PolySécure Podcast

Parce que… c’est l’épisode 0x701!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Les initiatives du gouvernement du Québec en cybersécurité

Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité.

Un parcours technique impressionnant

Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique.

Les 15 mesures obligatoires : une base solide

En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics.

Une surveillance centralisée 24/7/365

L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence.

Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur.

Le regroupement RHI : une révolution organisationnelle

Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble.

L’automatisation et la réactivité

L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses.

Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de 900 serveurs SharePoint.

Reconnaissance internationale et création de CVE

Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l’excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l’aide de pentesteurs virtuels basés sur l’IA.

Le balayage de vulnérabilités : externe et interne

Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d’attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l’identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS.

Cet inventaire facilitera grandement la gestion des risques : lorsqu’une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d’alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels.

Le défi des objets connectés

Fournier identifie les objets connectés (IoT) comme un défi majeur pour l’avenir. Ces dispositifs, de plus en plus présents dans l’environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L’exemple du thermomètre d’aquarium ayant servi de point d’entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l’appareil gouvernemental représente le “Saint Graal” de la cybersécurité.

Le projet de loi 82 et les infrastructures critiques

Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l’eau, l’électricité, et d’autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l’eau.

Conclusion

Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l’automatisation des réponses, la surveillance continue, et l’adoption de technologies basées sur l’IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l’ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois.

Collaborateurs

Nicolas-Loïc Fortin

Yvan Fournier

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x700!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Ce 12e épisode de collaboration entre Cyber Citoyen et Polysécure marque également la première année de partenariat entre les animateurs. Nicolas, Catherine Dupont-Gagnon et Samuel Harper abordent deux sujets majeurs d’actualité en cybersécurité : la controverse autour de Grok et les développements récents concernant les centres de fraude au Cambodge.

Grok : une plateforme problématique

Le problème de la pornographie juvénile générée par IA

Le premier sujet abordé concerne Grok, l’outil d’intelligence artificielle de X (anciennement Twitter), qui soulève de graves préoccupations en matière de pornographie juvénile générée par IA. Les animateurs dénoncent l’hypocrisie apparente de ceux qui prétendent lutter contre ce fléau tout en tolérant l’existence de cette plateforme.

Seuls quelques pays, notamment l’Indonésie et la Malaisie en Asie, ont officiellement bloqué Grok. L’Europe reste relativement passive, l’Angleterre mène une enquête, et les États-Unis ainsi que le Canada n’ont pris que des mesures limitées. Elon Musk a même dénoncé cette situation comme de la « censure », un choix de bataille que les animateurs trouvent particulièrement troublant.

Les cas choquants

Le podcast relate des histoires tragiques, notamment celle d’une jeune victime d’un incendie dont la photo mémoriale a été utilisée par des utilisateurs de X pour demander à Grok de générer des images pornographiques. Ces cas se multiplient, particulièrement lorsque des visages féminins ou de jeunes filles apparaissent en ligne.

Les mesures insuffisantes

Les premières barrières mises en place par Musk consistaient à limiter cette fonctionnalité aux comptes payants, créant des situations absurdes où l’outil proposait de passer au forfait premium pour accéder à ces fonctionnalités illégales. Les filtres sont facilement contournables, contrairement à d’autres plateformes comme Google, MidJourney ou ChatGPT qui ont mis en place des filtres stricts dès le départ.

L’inaction des grandes entreprises

Apple et Google n’ont pas retiré l’application de leurs boutiques, malgré les violations apparentes de leurs conditions d’utilisation. L’administration Trump actuelle montre une tolérance extrême envers ce type de contenu, et les tentatives européennes d’imposer des amendes ont été contrecarrées par des représailles, incluant la révocation de visas et le placement sur des listes de sanctions.

Un problème sociétal plus large

Les animateurs soulignent que le problème dépasse Grok. Craig Silverman, journaliste spécialisé dans la fraude en ligne, a découvert 25 000 publicités sur Meta en 2025 pour des applications de « deepnude ». La facilité d’accès à ces outils, comparativement à l’époque où il fallait maîtriser Photoshop, amplifie considérablement le problème. La génération instantanée d’images ne laisse pas le temps de réfléchir aux conséquences, facilitant les actes impulsifs de revenge porn et de harcèlement.

