PolySécure Podcast Podcast Por Nicolas-Loïc Fortin et tous les collaborateurs arte de portada

PolySécure Podcast

PolySécure Podcast

De: Nicolas-Loïc Fortin et tous les collaborateurs
Escúchala gratis

Podcast francophone sur la cybersécurité. Pour professionels et curieux.CC BY-NC-ND 4.0
Episodios
  • H'umain - Projet accompagné par Propolys - Mindlock - Parce que... c'est l'épisode 0x747!

    H'umain - Projet accompagné par Propolys - Mindlock - Parce que... c'est l'épisode 0x747!
    Apr 15 2026
    Parce que… c’est l’épisode 0x747! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 202619 septembre 2026 - Bsides Montréal1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Une experte à la croisée des neurosciences et de la cybersécurité Dans cet épisode spécial Propolys, l’hôte reçoit Mélissa Canseliet, experte en neurosciences et en cyberpsychologie, qui développe une start-up en cybersécurité appelée Mindlock. Avec un parcours atypique allant de la recherche en neurosciences à Oxford jusqu’à plus de 14 ans dans l’industrie du jeu vidéo — notamment chez Ubisoft, Samsung et Missplay —, Mélissa incarne une vision résolument interdisciplinaire de la sécurité informatique. Le constat : des formations en cybersécurité inefficaces La conversation s’ouvre sur un problème que les deux interlocuteurs connaissent très bien : les formations traditionnelles de sensibilisation à la cybersécurité sont, au mieux, inefficaces, et au pire, contre-productives. L’hôte décrit avec humour sa propre expérience de ces interminables présentations PowerPoint que tout le monde s’empresse de traverser le plus vite possible, en répondant aux questions de validation sans vraiment retenir quoi que ce soit. Ce constat, qui dure selon lui depuis plus de vingt ans, illustre un problème structurel : ces formations ne tiennent absolument pas compte de la façon dont le cerveau humain apprend et s’engage. Mélissa confirme ce diagnostic. Lors de ses nombreux entretiens menés dans le cadre du projet Mindlock, elle a constaté que la cybersécurité est systématiquement perçue par les non-spécialistes comme un domaine austère, peu prioritaire et difficile d’accès. Les formations existantes s’attardent souvent sur l’aspect technique des attaques, mais abordent très peu comment nous, en tant qu’humains, fonctionnons — et surtout, comment nous commettons des erreurs. Le facteur humain : le grand oublié de la cyberdéfense L’un des fils conducteurs de l’entretien est la place centrale du facteur humain dans les cyberattaques. En s’appuyant sur des rapports comme celui du Forum économique mondial, Mélissa rappelle que la vaste majorité des cyberattaques sont liées à des erreurs humaines. Pourtant, les défenseurs ont longtemps misé presque exclusivement sur des solutions techniques, laissant de côté les expertises issues des sciences cognitives et de la psychologie. Les attaquants, eux, ont depuis longtemps compris cette réalité. L’ingénierie sociale — l’art de manipuler les individus plutôt que de pirater des systèmes — repose précisément sur une connaissance fine des mécanismes psychologiques universels : l’urgence, la peur, l’autorité, la confiance. Ces « boutons » émotionnels sont exploités méthodiquement par des cybercriminels qui ne sont pas nécessairement des génies de la technique, mais qui savent, selon la formule savoureuse de Mélissa, « bien se f**re de la gueule du monde ». Arrogance, humilité et vulnérabilité cyber Un passage particulièrement marquant de la discussion porte sur le lien entre les traits de personnalité et la vulnérabilité aux attaques. Contrairement à l’idée reçue selon laquelle « seuls les naïfs se font avoir », Mélissa explique que l’arrogance est une vulnérabilité cyber à part entière. Une personne qui se croit à l’abri ne développe pas de vigilance ; elle se laisse porter par sa surconfiance et ne perçoit pas les signaux d’alerte. À l’inverse, une personne plus humble, capable de reconnaître ses limites, sera naturellement plus attentive à une situation inhabituelle — une demande anormalement urgente, par exemple. Les états émotionnels comme la colère, la peur ou le sentiment d’urgence sont également des portes d’entrée exploitées par les attaquants, comme en témoignent les célèbres fraudes au président. Comprendre ces mécanismes, c’est commencer à s’en protéger. L’empathie comme bouclier La notion d’empathie occupe une place importante dans la vision de Mélissa. Souvent perçue comme une faiblesse ou une qualité purement relationnelle, l’empathie est en réalité, dans une perspective neuroscientifique, un outil puissant. L’ingénierie sociale en est d’ailleurs une forme détournée : les cybercriminels font preuve d’une empathie redoutable pour anticiper les réactions de leurs cibles. La réponse consiste donc à développer une empathie envers soi-même — comprendre ses propres réactions, ses biais, ses angles morts — afin de reconquérir un espace de discernement et de choix éclairé dans un environnement numérique de plus en plus fluide et automatisé. Mindlock : mettre l’expertise du jeu vidéo au service de la sécurité C...
    Más Menos
    38 m
  • PME - Vibe coding ou programmation à la bonne franquette - Parce que... c'est l'épisode 0x746!

