Delicious Digg Facebook Favorites More Stumbleupon Twitter

Programme des GS DAYS – 24 MARS 2015

Voici le programme* de la prochaine édition des GS Days, Journées Francophones de la Sécurité de l’Information, qui se tiendra le 24 mars prochain à l’Espace Saint-Martin, Paris 3ème.


8h30 – 9h : Accueil et petit déjeuner (Espace du Zodiaque)

9h – 10h30 : Conférence plénière : La structuration du marché de la sécurité (Auditorium)

Le marché français de la sécurité est en pleine évolution avec des rachats d’entreprises, consolidations, accords de partenariat, regroupements d’entreprises au sein d’associations professionnelles… L’objectif des investisseurs est de pouvoir atteindre une taille critique pour inspirer confiance aux grands comptes et aux administrations, et conquérir de nouveau à l’export. Cette stratégie sera-t-elle payante à terme ? Quelle est la place des offreurs français au sein de l’Europe ? Comment le gouvernement peut-il agir pour aider à ce développement et permettre à l’innovation soutenue en France d’y rester ? Telles sont les questions auxquelles Guillaume POUPARD, Directeur Général de l’ANSSI, et Michel VAN DEN BERGHE, Directeur Général d’Orange Cyberdefense, s’attacheront à répondre.

Table ronde avec Guillaume POUPARD, Directeur Général de l’ANSSI, Michel VAN DEN BERGHE, Directeur Général d’Orange Cyberdefense, etc. (D’autres experts sont en attente de validation)

Modérateur : Alain ESTABLIER, Rédacteur en Chef de Security Defense Business Review

10h30 – 11h : Pause café (Espace du Zodiaque)

11h – 11h50 :

CARA : les 4 dimensions de la sécurité des objets connectés (Auditorium)

Les objets connectés envahissent notre quotidien, et cela est parti pour durer ! Au-delà des aspects grand public, ils s’invitent également dans les entreprises par les usages des collaborateurs mais aussi et surtout par leur intégration dans les processus métier.

L’objet de cette présentation sera de dresser un panorama des risques spécifiques aux objets connectés – avec plusieurs exemples d’attaques – puis de donner une méthode d’évaluation du risque dans un contexte métier particulier. Afin de concrétiser les contres-mesures possibles, nous exposerons les différents modèles de sécurité des smartwatches majeures du marché et les mesures de sécurité disponibles.

Gérôme BILLOIS, Senior Manager, et Chadi HANTOUCHE, Manager au sein de l’entité Sécurité, Solucom

Attaque de type « Man-In-The-Middle » sur réseau « dual stack » (Salle Karnak)

Dans la dernière décennie, l’utilisation d’Internet a explosé, entraînant un manque d’adresses IPv4 important qui a notamment contraint opérateurs et éditeurs de systèmes d’exploitation, à adopter rapidement IPv6 et ces mécanismes de transition.

Cette présentation s’inscrit dans ce contexte et se focalise sur l’implémentation d’une attaque « Man-In-The-Middle » en IPv6 sur un réseau IPv4. A l’heure actuelle, il existe plusieurs outils permettant la mise en place de ce type d’attaque, cependant certains font preuve d’un manque d’automatisation et/ou de fonctionnalités, notamment sur les systèmes GNU/Linux.

Durant cette session, seront abordés les aspects théoriques liés à ce type d’attaque ainsi que la présentation d’un outil développé par l’auteur offrant une possible alternative aux solutions connues.

Karim SUDKI, Ingénieur sécurité, SCRT

11h55 – 12h45 :

Les usages de la mobilité au sein de l’entreprise (du  » BYOD » au  » COPE ») (Auditorium)

Les entreprises sont aujourd’hui confrontées au développement sans précédent de l’utilisation des terminaux personnels (smartphones, portables, clés USB, tablettes,…) par leurs salariés dans le cadre de l’exercice de leur activité professionnelle.
Le cabinet Pinsent Masons propose d’aborder les principales problématiques juridiques liées à la diversification des usages de la mobilité, en particulier, les moyens permettant aux entreprises de maitriser les risques associés à la mise en place du  » Bring your own device » (BYOD), du  » Choose your own device » (CYOD) ou du  » Corporate Owned, Personally Enabled » ( » COPE »).

Différents modèles s’offrent désormais aux entreprises, qui peuvent proposer à leurs collaborateurs d’apporter leur propre matériel à des fins d’utilisation professionnelle ( » BYOD ») ou encore d’acheter leur équipement parmi une liste de terminaux présélectionnés ( » CYOD »). A l’inverse du  » BYOD », les entreprises peuvent également décider d’acquérir et de détenir elles-mêmes des terminaux mobiles tout permettant à leur personnel de les utiliser librement à des fins personnelles ( » COPE »).

