2. Sommaire
14/09/2015 2
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humour
• L'intérêt pour Techsys
• Références
3. Sommaire
14/09/2015 3
• Les conférences généralistesLes conférences généralistes
• Les conférences techniques
• Un peu d'humour
• L'intérêt pour Techsys
• Références
4. Les conférences généralistes
14/09/2015 4
• Présentation du FIC
– Créé par les gendarmeries et le conseil régional
– 778 pays, plus de 4000 visiteurs (1000 de plus qu'en 2014)
– La métropole Lilloise s'est dotée d'un cluster économique
• Thématiques 2015
– Attention aux menaces sécuritaires : attention aux mots, la guerre (violence létale) / guerre
de l'information [1]
– Tyrannie libertaire (attentats de janvier)
– Faut-il réinventer la sécurité ? « le rôle de l'info n'est pas estimé dans la gestion de nos
intérêts. L'info est la matière et l'énergie d'hier. » [2]
5. Les conférences généralistes
14/09/2015 5
• Thématiques 2015
– Modèle économique à trouver, la sécurité n'est pas gratuite ! « There ain't no such thing as
a free lunch » [3]
– Besoin d'un label de qualité dans le développement logiciel
– Besoin d'une définition d'un droit de l'internet (actuellement, comparable au droit maritime)
– Besoin d'explication à apporter aux DSI : « on investit pas dans quelque chose qu'on ne
comprend pas »
●
Y'a t'il trop d'administrateurs des Systèmes d'information ?
●
Une application peut avoir une durée de vie de 40 ans !
●
Avantage concurrentiel selon la loi de l'offre et de la demande
– Évolution de la loi de programmation militaire [4]
– Besoin d'un permis d'usage d'internet [5]
– Création d'un Cloud Franco Allemand sécurisé
– Euratechnologie est un leader de la French Tech [6]
6. Les conférences généralistes
14/09/2015 6
• Les nouveaux métiers de la cybercriminalité
– Attention à garder l'humain au cœur de la sécurité (objectif : éviter la fraude au président
[7], un des cas les plus fréquents)
– Tous les métiers doivent monter en compétences : besoin d'expertise technique, juridique,
sociale et économique
– Besoin de formation : B2I, création d'une cyberattitude
– Les normes apportent de la contrainte, par la peur (afin de diminuer les risques sur la
responsabilité civile ou pénale)
• Cybersécurité et transformation numérique
– Besoin d'effectuer des crash-test de sécurité informatique (souvenir du bug informatique
ayant impacté les impressions [référence à fournir])
7. Les conférences généralistes
14/09/2015 7
• Sécurité et Big Data (nouvelles formes de SIEM)
– Aujourd'hui on détecte les conséquences d'une attaque, demain, on pourra la prévoir
– Un des métiers d'avenir : le mathématicien « métier », le « Data Scientist » [8]
– L'important, ce n'est pas la donnée, c'est l'usage qu'on en fait
– Splunk a vendu son produit ….
8. Les conférences généralistes
14/09/2015 8
• Comment créer la confiance numérique
– Qu'est-ce que la confiance : compétence, bienveillance, intégrité pour les citoyens, l’État, les entreprises
– Exemple de la lettre recommandée avec accusé, document absolument pas sécurisé, et pourtant cité
dans le code du commerce, du travail, etc …
●
Passage d'une confiance morale à une confiance légale ?
– Pour avoir confiance, il faut pouvoir faire un choix, simplement (exemple des CGV de 100 mots max)
– À contre courant de notre société de défiance (cf dernière campagne électorale pour les présidentielles)
– Il manque un arbitre : un juge
– Il faut transcrire en droit local les directives européennes
– Émergence d'un nouveau marché économique : les solutions étiques, de confiance
– Rappeler qu'une entreprise n'a pas le droit de position dominante, ce n'est pas elle qui inspire confiance
=> l’État se doit d'être exemplaire [9]
– C'est l'utilisateur qui décide à qui il accorde sa confiance
●
En 2010 on parlait de l'homogénéité de GYM (Google, Yahoo, Microsoft)
●
En 2015, on parle de GAFA (Google, Apple, Facebook, Amazon)
●
En quelques années, fortes transformations, un acteur économique disparu
10. Les conférences généralistes
14/09/2015 10
• Règlement européen sur la protection des données personnelles :
quelles conséquences ?
