaines fonctionnalités M365, mettant en garde contre les faux pas qui peuvent conduire à des fuites d’informations importantes. Ils insistent particulièrement sur l’importance de bien configurer les systèmes pour éviter des incidents de sécurité. Abordant les outils spécifiques de M365, ils mentionnent les avantages et inconvénients de certains d’entre eux, notamment Microsoft Viva et Microsoft Loop. Ils mettent en lumière les risques associés à une utilisation non réfléchie, en particulier en ce qui concerne la protection des données et la confidentialité. En parlant de Copilot Outlook, les intervenants discutent des avantages de l’outil tout en mettant en garde contre son utilisation irréfléchie. Ils conseillent aux entreprises d’être prudentes dans la manière dont elles gèrent et utilisent les outils, encourageant les auditeurs à tester et à se familiariser avec les fonctionnalités avant de les déployer à grande échelle. Par la suite, ils se penchent sur la question des “black box” et des tests d’intrusion, évoquant les défis que rencontrent les entreprises dans la sécurisation de leurs systèmes et réseaux. Ils parlent de l’importance de maintenir une défense robuste et de la difficulté d’anticiper toutes les vulnérabilités potentielles. Un autre sujet discuté est la sécurité de l’Azure Portal, où ils mentionnent que le code source est maintenant plus grand que celui de Windows 11, soulignant la complexité et les défis associés à la sécurisation d’un tel système. Ils évoquent également des incidents passés où des failles de sécurité ont été exploitées, menant à des accès non autorisés et des fuites d’informations. Enfin, ils mettent l’accent sur les techniques de phishing et d’ingénierie sociale, décrivant les stratégies que les attaquants peuvent utiliser pour gagner l’accès aux systèmes et aux données. Ils soulignent l’importance de la vigilance et de l’éducation pour se prémunir contre de telles attaques. Dans l’ensemble, le podcast sert de discussion approfondie et technique sur divers sujets relatifs à Microsoft 365 et à la sécurité informatique. Les intervenants mettent en lumière à la fois les avantages et les dangers potentiels des outils modernes, encourageant une approche prudente et informée à leur utilisation pour garantir la sécurité et l’efficacité. Ils mettent également en avant l’importance de la communauté et du partage des connaissances dans ce domaine en constante évolution. Notes À venir Collaborateurs Nicolas-Loïc Fortin Franck Desert Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x335! Shameless plug 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet épisode de podcast, le chapitre 6 est consacré à la protection juridique des données personnelles, mettant en lumière les lois, les droits et les devoirs en vigueur principalement en France, mais aussi au Québec et au Canada. L’invité, Laurent, discute avec l’hôte du contexte historique et actuel de la réglementation sur les données personnelles, et explore l’influence du Règlement général sur la protection des données (RGPD) en Europe. Le RGPD, instauré officiellement en 2018, n’est pas survenu de nulle part. Il est le produit d’une culture européenne de protection des données qui a commencé à émerger dans les années 50. La France a déjà vécu un scandale en 1974, le projet Safari, qui visait à regrouper toutes les données administratives des citoyens français. Cela a conduit à la création de la CNIL et à l’établissement de la loi “Informatique et Libertés” en 1978. Les Etats-Unis ont également influencé le RGPD, notamment suite aux scandales comme celui de la vente de listes de noms de victimes de divers crimes ou problèmes en 2012, et les révélations sur le programme de surveillance de la NSA par Edward Snowden en 2013. Ces évènements ont donné un nouvel élan au RGPD qui était en développement depuis longtemps mais rencontrait beaucoup de résistance. Le RGPD a introduit plusieurs changements significatifs, notamment en instaurant un principe de responsabilité renforcée pour les organismes qui traitent les données. Il a aussi donné plus de pouvoir aux individus en leur permettant de maîtriser mieux leurs données. Ce règlement a harmonisé les pratiques au niveau européen, bien que beaucoup d’organisations ne soient toujours pas en conformité avec ses dispositions. Le podcast met également l’accent sur le rôle de l’individu dans la protection de ses données. Les personnes sont encouragées à être prudents avec les informations qu’elles partagent en ligne, car une fois diffusées, il devient très difficile, voire impossible, de les supprimer. Les individus ont la responsabilité de sécuriser leurs