Accueil » Programme détaillé

Présentation du dispositif national d’assistance et de sensibilisation Cybermalveillance.gouv.fr

La conférence en détails :

Le dispositif Cybermalveillance.gouv.fr est né en 2017 de la volonté du gouvernement d’offrir une plateforme d’assistance aux victimes d’actes de cybermalveillance : particuliers, PME, TPE et ETI, et collectivités territoriales. Incubé par l’ANSSI et co-piloté par le Ministère de l’Intérieur, le dispositif est porté par le GIP ACYMA. Sur sa plateforme, il met à disposition de tous publics des contenus de sensibilisation à la sécurité du numérique, mais assiste aussi les victimes par une aide au diagnostic et une mise en relation avec des professionnels de la remédiation de proximité.

Cybermalveillance.gouv.fr est le guichet unique pour les publics qui ne relèvent pas des missions de l’ANSSI. À ce titre, en un an d’existence il a déjà assisté plusieurs dizaines de milliers de victimes et assure également une mission d’observatoire de la menace numérique au quotidien.

Le GIP ACYMA qui porte Cybermalveillance.gouv.fr rassemble des acteurs étatiques (Premier Ministre/ANSSI, Ministères de l’Intérieur, de la Justice, de l’Économie et des Finances, et secrétariat d’État en charge du Numérique), et des acteurs représentant les victimes (associations de consommateurs, associations d’aide aux victimes, CCI, CPME etc), les représentants des professionnels de l’informatique de proximité et des offreurs de solutions et de services.

Les intervenants :

La présentation du dispositif sera faite par Jérôme NOTIN, directeur général du GIP ACYMA. Elle sera complétée par une présentation des actions spécialement orientées vers les collectivités territoriales et les PME en matière de sensibilisation et d’assistance, faite par Adrienne CHARMET, chargée des relations institutionnelles.

Infos clés

Horaire : 10:15
Durée : 55 min
Langue : 🇫🇷
Catégorie : 💼 Stratégique
Complexité :


Services en ligne : comment concilier vie privée et personnalisation

La conférence en détails :

Les grands services en ligne collectent un maximum de données personnelles quand on les utilise. Pour éviter cela, des services en « privacy by design » sont créés, mais ne collectant pas de données, ils ne peuvent offrir des services personnalisés. Dans ce talk, nous étudieront comment Qwant utiliser logiciel libre et cryptographie pour offrir un service à la fois personnalisé et respectueux de la vie privée de ses utilisateurs.

L’intervenant : Tirstan NITOT

Tristan Nitot, 52 ans, est un entrepreneur, auteur et activiste. Tristan a été impliqué dans le projet Mozilla (Firefox) pendant 17 ans, depuis ses origines en 1998 jusqu’en 2015, il a en particulier co-fondé et présidé Mozilla Europe. Ensuite, Tristan a été Chief Product Officer du projet open source Cozy Cloud, un cloud personnel « private by design ». En juin 2018, il a rejoint Qwant, le moteur de recherche européen respectueux de la vie privée en tant que VP Advocacy. Après avoir été trois ans membre du Conseil National du Numérique (2013-2016), Tristan a publié en octobre 2016 un livre intitulé « Surveillance:// » sur le sujet de la vie privée à l’ère du numérique. Tristan est aussi membre du comité de prospective de la CNIL.

Infos clés

Horaire : 11:30
Durée : 55 min
Langue : 🇫🇷
Catégorie : 🕵️ Technique
Complexité :


Rétrospective 2018, évènements et nouveautés

La conférence en détails :

Renaud Echard, délégué de l’ANSSI en Normandie, propose de revenir sur certains moments clés et certaines nouveautés de l’année écoulée, en terme de réponses aux menaces. De manière non exhaustive, les sujets suivants seront abordés comme autant de coups de projecteurs : actualité des attaques, visas de sécurité, réglementation (NIS, RGPD,…), methode ebios risk manager, nouveaux guides ANSSI. Cette conférence tout public présentera l’action de l’ANSSI en région. Cette intervention rappellera les bonnes pratiques face aux risques numériques et proposera un temps d’échange.

