9è GS DAYS : PROGRAMME prévisionnel – 28 MARS 2017

Actualités
 

 

Voici le programme prévisionnel* de la 9ème édition des GS Days, Journées Francophones de la Sécurité de l’Information, qui se tiendra le 28 mars prochain à l’Espace Saint-Martin, Paris 3ème.

8h30 – 9h : Accueil et petit déjeuner

9h – 10h30 : Conférence Plénière
Quelle protection des données en Europe et ailleurs ? Et quelle confiance doit-on accorder à ces données ?

Les données font actuellement l’objet de toutes les convoitises. Elles représentent un business juteux pour l’économie et servent les intérêts des entreprises comme des acteurs malveillants peu scrupuleux… Elles se trouvent également au cœur d’enjeux de pouvoir, servant à asseoir la domination des États, lobbys et terroristes en tous genres… Toutefois, les solutions se multiplient et les réglementations se durcissent en France, en Europe et dans le monde, en vue d’endiguer ces dérives et de renforcer leur protection. Quels impacts ces différentes alternatives auront-elles sur la sécurité de nos données, entreprises comme citoyens ? De plus, des données sécurisées sont-elles pour autant de confiance ?…
Table ronde  Gwendal LE GRAND, Directeur des technologies et de l’innovation, CNIL, Patricia LE LARGE, Group Data Protection Officer, Orange
Modérateur : Hervé SCHAUER, Associé, HSC by Deloitte

Sécurisation des APIs : quoi, pourquoi & comment ?
Les APIs envahissent aujourd’hui toutes les entreprises. Elles sont essentielles dès que l’on parle de transformation numérique, d’objets connectés, d’ouverture des données bancaires ou encore de partage de données de santé. Pour répondre à la question de la sécurité des APIs, OAuth est devenu la réponse « fourre-tout » ! Mais derrière cette bannière se cache en fait une myriade de standards et de spécifications plus ou moins avancés.
Cette intervention permettra de décrypter ce contexte mouvant, mais aussi de partager nos retours d’expériences et les bonnes pratiques de sécurisation d’APIs en fonction des cas d’usages rencontrés : applications mobiles, applications Web client-side, API partenaires, architecture micro-services, API partagées clients/employés, etc.
Bertrand CARLIER, Manager au sein de l’entité Digital Identity & Trust, et Gérôme BILLOIS, Senior Manager – Wavestone

Brexit, Privacy Shield et RGPD : pourquoi faire simple quand on peut faire compliqué ?
Au milieu des incertitudes liées au Brexit et au Privacy Shield, nous discuterons des bonnes pratiques pour aborder ces questions épineuses dans le contexte de la mise en conformité de vos traitements avec le nouveau règlement européen de protection des données personnelles.
Maître Annabelle RICHARD, Avocate, Cabinet d’Avocats Pinsent Masons LLP

Crypto Monnaies : exploration du Côté Obscur
Le paiement anonyme, pour certains un droit fondamental, une forme d’anarchie insupportable et un outil de choix pour les cybercriminels, a fait un grand bond en avant dans les derniers mois avec la sortie de Z.Cash en novembre 2016. Ainsi, le paiement anonyme est devenu accessible à tous. Dans cet exposé, nous allons expliquer comment fonctionnent les principales crypto monnaies dites anonymes actuellement utilisées. Toutefois, on ne va pas étudier Z.Cash qui est probablement le système cryptographique le plus complexe jamais déployé dans un contexte applicatif et qui souffre de sérieux problèmes, retardant son adoption. Nous allons plutôt porter notre attention sur des techniques d’anonymisation beaucoup plus simples, telles que Stealth Address, qui puisent leurs racines dans les techniques de key management. Cette technique permet déjà d’émettre des paiements tels que strictement aucune information pouvant être utilisée pour identifier le destinataire n’apparaît dans la blockchain du bitcoin. Ainsi, nous allons montrer que des transactions financières anonymes peuvent se cacher aux yeux de tout le monde dans un système que l’on considère à tort comme offrant une bonne traçabilité. Ceci pose des questions très sérieuses sur l’avenir des crypto monnaies : quel niveau d’anonymisation peut encore être considéré comme acceptable ?
Nicolas T. COURTOIS, enseignant-chercheur à University College London, Docteur en Cryptographie de l’université Paris 6

Obligations de notifications des violations de données et des incidents de sécurité, comment s’orienter dans le labyrinthe des textes applicables ?
Différentes réglementations récentes (GDPR, NIS, DSP2, la loi de programmation militaire, etc.) imposent aux entreprises de notifier des incidents de sécurité à différentes autorités. Le périmètre de ces incidents comme leurs modalités varient d’un texte à l’autre augmentant d’autant le risque de sanction financière et le risque d’image associé. Ce constat contraint également juristes et spécialistes de la sécurité des systèmes d’information à jongler entre ces différentes réglementations, parfois difficiles à articuler.
Cette présentation vous permettra de vous repérer dans ce « mille-feuille » législatif, d’identifier des points de convergence et de divergence et des points d’attention.
Aurélie BANCK, Juriste spécialisée en matière de protection des données, DPO, BNP Paribas