données en contrôlant leur diffusion. En France, la loi “Informatique et Libertés” a déjà établi de nombreux principes repris par le RGPD, mais ce dernier a permis une uniformisation des pratiques à l’échelle européenne. Laurent souligne l’importance du consentement dans le cadre du RGPD, insistant sur le fait qu’il doit être explicite et que les individus doivent être informés des utilisations de leurs données. Il ajoute que les individus ont le droit de retirer leur consentement à tout moment, une procédure qui devrait être simple et rapide. Le podcast explore aussi la notion du “droit à l’oubli”, qui permet dans certains cas de demander la suppression de données personnelles publiées en ligne. Cependant, ce droit a ses limites, car il est souvent impossible de supprimer toutes les copies d’une information une fois qu’elle a été largement diffusée. Le dialogue entre l’hôte et Laurane est émaillé d’exemples concrets et de références historiques, offrant une vue d’ensemble équilibrée des enjeux de la protection des données dans un contexte principalement français, mais avec des références aux législations québécoises et canadiennes. En résumé, ce chapitre du podcast offre une discussion approfondie sur les enjeux complexes et multiformes de la protection des données personnelles, mettant en lumière les évolutions législatives, les responsabilités individuelles et collectives, et les défis persistants dans un monde numérique en constante évolution. Notes À venir Collaborateurs Actif Nicolas-Loïc Fortin Laurane Raimondo Crédits Montage audio par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x334! Shameless plug 10 au 13 août 2023 - DEFCON 25 au 27 août 2023 - Blue Team Con 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans ce podcast, les intervenants discutent d’un sujet critique de l’heure : la gestion des tiers et la protection des renseignements personnels dans le contexte québécois régi par la Loi 25 et autres réglementations similaires comme le RGPD en Union Européenne. Pour commencer, ils mettent en avant l’importance cruciale de la gestion des tiers dans les organisations. Cette gestion est caractérisée par une complexité accrue en raison du manque de contrôle direct sur les tiers et les multiples ramifications qui en découlent en termes de relations contractuelles et de gestion des données personnelles. Les intervenants soulignent la nécessité d’un processus rigoureux avant même l’établissement d’un contrat avec un tiers. Ce processus devrait inclure une analyse approfondie des politiques de confidentialité du fournisseur potentiel, une évaluation de sa sensibilité à la gestion des renseignements personnels, et une vérification des mesures de sécurité qu’il a en place. Cette évaluation devrait également prendre en compte la formation et les certifications éventuelles des employés du fournisseur. Ils insistent ensuite sur la nécessité d’une diligence raisonnable pour évaluer les risques potentiels, y compris la compréhension de la chaîne de responsabilité qui s’étend aux fournisseurs du fournisseur initial. Cela inclut une évaluation des risques liés aux transferts de données hors du Québec, qui peut être affectée par des différences significatives dans les réglementations de protection des données entre les juridictions. La discussion évolue ensuite vers les exigences contractuelles et légales, soulignant l’importance d’inclure des clauses spécifiques dans les contrats pour gérer divers risques et responsabilités. Les intervenants mentionnent la possibilité d’avoir des niveaux d’exigence différents selon la nature du service fourni par le fournisseur. Par la suite, l’accent est mis sur l’importance de la gestion continue de la relation avec les fournisseurs, soulignant que la signature du contrat n’est que le début. Ils recommandent un suivi régulier et une mise en place de mesures permettant des vérifications régulières afin de s’assurer que les normes sont respectées tout au long de la durée de la relation. Cette section souligne aussi l’importance de clauses comme celle d’audit qui permettent une surveillance continue et adaptative des pratiques du fournisseur. En fin de compte, la conversation se penche sur les défis pratiques de la mise en œuvre de ces mesures, en particulier pour les petites et moyennes entreprises (PME) et les organisations du secteur public qui peuvent ne pas avoir l’expérience ou les ressources pour gérer efficacement ces processus complexes. Ils mentionnent le rôle crucial de l’incorporation de la vérification des fournisseurs dans la culture organisationnelle, tout en reconnaissant la charge supplémentaire que cela peut représenter