Ce n’est plus un secret : nos organisations font partie des cibles favorites de pirates en tout genre. Et pourtant, la sécurité de nos systèmes d’information est encore trop souvent considérée comme une épine dans le pied de la gestion de nos structures. Il est temps que cela change ! Découvrez en un évènement les enjeux stratégiques liés à la sécurité de nos entreprises, ainsi que des solutions et outils concrets à mettre en place, en fonction des différentes couches de sécurité.
Je suis l’invitée d’honneur d’OCI Informatique pour une série de conférences à l’attention de tous les dirigeants, directeurs des systèmes d’information, responsables de l’informatique… qui souhaitent protéger leurs entreprises des menaces liées à la sécurité, et se tenir au courant des dernières nouveautés du domaine.
Ce n’est plus un secret : nos organisations font partie des cibles favorites de pirates en tout genre. Et pourtant, la sécurité de nos systèmes d’information est encore trop souvent considérée comme une épine dans le pied de la gestion de nos structures. Il est temps que cela change ! Découvrez en un évènement les enjeux stratégiques liés à la sécurité de nos entreprises, ainsi que des solutions et outils concrets à mettre en place, en fonction des différentes couches de sécurité.
Je suis l’invitée d’honneur d’OCI Informatique pour une série de conférences à l’attention de tous les dirigeants, directeurs des systèmes d’information, responsables de l’informatique… qui souhaitent protéger leurs entreprises des menaces liées à la sécurité, et se tenir au courant des dernières nouveautés du domaine.
Ce n’est plus un secret : nos organisations font partie des cibles favorites de pirates en tout genre. Et pourtant, la sécurité de nos systèmes d’information est encore trop souvent considérée comme une épine dans le pied de la gestion de nos structures. Il est temps que cela change ! Découvrez en un évènement les enjeux stratégiques liés à la sécurité de nos entreprises, ainsi que des solutions et outils concrets à mettre en place, en fonction des différentes couches de sécurité.
Je suis l’invitée d’honneur d’OCI Informatique pour une série de conférences à l’attention de tous les dirigeants, directeurs des systèmes d’information, responsables de l’informatique… qui souhaitent protéger leurs entreprises des menaces liées à la sécurité, et se tenir au courant des dernières nouveautés du domaine.
À l’occasion du CyberMoi/s, le Mois européen de la cybersécurité, le think tank Renaissance Numérique et Kaspersky France organisent un débat en ligne dédié aux enjeux du chiffrement. Réunissant experts en cybersécurité, fournisseurs de technologies, représentants des forces de l’ordre, chercheurs et avocats, cette table ronde visera à dresser un état des lieux des technologies de chiffrement et de leurs perspectives d’avenir, et à questionner le cadre juridique qui les entoure.
Fin avril 2021, Gérald Darmanin, ministre de l’Intérieur, déclarait qu’il était nécessaire de laisser le gouvernement « rentrer et faire des failles de sécurité » au sein des messageries cryptées pour mener des enquêtes. Une déclaration qui fait écho à celle des ministères américain, australien et britannique de la Justice, qui dans une prise de parole conjointe ont souligné les « défis importants à la sécurité publique » que pose le chiffrement moderne, et exhorté les acteurs de la tech à mettre en œuvre des « solutions raisonnables et techniquement réalisables » pour permettre aux autorités d’accéder à des portes dérobées (backdoors) lorsque cela est nécessaire.
Ces demandes croissantes des autorités publiques soulèvent plusieurs enjeux. D’une part en matière de cybersécurité : peut-on réellement affaiblir les solutions de chiffrement sans fragiliser la cybersécurité des services informatiques concernés ? Les révélations récentes sur la société américaine Juniper Networks, celles du Washington Post concernant la société suisse Crypto AG ou plus récemment le projet Pegasus ont mis en lumière les risques de cet affaiblissement et la nécessité d’un encadrement robuste de ces pratiques. Par ailleurs, les enjeux de sécurité justifient-ils d’empiéter sur la vie privée des citoyens ? Alors que certains groupes de conversation sur Telegram ou WhatsApp réunissent plusieurs centaines de personnes, doit-on toutefois encore considérer ces espaces comme relevant de la vie privée ? Et dès lors, comment garantir l’équilibre entre le droit à la sécurité et le droit à la vie privée ?
Je suis extatique : l’ami Jean-Philippe Gaulier a eu cette super idée de rassembler quelques-uns des journalistes du numérique les plus remarquables en France. Comme plus on est des fous, plus on a du riz, Marie Fernet (avocate du numérique) et moi nous sommes jointes à l’initiative. Le résultat ? Quatre journalistes exceptionnels nous parleront de leur rôle d’ « observacteurs » du numérique en France.
Dans un contexte de médiatisation croissante de la cybersécurité et de course à l’information sensationnelle et instantanée, la webconférence Le Netmask et la Plume est l’occasion de mettre en lumière les acteurs qui analysent l’évolution du numérique sur le long terme dans le but d’informer et de sensibiliser. En laissant la parole aux journalistes du secteur, cet événement représente une opportunité unique d’en apprendre plus sur des sujets dont ils sont devenus des experts.
