[ Actes de conférence - Édition 2019 ]

Conférence Plénière : Comment faire de l’humain le maillon fort de la sécurité ?
L’humain est un élément essentiel pour la sécurité, économique comme numérique. Qu’il soit utilisateur, manageur, développeur, administrateur, expert…, l’humain se trouve au cœur des dispositifs de sécurité mis en place en entreprises, et des bonnes pratiques à appliquer au quotidien. Toutefois, l’humain, de par ses comportements et ses actions, peut aussi s’avérer un vecteur de menaces pour son entreprise. L’accent sera à la fois mis, lors de cette conférence plénière, sur les risques inhérents au facteur humain, mais aussi l’importance de la sensibilisation et de l’acculturation à la cybersécurité et à la sécurité économique. L’objectif sera également de mieux comprendre le comportement humain et de déterminer comment en faire un levier pour améliorer le niveau de sécurité globale en entreprise, comme ailleurs.
 Table ronde avec Fabien CAPARROS, Chef de la division Méthodes de management de la sécurité numérique, à la sous-direction stratégie de l’ANSSI, Nicolas VIELLIARD, RSSI, CLUSIF, et Jean-François AUDENARD, Responsable de la veille sécurité et de la sensibilisation chez Orange
Modérateur : Diane RAMBALDINI, Présidente de l’Association ISSA France et Présidente de Crossing Skills

S’attaquer à l’humain pour compromettre le SI
Bien que le RGPD soit en application, la prise de conscience des usagers quant à leurs droits sur les données personnelles reste assez faible. Beaucoup portent peu d’importance au paramétrage des différents niveaux de confidentialité mis à disposition sur les réseaux sociaux.
Nous verrons que ces informations, pourtant personnelles sur les collaborateurs, peuvent avoir un réel impact sur la sécurité des organisations, notamment lors de tentatives de vishing, spear-phishing et intrusions physiques.
 Sylvain HAJRI, Consultant sécurité, Digital Security

Dark Web, Dark Net, Deep Web : petra eo* ?
* « Qu’est-ce que c’est ? » en Breton.
Vous avez très certainement déjà entendu parler du Dark Web, du Deep Web ou encore du Marianas Web. Mais qu’est-ce donc vraiment ? Que peut-on y trouver ? Nous a-t-on tout dit sur le sujet de manière transparente sans essayer de nous vendre un produit ? Non seulement nous allons vous expliquer la différence entre tous ces univers et apporter des réponses aux questions précédemment posées, mais nous allons aussi tenter d’éclaircir dans quelles proportions ces mondes existent et cohabitent.
 Patrice AUFFRET, Fondateur de la société Onyphe

Fusion Center : de l’automatisation à une nouvelle gouvernance, découvrez le futur du SOC !
La sécurité opérationnelle est généralement gérée par deux principales structures qui sont le SOC et le CSIRT. Leurs rôles respectifs ne sont pas parfaitement tranchés, et certaines tâches se retrouvent à la croisée des responsabilités. Quels sont les principaux leviers d’optimisation pour le futur de cette organisation bipolaire ? Le Fusion Center, grâce à l’automatisation, au Machine Learning, mais également grâce à son organisation et son fonctionnement plus agile, apporte des éléments de réponse.
 Benoît MARION, Manager Wavestone Cybersecurity, et Quentin PERCEVAL, Senior Consultant Wavestone Cybersecurity

Sécurité Android : présentation de vecteurs de compromission et démonstration de scénarios de post-exploitation
La sécurité des téléphones Android est devenue un enjeu majeur pour les entreprises. Au travers de plusieurs démonstrations, les consultants du cabinet XMCO, expert en cybersécurité, reviendront sur deux vecteurs d’infection afin de montrer comment un attaquant peut, une fois le téléphone compromis, réaliser des scénarios de post-exploitation avancée. Au programme : installation d’un ranswomware, espionnage des frappes claviers et vol d’informations à distance.
 William BOISSELEAU et Yann FERRERE, Consultants sécurité chez XMCO

Mécanismes mentaux et Cyber risques
Notre propos est d’illustrer les mécanismes mentaux à la base de nos comportements pour passer d’une sensibilisation à une réelle acculturation en matière de risques. Mais pas seulement.
Nous proposons de regarder avec lucidité tous les protagonistes des risques : l’escroc et ses méthodes, l’organisation et ses travers, les technologies et leurs stratégies d’addiction.
Dans un environnement manipulateur, des solutions qui reposent sur l’humain sont-elles encore possibles ?
 Caroline BRINGAND, Consultante en facteur humain

TOP 10 OWASP 2017, retour sur le dernier classement des failles de sécurité Web
Il s’agit avant tout d’un point de sensibilisation, destiné aux organismes et aux particuliers, sur les conséquences des vulnérabilités inhérentes à la sécurité des applications Web, parues dans le dernier classement dit OWASP TOP 10 de 2017. C’est aussi une occasion pour découvrir les moyens de protection, qui sont à votre disposition, vous permettant d’endiguer ces vulnérabilités. Des démonstrations techniques seront présentées afin d’appréhender les notions théoriques à travers la pratique.
 Zakaria BRAHIMI, Consultant en sécurité informatique, ECONOCOM Digital Security

Intrusion physique au siège d’une banque (Pentest) – RETEX
L’accès physique au système informatique est souvent considéré comme le Saint Graal de l’Intrusion du Système d’Information. Cette conférence retrace le parcours d’un Test d’Intrusion Physique réel permettant d’identifier les différentes menaces possibles. Qu’il s’agisse d’une menace interne ou externe, il existe mille et une façons de s’introduire discrètement même dans les lieux les plus sécurisés. Et le pire dans tout ça, c’est que les plus grosses failles ne dépendent pas de vous…
 Alexandre TRIFFAULT, président d’AT Security SAS, Formateur intrusion.eu et Chercheur Associé à l’Ecole Esiea

Vol de données et ransomware : pourquoi et comment négocier avec un hacker ?
Le conférencier décryptera les différents cas de figure relatifs à ces infractions et détaillera l’intérêt et les solutions offertes par la négociation pour y faire face : identifier les acteurs de la négociation, convaincre sans contraindre, évaluer le rapport de force, définir la stratégie adaptée au profil du voleur, qu’il s’agisse d’un hacker aguerri ou d’une simple personne malveillante.
 Olivier HERISSON, Consultant en sécurité numérique ON-X & Formateur ADN Talents (L’Agence des Négociateurs)

Démonstrations d’exploitations de failles de sécurité et présentations pratiques de l’ARCSI
• Red Team : prises de contrôle HID à distance ;
• Oracle quantique : trouver une carte à jouer parmi 4 en une seule tentative ;
• Supply chain attack : exemple d’injection de porte dérobée dans un système de contrôle d’accès (cadenas) ;
• Prise de contrôle en vol d’un drone utilisant la technologie Bluetooth Low Energy.
 Renaud LIFCHITZ, expert sécurité IoT chez digital.security, membre et démonstrateur de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information), et Damien CAUQUIL, Responsable R&D chez digital.security

La protection du secret des affaires
La protection du secret des affaires est à l’ère numérique ce que le brevet a été à l’ère industrielle, d’où la nécessité d’en bien connaître le régime juridique. C’est la raison de deux textes fondateurs : la directive européenne du 8 juin 2016 et sa transposition par la loi du 30 juillet 2018.
 Thibault du MANOIR de JUAYE, Avocat à la Cour

Cybermalveillance.gouv.fr : retour sur la première année de fonctionnement
Plus d’un an après la création du dispositif cybermalveillance.gouv.fr, nous dresserons un premier bilan (actions initiées, remontées des attaques, groupes de travail…) et présenterons les perspectives à venir.
 Jérôme NOTIN, DG de www.cybermalveillance.gouv.fr

Pour cette 11ème édition, plusieurs démonstrations techniques étaient également au programme :

Évaluation et sensibilisation de l’entreprise étendue
Découvrez comment évaluer, piloter et sensibiliser à la cybersécurité toutes les parties prenantes de l’entreprise étendue : filiales, fournisseurs, collaborateurs, clients, partenaires…
 Charles D’AUMALE, Directeur EMEA, DIGITEMIS