pour les entreprises. En résumé, le texte explore en profondeur les divers aspects de la gestion des tiers dans le contexte québécois, mettant en lumière les enjeux critiques et les meilleures pratiques pour naviguer dans le paysage complexe et en évolution rapide de la protection des renseignements personnels. La discussion éclaire sur l’importance de l’analyse des risques, de l’évaluation continue et de la mise en œuvre stratégique de mesures contractuelles et organisationnelles pour sécuriser les données dans un écosystème interconnecté. Notes À venir Collaborateurs Nicolas-Loïc Fortin Mathilde Canque Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x333! Shameless plug 10 au 13 août 2023 - DEFCON 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Bienvenue dans ce podcast où nous abordons la seconde partie de notre série sur les DLP (Data Loss Prevention) de Microsoft 365, axée sur les postes de travail. Dans la première partie, nous avions évoqué les bases de la mise en œuvre du DLP dans l’écosystème Microsoft, couvrant des éléments comme Exchange et les services collaboratifs. Aujourd’hui, nous explorerons davantage les fonctionnalités DLP disponibles pour les postes de travail Windows et Mac, une fonctionnalité disponible pour Mac depuis 2022. Pour configurer et gérer ces services, nous utiliserons le portail Microsoft au niveau des services Microsoft perview. Nous mettrons en avant comment configurer les DLP, notamment pour les appareils, mettant en lumière les prérequis pour activer ces services sur divers appareils. Notre discussion mettra en avant que contrairement à la configuration cloud, l’activation des DLP sur les appareils nécessite l’accomplissement de certaines conditions préalables. Sur les appareils Windows, il n’est pas nécessaire de déployer un agent car la fonctionnalité est intégrée au système d’exploitation et doit simplement être activée. Cependant, pour les utilisateurs de Mac, un client doit être installé. Nous discuterons également du volet Microsoft Defender pour les terminaux, expliquant qu’il fonctionne de manière similaire à DLP, facilitant ainsi le déploiement et l’activation. Un point clé à noter est que si vous avez déjà mis en place Defender, aucun travail supplémentaire n’est nécessaire pour le déploiement du DLP. En naviguant à travers le portail, nous montrerons comment activer la fonction “Device Undering” qui est désactivée par défaut, avant de démontrer le processus d’intégration (unboarding) des appareils. La démonstration mettra en exergue l’intégration des appareils Windows et Mac, soulignant que la dernière option nécessite un déploiement via un script local, qui est plus approprié pour les tests et les POCs (Proof of Concept) plutôt que pour un déploiement à grande échelle. Au cours de la discussion, nous mettrons l’accent sur les prérequis pour l’utilisation du DLP, incluant la nécessité d’une version minimale de Windows 10 18.09 ou Windows 11, et d’une licence Microsoft 365 de niveau A5. Il est aussi important de noter que les appareils doivent être enregistrés en mode Azure ou Azure hybride pour que DLP fonctionne. Abordant la création et le déploiement de politiques DLP, nous mettrons en avant la capacité de contrôler des fonctionnalités spécifiques comme l’accès USB et Bluetooth. Nous discuterons de l’importance de tester ces politiques en mode audit avant de les implémenter complètement, afin de comprendre leur impact et d’éviter des problèmes potentiels. La partie suivante de la discussion mettra en lumière les fonctionnalités avancées du DLP, y compris l’intégration des étiquettes de sensibilité pour appliquer des politiques spécifiques basées sur les classifications des documents. Nous illustrerons cela en créant une règle DLP qui identifie et audite les téléchargements de documents étiquetés “project forken” vers des navigateurs non autorisés. Ensuite, nous discuterons des paramètres de copier-coller, des contrôles de domaine et de la gestion des types de fichiers pris en charge. Nous insisterons sur la nécessité de débuter avec le mode audit pour évaluer l’impact des politiques DLP avant de passer en mode bloc. En explorant les paramètres supplémentaires disponibles dans l’outil, nous évoquerons des fonctionnalités comme la restriction des impressions et la gestion des accès Bluetooth et RDP. Au fur et à mesure, nous discuterons des différents niveaux de paramétrage offerts par la solution, soulignant l’importance de bien naviguer à travers ceux-ci pour mettre en place des règles robustes qui protègent efficacement les données sensibles sans entraver la productivité. En conclusion, nous montrerons comment les