[ Actes de Conférence – Édition 2016 ]

9h – 10h30 : Conférence Plénière : Lutte défensive : de la détection à la réponse à incident, quelle réalité ?
En ces temps troublés, durant lesquels les questions de sécurité sont omniprésentes, l’État doit non seulement faire face aux cybermenaces, mais aussi au cyberterrorisme qui devient de plus en plus une réalité. De leur côté, les entreprises, en particulier les OIV, ont la nécessité, pour ne pas dire l’obligation, de protéger leur patrimoine informationnel et de déployer les moyens de défense adéquats. _ Toutefois, de la détection à la réponse à incident, beaucoup reste encore à faire au sein des organisations, qui ne savent pas trop de quelle manière lutter contre cette cybercriminalité grandissante. Comment prendre la juste mesure de ces menaces, sans les sous-évaluer ni les surévaluer ? Quelles sont les réponses organisationnelles et techniques à mettre en œuvre ? De quelle manière détecter au mieux un incident de sécurité ? Comment réagir en cas d’attaque ? Telles sont les questions auxquelles nos experts s’attacheront à répondre.
Table ronde avec Vincent STRUBEL, Sous-directeur de la sous-direction Expertise à l’ANSSI, Jean-Luc MOLINER, Directeur de la sécurité du Groupe Orange, et Jean-Paul MAZOYER, CIGREF
Modérateur : Diane RAMBALDINI, Présidente de l’ISSA France

Les usages offensifs de PowerShell
Nous parlerons ici des capacités de PowerShell en termes d’intrusion, l’utilisation des différentes fonctionnalités pour interagir avec des services cibles et comment contourner de nombreux antivirus pour exécuter des programmes malveillants. Nous présenterons aussi une technique permettant de profiter de l’intégration avec le framework .NET pour outrepasser les restrictions AppLocker et lancer des applications .NET arbitraires.
Damien PICARD, Expert sécurité chez Synacktiv

La lutte défensive : pour répondre à quels nouveaux risques légaux et réglementaires ?
La lutte défensive peut contribuer à la maîtrise des risques juridiques et de conformité. Seront abordés ici, en termes opérationnels et concrets :
 Maîtriser les incidents de sécurité et les nouvelles obligations de notification ;
 Mettre en œuvre les obligations croissantes d’organisation de la sécurité ;
 Gérer la banalisation de risques forts : nomadisme, Cloud et échanges internationaux, essor des objets connectés, etc. ;
 Couvrir les risques généraux de responsabilité liés aux traitements d’informations.
Maître Lise BRETEAU, Avocate au barreau de Paris (breteau-legal.fr), membre du Cybersecurity Advisors Network (CyAN)

Vers une lutte défensive intégrant des options offensives
Les intrusions informatiques s’amplifient au rythme des vulnérabilités et de l’intensification de notre dépendance au monde du numérique. Au-delà des méthodes usuelles de défense, quelles nouvelles opportunités pourraient être étudiées, pour passer d’un mode passif à une défense active ? La plupart du temps, lorsque les thèmes de la contre-attaque numérique sont abordés, l’étendard juridique vient supprimer toute opportunité de discussion scientifique et technique, et souvent avec raison.
Néanmoins, cette présentation abordera des méthodes permettant de lutter et de se défendre de manière active, ainsi que des limites de certains outils (0days sur des leurres informatiques, etc.). En utilisant ses dizaines d’années d’expérience dans le monde du hacking et de l’espionnage numérique, Laurent essaiera ainsi de proposer des éléments de réponses techniques : comment et pourquoi interagir avec des cyberespions, comment détecter leurs outils, comment casser leurs méthodes de travail, voire comment les remonter parfois jusqu’à leur source et, dans certains cas, procéder à des identifications numériques ou physiques, etc. Cette présentation sera une source de réflexion pour aborder le complexe sujet de la contre-attaque numérique, ses mythes et ses réalités associées.
Laurent OUDOT, Directeur de TEHTRIS, ancien expert opérationnel de la DGSE

L’usurpation d’identité numérique au cœur du social engineering
Escroquerie au Président, faux virements, faux RIB… l’ingénierie sociale est en plein boom. Au cœur de cette recrudescence : l’usurpation d’identité numérique. Faux noms de domaine et fausses adresses électroniques, fausses pages Web, pages Facebook reproduisant la marque de l’entreprise de manière frauduleuse, numéros de téléphone géographiques achetés… permettent aux malfrats, à cheval sur plusieurs zones géographiques, d’amplifier leurs moyens d’actions. De nombreuses entreprises françaises de toutes tailles et de tous secteurs ont été victimes de ces agissements. Agir pour faire cesser l’utilisation de tel nom de domaine, obtenir de tel éditeur de services la fermeture d’un compte email… Comment, à quel moment et à quelle fin, porter l’affaire sur le plan pénal, pour quels objectifs ? A-t-on l’obligation légale de communiquer sur les agissements dont on est victime ? … sont quelques-unes des questions que nous traiterons.
Me Olivier ITEANU, Avocat, Chargé d’enseignement à l’Université de Paris I Sorbonne

Sensibilisation à la sécurité de l’information : où en sont les entreprises françaises ?
La sensibilisation des utilisateurs est aujourd’hui reconnue comme l’un des piliers essentiels d’une stratégie de sécurité de l’information. Le succès de cette sensibilisation passe par la mise en œuvre d’une démarche construite et professionnelle. Des résultats ne seront obtenus que si l’on s’inscrit dans la durée et que l’on s’appuie sur un plan de sensibilisation bien défini. L’un des facteurs clés de succès est de pouvoir se doter d’une mesure. En effet, seule une mesure permet de savoir d’où on part, quel est le chemin parcouru, d’identifier les forces et faiblesses et de se donner des objectifs. Cette mesure permet également de présenter la situation en comité de direction et de s’engager sur des objectifs pour obtenir des budgets.
C’est pourquoi Conscio Technologies a créé son offre ISAM (Information Security Awareness Meter) de mesure de la maturité d’une population au regard de la sécurité de l’information. Conscio Technologies et son partenaire Solucom, sur la base des enquêtes ISAM menées en 2015, ont réalisé le premier benchmark des entreprises françaises quant au niveau de maturité atteint par leurs collaborateurs en matière de sécurité de l’information. L’objet de cette conférence est d’en présenter les résultats.
Michel GERARD, CEO de Conscio Technologies

Identité et objets connectés
La transformation digitale des entreprises, ainsi que l’émergence du Cloud et des besoins de mobilité génèrent de nouvelles exigences pour les applications, notamment la connexion de différentes typologies d’identités : employés, partenaires, clients et objets connectés. Nous présenterons les nouveaux usages liés aux objets connectés, les concepts sous-jacents en termes de sécurité et de gestion des identités et des accès, ainsi que les changements d’architecture et la mise en relief de protocoles tels que OAuth, OpenID Connect et l’apparition du protocole UMA.
Francis GREGOIRE, Directeur et CTO de Memority

Bénéfices de l’accès direct aux disques à l’aide du framework Metasploit
Cette présentation décrira le développement de deux modules du framework Metasploit.
Le premier module file_from_raw_ntfs permet de contourner les verrous en écriture de Windows sur des fichiers clés comme les fichiers de ruches Windows ou le fichier NTDS.DIT contenant les condensats des mots de passe du domaine Windows.
Le deuxième module bitlocker_fvek permet de récupérer la clé de chiffrement maitre de Bitlocker. Une fois cette clé obtenue, il est possible de déchiffrer le disque dur chiffré avec Bitlocker même en cas de changement de mot de passe. Cette présentation reviendra notamment sur les différentes structures de données de NTFS et Bitlocker.
Danil BAZIN, Expert sécurité chez HSC by Deloitte

Qui veut la peau de K2000 ?
L’utilisation de plus en plus importante de l’électronique informatisée dans les designs, la production, l’exploitation et la conduite des véhicules et l’apparition des voitures sans chauffeurs va transformer l’expérience du transport dans notre société. Cette révolution est incarnée par la fin de la conduite telle que nous la connaissons, l’apparition de systèmes d’Entertainment de plus en plus développés dans les voitures, la connexion totale des Smartphones avec les véhicules, etc.
Seulement cette hyper-connectivité des voitures autonomes et la perte progressive du contrôle du conducteur sur son véhicule augmente considérablement la vulnérabilité desdits véhicules face à de potentielles attaques. Ces évolutions devront donc être parfaitement maîtrisées pour limiter les risques liés aux attaques informatiques sur les systèmes d’exploitation des voitures, mais aussi les infrastructures transport, les signaux, etc.
Cette session explorera les problématiques juridiques et opérationnelles posées par ces évolutions en s’appuyant sur des cas pratiques, afin de proposer des solutions concrètes.
Me Diane MULLENEX & Me Annabelle RICHARD, Cabinet d’avocats Pinsent Masons LLP