Les centres de fraude au Cambodge

Le contexte

Le deuxième sujet porte sur les développements majeurs concernant les centres de fraude au Cambodge et au Myanmar. Ces « scam compounds » sont des centres où des personnes sont retenues en esclavage pour commettre des fraudes en ligne. Pendant la pandémie, d’anciens casinos se sont reconvertis en centres de fraude, représentant jusqu’à 60 % du PIB cambodgien.

L’arrestation de Chen Ji

Récemment, Chen Ji, un magnat de cette industrie membre du Prince Group (un conglomérat incluant une compagnie aérienne, des projets immobiliers et des casinos), a été arrêté au Cambodge et extradé vers la Chine. Cette arrestation est surprenante car Chen Ji avait des liens étroits avec le pouvoir cambodgien. En 2019, le premier ministre avait même refusé de l’extrader malgré les demandes chinoises.

Les développements récents

Suite à cette arrestation, plusieurs centres se sont vidés. À certains endroits, les gérants ont simplement ouvert les portes et laissé partir les prisonniers. Des centaines de ressortissants chinois se sont retrouvés devant l’ambassade à Phnom Penh, cherchant à rentrer chez eux. Des milliers de personnes sont dans les rues en situation de crise, certains ayant été retenus pendant des années après avoir perdu leur argent au casino et s’être fait confisquer leur passeport.

Une répression sélective

Plusieurs hauts gradés de la police et un général du ministère de l’immigration ont été démis de leurs fonctions pour implication dans le trafic humain. Cependant, la répression semble sélective : certains centres continuent d’opérer normalement, et des journalistes rapportent avoir vu des personnes tentant de s’échapper être rattrapées, battues et ramenées à l’intérieur.

La fermeture des marchés de blanchiment

Parallèlement, We Guarantee, le plus gros marché illégal de l’histoire (sur Telegram), appartenant à des proches du pouvoir cambodgien, a fermé en mai 2025 après qu’une compagnie d’enquête crypto ait exposé ses opérations de blanchiment. Son successeur, Todo Guarantee, a également fermé après 7 semaines.

Les pressions internationales

Les hypothèses suggèrent que les sanctions américaines, la pression de la Corée du Sud (qui a émis des avis de voyage contre le Cambodge) et surtout l’insistance chinoise ont forcé le Cambodge à agir. La Chine est particulièrement motivée car ce sont principalement ses citoyens qui sont victimes de ces fraudes et qui se font trafiquer dans ces centres.

Conclusion

Les animateurs concluent en soulignant l’inaction générale face à ces problèmes. Que ce soit pour Grok ou pour les centres de fraude, les pouvoirs en place tardent à agir efficacement. Ils comparent la situation à l’époque du Far West d’internet des années 90, où l’absence de conséquences encourageait tous les comportements. La professionnalisation et l’application de règles avaient alors permis d’améliorer la situation, mais aujourd’hui, on semble avoir régressé vers un état d’impunité, particulièrement sur les réseaux sociaux où la tolérance est devenue extrême sous l’administration Trump.

Cette première année de collaboration se termine sur l’espoir que 2026 apportera des changements positifs, bien que les signes actuels ne soient pas encourageants.

Notes

Malaysia and Indonesia block X over deepfake smut • The Register

Ofcom officially investigating X over Grok nudification • The Register

Kevin Beaumont: “The UK government is to enforc…” - Cyberplace

Apps like Grok are explicitly banned under Google’s rules—why is it still in the Play Store? - Ars Technica





[California AG to probe Musk’s Grok for nonconsensual deepfakes
The Record from Recorded Future News](https://therecord.media/california-grok-deepfakes-investigation)





Kevin Beaumont: “X has finally climbed down ove…” - Cyberplace

Ofcom continues X probe despite Grok ‘nudify’ fix • The Register





[Elon Musk’s X says it will block Grok from making sexual images
The Record from Recorded Future News](https://therecord.media/musk-x-grok-block-sexual)





