PolySécure Podcast

Parce que… c’est l’épisode 0x747!

Shameless plug

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Une experte à la croisée des neurosciences et de la cybersécurité

Dans cet épisode spécial Propolys, l’hôte reçoit Mélissa Canseliet, experte en neurosciences et en cyberpsychologie, qui développe une start-up en cybersécurité appelée Mindlock. Avec un parcours atypique allant de la recherche en neurosciences à Oxford jusqu’à plus de 14 ans dans l’industrie du jeu vidéo — notamment chez Ubisoft, Samsung et Missplay —, Mélissa incarne une vision résolument interdisciplinaire de la sécurité informatique.

Le constat : des formations en cybersécurité inefficaces

La conversation s’ouvre sur un problème que les deux interlocuteurs connaissent très bien : les formations traditionnelles de sensibilisation à la cybersécurité sont, au mieux, inefficaces, et au pire, contre-productives. L’hôte décrit avec humour sa propre expérience de ces interminables présentations PowerPoint que tout le monde s’empresse de traverser le plus vite possible, en répondant aux questions de validation sans vraiment retenir quoi que ce soit. Ce constat, qui dure selon lui depuis plus de vingt ans, illustre un problème structurel : ces formations ne tiennent absolument pas compte de la façon dont le cerveau humain apprend et s’engage.

Mélissa confirme ce diagnostic. Lors de ses nombreux entretiens menés dans le cadre du projet Mindlock, elle a constaté que la cybersécurité est systématiquement perçue par les non-spécialistes comme un domaine austère, peu prioritaire et difficile d’accès. Les formations existantes s’attardent souvent sur l’aspect technique des attaques, mais abordent très peu comment nous, en tant qu’humains, fonctionnons — et surtout, comment nous commettons des erreurs.

Le facteur humain : le grand oublié de la cyberdéfense

L’un des fils conducteurs de l’entretien est la place centrale du facteur humain dans les cyberattaques. En s’appuyant sur des rapports comme celui du Forum économique mondial, Mélissa rappelle que la vaste majorité des cyberattaques sont liées à des erreurs humaines. Pourtant, les défenseurs ont longtemps misé presque exclusivement sur des solutions techniques, laissant de côté les expertises issues des sciences cognitives et de la psychologie.

Les attaquants, eux, ont depuis longtemps compris cette réalité. L’ingénierie sociale — l’art de manipuler les individus plutôt que de pirater des systèmes — repose précisément sur une connaissance fine des mécanismes psychologiques universels : l’urgence, la peur, l’autorité, la confiance. Ces « boutons » émotionnels sont exploités méthodiquement par des cybercriminels qui ne sont pas nécessairement des génies de la technique, mais qui savent, selon la formule savoureuse de Mélissa, « bien se f**re de la gueule du monde ».

Arrogance, humilité et vulnérabilité cyber

Un passage particulièrement marquant de la discussion porte sur le lien entre les traits de personnalité et la vulnérabilité aux attaques. Contrairement à l’idée reçue selon laquelle « seuls les naïfs se font avoir », Mélissa explique que l’arrogance est une vulnérabilité cyber à part entière. Une personne qui se croit à l’abri ne développe pas de vigilance ; elle se laisse porter par sa surconfiance et ne perçoit pas les signaux d’alerte. À l’inverse, une personne plus humble, capable de reconnaître ses limites, sera naturellement plus attentive à une situation inhabituelle — une demande anormalement urgente, par exemple.

Les états émotionnels comme la colère, la peur ou le sentiment d’urgence sont également des portes d’entrée exploitées par les attaquants, comme en témoignent les célèbres fraudes au président. Comprendre ces mécanismes, c’est commencer à s’en protéger.

