Forum International de la
Cybercriminalité - 2015
- 24/10/2014
Pierre-Marie
Denisselle 1
Sommaire
14/09/2015 2
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humour
• L'intérêt pour Techs...
Sommaire
14/09/2015 3
• Les conférences généralistesLes conférences généralistes
• Les conférences techniques
• Un peu d'h...
Les conférences généralistes
14/09/2015 4
• Présentation du FIC
– Créé par les gendarmeries et le conseil régional
– 778 p...
Les conférences généralistes
14/09/2015 5
• Thématiques 2015
– Modèle économique à trouver, la sécurité n'est pas gratuite...
Les conférences généralistes
14/09/2015 6
• Les nouveaux métiers de la cybercriminalité
– Attention à garder l'humain au c...
Les conférences généralistes
14/09/2015 7
• Sécurité et Big Data (nouvelles formes de SIEM)
– Aujourd'hui on détecte les c...
Les conférences généralistes
14/09/2015 8
• Comment créer la confiance numérique
– Qu'est-ce que la confiance : compétence...
Les conférences généralistes
Les conférences généralistes
14/09/2015 10
• Règlement européen sur la protection des données personnelles :
quelles consé...
Sommaire
14/09/2015 11
• Les conférences généralistes
• Les conférences techniquesLes conférences techniques
• Un peu d'hu...
Les conférences techniques
14/09/2015 12
• Sécurité dans le Cloud
– Une conférence commerciale avec pour seuls objectifs :...
Les conférences techniques
14/09/2015 13
• Prévenir et détecter une fuite d'information
– Distinction de du dark web (mafi...
Les conférences techniques
14/09/2015 14
• Bruce Schneier, la réponse à un incident, avenir de la sécurité
– [16] : un spé...
Le FIC
Sommaire
14/09/2015 16
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humourUn peu d'humour
• L'in...
Un peu d'humour
14/09/2015 17
• Vu et entendu
– Un discours appuyé et gratifiant pour les services du ministères de la par...
Un peu d'humour
14/09/2015 18
• Quelques erreurs faites ou repérées
– Flasher un code pour l'application mobile FIC2015
– ...
Un peu d'humour
14/09/2015 19
• Petites phrases, les drôles, les moins drôles
– Pierre de Saintignon (Vice-Président de la...
Sommaire
14/09/2015 20
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humour
• L'intérêt pour Tech...
L'intérêt pour Techsys
14/09/2015 21
• Techsys est une société spécialisée en intégration de systèmes
informatiques
• Tech...
Sommaire
14/09/2015 22
• Les conférences généralistes
• Les conférences techniques
• Un peu d'humour
• L'intérêt pour Tech...
Références
14/09/2015 23
• [1] : Flash Crash en 2010 à la bourse de New York : http://fr.wikipedia.org/wiki/Flash_Crash_de...
Diffusez cette présentation !
14/09/2015 24
Forum International de
Cybercriminalité 2015
14/09/2015 25
Vos idées sont les bienvenues
Merci !
+33.6.32.19.76.71
o.duque...
Prochain SlideShare
Chargement dans…5
×

Forum International de la Cybercriminalité 2015

356 vues

Publié le

Mes notes prises à Lille, en janvier 2015.