Campaigners demand Apple, Google remove Grok from stores • The Register





[X serre la vis de sa plateforme de nudification, mais pas trop fort quand même
Posts
Le site de Korben](https://korben.info/grok-deepfake-nudification-abuse.html)









[State Department Threatens UK Over Grok Investigation, Because Only The US Is Allowed To Ban Foreign Apps
Techdirt](https://www.techdirt.com/2026/01/15/state-department-threatens-uk-over-grok-investigation-because-only-the-us-is-allowed-to-ban-foreign-apps/)









[Elon Musk’s Grok ‘Undressing’ Problem Isn’t Fixed
WIRED](https://www.wired.com/story/elon-musks-grok-undressing-problem-isnt-fixed/)





Collaborateurs

Nicolas-Loïc Fortin

Catherine Dupont-Gagnon

Samuel Harper

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x699!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Notes

IA

Le ciel nous tombe sur la tête

New Study Shows GPT-5.2 Can Reliably Develop Zero-Day Exploits at Scale

An AI wrote VoidLink, the cloud-targeting Linux malware

AIs are Getting Better at Finding and Exploiting Internet Vulnerabilities

AI-powered cyberattack kits are ‘just a matter of time’




Fail

West Midlands copper chief cops it after Copilot copped out

When two years of academic work vanished with a single click




L’humain dans tout ça

Could ChatGPT Convince You to Buy Something?

Why AI Keeps Falling for Prompt Injection Attacks

Google Gemini Prompt Injection Flaw Exposed Private Calendar Data via Malicious Invites

What an AI-Written Honeypot Taught Us About Trusting Machines




Microsoft & Anthropic MCP Servers at Risk of RCE, Cloud Takeovers

apply_chat_template() Is the Safety Switch

Ukraine’s new defence minister vows data-driven overhaul of military

AI Agents ‘Perilous’ for Secure Apps Such as Signal, Whittaker Says

cURL removes bug bounties

Nadella talks AI sovereignty at the World Economic Forum

Wikipedia volunteers spent years cataloging AI tells. Now there’s a plugin to avoid them.




Souveraineté

European Open Digital Ecosystems

What it’s like to be banned from the US for fighting online hate

Europe wants to end its dangerous reliance on US internet technology




Red

A scammer’s blueprint: How cybercriminals plot to rob a target in a week

Shostack + Associates > Threat Advisory: GPS Attacks [SA-26-01]

Risky Chinese Electric Buses Spark Aussie Gov’t Review




Blue

Congressional appropriators move to extend information-sharing law, fund CISA

IPv6 is not insecure because it lacks a NAT

Microsoft Teams External Domain Anomalies Allow Defenders to Detect Attackers at Earliest

Healthy Security Cultures Thrive on Risk Reporting




Privacy

Starmer stares down social media ban barrel in latest U-turn

Europe’s GDPR cops dished out €1.2B in fines last year

Microsoft Gave FBI BitLocker Encryption Keys, Exposing Privacy Flaw

Shostack + Associates > Shostack + Friends Blog > Bitlocker, the FBI, and Risk

TikTok Is Now Collecting Even More Data About Its Users. Here Are the 3 Biggest Changes

Social Analyzer - Le détective du web qui scanne vos profils sociaux (OSINT)

iCloud with Advanced Data Protection doesn’t delete your files




Divers

CISA won’t attend infosec industry’s biggest conference

You Got Phished? Of Course! You’re Human…

Internet Voting is Too Insecure for Use in Elections

Work-from-office mandate? Expect top talent turnover, culture rot




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x698!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Dans cet épisode, David Bizeul et Nicolas explorent l’interopérabilité entre composants de sécurité et présentent le projet Open XDR Architecture (OXA). La discussion met en lumière les défis de l’approche “best of breed” face à la plateformisation du marché de la cybersécurité, ainsi que les solutions innovantes pour favoriser l’interopérabilité.

