Posted by La Chaire de recherche en Cyberdéfense et Protection des données personnelles (Cybpro) organise une école d’été en cyberdéfense dédiée aux professionnelles et professionnels en informatiques ainsi qu’aux étudiantes et étudiants qui désirent approfondir leurs connaissances en sécurité informatique et cyberdéfense, accéder à des formations pratiques et des laboratoires et améliorer leurs compétences pour répondre aux besoins du marché du travail.
L’université d’été se tiendra du 2 au 4 juin à l’Université du Québec à Chicoutimi.
Instructor
Jonathan Roy est professeur en cybersécurité à l’Université du Québec à Chicoutimi (UQAC) et cumule plus de 20 ans d’expérience, tant en industrie qu’en milieu académique, dans la conception, la sécurisation et l’évaluation de systèmes logiciels. Avant de rejoindre le monde universitaire, il a dirigé des initiatives en architecture de sécurité pour de grandes organisations issues de divers secteurs, développant une expertise en sécurité d’entreprise, en infrastructures infonuagiques et en gestion des risques. Il s’intéresse à l’utilisation de l’intelligence artificielle explicable (XAI) pour automatiser des tâches clés en cybersécurité des systèmes logiciels et des systèmes d’IA, notamment l’évaluation des risques, la priorisation des vulnérabilités et l’identification des incidents.
Expert en gouvernance des données, protection de la vie privée et
sécurité de l’information, Vincent est fondateur de DPOsolutions et chargé de cours à
l’UQAC.
Diplômé en 2011 d’un master en informatique en France à l’école d’ingénieurs INSA Centre-Val-de-Loire, Romain a depuis occupé des postes de chercheur, architecte en sécurité, chef de projet, évaluateur en sécurité, pentester et chercheur en cybersécurité dans plusieurs organisations de tailles diverses, notamment Airbus Defence and Space, le ministère français de l’Intérieur, Hitachi Energy, Oppida et GoSecure.
Pendant plus de dix ans, Romain a développé des compétences en sécurité oƯensive dans des sociétés de services en tant que pentester et évaluateur en sécurité. En tant qu’hacker éthique chez GoSecure, Romain a travaillé sur une variété de missions, ce qui lui a permis d’approfondir de nombreux aspects de la cybersécurité, avec un intérêt particulier pour les systèmes de contrôle industriel (ICS) et les systèmes embarqués (IoT). En tant que chercheur
en cybersécurité chez Hitachi Energy, Romain a contribué à la sécurité des produits de réseaux électriques par le biais de recherches de vulnérabilités, découvrant plus de 20 vulnérabilités zero-day.
Romain se considère comme un généraliste, mais est généralement plus attiré par les
aspects techniques de la cybersécurité, notamment les concepts de bas niveau comme les
aspects internes des systèmes d’exploitation et les protocoles de sécurité.
Adel travaille dans le domaine de la cybersécurité depuis plus de 15 ans et possède une solide formation en ingénierie informatique. Avant de se spécialiser en cybersécurité, il a travaillé pendant 7 ans comme développeur logiciel, ce qui
lui a permis d’acquérir une compréhension technique approfondie des systèmes qu’il sécurise aujourd’hui. Il occupe actuellement le poste d’Architecte et Leader en cybersécurité chez Ericsson, où il encadre les équipes et collabore étroitement avec les parties prenantes sur les enjeux liés à la sécurité.
Au fil de sa carrière, il a contribué à l’élaboration de stratégies de sécurité, accompagné des équipes dans la mise en oeuvre de bonnes pratiques, et partagé son expertise pour former d’autres professionnels du domaine.
Parmi les reconnaissances obtenues, il a reçu le Bravo Award chez Bell, la plus haute distinction de l’entreprise, soulignant son rôle déterminant dans un projet clé de sécurité IoT.
Adel est animé par une curiosité constante, une forte détermination et un engagement envers l’amélioration continue. Il valorise le travail d’équipe et place l’ambition au coeur de sa démarche professionnelle, avec pour objectif de faire progresser la cybersécurité de manière durable et collaborative.
Elyes Manai a obtenu un master de recherche en intelligence web à l’École supérieure d’économie numérique (Tunisie) en 2018, puis un doctorat en informatique à l’Université Laval en 2025. Ses recherches portent sur l’application de l’intelligence artificielle à la cybersécurité, notamment l’IA explicable (XAI), l’audit de modèles, les pipelines d’IA sécurisés et la fiabilité des modèles.
Le professeur Manai possède le titre de Google Developer Expert en apprentissage automatique (ML GDE), une désignation attribuée à 200 spécialistes IA dans le monde par Google. Il a également été instructeur en apprentissage profond chez NVIDIA, mentor technique à l’accélérateur Google for Startups, cofondateur de la communauté PyData Tunisia, et chef de la communauté Facebook Developer Circles Tunisia. Il a animé plus de 200 conférences, ateliers et formations autour de l’IA, tant au Canada qu’à l’international, en milieu académique, industriel et communautaire. Il s’implique aussi activement dans la vulgarisation, l’encadrement et le transfert de connaissances en IA.