L’intervenant : Renaud ECHARD

Renaud Echard est le délégué à la sécurité numérique pour la région Normandie. Représentant de l’ANSSI en région depuis novembre 2017, il participe pour la deuxième fois au NetSecure Day. Il a débuté sa carrière dans le milieu des années 90. Spécialiste des questions de sécurité numérique, de conduite de projets et d’intelligence économique, il est agent de l’ANSSI depuis 2010.

Infos clés

Horaire : 14:00
Durée : 55 min
Langue : 🇫🇷 / 🇬🇧
Catégorie : 💼 Stratégique
Complexité :


REX sur l’intrusion de systèmes industriels connectés

La conférence en détails :

Ce talk fait le tour des principales vulnérabilités des systèmes industriels connectés de nos jours, à travers le retour d’expérience d’un test d’intrusion multi-scénarios.

Les 3 scénarios suivants ont été étudiés :

  • Tentatives d’intrusion depuis Internet sur les ressources informatiques publiques du sous-traitant exploitant les systèmes industriels connectés.
  • Tentatives d’intrusion sur les systèmes industriels depuis le réseau interne de l’exploitant (appelé aussi test d’intrusion du stagiaire).
  • Tentatives d’intrusion physique sur les équipements exposés sur l’espace public en charge l’asservissement public (circulation, éclairage, etc.).

L’intervenant : Maxly MADLON

Diplômé d’un master en sécurité informatique obtenu à l’EPITA, je suis aujourd’hui consultant confirmé dans la direction Cybersécurité de C2S Bouygues qui a la particularité d’intervenir dans le domaine des Smart Buildings/Cities. Je suis en charge l’offre d’audit et de tests d’intrusion entouré d’une équipe de 4 Pentesters. Je suis aussi membre des associations Hackerzvoice (HZV) et ANDIV (Asso. dédiée aux objets connectés à destination du monde militaire) et aime partager via des talks lors meetings sécu/hacking (ex : HZV, ESE…).

Infos clés

Horaire : 15:15
Durée : 55 min
Langue : 🇫🇷
Catégorie : ⚙️ Retour d’expérience
Complexité :


Hacking, radio et survie

La conférence en détails :

La Cybersécurité est souvent associée aux failles, attaques, confidentialité, disponibilité des infrastructures. Trop souvent les catastrophes naturelles sont négligées comme risques majeurs dans nos métiers. L’Alerte aux populations est un sujet mal traité en France à tel point, que nous ne disposons toujours pas de système d’alerte numérique radio. Depuis plus de 7 ans des hackers se mobilisent lors d’exercice tsunami pour sensibiliser collectivités, entreprises et citoyens à la mise en œuvre de système d’alerte. La culture des risques naturels doit s’étendre à nos métiers. Cette conférence à pour but de faire l’état de l’art des systèmes d’alerte et de les mettre en œuvre dans la salle de conférence. De la BLU à la future norme 5G en passant par la Bande FM nous verrons comment les radioamateurs et les hackers peuvent aider à sauver des vies.

L’intervenant : Gael MUSQUET (aka RatZillaS)

Gaël Musquet est un hacktiviste opensource et opendata. Il est le porte-parole d’OpenStreetMap France et fondateur de l’ONG de gestion de crise : HAND – Hackers Against Natural Disasters.

Il rassemble des volontaires techniques au service de la prévention des catastrophes naturelles et soutient les échanges techniques entre institutions, entreprises et communautés de citoyens. En tant qu’observateur météorologique, cartographique et radio amateur, il mène des expériences techniques consacrées à la sécurité civile et au renseignement collectif.

