Plateformes numériques et télétravail : quelle souveraineté de nos données ?

Par défaut

juin 23, 2021 @ 11:45 12:30 UTC+1

📢 J’interviens, le 23 juin prochain, lors d’une table ronde au Congrès Télétravail à Lyon :

L’urgence de mettre en place le télétravail nous a permis de découvrir et de faire usage de nombreux outils que sont les plateformes numériques, aussi bien pour un usage professionnel que personnel. L’augmentation des attaques dites de phishing pose la question de la captation de nos données par un tiers malveillant, du fait bien souvent de l’usage de matériel peu ou mal « outillés » en termes de sécurité. L’usage des plateformes numériques pose d’autres interrogations. Notamment celle de la souveraineté de nos données numériques, de leur stockage et de leur utilisation grâce à un « J’accepte » trop rapidement et facilement obtenu. « Pas de souveraineté nationale sans souveraineté numérique » déclarait Pierre Bellanger au moment de la création du Conseil national du numérique. Mais sans aller à l’échelle de la nation, entreprises et télétravailleurs, via les plateformes numériques, se retrouvent exposés à ces cyber conflits, et autres débats entre autonomie numérique, souveraineté et protectionnisme…

🔆 Mon intervention se fait en tant que membre du Clusif, association de référence de la sécurité du numérique en France, et l’un des partenaires institutionnels du Congrès. La mission du Clusif est de favoriser les échanges d’idées et de retours d’expérience via des groupes de travail, des conférences et des publications.

Détails

Date :
juin 23
Heure :
11:45 – 12:30 UTC+1
Prix :
57€
Catégorie d’évènement:
Table ronde
Étiquettes évènement :
cybersécurité, télétravail
Site Web :
https://www.congresteletravail.com/le-programme/plateformes-numeriques-et-teletravail

Internet français : entre résilience et enjeux de cybersécurité

Internet français : entre résilience et cybersécurité
Par défaut

mai 11, 2021 @ 5:15 7:00 UTC+1

Le comité d’organisation du Forum sur La Gouvernance de l’Internet en France est heureux de vous convier à un nouvel Atelier de l’avenir numérique, cycle d’événements organisé dans le cadre du Forum sur la Gouvernance de l’Internet.

Ces ateliers permettent d’avoir un espace de dialogue multi parties-prenantes sur la gouvernance de l’Internet. De plus, chaque atelier produit une ou plusieurs propositions concrètes pour améliorer l’avenir du numérique. Ces propositions sont diffusées et seront portées à l’IGF Monde.

Ce troisième rendez-vous abordera la question de la résilience de l’Internet et des enjeux de cybersécurité pour la France. Cet atelier est co-organisé par l’Arcep et l’Afnic.

Programme

17h15 : Accueil des participants et mot d’introduction

17h30 : Première table ronde : Résilience d’internet, vers une résilience de la société ? 

La crise sanitaire a mis en évidence le rôle indispensable d’internet dans le quotidien des français. Malgré une augmentation exceptionnelle du trafic lors du premier confinement, les réseaux ont tenu le coup et se sont montrés résilients. Pilier de la continuité de notre vie sociale, économique et éducative, internet a joué un rôle vital dans notre quotidien durant cette période de crise. Garantir la résilience d’internet est une responsabilité collective, ainsi la mobilisation des différents acteurs de l’écosystème est nécessaire pour préserver ce bien commun qu’est internet.

Modérateur : Samih Souissi, Arcep, membre du comité d’organisation du FGI France

Participants

  • Oriane Piquer-Louis,  Présidente, Fédération FDN
  • Olivier Corolleur, sous-directeur des communications électroniques et des postes, ‎DGE
  • Francesca Musiani, Chargé de recherche, CNRS, Vice-Présidente recherche de l’Internet Society France

18h15 : Deuxième table ronde : Cybersécurité, vers une nouvelle souveraineté numérique ?

Modérateur : Lucien Castex, Afnic, co-président du comité d’organisation du FGI France

Participants

  • Rayna Stamboliyska, Vice-Présidente Governance & Public Affairs, YesWeHack
  • Philippe Latombe, Député de la Vendée
  • Représentant ANSSI (en attente de validation)
Gratuit

La mobilité en 2021 : enjeux et solutions

Comment s'organiser et gérer son temps en télétravail
Par défaut

avril 22, 2021 @ 3:00 5:00 UTC+1

Le travail à distance et la mobilité en général ne sont pas des sujets récents. Cependant, leur usage a été brusquement étendu à l’occasion de la crise sanitaire vécue depuis mars 2020. C’est donc un enjeu croissant pour les RSSI qui voient le périmètre du système d’information s’adapter aux besoins des organisations. Les RSSI ont également besoin d’adapter les moyens de sécurisation à ce nouveau contexte.

Cette prise en compte du travail “hors les murs” amène à enrichir certaines pratiques telles que la sensibilisation. De même, elle pourra aussi appuyer sur des moyens techniques (e.g., Mobile Device Management) et s’enrichir de principes tels que le passwordless, le device fingerprinting, etc.

J’y interviens avec Pierre Raufast pour parler de risques psycho-sociaux. L’humain est au centre des défis, mais pas seulement en tant que “maillon faible”, pour reprendre l’expression fort usitée. Nous ferons un retour sur le travail fait en 2020. Ce dernier a donné lieu à un ensemble de recommandations que nous avons co-édité. Il est disponible en accès libre sous le titre “Télétravail, cybersécurité, collaborateurs : les nouveaux équilibres”.

🎥 Vous pouvez suivre le live sur la chaîne YouTube du CLUSIF.

