Comme chaque année, la Nuit du Hack (28 au 29 juin) succède immédiatement au cycle de conférences Hack in Paris (23-27 juin ). 12 conférences, 10 ateliers techniques se tiendront durant toute la durée du traditionnel concours de hacking informatique (CTF). Comme les années précédentes, cette manifestation ouverte à tous, se déroulera dans l’enceinte d’Eurodisney, du 28 au 29 juin prochain. Rappelons que la conférence Hack in Paris, destinée aux professionnels de la sécurité, aura lieu les jours précédents, du 23 au 27 juin, même lieu. Les inscriptions seront possibles jusqu’au jour d’ouverture.

Deux nouveautés en 2014. Une chasse au bug dotée d’un montant de 5000 euros est proposée par la société Qwant. Et surtout, dès potron-Minnie (de 10H à 18 H) se déroulera la NDH Kids, parrainée par l’Esiea. Les hackers de 8 à 16 ans suivront les traces de Géo Trouvetou, un éventail d’ateliers les attend. Une source occulte et généralement digne de foi nous laisse entendre que l’on attend une invasion de dominoux.

Tout comme l’an passé, sous la double casquette CNIS Mag/Electrolab, notre équipe animera deux ateliers techniques sur les principes du « software defined » et sur l’instrumentation de précision dans le domaine des mesures électriques et radioélectriques.

La base de données clients de eBay a été « intrusée », laissant sans défense près de 145 millions de possesseurs de comptes inscrits sur ce site d’e-commerce. L’attaque, précise le communiqué US, a été rendue possible grâce au vol préalable d’identifiants d’employés de l’entreprise. C’est donc via le réseau interne que s’est perpétré le vol massif.

Le communiqué en langue française, en revanche, est un peu plus inquiétant. Il précise notamment « Pensez à utiliser des mots de passe différents pour tous vos sites et tous vos comptes. Si votre mot de passe est identique, prenez le temps de le changer partout ». Ce qui, sur le coup, semblait indiquer assez clairement que les hash des mots de passe n’étaient pas salés. Car, à moins de vouloir faire passer un message subliminal, à quoi d’autre pourrait bien servir un « conseil en matière de sécurité informatique » émis de la part d’une entreprise qui n’a pas su garantir ladite sécurité. Et ce malgré les formules émaillant le début du communiqué telles que « Nous accordons une importance primordiale à la sécurité de notre site ».

Une simple analyse des habitudes d’usage tend à prouver que la majorité des clients des grands sites marchands (eBay parmi tant d’autres) utilisent les mêmes identifiants et mots de passe avec les services de payement en ligne, Paypal notamment. Si l’hypothèse du non-salage des hash stockés par eBay se confirme, les usagers devront en priorité surveiller l’activité de leurs comptes et redoubler de méfiance envers tout email de phishing visant à récupérer les codes CVV.

1 juillet 2014, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Entreprise Mobile, Sociale et dans le Cloud

Nouvelles Vulnérabilités et Cybermenaces : comment assurer sa cybersécurité ?

Conseils & Solutions

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Un thème récurrent qui a encore toute sa place face à l’ouverture du SI. La tendance à la consumérisation des outils de travail, au Bring Your Own Device, au BYO ID dorénavant, l’utilisation intensive des réseaux sociaux dans le business, l’ouverture du SI aux partenaires et fournisseurs sont autant de nouvelles préoccupations en termes de sécurité pour la DSI sans compter l’employé désormais mobile. Quels risques ? Quelles menaces ? Comment se défendre ? Etat de l’art des vulnérabilités potentielles et conseils et solutions.

Exceptionnellement afin de fêter la trêve estivale, à l’issue de cette matinée, autour d’un verre de champagne nous procéderons à un tirage au sort avec à la clé le Nouvel ipad et d’autres tablettes sous Android à gagner.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question des changements d’habitudes sociétales qui ont permis de faire entrer dans le système d’information les réseaux sociaux, la consumérisation des équipements et ce, en plus de la mobilité des employés quand ils ne travaillent pas de chez eux … Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Agenda

• • 8H30 – Accueil des participants : petit-déjeuner et Networking
  • 9H00 – Vulnérabilités et cybermenaces des SI Modernes, Frédéric Connes, expert sécurité chez HSC ,
  • 9H20 – Expertise sécurité, retour terrain de Sourcefire/Cisco
  • 9H40 – Conseils, guide et expertise, par Chadi Hantouche du Pôle Sécurité Solucom 
  • 10H00 – Expertise sécurité, retour terrain par un spécialiste NTT Security/Checkpoint
  • 10H20 – Panel sur « Entreprise Mobile, Sociale et dans le Cloud : Comment assurer sa cybersécurité ?» avec un avocat qui abordera la partie juridique, Justin Ganivet, Consultant sécurité Lexsi qui nous parlera de son vécu terrain et de ses solutions, un consultant pour la stratégie, Patrick Duboys, à la tête d’une statut-up qui parlera de sécurisation des identités et des échanges numériques , Médéric Leborgne, Directeur Technique Blackberry nous parlera de l’ouverture de la plateforme d’administration à toutes les tablettes et PDAs du marché. Animé par un analyste ou un journaliste IT
  • 11H00 – PAUSE Networking
  • 11H20 – Retour terrain mise en oeuvre de la Sécurité au sein d’une entreprise moderne, par CEIS
  • 11H40 – Retour Terrain : expertise sécurité par un spécialiste du marché
  • 12H00 – Minute Juridique : les impacts juridiques du SI moderne par Maîtres Olivier Itéanu et Garance Mathias
  • 12H20 – Tirage au sort de Tablettes (Nouvel Ipad & tablettes Android, Samsung et co.) autour d’un verre de champagne
  • 13H 00– Clôture de la conférence

Administration de la Sécurité du SI :

Quelle organisation ?

IAM, SIEM, Big Data, conformité, gestion de risques, des suites de sécurité …

Outils, Conseils & Stratégie

Lazaro Pejsachowicz, Président du Clusif

Administration du SI : périmètre & risques  vulnérabilités et n 

Télécharger les slides : présentation de Lazaro Pejsachowicz

 

Intervention de Olivier Morel, Directeur Avant ventes Ilex

SSO : confort ou sécurité ?

Télécharger les slides : présentation de Olivier Morel

 

Bertrand Carlier, Pôle Sécurité Solucom

Conseils, guide et expertise, gestion des comptes à privilège s sur l’identité numérique et le BYOID  

Télécharger les slides : présentation de Bertrand Carlier

Panel sur « Administration de la sécurité : quel périmètre ? Quelle organisation ?» 

avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique, Geral Oualid, membre fondateur de l’association R2GS qui parlera de cyberdéfense et SIEM, Edouard jeanson, Directeur du pôle Sécurité chez Sogeti qui donnera ses conseils en la matière, Thierry Autrey, RSSI groupement des cartes bancaires qui parlera de risques et Médéric Leborgne, Directeur Technique de RIM nous parlera de l’ouverture de la plateforme d’administration du Blackberry à toutes les tablettes et PDAs du marché. Animé par un journaliste/ analyste IT

 

 

Nicolas Ruff, Chercheur EADS

Tendance : Administration 3.0 ? nseils, guide et expertises 

Télécharger les slides : présentation de Nicolas ruff

 

Maîtres Olivier Itéanu et Garance Mathias, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : réponses à vos questions d’ordre juridique les impacts juridiqréseaux sociaux 

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com (un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

 

 

Administration de la Sécurité du SI :

Quelle organisation ?

IAM, SIEM, Big Data, conformité, gestion de risques, des suites de sécurité …

Outils, Conseils & Stratégie

Lazaro Pejsachowicz, Président du Clusif

Administration du SI : périmètre & risques  vulnérabilités et n 

Télécharger les slides : présentation de Lazaro Pejsachowicz

 

Intervention de Olivier Morel, Directeur Avant ventes Ilex

SSO : confort ou sécurité ?

Télécharger les slides : présentation de Olivier Morel

 

Bertrand Carlier, Pôle Sécurité Solucom

Conseils, guide et expertise, gestion des comptes à privilège s sur l’identité numérique et le BYOID  

Télécharger les slides : présentation de Bertrand Carlier

Panel sur « Administration de la sécurité : quel périmètre ? Quelle organisation ?» 

avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique, Geral Oualid, membre fondateur de l’association R2GS qui parlera de cyberdéfense et SIEM, Edouard jeanson, Directeur du pôle Sécurité chez Sogeti qui donnera ses conseils en la matière, Thierry Autrey, RSSI groupement des cartes bancaires qui parlera de risques et Médéric Leborgne, Directeur Technique de RIM nous parlera de l’ouverture de la plateforme d’administration du Blackberry à toutes les tablettes et PDAs du marché. Animé par un journaliste/ analyste IT

 

 

Nicolas Ruff, Chercheur EADS

Tendance : Administration 3.0 ? nseils, guide et expertises 

Télécharger les slides : présentation de Nicolas ruff

 

Maîtres Olivier Itéanu et Garance Mathias, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : réponses à vos questions d’ordre juridique les impacts juridiqréseaux sociaux  

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com (un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

 

 

BIG DATA, CLOUD & VIRTUALISATION :

Quelle Sécurité ?