– Le Texte n'est pas encore adopté [10]
– Définition d'une donnée personnelle (nom, mail, etc ….)
●
Droit à l'oubli et son contrôle (liberté d'expression, ...)
– Réglementation commune à plusieurs pays
– Ajout d'une partie « Notification » de la part de l'opérateur via son Data Chief Officer
●
C'est le « super » CIL existant
●
Il est juridiquement responsable personnellement
– Ajout d'une partie « responsabilité conjointe » du sous-traitant
– Besoin de créer des applications « Privacy By Design »
– Besoin d'ajouter la portabilité et l'interopérabilité des données personnelles chez les
opérateurs => marché économique à développer
– Impact sur la loi Hamon sur une action de type « deep pocket » [11]
11. Sommaire
14/09/2015 11
• Les conférences généralistes
• Les conférences techniquesLes conférences techniques
• Un peu d'humour
• L'intérêt pour Techsys
• Références
12. Les conférences techniques
14/09/2015 12
• Sécurité dans le Cloud
– Une conférence commerciale avec pour seuls objectifs :
●
Vendre des sondes Qualys dans un cloud public ou privé
●
Vanter les mérites de la cloudification des infrastructures
– Aucun intérêt technique réel
• Démanteler un réseau de botnets
– Description d'un réseau via le principe
●
Infection, protection, activation, propagation, activation du service
●
schéma du NCA imparable sur Cryptolocker [12] (à googliser)
– Quelques éléments juridiques sur la méthode (remontée d'IP rien de plus), bien
évidemment des difficultés inter polices via EuroJust quand c'est possible
●
Pas de risque pour l'hébergeur du botnet [13]
●
Besoin d'être protégé AVANT via une Politique de Sécurité du Système
d'Informations [14] qui prévoit ces risques et les conduites à tenir (techniques,
juridiques, communications, etc ….)
13. Les conférences techniques
14/09/2015 13
• Prévenir et détecter une fuite d'information
– Distinction de du dark web (mafia, drogue, armes) du deep web (légal mais non indexé)
– Définir la valeur d'une donnée à l'intérieur et à l'extérieure de l'entreprise (classification),
notamment une donnée cliente à comparer à l'ensemble des données clients
●
Des données sensibles pourront être transmises à des entités tierces (exemple le
régulateur américain FED / Réserve Fédérale des États-Unis)
●
Des données peuvent être abandonnées (clouds, entreprises, ...) et voir leur valeur
changer au fil du temps
●
Ou être transformées (BYOD, prestataires, dématérialisation, ….)
– L'humain est la principale faille [15]
●
Notion d'intrusion consentie (obligée de donner une information personnelle)
– Pas de solution technique miracle mais il existe des produits pour à peu prêt tout
●
USB, utilisateurs, métrologies diverses => connaître le normal pour identifier
l'anormal
●
Traçabilité de rigueur : audit, chiffrement, rétention
14. Les conférences techniques
14/09/2015 14
• Bruce Schneier, la réponse à un incident, avenir de la sécurité
– [16] : un spécialiste a priori très technique, mais pas sur cette présentation
– Sa performance : obtenir un passeport en 2 h pour venir au FIC !
– Mise en garde contre les données à la main des GAFA
– Mise en garde contre la Cyber Guerre révélée par E. Snowden (USA vs Chine, Inde vs Pakistan, etc ….)
– De plus en plus de régulation d'Internet : (la sécurité d')un pays est un marché :
– « Big get bigger »
●
Copier un meuble coûte de l'argent, pas un logiciel !
●
Changer de solution coûte de l'argent (pas comme passer de Coca Cola à Pepsi)
●
Développe le « Market For Lemons » [17]
●
Revendique le besoin de plus d'humains pour maîtriser les technologies (Sony, Target, un aéroport
quelconque …)
– Développe le principe OODA [18]
●
Observer, s'Orienter, Décider, Agir (ou pas)
16. Sommaire
14/09/2015 16
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humourUn peu d'humour
• L'intérêt pour Techsys
• Références
17. Un peu d'humour
14/09/2015 17
• Vu et entendu
– Un discours appuyé et gratifiant pour les services du ministères de la part de B. Cazeneuve (et même un
fayot qui applaudi tout seul). Discours fédérateur suite aux attentats. Annonce du succès de PHAROS
[19]
– « Le goodies 2015, c'est le chargeur de téléphone, j'en ai 5 ! »
– « Alors, quels nouveaux produits avez-vous ? »
– « On dirait que notre société n'attire pas les jeunes, je ne sais plus quoi faire »
– « Ras l'bol des commerciaux »
– « Ça ne sert à rien d'être présent, mais il faut absolument y être »
– Des radicaux djihadistes ont utilisé le tag #fic2015 sur twitter durant la blague « graffiti » pour se donner
de la visibilité
– On appelle une Secrétaire d’État « Madame la ministre », « c'est le protocole ! »
– Bruce Schneier, c'est le seul conférencier en chemise hawaïenne avec son visage projeté : un moyen de
ne pas avoir les regards braqués sur lui ?
18. Un peu d'humour
14/09/2015 18
• Quelques erreurs faites ou repérées
– Flasher un code pour l'application mobile FIC2015
– Laisser le wifi / bluetooth activé sur le salon
– Rédiger des mails depuis un laptop sans filtre « privacy »
– Laisser ses papiers d'identité sur la table (CNI, passeport, ….)
19. Un peu d'humour
14/09/2015 19
• Petites phrases, les drôles, les moins drôles
– Pierre de Saintignon (Vice-Président de la Région Nord-Pas de Calais, lors de la bienvenue du ministre
de l'intérieur Bernard Cazeneuve) : « merci pour votre présence à cette 7ème édition du Fric euuuu du
FIC ! » : (lapsus?) https://twitter.com/morganhotonnier/status/557467697135771648
– Général Watin-Angouard (organisateur du FIC) : « 1, 2, 3, je ne sais pas compter plus loin »
– Vincent Llorens (sécurité Sogeti) : « La princesse n'est plus dans le donjon »
– [Référence nécessaire] : « Il faut faire la chasse aux barbares numériques »
– Guillaume Poupard (Directeur de l'ANSSI) : « La défiguration d'un site Web, ce n'est pas une attaque,
c'est un graffiti sur un mur, ce n'est pas grave » :
https://twitter.com/bortzmeyer/status/557461068277370883 mais imbroglio diplomatique avec Axelle
Lemaire (Secrétaire d’État dédié au numérique) :
https://twitter.com/FabianRODES/status/557816107441340416
– Vincent Llorens (sécurité Sogeti) : « Le Data Scientist sera le prochain super héros de la sécurité » :
https://twitter.com/orangebusiness/status/557858416237232128
– [Référence nécessaire] : « La cybersécurité, ce sont les freins pour pouvoir rouler trop vite en toute
confiance »
– Michel Picot (journaliste sur BFM) : « Stormshield a été développé dans les locaux de Netasq à Lille »
– Olivier Iteanu (Avocat) : « les américains ont une vision différente des européens de la confiance, ils l'ont
mis sur leur dollar, In Go We Trust) » : https://twitter.com/bortzmeyer/status/557826918742237184
– Bruce Schneier : « Ce qui est surprenant dans les révélations de Snowden, c'est qu'il n'y a rien de
surprenant ! » : https://www.schneier.com/blog/archives/2015/01/my_conversation.html
20. Sommaire
14/09/2015 20
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humour
• L'intérêt pour TechsysL'intérêt pour Techsys
• Références
21. L'intérêt pour Techsys
14/09/2015 21
• Techsys est une société spécialisée en intégration de systèmes
informatiques
• Techsys n'est pas (encore) spécialisée en sécurité informatique
• Techsys et le FIC
– Pas (encore) de raison de tenir un stand « services »
– Pas de raison de tenir un stand « produits »
– Pas (encore) de raison de participer aux conférences
«généralistes »
– Intérêt à participer au conférences « techniques » quand elles
le sont (or en 2015 …..)