L’empathie comme bouclier

La notion d’empathie occupe une place importante dans la vision de Mélissa. Souvent perçue comme une faiblesse ou une qualité purement relationnelle, l’empathie est en réalité, dans une perspective neuroscientifique, un outil puissant. L’ingénierie sociale en est d’ailleurs une forme détournée : les cybercriminels font preuve d’une empathie redoutable pour anticiper les réactions de leurs cibles. La réponse consiste donc à développer une empathie envers soi-même — comprendre ses propres réactions, ses biais, ses angles morts — afin de reconquérir un espace de discernement et de choix éclairé dans un environnement numérique de plus en plus fluide et automatisé.

Mindlock : mettre l’expertise du jeu vidéo au service de la sécurité

C’est dans ce contexte que s’inscrit le projet Mindlock, un jeu de sensibilisation à la cybersécurité centré sur le facteur humain. L’idée est d’appliquer au domaine de la sécurité les standards d’expérience utilisateur que Mélissa a développés au fil de sa carrière dans l’industrie du jeu vidéo, notamment dans la phase dite d’onboarding — la première heure de jeu, étudiée à la minute près pour maximiser l’engagement.

Mindlock ambitionne de rompre avec le modèle de la formation unique et générique distribuée une fois par an. Le cerveau ne construit pas de nouvelles habitudes en « one shot » : il lui faut de la récurrence, de la motivation et de la personnalisation. En s’inspirant des mécaniques de jeu et des connaissances issues des neurosciences, Mindlock vise une expérience à la fois intuitive, engageante et adaptée à chaque utilisateur — une expérience qui donne envie de revenir, non par obligation, mais parce qu’elle permet d’apprendre quelque chose sur soi-même.

Un enjeu de société

En toile de fond, la discussion soulève un enjeu beaucoup plus large : dans un monde désormais entièrement numérisé — accéléré par la pandémie de COVID-19 —, la cybersécurité est devenue une question citoyenne. Protéger son organisation, c’est aussi apprendre à se protéger soi et à protéger ses proches. Et face à l’essor de l’intelligence artificielle, le risque n’est pas seulement de se faire pirater, mais d’assister à une atrophie progressive de l’intelligence humaine, faute de l’exercer.

Le cerveau, première cible des pièges du numérique, est aussi, selon Mélissa, la protection la plus sous-exploitée qui soit. C’est ce pari que tente de relever Mindlock.

Notes

Parcours Entreprendre en cybersécurité

Humanet

Collaborateurs

Nicolas-Loïc Fortin

Mélissa Canseliet

Crédits

Montage par Intrasecure inc

Locaux réels par Club Claude

Parce que… c’est l’épisode 0x746!

Shameless plug

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Introduction

Dans cet épisode de PME, l’animateur reçoit Cyndie Feltz, Nicholas Milot et Dominique Derrier pour discuter du vibe coding — une tendance qui consiste à générer du code quasi entièrement à l’aide d’outils d’intelligence artificielle, souvent sans posséder de solides bases en développement. Le ton est décontracté, ponctué d’humour, mais le fond du propos est sérieux : si le vibe coding ouvre des portes fascinantes, il comporte aussi des risques bien réels, particulièrement en matière de sécurité et de maintenabilité.

L’analogie de la maison : séduisant mais fragile

Pour illustrer le concept, Cyndie propose une analogie percutante : imaginez construire une maison en se contentant de décrire vocalement ce qu’on veut — la couleur des murs, l’emplacement des fenêtres — sans aucune connaissance en construction. Le résultat visuel peut être bluffant, mais irait-on habiter cette maison ? Probablement pas, car personne n’a pensé aux normes antisismiques, aux règles du bâtiment, à la plomberie ou à l’électricité.

L’analogie tient parfaitement pour le développement logiciel : une application vibe codée peut avoir l’air fonctionnelle et même impressionnante en surface, tout en étant criblée de failles de sécurité, dépourvue de gestion des erreurs, et incapable de passer en production. Le rendu visuel crée une illusion de compétence qui peut être dangereuse si l’on n’a pas les bases pour évaluer ce qu’on a réellement construit.