politiques DLP peuvent s’intégrer de manière transparente avec les étiquettes de sensibilité pour fournir une solution de protection des données puissante Notes À venir Collaborateurs Nicolas-Loïc Fortin Gabriel Tessier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x332! Shameless plug 10 au 13 août 2023 - DEFCON 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet enregistrement, le sujet principal est la présentification et la mise en place de la fonction de prévention contre la perte de données (DLP) dans Microsoft 365 (M365), en particulier pour les services de collaboration comme SharePoint et OneDrive. Cette fonction permet de détecter et prévenir les utilisations non autorisées des données sensibles au sein d’un environnement M365. Les intervenants abordent d’abord une introduction sur les fonctionnalités de base de DLP, mentionnant que c’est une “petite mise en bouche” et que cela servira à préparer le terrain pour des discussions plus avancées. Ils précisent que bien que le déploiement de base soit relativement simple à mettre en place via la console Microsoft, les aspects plus avancés peuvent être plus complexes à déployer. Un des points centraux de cette discussion est la personnalisation de DLP, y compris la création de types de données sensibles personnalisés et la définition de règles pour détecter ces données dans différents types de contenu, tels que les documents Word ou les courriels. Il est souligné que DLP peut être utilisé pour détecter diverses informations sensibles, y compris les numéros de comptes bancaires, les informations médicales, et les numéros de passeport. Les intervenants insistent sur la nécessité de tester et de comprendre profondément les fonctionnalités de DLP avant sa mise en place complète, notant que cela nécessite une certaine “maturité” pour utiliser efficacement cet outil. Il est souligné que la solution n’est pas parfaite et que, par exemple, changer le type de fichier peut parfois échapper à la détection de DLP. Ensuite, les orateurs abordent le sujet des politiques et des notifications de DLP, expliquant que les administrateurs peuvent définir des politiques spécifiques qui déterminent comment DLP réagira lorsqu’il détectera des données sensibles. Il est possible de créer des alertes pour les administrateurs, ainsi que des notifications pour les utilisateurs finaux les avertissant lorsqu’ils sont sur le point d’utiliser des données sensibles d’une manière qui pourrait violer les politiques de l’entreprise. Les utilisateurs peuvent également être autorisés à outrepasser les restrictions dans certains cas. Les intervenants mentionnent que DLP peut aussi être appliqué à diverses “unités d’affaires” au sein d’une organisation, offrant ainsi un niveau supplémentaire de personnalisation. Ils discutent également des avantages de l’utilisation de DLP pour surveiller les services de collaboration comme SharePoint et OneDrive. Vers la fin de la discussion, les intervenants abordent la question de la création de types de données sensibles personnalisés dans M365, soulignant que cela peut être un processus complexe nécessitant la définition précise des “patterns” de données qui doivent être surveillés. Ils précisent que M365 offre un certain degré de flexibilité, permettant aux administrateurs de définir des niveaux de confiance différents pour différentes situations. En somme, la discussion est une exploration approfondie des fonctionnalités de base du DLP dans Microsoft 365, mettant en avant les avantages et les défis liés à sa mise en œuvre. Les intervenants suggèrent qu’une mise en œuvre réussie de DLP peut aider à protéger les données sensibles tout en permettant une certaine flexibilité et personnalisation pour répondre aux besoins spécifiques d’une organisation. La session se termine avec une note sur l’anticipation d’explorer des aspects plus avancés de DLP dans les sessions futures. Notes À venir Collaborateurs Nicolas-Loïc Fortin Gabriel Tessier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x331! Shameless plug 10 au 13 août 2023 - DEFCON 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Les interlocuteurs discutent des complexités et des nuances d’avoir une relation saine avec les fournisseurs de services cloud, connus sous le nom de “cloudeurs”. Les interlocuteurs abordent divers sujets concernant l’utilisation des services cloud, se focalisant notamment sur les défis liés à la gestion des coûts et à la mise en œuvre de pratiques sécuritaires et efficaces. Ils commencent par souligner l’influence de la tendance dans la décision des entreprises d’adopter des solutions cloud. Ils évoquent l’importance de bien