Publié dans : Logiciels
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
356
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • <numéro>
  • Forum International de la Cybercriminalité 2015

    1. 1. Forum International de la Cybercriminalité - 2015 - 24/10/2014 Pierre-Marie Denisselle 1
    2. 2. Sommaire 14/09/2015 2 • Les conférences généralistes • Les conférences techniques • Un peu d'humour • L'intérêt pour Techsys • Références
    3. 3. Sommaire 14/09/2015 3 • Les conférences généralistesLes conférences généralistes • Les conférences techniques • Un peu d'humour • L'intérêt pour Techsys • Références
    4. 4. Les conférences généralistes 14/09/2015 4 • Présentation du FIC – Créé par les gendarmeries et le conseil régional – 778 pays, plus de 4000 visiteurs (1000 de plus qu'en 2014) – La métropole Lilloise s'est dotée d'un cluster économique • Thématiques 2015 – Attention aux menaces sécuritaires : attention aux mots, la guerre (violence létale) / guerre de l'information [1] – Tyrannie libertaire (attentats de janvier) – Faut-il réinventer la sécurité ? « le rôle de l'info n'est pas estimé dans la gestion de nos  intérêts. L'info est la matière et l'énergie d'hier. » [2]
    5. 5. Les conférences généralistes 14/09/2015 5 • Thématiques 2015 – Modèle économique à trouver, la sécurité n'est pas gratuite ! « There ain't no such thing as  a free lunch » [3] – Besoin d'un label de qualité dans le développement logiciel – Besoin d'une définition d'un droit de l'internet (actuellement, comparable au droit maritime) – Besoin d'explication à apporter aux DSI : « on investit pas dans quelque chose qu'on ne  comprend pas » ● Y'a t'il trop d'administrateurs des Systèmes d'information ? ● Une application peut avoir une durée de vie de 40 ans ! ● Avantage concurrentiel selon la loi de l'offre et de la demande – Évolution de la loi de programmation militaire [4] – Besoin d'un permis d'usage d'internet [5] – Création d'un Cloud Franco Allemand sécurisé – Euratechnologie est un leader de la French Tech [6]
    6. 6. Les conférences généralistes 14/09/2015 6 • Les nouveaux métiers de la cybercriminalité – Attention à garder l'humain au cœur de la sécurité (objectif : éviter la fraude au président [7], un des cas les plus fréquents) – Tous les métiers doivent monter en compétences : besoin d'expertise technique, juridique, sociale et économique – Besoin de formation : B2I, création d'une cyberattitude – Les normes apportent de la contrainte, par la peur (afin de diminuer les risques sur la responsabilité civile ou pénale) • Cybersécurité et transformation numérique – Besoin d'effectuer des crash-test de sécurité informatique (souvenir du bug informatique ayant impacté les impressions [référence à fournir])
    7. 7. Les conférences généralistes 14/09/2015 7 • Sécurité et Big Data (nouvelles formes de SIEM) – Aujourd'hui on détecte les conséquences d'une attaque, demain, on pourra la prévoir – Un des métiers d'avenir : le mathématicien « métier », le « Data Scientist » [8] – L'important, ce n'est pas la donnée, c'est l'usage qu'on en fait – Splunk a vendu son produit ….
    8. 8. Les conférences généralistes 14/09/2015 8 • Comment créer la confiance numérique – Qu'est-ce que la confiance : compétence, bienveillance, intégrité pour les citoyens, l’État, les entreprises – Exemple de la lettre recommandée avec accusé, document absolument pas sécurisé, et pourtant cité dans le code du commerce, du travail, etc … ● Passage d'une confiance morale à une confiance légale ? – Pour avoir confiance, il faut pouvoir faire un choix, simplement (exemple des CGV de 100 mots max) – À contre courant de notre société de défiance (cf dernière campagne électorale pour les présidentielles) – Il manque un arbitre : un juge – Il faut transcrire en droit local les directives européennes – Émergence d'un nouveau marché économique : les solutions étiques, de confiance – Rappeler qu'une entreprise n'a pas le droit de position dominante, ce n'est pas elle qui inspire confiance => l’État se doit d'être exemplaire [9] – C'est l'utilisateur qui décide à qui il accorde sa confiance ● En 2010 on parlait de l'homogénéité de GYM (Google, Yahoo, Microsoft) ● En 2015, on parle de GAFA (Google, Apple, Facebook, Amazon) ● En quelques années, fortes transformations, un acteur économique disparu
    9. 9. Les conférences généralistes
    10. 10. Les conférences généralistes 14/09/2015 10 • Règlement européen sur la protection des données personnelles : quelles conséquences ? – Le Texte n'est pas encore adopté [10] – Définition d'une donnée personnelle (nom, mail, etc ….) ● Droit à l'oubli et son contrôle (liberté d'expression, ...) – Réglementation commune à plusieurs pays – Ajout d'une partie « Notification » de la part de l'opérateur via son Data Chief Officer ● C'est le « super » CIL existant ● Il est juridiquement responsable personnellement – Ajout d'une partie « responsabilité conjointe » du sous-traitant – Besoin de créer des applications « Privacy By Design » – Besoin d'ajouter la portabilité et l'interopérabilité des données personnelles chez les opérateurs => marché économique à développer – Impact sur la loi Hamon sur une action de type « deep pocket » [11]
    11. 11. Sommaire 14/09/2015 11 • Les conférences généralistes • Les conférences techniquesLes conférences techniques • Un peu d'humour • L'intérêt pour Techsys • Références
    12. 12. Les conférences techniques 14/09/2015 12 • Sécurité dans le Cloud – Une conférence commerciale avec pour seuls objectifs : ● Vendre des sondes Qualys dans un cloud public ou privé ● Vanter les mérites de la cloudification des infrastructures – Aucun intérêt technique réel • Démanteler un réseau de botnets – Description d'un réseau via le principe ● Infection, protection, activation, propagation, activation du service ● schéma du NCA imparable sur Cryptolocker [12] (à googliser) – Quelques éléments juridiques sur la méthode (remontée d'IP rien de plus), bien évidemment des difficultés inter polices via EuroJust quand c'est possible ● Pas de risque pour l'hébergeur du botnet [13] ● Besoin d'être protégé AVANT via une Politique de Sécurité du Système d'Informations [14] qui prévoit ces risques et les conduites à tenir (techniques, juridiques, communications, etc ….)
    13. 13. Les conférences techniques 14/09/2015 13 • Prévenir et détecter une fuite d'information – Distinction de du dark web (mafia, drogue, armes) du deep web (légal mais non indexé) – Définir la valeur d'une donnée à l'intérieur et à l'extérieure de l'entreprise (classification), notamment une donnée cliente à comparer à l'ensemble des données clients ● Des données sensibles pourront être transmises à des entités tierces (exemple le régulateur américain FED / Réserve Fédérale des États-Unis) ● Des données peuvent être abandonnées (clouds, entreprises, ...) et voir leur valeur changer au fil du temps ● Ou être transformées (BYOD, prestataires, dématérialisation, ….) – L'humain est la principale faille [15] ● Notion d'intrusion consentie (obligée de donner une information personnelle) – Pas de solution technique miracle mais il existe des produits pour à peu prêt tout ● USB, utilisateurs, métrologies diverses => connaître le normal pour identifier l'anormal ● Traçabilité de rigueur : audit, chiffrement, rétention
    14. 14. Les conférences techniques 14/09/2015 14 • Bruce Schneier, la réponse à un incident, avenir de la sécurité – [16] : un spécialiste a priori très technique, mais pas sur cette présentation – Sa performance : obtenir un passeport en 2 h pour venir au FIC ! – Mise en garde contre les données à la main des GAFA – Mise en garde contre la Cyber Guerre révélée par E. Snowden (USA vs Chine, Inde vs Pakistan, etc ….) – De plus en plus de régulation d'Internet : (la sécurité d')un pays est un marché : – « Big get bigger » ● Copier un meuble coûte de l'argent, pas un logiciel ! ● Changer de solution coûte de l'argent (pas comme passer de Coca Cola à Pepsi) ● Développe le « Market For Lemons » [17] ● Revendique le besoin de plus d'humains pour maîtriser les technologies (Sony, Target, un aéroport quelconque …) – Développe le principe OODA [18] ● Observer, s'Orienter, Décider, Agir (ou pas)
    15. 15. Le FIC
    16. 16. Sommaire 14/09/2015 16 • Les conférences généralistes • Les conférences techniques • Un peu d'humourUn peu d'humour • L'intérêt pour Techsys • Références
    17. 17. Un peu d'humour 14/09/2015 17 • Vu et entendu – Un discours appuyé et gratifiant pour les services du ministères de la part de B. Cazeneuve (et même un fayot qui applaudi tout seul). Discours fédérateur suite aux attentats. Annonce du succès de PHAROS [19] – « Le goodies 2015, c'est le chargeur de téléphone, j'en ai 5 ! » – « Alors, quels nouveaux produits avez-vous ? » – « On dirait que notre société n'attire pas les jeunes, je ne sais plus quoi faire » – « Ras l'bol des commerciaux » – « Ça ne sert à rien d'être présent, mais il faut absolument y être » – Des radicaux djihadistes ont utilisé le tag #fic2015 sur twitter durant la blague « graffiti » pour se donner de la visibilité – On appelle une Secrétaire d’État « Madame la ministre », « c'est le protocole ! » – Bruce Schneier, c'est le seul conférencier en chemise hawaïenne avec son visage projeté : un moyen de ne pas avoir les regards braqués sur lui ?