Les cas d’usage légitimes

Les participants s’accordent néanmoins à reconnaître la valeur réelle du vibe coding dans certains contextes précis :

Les preuves de concept (POC) : pour valider rapidement une idée, démontrer la viabilité d’une fonctionnalité ou présenter un prototype à des parties prenantes, l’outil est fantastique. Il permet d’éviter de gaspiller des cycles de développement coûteux avant même de savoir si l’idée mérite d’être poursuivie.

Les outils internes : pour des scripts légers, des automatisations maison ou des utilitaires qui ne seront jamais exposés à des utilisateurs externes, le vibe coding offre une grande souplesse.

Les petits sites vitrines : créer une page web simple pour présenter une entreprise est un cas d’usage où les risques restent limités.

Nicholas souligne que le scénario change radicalement si c’est un expert qui utilise le vibe coding pour accélérer son travail plutôt qu’un non-initié qui s’y fie aveuglément. Un développeur expérimenté sait quelles questions poser, quelles contraintes intégrer dans ses prompts, et surtout quand le code généré est insuffisant ou dangereux.

Les risques concrets

La sécurité, grande oubliée

Cyndie, qui œuvre dans le domaine de la sécurité, pointe plusieurs vulnérabilités typiques du vibe coding :

La gestion des secrets : une personne sans expérience va naturellement coller ses clés API (Stripe, GitHub, OpenAI) directement dans le code, sans comprendre que c’est une pratique catastrophique.

Les permissions excessives : si on fournit à l’agent IA un accès complet à une base de données, rien ne l’empêche de générer — et d’exécuter — une commande DROP TABLE. Il faut réfléchir aux moindres privilèges, ce qui requiert une connaissance du domaine.

Le contournement des protections : certains LLM, interrogés de la bonne façon, acceptent désormais de fournir des techniques pour bypasser des systèmes de sécurité (comme les EDR), voire d’écrire des preuves de concept malveillantes.

L’incident Amazon

Un exemple concret frappe les esprits : en février 2026, Amazon aurait subi une interruption de service d’environ 13 heures après qu’un employé a utilisé un outil de type Cursor (l’éditeur interne « Kiro ») pour supprimer et recréer des secrets et des connexions, mettant accidentellement AWS hors ligne. En réaction, Amazon a instauré une règle interne obligeant les développeurs juniors et intermédiaires à faire approuver leurs mises en production par un développeur senior — ce qui revient à admettre officiellement que l’expérience humaine reste indispensable.

La dette technique et la maintenabilité

Nicholas insiste sur un autre écueil : le code vibe codé est difficile à maintenir. Sans documentation adéquate, sans architecture réfléchie, le code généré par IA ressemble à du Perl écrit en une ligne — on ne comprend plus ce qu’on a fait quelques semaines plus tard. Plus l’application grossit, plus la gestion du contexte entre les différents agents IA devient complexe, et plus il faut investir dans des fichiers de documentation (Markdown, instructions de projet) pour garder le cap.

Les hallucinations de dépendances

Un autre cas inquiétant est évoqué : un LLM qui invente une dépendance npm inexistante. Des centaines de dépôts GitHub se sont retrouvés à référencer un package qui n’existe pas, parce que l’IA l’avait suggéré avec confiance. Au-delà du dysfonctionnement, le risque de sécurité est évident : si quelqu’un crée un vrai package malveillant portant ce nom, il serait automatiquement adopté par tous ces projets.

Le vibe coding comme exosquelette

La métaphore finale la plus juste est celle de l’exosquelette : le vibe coding décuple les capacités de ceux qui savent déjà marcher, mais ne remplace pas les jambes. L’humain reste central. L’IA accélère, automatise et débloque des possibilités nouvelles — mais elle ne remplace ni le jugement, ni l’expérience, ni la responsabilité.

La course à la vitesse pousse les entreprises à sacrifier la qualité et la sécurité, ce qui mène inévitablement à des échecs retentissants. Le consensus des panélistes : utiliser le vibe coding pour explorer et prototyper, puis confier la production à des processus rigoureux, idéalement guidés par des personnes qui comprennent ce qu’elles construisent.