Ces nouveaux usages de la mobilité au sein des entreprises suscitent des problématiques juridiques notamment en termes d’atteinte à la sécurité des systèmes d’information, de protection du patrimoine informationnel, de protection des données à caractère personnel, de respect de la vie privée, de gouvernance, etc.
Me Diane Mullenex & Me Guillaume Morat, Cabinet d’avocats Pinsent Masons LLP

Comment le Big Data améliore la sécurité sur le Web ? (Salle Karnak)

Au cours de sa présentation, Akamai abordera les initiatives de recherche et développement concernant le Big Data appliqué à la sécurité. Ces initiatives concernent la collecte, la gestion et l’analyse des données provenant de différentes sources, en temps réel.

Cette présentation portera également sur l’infrastructure sous-jacente qui a été déployée et les outils qui ont été élaborés pour répondre aux besoins en termes de recherche sur la sécurité et les renseignements pour lutter contre les menaces d’Internet.

Afin d’illustrer l’utilisation du Big Data, des cas concrets viendront illustrer les différentes innovations sécuritaires liées au Big Data.

Emmanuel MACÉ, Security Specialist, Akamaï

12h45 – 14h15 : Déjeuner

14h15 – 15h05 :

Comprendre et détecter une intrusion physique de haut vol (Auditorium)

Une chambre d’hôtel, une salle de conférences, une voiture de location, votre habitation personnelle… autant de points d’accès physiques à votre système d’information.

La récupération d’information à l’aide d’un accès physique est très efficace et très difficile à détecter du fait de l’absence de toute forme de log. En association avec un Social Engineering de qualité, les techniques d’intrusion physique permettent d’accéder à n’importe quel niveau d’une infrastructure sécurisée, d’autant plus que ses éléments sont mobiles. La sécurité du système d’information est souvent considérée comme électronique, avec des mots de passe, des firewalls, des VPN… mais qu’en est‐il si on peut placer un keylogger en toute discrétion ou récupérer directement les informations à la source ? Quel risque courez‐vous en laissant votre ordinateur dans votre voiture, votre coffre‐fort, votre bureau ?

Cette conférence vous apporte les  » clés » de l’intrusion physique et les méthodes forensiques pour les détecter. Vous ne verrez sûrement plus vos serrures de la même manière…

Alexandre TRIFFAULT, Co‐gérant, OFC (Outillage – Formation – Conseil en ouverture fine et destructive)

Objets connectés et protection de vie privée : l’impossible accord ? (Salle Karnak)

L’ère des objets connectés n’a jamais été si proche : maison connectée permettant de tout contrôler à distance ; vêtements connectés enregistrant nos signaux vitaux ; bracelets connectés permettant de mesurer le nombre de pas ou les calories dépensées… L’ensemble des données collectées via ces objets connectés représente une manne pour les entreprises qui les détiennent mais leur usage soulève de nombreuses questions quant à la compatibilité avec la vie privée des personnes concernées, alors même que celles-ci consentent le plus souvent et participent au transfert de données. Le développement des objets connectés et des données y afférentes laissent-ils encore la place à une vie privée ? Les outils juridiques existants permettent-ils d’assurer une protection effective de la vie privée ?

Ce sont quelques questions auxquelles nous tenterons d’apporter une réponse au travers de la communication proposée. Après avoir relevé les risques juridiques générés par la collecte et l’utilisation des données connectées, nous nous intéresserons aux moyens juridiques de protection de la vie privée, avant d’en préciser les limites et d’envisager les possibles évolutions des textes applicables.

Rose-Marie BORGES, Maître de conférences en droit privé, Université d’Auvergne, Centre Michel de l’Hospital

15h10 – 16h :

La gestion de crise IT/SSI (Auditorium)
En dépit de toutes les mesures proactives mises en place, une organisation subit des incidents de sécurité. Parfois même, ces incidents de sécurité peuvent prendre une telle ampleur qu’ils sont susceptibles de dégénérer en véritable crise IT/SSI : impacts potentiellement graves, nécessité d’agir dans l’urgence, aucune certitude sur l’évolution des évènements, etc. Dès lors, il convient d’avoir une organisation structurée et réactive pour pouvoir y répondre efficacement.

HSC vous propose une présentation sur la gestion de crise IT/SSI. Nous préciserons le vocabulaire et les concepts, les influences et les passerelles entre les différents domaines : sécurité, inforensique, continuité d’activité et gestion de crise opérationnelle. Nous ferons également un retour d’expériences sur des structures de gestion de crise SSI et sur la réalisation d’exercices sur la base de scénarios.

Thomas LE POETVIN et Mikaël SMAHA, Consultants en Sécurité de l’information, HSC

La quête du code source maintenable, fiable et sécurisé (Salle Karnak)
En termes d’analyse du code source, chacun a ses petites habitudes, sa boîte à outils, ses processus, bref… la diversité est de rigueur. Mais savons-nous seulement précisément ce que nous cherchons à obtenir ? A quoi bon sécuriser un code source  » pourri » ? Jusqu’où peut-on réellement aller en termes de sécurisation du code source en mode boîte blanche ? Dans cette quête du code source maintenable, fiable et sécurisé, est-il seulement envisageable de mettre en place un processus efficace et bon marché ?

Sébastien GIORIA, French OWASP Leader, OWASP France

16h – 16h30 : Pause café (Espace du Zodiaque)

16h30 – 17h20 :

Exploitation de failles de sécurité. Démonstrations et présentations pratiques de l’ARCSI (Auditorium)

Plusieurs démonstrations autour de la sécurité des objets connectés : écoute de claviers à distance, désactivation d’une centrale d’alarme, petits secrets des cartes de transport.

Renaud LIFCHITZ, ARCSI, Oppida

et

Plusieurs démonstrations sur l’exploitation des vulnérabilités récentes autour de SSL.

Par Laurent CHOURAKI, ARCSI

Musclons notre imagination grâce à l’analyse contextuelle du risque (Salle Karnak)

Autant notre imagination nous amène à innover et à inventer de nouvelles fonctionnalités et de nouveaux usages  » légitimes » dans le numérique, autant elle nous fait cruellement défaut dès lors qu’il s’agit de  » scénariser » des détournements de processus et de flux métiers à des fins malveillantes et criminelles.

Cette présentation s’attache à présenter plusieurs techniques à même de  » muscler » notre imagination en remettant de la clarté sur les flux de données, se dotant ainsi de capacités visuelles et collaboratives pour analyser les impacts et les risques de manière contextuelle et pour effectuer des simulations d’intrusion.

Hadi EL-KHOURY, Conseiller et formateur en cybersécurité, O’SERVICE2 SEKIMIA, ISSA France

17h25 – 18h15 :

Mobilité et Sécurité, peut-on encore espérer faire coexister ces deux concepts ? (Auditorium)

Quelle définition en 2015 pour la mobilité ? Téléphone, SMS, navigation Internet, messagerie Internet, services en ligne, réseaux sociaux, paiement mobile/sans contact, santé, domotique…. Quand s’arrêtera l’évolution du mobile dans nos vies ? Peut-on objectivement échapper aujourd’hui à la mobilité dans l’entreprise, dans nos vies privées ? Nous évoquerons lors de cette conférence tant les enjeux révélés par les nouveaux usages que l’intérêt suscité pour l’écosystème de la mobilité pour tous ceux qui y voit un  » eldorado » d’opportunité, pas toujours celles auxquelles on s’attend.

Jean-Marc GRÉMY, Vice-Président du CLUSIF et Fondateur de Cabestan Consultants

Touch-ID, Authentification mobile et OAuth, Quelle confiance vis-à-vis de ces nouveaux mécanismes ? (Salle Karnak)
Basé sur des retours d’expérience d’audit et de mise en œuvre de services de sécurité mobile, cette conférence a pour objectif d’animer une réflexion sur le niveau de confiance à accorder vis-à-vis des nouveaux mécanismes d’authentification sur mobiles : Quels sont les réels enjeux de sécurité liés aux nouvelles méthodes d’authentification sur mobile ? Quelle démarche adopter pour une mise en œuvre adaptée aux besoins métiers et utilisateurs ? Guillaume Coindet, architecte SSI chez HARMONIE TECHNOLOGIE, présentera une analyse des mécanismes d’authentification sur mobile représentatifs des tendances actuelles, ainsi que des scénarios d’attaques ciblées et des bonnes pratiques pour concevoir des stratégies de sécurité en adéquation avec les attentes métiers/utilisateurs.
Guillaume COINDET, Architecte SSI, Harmonie Technologie

18h15 – 19h15 : Cocktail de clôture – (Espace du Zodiaque)

Pour plus d’informations : rendez-vous sur le site des GS Days : www.gsdays.fr

Date et lieu :

24 mars 2015 – 8h30 – 19h15
Espace Saint-Martin
199 bis, rue Saint-Martin
75003 Paris

Contacts :

Marc Jacob Brami ou Emmanuelle Lamandé
Tél. : 01.40.92.05.55
E-mail : marc.jacob@globalsecuritymag.com ou emmanuelle.lamande@globalsecuritymag.com


* Programme prévisionnel au 25 février 2015 – sous réserve de modifications de la part de l’organisation.

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.