    PME - Vibe coding ou programmation à la bonne franquette - Parce que... c'est l'épisode 0x746!
    Apr 14 2026
    Parce que… c’est l’épisode 0x746! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 202619 septembre 2026 - Bsides Montréal1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode de PME, l’animateur reçoit Cyndie Feltz, Nicholas Milot et Dominique Derrier pour discuter du vibe coding — une tendance qui consiste à générer du code quasi entièrement à l’aide d’outils d’intelligence artificielle, souvent sans posséder de solides bases en développement. Le ton est décontracté, ponctué d’humour, mais le fond du propos est sérieux : si le vibe coding ouvre des portes fascinantes, il comporte aussi des risques bien réels, particulièrement en matière de sécurité et de maintenabilité. L’analogie de la maison : séduisant mais fragile Pour illustrer le concept, Cyndie propose une analogie percutante : imaginez construire une maison en se contentant de décrire vocalement ce qu’on veut — la couleur des murs, l’emplacement des fenêtres — sans aucune connaissance en construction. Le résultat visuel peut être bluffant, mais irait-on habiter cette maison ? Probablement pas, car personne n’a pensé aux normes antisismiques, aux règles du bâtiment, à la plomberie ou à l’électricité. L’analogie tient parfaitement pour le développement logiciel : une application vibe codée peut avoir l’air fonctionnelle et même impressionnante en surface, tout en étant criblée de failles de sécurité, dépourvue de gestion des erreurs, et incapable de passer en production. Le rendu visuel crée une illusion de compétence qui peut être dangereuse si l’on n’a pas les bases pour évaluer ce qu’on a réellement construit. Les cas d’usage légitimes Les participants s’accordent néanmoins à reconnaître la valeur réelle du vibe coding dans certains contextes précis : Les preuves de concept (POC) : pour valider rapidement une idée, démontrer la viabilité d’une fonctionnalité ou présenter un prototype à des parties prenantes, l’outil est fantastique. Il permet d’éviter de gaspiller des cycles de développement coûteux avant même de savoir si l’idée mérite d’être poursuivie.Les outils internes : pour des scripts légers, des automatisations maison ou des utilitaires qui ne seront jamais exposés à des utilisateurs externes, le vibe coding offre une grande souplesse.Les petits sites vitrines : créer une page web simple pour présenter une entreprise est un cas d’usage où les risques restent limités. Nicholas souligne que le scénario change radicalement si c’est un expert qui utilise le vibe coding pour accélérer son travail plutôt qu’un non-initié qui s’y fie aveuglément. Un développeur expérimenté sait quelles questions poser, quelles contraintes intégrer dans ses prompts, et surtout quand le code généré est insuffisant ou dangereux. Les risques concrets La sécurité, grande oubliée Cyndie, qui œuvre dans le domaine de la sécurité, pointe plusieurs vulnérabilités typiques du vibe coding : La gestion des secrets : une personne sans expérience va naturellement coller ses clés API (Stripe, GitHub, OpenAI) directement dans le code, sans comprendre que c’est une pratique catastrophique.Les permissions excessives : si on fournit à l’agent IA un accès complet à une base de données, rien ne l’empêche de générer — et d’exécuter — une commande DROP TABLE. Il faut réfléchir aux moindres privilèges, ce qui requiert une connaissance du domaine.Le contournement des protections : certains LLM, interrogés de la bonne façon, acceptent désormais de fournir des techniques pour bypasser des systèmes de sécurité (comme les EDR), voire d’écrire des preuves de concept malveillantes. L’incident Amazon Un exemple concret frappe les esprits : en février 2026, Amazon aurait subi une interruption de service d’environ 13 heures après qu’un employé a utilisé un outil de type Cursor (l’éditeur interne « Kiro ») pour supprimer et recréer des secrets et des connexions, mettant accidentellement AWS hors ligne. En réaction, Amazon a instauré une règle interne obligeant les développeurs juniors et intermédiaires à faire approuver leurs mises en production par un développeur senior — ce qui revient à admettre officiellement que l’expérience humaine reste indispensable. La dette technique et la maintenabilité Nicholas insiste sur un autre écueil : le code vibe codé est difficile à maintenir. Sans documentation adéquate, sans architecture réfléchie, le code généré par IA ressemble à du Perl écrit en une ligne — on ne comprend plus ce qu’on a fait quelques semaines plus tard. Plus l’application grossit, plus la gestion du contexte entre les différents agents IA ...
    Más Menos
    18 m
  • Actu - 12 avril 2026 - Parce que... c'est l'épisode 0x745!

    Actu - 12 avril 2026 - Parce que... c'est l'épisode 0x745!
    Apr 13 2026
    Parce que… c’est l’épisode 0x745! Préambule Je suis en déplacement et je n’ai pas tous mes équipements habituels. Je n’ai pas encore trouvé l’équilibre entre la frugalité des choses que je mets dans ma valise et le maintien de la qualité de l’enregistrement. Shameless plug 14 au 17 avril 2026 - Botconf 202620 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 202619 septembre 2026 - Bsides Montréal1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos The ‘Vulnpocalypse’: Why experts fear AI could tip the scales toward hackersKevin Beaumont: “I’ve had a bunch of people ask…” - CyberplaceKevin Beaumont: “Companion video https://youtu.…” - CyberplaceKevin Beaumont: “I don’t think anybody actually…” - CyberplaceAnthropic Teams Up With Its Rivals to Keep AI From Hacking EverythingAnthropic Mythos model can find and exploit 0-daysAnthropic limits access to Mythos, its new cybersecurity AI modelScoop: OpenAI plans new product for cybersecurity useWe’re Getting the Wrong Message from MythosAnthropic’s Mythos Will Force a Cybersecurity Reckoning—Just Not the One You ThinkHas Mythos just broken the deal that kept the internet safe? Japan relaxes privacy laws to make AI development easyThe demise of software engineering jobs has been greatly exaggeratedFirst man convicted under Take It Down Act kept making AI nudes after arrestPolice corporal created AI porn from driver’s license picsTrump-appointed judges refuse to block Trump blacklisting of Anthropic AI techOpenAI Backs Bill That Would Limit Liability for AI-Enabled Mass Deaths or Financial DisastersFlorida investigates OpenAI for role ChatGPT may have played in deadly shootingCalifornians sue over AI tool that records doctor visitsHacker Uses Claude and ChatGPT to Breach Multiple Government Agencies La guerre, la guerre, c’est pas une raison pour se faire mal! Iran intruders disrupting US water, energy facilitiesUK says it exposed Russian submarine activity near undersea cables Souveraineté ou vive le numérique libre! numerique.gouv.fr Privacy ou cachez ces informations que je ne saurais voir Why you can’t trust Privacy & SecurityReport: US demands Reddit unmask ICE critic, summons firm to grand jury“Not Even Government Agencies”FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database I am the law Apple continues to roll out age verification around the worldGreece to ban under-15s from social media from next yearReaffirming our commitment to child safety in the face of European Union inactionSenator launches inquiry into 8 tech giants for failures to adequately report CSAMWisconsinites Can Keep Watching Porn After Governor Vetoes Age Verification BillNew Mexico’s Meta Ruling and EncryptionLinkedIn scanning users’ browser extensions sparks controversy and two lawsuitsUK government threatens tech bosses with jail time if they do not adequately fight nudification tools Red ou tout ce qui est brisé Quantum FTW? A Cryptography Engineer’s Perspective on Quantum Computing TimelinesCloudflare fast-tracks post-quantum rollout as new research puts encryption on noticeWhy is the timeline to quantum-proof everything constantly shrinking? Disgruntled researcher leaks “BlueHammer” Windows zero-day exploitFBI says cybercrime losses hit record $20.87B in 2025Microsoft Abruptly Terminates VeraCrypt Account, Halting Windows UpdatesUn ransomware frappe le logiciel de dossiers patients de 80 % des hôpitaux néerlandaisWhy more Mac attacks now rely on social engineering Blue ou tout ce qui améliore notre posture Little Snitch for LinuxOpen source security at AstralStatic code analysis in KotlinGoogle rolls out Gmail end-to-end encryption on mobile devicesBrocards for vulnerability triage Divers ou parce que j’ai aucune idée où les placer Dad stuck in support nightmare after teen lied about age on DiscordScoop: Meta removes ads for social media addiction litigation Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure incLocaux réels par CitizenM Gare de Lyon
    Más Menos
    53 m
Todavía no hay opiniones