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x745!

Préambule

Je suis en déplacement et je n’ai pas tous mes équipements habituels. Je n’ai pas encore trouvé l’équilibre entre la frugalité des choses que je mets dans ma valise et le maintien de la qualité de l’enregistrement.

Shameless plug

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

IA ou Ghost in the shell

Mythos

The ‘Vulnpocalypse’: Why experts fear AI could tip the scales toward hackers

Kevin Beaumont: “I’ve had a bunch of people ask…” - Cyberplace

Kevin Beaumont: “Companion video https://youtu.…” - Cyberplace

Kevin Beaumont: “I don’t think anybody actually…” - Cyberplace

Anthropic Teams Up With Its Rivals to Keep AI From Hacking Everything

Anthropic Mythos model can find and exploit 0-days

Anthropic limits access to Mythos, its new cybersecurity AI model

Scoop: OpenAI plans new product for cybersecurity use

We’re Getting the Wrong Message from Mythos

Anthropic’s Mythos Will Force a Cybersecurity Reckoning—Just Not the One You Think

Has Mythos just broken the deal that kept the internet safe?




Japan relaxes privacy laws to make AI development easy

The demise of software engineering jobs has been greatly exaggerated

First man convicted under Take It Down Act kept making AI nudes after arrest

Police corporal created AI porn from driver’s license pics

Trump-appointed judges refuse to block Trump blacklisting of Anthropic AI tech

OpenAI Backs Bill That Would Limit Liability for AI-Enabled Mass Deaths or Financial Disasters

Florida investigates OpenAI for role ChatGPT may have played in deadly shooting

Californians sue over AI tool that records doctor visits

Hacker Uses Claude and ChatGPT to Breach Multiple Government Agencies




La guerre, la guerre, c’est pas une raison pour se faire mal!

Iran intruders disrupting US water, energy facilities

UK says it exposed Russian submarine activity near undersea cables




Souveraineté ou vive le numérique libre!

numerique.gouv.fr




Privacy ou cachez ces informations que je ne saurais voir

Why you can’t trust Privacy & Security

Report: US demands Reddit unmask ICE critic, summons firm to grand jury

“Not Even Government Agencies”

FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database




I am the law

Apple continues to roll out age verification around the world

Greece to ban under-15s from social media from next year

Reaffirming our commitment to child safety in the face of European Union inaction

Senator launches inquiry into 8 tech giants for failures to adequately report CSAM

Wisconsinites Can Keep Watching Porn After Governor Vetoes Age Verification Bill

New Mexico’s Meta Ruling and Encryption

LinkedIn scanning users’ browser extensions sparks controversy and two lawsuits

UK government threatens tech bosses with jail time if they do not adequately fight nudification tools




Red ou tout ce qui est brisé

Quantum FTW?

A Cryptography Engineer’s Perspective on Quantum Computing Timelines

Cloudflare fast-tracks post-quantum rollout as new research puts encryption on notice

Why is the timeline to quantum-proof everything constantly shrinking?




Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit

FBI says cybercrime losses hit record $20.87B in 2025

Microsoft Abruptly Terminates VeraCrypt Account, Halting Windows Updates

Un ransomware frappe le logiciel de dossiers patients de 80 % des hôpitaux néerlandais

Why more Mac attacks now rely on social engineering




Blue ou tout ce qui améliore notre posture

Little Snitch for Linux

Open source security at Astral

Static code analysis in Kotlin

Google rolls out Gmail end-to-end encryption on mobile devices

Brocards for vulnerability triage




Divers ou parce que j’ai aucune idée où les placer

Dad stuck in support nightmare after teen lied about age on Discord

Scoop: Meta removes ads for social media addiction litigation




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par CitizenM Gare de Lyon

Parce que… c’est l’épisode 0x744!