L’approche best of breed et ses défis

David Bizeul se définit comme un fervent défenseur de l’approche best of breed, qui consiste à sélectionner la meilleure solution pour chaque problème spécifique en cybersécurité. Cette philosophie s’inscrit dans l’ADN de Sekoia, où l’ouverture et l’interopérabilité constituent des valeurs fondamentales. Cependant, cette approche se heurte à une réalité complexe : bien qu’un produit puisse être excellent dans son domaine, il ne représente qu’une lettre dans l’alphabet complet d’un workflow de cybersécurité.

Le principal défi réside dans la compétition avec les grandes plateformes intégrées. Ces acteurs, principalement américains, ont pu racheter la concurrence pour des centaines de millions ou des milliards de dollars, créant des offres complètes de A à Z. Face à cette concentration, les éditeurs spécialisés doivent trouver des moyens alternatifs de créer de la valeur pour leurs clients sans disposer des mêmes ressources financières.

Le projet Open XDR Architecture (OXA)

Pour répondre à ces enjeux, trois sociétés françaises - Sekoia, Arfanglab et Glims - ont collaboré pour créer OXA. Sekoia propose une plateforme SOC, Arfanglab une solution EDR, et Glims une solution d’analyse de malware. Ensemble, ils ont développé une architecture ouverte permettant de faire du XDR (Extended Detection and Response) en favorisant l’interopérabilité entre différentes solutions technologiques de qualité.

L’objectif d’OXA est de se positionner face aux acteurs plateformisants, non pas en suivant leur modèle d’acquisition agressive, mais en promouvant les standards, l’interopérabilité et des formats de données ouverts. Cette approche vise à faciliter les workflows entre différents composants de sécurité.

Les différentes couches d’OXA

Formats de données

La première couche concerne les formats de données générés et consommés par les différentes solutions. Historiquement, le marché souffrait d’une prolifération de formats propriétaires, rendant l’intégration extrêmement complexe. OXA s’appuie sur des standards existants comme OCSF (Open Cyber Security Framework), qui définit un cadre pour les différents types de produits et leurs champs de données pertinents. L’objectif n’est pas de réinventer la roue, mais de promouvoir ce qui existe déjà et fonctionne bien.

Spécifications d’API

La deuxième couche aborde l’automatisation et la communication entre produits. Contrairement aux formats de données, il n’existe pas sur le marché de spécification d’API standardisée pour la cybersécurité. Chaque éditeur développe ses propres API propriétaires pour communiquer avec les EDR, firewalls ou SIEM. OXA propose une spécification d’API définissant comment les composants de sécurité devraient interagir : comment suspendre un processus sur un EDR, comment ajouter une règle de détection dans un SIEM, etc.

Cette standardisation permet de gagner énormément de temps d’ingénierie. Au lieu de passer trois jours d’intégration pour chaque nouveau produit, multiplié par cent produits (soit 300 jours de travail), une API standardisée permettrait de minimiser drastiquement ces délais d’intégration, bénéficiant à l’ensemble de la communauté.

Distribution de Threat Intelligence

La troisième couche concerne la dissémination de la Threat Intelligence. L’idée est qu’un client ayant déjà payé pour une source de Threat Intelligence devrait pouvoir la distribuer à tous ses produits de sécurité, et non seulement à quelques-uns. Cela permet d’agir plus rapidement, plus près de la menace, en diffusant l’information directement aux équipements réseau ou endpoints avant même que les alertes n’arrivent au SIEM.

L’analogie médicale et la spécialisation

Nicolas établit une analogie pertinente avec la médecine pour illustrer l’évolution de la cybersécurité. Il y a 15 ans, le domaine était relativement limité et rudimentaire, comparable à la médecine générale d’il y a un siècle. Aujourd’hui, comme en médecine où personne n’accepterait qu’un généraliste pratique une neurochirurgie, la cybersécurité nécessite des spécialistes. La plateformisation ne fait plus sens dans un contexte où chaque domaine requiert une expertise pointue.

Cette spécialisation se reflète également au niveau des professionnels et des entreprises. Il est désormais impossible pour une personne de maîtriser tous les aspects de la cybersécurité, tout comme une entreprise ne peut exceller dans tous les domaines simultanément.