La webconférence se déroulera le 30 juin de 14h à 18h. L’inscription est gratuite sur Helloasso. (Ne vous faites pas avoir : HelloAsso demande une adresse physique pour chaque personne organisant un évènement, mais notre conférence se tient bien en ligne).
Ravie et honorée d’animer l’édition de juin 2021 des Petits-déjeuners GEF. GEF, c’est l’association des Grandes Ecoles au Féminin. Elle réunit des représentants des associations d’ancien-nes élèves de 10 grandes écoles : Centrale Paris, ENA, École des Ponts ParisTech, ESCP Europe, ESSEC, HEC, INSEAD, Mines ParisTech, Polytechnique et Sciences Po.
Le numérique fait partie intégrante de notre quotidien. La pandémie de coronavirus a renforcé le constat que la technologie n’est pas un privilège. Et pourtant, nous continuons à percevoir l’aspect connecté de nos vies comme quelque chose d’extraordinaire tant la complexité technologique nous dépasse parfois. Lors de cet échange, nous essayerons de mieux saisir Internet pour mieux en saisir les enjeux pour notre quotidien.
Le comité d’organisation du Forum sur La Gouvernance de l’Internet en France est heureux de vous convier à un nouvel Atelier de l’avenir numérique, cycle d’événements organisé dans le cadre du Forum sur la Gouvernance de l’Internet.
Ces ateliers permettent d’avoir un espace de dialogue multi parties-prenantes sur la gouvernance de l’Internet. De plus, chaque atelier produit une ou plusieurs propositions concrètes pour améliorer l’avenir du numérique. Ces propositions sont diffusées et seront portées à l’IGF Monde.
Ce troisième rendez-vous abordera la question de la résilience de l’Internet et des enjeux de cybersécurité pour la France. Cet atelier est co-organisé par l’Arcep et l’Afnic.
Programme
17h15 : Accueil des participants et mot d’introduction
17h30 : Première table ronde : Résilience d’internet, vers une résilience de la société ?
La crise sanitaire a mis en évidence le rôle indispensable d’internet dans le quotidien des français. Malgré une augmentation exceptionnelle du trafic lors du premier confinement, les réseaux ont tenu le coup et se sont montrés résilients. Pilier de la continuité de notre vie sociale, économique et éducative, internet a joué un rôle vital dans notre quotidien durant cette période de crise. Garantir la résilience d’internet est une responsabilité collective, ainsi la mobilisation des différents acteurs de l’écosystème est nécessaire pour préserver ce bien commun qu’est internet.
Modérateur : Samih Souissi, Arcep, membre du comité d’organisation du FGI France
Participants
Oriane Piquer-Louis, Présidente, Fédération FDN
Olivier Corolleur, sous-directeur des communications électroniques et des postes, DGE
Francesca Musiani, Chargé de recherche, CNRS, Vice-Présidente recherche de l’Internet Society France
18h15 : Deuxième table ronde : Cybersécurité, vers une nouvelle souveraineté numérique ?
Modérateur : Lucien Castex, Afnic, co-président du comité d’organisation du FGI France
Participants
Rayna Stamboliyska, Vice-Présidente Governance & Public Affairs, YesWeHack
Le travail à distance et la mobilité en général ne sont pas des sujets récents. Cependant, leur usage a été brusquement étendu à l’occasion de la crise sanitaire vécue depuis mars 2020. C’est donc un enjeu croissant pour les RSSI qui voient le périmètre du système d’information s’adapter aux besoins des organisations. Les RSSI ont également besoin d’adapter les moyens de sécurisation à ce nouveau contexte.
Cette prise en compte du travail « hors les murs » amène à enrichir certaines pratiques telles que la sensibilisation. De même, elle pourra aussi appuyer sur des moyens techniques (e.g., Mobile Device Management) et s’enrichir de principes tels que le passwordless, le device fingerprinting, etc.
J’y interviens avec Pierre Raufast pour parler de risques psycho-sociaux. L’humain est au centre des défis, mais pas seulement en tant que « maillon faible », pour reprendre l’expression fort usitée. Nous ferons un retour sur le travail fait en 2020. Ce dernier a donné lieu à un ensemble de recommandations que nous avons co-édité. Il est disponible en accès libre sous le titre « Télétravail, cybersécurité, collaborateurs : les nouveaux équilibres ».
Petit précis pour celles et ceux qui n’ont pas écouté en classe 😉 Une mission d’information mène des travaux relatifs à « des sujets sensibles ou des thèmes d’actualité intéressant tous les groupes politiques et toutes les commissions ». Ce travail de collecte d’éléments se fait via des auditions et est nécessairement limité dans le temps. Elle aboutit à la rédaction d’un rapport et peut se conclure par un débat sans vote, une proposition de loi, un projet de loi porté par le gouvernement, voire un décret. Ainsi, la mission à laquelle je suis auditionnée doit fournir son rapport d’ici juin 2021.