Shameless plug

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Un événement communautaire au cœur de la cybersécurité québécoise

Dans cet épisode spécial, Nicolas-Loïc Fortin s’entretient avec René-Sylvain Bédard, un acteur bien connu de la communauté cybersécurité au Québec. Au menu : la conférence ITSec, ses origines, sa valeur, son thème de l’année, et les grandes réflexions que René-Sylvain s’apprête à y partager. Une conversation qui déborde rapidement sur des sujets plus larges, de l’intelligence artificielle à la gouvernance des données, en passant par le rôle des gestionnaires face aux défis de la cybersécurité.

ITSec : bien plus qu’une conférence technique

René-Sylvain décrit ITSec avec une affection non dissimulée. Impliqué depuis quatre ans, il qualifie l’événement de « grande messe » où se retrouvent professionnels de la cybersécurité et fournisseurs de services gérés (MSP) dans un esprit authentiquement communautaire. Ce qui le distingue des grands salons commerciaux, c’est précisément ce qu’il n’est pas : un show de vente. Ici, l’objectif est de partager la passion et les connaissances, pas de pousser des produits.

L’ambiance y est conviviale mais résolument technique. La première journée est consacrée à la formation, suivie d’un capture the flag en soirée. Un spectacle humoristique vient ensuite marquer la transition entre les deux jours, permettant de souffler avant de replonger dans le contenu. Ce format — deux jours ni trop longs ni trop courts — contribue à maintenir une énergie positive tout au long de l’événement.

Le parcours gestionnaire : amener le boss dans la salle

L’une des innovations les plus marquantes des dernières années est l’introduction du « parcours gestionnaire », né d’un constat simple : après les présentations, des participants venaient régulièrement dire à René-Sylvain qu’ils auraient voulu que leur supérieur entende ce qui venait d’être dit. De là est née l’idée du Bring Your Own Boss — une invitation directe faite aux professionnels TI d’amener leur dirigeant à la conférence.

Ce parcours, horizontal par nature, s’adresse à des gestionnaires issus de la TI, de la cybersécurité ou du monde MSP. L’objectif est d’assurer une « traduction » entre le langage technique des équipes et la réalité décisionnelle des dirigeants. Une initiative saluée par Nicolas-Loïc, qui souligne à quel point les grands événements comme le RSA contribuent parfois à brouiller les cartes en multipliant les annonces spectaculaires sans réelle valeur opérationnelle pour les praticiens.

Le thème 2025 : l’IA qui protège nos mondes numériques

Cette année, ITSec a choisi de centrer son édition autour de l’intelligence artificielle, non pas sous l’angle de la menace, mais sous celui de la protection. Le thème retenu — L’IA qui protège nos mondes numériques — ouvre une perspective rafraîchissante dans un paysage médiatique souvent dominé par les discours alarmistes. L’IA peut aussi être un bouclier, et ITSec entend démontrer comment.

La conférence d’ouverture sera assurée par Anne-Gwen, dont René-Sylvain anticipe qu’elle va « souffler tout le monde » avec une vision nouvelle du sujet. Par ailleurs, Microsoft animera une formation sur la gouvernance des données comme prérequis à l’adoption de l’IA — un rappel bienvenu que déployer Co-Pilot sans avoir structuré ses données en amont, c’est prendre le problème à l’envers. La formule est connue : garbage in, garbage out.

Gouvernance des données et sécurité : les deux faces d’une même pièce

La discussion s’étend naturellement à la question de la gouvernance dans les environnements Microsoft 365. René-Sylvain illustre l’enjeu avec un exemple parlant : si la sécurité de vos données dans M365 n’est pas bien configurée, votre IA héritera des mêmes lacunes. Un stagiaire pourrait ainsi se retrouver avec accès aux salaires de toute l’organisation — non pas parce que l’IA est mal paramétrée, mais parce que les fondations de sécurité n’ont jamais été posées correctement.

Cette réalité rejoint un problème plus large : la majorité des organisations déploient des outils d’IA générative sans avoir réalisé le travail préparatoire indispensable — nettoyage des données, gestion des accès, étiquetage (tagging). Un travail ingrat, invisible, mais absolument fondamental.