Vous êtes le maillon faible : comment les hackers déjouent votre vigilance et pourquoi Office 365 est une cible privilégiée ?
 Évolution de la menace et des techniques d’attaques.
 Pourquoi Office 365 est une cible privilégiée ?
 Comment les hackers utilisent la messagerie pour tromper la vigilance des utilisateurs ?
 Utilisation de techniques complémentaires pour se protéger (formation des utilisateurs, protection de la messagerie, remédiation des attaques identifiées).
 Sébastien GEST, Tech Evangelist, VADE SECURE

Prévenir les risques de violations : comment gérer les risques fournisseurs dans le cadre du RGPD
La gestion des risques fournisseurs est un processus permanent à appliquer tout au long du cycle de vie de l’intégration du fournisseur, dans le cadre du RGPD et des règlements de protection des données futurs. Bien que la sous-traitance des opérations à des fournisseurs de tierce et quatrième partie puisse atténuer les problèmes et les besoins de l’organisation, ce processus comprend souvent des risques de sécurité et confidentialité à l’origine d’incidents de violations.
 Hugo WOOG, Privacy Engineer, OneTrust

Test d’intrusion Red team : communication via un scénario d’attaque/défense
Un test d’intrusion permet de tester un périmètre bien particulier et d’obtenir une liste de points d’entrées ou points de vigilance concernant la sécurité du système testé. Malheureusement, lorsque l’on atteint un niveau de maturité élevé sur les sujets SSI, il devient compliqué d’effectuer des tests pertinents permettant de challenger les équipes de défense. Contrairement aux missions plus classiques, le test Red Team n’a pas pour objectif d’être exhaustif, mais plutôt de vérifier la capacité de détection et de réponses de l’entreprise. Pour ce faire, les attaquants bénéficient d’un périmètre d’action large et sont en mesure de combiner des attaques physiques, techniques, sociales et logiques, afin de récupérer les trophées définis en amont, le tout sur une période longue.
 Clément MICHEL, Consultant Manager, ATEXIO

Sécurité, développement agile et DevOps : comment concilier avec une approche DevSecOps ?
La méthodologie Agile s’est imposée dans les équipes de développement et l’approche DevOps est actuellement en plein essor. La conséquence directe de ces changements est une accélération massive des déploiements en production : un projet peut ainsi passer d’un déploiement occasionnel à plusieurs déploiements par semaine. Dès lors, les responsables en charge de la sécurité ont une nouvelle série de défis. Comment garantir que le code poussé régulièrement en production soit conforme aux normes de sécurité de l’entreprise ? Comment identifier au plus vite des vulnérabilités dans le code source ? Quels moyens doivent être mis en place pour alerter les développeurs ? Cette introduction au DevSecOps et à la solution Code Review as a Service proposée par Claranet Cyber Security aura pour objectifs d’identifier ces défis et d’y proposer une solution pour les entreprises.
 Corentin BADOT-BERTRAND, Lead Developer, Claranet Cyber Security

Devenez le cyberhéros de votre entreprise
Plus que jamais il est vital de faire de vos collaborateurs le maillon fort de la protection de votre système d’information. Cela nécessite une prise de conscience des enjeux et des menaces, ainsi qu’une réelle adoption des bons comportements. Pour obtenir ce résultat, la science nous apprend qu’il est nécessaire de s’appuyer sur le principe de l’engagement et de l’effet de gel. Comment mettre en œuvre ces principes dans le cadre d’une campagne de sensibilisation en ligne, c’est le challenge que relève Conscio Technologies avec son nouveau contenu « Devenez le cyberhéros de votre entreprise ».
 Michel GÉRARD, Président, Conscio Technologies

Sophos Phish Threat, outil de simulation d’attaques et d’éducation des utilisateurs
Face à la multiplication des attaques de phishing, il est indispensable d’intégrer un programme de sensibilisation à la sécurité informatique dans toute stratégie de défense. Sophos Phish Threat teste et éduque vos utilisateurs à l’aide de simulations d’attaques automatisées et personnalisables, de formations en français et de rapports simples à exploiter.
 Michel LANASPEZE, Directeur Marketing, Sophos France

Définissez le score de risque de votre entreprise en temps réel
Comment Recorded Future définit un score de risque en temps réel pour votre entreprise, vos partenaires et vos fournisseurs, basé sur les différentes informations provenant d’Internet (Forums, Sources techniques, Deep Web, Dark Web), et vous aide à mieux définir une posture de défense.
 Soufyane SASSI, Responsable avant-vente Europe du Sud, Recorded Future