Infos clés

Horaire : 16:30
Durée : 55 min
Langue : 🇫🇷
Catégorie : ⚙️ Retour d’expérience
Complexité :

Sécuriser ses conteneurs Docker

La conférence en détails :

Si vous êtes attirés par Docker sans l’avoir utilisé, ou si vous l’utilisez déjà en production, peut-être vous demandez-vous si Docker est sécurisé ? Quel niveau de sécurité intrinsèque Docker apporte-t-il ? Comment aller au-delà et maximiser vraiment sa résilience ?

Ce talk aborde tous ces points, et vous invite à découvrir comment la sécurité théorique de Docker passe le banc de test de la réalité des cybermenaces. Enfin, des conseils à suivre sont donnés pour améliorer la sécurité de vos conteneurs Docker.

L’intervenant : Guillaume KADDOUCH

Passionné de sécurité depuis 2000, certifié en sécurité offensive, et consultant chez ATEXIO, j’aime continuer à apprendre et partager avec la communauté.

Infos clés

Horaire : 10:15
Durée : 55 min
Langue : 🇫🇷
Catégorie : 🕵️ Technique
Complexité :


Cycle de vie des applications dans Kubernetes (patch management)

La conférence en détails :

Lors de cette présentation, nous allons dans un premier temps rappeler la spécificité de docker par rapport à une VM (PID, cgroups, etc) parler du système de layer et de la différence entre images et instances puis nous présenterons succinctement kubernetes.

Ensuite, nous présenterons un processus « standard » de propagation d’une version CI/CD (développement, préproduction, production) à travers les tags docker.

Enfin, nous parlerons des différents composants constituant une application docker (base-image, tooling, librairie, code).

Une fois cette introduction réalisée, nous parlerons du cycle de vie d’une application à travers ses phases de développement, BAU pour mettre en avant que les failles de sécurité en période de développement sont rapidement corrigées par de nouvelles releases, mais pas nécessairement en BAU où les releases sont plus rares. Nous parlerons des diverses solutions (jfrog Xray, clair, …) pour le suivie des automatique des CVE et l’automatisation des mises à jour. Enfin, nous ferons un bref retour d’expérience pour parler des difficultés rencontrées et des propositions d’organisation mises en oeuvre.

Cette présentation bien qu’illustrée par ds implémentations techniques est principalement organisationnelle.

L’intervenant : Charles SABOURDIN

Investi depuis longtemps dans l’informatique, Linuxien, Javaiste et viscéralement DevOps-ien, Charles Sabourdin est Architect / DevOps Freelance.

Régulièrement en charge de problématiques d’architecture, de sécurité et de production. Il travaille sur des missions Agile et de production, de développement et d’opérations toujours autour d’un but: l’amélioration continue du processus de production.

Son focus actuel, en plus de son rôle de Paris’Jug Leader, est Kubernetes et Openshift.

Infos clés

Horaire : 11:30
Durée : 55 min
Langue : 🇫🇷
Catégorie : 🕵️ Technique
Complexité :


AppSec pipeline quand on a un petit budget !

La conférence en détails :

De nombreux projets et produits open-source sont aujourd’hui disponibles et permettent de construire un cycle de développement ainsi qu’un processus de delivery intégrant la sécurité.

  • Très en amont, le framework Owasp SAMM, facile et rapide à prendre en main, permet d’identifier très rapidement dans une organisation les améliorations à produire vis-à-vis des objectfs à atteindre en termes de développements sécurisés.
  • Les projets de l’OWASP permettent de mettre en œuvre un programme de formation simple et efficace en amont de tout projet (Top ten, Development Guide, Testing Guide) intégrant des travaux pratiques permettant aux développeurs d’acquérir un premier niveau de testing (WebGoat, JuiceShop, DevSlop) et de le maintenir dans le temps.
  • Les outils de qualimétries génériques open source offrent désormais un premier niveau consistant adressant la sécurité applicative (SonarQube, FindSecBugs, Bandit, .Net Security Guard,..)
  • Les applicatifs eux même peuvent faire l’objet de scan automatisés dans un processus d’intégration continue avec ZAP en mode passif configuré en proxy entre la VM de tests unitaires et l’Application Server. Un premier scan actif peut également découvrir un premier lot de vulnérabilité après quelques efforts de configuration (pas de possibilité d’industrialisation automatique de cette action).
  • Dans l’approche DevOps, ces actions peuvent être complétées par un scan des containers dockers avec Clair,
  • Enfin, une grande partie de ces outils ainsi que d’autres outils SAST et DAST du marché s’interfacent avec la plateforme Defect Dojo, maintenue par l’OWASP qui est agrégateur de vulnérabilité permettant de disposer des dashboards de vulnérabilités de son patrimoine applicatif.