comprendre et estimer les coûts réels de l’infrastructure interne existante avant de faire le pas vers le cloud, une tâche que beaucoup de clients trouvent difficile. Il est noté que le mouvement vers le cloud est souvent motivé par le désir de simplification et de déchargement des problèmes. Cependant, ils mettent en garde contre la négligence des aspects essentiels de la réflexion nécessaires pour une migration réussie. La discussion met également l’accent sur la tendance des fournisseurs de cloud à encourager la surconsommation de services, notant que leur objectif principal est d’augmenter les factures. La conversation aborde aussi l’importance de l’automatisation pour optimiser la sécurité et réduire les coûts, même si seulement une petite fraction des clients semble capable de réaliser cet objectif. Les intervenants soulignent que beaucoup finissent par simplement transférer “leur grosse masse” dans le cloud sans réfléchir stratégiquement à comment mieux structurer et optimiser leurs systèmes. Les aspects financiers du passage au cloud sont également abordés, y compris les coûts cachés et le risque d’accumuler des frais substantiels à travers des pratiques inattentives. Leur discussion sur la “manipulation” des services cloud par les clients suggère qu’il est essentiel de réfléchir aux paramètres comme la localisation des données et la conformité réglementaire, des éléments qui nécessitent une surveillance attentive. En parlant de la migration vers le cloud, ils critiquent la tendance à simplement transférer des systèmes existants vers le cloud sans une “épuration” nécessaire pour éliminer les mauvaises pratiques et optimiser les systèmes pour le nouvel environnement. Ils expriment leur frustration face aux clients qui se plaignent des coûts sans avoir pris les mesures appropriées pour comprendre et contrôler ces coûts. Finalement, ils abordent le sujet de la “transformation numérique”, soulignant que c’est un processus complexe qui va bien au-delà de simples changements techniques. Ils insistent sur l’importance de la dimension humaine dans ce processus, notant que le changement organisationnel est extrêmement difficile en raison de la résistance naturelle des individus à modifier leurs habitudes. Ils concluent en soulignant que, au cœur de chaque projet, il y a l’individu, et sans changer la mentalité et l’approche des individus impliqués, aucune transformation réelle ne peut avoir lieu. Notes À venir Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x330! Shameless plug 10 au 13 août 2023 - DEFCON 29 au 31 août 2023 - Google Nexts ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Dans cet épisode du podcast, les hôtes discutent des avantages et des inconvénients de la politique “Bring Your Own Device” (BYOD) qui permet aux employés d’utiliser leurs appareils personnels pour des tâches professionnelles. Cette tendance s’est accélérée pendant la période de confinement due à la pandémie, provoquant une perte de contrôle pour les entreprises en termes de sécurité des données et de confidentialité. La discussion souligne plusieurs enjeux importants liés à cette politique, notamment des questions de cybersécurité et de déconnexion. Un employé utilisant son appareil personnel pour le travail peut potentiellement exposer les données sensibles de l’entreprise à des risques de sécurité. Cela inclut le non-respect des normes de sécurité basiques comme l’utilisation d’antivirus et d’autres logiciels de protection, ou encore l’utilisation de logiciels craqués qui peuvent être des vecteurs d’infection. Il y a aussi des questions juridiques pertinentes à considérer, car la législation impose aux entreprises de protéger certaines informations. Les hôtes évoquent également la difficulté de maintenir une séparation entre la vie professionnelle et la vie privée lorsque les employés utilisent des appareils personnels pour le travail. Cela peut créer une attente où l’employé se sent obligé de répondre immédiatement aux messages professionnels en dehors des heures de travail, ce qui peut affecter négativement leur bien-être et leur équilibre travail-vie personnelle. Pour remédier à ces problèmes, les hôtes suggèrent l’instauration de règles claires et la sensibilisation des employés à l’importance de la sécurité des données. Parmi les recommandations, ils préconisent l’utilisation de sessions séparées pour le travail et les usages personnels, l’utilisation de mots de passe solides et de mécanismes tels que la reconnaissance faciale ou l’empreinte digitale. Ils suggèrent également que les données professionnelles devraient toujours être stockées de manière sécurisée, par exemple sur des