Amaury COTHENET, expert du CERT Lexsi

Panorama des menaces et risques pour le SI vulnérabilités et n 

Télécharger les slides : présentation de Amaury COTHENET

 

Intervention de Bernard Montel, Directeur Technique RSA

Lutte contre la fraude, détection des menaces : le Big Data au service de la sécurité

Télécharger les slides : présentation de Bernard Montel

 

Chadi Hantouche, Manager en risk management et sécurité de l’information chez Solucom

Conseils, guide et expertises sur l’identité numérique et le BYOID  

Télécharger les slides : présentation de Chadi Hantouche

Panel sur Big Data, Cloud & Virtualisation : quelle sécurité

avec Eric Barbry du cabinet Alain Bensoussan Avocats qui abordera la partie juridique ; retour terrain d’Hervé Schauer, PDG HSC consulting, Edouard Jeanson, VP & Directeur Technique de l’activité Sécurité de Sogeti Groupe , Nicolas Ruff, Chercheur chez EADS Labs. & Sylvain Siou, Nutanix, Animé par un analyste, Bertrand Garé

 

 

Point de vue de Gilles Maghami, Informatica

Expertise Terrain, point de vue d’un expert Sécurité sur le Big Data, le Cloud et la Sécuriténseils, guide et expertises 

Télécharger les slides : présentation de Gilles Maghami

 

Maîtres Garance Mathias et Raoul Fuentes, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : réponses à vos questions d’ordre juridique les impacts juridiqréseaux sociaux 

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com (un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

 

 

Nouveaux usages et protection du S.I. : 

Mobilité, BYOD, Réseaux Sociaux, AppMarkets …

Panorama des menaces, conseils et solutions
pour sécuriser un SI ouvert

 

Guillaume LAUDIERE, Consultant sécurité Lexsi

Panorama et risques des SI Modernes xxxxxxx vulnérabilités et n 

Télécharger les slides : présentation de Guillaume LAUDIERE

 

 

Intervention de Olivier Morel, Directeur avant-vente Ilex

Mobilité, consumérisation, réseaux sociaux : Impact sur l’évolution des solutions 

Intervention de Patrick Marache, expert sécurité chez Solucom

Conseils, guide et expertises sur l’identité numérique et le BYOID 

Télécharger les slides : présentation de Patrick Marache

Intervention de Philippe Langlois, Immunapp, spinoff de P1 Security pour le mobile

Expertise Terrain, point de vue d’un expert Sécurité Conseils, guide et expertises 

Maîtres Garance Mathias et Olivier Iteanu, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : les impacts juridiques du SI moderne, comment adhérer au BYOD, utilisation des réseaux sociaux 

Intervention de Cyril Solomon, expert sécurité, cabinet HSC Consulting

Hack en direct d’un device dans la salle (tablette, smartphone), étape par étape 

 

 

Panel sur « Risques et Sécurisation des SI modernes» 

avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique, présentation d’une étude sur les nouveaux usages par Yves Tapia, Avanade, Thierry Chiofalo, RSSI membre du Clusif qui parlera de son expérience terrain, Médéric Leborgne, Directeur Technique de RIM nous parlera de l’ouverture de la plateforme d’administration du Blackberry à toutes les tablettes et PDAs du marché. Animé par Animé par Bertrand Garé, Analyste

 

 

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com (un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

 

BIG DATA, CLOUD & VIRTUALISATION :

Quelle Sécurité ?

Amaury COTHENET, expert du CERT Lexsi

Panorama des menaces et risques pour le SI vulnérabilités et n 

Télécharger les slides : présentation de Amaury COTHENET

 

Intervention de Bernard Montel, Directeur Technique RSA

Lutte contre la fraude, détection des menaces : le Big Data au service de la sécurité

Télécharger les slides : présentation de Bernard Montel

 

Chadi Hantouche, Manager en risk management et sécurité de l’information chez Solucom

Conseils, guide et expertises sur l’identité numérique et le BYOID 

Télécharger les slides : présentation de Chadi Hantouche

Panel sur Big Data, Cloud & Virtualisation : quelle sécurité

avec Eric Barbry du cabinet Alain Bensoussan Avocats qui abordera la partie juridique ; retour terrain d’Hervé Schauer, PDG HSC consulting, Edouard Jeanson, VP & Directeur Technique de l’activité Sécurité de Sogeti Groupe , Nicolas Ruff, Chercheur chez EADS Labs. & Sylvain Siou, Nutanix, Animé par un analyste, Bertrand Garé

 

 

Point de vue de Gilles Maghami, Informatica

Expertise Terrain, point de vue d’un expert Sécurité sur le Big Data, le Cloud et la Sécuriténseils, guide et expertises 

Télécharger les slides : présentation de Gilles Maghami

 