La mise en œuvre d’une AppSec Pipeline avec ces outils peut être réalisée en trajectoire pilotée. Elle représente surtout un effort humain. L’investissement en infrastructure est minime, c’est le temps de formation des équipes projets à la lecture des informations remontées par les outils qui pèse le plus en termes de charge ainsi que le tri des faux positifs éventuels, comme pour tous les outils d’analyse automatiques.

L’intervenant : Fabien BUISSON

J’ai suivi dans ma carrière un parcours de développeur et chef de projet pour revenir ensuite à la technique. Je travaille depuis 4 ans au sein d’une équipe mixte et transverse, constituée de développeurs et architectes, à l’amélioration et l’industrialisation de nos processus de contrôle de sécurité applicative. Notre démarche s’appuie notamment sur ces outils et projets open source que nous complétons par d’autres solutions de références du marché.

Infos clés

Horaire : 14:00
Durée : 25 min
Langue : 🇫🇷
Catégorie : 🕵️ Technique
Complexité :


La désinformation au service de l’information

La conférence en détails :

A la suite de l’affaire Benalla révélée au cours de l’été 2018, des articles de presse ont indiqués que celle-ci avait été amplifiée sur Twitter par un petit nombre de comptes russophiles ou de compte semi-automatisés. A l’origine de cette information, une organisation en charge de la lutte contre la désinformation basée à Bruxelles. Peu après, plusieurs politiques ont saisis la commission d’enquête du Sénat et des internautes ont fait de même avec la CNIL. Dans cette conférence, nous essayerons de répondre sur plusieurs points :

  • Qu’est-ce que la désinformation ?
  • L’analyse des profils sur Twitter est-elle légale ?
  • Pourquoi certains médias se sont-ils basés sur une analyse incomplète ?

L’intervenant : « Mouton Placide »

Je suis analyste en sécurité informatique dans une grande société. J’ai d’abord eu un attrait pour l’analyse des logiciels malveillants, mais plus récemment, j’observe les phénomènes de « ripostes » sur les réseaux sociaux, qui sont parfois associés à la désinformation.

Infos clés

Horaire : 14:30
Durée : 25 min
Langue : 🇫🇷
Catégorie : 👨‍⚖️ Juridique
Complexité :


Le sans-fil, c’est fantastique (surtout pour les hackers) !

La conférence en détails :

Je propose de faire un petit tour d’horizon des protocoles de communication sans-fils et de leur sécurité. Et surtout, de montrer le gap entre les spécifications et la réalité du terrain (erreurs d’implémentations, choix délibérés des développeurs ou des concepteurs de puces, etc).

Certes, tout le monde connait le WiFi (ouaiiiiis !), mais beaucoup moins des protocoles comme: ZigBee (IEEE 802.15.4), ShockBurst, Enhanced ShockBurst, des protocoles 2.4 GHz custom, Bluetooth Low Energy notamment. Ainsi, ce talk synthétise les différentes erreurs classiques faites soit dans la conception de protocoles de communication, soit dans les choix d’implémentation ou encore dans la rédaction des normes, avec des démonstrations bien visuelles et des enseignements à en tirer.