La démocratisation de la cybersécurité pour les gestionnaires

C’est le sujet que René-Sylvain s’apprête à aborder lors de sa présentation au parcours gestionnaire, en s’appuyant sur son livre en cours de publication. Son constat est sans appel : les outils technologiques de cybersécurité sont inutiles pour les dirigeants. Mettre une console Sentinel ou SentinelOne devant un gestionnaire — qu’il soit comptable, vendeur ou administrateur — ne produira aucun effet utile. 94 % d’entre eux, estime-t-il (et Nicolas-Loïc irait même jusqu’à 99 %), n’ont tout simplement pas les clés pour interpréter ce qu’ils voient.

La question qu’il soulève n’est donc pas technique, mais stratégique : quelle est la couche de traduction qui manque pour rendre la cybersécurité digestible à un décideur ? Comment lui donner une visibilité réelle sur ce que ses équipes font, sans le noyer dans des millions de signaux d’alerte qu’il ne peut pas interpréter ? C’est le fil conducteur de sa présentation, et manifestement, un débat qui promet d’être animé.

L’esprit de communauté comme moteur

En conclusion, les deux interlocuteurs s’accordent sur l’essentiel : ce qui nourrit les professionnels de la cybersécurité, c’est le contact avec d’autres expertises, la confrontation bienveillante des points de vue, les échanges informels autour d’un café. ITSec, comme d’autres événements communautaires, remplit ce rôle en sortant les participants de la bulle négative pour les ramener à leur passion première : la technologie. Et si quelques tomates sont jetées en chemin, c’est souvent le signe qu’on a touché quelque chose de vrai.

Notes

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




[ITSec - RenéSylvain Bédard] (https://it-sec.ca/schedule-speaker/rene-sylvain-bedard/)

Collaborateurs

Nicolas-Loïc Fortin

René-Sylvain Bédard

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x743!

Préambule

L’enregistrement a été effectué à partir d’un lien Internet avec beaucoup de latence. J’ai corrigé du mieux que je peux.

Shameless plug

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Présentation de l’invité et de son entreprise

Frédérik Bernard est président fondateur de Secur01, une entreprise québécoise spécialisée en cybersécurité depuis 12 ans. Dès sa fondation, l’objectif était clair : rendre la cybersécurité accessible aux PME. Si les grandes entreprises bénéficiaient déjà depuis longtemps de services spécialisés dans ce domaine, ce n’est que depuis environ cinq ans que les PME commencent à prendre conscience de l’importance de se protéger. Secure 01 accompagne aujourd’hui plus d’une centaine de clients actifs au Canada, aux États-Unis et en Europe.

La cybersécurité, un domaine de spécialisation à part entière

L’un des fils conducteurs de l’échange est la transformation profonde du secteur des technologies de l’information. Dans les années 2000, « faire du TI » signifiait tout à la fois : réparer des ordinateurs, installer des imprimantes, maintenir des serveurs, développer des sites web. Aujourd’hui, ces disciplines se sont fragmentées, tout comme le multimédia s’est autrefois détaché du reste de l’informatique.

La cybersécurité suit exactement cette trajectoire. Les cadres de contrôle internationaux sont unanimes : les personnes qui gèrent les opérations TI au quotidien ne devraient pas être celles qui supervisent leur propre sécurité. La raison est simple et profondément humaine — on manque d’objectivité lorsqu’on évalue son propre travail. Frédérik Bernard fait le parallèle avec le monde du développement logiciel, où le contrôle qualité est depuis longtemps confié à des équipes distinctes de celles qui produisent le code.

L’analogie médicale qu’il propose est particulièrement parlante : demander à un médecin généraliste d’opérer un cerveau n’a aucun sens, aussi compétent et bien intentionné soit-il. La cybersécurité, c’est la neurochirurgie des systèmes d’information.