Gratuit

Audition à l’Assemblée nationale : Souveraineté numérique

Audition à l'Assemblée sur la souveraineté numérique. Image par le PS sur Flickr, CC-by-NC-ND 2.0
Par défaut

avril 8, 2021 @ 11:00 12:30 UTC+1

Un évènement pas comme les autres 🙂 Je suis auditionnée à l’Assemblée nationale le 8 avril prochain, devant la Mission d’information parlementaire intitulée “Souveraineté numérique nationale et européenne”.

Petit précis pour celles et ceux qui n’ont pas écouté en classe 😉 Une mission d’information mène des travaux relatifs à “des sujets sensibles ou des thèmes d’actualité intéressant tous les groupes politiques et toutes les commissions”. Ce travail de collecte d’éléments se fait via des auditions et est nécessairement limité dans le temps. Elle aboutit à la rédaction d’un rapport et peut se conclure par un débat sans vote, une proposition de loi, un projet de loi porté par le gouvernement, voire un décret. Ainsi, la mission à laquelle je suis auditionnée doit fournir son rapport d’ici juin 2021.

La mission à laquelle je suis auditionnée est destinée à la Conférence des Présidents. La Conférence des Présidents a pour fonction, au Sénat comme à l’Assemblée, de préparer l’organisation du travail parlementaire, de fixer le calendrier de l’examen et de la discussion des textes. Voyons donc voir ce qui sortira de ce travail 🙂

🎥 Comme l’audition est “ouverte à la presse” et publique, vous pouvez la suivre en direct sur la chaîne vidéo de l’Assemblée.

📌 EDIT du 11 avril : la vidéo est désormais disponible. Je suis en 2e partie. Bon visionnage !

Assemblée nationale

View Organisateur Website


La politique de divulgation de vulnérabilités au coeur de la gouvernance de cybersécurité

Cyberun gouvernance : la politique de divulgation de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Je poursuis mes efforts de pédagogie autour de la divulgation coordonnée de vulnérabilités en démystifiant l’outil de gouvernance qu’est la politique de divulgation. L’article est à lire dans le 14e numéro de Cyberun. Le texte complet est ci-dessous.

Plus de services et de nouvelles fonctionnalités signifie toujours plus de code et de composants en interaction ; ce qui, à son tour, signifie une surface d’attaque toujours croissante. Ce constat est d’autant plus vrai avec les cycles agiles : les services arrivent plus rapidement sur le marché, mais trouver toutes les vulnérabilités avant la mise en production est quasiment impossible. Même si l’inspection des vulnérabilités à la conception (security by design) et pendant le développement est de plus en plus adoptée, ces approches excluent les besoins de sécurité d’exécution, où des mécanismes techniques externes au code sont à l’oeuvre.

Les inspections occasionnelles, telles que les tests d’intrusion annuels, prédominent. Bien qu’utiles pour la conformité, elles ne reflètent pas des menaces réalistes et ne tiennent pas compte de l’expansion de la surface d’attaque. Des vulnérabilités non corrigées persistent et peuvent ne jamais être découvertes par ces contrôles occasionnels, augmentant ainsi le risque de sécurité pour tous les acteurs légitimes.

la suite…

Divulgation coordonnée de vulnérabilités

Cyberun : divulgation coordonnée de vulnérabilités
Par défaut

Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Cette fois, ma contribution est sur l’un de mes sujets principaux : comment, quand on ne fait pas partie d’une organisation, on l’informe de problèmes techniques avec un impact sur la sécurité. L’article est à lire dans le 12e numéro de Cyberun. Le texte complet est ci-dessous.

De la qualité du code des applicatifs (sites web, développements “maison”, etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ?

La divulgation coordonnée de vulnérabilités (CVD en bref pour Coordinated Vulnerability Disclosure) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique.

Toutefois, le “premier contact” est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité.

la suite…

Le darkweb : leur entreprise ne connaît pas la crise

Le darkweb : leur entreprise ne connaît pas la crise
Par défaut

Ravie de contribuer une pleine page sur le darkweb ! Après en avoir écrit des dizaines dans La face cachée d’Internet, il reste important de continuer à suivre les évolutions du cyberespace. Ma contribution aborde le mythe qu’il s’agit d’un espace sans foi ni loi. Elle est à lire dans le 9e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous (j’ai ajouté des intertitres pour faciliter la lecture).

Activité en pleine croissance, les Cyberattacks-as-a-Service (CaaS) – mise à disposition de briques logicielles permettant une activité malveillante “simplifiée” – se révèle facilement sur le darkweb et illustre bien l’économie sous-jacente de la cybercriminalité.

la suite…

Les parcours atypiques, le nouveau standard des talents en cybersécurité ?

Recruter en cybersécurité
Par défaut

Ravie de contribuer une pleine page sur la question épineuse mais passionnante de la diversité dans la cybersécurité ! Ma contribution aborde les profils atypiques dans le domaine. Elle est à lire dans le 8e numéro de la revue Cyberun – Cybersecurity Strategies. Le texte complet est ci-dessous.

Nous oublions trop souvent que “diplôme” n’est pas synonyme de “bon professionnel” : le parcours dans son entièreté et l’expérience sont les compétences à valoriser.

Trop souvent encore, une vision sensibleement “ossifiée” sévit : pas de diplôme d’ingénieur, pas de poste en sécurité. Si, pour des postes plus seniors, l’interview avec des opérationnels précède souvent l’étape RH, cette dernière reste un passage obligé pour tout collaborateur qui débute dans le domaine de la cybersécurité. “Le candidat n’a pas le bon diplôme” est un argument prépondérant pour rejeter un CV.

la suite…