Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ?
Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
De la Sécurité Informatique à l’identité Numérique sur les plateformes SaaS.(Internet)
Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé. Éléments d'analyse prospective sur l'evolution de la securite du systeme d'information 2.0
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ?
Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
De la Sécurité Informatique à l’identité Numérique sur les plateformes SaaS.(Internet)
Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé. Éléments d'analyse prospective sur l'evolution de la securite du systeme d'information 2.0
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
Les systèmes de contrôle industriel ICS, appelés SCADA, contrôlent les infrastructures critiques de la société depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout.
Avec la généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique, les télémaintenances et l'utilisation d'Internet, et avec la migration de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses.
Les approches habituelles de la SSI ne peuvent s'appliquer telles quelles sur les systèmes de contrôle industriel, il faut comprendre le métier et les problématiques, savoir dialoguer avec les automaticiens, et connaître et comprendre les normes propres au monde industriel.
Cette formation SCADA propose une approche pragmatique, pratique et complète du sujet. Elle vous permettra d'une part d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer une politique de cyber-sécurité SCADA.
A l'issue de ce cours, vous disposerez des éléments techniques pour appréhender les systèmes SCADA, les menaces et leurs vulnérabilités.
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
Formation complète ici:
https://www.alphorm.com/tutoriel/formation-en-ligne-certified-ethical-hacker-v9-1-4-reussir-ceh-v9
La certification CEH dans sa version 9 est actuellement la plus avancée au monde dans le domaine de l'Ethical Hacking.
Cette formation CEH V9 aborde 18 modules successifs liés aux domaines de la sécurité informatique les plus récents, en détaillant plus de 270 attaques techniques de hacking.
La formation CEH V9 permet à tous les informaticiens et tous les passionnés d'informatique ayant un profil technique de découvrir et de mieux comprendre les modes opératoires, les méthodes employées ainsi plus de 2200 outils utilisés par les pirates informatiques pour contourner et déjouer les protections de sécurité en place.
Cette formation CEH V9 vous aidera à maitriser une méthodologie de piratage éthique qui pourra aussi bien être utilisée dans un test d'intrusion que dans une situation de piratage éthique.
Cette formation CEH V9 est destinée à vous transmettre une vision étendue des variétés d'attaques possibles dans un SI. Vous quitterez avec des compétences en piratage éthique qui sont hautement recherchées.
Cette formation CEH V9 vous permettra d'obtenir l'examen de certification CEH Certified Ethical Hacker.
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
Se realizó el FLISoL Asunción 2015 y se tuvo la oportunidad de explicar el proyecto OSM, las distintas formas de contribuir, la situación actual en Paraguay y la utilidad que se podría sacar si se tienen datos completos.
El documento resume las causas del problema agroalimentario en México, incluyendo el aumento de los precios internacionales de los alimentos y las proyecciones de que estos precios se mantendrán altos. También discute la necesidad de garantizar la seguridad y soberanía alimentaria en México de acuerdo con el derecho a la alimentación establecido en la constitución.
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
Les systèmes de contrôle industriel ICS, appelés SCADA, contrôlent les infrastructures critiques de la société depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout.
Avec la généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique, les télémaintenances et l'utilisation d'Internet, et avec la migration de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses.
Les approches habituelles de la SSI ne peuvent s'appliquer telles quelles sur les systèmes de contrôle industriel, il faut comprendre le métier et les problématiques, savoir dialoguer avec les automaticiens, et connaître et comprendre les normes propres au monde industriel.
Cette formation SCADA propose une approche pragmatique, pratique et complète du sujet. Elle vous permettra d'une part d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer une politique de cyber-sécurité SCADA.
A l'issue de ce cours, vous disposerez des éléments techniques pour appréhender les systèmes SCADA, les menaces et leurs vulnérabilités.
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
Formation complète ici:
https://www.alphorm.com/tutoriel/formation-en-ligne-certified-ethical-hacker-v9-1-4-reussir-ceh-v9
La certification CEH dans sa version 9 est actuellement la plus avancée au monde dans le domaine de l'Ethical Hacking.
Cette formation CEH V9 aborde 18 modules successifs liés aux domaines de la sécurité informatique les plus récents, en détaillant plus de 270 attaques techniques de hacking.
La formation CEH V9 permet à tous les informaticiens et tous les passionnés d'informatique ayant un profil technique de découvrir et de mieux comprendre les modes opératoires, les méthodes employées ainsi plus de 2200 outils utilisés par les pirates informatiques pour contourner et déjouer les protections de sécurité en place.
Cette formation CEH V9 vous aidera à maitriser une méthodologie de piratage éthique qui pourra aussi bien être utilisée dans un test d'intrusion que dans une situation de piratage éthique.
Cette formation CEH V9 est destinée à vous transmettre une vision étendue des variétés d'attaques possibles dans un SI. Vous quitterez avec des compétences en piratage éthique qui sont hautement recherchées.
Cette formation CEH V9 vous permettra d'obtenir l'examen de certification CEH Certified Ethical Hacker.
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
Se realizó el FLISoL Asunción 2015 y se tuvo la oportunidad de explicar el proyecto OSM, las distintas formas de contribuir, la situación actual en Paraguay y la utilidad que se podría sacar si se tienen datos completos.
El documento resume las causas del problema agroalimentario en México, incluyendo el aumento de los precios internacionales de los alimentos y las proyecciones de que estos precios se mantendrán altos. También discute la necesidad de garantizar la seguridad y soberanía alimentaria en México de acuerdo con el derecho a la alimentación establecido en la constitución.
Incorporación de las nuevas tecnologíasCHIQUITITOS
Este documento describe las diferentes formas en que se puede incorporar la tecnología educativa en la enseñanza. Explica que los docentes deben adquirir conocimientos básicos sobre recursos tecnológicos y capacitar a los estudiantes en su uso. También describe cuatro modalidades de comunicación y enseñanza: mismo tiempo-mismo lugar, mismo tiempo-lugar diferente, tiempo diferente-mismo lugar, y tiempo diferente-lugar diferente. El documento proporciona ejemplos de cada modalidad.
La Unión Europea ha propuesto un nuevo paquete de sanciones contra Rusia que incluye un embargo al petróleo ruso. El embargo se aplicaría gradualmente durante seis meses para el petróleo crudo y ocho meses para los productos refinados. Los líderes de la UE debatirán el paquete de sanciones esta semana con el objetivo de aprobarlo.
El documento describe los principios del aprendizaje y la enseñanza colaborativos. Explica que los estudiantes comparten ideas e información en una comunidad, y que los profesores plantean problemas de grupo y gestionan el proceso colaborativo. También destaca que las herramientas digitales facilitan la comunicación, colaboración y construcción del conocimiento en este enfoque, aunque pueden surgir desafíos metodológicos y tecnológicos.
El documento habla sobre el potencial de la ciudad de Piura, Perú debido a la gran variedad de productos agrícolas que produce y comercializa. También menciona los servicios que ofrece una organización como asistencia técnica y financiamiento a productores de café, así como el incremento de la calidad y volumen de café para exportar.
En los últimos 25 años, China ha protagonizado un impresionante crecimiento del PIB, convirtiéndose en una de las principales economías del mundo y en uno de los motores de la economía mundial. Este fuerte crecimiento se ha sustentado en una abundante mano de obra barata y bien formada, reformas estructurales hacia una economía de mercado y abierta al exterior, y grandes inversiones financiadas por el elevado ahorro interno y la inversión extranjera directa.
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
Centrale Nantes - Conférence du 08 Octobre 2015
Présentation sur les enjeux et les évolutions de la sécurité informatique.
Comment passer d'une vision de la sécurité informatique qui préserve la valeur, à une vision génératrice de valeur ajoutée pour l'entreprise ?
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages
(cloud computing) : vraie révolution ou pétard mouillé ? ». Avec Bruno Schroder, National Technology Officer, Microsoft, et Olivier Loncin, spécialiste Google Apps.
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Si, depuis quelques années, les types d’attaque n’ont pas vraiment évolué, les compromissions sont de plus en plus fréquentes et faciles à réaliser, ou à faire réaliser contre compensation. Les pirates informatiques ont des profils de plus en plus diversifiés, et des motivations diverses, même si la majorité des attaques sont opportunistes. On ne se protège bien que contre ce que l’on connaît !
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !
This amazing and unique event has taking place last saturday (29 Sept 2018) and has allowed cybersecurity enthusiasts from several regions of the Cameroon to meet and boost their capacity around a theme worthy of interest: APT type attacks.
During this workshop, the main focus was on exploring the MITRE approach with its ATT&CK framework for adversaries simulation, APT simulation.
Depuis les années 2000 et l’explosion d’IP comme protocole fédérateur, toutes les applications ont migré vers le même protocole et utilisent la même infrastructure
De même, les applications autrefois délivrées à un nombre limité d’utilisateurs sont devenues « universelles » (messagerie ou applications web par exemple)
Les types et le nombre de clients présents sur le réseau ont aussi explosé, et potentiellement, chaque client IP peut atteindre n’importe qu’elle application IP visible sur le réseau
Par ailleurs, de nouveaux besoins sont apparu, comme la mobilité, complexifiant encore plus la problématique de sécurisation du Système d’Information
La généralisation de ce modèle ouvert et la convergence sur un seul protocole ont facilité la tache des pirates, qui se sont engouffrés dans la faille !
La problématique de sécurité devient donc un axe majeur dans les réseaux modernes, et se complexifie de jour en jour.
Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé.
Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...NBS System
Présentation donnée au cours des Assises de la Sécurité 2017
NBS System et Amazon Web Services réalisent un tour d’horizon des menaces et des doutes auxquels les clients font face sur le cloud AWS, avant d’expliquer comment s’en protéger.
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
Voici les présentations des intervenants présents lors de l'atelier Extr4.0rdinaire du 19 octobre 2023
Retrouvez tous les conseils de nos experts pour protéger au mieux votre entreprise contre les cyberattaques !
D'abord le concept de tests d'intrusions, tel qu'ils sont habituellement conduits dans l'industrie, sera défini. Après cette brève introduction, le fuzzing sera présenté en détails : définitions, méthodologies, avantages et inconvénients, etc. Le fuzzing est une technique de plus en plus mature et utilisée pour la découverte de vulnérabilités, mais le fuzzing peut-il être utilisé pour améliorer les tests d'intrusions ? Et plus spécifiquement pour les tests d'applications Web ? Si oui, comment? Si non, pourquoi ? Ensuite, dans la deuxième partie de la présentation, nous ferons un survol des différentes utilisations du fuzzing dans les outils les plus populaires pour les tests d'intrusions. Pour conclure, nous discuterons de la questions suivante : Comment le fuzzing pourrait prendre encore plus de place dans les tests d'intrusions ?
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Hackfest Communication
Dans quelles juridictions se retrouve le hacker? Il y a beaucoup moins de lois applicables qu’on pense pour empêcher nos activités. Si tu penses qu’il y a des lois qui t’empêchent de faire certaines choses, cette présentation démontre qu’il y a très peu de lois qui s’appliquent à toi en tant qu’être humain au Canada. En rectifiant la compréhension générale en expliquant qu’il y a très peu de lois en place applicables pour empêcher la liberté de faire, on pourra opérer de façon légitime, sans se soucier des pesanteurs légales non-applicables. Pas de pillules bleues dans cette salle, juste des rouges. Cette présentation explique comment l’humain se retrouve hors du système légal et comment se soustraire de la loi dans les activités légitimes et licites.
If I take a letter, lock it in a safe, hide the safe somewhere in New York, then tell you to read the letter, that’s not security. That’s obscurity. On the other hand, if I take a letter and lock it in a safe, and then give you the safe along with the design specifications and a hundred identical safes with their combinations so that the world’s best safecrackers can study it and you still can’t open the safe, that’s security.
Conservation et la circulation des renseignements personnels des services de ...Hackfest Communication
La conférence traitera des enjeux eu égard à la conservation et la circulation des renseignements personnels sur les usagers de la santé et des services sociaux versus la continuité des services. La présentation traitera notamment des principes juridiques eu égard au respect de la vie privée, des normes et modalités quant à la protection et la circulation des renseignements personnels et enfin de l’encadrement juridique applicable en matière de sécurité des actifs informationnels.
Depuis FreeBSD 8.0, le SSP est activé automatique pour la compilation de l'OS. Cette option de GCC développée au départ par IBM, permet d'ajouter des mécanismes de protection face aux buffer overflows. La présentation sera accompagnée de sources C et d'étude de la mémoire via GDB. La présentation commencera par le fonctionnement du SSP (via 3 aspects), suivi de l'implémentation sous FreeBSD et son Linux pour finir par l'exploitation dans certains cas de figure.
Les mots de passe sont le mécanisme d'authentification le plus courant, à l'interface entre les utilisateurs humains et les protocoles cryptographiques. Choisir et gérer des mots de passe, et les utiliser pour authentifier des utilisateurs, est un travail complexe. Dans cette présentation, nous verrons comment choisir un bon mot de passe, estimer son entropie, et l'utiliser dans un protocole d'authentification. Nous verrons aussi comment on attaque des mots de passe (dictionnaires, "rainbow tables") et comment on se protège de ces attaques. Nous finirons par un aperçu des protocoles dits "PAKE" (Password-Authenticated Key Exchange) qui permettent de résoudre le problème intrinsèque des mots de passe, à savoir l'augmentation de puissance des ordinateurs face à la stagnation de la puissance des cerveaux humains.
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Hackfest Communication
La détection des nouvelles variantes doit se faire extrêmement rapidement car ils apparaissent maintenant au rythme de 1 toutes les 1,5 secondes. Nous ne pouvons pas nous fier juste à la soumission des fichiers suspects par nos clients ou nos partenaires. Nous avons donc du développer un vaste réseau de sondes (honey pots) et développer des nouvelles façons de trouver le malware. Nous allons discuter des différentes techniques et de leur efficacité dans le monde réel.
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Hackfest Communication
La détection des nouvelles variantes doit se faire extrêmement rapidement car ils apparaissent maintenant au rythme de 1 toutes les 1,5 secondes. Nous ne pouvons pas nous fier juste à la soumission des fichiers suspects par nos clients ou nos partenaires. Nous avons donc du développer un vaste réseau de sondes (honey pots) et développer des nouvelles façons de trouver le malware. Nous allons discuter des différentes techniques et de leur efficacité dans le monde réel.
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)Hackfest Communication
Au cours des dernières années, la plupart des vers et virus destructeurs ont tendance a être remplacé par des réseaux de zombies (botnets). Les Botnets sont une catégorie beaucoup plus organisés de logiciels malveillants qui donnent à son opérateur un grand nombre de machines disponibles pour du SPAM, des DDoS ou d'autres types d'actions malveillantes. Nous présentons ici une nouvelle race de botnet encore jamais vue ni détectée dans la faune sauvage. La résilience, pour une opérabilité accrue, est maintenant "the name of the game" et PostNet est le nouveau joueur.
Pour plus d'informations:
http://ev0ke.net/article.pdf
Full botnet work : http://git.ev0ke.net/?p=botnet;a=summary
Gartner a annoncé la mort des IDS et IPS en 2003. Sont ils morts ? Si oui, qu'est ce qui les a remplacé ? Lors de cette présentation nous feront l'état de l'art de la détection d'intrusions moderne. Nous regarderons comment la communauté scientifique cherche à répondre aux critiques et aux problématiques de la détection d'intrusions et comment elles peut servir à solutionner de nouveaux problèmes. Finalement, nous prendrons du recul pour regarder les problèmes philosophiques et sémantiques, non pas seulement dans la détection d'intrusions, mais dans les mesures de protection des ordinateurs en général.
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Hackfest Communication
Cette conférence traitera principalement de la responsabilité des dirigeants d’entreprise à l’égard des technologies de l’information, tout spécifiquement concernant la protection des informations confidentielles que détient l’entreprise. Nous examinerons comment le conseil d’administration devrait aborder cette question, quels sont les enjeux juridiques et quelles seraient les règles qui devraient guider le conseil d’administration dans cette démarche. Enfin, nous dégagerons certaines recommandations pratiques qui permettront aux dirigeants d’entreprise d’instaurer une certaine discipline à l’égard de la protection de l’information, y compris l’accès aux actifs informationnels.
Garde à vous, un GPU tente peut-être de craquer vos mots de passe en ce moment même. Ces millions de transistors destinés depuis toujours aux" gamers" et aux graphistes ont maintenant de nouveaux amis...Grâce à l'ouverture des architectures de calcul des GPU des principaux fabricants de cartes graphiques (NVIDIA, ATI), il est maintenant possible de profiter des capacités incroyables de calculs des nouveaux processeurs graphiques à des fins inquiétantes ou intéressantes selon vos intentions. À partir de maintenant le "brute forcing" porte encore mieux son nom...
Le 802.1X est un standard englobant l'identification et l'authentification des utilisateurs d'un réseau afin d'en contrôler l'autorisation d'accès. De plus en plus déployé, car les réseaux récemment rehaussés le supportent, cet ensemble de technologies comporte néanmoins plusieurs limites méconnues. Cette présentation vise, tout d'abord, à expliquer sommairement le 802.1X et à partager les défis et problèmes d'un tel déploiement. Ensuite, nous couvrirons certaines solutions rencontrées pour palier aux problèmes et nous verrons comment les contourner (et comment prévenir le contournement). Nous terminerons avec un regard vers les standards et technologies à l'horizon qui vont transformer la situation actuelle.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
5. Allô !
• Mon expérience en sécurité/hacking?
• Mon But dans la présentation
• Comprendre les impacts de l’insécurité
en entreprise et au gouvernement
• Expliquer le cycle de développement
sécuritaire
• Le tout techniquement
7. Hello !
• Mon expérience en sécurité/hacking?
• Buts de la présentation
• Comprendre le fonctionnement de la
sécurité d’entreprise appliqué au Web
• Expliquer les éléments de sécurité haut
niveau
27. Chiffrement des données
• l’utilisation du httpS (SSL)
• Ne change rien!
• Qu’un site Web soit chiffré ou non, notre
navigateur Web télécharge toutes les
informations.
28. Le firewall
• Ne nous protège pas “réellement” des
attaques
• Un utilisateur peut tout de même visiter et
télécharger des données depuis un site
malicieux
29. Information disclosure
• Qu’est-ce que c’est?
• Toute faille, quel que soit son impact, doit
être considérée et approfondie.
• Faible risque,
Mais, l’accumulation = risque++
30. Sécuriser l’élément à risque
• Souvent, on sécurise seulement l’endroit
considéré comme à risque
• Toutefois, en verrouillant la porte de notre
maison, on n’empêche pas quelqu’un
d’entrer par la fenêtre... Fail
• En informatique, c’est le même principe
35. Qui sont-ils?
• Depuis plus de 10 ans
• 80% des attaques s’exécutent à partir de
l’intérieur
• Erreurs humaines
• Employés
• Espionnage industriel (12 milliard*)
• 2millions sécurité VS 78 millions de perte
* http://www.lesaffaires.com/archives/generale/les-menaces-qui-pesent-sur-votre-entreprise/504041
37. Facilité d’exécuter une
attaque
• Outils gratuits disponibles
• Facilité des nouvelles technologies
• Aucun système n’est 100% sécuritaire
• La sécurité est rarement intégrée dès le
début d’un projet
• Plusieurs attaques sont réalisables en mois
de 10 minutes... (voir exemples)
41. bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
42.
43. Qu’est-ce qu’un cadre
normatif?
• Un programmeur ne pense pas comme un
analyste en sécurité
• L’analyste en sécurité peut aider le
programmeur et, par la suite, effectuer un
audit de sécurité
• Réduit le risque d’erreurs de base
44.
45.
46. One day Alice came to a fork in the road and
saw a Cheshire cat in a tree. Which road do I
take? she asked. Where do you want to go?
was his response. I don't know, Alice
answered. Then, said the cat, it doesn't
matter.
—Lewis Carroll
48. Intégrité, confidentialité,
disponibilié
• Perte d’intégrité:
• Modification du site Web (images porno, redirection,
hameçonnage, etc.)
• Modification des textes (textes diffamatoires, insultes, vulgarités)
• Modification des données (données financières, médicales, etc.)
• Perte confidentialité:
• Documents confidentiels
• Accès aux applications et aux données
• Perte disponibilité:
• Système hors fonction ou dysfonctionnel
49. Les impacts sur les données de
mission
• Perte d’intégrité, de disponibilité et
condifentialité
• Perte financières
• Perte de clients, de fournisseurs, etc.
• Perte de confiance
• Dégradation de l’image publique de l’entreprise
• ...
55. Cycle de développement
sécuritaire
Analysele projet dès le départ
Introduction de la sécurité dans
Rédaction à partir du guide vert/dmr incluant les éléments de sécurité
Formation et Conception
sensibilisation Architecture et développement
Cadre normatif de développement sécuritaire
Réduction de certains risques de base
Vérification
Revalidation de toutes les mesures de sécurité
Implantation la sécurité
Implantation et validation de
Tests de sécurité
Maintenance
Validation des éléments de sécurité
Valider chaque correctif et nouveau module
72. Mais où est le bug?
• Cookie
• Variable Get (victim.com/script.php?
var=valeur)
• Formulaire (POST)
• Ajax (XMLHttpRequest)
• ...
73. Fonctions sensibles
• System(), Passthru(),...
• mysql_query()
• TOUS les intrants!
• Upload
• Canaux de communication (socket, fichier,s
site web,...)
74. Information disclosure
• Qu’est-ce que c’est?
• Directory listing
• Code source
• Config par défaut
• Extension (.bak, .old, ~bak, ~old, ...)
• Faible risque
Mais! Accumulation=risque++
83. SQLi Error
Risque: Lecture/exécution de la base de données,
information sur les serveurs
Impact:Vol et modification de données publiques et
confidentielles, attaque serveur
85. SQL ... gouv!
Risque: Lecture/exécution de la base de données,
information du serveur
Impact:Vol et modification de données publiques et
confidentielles, attaques serveur