L’état du marché : moins d’attaques, mais plus dévastatrices

Les rapports de référence du secteur — CDW, Verizon DBIR et autres — convergent vers un constat préoccupant : si le nombre d’attaques a légèrement diminué ces dernières années, leur portée et leur criticité ont explosé. Les attaquants passent de plus en plus de temps sur les réseaux compromis avant d’être détectés — parfois 20, 30 ou 40 jours —, le temps d’exfiltrer des centaines de gigaoctets de données sensibles.

Ce constat est aggravé par une réalité de terrain que Frédérik Bernard rencontre régulièrement lors de réponses aux incidents : des équipes TI incapables de répondre à des questions élémentaires. À quoi sert tel serveur ? Quelles données y sont hébergées ? Quel est l’inventaire des machines actives sur le réseau ? Ces lacunes ne sont pas le résultat d’une mauvaise volonté, mais d’une surcharge chronique et d’un manque de spécialisation. Les équipes TI sont débordées, en retard de plusieurs semaines sur leurs projets, et la vague numérique post-COVID — télétravail, infonuagique, industrie 4.0 — n’a fait qu’amplifier cette pression.

L’intelligence artificielle : accélérateur, pas substitut

L’essor de l’IA dans le secteur est également abordé. Si les outils dopés à l’IA permettent effectivement de gagner du temps sur des tâches précises — comme l’analyse de journaux d’événements qui passait de 45 minutes à 2 minutes —, ils ne transforment pas pour autant un généraliste en expert de la cybersécurité. Entraîner un modèle à reconnaître des signaux d’alerte pertinents, le connecter à l’ensemble des sources de données d’un environnement, exige un investissement considérable en temps et en expertise. L’IA est un outil d’optimisation, pas une lampe magique.

Les enjeux réglementaires et juridiques, un terrain miné

La cybersécurité ne se joue pas seulement sur le plan technique. Frédérik Bernard soulève un point méconnu mais capital : au Québec, mener une réponse aux incidents — collecter des preuves, établir le récit d’une attaque — constitue légalement une activité d’investigation encadrée par la loi sur la sécurité privée. Seules les agences de sécurité privée disposant d’enquêteurs accrédités sont habilitées à exercer ces activités. De nombreux prestataires TI l’ignorent et s’y aventurent sans le savoir, s’exposant à des risques juridiques sérieux.

Il cite un cas concret : un fournisseur TI ayant effacé toutes les preuves en débranchant physiquement les équipements lors d’une attaque par rançongiciel, puis rédigé un rapport désignant un tiers comme responsable, sans la moindre preuve. Le dossier s’est judiciarisé. Ce type de situation illustre à quel point l’absence de cadre professionnel peut nuire aux clients comme à l’ensemble de l’industrie.

Vers une association professionnelle et un ordre professionnel

C’est précisément pour répondre à ces dérives que l’association ITSec a été relancée avec une ambition politique claire : créer les conditions nécessaires à l’établissement d’un ordre professionnel en TI et en cybersécurité au Québec. L’objectif n’est pas de bureaucratiser le secteur, mais de lui donner les outils pour se défendre collectivement — un code de déontologie, des lignes directrices partagées, une voix crédible auprès des décideurs politiques et des médias.

Le « beau frère » — cette figure du pseudo-expert qui branche une caméra sans fil et se proclame directeur TI — ne disparaîtra que lorsque l’industrie aura la capacité institutionnelle de dire « non » et de faire valoir ce qu’elle représente réellement : le Québec numérique, tenu à bout de bras, en coulisses, par des professionnels dont le travail reste largement invisible.

Frédérik Bernard interviendra à deux reprises lors de la conférence ITSec. Le public est invité à assister à ses présentations pour approfondir ces sujets.

Notes

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




[ITSec - Frédérik Bernard] (https://it-sec.ca/schedule-speaker/frederik-bernard/)

Collaborateurs

Nicolas-Loïc Fortin

Frédérik Bernard

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm