Découvrez le programme détaillé

Questionnaire de satisfaction

Comment assurer la scalabilité et la sécurité des APIs

  • Salle #0
  • 10h15
  • Durée : 60 min
  • Technique
  • Scalabilite
  • API
  • Sécurité

La conférence en détails :

Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.

Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.

L’intervenant : Vincent CASSE

Vincent Cassé est tech lead chez OVH. Il travaille sur les APIs et les infrastructures des hébergements web et permet d’assurer la disponibilité de plusieurs millions de sites web. Il a aussi beaucoup travaillé sur les espace clients des marques du groupe et a donc été tant utilisateur que développeurs d’APIs.

 


Vos informations ont de la valeur : Prenez-en soin !

  • Salle #1
  • 10h15
  • Durée : 30 min
  • Stratégie
  • Région
  • Normandie
  • IE

La conférence en détails :

Décrire le concept d’Intelligence Economique dans tous ses aspects en insistant sur la détection des informations sensibles dans l’entreprise. Indiquer les points de fragilité et les moyens de se protéger. Décrire le dispositif régional d’aide aux entreprises, les outils et les parties prenantes pouvant les épauler.

L’intervenant : Florence FENIOU

Florence FENIOU est Conseiller Intelligence Economique à la CCI Normandie. Elle pilote le dispositif régional d’actions à destination des entreprises industrielles. Elle anime un Club des bonnes pratiques à destination des dirigeants de PME et propose des actions de sensibilisation et d’accompagnement au travers d’un pré-diagnostic. Issue d’une formation initiale liée à la gestion de l’information, elle a successivement exercé en tant que chargée de veille brevet dans le secteur automobile et intermédiaire du transfert de technologie transnational.


La sécurité économique dans l’entreprise : Les mauvais usages des outils numériques

  • Salle #1
  • 10h45
  • Durée : 30 min
  • Sensibilisation
  • Comportement
  • Usages
  • Numérique

La conférence en détails :

Panorama des principales vulnérabilités observées par la DGSI.

Les intervenants : Représentants de la DGSI


Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS

  • Salle #0
  • 11h30
  • Durée : 30 min
  • Technique
  • Bonnes pratiques
  • TLS/SSL

La conférence en détails :

Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication.
La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.

L’intervenant : Maxence TURY

Maxence Tury travaille en tant qu’ingénieur de la sécurité des réseaux et des protocoles à l’ANSSI. Ses travaux portent principalement sur le protocole TLS et les IGCs afférentes, depuis les conventions d’encodage de bitstrings ASN.1 jusqu’à la prévention haut niveau des compromissions HTTPS.


Retour d’expérience : L’audit côté startup

  • Salle #1
  • 11h30
  • Durée : 30 min
  • Retour d'expérience
  • Audit
  • Startup
  • Mise à niveau

La conférence en détails :

En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.

L’intervenant : Youen CHENE


Certificate Transparency : Des journaux publics en ajout seul pour améliorer la sécurité de TLS

  • Salle #0
  • 12h00
  • Durée : 30 min
  • Technique
  • Blockchain
  • TLS/SSL

La conférence en détails :

Certificate Transparency vise à renforcer la sécurité des certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. Son objectif est de faciliter la détection de certificats frauduleux ou invalides.  Pour cela, les certificats sont enregistrés dans des journaux en ajout seul (append-only) et consultables par tous. Cette conférence présente Certificate Transparency d’un point de vue théorique, dans un premier temps. Ensuite un focus est fait sur son implémentation et son utilisation dans la pratique.

L’intervenant : Florian MAURY

Florian Maury est spécialiste en sécurité des réseaux et des protocoles, pour l’ANSSI. Il travaille sur les problématiques de sécurité du DNS, sur les dénis de service distribués, sur les infrastructures de gestion de clés et la cryptographie appliquée en général, et sur le développement sécurisé d’applications web. Ses recherches ont notamment mené à la découverte de plusieurs vulnérabilités DNS et OpenPGP.


L’audit Red Team : Digne successeur de l’audit de sécurité ?

  • Salle #1
  • 12h00
  • Durée : 30 min
  • Stratégie
  • Audit
  • Red Team
  • Analyse
  • Présentation

La conférence en détails :

Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.

L’intervenant : Clément MICHEL

Clément MICHEL est l’un des co-fondateurs de la société SYNHACK, cabinet de consultants spécialisé en cybersécurité.
Véritable passionné de l’informatique, Clément traite essentiellement des problématiques de sécurité dans les entreprises. Il considère que les nouveaux challenges de sécurité pour les entreprises sont avant tout stratégiques, humains et surtout organisationnels (sans en oublier la technique bien entendu).
De formation « Manager IT », Clément a déjà eu l’occasion de travailler dans le milieu industriel, dans le monde des sociétés de services ainsi que celui des télécommunications.


Le Bug Bounty au service des entreprises

  • Salle #0
  • 14h00
  • Durée : 60 min
  • Stratégie
  • Présentation
  • Bug Bounty

La conférence en détails :

Cette présentation va nous montrer comment la communauté de hackers white hat a adapté son environnement pas toujours compréhensif avec sa démarche de remontée de vulnérabilités. Les différentes communautés de sécurité et open source autour du globe ont su adapter ou développer leurs outils à leur savoir-faire. Et inventer de nouveaux concepts tels que le Bug Bounty qui de nos jours fait beaucoup parler de lui tant pour son efficacité, que pour les relations qu’il crée entre les organisations et ces communautés.

