Build a career in cybersecurity: tips, tricks… and traps

Build a career in cybersecurity: tips, tricks and traps
Standard

On 19 Feb 2021, I spoke about how to build a career in cybersecurity at the Women4Cyber Masterclass with a Role Model. Happening every month, the Masterclass aims to highlight the achievements and expertise of women who shape cybersecurity in the EU today. Women4Cyber is a non-profit European private foundation with the objective to promote, encourage and support the participation of women in the field of cybersecurity. The strategic objectives and actions of the Foundation are supported by the Women4Cyber Council, an ad hoc advisory body, of which I am a proud member.

Yes, girls outperform boys at school. Yes, women managers outperform their men counterparts at work. Watt zillion initiatives exist to encourage more entry-level diversity. But how many initiatives exist to tackle the leaky pipeline?

So, is there a perfect profile to build a career in cybersecurity? Or is it more of a perfect combination of skills? How, as a woman, do we tackle ambition? Let’s talk about navigating those avenues because helping other women move forward with their career is good business.

The effort is there, but why doesn’t it transform into fast change? Cultural change for gender equality requires system change. It is not just about women “leaning in”. It is also about men reaching out and stepping aside. You can invite a diverse crowd to a party; but then, you also need to invite them to dance.

You can watch the recording with the Q&A session by clicking the “Play” button.

A summary of the discussion and the recording are also available over at the Women4Cyber Foundation website. Below are the full notes of what I discussed along with additional notes we didn’t address. Hope that helps!

🎧 Listen to this post!

Continue reading

Industries françaises : comment allier reprise d’activité et cybersécurité ?

Standard

La pandémie actuelle COVID -19 a obligé les entreprises à se réorganiser pour poursuivre au mieux leurs activités (des millions de Français basculés en urgence en télétravail, contractualisations électroniques, etc.).

Certains secteurs industriels, tels l’immobilier, construction, transport, biens et services industriels, ont été particulièrement touchés. Même si certains étaient mieux préparés que d’autres, aucune entreprise n’avait pu anticiper un changement d’une telle ampleur et en si peu de temps.

Un grand nombre de sociétés ont dû s’adapter rapidement et modifier leur processus de décision pour les raccourcir. Des cycles de décisions prenant habituellement des mois, ont dû être finalisés en quelques semaines, voire quelques jours.

Les cyberdélinquants ont également profité de cette période d’incertitude pour augmenter de façon sensible les attaques en profitant de l’exposition de certaines ressources informatiques sur Internet et l’isolement des collaborateurs (phishing, cryptolocker, …).

L’urgence passée, les entreprises doivent être vigilantes sur les outils collaboratifs qu’elle met à disposition de ses collaborateurs.

Au programme :

  • Réactions des entreprises face à la crise et risques numériques
  • Focus sur le secteur industrie
  • Sécurité, conformité et confiance

Je serai en excellente compagnie avec mes anciens collègues d’Oodrive 🙂

Inscriptions par ici !

Séminaire Cybersécurité à l’INHESJ

Standard

January 15, 2020 @ 3:00 pm 5:00 pm UTC+1

Sur invitation du Département Intelligence et Sécurité Economiques de l’INHESJ (Institut National pour les Hautes Etudes pour la Sécurité et la Justice), j’assurerai un séminaire pour la Session Nationale 2019/2020 “Protection des entreprises et intelligence économique”. C’est la deuxième année consécutive que j’interviendrai auprès des auditeurs de l’INHESJ. Cette fois sera fort probablement la dernière : l’INHESJ sera malheureusement fermé fin 2020.

Pour ce séminaire, j’aborderai les défis et enjeux de cybersécurité 2 ans après la sortie de “La face cachée d’Internet”. En effet, même si les enjeux restent les mêmes, le paysage a bien changé et ces bouleversements permettent de mieux étoffer une analyse géopolitique de la cybersécurité. Je parlerai notamment de l’évolution de la menace à travers le remodelage du paysage hacktiviste et de l’implication croissante d’acteurs étatiques avec un focus sur la Russie et la Chine.

La session est réservée aux auditeurs.

Details

Date:
January 15, 2020
Time:
3:00 pm – 5:00 pm UTC+1
Cost:
Free
Event Category:
Conférence
Event Tags:
cybersécurité, géopolitique, infosec, INHESJ

Organizer

INHESJ

INHESJ

Ecole Militaire 75007 France + Google Map

Jury des Cas d’Or de la cybersécurité 2019

Standard

December 9, 2019 @ 6:30 pm 11:00 pm UTC+1

La cybersécurité est résolument devenue une préoccupation majeure dans notre monde. Des dizaines de milliers de professionnels et experts s’assurent chaque jour que leurs organisations ou celles de leurs clients puissent faire face à des attaques ou des erreurs générant des failles. Au cours d’un événement de networking sous la forme d’un dîner, nous allons célébrer 30 initiatives, solutions et cas d’usage, analysés en amont par un jury formé de RSSI et de DSI. C’est l’idée derrière les Cas d’Or de la cybersécurité, organisé en partenariat avec le CLUSIF. J’ai le plaisir d’être membre du jury. Pour ceux et celles qui y seront, rdv le 9 décembre 2019 à l’occasion de la soirée de remise des prix !

Details

Date:
December 9, 2019
Time:
6:30 pm – 11:00 pm UTC+1
Event Category:
Afterwork
Event Tags:
infosec

OECD’s Global Forum: Security & Innovation

Standard

Digital security innovation is an increasingly important priority for policy makers who need to encourage i) the development of an ecosystem enabling digital security startups to proliferate, get the investment and support they need to win business, scale up and provide a pipeline of innovation; and ii) all startups to take digital security into account from the outset as they develop increasingly digital-intensive and digital-dependent products and services.

The second annual event of the OECD Global Forum on Digital Security for Prosperity focused on how to encourage and facilitate best practice for supporting innovation in digital security, and “security by design” in broader digital innovation.

I will be participating in the Session 2 roundtable on Day 1. With my co-discussants, we will address, amogst others, the following questions: What are the opportunities and challenges to foster digital security innovation? How can demand and supply-side policies and initiatives stimulate digital security innovation and help develop a vibrant digital security industry?

The full programme is available as a PDF booklet. Join me: the event is free and everyone is welcome to chime in!

RSSIA 2019 : La face cachée de l’Aquitaine

Standard

September 23, 2019 All day

Si vous êtes dans la région bordelaise le 23/09, n’hésitez pas à venir à la journée dédiées aux Assises de sécurité régionales de l’Aquitaine 🙂 Merci au CLUSIR Aquitaine pour l’invitation !

Ma conférence débutera à 14h. J’aborderai les défis et enjeux de cybersécurité 2 ans après la sortie de “La face cachée d’Internet”. En effet, même si les enjeux restent les mêmes, le paysage a bien changé et ces bouleversements permettent de mieux étoffer une analyse géopolitique de la cybersécurité. Je parlerai notamment de l’évolution de la menace à travers le remodelage du paysage hacktiviste et de l’implication croissante d’acteurs étatiques avec un focus sur la Russie et la Chine.

Toutes les informations (billetterie et détails logistiques) sont sur la page HelloAsso dédiée. Venez !

Details

Date:
September 23, 2019
Event Category:
Conférence
Event Tags:
darkweb, géopolitique, infosec

CISO Interchange 2019, Qualys/CESIN

Standard

Le 5 septembre, j’aurai le plaisir de participer au CISO Interchange de la rentrée, co-organisé par Qualys et le CESIN. La matinée, bercée par la Seine (nous serons sur une péniche 🙂 ), sera riche en discussions : les échanges s’ouvrent avec la keynote d’Olivier Jacq et se poursuivent avec une table ronde permettant d’amorcer les sujets des ateliers.

J’animerai l’atelier sur la sécurité et l’externalisation (cf. plus bas). L’inscription est sur invitation.

8h30 : ACCUEIL à bord autour d’un café

9h : KEYNOTE

Olivier, auteur du Blog cybermaretique.fr – Lieutenant de vaisseau, en charge des questions de cybersécurité maritime dans la marine nationale depuis plus de 20 ans. Il fut responsable de la sécurité informatique de plusieurs unités et sites majeurs, période durant laquelle il s’est notamment spécialisé dans la cybersécurité des systèmes industriels.

Il est aujourd’hui le chef de l’antenne de Brest du Centre Support Cyber-défense de la marine nationale (CSC). Ce centre expert est chargé de l’entrainement cyberdéfense, de la cybersurveillance et de l’investigation numérique au profit des unités opérationnelles de la marine.

9h30 : TABLE-RONDE

Les stratégies de sécurité dans le Cloud

Intervenants :

Alain Bouilllé, Vice-Président du CESIN (Modérateur)
Rayna Stamboliyska, Cybersecurity strategist, Defensive Lab Agency
Eric Doyen, Directeur Sécurité Opérationnelle du SI chez Malakoff Médéric Humanis
Fabrice Bru, Directeur Sécurité des Systèmes d’Information, Groupement Les Mousquetaires

11h : ATELIERS PARTICIPATIFS

MultiCloud

La transformation numérique conduit souvent à des solutions et services en multi-cloud. Malgré l’agilité apportée aux processus métiers, les modèles traditionnels d’architecture et de sécurité se trouvent chahutés. Les politiques de sécurité, règles d’accès, exigences de confidentialité et de traçabilité, intégration du SOC, contrats, audits, modèle d’intégration avec les legacies ou inter-cloud, doivent évoluer. En outre, les fournisseurs peuvent parfois imposer des exigences contradictoires à la politique de sécurité.