12h45 – 14h15 : Déjeuner

Blockchain et sécurité : applications à la banque et l’assurance
Cette présentation, plutôt que de présenter une nouvelle fois ce qu’est la blockchain, se focalisera uniquement sur ses aspects pratiques et concrets, et sur toutes les problématiques de sécurité pouvant naître de son utilisation. Ainsi, nous parlerons de ses intérêts et applications aux secteurs bancaires et de l’assurance, à travers des « uses cases », des présentations de projets actuels, du concept d’oracle pour interagir avec le monde réel, et des démonstrations concrètes, réalisées en session, de contrats intelligents agissant selon des indicateurs économiques. Les aspects sécurité seront abordés en détails avec une analyse des enjeux et des risques, une revue de la faille de sécurité de « The DAO » (la plus grande levée de fonds collaborative jamais réalisée : 150 millions de dollars), l’importance du choix de la technologie blockchain dans la sécurité, du choix du langage de développement des « smart contracts », ainsi que des bonnes pratiques techniques et fonctionnelles de sécurité pour garantir un haut niveau de confiance dans la technologie.
Renaud LIFCHITZ, Expert sécurité, Digital Security

Cybersécurité et GDPR : projet transverse à la renverse
Outre sa complexité technique, le processus de mise en conformité au règlement européen de protection des données personnelles est typiquement une opération complexe sur les plans organisationnel et méthodologique, compte tenu du nombre de profils et métiers, parties prenantes au projet.
Quelle méthode est employée pour localiser les données personnelles ?
Comment les métiers non professionnels de sécurité appréhendent la protection des données et les menaces d’un point de vue de cybersécurité ?
Cette conférence s’adresse directement aux porteurs de ce projet transverse par nature, sous forme d’atelier interactif et aura comme objectif de présenter un panel exhaustif d’outils méthodologiques avec un cas client en fil rouge.
Diane RAMBALDINI & Hadi EL KHOURY, membres de PRIV’IMPACT

Sécurité des données d’un domaine Microsoft
De la petite entreprise au grand groupe international, l’univers Microsoft reste très présent dans le SI. Des données sensibles (stratégiques autant que personnelles) ont donc de fortes chances d’y transiter. Nous décrirons plusieurs techniques classiques de compromission d’un AD qui permettent d’atteindre ces données, puis nous présenterons un retour d’expérience sur les vulnérabilités que nous rencontrons le plus régulièrement chez nos clients. Enfin, nous proposerons un plan de remédiation type qui a fait ses preuves et qui permet d’améliorer la sécurité des domaines Microsoft suivi dans le temps.
Alain SCHNEIDER et Sylvain LECONTE, Co-fondateurs de COGICEO

Démonstrations d’exploitations de failles de sécurité et présentations pratiques – ARCSI
- Ecoute sur des infrastructures ouvertes d’objets connectés
- Interception de frappes de touches sur un clavier sans-fil
- Ecoute sur un protocole LPWAN
- Prise de contrôle de mini-drones
Renaud LIFCHITZ, membre de l’ARCSI, & Damien CAUQUIL, Experts sécurité, Digital Security

Préparer un PIA (Privacy Impact Assessment)
A compter du 25 mai 2018, date d’application effective du RGPD (Règlement général sur la protection des données), les organismes devront avoir mis en place un processus de PIA (Privacy Impact Assessment) susceptible de s’appliquer à tout projet impliquant des données personnelles. Or, la création d’un tel processus, opérationnel et adapté à son organisme, peut se révéler complexe.
Cette conférence propose une approche pragmatique du PIA. Après un rappel des exigences du Règlement en matière d’analyse d’impact et une synthèse des principaux référentiels existants, les étapes et des éléments essentiels d’une analyse d’impact sur la vie privée sont présentés. L’intervention permet de répondre aux questions suivantes :
- Dans quels cas un PIA est-il obligatoire ? Quels sont les critères pertinents pour réaliser cette étude préalable ?
- Qu’est-ce qu’un risque vie privée ? Comment le valoriser ?
- Comment articuler l’appréciation des risques et l’étude de conformité du projet ?
- Quels sont les éléments essentiels du rapport de PIA ?
- Dans quels cas la consultation de l’autorité de contrôle est-elle requise ?
Amélie PAGET et Jean CHERIN, Consultants juridiques chez HSC by Deloitte

Comment relever le défi de la cybercriminalité dans mon organisation, en restant dans les limites de la loi ?
La société JeRisposte a subi des cyberattaques qui ont mis en péril ses affaires et affecté la confiance que lui portaient ses clients. Le patron de JeRiposte décide de se venger, en contre attaquant mais en restant dans les limites de la loi. Il pense savoir que les attaques viennent du patron de la société Jattaque, un de ses concurrents. Preuves en main, et accompagné de sa directrice de la communication, il va voir son avocate.
Suit un dialogue entre le patron de JeRiposte, la directrice de la communication qui expliquent la situation et l’avocate qui fournit des conseils juridiques sur ce qu’il faut faire et surtout ce qu’il faut ne pas faire pour éviter de se mettre hors la loi en contre attaquant et être accusé à son tour. Un coup de théâtre intervient alors avec l’arrivée du patron de Jattaque.
Pièce de théâtre avec Maître Céline BARBOSA, Avocat à la cour, Henri D’AGRAIN (à confirmer), Vice-président du CHECY, Béatrice LAURENT, Secrétaire générale du Carré des Entrepreneurs, et Gérard PELIKS, Président de l’association CyberEdu.

18h15 – 19h15 : Cocktail de clôture


* Programme prévisionnel au 10 février 2017, susceptible de modifications


Date et lieu :
- 28 mars 2017 – 8h30 – 18h30
- Espace Saint-Martin – 199 bis, rue Saint-Martin – 75003 Paris

Pour s’inscrire : www.gsdays.fr/sinscrire/10-g...

Pour plus d’informations :
- Contactez Marc Jacob Brami ou Emmanuelle Lamandé : 01.40.92.05.55 – marc.jacob@globalsecuritymag.com ou emmanuelle.lamande@globalsecuritymag.com

Ce contenu a été publié dans Actualités. Vous pouvez le mettre en favoris avec ce permalien.

Les commentaires sont fermés.