Vision future et Cyber Security Mesh Architecture

David Bizeul établit un parallèle intéressant entre OXA et le concept de Cyber Security Mesh Architecture (CSMA) proposé par Gartner. Le CSMA représente une vision du marché où la cybersécurité est pensée comme un ensemble de composants travaillant en chaîne. OXA constitue une manière d’opérationnaliser cette vision, offrant aux clients la possibilité de choisir les meilleurs produits pour leur contexte spécifique tout en garantissant leur interopérabilité.

Le projet intègre également un système de labels (bronze, silver, gold) permettant aux éditeurs de s’autodéclarer compatibles avec différents niveaux d’interopérabilité OXA. L’objectif est d’encourager les clients à favoriser l’interopérabilité plutôt que la plateformisation dans leurs appels d’offres et budgets.

Avantages pour l’innovation

Un aspect particulièrement intéressant d’OXA est son potentiel pour favoriser l’innovation. Une startup avec une simple preuve de concept peut se rendre compatible OXA et être rapidement intégrée dans des workflows matures de grands groupes. Par exemple, une startup développant une solution d’analyse de deepfakes pourrait être sollicitée dans un workflow de cybersécurité dès ses débuts, là où elle aurait dû attendre trois ans de maturation dans un modèle classique.

Pour les utilisateurs, cette approche offre également une résilience accrue : si un produit ne satisfait plus ou si l’éditeur fait faillite, il peut être facilement remplacé par un autre produit compatible OXA, sans disruption majeure du workflow.

Conclusion

Le projet OXA, disponible sur le repository GitHub d’Open Cyber Alliance, représente une approche innovante pour repenser l’interopérabilité en cybersécurité. En promouvant les standards ouverts et en facilitant la collaboration entre solutions spécialisées, OXA offre une alternative crédible à la plateformisation dominante, au bénéfice tant des éditeurs que des utilisateurs finaux.

Notes

Open XDR Architecture: redefining the contours of XDR

Open XDR architecture

Open Cybersecurity Alliance

Github opencybersecurityalliance/oxa

Collaborateurs

Nicolas-Loïc Fortin

David Bizeul

Crédits

Montage par Intrasecure inc

Locaux réels par Sekoia

Parce que… c’est l’épisode 0x697!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction : Le contrat comme socle de démarrage

Dans cet épisode spécial PME consacré aux fournisseurs de services gérés (MSP), les experts Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet crucial : le contrat MSP. Après avoir défini ce qu’est un MSP dans un épisode précédent, ils se concentrent maintenant sur l’importance de bien formaliser la relation contractuelle, qui constitue le socle de démarrage de tout partenariat MSP. Le contrat définit la portée du travail, la valeur apportée et les modalités du partenariat entre l’entreprise et son fournisseur de services.

L’importance de la formalisation

Lorsqu’une entreprise décide de confier une partie de ses activités TI à un MSP, elle lui confie ce qu’elle a de plus précieux : ses systèmes d’information. Cette démarche ne peut se faire à la légère ou sur une simple entente verbale. Il est essentiel de formaliser les règles et les attentes dès le départ. Comme le soulignent les intervenants, quand tout va bien, personne ne se pose de questions, mais lorsque des problèmes surviennent, il devient crucial d’avoir un contrat clair pour apporter les éclaircissements nécessaires.

La clarification des rôles et responsabilités

Un des éléments fondamentaux à définir avant de signer un contrat est de déterminer précisément qui sera en charge de quoi. Selon le niveau de service choisi, le MSP peut effectuer des tâches très basiques, comme la simple revente de licences avec un service minimal, ou prendre en charge l’ensemble des opérations TI de l’entreprise. Il existe une multitude d’options sur le marché, et il est impératif de choisir celle qui convient le mieux aux besoins spécifiques de l’entreprise.

L’erreur à éviter est de présumer que le MSP répondra automatiquement à tous les besoins sans vérifier ce qui est réellement inclus dans le contrat. Par exemple, si un MSP vend des licences Microsoft, cela ne signifie pas nécessairement qu’il assurera la configuration et la gestion de la console. De même, la vente d’une solution de sauvegarde comme Veeam ne garantit pas que le MSP gérera les backups au quotidien.

Les trois niveaux de service : buy, build, run

Dominique Derrier introduit une distinction importante entre trois niveaux de service :


Buy (achat/revente) : L’achat et la revente de licences, permettant de profiter des effets de volume du MSP pour réaliser des économies ou accéder à des produits normalement réservés aux grandes entreprises.




Build (mise en place) : La configuration initiale et le déploiement des solutions, incluant la première mise en marche et l’initialisation des systèmes.




Run (opérationnel) : La gestion quotidienne et l’opérationnalisation des services TI.



Il est crucial de bien comprendre ces trois volets lors de l’achat de services MSP. Posséder un produit sans l’avoir installé ni opérationnalisé, ou inversement, avoir la mise en place sans l’opération quotidienne, crée des lacunes problématiques dans la couverture des besoins TI.

Le partenariat d’affaires et la vision à long terme

Les experts insistent sur la notion de partenariat d’affaires. Le MSP doit être perçu comme un véritable partenaire, car en cas d’incident, c’est lui qui sera là pour remonter les systèmes et assurer la continuité des opérations. Cette relation de confiance est essentielle, particulièrement dans l’adversité. Il faut éviter à tout prix de se retrouver dans une situation où, lors d’un incident, personne ne sait qui est responsable de quoi, ajoutant une complexité et une tension inutiles à un moment critique.

Lors du choix d’un MSP, il est important de ne pas penser uniquement au présent, mais aussi de se projeter dans l’avenir. Il faut évaluer la capacité du fournisseur à accompagner l’entreprise sur une durée de cinq ans ou plus.

Les limites et l’importance de la transparence

Un bon MSP doit être transparent sur ce qui n’est pas inclus dans le contrat. Les intervenants mettent en garde contre les vendeurs évasifs qui évitent de parler des exclusions par peur de perdre la vente. Un vendeur de confiance présentera de manière très concrète ce qui est inclus et ce qui ne l’est pas. Cette transparence est un indicateur de fiabilité.

L’entreprise cliente doit se sentir écoutée et comprendre que le MSP cherche réellement à répondre à ses besoins spécifiques, plutôt que de simplement vendre le service le plus cher. Dans certains cas complexes, il peut être judicieux d’engager un consultant ou un RSSI virtuel pour accompagner le choix du MSP.

Les clauses contractuelles essentielles

Plusieurs clauses importantes doivent figurer dans un contrat MSP :

Clause d’auditabilité : Elle permet à l’entreprise de se réserver le droit de demander un audit du MSP. Même si cet audit n’est jamais réalisé, cette clause garde une porte ouverte et maintient une certaine vigilance.

Service Level Agreements (SLA) avec pénalités : Les SLA doivent inclure des pénalités en cas de non-respect des engagements. Cependant, ces SLA doivent être bilatéraux. Le client doit aussi s’engager, par exemple à répondre dans un délai raisonnable aux demandes du MSP concernant les mises à jour de sécurité.

Clause de réversibilité : Cette clause définit les modalités de séparation au cas où l’entreprise souhaiterait changer de MSP. Paradoxalement, l’existence de cette clause tend à prolonger la durée des contrats, car elle crée de la transparence et évite le sentiment d’être piégé.

La responsabilisation mutuelle

Comme le souligne Cyndie, les attentes envers un MSP sont similaires à celles envers des employés internes. On attend du personnel TI interne qu’il assure le service convenu, qu’il lève la main lorsqu’il est débordé, et qu’il respecte les rôles et responsabilités établis. Il en va de même pour un MSP.

Conclusion

Le contrat MSP n’est pas un document à prendre à la légère. Il constitue la fondation d’un partenariat qui peut durer plusieurs années. Comme dans un mariage, selon l’analogie de Dominique, il vaut mieux avoir un bon contrat sur lequel se replier quand les choses vont mal, même si l’espoir est de ne jamais en arriver là. L’objectif n’est pas de discréditer les MSP, mais de s’assurer que le contrat protège à la fois le client et le fournisseur, permettant ainsi une collaboration fructueuse et durable.

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm