Actes de Conférence – Édition 2015
- 20 novembre 2017
- Actes de conférence
Voici les actes de conférence de la 7ème édition des GS Days, Journées Francophones de la Sécurité de l’Information, qui s’est tenue le 24 mars 2015 à l’Espace Saint-Martin, Paris 3ème.
9h – 10h30 : Conférence plénière : La structuration du marché de la sécurité
Le marché français de la sécurité est en pleine évolution avec des rachats d’entreprises, consolidations, accords de partenariat, regroupements d’entreprises au sein d’associations professionnelles… L’objectif des investisseurs est de pouvoir atteindre une taille critique pour inspirer confiance aux grands comptes et aux administrations, et conquérir de nouveau à l’export. Cette stratégie sera-t-elle payante à terme ? Quelle est la place des offreurs français au sein de l’Europe ? Comment le gouvernement peut-il agir pour aider à ce développement et permettre à l’innovation soutenue en France d’y rester ? Telles sont les questions auxquelles nos experts s’attacheront à répondre.
Table ronde avec Guillaume POUPARD, Directeur Général de l’ANSSI, Michel VAN DEN BERGHE, Directeur Général d’Orange Cyberdefense, et Philippe DEWOST, Président d’honneur du CHECy
Modérateur : Alain ESTABLIER, Rédacteur en Chef de Security Defense Business Review
CARA : les 4 dimensions de la sécurité des objets connectés
Les objets connectés envahissent notre quotidien, et cela est parti pour durer ! Au-delà des aspects grand public, ils s’invitent également dans les entreprises par les usages des collaborateurs mais aussi et surtout par leur intégration dans les processus métier.
L’objet de cette présentation sera de dresser un panorama des risques spécifiques aux objets connectés – avec plusieurs exemples d’attaques – puis de donner une méthode d’évaluation du risque dans un contexte métier particulier. Afin de concrétiser les contres-mesures possibles, nous exposerons les différents modèles de sécurité des smartwatches majeures du marché et les mesures de sécurité disponibles.
Gérôme BILLOIS, Senior Manager, et Chadi HANTOUCHE, Manager au sein de l’entité Sécurité, Solucom
Télécharger la présentation :
Attaque de type « Man-In-The-Middle » sur réseau « dual stack »
Dans la dernière décennie, l’utilisation d’Internet a explosée, entraînant un manque d’adresses IPv4 important qui a notamment contraint opérateurs et éditeurs de systèmes d’exploitation, à adopter rapidement IPv6 et ces mécanismes de transition.
Cette présentation s’inscrit dans ce contexte et se focalise sur l’implémentation d’une attaque « Man-In-The-Middle » en IPv6 sur un réseau IPv4. A l’heure actuelle, il existe plusieurs outils permettant la mise en place de ce type d’attaque, cependant certains font preuve d’un manque d’automatisation et/ou de fonctionnalités, notamment sur les systèmes GNU/Linux.
Durant cette session, seront abordés les aspects théoriques liés à ce type d’attaque ainsi que la présentation d’un outil développé par l’auteur offrant une possible alternative aux solutions connues.
Karim SUDKI, Ingénieur sécurité, SCRT
Télécharger la présentation :
Les usages de la mobilité au sein de l’entreprise (du « BYOD » au « COPE »)
Les entreprises sont aujourd’hui confrontées au développement sans précédent de l’utilisation des terminaux personnels (smartphones, portables, clés USB, tablettes,…) par leurs salariés dans le cadre de l’exercice de leur activité professionnelle.
Le cabinet Pinsent Masons propose d’aborder les principales problématiques juridiques liées à la diversification des usages de la mobilité, en particulier, les moyens permettant aux entreprises de maitriser les risques associés à la mise en place du « Bring your own device » (BYOD), du « Choose your own device » (CYOD) ou du « Corporate Owned, Personally Enabled » (« COPE »).
Différents modèles s’offrent désormais aux entreprises, qui peuvent proposer à leurs collaborateurs d’apporter leur propre matériel à des fins d’utilisation professionnelle (« BYOD ») ou encore d’acheter leur équipement parmi une liste de terminaux présélectionnés (« CYOD »). A l’inverse du « BYOD », les entreprises peuvent également décider d’acquérir et de détenir elles-mêmes des terminaux mobiles tout permettant à leur personnel de les utiliser librement à des fins personnelles (« COPE »).