Mathieu a obtenu son diplôme en 2018 avec une licence en informatique. Pendant plus de trois ans, il a contribué à sécuriser une entreprise de télécommunications américaine, identifiant des vulnérabilités pour une valeur supérieure à 1,1 million de dollars. À l’issue de cette période, l’entreprise s’est estimée suffisamment mature pour lancer un programme de bug bounty, que Mathieu a pris en charge. Ses efforts ont permis de détecter de multiples vulnérabilités critiques telles que cross-site scripting (XSS), falsification de requêtes côté serveur (SSRF) ou exécution de code à distance (RCE).
Engagé dans une démarche d’amélioration continue, Mathieu a collaboré étroitement avec les équipes de remédiation afin de garantir une gestion rapide et approfondie des vulnérabilités. Il possède une expérience pratique des simulations d’attaques complexes, incluant des scénarios de ransomware et de cryptolocker, ainsi que des techniques d’exploitation avancées comme l’élévation de privilèges et l’exfiltration de données.
Souhaitant constamment approfondir son expertise, il poursuit régulièrement de nouvelles opportunités de formation. Ses compétences en relecture de code ont été renforcées par plusieurs projets de recherche. Mathieu reste déterminé à proposer des solutions innovantes pour protéger les organisations face aux menaces émergentes, leur permettant ainsi de maintenir la sécurité de leurs opérations et de se concentrer sur leur coeur de métier.
| Horaire de l’atelier | Jour 1 – 2 juin 2026 | Jour 2 – 3 juin 2026 | Jour 3 – 4 juin 2026 |
|---|---|---|---|
| 9 h 00 à 12 h 00 | Approche modernes de DevSecOps. Formateur : Jonathan Roy |
Initiation au Pentest interne. Formateurs : Romain Carnus et Mathieu Novis |
Modélisation des menaces en cybersécurité et protection des données personnelles. Formateur : Adel Tayeb-Cherif |
| 14 h 00 à 17 h 00 | La conformité de sécurité avec un processus DevSecOps. Formateur : Vincent Bureau |
Ethical hacking et tests d’intrusion avancés. Formateurs : Romain Carnus et Mathieu Novis |
L’utilisation de l’IA en cyber sécurité. Formateur : Elyes Manai |
Approches modernes de DevSecOps (par Jonathan ROY) : Nous aborderons des tâches concrètes liées à l’intégration automatisée et continue de la
sécurité dans le cycle de développement logiciel. La séance comprendra une partie
théorique suivie d’une activité pratique. Elle est conçue pour un public débutant, mais pourra
inclure des éléments plus avancés selon les profils des participant·e·s.
Conformité de sécurité avec un processus DevSecOps (par Vincent BUREAU) : Face à l’augmentation discontinue des menaces posées par le matériel et les logiciels numériques, la
loi européenne sur la cyber-résilience (CRA) apporte une réponse en abordant deux problèmes majeurs :
- Le faible niveau de cybersécurité des produits associé à des vulnérabilités généralisées,
- Le manque de contrôle des utilisateurs.
À partir d’une étude de cas portant sur une entreprise canadienne proposant des technologies médicales sur le marché européen,
les étudiants devront passer en revue le portefeuille de produits de l’entreprise selon la classification CRA
et définir un programme de conformité incluant un processus DevSecOps.
Introduction au pentesting, au piratage éthique et aux tests d’intrusion avancés (par Romain CAMUS et Mathieu NOVIS) : Introduction aux tests d’intrusion internes : cette formation vise à familiariser les participants avec les techniques d’attaque classiques ciblant un environnement Windows d’entreprise. La première partie théorique abordera certains concepts clés liés à Active Directory, aux protocoles réseau et aux vecteurs d’attaque. La deuxième partie sera entièrement pratique, avec des exercices dans un environnement virtuel.
Modélisation des menaces de cybersécurité et protection des données personnelles (par Adel Tayeb-Cherif) : Nous utiliserons des diagrammes de flux de données (DFD) comme principal outil de visualisation pour représenter les composants d’un système, leurs interactions et les flux de données.
Sur la base de ces DFD, deux approches complémentaires seront appliquées :
- STRIDE, un cadre permettant d’identifier les principales menaces en matière de sécurité informatique.
- LINDDUN, une méthode spécialisée pour analyser les risques liés à la protection des données personnelles.
Objectifs pédagogiques :
- Comprendre l’importance de la modélisation des menaces dans le cycle de vie du développement.
- Maîtriser les bases des DFD pour représenter les architectures système.
- Appliquer méthodiquement STRIDE pour analyser les menaces liées à la sécurité.
- Appliquer LINDDUN pour évaluer les risques affectant la protection des données personnelles.
- Savoir proposer des mesures d’atténuation pour les risques identifiés.
Public cible :
Cette formation s’adresse aux développeurs, architectes, responsables de la sécurité et à toute personne impliquée dans la conception ou l’évaluation de systèmes informatiques qui se préoccupe d’intégrer la sécurité et la protection des données personnelles dès les premières étapes du développement.
L’utilisation de l’IA dans la cybersécurité (par Elyes MANAI) :
Cette formation propose une introduction aux approches analytiques, statistiques et algorithmiques utilisées pour
détecter et caractériser les comportements malveillants.
Elle s’appuie sur des ensembles de données spécialisés en cybersécurité pour créer des modèles de classification, détecter les anomalies et analyser automatiquement les
journaux d’événements. Nous aborderons des tâches concrètes de détection des intrusions à la fois sous l’angle technique
(prétraitement, apprentissage des modèles) et stratégique (interprétation des résultats, optimisation). La session comprendra
une partie théorique suivie d’une activité pratique.