Cet atelier vise à partager et à comparer les expériences et à identifier les meilleures stratégies à adopter dans vos projets multi-cloud.

DevSecOps

L’agilité dans la transformation numérique commence avec le DevOps. L’intégration et le déploiement continus (CI/CD) sont synonymes de réductions des délais de production et de gain de temps sur le développement. Dans ce processus, la sécurité -encore trop souvent éloignée de la culture des développeurs- doit tendre vers le security by design. Cet atelier propose une reflexion sur le DevOps et la Sécurité d’un point de vue technique et culturel.

Externalisation et sécurité : jusqu’où peut-on aller trop loin ?

L’externalisation – sécurité et/ou outillage numérique métier – est un classique de toutes les organisations. S’ouvrir à un ensemble hétérogène de fournisseurs relève du défi : chacun a sa propre posture de sécurité, et le recours à des audits connaît ses limites et désagréments.

L’intensification et la sophistication des attaques « supply chain » ne fait que renforcer l’urgence d’une meilleure maîtrise des fournisseurs.

L’objectif de cet atelier est d’appréhender les exigences et les limites de l’externalisation et de recueillir des best practices pour une interaction plus apaisée entre clients et fournisseurs.

12h15 : COCKTAIL déjeunatoire et croisière

Keynote @ Web2day

Standard

Prenez vos places 🙂

https://twitter.com/web2day/status/1110851198716915715

[aesop_image img=”https://pbs.twimg.com/media/D2qFo3uW0AARlat.jpg” panorama=”off” align=”center” lightbox=”on” captionposition=”left” revealfx=”off” overlay_revealfx=”off”]

Keynote #BreizhCamp : La menace fantôme

Standard

BreizhCamp, c’est le festival des développeurs organisé par des développeurs.

Cette année, j’ai l’honneur d’y faire la keynote du vendredi matin 🙂 J’y parlerai des dangers liés à la non-prise en compte des bonnes pratiques de sécurité et protection de l’intimité par nombre de métiers techniques. Mon focus (pour changer…) sera l’insécurité des objets connectés et des applications mobiles.

Le programme en général est top, alors prenez vos places !

#BSidesBDX Keynote: The Phantom Menace

Join us for my keynote at BSidesBDX!
Standard

Book your seat today – and get a copy of “La face cachée d’Internet”, signed by yours truly 🙂

Mobile apps are everywhere, and the app economy is thriving. Infosec professionals, however, still shy away from their analysis. Thus, we end up with ill-secured apps abusing permissions, data leaks and an increased attack surface for IoTs.

Then, we blame developers. Of course, it’s their fault… isn’t it? Yes, it is, at least to a significant part. Developers reuse known frameworks for apps with a diverse range of purposes, thus forcing an inadequate level of security on sensitive use cases. They also mobilise numerous SDKs which are the obvious, off-the-shelf component everyone uses to decrease costs and ease maintenance. Even more importantly, SDKs are what enables monetisation.

Everyone can use SDKs—malevolent actors do so, too, hiding therein whatever they wish to make money off you and your users. And with easily duplicable app frameworks comes the risk of seeing your app counterfeited and your app-generated revenue, diverted. Those risks and the risk management culture change organisations need to implement is what I have dubbed, the ‘phantom menace’. We will, therefore, discuss the threats SDKs and counterfeited apps bear, and how to address them.

Book your seat today – and get a copy of “La face cachée d’Internet”, signed by yours truly 🙂

#ParisWeb Nos objets connectés sont bavards : mais de quoi parlent-ils ?

Standard

Prenez vos places !

Le but sera de découvrir à quel point certaines applications mobiles peuvent être bavardes et de tenter de déterminer quelles sont les informations transmises à des serveurs tiers.

Pour ce faire, nous utiliserons un smartphone et un PiRogue. Le PiRogue est un petit équipement basé sur un Raspberry Pi et une personnalisation de la distribution Kali Linux, dont la fonction est de créer un point d’accès wi-fi ouvert et dédié à l’interception de trafic.

Pour plus d’informations : https://github.com/U039b/PiRogue

L’atelier sera co-animé avec Esther Onfroy, co-créatrice du projet.

Prenez vos places !

#ParisWeb Le charme du quotidien, nécessaire, ordinaire, routinier

Standard

Prenez vos places !