Le Bug Bounty est, en quelque sorte, une réponse adaptée à toutes ces personnes ou organisations qui durant des années n’ont pas su fournir une réponse appropriée et un cadre non punitif à ces individus souhaitant simplement exprimer leurs talents de hackers en servant l’intérêt général, et ce, depuis les débuts du Hacking. C’est avec cette foi, mais sans loi que le Bug Bounty hunter est né. Grâce à l’émergence des plateformes qui offrent un cadre aux entreprises et aux hackers, le Bug Bounty a su se rendre accessible aux contraintes d’une approche organisationnelle qui sera évoquée lors de cette présentation.

L’intervenant : Manuel DORNE (@Korben)


BtleJuice, un framework d’interception pour le Bluetooth Low Energy

  • Salle #0
  • 15h15
  • Durée : 60 min
  • Technique
  • Hacking
  • Bleutooh

La conférence en détails :

Un grand nombre d’objets connectés utilisent la technologie Bluetooth Low Energy afin d’offrir une connectivité avec des smartphones. Afin d’évaluer la sécurité de ces derniers, il est nécessaire de pouvoir étudier les communications entre ces smartphones et leurs applications associées et les objets connectés, de façon fiable et pratique.
Jusqu’à peu de temps, la seule solution consistait à « sniffer » les communications à l’aide de matériel dédié, mais c’était laborieux et relativement aléatoire. Une alternative possible consiste à réaliser une interception active, avec une approche de l’homme du milieu, ou « man in the middle », mais cette approche était impossible à réaliser faute d’outil adéquat.
Cette présentation rappellera les bases du protocole Bluetooth Low Energy, les raisons des échecs rencontrés lors de l’utilisation de sniffers relativement populaires, pour enfin présenter le framework d’interception BtleJuice, permettant de mettre en œuvre une interception active reposant sur une approche man-in-the-middle. Des démonstrations live seront effectuées afin de démontrer l’efficacité et les possibilités offertes par cet outil, en les mettant en œuvre sur différents objets connectés.
Enfin, des contre-mesures adaptées seront évoquées afin de limiter ce type d’attaque et d’améliorer la sécurité des objets connectés utilisant ce protocole de communication.

L’intervenant : Damien CAUQUIL

Chercheur sénior en sécurité et Responsable Recherche et Développement au sein de Digital Security (Econocom), Damien Cauquil étudie depuis plusieurs années la sécurité des objets connectés et de leur écosystème, avec un focus tout particulier sur la technologie Bluetooth Low Energy. Il a présenté le résultat de ses recherches lors de différentes conférences spécialisées telles que le Chaos Communication Camp, le Chaos Communication Congress, La Nuit du Hack, Hack.lu, Hack in Paris et récemment à l’IoT Village lors de la DEFCON.


Et si on parlait d’authentification forte ?

  • Salle #1
  • 15h15
  • Durée : 30 min
  • Technique
  • Authentification
  • OTP

La conférence en détails :

L’authentification par simple identifiant et mot de passe est insuffisante pour protéger un compte utilisateur. Les campagnes de phishing pullulent sur le net et cela fait quelques années que l’on voit régulièrement dans l’actualité que les bases données de grandes entreprises ont fuité.
Face à cette insuffisance, il existe toutefois un procédé qui n’est pas réservé aux géants du net : l’authentification forte.
Dans cette conférence, je ferai un tour d’horizon de ce qu’est l’authentification forte et de différentes implémentations existantes.

L’intervenant : Nicolas GLONDU

De formation ingénieur généraliste, j’ai découvert le développement logiciel au cours de mes études et je n’ai jamais arrêté. Vu que je développe majoritairement des applications web, les problématiques de sécurisation d’accès sont très importantes à mes yeux.

Photo de Clément Michel

Cybersécurité : Comment se protéger d’un point de vue légal & assurantiel

  • Salle #1
  • 15h45
  • Durée : 30 min
  • Juridique
  • Stratégie
  • Protection
  • Assurance

La conférence en détails :

Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.

L’intervenant : Axelle OFFROY-FRANCES

Axelle OFFROY-FRANCES est Avocat au Barreau de ROUEN. Le Cabinet intervient dans les principaux domaines du droit des affaires et plus particulièrement en conseil (rédaction de contrats) et en contentieux en droit de l’informatique, de la communication, et de la propriété intellectuelle aux cotés des utilisateurs de systèmes d’information et des professionnels de l’informatique.


Chiffrement, open source et décentralisation : Ré-inventer une informatique au service de l’homme

  • Salle #0
  • 16h30
  • Durée : 60 min
  • Keynote
  • Clôture
  • Surveillance
  • Espionnage

La conférence en détails :

L’informatique a envahi nos vies, au point qu’il est difficile d’envisager de vivre normalement sans Google ni Facebook ni smartphone aujourd’hui. Pourtant, nous savons depuis les révélations d’Edward Snowden que la centralisation de nos données personnelles rend économiquement possible la surveillance de masse. Pouvons-nous inventer un futur informatique nous permettra d’être libres en ayant la maîtrise de nos données ? A quoi ressemblerait un tel futur ?

L’intervenant : Tristan NITOT

Tristan Nitot, 50 ans, est entrepreneur, auteur et conférencier. Il est actuellement Chief Product Officer de Cozy Cloud, une start-up française fournissant une solution de Cloud personnel en Open-Source. Tristan a été impliqué dans le projet à but non-lucratif Mozilla (connu pour le navigateur Firefox) depuis ses débuts en 1998 et a été à l’initiative de la création de Mozilla Europe, dont il a été le président. Il a publié en octobre 2016 un livre intitulé « Surveillance:// Les libertés au défi du numérique : comprendre et agir » chez C&F Éditions. Il a été membre du Conseil National du Numérique où il s’est concentré sur les libertés numériques. Tristan est membre du comité de prospective de la CNIL depuis septembre 2015.

N’oubliez pas de réserver votre place !

Questionnaire de satisfaction
NetSecure DayProgramme détaillé