La Journée Sécurité des Systèmes d'Information 2011

JSSI 2011

FIAP Jean Monnet - 30 rue Cabanis - 75014 PARIS

Mardi 22 mars 201

Programme

8h30 : accueil des participants et café
9h00 : ouverture de la journée

9h05 : première session

9h05 - 9h50 : 1A, Jean-Marc Boursat (Devoteam)

"La condensation de la sécurité, ou comment traiter la sécurité dans le nuage ?"

9h50 - 10h35 : 1B, Patrick Chambet (Bouygues Telecom), Jean-Luc Lambert (Reactiv'Conseil)

"Anonymisation de données en masse"

10h35 - 11h05 : pause café

11h05 : deuxième session

11h05 - 11h50 : 2A, François Herpe (Cabinet CORNET-VINCENT-SEGUREL)

"La responsabilité juridique du RSSI"

11h50 - 12h40 : 2B, Table ronde animée par Hervé Schauer (HSC)

Avec: François Herpe (avocat), Jean-Marc Manach (journaliste), Fabrice Mattatia (concepteur du label Idénum)

"L'identité numérique: progrès social ou cybersurveillance ?"

12h40 - 14h00 : déjeuner

14h00 : troisième session

14h00 - 14h40 : 3A, Nicolas Ruff (EADS IW)

"Les systèmes mobiles sont-ils plus sûrs ?"

14h40 - 15h20 : 3B, Emmanuel Lehmann

"Activisme, attaques réputationnelles, rumeurs et guerre économique sur Internet"

15h20 - 15h50 : pause café

15h50 : quatrième session

15h50 - 16h30 : 4A, Stéphane Sciacco (Orange Business Services)

"De l'utilisation de la supervision sécurité en cyber-défense"

16h30 - 17h10 : 4B, Nicolas Massaviol (Toucan System)

"Fingerprinting des frameworks de Web Applications"

17h10 - 17h30 : clôture de la journée, discussions

Détail des interventions

Première session

1A - La condensation de la sécurité, ou comment traiter la sécurité dans le nuage ?

Conférencier(s): Jean-Marc Boursat (Devoteam), Guillaume Laudière (Devoteam)

La présentation apporte un retour d’expérience sur des audits réalisés sur des offres SaaS. Elle donne un éclairage sur les problématiques couramment rencontrées et propose des bonnes pratiques afin d’assurer un bon niveau de sécurité de ces applications.

A propos de Jean-Marc:

Jean-Marc Boursat est consultant sécurité au sein de la BU Sécurité de DEVOTEAM. Il travaille dans le domaine de la sécurité depuis 1993 en occupant différents postes depuis la conception d’équipement de sécurité, l’exploitation de la sécurité pour un hébergeur, l’audit de sécurité et la conduite de nombreuses missions de conseil ou d’étude. Jean-Marc est certifié CISSP et il est membre actif du CLUSIF. Jean-Marc a rédigé plusieurs articles sur la sécurité du Cloud Computing.

A propos de Guillame:

Guillaume Laudière est consultant sécurité au sein de la BU Sécurité de DEVOTEAM. Après avoir travaillé dans la continuité d’activité pendant 3 ans où il a travaillé sur des projets de déploiement de PCA et de gestion de crise, il a rejoint l’équipe Audit depuis 2 ans pour apporter son expertise métier dans les audits organisationnels.

1B - Anonymisation de données en masse

Conférencier(s): Patrick Chambet (Bouygues Telecom), Jean-Luc Lambert (Reactiv'Conseil)

L'utilisation de données réelles (contenant des données nominatives) en grande quantité en-dehors de la production est un besoin récurrent: pour les tests en cours de développement, par exemple, ou encore pour les transmettre à un partenaire ou à un éditeur à des fins de débugage applicatif.
Mais dans les cas précédents, la législation impose au propriétaire des données de les anonymiser afin de protéger les individus référencés.

Cette présentation se propose de rappeler les exigences législatives concernant la protection des données personnelles, les principales méthodes d'anonymisation, puis expose les outils et les moyens mis en oeuvre chez Bouygues Telecom pour produire de grandes quantités de données anonymisées mais cohérentes, pouvant servir de jeux de tests pour les développements internes.

