10 Quai Armand Considéré
29200 Brest
France
Unlock Your Brain, Harden Your System revient pour une 2e édition, le samedi 4 novembre 2017 de 09h00 à 17h00.
Le programme se construit mais nous pouvons d’ores-et-déjà vous annoncer les talks suivants :
Eric Léandri (Qwant) // « Sécurité et confidentialité des données : adopter l’approche maximaliste »
Le 25 mai 2018, le Règlement européen sur la protection des données (GDPR) entrera en application et imposera de nouvelles obligations à ceux qui ciblent le marché européen. Il s’agira notamment d’adopter systématiquement une approche de « privacy by design » dans la conception des produits et services susceptibles de collecter des données personnelles, et de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Mais le texte offre une grande souplesse d’interprétation selon les situations.
Nous verrons donc à travers l’exemple de Qwant pourquoi et comment le moteur de recherche européen a choisi d’anticiper le GDPR en retenant l’interprétation la plus exigeante de ces obligations, avec une collecte minimale des données personnelles et une protection maximale contre les attaques. Nous aborderons les conséquences pour les libertés individuelles et les entreprises que peuvent avoir la collecte et le traitement massif de données par de puissants groupes internationaux, et les avantages décisifs que procure la différenciation par la minimisation des données.
Stéphane Bortzmeyer // « La sécurité des chaînes de blocs »
Attaques, plantages, bogues, erreurs humaines et autres fins du monde
La plus célèbre chaîne de blocs est bien sûr Bitcoin, et elle pose plein de problèmes de sécurité intéressants, d’autant plus qu’une attaque réussie peut rapporter beaucoup d’argent. Bitcoin a donc été largement « testé au feu ».
D’autres chaînes de blocs posent d’autres problèmes de sécurité. Par exemple, avec Ethereum, la chaîne ne stocke pas de simples transactions mais des programmes complets, ouvrant de nouvelles possibilités.
On parlera donc de tous les aspects de la sécurité des chaînes de blocs : gestion des clés, bogues dans la chaîne, bogues dans les programmes exécutés par la chaîne, attaques par déni de service, etc.
Damien Cauquil (Digital Security) // « Hardware hacking: vous reprendrez bien un échec ? »
Les objets connectés fourmillent dans l’Internet des Trucs, grouillant sur la toile et ne demandant qu’à être remarqués. Malheureusement, ces derniers ont une certaine tendance à être la cible de diverses attaques, car étant mal conçus ou mal pensés.
L’auteur abordera les principales causes de vulnérabilités affectant les objets connectés (qu’elles soient conceptuelles, matérielles ou logicielles) à l’aide de cas concrets démontrant les mauvaises pratiques habituellement observées; mais traitera aussi des problématiques liées au test de ces objets connectés et notamment les erreurs habituellement faites par les consultants en sécurité. Car bon, les ingénieurs et développeurs ne sont pas les seuls responsables de la situation actuelle.
Guillaume Prigent (Diateam) // « (in)sécurité des systèmes industriels »
Va-t-on réellement vers la SCADAstrophe ?
La prise de conscience des autorités sur les risques associés aux systèmes industriels est telle qu’il existe désormais des arrêtés sectoriels d’application concernant les Opérateurs d‘Importance Vitale (OIV). Au-delà du buzz médiatique, il est parfois difficile de s’y retrouver et de comprendre pragmatiquement les enjeux de sécurité de ces systèmes souvent exotiques et protéiformes.
Basée sur une plateforme complète représentative d’un système industriel « SCADA », l’objectif de cette présentation didactique est de montrer, par la pratique, les problématiques majeures de sécurité des systèmes industriels.
Menée tambour battant et d’abord d’un point de vue de l’attaquant cette intervention s’attachera aussi à montrer comment mettre en place quelques mesures pragmatiques afin de limiter la « SCADAstrophe » (mise en œuvre d’une infrastructure de détection d’intrusion réseau – IDS – et configuration finale en mode blocage/préventif – IPS).
Steven Le Roux (OVH) // « OVH Anti DDoS : Behind the scene »
2017 marquera un tournant dans la lutte contre la cyber criminalité. Les récentes attaques et autres ransomware ont déferlé l’actualité et auront au moins permis à certains de se poser les bonnes questions : mon entreprise est-elle bien protégée ?
OVH, quant à elle, s’efforce depuis plusieurs années à protéger ses clients des attaques de type DDoS. Partant du principe que la volumétrique de l’attaque ne permet pas à nos clients de se protéger eux-mêmes, nous avons pris le parti de proposer cette solution par défaut pour tous nos clients. Cette présentation technique met en lumière le fonctionnement du VAC, la solution au cœur de l’antiDDoS OVH, ainsi que son évolution depuis 2013.
Jeffrey Irguy // «WanaCry Then WannaDie »
Les attaques internationales de cette année sont encore là pour le prouver, les entreprises, et notamment celles qui ont une forte présence sur internet, doivent s’armer afin de se défendre face à des attaquants toujours plus astucieux.
Ce constat étant posé, il est également important de se rappeler que beaucoup d’entreprises doivent également compter sur l’existant, l’historique, et que celui -ci a généralement été délaissé dans l’espoir d’un remplacement ultérieur par le veinard qui héritera de cette tâche, toujours repoussée aux calendes.
Dans un contexte de mise en place d’un pôle de réponse à incident, un ancien pentester vous fera part de plusieurs trouvailles qui sont finalement monnaies courantes dans les entreprises du CAC40, avant de se pencher en détail sur un incident dont tout le monde a pu entendre parler : « WanaCry« .
Après avoir décrit le déploiement du vers dans l’environnement (qui avait été patché à 95%), nous verrons les erreurs potentielles et leurs conséquences lors d’une crise de ce type.
Et comme il n’y en a certainement pas qu’une seule, nous discuterons des bonnes pratiques à mettre en place afin de contrecarrer au mieux ce type d’attaque.
******
L’événement est organisé avec le concours de :
******
Prix : 8 € la journée.