Actes de Conférence - Édition 2017
- 20 novembre 2017
- Actes de conférence
Voici les actes de conférence de la 9ème édition des GS Days, Journées Francophones de la Sécurité de l’Information, qui s’est tenue le 28 mars 2017 à l’Espace Saint-Martin, Paris 3ème.
8h30 – 9h : Accueil et petit déjeuner
9h – 10h30 : Conférence Plénière : Quelle protection des données en Europe et ailleurs ? Et quelle confiance doit-on accorder à ces données ? (AUDITORIUM)
Les données font actuellement l’objet de toutes les convoitises. Elles représentent un business juteux pour l’économie et servent les intérêts des entreprises comme des acteurs malveillants peu scrupuleux… Elles se trouvent également au cœur d’enjeux de pouvoir, servant à asseoir la domination des États, lobbys et terroristes en tous genres… Toutefois, les solutions se multiplient et les réglementations se durcissent en France, en Europe et dans le monde, en vue d’endiguer ces dérives et de renforcer leur protection. Quels impacts ces différentes alternatives auront-elles sur la sécurité de nos données, entreprises comme citoyens ? De plus, des données sécurisées sont-elles pour autant de confiance ?…
Table ronde avec Gwendal LE GRAND, Directeur des technologies et de l’innovation, CNIL, Patricia LE LARGE, Group Data Protection Officer, Orange, et Henri D’AGRAIN, Secrétaire Général du CIGREF
Modérateur : Hervé SCHAUER, Associé, HSC by Deloitte
10h30 – 11h : Pause café
11h – 11h50 :
Brexit, Privacy Shield et RGPD : pourquoi faire simple quand on peut faire compliqué ? (AUDITORIUM)
Au milieu des incertitudes liées au Brexit et au Privacy Shield, nous discuterons des bonnes pratiques pour aborder ces questions épineuses dans le contexte de la mise en conformité de vos traitements avec le nouveau règlement européen de protection des données personnelles.
Maître Annabelle RICHARD, Avocate, Cabinet d’Avocats Pinsent Masons LLP
Sécurisation des APIs : quoi, pourquoi & comment ? (SALLE KARNAK)
Les APIs envahissent aujourd’hui toutes les entreprises. Elles sont essentielles dès que l’on parle de transformation numérique, d’objets connectés, d’ouverture des données bancaires ou encore de partage de données de santé. Pour répondre à la question de la sécurité des APIs, OAuth est devenu la réponse « fourre-tout » ! Mais derrière cette bannière se cache en fait une myriade de standards et de spécifications plus ou moins avancés.
Cette intervention permettra de décrypter ce contexte mouvant, mais aussi de partager nos retours d’expériences et les bonnes pratiques de sécurisation d’APIs en fonction des cas d’usages rencontrés : applications mobiles, applications Web client-side, API partenaires, architecture micro-services, API partagées clients/employés, etc.
Bertrand CARLIER, Manager au sein de l’entité Digital Identity & Trust, et Gérôme BILLOIS, Senior Manager – Wavestone
Télécharger la présentation :
11h55 – 12h45 :
Crypto Monnaies : exploration du Côté Obscur (AUDITORIUM)
Le paiement anonyme, pour certains un droit fondamental, une forme d’anarchie insupportable et un outil de choix pour les cybercriminels, a fait un grand bond en avant dans les derniers mois avec la sortie de Z.Cash en novembre 2016. Dans cet exposé, nous allons porter notre attention sur des techniques d’anonymisation beaucoup plus simples, telles que Stealth Address, qui puisent leurs racines dans les techniques de key management. Cette technique permet déjà d’émettre des paiements tels que strictement aucune information pouvant être utilisée pour identifier le destinataire n’apparaît dans la blockchain du bitcoin. Ainsi nous allons montrer que des transactions financières anonymes peuvent se cacher aux yeux de tout le monde dans un système que l’on considère à tort comme offrant une bonne traçabilité.
Nicolas T. COURTOIS, enseignant-chercheur à University College London, Docteur en Cryptographie de l’université Paris 6
Télécharger la présentation :
Obligations de notifications des violations de données et des incidents de sécurité, comment s’orienter dans le labyrinthe des textes applicables ? (SALLE KARNAK)
Différentes réglementations récentes (GDPR, NIS, DSP2, la loi de programmation militaire, etc.) imposent aux entreprises de notifier des incidents de sécurité à différentes autorités. Le périmètre de ces incidents comme leurs modalités varient d’un texte à l’autre augmentant d’autant le risque de sanction financière et le risque d’image associé. Ce constat contraint également juristes et spécialistes de la sécurité des systèmes d’information à jongler entre ces différentes réglementations, parfois difficiles à articuler.
Cette présentation vous permettra de vous repérer dans ce « mille-feuille » législatif, d’identifier des points de convergence et de divergence et des points d’attention.
Aurélie BANCK, Juriste spécialisée en matière de protection des données, DPO, BNP Paribas
Télécharger la présentation :
12h45 – 14h15 : Déjeuner
14h15 – 15h05 :
Retour d’expérience d’une décennie de pentests et de réponses aux incidents : comment améliorer sa phase de détection (AUDITORIUM)
Basée sur 10 années de tests d’intrusion et de réponses aux incidents, cette présentation vous propose de revoir des méthodes efficaces afin d’améliorer la phase de détection des incidents de sécurité au sein de votre SI. Une première partie présentera des méthodes liées aux outils/techniques utilisées par les pentesters et attaquants et sera suivie d’une revue des campagnes d’attaques récentes.
Julien BACHMANN, CTO, Hacknowledge
Télécharger la présentation :
Blockchain et sécurité : applications à la banque et l’assurance (SALLE KARNAK)
Cette présentation, plutôt que de présenter une nouvelle fois ce qu’est la blockchain, se focalisera uniquement sur ses aspects pratiques et concrets, et sur toutes les problématiques de sécurité pouvant naître de son utilisation. Ainsi, nous parlerons de ses intérêts et applications aux secteurs bancaires et de l’assurance, à travers des « uses cases », des présentations de projets actuels, du concept d’oracle pour interagir avec le monde réel, et des démonstrations concrètes, réalisées en session, de contrats intelligents agissant selon des indicateurs économiques. Les aspects sécurité seront abordés en détails avec une analyse des enjeux et des risques, une revue de la faille de sécurité de « The DAO » (la plus grande levée de fonds collaborative jamais réalisée : 150 millions de dollars), l’importance du choix de la technologie blockchain dans la sécurité, du choix du langage de développement des « smart contracts », ainsi que des bonnes pratiques techniques et fonctionnelles de sécurité pour garantir un haut niveau de confiance dans la technologie.
Renaud LIFCHITZ, Expert sécurité, Digital Security
Télécharger la présentation :
15h10 – 16h :
Cybersécurité et GDPR : projet transverse à la renverse (AUDITORIUM)
Outre sa complexité technique, le processus de mise en conformité au règlement européen de protection des données personnelles est typiquement une opération complexe sur les plans organisationnel et méthodologique, compte tenu du nombre de profils et métiers, parties prenantes au projet.
Quelle méthode est employée pour localiser les données personnelles ?
Comment les métiers non professionnels de sécurité appréhendent la protection des données et les menaces d’un point de vue de cybersécurité ?
Cette conférence s’adresse directement aux porteurs de ce projet transverse par nature, sous forme d’atelier interactif et aura comme objectif de présenter un panel exhaustif d’outils méthodologiques avec un cas client en fil rouge.
Diane RAMBALDINI & Hadi EL KHOURY, membres de PRIV’IMPACT
Télécharger la présentation :
Sécurité des données d’un domaine Microsoft (SALLE KARNAK)
De la petite entreprise au grand groupe international, l’univers Microsoft reste très présent dans le SI. Des données sensibles (stratégiques autant que personnelles) ont donc de fortes chances d’y transiter. Nous décrirons plusieurs techniques classiques de compromission d’un AD qui permettent d’atteindre ces données, puis nous présenterons un retour d’expérience sur les vulnérabilités que nous rencontrons le plus régulièrement chez nos clients. Enfin, nous proposerons un plan de remédiation type qui a fait ses preuves et qui permet d’améliorer la sécurité des domaines Microsoft suivi dans le temps.
Alain SCHNEIDER et Sylvain LECONTE, Co-fondateurs de COGICEO
Télécharger la présentation :
16h – 16h30 : Pause café
16h30 – 17h20 :
Démonstrations d’exploitations de failles de sécurité et présentations pratiques – ARCSI (AUDITORIUM)
Ecoute sur des infrastructures ouvertes d’objets connectés
Interception de frappes de touches sur un clavier sans-fil
Ecoute sur un protocole LPWAN
Prise de contrôle de mini-drones
Renaud LIFCHITZ, membre de l’ARCSI, & Damien CAUQUIL – Experts sécurité, Digital Security
Préparer un PIA (Privacy Impact Assessment) – (SALLE KARNAK)
A compter du 25 mai 2018, date d’application effective du RGPD (Règlement général sur la protection des données), les organismes devront avoir mis en place un processus de PIA (Privacy Impact Assessment) susceptible de s’appliquer à tout projet impliquant des données personnelles. Or, la création d’un tel processus, opérationnel et adapté à son organisme, peut se révéler complexe.
Cette conférence propose une approche pragmatique du PIA. Après un rappel des exigences du Règlement en matière d’analyse d’impact et une synthèse des principaux référentiels existants, les étapes et des éléments essentiels d’une analyse d’impact sur la vie privée sont présentés. L’intervention permet de répondre aux questions suivantes :
Dans quels cas un PIA est-il obligatoire ? Quels sont les critères pertinents pour réaliser cette étude préalable ?
Qu’est-ce qu’un risque vie privée ? Comment le valoriser ?
Comment articuler l’appréciation des risques et l’étude de conformité du projet ?
Quels sont les éléments essentiels du rapport de PIA ?
Dans quels cas la consultation de l’autorité de contrôle est-elle requise ?
Amélie PAGET et Jean CHERIN, Consultants juridiques chez HSC by Deloitte
17h25 – 18h15 : Comment relever le défi de la cybercriminalité dans mon organisation, en restant dans les limites de la loi ? (AUDITORIUM)
La société JeRisposte a subi des cyberattaques qui ont mis en péril ses affaires et affecté la confiance que lui portaient ses clients. Le patron de JeRiposte décide de se venger, en contre attaquant mais en restant dans les limites de la loi. Il pense savoir que les attaques viennent du patron de la société Jattaque, un de ses concurrents. Preuves en main, et accompagné de sa directrice de la communication, il va voir son avocate.
Suit un dialogue entre le patron de JeRiposte, la directrice de la communication qui expliquent la situation et l’avocate qui fournit des conseils juridiques sur ce qu’il faut faire et surtout ce qu’il faut ne pas faire pour éviter de se mettre hors la loi en contre attaquant et être accusé à son tour. Un coup de théâtre intervient alors avec l’arrivée du patron de Jattaque.
Pièce de théâtre avec Maître Céline BARBOSA, Avocat à la cour, Henri D’AGRAIN, Vice-président du CHECY, Béatrice LAURENT, Secrétaire générale du Carré des Entrepreneurs, et Gérard PELIKS, Président de l’association CyberEdu.
18h15 – 19h15 : Cocktail de clôture