A propos de Patrick:

Patrick Chambet est l'Architecte Sécurité du SI de Bouygues Telecom, Expert Sécurité référent au sein de la filière d'expertise de Bouygues Telecom, et co-animateur du Comité Sécurité Informatique Groupe du groupe Bouygues, composé de tous les RSSI du groupe.

Auparavant Consultant Senior en Sécurité des SI, il totalise plus de 15 ans d'expérience dans le domaine de la sécurité.

Il participe également à de nombreuses conférences en France et à l'étranger (Assises de la Sécurité, JSSI, CESAR, BlackHat Europe et USA, ...) et a dispensé des formations en écoles d'ingénieurs, en DESS et au sein de différents organismes.

Il est l'auteur de nombreuses publications françaises et internationales sur la sécurité informatique (MISC, Confidentiel Sécurité, Information Security Bulletin, Linux Mag, ...).

Plus d'informations sur son site Web: http://www.chambet.com

A propos de Jean-Luc:

Jean-Luc Lambert est Professeur en informatique à l'Université de Caen et consultant au sein de la société Reactiv Conseil. Après 15 ans de carrière d'enseignant chercheur à l'Université de Paris XIII puis à l'Université de Caen, il a fondé en septembre 1999 la société Valiosys qui commercialisait des outils de vérification formelle. En septembre 2005 il a intégré les équipes de la DSI de Bouygues Telecom pendant 5 ans et mis en place le service d'extraction et d'anonymisation des jeux de données de test SI.

Deuxième session

2A - La responsabilité juridique du RSSI

Conférencier(s): François Herpe (Cabinet CORNET-VINCENT-SEGUREL)

La présentation a pour objet de faire un rapide tour d'horizon des problématiques juridiques couramment rencontrées par les RSSI , et notamment celles de la protection des données personnelles, de la cybersurveillance et de la fraude informatique, et de faire le point sur leur situation propre en termes de responsabilité dans l'exercice de leurs missions.

A propos de François:

François HERPE est avocat associé au sein du Cabinet CORNET VINCENT SEGUREL, un cabinet d'affaires devenu un des tous premiers cabinets français d'origine régionale, répondant à Paris, Nantes et Rennes, aux besoins de leurs clients en France et à l'étranger. CORNET VINCENT SEGUREL est Trophée d'or 2010 de la firme entrepreneuriale au niveau national (Trophées du droit).

Il dirige à PARIS l'équipe "Propriété Intellectuelle et Industrielle - NTIC" du cabinet.

Il est membre de plusieurs associations dans le domaine des nouvelles technologies et du droit de la propriété intellectuelle (Cyberlex, AFPIDA, ALAI...) . Il est Président de la Commission permanente "IP-NTIC" du réseau Eurojuris, et est l'auteur de publications en matière de propriété intellectuelle et industrielle (Editions Lexis Nexis, Lextenso, ...). Il anime régulièrement des formations dans le domaine de nouvelles technologies et est chargé d'enseignement dans des Masters 2 universitaires spécialisés en propriété intellectuelle.

Plus d'informations sur son site Web: http://www.cvs-avocats.com

2B - Table Ronde: "L'identité numérique: progrès social ou cybersurveillance ?"

Avec: François Herpe, Jean-Marc Manach et Fabrice Mattatia

Animée par: Hervé Schauer

A propos de Jean-Marc Manach:

Journaliste à OWNI.fr et InternetActu.net, blogueur (Bug Brother) pour LeMonde.fr, Jean-Marc Manach est aussi l'un des co-fondateurs des Big Brother Awards.

A propos de Fabrice Mattatia:

Fabrice Mattatia est ancien élève de l'Ecole polytechnique, ingénieur de Télécom Paris, ingénieur en chef des mines, ainsi que docteur en droit, spécialisé dans le droit du numérique.

Il a participé au projet français de carte d'identité électronique de 2004 à 2008, avant de devenir conseiller de la secrétaire d'Etat à l'économie numérique en 2009-2010. Il est le concepteur du label d'identité numérique Idénum lancé en 2010 par Nathalie Kosciusko-Morizet. Il intervient dans plusieurs établissements d'enseignement supérieur et est l'auteur de plusieurs articles et contributions dans des publications aussi bien techniques que juridiques.

Troisième session

3A - Les systèmes mobiles sont-ils plus sûrs ?

Conférencier(s): Nicolas Ruff (EADS IW)

Les systèmes "mobiles" en tous genres (smartphones, tablettes, etc.) prennent inexorablement le pas sur l'informatique "traditionnelle". Compte-tenu des contraintes spécifiques à ces équipements (facteur de forme, autonomie, etc.), de nouveaux systèmes ont été conçus pour l'occasion: Google Android, Apple iOS, ... C'était une occasion parfaite pour faire table rase du passé et produire des systèmes "sûrs par conception". Cet objectif a-t-il été suivi ? Avons-nous réellement gagné au change ? Est-ce la fin des problèmes de malwares et d'intrusions qui ravagent actuellement Internet ?

A propos de Nicolas:

Nicolas RUFF est chercheur en sécurité au sein de la société EADS.

Il est l'auteur de nombreuses publications sur la sécurité des technologies Microsoft dans des revues spécialisées telles que MISC. Il dispense régulièrement des formations sur le sujet et participe à des conférences telles que SSTIC, les Microsoft TechDays ou la JSSI de l'OSSIR.

3B - Activisme, attaques réputationnelles, rumeurs et guerre économique sur Internet

Conférencier(s): Emmanuel Lehmann

Wikileaks, Greenpeace/Nestlé, projets industriels avortés, les Yes Man, rumeurs et déstabilisation de projets économiques, ...
Quels sont les modes d'action des attaquants ?
Comment font-ils émerger un message ? Le poids de la rumeur...
Comment gagnent-ils les coeurs et les esprits ?

Et surtout :
Comment détecter les premiers signaux ?
Comment gérer ces crises informationnelles ?
Comment répondre à une rumeur ?

A propos d'Emmanuel:

Officier de réserve, Essec et Ecole de Guerre Economique, Emmanuel Lehmann est consultant-chercheur sur des problématiques de développement, de sécurité et de gestion de crises informationnelles pour PME et grands comptes.

Quatrième session

4A - De l'utilisation de la supervision sécurité en cyber-défense

Conférencier(s): Stéphane Sciacco (Orange Business Services)

Malgré la mise en place de dispositif de défense/protection d’un “service” nous sommes tout de même confrontées à des menaces/vulnérabilités. Ce couple sera le point d’appui d’attaque futur plus au moins facile à contrer.

Dans le cas d’une attaque par déni de service par exemple, la détection est « relativement simpliste » la remèdiation l'est moins. Mais dans le cas d'une intrusion plus sophistiquée ou l'attaquant cherche une surface furtive maximale, quels sont les moyens de détection ? Une réponse possible passe par la mise en place d'une structure de supervision de la sécurité un S(ecurity) O(peration) C(enter).
Mais que ce cache derrière cet anachronisme SOC ? Des moyens humains ? Techniques ? Organisationnel ?

A propos de Stéphane:

Stéphane Sciacco après un parcours d’auditeur et d’architecture sécurité à effectué 3 années au sein du CNSSI de France Télécom (Centre National de Sécurité des systèmes d’information) en charge notamment de la mise en place d’un centre de supervision de sécurité.

Il est travaille actuellement à Direction Sécurité d’Orange Business Services ou il assure, entre autre, des missions de coordination d’implémentation de la norme ISO 27001, de supervision de sécurité et audites.

4B - Fingerprinting des frameworks de Web Applications

Conférencier(s): Nicolas Massaviol (Toucan System)

Ces dernières années le développement des applications web est passée d'un artisanat où le développement se faisait entièrement manuellement à une échelle industrielle fondée sur l'usage de "frameworks" de développement suivant le paradigme Vue/Modèle/Contrôleur, tant pour les applications Java, que PHP ou autres. La surface d'attaque d'une application web s'est ainsi déplacée vers l'intérieur du "framework" utilisé. Quels sont les enjeux de l'identification de ces frameworks, et quels sont les moyens disponibles pour y arriver ?

A propos de Nicolas:

Nicolas Massaviol est Ingénieur Civil des Mines et chercheur en sécurité informatique. Il a par le passé été administrateur du réseau des Eleves de l'Ecole des Mines de Saint Etienne (réseau RENATER). Après diverses expérience entrepreneuriales, il est aujourd'hui CTO chez Toucan System, entreprise spécialisée dans l'audit et le conseil en sécurité informatique.