Techniques et outils pour la compromission des postes clients
Les attaques sur les postes clients via des e-mails malveillants sont souvent la première phase d’une compromission majeure. Si le principe de ces attaques a peu évolué, les outils utilisés par les attaquants sont de plus en plus perfectionnés et les techniques d’évasion de plus en plus efficaces. Renaud et Clément présenteront les techniques et les outils utilisés pour réaliser ce type d’intrusion, qu’ils soient dans les mains d’attaquants malveillants ou lors de la réalisation de tests d’intrusion de type Red Team. La conférence illustrera par des exemples concrets les retours d’expérience sur l’efficacité incroyable de ce type de tests, présentera les étapes clés d’une bonne campagne, de la phase de récupération d’informations sur les cibles à la phase d’exploitation, en passant par l’envoi et le suivi des e-mails.
Renaud FEIL, Co-fondateur, et Clément BERTHAUX, Expert sécurité – Synacktiv

Démonstrations d’exploitations de failles de sécurité et présentations pratiques de l’ARCSI – La domotique et ses vulnérabilités
 Prise de contrôle d’une ampoule connectée
 Ecoute de casque sans fil
Renaud LIFCHITZ, membre et démonstrateur de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information), et Expert sécurité chez Digital Security
 Espionnage et prise de contrôle de souris et clavier sans fil
 Espionnage d’un porte-clé connecté Bluetooth Low Energy
Damien CAUQUIL, Expert sécurité chez Digital Security

Stop aux politiques de sécurité inapplicables et inappliquées
Le mieux est l’ennemi du bien. Ce vieil adage trouve une résonnance particulière dans les politiques de sécurité où les règles les plus vertueuses rivalisent toujours plus d’infaisabilité.
Nous vivons à une époque où les menaces se concrétisent régulièrement en incidents de sécurité et où les politiques de sécurité, pour être efficaces, doivent être cohérentes avec les moyens dont disposent les RSSI.
Les commandements bibliques du « besoin d’en connaître » et du « moindre privilège » nécessitent-ils d’être adaptés à l’ère de la transformation digitale, de la cybercriminalité et du Cloud ?
Cyril CORCOS présentera une collection de politiques de sécurité inapplicables… et inappliquées, ainsi qu’un certain nombre de propositions de type « DO / DO NOT » pour freiner la surenchère de règles d’entreprise et avoir de meilleurs résultats en appliquant des règles plus pragmatiques (moins ambitieuses ?).
Cyril CORCOS, Partner Harmonie Technologie

Détection des incidents de sécurité : vision d’un SOC efficace par l’ANSSI
Matthieu HENTZIEN, Chargé de mission politique industrielle, ANSSI

Privacy by Design : anticiper pour mieux protéger
« Privacy by Design » ou « comment intégrer à la conception le respect de vie privée », est-ce un nouveau buzzword ? Peut-être, mais dans tous les cas cela sera un sujet clé pour la future conformité au règlement européen. Ce texte s’appliquera dans tous les secteurs d’activité et dans tous les pays de l’Union européenne en 2018. C’est donc aujourd’hui qu’il faut faire l’inventaire de l’existant et poser les bases du futur processus d’intégration de la vie privée dans l’ensemble des métiers et des projets SI.
Quelles sont les exigences ? Comment les concrétiser dans les processus d’analyse de risques ou de conception de systèmes ? Quels outils ? Comment contrôler leurs bonnes applications ? Comment les intégrer dans la démarche de conformité globale ?
Autant de questions qu’aborderont Raphaël Brun et Gérôme Billois du cabinet Solucom avec une présentation concrète et basée sur des retours d’expériences chez les grands comptes.
Gérôme BILLOIS, Senior Manager, et Raphaël BRUN, Manager au sein de l’entité Risk Management et Sécurité de l’information – Solucom