Aujourd’hui, pour une majorité de personnes dans le monde, avoir une connexion à Internet et s’en servir est comme boire de l’eau : quotidien, nécessaire, ordinaire, routinier.

Rattrapant un retard au démarrage, de plus en plus d’institutions publiques de par le monde développent et imposent des services numériques.

Quant au secteur privé, il est le terreau propice de l’innovation en série : des startups toujours plus nombreuses, des financements toujours plus élevés… et des produits et services toujours mal sécurisés. Ces derniers sont cependant ce que nous utilisons, ils sont quotidiens, nécessaires, ordinaires, routiniers. Cette même « consommation digitale » renforce le siphonnage de données à caractère personnel et nous expose à un bouquet d’algorithmes plus obscurs les uns que les autres.

Mais il est contreproductif de se vautrer dans un fatalisme. Nous parlerons donc sécurité des IoT et leurs applications, la gestion de ces problématiques par les fabricants et éditeurs et l’impact sur nos vies connectées dont l’aspect « privé » doit être repensé. Nous créons la réalité numérique, il nous revient d’en saisir les enjeux et de les implémenter dans notre productions. La sécurité, le respect de l’intimité et l’innovation pérenne sont ce qui doit devenir quotidien, nécessaire, ordinaire, routinier.

Prenez vos places !

Commuting is taking a toll on ya? Podcasts are the solution

Here is the ultimate podcast list for infosec and data protection. Enjoy!
Standard

The other day, I was participating in an after-work panel centring on the professional opportunities cybersecurity at large presents. The discussion primarily focused on drawing in women to the field as a way to diversify and enrich the talent pool. Yet, few of us insisted on focusing on diversity, be it gender, social, etc.

Amongst the main questions was: how do I get into the field? Trying to provide sound advice on that made me realise we have a handful of resources to building up new and/or extra skills within the realm. However, starting off if you are, say, a developer or a legal person may turn bumpy and challenging.

Continue reading

A year in Io(M)T security

Standard

A year ago, I embarked on the funky journey to gain insights into IoT security. I am particularly interested in medical devices, that is an item that’s connected to the Internet AND can gather some sort of health data.

I started off with connected sex toys—it’s fun to tear them down, then tell others about it. Beyond the fun, though, is the actual understanding of what is at stake. And, in all honesty, your fridge, your insulin pump and your pacemaker all share the same challenges: they need improved security so that we are not at risk.

Since the first dildo I investigated, my analysis capabilities have evolved. This talk will address the diverse range of challenges I have had: obtaining the objects (the least complex one… but not the cheapest option, still!), producing reproducible data, collecting meaningful logs, having the companies building the IoT fix their flaws, etc. Thankfully, I will also discuss the solutions I identified, all of which involve FLOSS and (in part) open hardware.

Entry’s free, but sign up swiftly as places are limited!

Nuit du Hack #ndh2018

Standard

Lors de cette édition, j’assure une conférence et un workshop :

  • conférence “À l’Est, plein de nouveau” sur la gouvernance et l’évolution d’Internet en Russie ; le 30 juin 2018, 15h30-16h15.
  • atelier technique sécurité des données issues de voitures autonomes ; le 30 juin 2018, 20-22h.

Entrée payante (les billets ont déjà été vendus…)

Comment ne pas écrire un guide de cybersécurité pour les dirigeants

Standard

J’ai lu le Guide de cybersécurité pour les dirigeants pour pas que vous ayez à le faire. Ou comment perdre une bonne occasion de sensibiliser…

Challenges et Eyrolles publient, le 23 février, un guide intitulé “L’essentiel de la sécurité numérique pour les dirigeants”. L’ouvrage est présenté comme “[l]e mode d’emploi facile d’accès pour être à jour et mieux éclairé face au nouveau risque numérique”. L’idée est excellente : il faut sensibiliser toujours davantage aux risques numériques, les personnes qui ont en charge la prise de décision. Ces derniers sont nombreux et de nature très variable. C’est encourageant de voir qu’enfin la gestion des risques rencontre le volet numérique.

Enfin, c’est ce que j’ai pensé… jusqu’au moment où j’ai commencé à lire. Déjà, pour l’obtenir, c’était un peu délicat : la personne qui me l’a envoyé en première disait que ça m’épargne la création d’un compte pour le télécharger chez Eyrolles où la navigation n’est pas en HTTPS, où il n’y a pas de TLS pour SMTP et où les machines ne sont pas à l’heure. Que doit-on conclure quant à l’importance de la sécurité de ses visiteurs dans ces conditions ? (C’est une question rhétorique.)

Continue reading