serveurs sécurisés ou dans un environnement cloud, plutôt que sur les dispositifs personnels des employés. Une autre suggestion est d’établir par écrit qui est le propriétaire des informations stockées sur l’appareil de l’employé, ainsi que les responsabilités de chaque partie en cas de violation de la sécurité. Les entreprises pourraient envisager de compenser les employés pour les coûts supplémentaires associés à l’utilisation d’un appareil personnel pour le travail, comme la fourniture d’un logiciel antivirus. En conclusion, bien que la politique BYOD puisse offrir une certaine flexibilité et commodité, elle comporte des risques substantiels en matière de sécurité et de bien-être des employés. Il est donc essentiel pour les entreprises d’adopter une approche prudente et bien réfléchie pour mettre en œuvre cette politique, en mettant en place des mesures pour protéger à la fois les données de l’entreprise et le bien-être des employés. Pour atteindre un équilibre optimal, une coopération étroite entre les employeurs et les employés est nécessaire, accompagnée de lignes directrices claires et de formations sur les bonnes pratiques en matière de cybersécurité. Notes À venir Collaborateurs Nicolas-Loïc Fortin Emeline Manson Crédits Montage audio par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x329! Shameless plug 10 au 13 août 2023 - DEFCON 29 au 31 août 2023 - Google Next ‘23 21 au 23 novembre 2023 - European Cyber Week février 2024 - SéQCure Formation Crise et résilience Ateliers et conférences (Auto évaluation) Formation PCA 2022 4 Guides pour survivre à une CyberCrise Formation PCA en ligne Description Le podcast explore le sujet des tests de phishing dans les organisations. Stéphane et l’animateur discutent des avantages et des inconvénients de ces tests. Dans le secteur professionnel actuel, ces tests sont souvent réalisés en envoyant des e-mails génériques à partir d’un outil spécifique afin de sensibiliser les employés aux dangers du phishing. Cependant, les animateurs notent que cette approche a tendance à créer une paranoïa supplémentaire sans nécessairement réduire le nombre de clics sur de véritables courriels malveillants. Une critique majeure de ces tests est qu’ils tendent à se baser sur des campagnes synthétiques qui ne reflètent pas les véritables menaces auxquelles les employés sont confrontés. Cela crée une situation où les employés sont formés pour identifier des menaces qui ne sont pas réellement pertinentes, ce qui peut, dans certains cas, conduire à une surcharge de travail pour les équipes de sécurité. Ils soulèvent également le problème de la désensibilisation. En organisant fréquemment ces tests, les employés peuvent devenir moins vigilants, considérant ces alertes comme des routines plutôt que des menaces potentiellement sérieuses. Par conséquent, la pratique actuelle de sensibilisation au phishing a tendance à ne pas améliorer réellement la sécurité et peut même augmenter les risques en réduisant la vigilance des employés. Les hôtes suggèrent que pour être vraiment efficaces, les programmes de sensibilisation au phishing devraient être accompagnés d’un soutien technologique qui peut aider à signaler les courriels suspects et encourager les employés à réfléchir deux fois avant de cliquer sur un lien. Des mesures préventives pourraient également être mises en place, comme des retards dans le chargement des liens pour donner aux employés le temps de réfléchir avant d’ouvrir potentiellement des contenus malveillants. Ils insistent sur l’importance de favoriser une culture où les employés se sentent capables de signaler des incidents sans crainte de répercussions négatives. De plus, les organisations devraient chercher à éduquer les employés sur les actions à entreprendre en cas de clic sur un lien malveillant, y compris changer leurs mots de passe et signaler l’incident. Enfin, les animateurs soulignent que même les experts en sécurité peuvent être victimes de phishing et ils partagent leurs propres expériences à cet égard, soulignant que personne n’est à l’abri. Il est donc primordial de développer une vraie compétence et non juste partager une information générale. Dans l’ensemble, le podcast met en avant que les tests de phishing tels qu’ils sont actuellement menés sont largement inefficaces et potentiellement contre-productifs. Il appelle à une refonte de ces programmes pour mieux éduquer les employés sur les véritables risques et sur les mesures à prendre pour assurer la sécurité de leurs données et celles de l’organisation. Notes À venir Collaborateurs Nicolas-Loïc Fortin Stéphane Laberge Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm