Actes de conférence – Edition 2014

Actes de conférence, Edition 2014
 

La 6ème édition des GS Days, Journées Francophones de la Sécurité de l’Information, s’est tenue le 18 mars de 8h30 à 18h30, à l’Espace Saint-Martin – 199 bis, rue Saint-Martin – 75003 Paris.

Conférence Plénière : Protection des libertés individuelles et respect de la vie privée : peut-on encore y croire ?

La protection de nos libertés individuelles et de nos données à caractère personnel est aujourd’hui fréquemment mise à mal par les pirates informatiques, les Etats, et potentiellement les solutions de sécurité elles-mêmes. Au regard de l’actualité récente, marquée notamment par les révélations d’Edward Snowden et l’affaire PRISM, l’exploitation régulière des failles de sécurité par les réseaux cybercriminels, l’adoption de la Loi de Programmation Militaire ou de celle relative à la Géolocalisation…, peut-on encore croire au respect de notre vie privée ? Est-ce une pure utopie ou avons-nous quelque raison d’espérer ?
- Table ronde avec Alain JUILLET, Président du CDSE (Club des Directeurs de Sécurité des Entreprises), et Patrick CHAMBET, RSSI / Responsable du Centre de Sécurité Groupe, C2S – Groupe Bouygues.
Session animée par Jérôme SAIZ, Rédacteur en Chef de Qualys Magazine

Big Data : 10 risques et 8 familles de contre-mesures, comment démarrer concrètement sur la sécurité ?
Le phénomène Big Data prend de l’ampleur, les premières initiatives prennent corps au niveau des métiers – aussi bien dans la banque en ligne, le smart energy, le social marketing que l’assurance. Se pose alors la question de la sécurité de l’information, qui doit être adressée rapidement pour ne pas passer à côté du lancement de ces initiatives, et apporter des réponses concrètes. L’objet de cette présentation sera de dresser un panorama des nouveaux usages et technologies rencontrés sur le terrain mais aussi et surtout d’identifier les 10 risques associés ainsi que les contre-mesures à prévoir dès aujourd’hui.
- Gérôme BILLOIS, Senior Manager, et Chadi HANTOUCHE, Manager au sein de l’entité Identité et Protection de l’Information – Solucom

Télécharger la présentation: Conf-Gerome-BILLOIS+Chadi-HANTOUCHE

War Stories from the Cloud
Lors de cette présentation, Emmanuel Macé apportera un éclairage sur les attaques contre lesquelles les clients d’Akamai ont dû faire face en 2013. Cette intervention vous permettra de mieux cerner les adversaires que vous devez affronter, les outils et les stratégies qu’ils utilisent et découvrir les best practices pour mieux vous défendre et conserver vos sites et applications Web opérationnels. Pour finir, une démonstration d’attaques en temps réel (injection sql, slowhttp post, attaques DDoS, etc.) viendra illustrer ses propos.
- Emmanuel MACÉ, Senior Solutions Engineer, Akamai Technologies

Télécharger la présentation: Conf Emmanuel Macé – AKAMAI

La Charte Informatique face aux nouveaux usages de l’entreprise
La charte informatique s’est imposée comme un outil indispensable à l’encadrement de l’utilisation des moyens informatiques de l’organisme. Aujourd’hui, elle doit s’adapter et intégrer les nouvelles pratiques numériques : BYOD, Cloud Computing, réseaux sociaux, mobilité, etc., sont autant d’usages dont le déploiement doit être encadré pour assurer la maîtrise du Système d’Information et limiter les risques. Après une rapide présentation des atouts de la charte informatique et des modalités de sa mise en œuvre, l’accent sera mis sur ces nouveaux usages. S’appuyant sur des retours expérience, les intervenants présenteront les différentes options s’offrant aux organismes. Pour chaque sujet, des extraits de chartes informatiques seront proposés et commentés.
- Frédéric CONNES, Directeur juridique, et Amélie PAGET, Consultante juridique – HSC

Télécharger la présentation: Conf-Frederic-Connes+Amelie-PAGET

Proxy transparent pour l’interception et la modification de trafic TCP
Les protocoles auxquels l’auditeur moderne doit faire face ne se limitent plus aux traditionnels HTTP et HTTPS. Lorsque le trafic à intercepter provient de sources exotiques et peu malléables, le recours à un proxy transparent capable de digérer n’importe quel protocole peut donc s’avérer utile. L’objectif de cette présentation est de décrire et de démontrer une approche possible pour implémenter un proxy d’interception transparent et générique.
- Bertrand MESOT, Consultant Sécurité, Objectif Sécurité SA

Télécharger la présentation: Bertrand Mesot – tproxy2014

L’expertise du coffre-fort bancaire au service du dossier patient : du secret bancaire au secret médical
Comment mettre en œuvre un projet national de plateforme eSanté, intégrant les données hautement critiques d’un potentiel de 1,8 million de personnes ? Qui plus est, dans un contexte transfrontalier ?
Les informations traitées dans le cadre du Dossier de Soins Partagé (DSP) sont extrêmement sensibles : leur disponibilité, leur sécurité et leur intégrité doivent être garanties.
Notre intervention consistera à illustrer les meilleures pratiques et référentiels mis en œuvre pour l’architecture et la gestion de la plateforme eSanté dans un modèle de Cloud communautaire (Tier IV, IHE, PCI DSS, SI, etc.)
- Avec la participation et témoignages de Hervé BARGE, Directeur de l’Agence Luxembourgeoise e-santé, Didier BARZIN, RSSI de l’Agence Luxembourgeoise e-santé et de M. Michel ACKERMAN – Business Consultant EBRC

Télécharger la présentation: Conf-Dossier-Patience

Gestion des comptes à privilèges
Les comptes à privilèges constituent un enjeu prioritaire de la sécurité des systèmes d’information car ils permettent d’accéder à de nombreuses ressources sensibles. Une mauvaise maîtrise de ces comptes crée des failles majeures sur le SI, la réalisation de tests d’intrusion sur un SI interne en fait souvent la démonstration. Aujourd’hui un grand nombre de solutions sont proposées par les éditeurs et commencent à être implémentées. Cependant, au-delà des aspects techniques, la gestion des comptes à privilèges ne peut être totalement maîtrisée sans dispositif organisationnel associé. A l’occasion de cette conférence, nous présenterons les principales solutions organisationnelles et techniques à mettre en œuvre dans ce contexte.
- Christophe GUEGUEN, Directeur du pôle technique, Harmonie Technologie

Télécharger la présentation: Conf-Christophe-GUEGUEN

get-IncidentResponse
D’un côté nous avons les attaques avancées (ou pas), persistantes (ou pas) et de l’autre des administrateurs Windows. Cette présentation a pour but de fournir aux derniers une liste de points clefs leur permettant de détecter ces attaques. Elle s’articule en deux parties : le pré-incident, ou comment détecter une attaque en cours et le post-incident, ou comment obtenir des informations sur les attaquants et leurs techniques dans le but de mener une analyse. PowerShell étant voué à remplacer complètement les scripts bat et vbs, nous présenterons des scripts développés dans ce langage pour la récupération d’informations.
- Julien BACHMANN et Sylvain PIONCHON, Ingénieurs Sécurité, SCRT

Télécharger la présentation: Conf-Julien-Bachmann+Sylvain-Pionchon

Atteintes à l’e-réputation : quels recours juridiques ?
Si le développement des échanges sur Internet et les réseaux sociaux ont permis aux entreprises de bénéficier d’outils supplémentaires pour communiquer sur leur image et promouvoir leurs produits et services, ils ont également offert à leurs salariés, clients ou encore concurrents la possibilité de porter atteinte à leur image ou de dénigrer leurs offres sur le Web.
C’est la raison pour laquelle aujourd’hui la maîtrise de sa communication et de sa réputation en ligne est devenue un enjeu essentiel pour l’entreprise qui dispose de nombreux recours juridiques pour se défendre.
Quels sont ces recours juridiques ? Quels fondements invoquer ? Contre qui diriger son action ? Comment conserver la preuve de l’atteinte ? Quels sont les délais pour agir ? Autant de questions qui seront abordées lors de la conférence ».
- Maître Amina KHALED, Cabinet BEAM Avocats

Télécharger la présentation: GSDAYS_Présentation_E-Reputation_AK

Démonstrations d’exploitations de failles de sécurité et présentations pratiques, par les démonstrateurs de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information)
- Renaud LIFCHITZ, membre de l’ARCSI et consultant sécurité chez Oppida, propose 2 démonstrations visuelles sur la sécurité radio (Géolocalisation GSM et Géolocalisation d’avions) pour montrer que les protocoles radio sont encore trop peu sécurisés et facilement écoutables avec du petit matériel (20-30 euros).

Télécharger la présentation: ARCSI gsdays2014-radio
- Laurent CHOURAKI, membre de l’ARCSI : Smartphone, partage de connexion et risques associés.

Intérêt des normes ISO27001 et ISO27002 en version 2013
Les normes ISO 27001 et ISO 27002 ont été révisées en 2013. Ces nouvelles versions deviennent une aide encore plus utile et plus pertinente pour le secteur de la SSI dans son ensemble, et deviennent plus que jamais le socle de base de toute bonne organisation de la SSI en Entreprise.
- Béatrice JOUCREAU et Claire CARRÉ, Club 27001

Télécharger la présentation: Conf-Beatrice-Joucreau+Claire-Carre

La nouvelle base de données obligatoire du Comité d’Entreprise : comment organiser la divulgation d’informations stratégiques et protéger le secret des affaires ?
Cette session dressera le panorama des règles applicables à la mise en place de cette nouvelle base de données obligatoire pour les entreprises de plus de 50 salariés.
D’ici l’été, les entreprises de plus de 300 salariés devront mettre en place cette base de données unique ; celles de moins de 300 salariés auront, quant à elles, un an de plus. Cette base de données économiques et sociales, destinée à être consultée par les représentants du personnel au comité d’entreprise, devra contenir des informations pouvant être hautement sensibles, notamment celles relatives aux investissements de la société, à la rémunération des salariés et des dirigeants, et aux flux financiers intra-groupe.
La mise en place de cette base de données va donc nécessairement entrainer des problématiques relatives à la protection des informations qui y sont communiquées et plus généralement à la protection du secret des affaires, ce qui nécessite une compréhension, pour ne pas dire une appropriation, des règles applicables en la matière.
Face à de tels risques, il appartient aux dirigeants des entreprises et aux RSSI de définir le niveau de sécurité approprié à la mise en place d’un tel support d’information, ce qui nécessite une revue globale de la gouvernance et des politiques internes de gestion du secret des affaires. Cette approche est d’autant plus capitale qu’il s’agit de la première fois que tant d’informations sensibles doivent être compilées et mises à la disposition de personnes étrangères aux organes décisionnels.
- Diane MULLENEX et Guillaume BELLMONT, Avocats à la Cour, Cabinet Pinsent Masons

Télécharger la présentation: GS DAYS 2014 – Pinsent Masons – BDU et secret des affaires

XSS Reloaded
Le Cross-Site Scripting est vieux comme le Web, ou presque. Néanmoins l’évolution des bases sur lesquels il repose, à savoir HTML5 et JavaScript, du simple vol de cookie à la capture d’écran, de l’affichage de popup à la création d’un botnet dynamique, l’univers des possible s’est élargi de manière incontrôlée ; et incontrôlable. Incontrôlable car de nouveaux vecteurs d’injections sont offerts par HTML5, la persistance est maintenant possible sur le poste client et le polymorphisme interdit toute signature d’une attaque qui se propagerait à grande échelle. La nouvelle génération de XSS est le « buffer overflow » du début du siècle, une arme puissante et aussi méconnue que l’était le BoF à l’époque de « smashing the stack »…
- Renaud BIDOU, Directeur technique, DenyAll

Télécharger la présentation: Conf-Renaud-Bidou

 

Ce contenu a été publié dans Actes de conférence, Edition 2014. Vous pouvez le mettre en favoris avec ce permalien.

Les commentaires sont fermés.