Démonstrations:

  • Extraction de clef de chiffrement ZigBee d’une ampoule connectée et prise de contrôle
  • Sniffing de clavier sans-fil, prise de contrôle à distance de la souris et du clavier
  • Prise de contrôle d’un drone 2.4GHz
  • Prise de contrôle d’un drone et d’un sextoy Bluetooth Low Energy
  • Extraction de clef de chiffrement LoRaWAN par attaque matérielle

Le but n’est pas d’entrer en détail dans les technologies, mais bel et bien de mettre le doigt sur les erreurs classiques, les suppositions faites par les utilisateurs de ces technologies, etc. L’idée est vraiment d’éveiller les gens sur le fait que sans-fil, c’est super pratique mais plus risqué, mais que l’on sait aussi gérer cela et assurer la sécurité.

L’intervenant : Damien CAUQUIL (aka virtualabs)

Actuellement chercheur sécurité senior chez Digital.Security, Damien a découvert le « hacking » il y a plus de 20 ans (ce qui ne le rajeunit pas). Il a présenté dans diverses conférences comme La Nuit du Hack, BruCON, le Chaos Communication Congress, le Chaos Communication Camp, DEF CON, etc.

Infos clés

Horaire : 15:15
Durée : 55 min
Langue : 🇫🇷
Catégorie : 🕵️ Technique
Complexité :

L’automatisation, un outil indispensable à la cybersécurité

L’atelier en détails :

Cet atelier a pour but d’initier l’audience sur ce qu’il est possible de faire au niveau automatisation du réseau pour le sécuriser face aux menaces Internet. Acorus Networks étant spécialiste Français de la protection des entreprises et fournisseurs de services internet contre les attaques de déni de service (DDoS), nous partagerons comment nous avons automatisé certaines configurations de notre réseau pour répondre plus efficacement à ce fléau.

L’intervenant : Alexandre CORSO

De formation ingénieur, j’ai démarré mon parcours professionnel dans le monde des réseaux et télécoms, et plus particulièrement, dans les réseaux de point d’échange comme Rezopole LyonIX, puis France-IX. C’est avec cette dernière expérience que j’ai pu commencer à appliquer mes compétences de programmation algorithmique en automatisant des configurations simples et répétitives du premier réseau de peerings Français. J’ai rejoint Acorus Networks il y a un an afin de poursuivre cette expertise d’automatisation réseau que j’étends maintenant à la sécurité Internet.

Infos clés

Horaire : 10:15
Durée : 55 min
Langue : 🇫🇷
Catégorie : 🕵️ Technique
Complexité :


Le reste des workshops sera bientôt communiqué.

En plus des différents exposants, venez découvrir une exclusivité #NSD18 : un workshop « all the day » tourné vers le hacking de voitures.


101 Car Hacking

L’atelier en détails :

Vous avez toujours voulu hacker une voiture, mais ne savez pas par où commencer. Vous n’osez pas toucher votre voiture car vous avez peur de la bricker. Le but de cet atelier est de découvrir comment se brancher à sa voiture pour commencer à la hacker en toute sécurité.

Nous ferons un tour d’horizon des connecteurs et de l’environnement radio des véhicules puis des protocoles utilisés. Si CAN, OBD, FlexRay LIN vous parlent déjà nous aborderons les systèmes d’exploitation Automotive Grade Linux et GENIVI.

Nous terminerons enfin l’atelier dans un vrai véhicule préparé pour l’occasion.

L’intervenant : Gael MUSQUET (aka RatZillaS)

Gaël Musquet est un hacktiviste opensource et opendata. Il est le porte-parole d’OpenStreetMap France et fondateur de l’ONG de gestion de crise : HAND – Hackers Against Natural Disasters.

Il rassemble des volontaires techniques au service de la prévention des catastrophes naturelles et soutient les échanges techniques entre institutions, entreprises et communautés de citoyens. En tant qu’observateur météorologique, cartographique et radio amateur, il mène des expériences techniques consacrées à la sécurité civile et au renseignement collectif.

Infos clés

Horaire : à partir de 10:15
Durée : All the day
Langue : 🇫🇷
Catégorie : 🕵️ Technique
Complexité :

N’oubliez pas de réserver votre place !

Réserver sa place (Gratuit & Obligatoire)
NetSecure DayProgramme détaillé