– Intérêt à participer au challenge (pentesting) [20]
– Identifier de nouveaux acteurs possibles : exemple la création
de HSC by Deloitte.
22. Sommaire
14/09/2015 22
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humour
• L'intérêt pour Techsys
• RéférencesRéférences
23. Références
14/09/2015 23
• [1] : Flash Crash en 2010 à la bourse de New York : http://fr.wikipedia.org/wiki/Flash_Crash_de_2010
• [2] : Gérard Berry : https://twitter.com/marketengelsas/status/557456225106145280
• [3] : comprendre « on a rien sans rien » par Milton Friedman :
http://en.wikipedia.org/wiki/There_ain%27t_no_such_thing_as_a_free_lunch
• [4] : décret à paraître : http://www.silicon.fr/loi-anti-terroriste-un-arsenal-tout-juste-renforce-et-bientot-chamboule-105742.html
• [5] : Permis Internet : http://permisinternet.com/
• [6] : Axelle Lemaire connaît bien Euratechnologies :
http://www.boursorama.com/actualites/inauguration-de-la-maison-du-futur-a-lille-truffee-de-gadgets-numeriques-9d5ca24ec4a7a99cf13b84fbda7f96
• [7] : Fraude au président : http://www.service-public.fr/actualites/003246.html
• [8] : DataScientist : http://www.huffingtonpost.fr/eric-soares/data-scientist-valeur-ajoutee-entreprise_b_6106962.html
• [9] : Paypal chercherait à s'installer dans les eaux internationales :
http://www.actunautique.com/2014/11/l-incroyable-micro-pays-flottant-du-fondateur-de-paypal.html
• [10] : Confirmation des réflexions à Bruxelles : http://www.globalsecuritymag.fr/AFCDP-le-reglement-europeen,20150128,50320.html
• [11] : Edwards et la théorie des prix prédateurs : http://fr.wikipedia.org/wiki/Prix_pr%C3%A9dateurs#Pr.C3.A9mices
• [12] : CryptoLocker & Operation Tovar : https://en.wikipedia.org/wiki/Operation_Tovar ce qui a abouti à http://getsafeonline.org/nca
• [13] : Alice Cherif : https://twitter.com/bortzmeyer/status/557556027869392896
• [14] : PSSI : https://fr.wikipedia.org/wiki/Politique_de_s%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27information
• [15] : Affaire Target : http://business.lesechos.fr/directions-numeriques/0203336807596-apres-le-vol-le-temps-des-explications-61311.php
• [16] : PHAROS, plate-forme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements :
http://www.legifrance.gouv.fr/eli/arrete/2009/6/16/IOCD0831505A/jo/texte
• [17] : Bruce Schneier, un spécialiste influent : http://fr.wikipedia.org/wiki/Bruce_Schneier , un résumé de sa conférence sur
http://www.globalsecuritymag.fr/FIC-Bruce-Schneier-reponse-a,20150128,50342.html
• [18] : La théorie de la sélection adverse par G. Akerlof : http://fr.wikipedia.org/wiki/The_Market_for_%E2%80%9CLemons%E2%80%9D
• [19] : Le principe du colonel John Boyle, OODA : https://fr.wikipedia.org/wiki/Boucle_OODA
• [20] : Le challenge, par un des participants : http://news0ft.blogspot.com/2015/01/fic-challenge-writeup.html
25. Forum International de
Cybercriminalité 2015
14/09/2015 25
Vos idées sont les bienvenues
Merci !
+33.6.32.19.76.71
o.duquesne@techsys.fr
@techsys_fr
@oduquesne