    18. 18. Un peu d'humour 14/09/2015 18 • Quelques erreurs faites ou repérées – Flasher un code pour l'application mobile FIC2015 – Laisser le wifi / bluetooth activé sur le salon – Rédiger des mails depuis un laptop sans filtre « privacy » – Laisser ses papiers d'identité sur la table (CNI, passeport, ….)
    19. 19. Un peu d'humour 14/09/2015 19 • Petites phrases, les drôles, les moins drôles – Pierre de Saintignon (Vice-Président de la Région Nord-Pas de Calais, lors de la bienvenue du ministre de l'intérieur Bernard Cazeneuve) : « merci pour votre présence à cette 7ème édition du Fric euuuu du  FIC ! » : (lapsus?) https://twitter.com/morganhotonnier/status/557467697135771648 – Général Watin-Angouard (organisateur du FIC) : « 1, 2, 3, je ne sais pas compter plus loin » – Vincent Llorens (sécurité Sogeti) : « La princesse n'est plus dans le donjon » – [Référence nécessaire] : « Il faut faire la chasse aux barbares numériques » – Guillaume Poupard (Directeur de l'ANSSI) : « La défiguration d'un site Web, ce n'est pas une attaque,  c'est un graffiti sur un mur, ce n'est pas grave » :  https://twitter.com/bortzmeyer/status/557461068277370883 mais imbroglio diplomatique avec Axelle Lemaire (Secrétaire d’État dédié au numérique) : https://twitter.com/FabianRODES/status/557816107441340416 – Vincent Llorens (sécurité Sogeti) : « Le Data Scientist sera le prochain super héros de la sécurité » :  https://twitter.com/orangebusiness/status/557858416237232128 – [Référence nécessaire] : « La cybersécurité, ce sont les freins pour pouvoir rouler trop vite en toute  confiance » – Michel Picot (journaliste sur BFM) : « Stormshield a été développé dans les locaux de Netasq à Lille » – Olivier Iteanu (Avocat) : « les américains ont une vision différente des européens de la confiance, ils l'ont  mis sur leur dollar, In Go We Trust) » : https://twitter.com/bortzmeyer/status/557826918742237184 – Bruce Schneier : « Ce qui est surprenant dans les révélations de Snowden, c'est qu'il n'y a rien de  surprenant ! » : https://www.schneier.com/blog/archives/2015/01/my_conversation.html
    20. 20. Sommaire 14/09/2015 20 • Les conférences généralistes • Les conférences techniques • Un peu d'humour • L'intérêt pour TechsysL'intérêt pour Techsys • Références
    21. 21. L'intérêt pour Techsys 14/09/2015 21 • Techsys est une société spécialisée en intégration de systèmes informatiques • Techsys n'est pas (encore) spécialisée en sécurité informatique • Techsys et le FIC – Pas (encore) de raison de tenir un stand « services » – Pas de raison de tenir un stand « produits » – Pas (encore) de raison de participer aux conférences «généralistes » – Intérêt à participer au conférences « techniques » quand elles le sont (or en 2015 …..) – Intérêt à participer au challenge (pentesting) [20] – Identifier de nouveaux acteurs possibles : exemple la création de HSC by Deloitte.
    22. 22. Sommaire 14/09/2015 22 • Les conférences généralistes • Les conférences techniques • Un peu d'humour • L'intérêt pour Techsys • RéférencesRéférences
    23. 23. Références 14/09/2015 23 • [1] : Flash Crash en 2010 à la bourse de New York : http://fr.wikipedia.org/wiki/Flash_Crash_de_2010 • [2] : Gérard Berry : https://twitter.com/marketengelsas/status/557456225106145280 • [3] : comprendre « on a rien sans rien » par Milton Friedman : http://en.wikipedia.org/wiki/There_ain%27t_no_such_thing_as_a_free_lunch • [4] : décret à paraître : http://www.silicon.fr/loi-anti-terroriste-un-arsenal-tout-juste-renforce-et-bientot-chamboule-105742.html • [5] : Permis Internet : http://permisinternet.com/ • [6] : Axelle Lemaire connaît bien Euratechnologies : http://www.boursorama.com/actualites/inauguration-de-la-maison-du-futur-a-lille-truffee-de-gadgets-numeriques-9d5ca24ec4a7a99cf13b84fbda7f96 • [7] : Fraude au président : http://www.service-public.fr/actualites/003246.html • [8] : DataScientist : http://www.huffingtonpost.fr/eric-soares/data-scientist-valeur-ajoutee-entreprise_b_6106962.html • [9] : Paypal chercherait à s'installer dans les eaux internationales : http://www.actunautique.com/2014/11/l-incroyable-micro-pays-flottant-du-fondateur-de-paypal.html • [10] : Confirmation des réflexions à Bruxelles : http://www.globalsecuritymag.fr/AFCDP-le-reglement-europeen,20150128,50320.html • [11] : Edwards et la théorie des prix prédateurs : http://fr.wikipedia.org/wiki/Prix_pr%C3%A9dateurs#Pr.C3.A9mices • [12] : CryptoLocker & Operation Tovar : https://en.wikipedia.org/wiki/Operation_Tovar ce qui a abouti à http://getsafeonline.org/nca • [13] : Alice Cherif : https://twitter.com/bortzmeyer/status/557556027869392896 • [14] : PSSI : https://fr.wikipedia.org/wiki/Politique_de_s%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27information • [15] : Affaire Target : http://business.lesechos.fr/directions-numeriques/0203336807596-apres-le-vol-le-temps-des-explications-61311.php • [16] : PHAROS, plate-forme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements : http://www.legifrance.gouv.fr/eli/arrete/2009/6/16/IOCD0831505A/jo/texte • [17] : Bruce Schneier, un spécialiste influent : http://fr.wikipedia.org/wiki/Bruce_Schneier , un résumé de sa conférence sur http://www.globalsecuritymag.fr/FIC-Bruce-Schneier-reponse-a,20150128,50342.html • [18] : La théorie de la sélection adverse par G. Akerlof : http://fr.wikipedia.org/wiki/The_Market_for_%E2%80%9CLemons%E2%80%9D • [19] : Le principe du colonel John Boyle, OODA : https://fr.wikipedia.org/wiki/Boucle_OODA • [20] : Le challenge, par un des participants : http://news0ft.blogspot.com/2015/01/fic-challenge-writeup.html
    24. 24. Diffusez cette présentation ! 14/09/2015 24
    25. 25. Forum International de Cybercriminalité 2015 14/09/2015 25 Vos idées sont les bienvenues Merci ! +33.6.32.19.76.71 o.duquesne@techsys.fr @techsys_fr @oduquesne

    ×