[ PROGRAMME DES GSDAYS 2023 ]

8h30 - 9h : Accueil et petit déjeuner

9h00 - 10h30 Conférence plénière « La notation des sous-traitants, de l’externalisation et l’impact sur les directions générales ? Quid de la sécurité des produits de sécurité ? »
Lors de cette conférence l’accent sera mis sur les problématiques des agences de notation, de l’amélioration du niveau de sécurité des sous-traitants, des services externalisés… mais aussi de la sécurisation des solutions de cybersécurité qui seront abordées à la fois sous un angle technique, organisationnel et juridique. Outre un état des risques et des menaces, l’objectif sera notamment de donner quelques clés permettant aux entreprises d’améliorer leur posture en matière de cybersécurité. Quels impacts ont les agences de notation sur les décisions des Comex en matière de cybersécurité ? Comment élaborent-elles leurs systèmes de notation ? Quid de la souveraineté lorsque la plus part d’entre-elles sont hors de l’Europe ? Les labels, notation des cabinets spécialisés et autres certifications sont-ils suffisant pour inspirer la confiance en des outils de sécurité ? Cette année les retours d’expériences seront aussi à l’honneur
Animée par Haude Costa, CEO d’InterCert France avec Arnaud Martin administrateur du CESIN, Jérôme Notin, DG de www.cybermalveillace.gouv.fr, Gerulf Kinkelin, animateur du GT Scoring Cyber au Clusif

10h30 - 11h : Pause café

11h – 11h50

DORA ou la montée en gamme du Third Party Risk Management pour tous
Par Damien LACHIVER – Senior Manager Wavestone Cybersecurity – et Gérôme BILLOIS – Partner Wavestone Cybersecurity
L’objectif de cette présentation est de proposer une analyse sur la gestion des risques liés aux tierces parties, en particulier à travers les exigences du Digital Operational Resilience Act (DORA) pour le secteur financier et comment ce texte peut inspirer des actions et de bonnes pratiques pour tous les secteurs.
La présentation débute par la remise en contexte de la menace et l’approche historique de la gestion du risque tierces parties. Dans un premier temps, nous revenons sur les attaques emblématiques qui ont tiré parti de la supply chain pour compromettre des organisations par rebond. Ces dernières ont fait prendre conscience collectivement du risque croissant qu’elle pouvait représenter. Nous introduisons ensuite, d’un point de vue général, la réglementation DORA et le contexte dans lequel elle s’inscrit au sein de l’UE.
La présentation propose ensuite de se concentrer sur les exigences du chapitre V du règlement européen DORA pour le secteur financier et ses prestataires de service. Si ce règlement est sectoriel, il permet néanmoins d’illustrer un changement de paradigme et d’approche dans la relation avec les tierces parties qui influera sur tous les écosystèmes. L’objectif est de montrer comment DORA préconise concrètement de renforcer la collaboration avec ses tiers pour viser une augmentation substantielle de son niveau de résilience opérationnelle. L’idée majeure est d’aller au-delà d’une gestion purement contractuelle pour aller vers une vraie maitrise du risque.
Un premier focus revient sur les nouvelles approches de gestion du risque tierces parties et les nouvelles actions prises ou à prendre dans ce cadre avec des retours d’expérience terrain. L’objectif est à la fois de comprendre les changements à venir dans les relations entre clients et prestataires de services et de permettre à ces derniers d’anticiper les nouvelles attentes à venir de la part de leurs clients. Cette partie sera autant utile aux RSSI qu’aux fournisseurs de services.
Un second focus adresse plus particulièrement la mise en œuvre de stratégies de sortie vis-à-vis de ses tiers. Si des clauses et principes de réversibilité sont classiquement définis dans le cadre des prestations de service, les dispositifs envisagés ne permettent souvent pas de couvrir la perte brutale du service rendu par un tiers (par exemple cyberattaque touchant le fournisseur, mais aussi arrêt des communications décidé le client en cas de doute cyber). Cela demande donc un travail dédié pour identifier des solutions alternatives. Cette partie présente différentes solutions et stratégies visant à couvrir le risque de défaillance de ses tiers critiques.

Restriction d’accès à internet, quand la Loi multiplie les cas
Par Olivier Iteanu, Avocat à la Cour et Chargé d’enseignement à l’Université de Paris I Sorbonne
Blocages de l’accès, retraits, déréférencements, on assiste depuis quelques temps, à la fois à l’initiative du Parlement français mais aussi de l’Union Européenne, à une multiplication des cas où un juge et, surtout et de plus en plus, une administration ou autorité administrative, ont obtenu le droit de décider unilatéralement d’une restriction d’accès à internet. Catalogue des cas désormais effectifs et réflexions sur une évolution de la Loi et de la réglementation appliqués à l’espace numérique.

DEMONSTRATION SCALITY A VENIR

11h55 – 12h45

L’intelligence artificielle en cybersécurité, en fait ça fonctionne bien
Par William RITCHIE, • CTO et Docteur en Intelligence Artificielle et un client
Face à la transformation digitale et à la multiplication des objets connectés, sans IA en cybersécurité, les entreprises ne passeront pas l’étape. D’autant que les attaquants trouvent à présent en l’intelligence artificielle une arme redoutable. Nous entrons donc dans le jeu de “IA contre IA”, qui gagne ? Pour contrer ces cyberattaques qui deviendront de plus en plus complexes et difficile à détecter, il devient indispensable pour les organisations de s’équiper de solutions spécialisées bâties autour de l’intelligence artificielle.
Cette conférence proposera en outre le témoignage d’un client de Custocy.

"Exemple pratique d’attaque et de détection par le SOC" chez Hermes
Par Wojtek SOCHACKI, Analyste CERT – Responsable Detection SOC Hermes et Yann Ferrere Responsable pentest/redteam interne SOC Hermes
"Assistez à une reconstitution d’attaque informatique en direct, où un « red teamer » mènera une offensive. Sur grand écran, vous verrez chaque commande exécutée par l’attaquant ainsi que les alertes générées pour la blue team par ces comportements suspects grâce à un SIEM. Au cours de cette démonstration, vous découvrirez les tactiques utilisées par les attaquants ainsi que les méthodes employées par une équipe SOC pour les détecter. Ne manquez pas cette opportunité de comprendre comment protéger vos systèmes contre les menaces informatiques."

Cybersécurité et smart building
Pour une digitalisation bâtimentaire réussie Par Jean-Christophe Denis, Architect, Urbanization director chez WALLIX
L’objectif n’est pas de démontrer que la cyber sécurité est importante.
La sécurité des bâtiments est déployée pour protéger les infrastructures et les données
comme dans les S.I de gestion ou traditionnels. Ce qui change, c’est la prise en compte
de la sécurité des personnes. Sécuriser les données des personnes c’est sécuriser les personnes.
Des choses graves peuvent arriver, comme le blocage des hôpitaux dont il a été fortement question hélas dans les actualités. Ou des mairies.
Que faire et comment le faire ? Comment aborder le sujet ?
La présentation propose en première partie, sur la base du livre blanc de la SBA, et sur les expériences de Wallix, de faire un tour d’horizon sur les enjeux, les méthodes, les référentiels et les technologies disponibles.
Parmi les sujets traités :
 Etude de risque
 Plan projet
 Architecture
 Référentiels et conformité ...
Dans un deuxième temps, nous présentons un cas en production (anonymisé bien sûr) afin de voir comment on applique la théorie et de prouver qu’il est possible de faire beaucoup de choses afin de diminuer très fortement le risque (en gardant en tête que le risque 0 n’existe pas) avec des moyens raisonnables. L’objectif est de démontrer que la cyber sécurité est indispensable.

12h45 - 14h15 : Déjeuner assis

14h15 – 15h05

« L’apport des certifications sur la qualité des produits de cybersécurité : REX de 20 ans d’une stratégie d’entreprise »
Par José Lavancier - Directeur de Projets, Julian Lelièvre - Responsable Innovation, PRIMX
L’apport des certifications sur la qualité des produits de cybersécurité : REX de 20 ans d’une stratégie d’entreprise
La qualité et la sécurité intrinsèques des solutions de cybersécurité ne peuvent être évaluées de manière rigoureuse que par des organismes certifiés et indépendants. Les labels obtenus garantissent aux utilisateurs et aux RSSI une confiance forte dans la protection de leurs données sensibles en assurant une défense solide face aux menaces croissantes. Cette présentation détaillera l’adéquation des différents Visas de sécurité face aux besoins de conformité imposés par différentes réglementations (NIS/NIS2/RGS/LPM/eIDAS/DORA/...).
Les intervenants décriront les exigences fortes que cette stratégie de certification impose sur les processus internes de développements des logiciels, la sécurité de la chaîne d’approvisionnement logicielle, les contrôles qualité, la documentation technique et naturellement sur les produits eux-mêmes et leur sécurité.

Sécurité des applications mobiles iOS
Par Zakaria BRAHIMI, Verizon
À travers ce point de sensibilisation, dédié aux organismes et aux particuliers, seront clarifiées les vulnérabilités communes impactant les applications mobiles iOS. Des scénarios d’attaques réels seront présentés afin d’aider les organisations et les utilisateurs finaux à comprendre les risques associés à ces vulnérabilités. Ce sera aussi l’occasion de discuter des moyens de protection qui sont à disposition et qui permettent d’endiguer/d’atténuer ces vulnérabilités.

DEMONSTRATION ALLENTIS A VENIR

DEMONSTRATION STORMSHIELD
Matrice MITRE, entre illusion et désillusion.
Avec son exhaustivité en matière de surfaces, de phases et de types d’attaques, la matrice MITRE ATT&CK constitue l’outil de prédilection pour identifier, analyser et remédier à une cyberattaque. Quand il est détourné à des fins marketing par les éditeurs de cybersécurité, cet outil peut parfois amener son lot de désillusions.
Par Manuel Jordan, Product Marketing Manager chez Stormshield, vous invite à découvrir les clés de lecture pour bien comprendre les tenants et aboutissants de cette matrice.

15h10 – 16h
« La souveraineté : une réponse pour quel(s) risque(s) ? »
Par Marie-Odile CRINON, administratrice du CLUSIF et Présidente fondatrice du Cabinet MRC2 »
Souveraineté alimentaire, souveraineté pharmaceutique, souveraineté militaire, souveraine numérique… La souveraineté est au cœur des débats depuis la crise du COVID et la guerre en Ukraine. Quels sont les enjeux dans le domaine digital ? La souveraineté numérique renforce-t-elle les exigences du modèle DICP ?
Le risque de capture des données par des puissances étrangères est-il vraiment avéré ? Que permettent des législations comme le Cloud Act ou le Patriot Act aux USA ou la récente loi sur la sécurité des données en Chine ? Que disent les chiffres publiés régulièrement par les principaux acteurs du Cloud ?
Face à ce risque, des entreprises reconsidèrent leur méthode et leurs outils de gestion et de protection des données. Quelles solutions s’offrent à elles ?
Cette présentation s’appuiera sur des retours d’expérience du monde de l’entreprise pour illustrer les enjeux et les solutions.

Informatique Quantique & Chiffrement : où en est-on, vraiment ?
Par Jérémie Rodon
L’Informatique Quantique est l’objet de tous les espoirs, avec la promesse de révolutionner un large
panel de domaines, de la finance à la physique des matériaux, en passant par la recherche de
médicaments… et la destruction de nos crypto-systèmes actuels.
Mais où en est-on réellement ? Parle-t-on d’échéances en années comme certains l’avancent, ou
plutôt de décennies voire de siècles ? Comment se faire sa propre opinion sur un sujet si
éminemment technique et apparemment hors de portée du commun des mortels ?
Lors de cette session, je vulgariserai les principaux concepts de l’informatique quantique et son
fonctionnement général pour donner à chacun les clés de compréhension permettant d’analyser les
nombreuses annonces sur le sujet.

16h - 16h30 : Pause café

16h30 – 17h20

LES DEMONSTRATIONS DE L’ARCSI
à venir

La gestion optimisée des obligations RGPD dans la
sous-traitance, en phase de build et de run.
Par VATIAN Emilia, Consultante experte Sécurité et GDPR, Orange Cyberdefense
5 années après l’entrée en application du RGPD, l’externalisation de tout ou partie d’une activité
auprès d’un prestataire doit avoir fait l’objet d’un processus de mis en conformité Cela passe par une
revue contractuelle pour les contrats en cours et l’intégration de nouvelles obligations pour les nouveaux
contrats dès lors que l’objet du contrat est concerné par le RGPD
Nous
nous proposons d’aborder les obligations d’un point de vue théorique et de revenir ensuite sur les
mises en pratiques que nous avons constatées et enfin de proposer des méthodologies pour optimiser les
actions répondant au principe d’ accontability Pour ce faire nous nous appuyons sur les diverses
expériences des intervenants à la fois en tant que DPO, DPO externalisés, consultants experts RGPD et
sécurité, et auditeurs.

17h25 - 17h45 Conférence de Clôture : Invité surprise

17h45 - 19h00 Cocktail de clôture

- Pour vous inscrire cliquez ICI