Parce que… c’est l’épisode 0x317!

Shameless plug

Description

Dans cet épisode spécial de Polysécure, deux invités partagent leur expérience du programme Force, une formation destinée aux personnes provenant de domaines hors cybersécurité mais souhaitant développer des compétences dans ce champ, particulièrement dans le contexte des PME. Alain Dubois, administrateur système chez Métalus (une usine de transformation de métal) depuis deux ans, et Keven Landry, analyste fonctionnel chez UV Assurance depuis environ six mois, racontent chacun leur parcours et ce que le programme leur a apporté, tant sur le plan professionnel que personnel.

Deux parcours, une même formation

Keven a découvert le programme grâce à un collègue, Dominique Villeneuve, qui donnait un cours à l’UQTR et qui avait remarqué sa curiosité pour la cybersécurité. Bien qu’il ait déjà touché à plusieurs aspects techniques par le passé (développement, gestion d’infrastructure), il n’avait jamais approfondi ces connaissances de façon structurée. Le programme Force lui a permis d’acquérir une façon de penser applicable autant au travail qu’au quotidien, notamment pour reconnaître des situations à risque qui semblent anodines en apparence.

Alain, de son côté, possédait déjà une base en administration système et en cybersécurité. Également mis en contact avec la formation par Dominique, un ancien patron, il est arrivé chez Métalus dans une entreprise dont le réseau avait environ 25 à 30 ans d’existence, hérité d’une mentalité informatique dépassée. Le programme Force lui a permis d’identifier des lacunes importantes dans l’infrastructure de son employeur. En pratiquant des tests d’intrusion (pentests) sur son propre réseau, il a découvert des failles majeures qui l’ont mené à reconfigurer entièrement les routeurs et pare-feu, ainsi qu’à resegmenter les réseaux virtuels (VLAN). Il raconte même avoir démontré à son patron qu’il pouvait intercepter des conversations téléphoniques sur le réseau de l’entreprise, preuve concrète que la sécurité en place était insuffisante.

Le top 3 des apprentissages marquants

Interrogés sur les éléments qui les ont le plus marqués, les deux invités convergent sur plusieurs points. Le crochetage de serrures (lock picking) a impressionné les deux participants, qui ont réalisé à quel point il est facile de contourner certaines sécurités physiques d’un bâtiment avec un simple jeu de crochets. Cet aspect leur a rappelé que la cybersécurité ne se limite pas au monde numérique : la sécurité physique des lieux est tout aussi cruciale.

Alain souligne également la découverte de logiciels de sécurité accessibles financièrement pour les PME, souvent gratuits et développés par des communautés, mais tout aussi performants que des solutions payantes coûteuses. Il mentionne aussi la qualité générale du programme et des tests pratiques réalisés en conditions réelles simulées.

Keven, pour sa part, insiste sur son expérience avec Kali Linux, une distribution qu’il a installée sur son propre ordinateur portable pour scanner son réseau Wi-Fi et tester la robustesse de ses mots de passe, allant jusqu’à réussir à craquer son propre mot de passe Windows. Il évoque également les tests liés aux objets connectés (IoT), ayant notamment scanné le réseau domestique de son père pour découvrir un nombre surprenant de caméras vulnérables accessibles publiquement. Il mentionne aussi l’utilisation du Flipper Zero, un petit appareil permettant de réaliser des attaques de type “homme du milieu” (man-in-the-middle), ainsi que des exercices avec l’équipe de cybersécurité pour mettre en place des attaques Evil Twin. Les deux insistent sur l’importance d’utiliser ces outils de façon responsable et éthique, et non pour s’en prendre au réseau du voisin.

Une communauté qui perdure

Même après la fin officielle du programme, les liens tissés durant la formation continuent de vivre. Alain mentionne un groupe Discord actif regroupant anciens et nouveaux apprenants, où l’entraide se poursuit : un participant y a notamment obtenu de l’aide après avoir été victime d’un rançongiciel, et Alain lui-même y a sollicité des conseils pour choisir un logiciel de surveillance réseau.

Keven, quant à lui, décrit un rôle plus communautaire au sein même de son entreprise, où il agit désormais comme une sorte de porte-parole pour l’équipe de cybersécurité. Alors qu’auparavant la cybersécurité était perçue par certains collègues comme une contrainte imposée sans explication, il est maintenant en mesure d’expliquer le pourquoi des décisions et des orientations prises, un rôle reconnu et apprécié dans son milieu de travail.

Une formation axée sur la pratique

En conclusion, les deux invités reviennent sur ce qui distingue, selon eux, le programme Force d’autres formations plus théoriques ou superficielles en cybersécurité. Keven raconte l’exemple d’un stagiaire suivant une autre formation en cybersécurité qui ne connaissait pas des concepts de base comme l’OSINT ou les attaques par pass-the-hash, illustrant selon lui les limites de certains cursus trop généraux. Le programme Force, à l’inverse, offre un contenu détaillé, constamment mis à jour, sans nécessiter des années d’études.

Alain, qui donne lui-même des formations en cybersécurité à ses employés, explique que le programme lui a permis de saisir la différence fondamentale entre sensibiliser les gens à faire attention et former de véritables protecteurs de systèmes. Il affirme avoir modifié sa façon de former ses employés depuis, en insistant davantage sur la réalité concrète des menaces (rançongiciels, acteurs malveillants) pour les rendre plus vigilants.

Keven ajoute que la pédagogie du programme, alternant théorie et exercices pratiques concrets lors de séances synchrones aux trois semaines avec Dominique, lui a permis d’apprendre beaucoup plus efficacement que les approches purement théoriques auxquelles il avait été confronté par le passé, notamment durant son parcours scolaire.

L’animateur conclut l’épisode en saluant la passion manifeste des deux invités et l’importance de voir des personnes issues de domaines connexes rayonner la cybersécurité autour d’elles, contribuant ainsi à améliorer la posture de sécurité des PME québécoises, un secteur souvent moins bien outillé que les grandes entreprises face aux cybermenaces.

Collaborateurs

Crédits

Télécharger .m4a (24.2M) Télécharger .mp3 (21.5M)

Tag: formation


Tweet