La mission à laquelle je suis auditionnée est destinée à la Conférence des Présidents. La Conférence des Présidents a pour fonction, au Sénat comme à l’Assemblée, de préparer l’organisation du travail parlementaire, de fixer le calendrier de l’examen et de la discussion des textes. Voyons donc voir ce qui sortira de ce travail 🙂
🎥 Comme l’audition est « ouverte à la presse » et publique, vous pouvez la suivre en direct sur la chaîne vidéo de l’Assemblée.
Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Je poursuis mes efforts de pédagogie autour de la divulgation coordonnée de vulnérabilités en démystifiant l’outil de gouvernance qu’est la politique de divulgation. L’article est à lire dans le 14e numéro de Cyberun. Le texte complet est ci-dessous.
Plus de services et de nouvelles fonctionnalités signifie toujours plus de code et de composants en interaction ; ce qui, à son tour, signifie une surface d’attaque toujours croissante. Ce constat est d’autant plus vrai avec les cycles agiles : les services arrivent plus rapidement sur le marché, mais trouver toutes les vulnérabilités avant la mise en production est quasiment impossible. Même si l’inspection des vulnérabilités à la conception (security by design) et pendant le développement est de plus en plus adoptée, ces approches excluent les besoins de sécurité d’exécution, où des mécanismes techniques externes au code sont à l’oeuvre.
Les inspections occasionnelles, telles que les tests d’intrusion annuels, prédominent. Bien qu’utiles pour la conformité, elles ne reflètent pas des menaces réalistes et ne tiennent pas compte de l’expansion de la surface d’attaque. Des vulnérabilités non corrigées persistent et peuvent ne jamais être découvertes par ces contrôles occasionnels, augmentant ainsi le risque de sécurité pour tous les acteurs légitimes.
Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Cette fois, ma contribution est sur l’un de mes sujets principaux : comment, quand on ne fait pas partie d’une organisation, on l’informe de problèmes techniques avec un impact sur la sécurité. L’article est à lire dans le 12e numéro de Cyberun. Le texte complet est ci-dessous.
De la qualité du code des applicatifs (sites web, développements « maison », etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ?
La divulgation coordonnée de vulnérabilités (CVD en bref pour Coordinated Vulnerability Disclosure) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique.
Toutefois, le « premier contact » est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité.
Ravie de contribuer une pleine page sur le darkweb ! Après en avoir écrit des dizaines dans La face cachée d’Internet, il reste important de continuer à suivre les évolutions du cyberespace. Ma contribution aborde le mythe qu’il s’agit d’un espace sans foi ni loi. Elle est à lire dans le 9e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous (j’ai ajouté des intertitres pour faciliter la lecture).
Activité en pleine croissance, les Cyberattacks-as-a-Service (CaaS) – mise à disposition de briques logicielles permettant une activité malveillante « simplifiée » – se révèle facilement sur le darkweb et illustre bien l’économie sous-jacente de la cybercriminalité.
Sur invitation du Département Intelligence et Sécurité Economiques de l’INHESJ (Institut National pour les Hautes Etudes pour la Sécurité et la Justice), j’assurerai un séminaire pour la Session Nationale 2019/2020 « Protection des entreprises et intelligence économique ». C’est la deuxième année consécutive que j’interviendrai auprès des auditeurs de l’INHESJ. Cette fois sera fort probablement la dernière : l’INHESJ sera malheureusement fermé fin 2020.
Pour ce séminaire, j’aborderai les défis et enjeux de cybersécurité 2 ans après la sortie de « La face cachée d’Internet ». En effet, même si les enjeux restent les mêmes, le paysage a bien changé et ces bouleversements permettent de mieux étoffer une analyse géopolitique de la cybersécurité. Je parlerai notamment de l’évolution de la menace à travers le remodelage du paysage hacktiviste et de l’implication croissante d’acteurs étatiques avec un focus sur la Russie et la Chine.
Ravie de contribuer une pleine page sur la question épineuse mais passionnante de la diversité dans la cybersécurité ! Ma contribution aborde les profils atypiques dans le domaine. Elle est à lire dans le 8e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous.
Nous oublions trop souvent que « diplôme » n’est pas synonyme de « bon professionnel » : le parcours dans son entièreté et l’expérience sont les compétences à valoriser.
Trop souvent encore, une vision sensibleement « ossifiée » sévit : pas de diplôme d’ingénieur, pas de poste en sécurité. Si, pour des postes plus seniors, l’interview avec des opérationnels précède souvent l’étape RH, cette dernière reste un passage obligé pour tout collaborateur qui débute dans le domaine de la cybersécurité. « Le candidat n’a pas le bon diplôme » est un argument prépondérant pour rejeter un CV.
Considéré à juste titre comme un espace où prolifèrent des activités malveillantes, le darkweb continue à faire des émules. Au-delà de l’aspect sensationnaliste de cet espace numérique, il convient de replacer sa signification et portée à sa juste place. J’ai écrit cet article sur invitation pour Les Grands Dossiers de la Diplomatie (n°52).
Le n°52 des Grands Dossiers de la Diplomatie est consacré à la géopolitique de la criminalité. J’ai l’honneur et le plaisir d’y traiter la cybercriminalité sur le darkweb.