Ces nouveaux usages de la mobilité au sein des entreprises suscitent des problématiques juridiques notamment en termes d’atteinte à la sécurité des systèmes d’information, de protection du patrimoine informationnel, de protection des données à caractère personnel, de respect de la vie privée, de gouvernance, etc.
Me Diane Mullenex & Me Guillaume Morat, Cabinet d’avocats Pinsent Masons LLP
Télécharger la présentation :
Comment le Big Data améliore la sécurité sur le Web ?
Au cours de sa présentation, Akamai abordera les initiatives de recherche et développement concernant le Big Data appliqué à la sécurité. Ces initiatives concernent la collecte, la gestion et l’analyse des données provenant de différentes sources, en temps réel.
Cette présentation portera également sur l’infrastructure sous-jacente qui a été déployée et les outils qui ont été élaborés pour répondre aux besoins en termes de recherche sur la sécurité et les renseignements pour lutter contre les menaces d’Internet.
Afin d’illustrer l’utilisation du Big Data, des cas concrets viendront illustrer les différentes innovations sécuritaires liées au Big Data.
Emmanuel MACÉ, Security Specialist, Akamaï
Télécharger la présentation :
Comprendre et détecter une intrusion physique de haut vol
Une chambre d’hôtel, une salle de conférences, une voiture de location, votre habitation personnelle… autant de points d’accès physiques à votre système d’information.
La récupération d’informations à l’aide d’un accès physique est très efficace et très difficile à détecter du fait de l’absence de toute forme de log. En association avec un Social Engineering de qualité, les techniques d’intrusion physique permettent d’accéder à n’importe quel niveau d’une infrastructure sécurisée, d’autant plus que ses éléments sont mobiles. La sécurité du système d’information est souvent considérée comme électronique, avec des mots de passe, des firewalls, des VPN… mais qu’en est‐il si on peut placer un keylogger en toute discrétion ou récupérer directement les informations à la source ? Quel risque courez‐vous en laissant votre ordinateur dans votre voiture, votre coffre‐fort, votre bureau ?
Cette conférence vous apporte les « clés » de l’intrusion physique et les méthodes forensiques pour les détecter. Vous ne verrez sûrement plus vos serrures de la même manière…
Alexandre TRIFFAULT, Co‐gérant, OFC (Outillage – Formation – Conseil en ouverture fine et destructive)
Télécharger la présentation :
Objets connectés et protection de vie privée : l’impossible accord ?
L’ère des objets connectés n’a jamais été si proche : maison connectée permettant de tout contrôler à distance ; vêtements connectés enregistrant nos signaux vitaux ; bracelets connectés permettant de mesurer le nombre de pas ou les calories dépensées… L’ensemble des données collectées via ces objets connectés représente une manne pour les entreprises qui les détiennent mais leur usage soulève de nombreuses questions quant à la compatibilité avec la vie privée des personnes concernées, alors même que celles-ci consentent le plus souvent et participent au transfert de données. Le développement des objets connectés et des données y afférentes laissent-ils encore la place à une vie privée ? Les outils juridiques existants permettent-ils d’assurer une protection effective de la vie privée ?
Ce sont quelques questions auxquelles nous tenterons d’apporter une réponse au travers de la communication proposée. Après avoir relevé les risques juridiques générés par la collecte et l’utilisation des données connectées, nous nous intéresserons aux moyens juridiques de protection de la vie privée, avant d’en préciser les limites et d’envisager les possibles évolutions des textes applicables.
Rose-Marie BORGES, Maître de conférences en droit privé, Université d’Auvergne, Centre Michel de l’Hospital
Télécharger la présentation :
La gestion de crise IT/SSI
En dépit de toutes les mesures proactives mises en place, une organisation subit des incidents de sécurité. Parfois même, ces incidents de sécurité peuvent prendre une telle ampleur qu’ils sont susceptibles de dégénérer en véritable crise IT/SSI : impacts potentiellement graves, nécessité d’agir dans l’urgence, aucune certitude sur l’évolution des évènements, etc. Dès lors, il convient d’avoir une organisation structurée et réactive pour pouvoir y répondre efficacement.
HSC vous propose une présentation sur la gestion de crise IT/SSI. Nous préciserons le vocabulaire et les concepts, les influences et les passerelles entre les différents domaines : sécurité, inforensique, continuité d’activité et gestion de crise opérationnelle. Nous ferons également un retour d’expériences sur des structures de gestion de crise SSI et sur la réalisation d’exercices sur la base de scénarios.
Thomas LE POETVIN et Mikaël SMAHA, Consultants en Sécurité de l’information, HSC
Télécharger la présentation :
La quête du code source maintenable, fiable et sécurisé
En termes d’analyse du code source, chacun a ses petites habitudes, sa boîte à outils, ses processus, bref… la diversité est de rigueur. Mais savons-nous seulement précisément ce que nous cherchons à obtenir ? A quoi bon sécuriser un code source « pourri » ? Jusqu’où peut-on réellement aller en termes de sécurisation du code source en mode boîte blanche ? Dans cette quête du code source maintenable, fiable et sécurisé, est-il seulement envisageable de mettre en place un processus efficace et bon marché ?
Sébastien GIORIA, French OWASP Leader, OWASP France
Télécharger la présentation :
Exploitation de failles de sécurité. Démonstrations et présentations pratiques de l’ARCSI
Laurent CHOURAKI, ARCSI, et Renaud LIFCHITZ, ARCSI, Oppida
Musclons notre imagination grâce à l’analyse contextuelle du risque
Autant notre imagination nous amène à innover et à inventer de nouvelles fonctionnalités et de nouveaux usages « légitimes » dans le numérique, autant elle nous fait cruellement défaut dès lors qu’il s’agit de « scénariser » des détournements de processus et de flux métiers à des fins malveillantes et criminelles.
Cette présentation s’attache à présenter plusieurs techniques à même de « muscler » notre imagination en remettant de la clarté sur les flux de données, se dotant ainsi de capacités visuelles et collaboratives pour analyser les impacts et les risques de manière contextuelle et pour effectuer des simulations d’intrusion.
Hadi EL-KHOURY, Conseiller et formateur en cybersécurité, O’SERVICE2 SEKIMIA, ISSA France
Télécharger la présentation :
Mobilité et Sécurité, peut-on encore espérer faire coexister ces deux concepts ?
Quelle définition en 2015 pour la mobilité ? Téléphone, SMS, navigation Internet, messagerie Internet, services en ligne, réseaux sociaux, paiement mobile/sans contact, santé, domotique… Quand s’arrêtera l’évolution du mobile dans nos vies ? Peut-on objectivement échapper aujourd’hui à la mobilité dans l’entreprise, dans nos vies privées ? Nous évoquerons lors de cette conférence tant les enjeux révélés par les nouveaux usages que l’intérêt suscité pour l’écosystème de la mobilité pour tous ceux qui y voit un « eldorado » d’opportunité, pas toujours celles auxquelles on s’attend.
Jean-Marc GRÉMY, Vice-Président du CLUSIF et Fondateur de Cabestan Consultants
Télécharger la présentation :
Touch-ID, Authentification mobile et OAuth, Quelle confiance vis-à-vis de ces nouveaux mécanismes ?
Basé sur des retours d’expérience d’audit et de mise en œuvre de services de sécurité mobile, cette conférence a pour objectif d’animer une réflexion sur le niveau de confiance à accorder vis-à-vis des nouveaux mécanismes d’authentification sur mobiles : Quels sont les réels enjeux de sécurité liés aux nouvelles méthodes d’authentification sur mobile ? Quelle démarche adopter pour une mise en œuvre adaptée aux besoins métiers et utilisateurs ? Guillaume Coindet, architecte SSI chez HARMONIE TECHNOLOGIE, présentera une analyse des mécanismes d’authentification sur mobile représentatifs des tendances actuelles, ainsi que des scénarios d’attaques ciblées et des bonnes pratiques pour concevoir des stratégies de sécurité en adéquation avec les attentes métiers/utilisateurs.
Guillaume COINDET, Architecte SSI, Harmonie Technologie
Télécharger la présentation :