Maîtres Garance Mathias et Raoul Fuentes, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : réponses à vos questions d’ordre juridique les impacts juridiqréseaux sociaux 

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com (un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

 

 

Nouveaux usages et protection du S.I. : 

Mobilité, BYOD, Réseaux Sociaux, AppMarkets …

Panorama des menaces, conseils et solutions
pour sécuriser un SI ouvert

 

Guillaume LAUDIERE, Consultant sécurité Lexsi

Panorama et risques des SI Modernes vulnérabilités et n

Télécharger les slides : présentation de Guillaume LAUDIERE

 

 

Intervention de Olivier Morel, Directeur avant-vente Ilex

Mobilité, consumérisation, réseaux sociaux : Impact sur l’évolution des solutions 

Intervention de Patrick Marache, expert sécurité chez Solucom

Conseils, guide et expertises sur l’identité numérique et le BYOID 

Télécharger les slides : présentation de Patrick Marache

Intervention de Philippe Langlois, Immunapp, spinoff de P1 Security pour le mobile

Expertise Terrain, point de vue d’un expert Sécurité Conseils, guide et expertises 

Maîtres Garance Mathias et Olivier Iteanu, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : les impacts juridiques du SI moderne, comment adhérer au BYOD, utilisation des réseaux sociaux 

Intervention de Cyril Solomon, expert sécurité, cabinet HSC Consulting

Hack en direct d’un device dans la salle (tablette, smartphone), étape par étape 

 

 

Panel sur « Risques et Sécurisation des SI modernes» 

avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique, présentation d’une étude sur les nouveaux usages par Yves Tapia, Avanade, Thierry Chiofalo, RSSI membre du Clusif qui parlera de son expérience terrain, Médéric Leborgne, Directeur Technique de RIM nous parlera de l’ouverture de la plateforme d’administration du Blackberry à toutes les tablettes et PDAs du marché. Animé par Animé par Bertrand Garé, Analyste

 

 

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com (un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

 

Une conférence sécurité sans ses « short tracks » est un peu comme un repas sans dessert. Les recherches qui y sont généralement présentées n’ont certes pas la consistance d’un plat de résistance d’une heure d’explications techniques, mais leur brièveté, leur légèreté (et l’humour de certains intervenants) les rendent considérablement plus digestes.

Ainsi Eric Leblond (Regit), a rapidement parlé des performances de Coccigrep, un grep sémantique dérivé de Coccinelle, capable, par exemple, d’effectuer des séries de recherches-remplacements d’expressions en langage C (et non seulement de chaines de caractères) sur une multitude de fichiers. Ses écrans de présentation sont à télécharger sur son site. Jamais l’on n’aurait pu penser qu’un outil aussi puissant et pratique puisse être disponible.

Laurent Penou (Lyra Network) est plutôt connu dans le petit monde infosec pour parler très sérieusement et très techniquement des questions d’intégration de la sécurité dans les systèmes de payement par carte. Mais cette année, son intervention fut aussi humoristique que critique, et abordait les hiatus constatés lors de l’utilisation de cartes de payement à usage unique et valeur d’achat plafonnée. Présentées par les organismes bancaires comme la réponse absolue à toutes les possibilités de fraude durant un achat en ligne, il apparaît que les transactions ainsi faites ne sont ni exemptes de fuites d’information, ni très strictes en matière de confidentialité des procédures d’autorisation de payement. Quant aux mécanismes d’autorisation (contrôles de plafond de carte) ou vérification du pays d’origine, ils sont pratiqués souvent avec une certaine fantaisie qui, parfois, provoque des refus bancaires totalement inattendus.

En fin de conférence deux « mini-interventions » ont parfaitement illustré les propos du « keynote speaker » Edmond Rogers sur les limites des protections numériques comparées aux limites des sécurités physiques. L’une décrivait une récente attaque visant des distributeurs automatiques de billets (DAB), dont le système a pu être « rooté » en exploitant un défaut de sécurité physique et un accès non prévu au port USB de l’imprimante intégrée audit distributeur. Lequel port permettait à son tour tout type d’injection dans le noyau du système DAB, généralement un Windows XP. La faille exploitée offrait aux intrus la possibilité de vider totalement la réserve de billets contenue dans le DAB. L’enquête de police étant toujours en cours, il est délicat d’en dire plus long.

Un autre « ligtning talk », bien plus hilarant (et tout aussi anonyme), montrait comment accéder au système d’un de ces terminaux publics installés dans certaines boutiques de distribution de nourriture aussi peu gastronomique que rapide à ingurgiter. Une fois de plus, un excès de confiance dans l’usage de commandes cachées et dans l’aspect « inviolable » de la configuration matérielle a endormi la vigilance des responsables sécurité desdites chaînes d’alimentation industrielles. Junk food, junk security.