A la croisée des révolutions numériques

Generic selectors
Exact matches only
Search in title
Search in content
Generic selectors
Exact matches only
Search in title
Search in content
Home 5 Évènement 5 Cyber sécurité et protection du patrimoine des entreprises

CYBER SÉCURITÉ ET PROTECTION DU PATRIMOINE DES ENTREPRISES

Dans le contexte de l’utilisation des objets connectés (IoT) dans l’entreprise, des réseaux sociaux et des smartphones, comment assurer la protection du patrimoine de l’entreprise par la bonne utilisation de ces objets et du cloud, en considérant les aspects humains et technologiques ?

Découvrez l’état de la menace, comment se préparer pour y faire face, et comment survivre à une attaque.

DATE & LIEU

01 octobre 2018

9h00 - 17h30

Centre d’intégration Nano-INNOV

Bâtiment 862
Avenue de la Vauve,
91120 Palaiseau
SITUATION
Organisateurs et partenaires

PROGRAMME

09h00 – 09h30

Accueil & café

09h30 – 09h40

Introduction de la journée

Samuel Evain

Cap’Tronic

—– PRÉSENTATION DE LA MENACE—–

09h40 – 11h10

État de la menace

Conférencier expert

Ministère de l’Intérieur

11h10 – 11h20

Pause café

11h20 – 12h10

Présentation du CLUSIF et panorama des incidents de cyber sécurité

Thierry Matusiak

IBM/CLUSIF

—– LES RECOMMANDATIONS—–

12h10 – 12h50

Les préconisations de l’ANSSI

Patrice Bigeard

ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information)

12h50 – 14h00

Déjeuner buffet

—– ET L’HUMAIN DANS TOUT CA ?—–

14h00 – 14h20

La sécurité oui, mais jusqu’où ? Faut-il avoir peur ?
Judith Nicogossian

Chercheuse anthropologue

—– RÈGLEMENTS ET CERTIFICATIONS—–

14h20 – 14h40

L’obligation de sécurisation des systèmes d’information

Me Marc-Antoine Ledieu

[Ledieu Avocat]

14h40 – 15h00

Aspects réglementaires (OIV, LPM, RGS, ISO). L’effet boule de neige !

Patrick Legand

Xirius Informatique

15h00 – 15h40

L’audit de sécurité, pour quel objectif et par quels procédés ? Retour d’expérience

Damien Cauquil

Econocom Digital Security

15h40 – 16h00

Pause café

—–PRODUIT DE SÉCURITÉ INNOVANT D’UNE START UP FRANÇAISE—–

16h00 – 16h20

Lokly : Solution de transport d’informations sensibles dans un contexte de mobilité multi-support

Benoit Berthe

Vandelay

—–SURVIVRE À UNE ATTAQUE—–

16h20 – 17h00

Cyber attaques : retour d’expérience sur la remédiation de systèmes compromis ou hors service

Mohammed Bakkali
Didier Pilon

Zyroc, spin-off de l’ANSSI

17h00 – 17h20

Le transfert du risque cyber à l’assurance

Christophe Delcamp

FFA
(Fédération Française de l’Assurance)

—–CONCLUSION—- 

17h20 – 17h30

Conclusion
Samuel Evain
Patrick Legand

Cap’Tronic
Xirius Informatique

Résumé de la présentation
PRÉSENTATION DU CLUSIF ET PANORAMA DES INCIDENTS DE CYBER SÉCURITÉ| THIERRY MATUSIAK ARCHITECTE SÉCURITÉ CHEZ IBM ET MEMBRE ACTIF DU CLUSIF
Avec plus de 700 membres, le CLUSIF est la plus grosse association de professionnels de la sécurité en France. Les échanges ont lieu au travers de groupes de travail, de publications, et de conférences thématiques réunissant des offreurs et des utilisateurs issus de tous les secteurs de l’économie. 
Thierry Matusiak est architecte sécurité chez IBM et membre actif du CLUSIF. Il présente ici une synthèse de la dernière édition de la conférence “Panorama de la cybercriminalité”, qui résume les tendances dans ce domaine : les attaques destructives, les attaques indirectes, le Cloud, les objets connectés, les cryptomonnaies…

Thierry Matusiak

LES PRÉCONISATIONS DE L’ANSSI | PATRICE BIGEARD, DÉLÉGUÉ À LA SÉCURITÉ NUMÉRIQUE RÉGION ILE–DE-FRANCE ANSSI (AGENCE NATIONALE POUR LA SÉCURITÉ DES SYSTÈMES D’INFORMATION)
Face à l’augmentation constante et rapide des incidents informatiques dus à de la malveillance, ciblée ou aléatoire, l’état a engagé des moyens à la fois pour sa propre défense et pour celle de l’ensemble de l’économie du pays, quelque soit la taille des entreprises.
L’ANSSI porte cette autorité nationale de défense cyber et préconise un certain nombre de mesures, à la fois réglementaires (comme la directive NIS) et techniques. Ces mesures visent entre autre à protéger le patrimoine informationnel des entreprises et des citoyens. L’arrivée des objets connectés et la transition massive vers le Cloud renforcent l’intérêt à partager ces préconisations avec l’écosystème des start-up et des PME.

Patrice Bigeard

LA SÉCURITÉ OUI ! MAIS JUSQU'OÙ ? FAUT-IL AVOIR PEUR ? | JUDITH NICOGOSSIAN, CHERCHEUSE ANTHROPOLOGUE
Internet et son transfert de données par lequel tout transite tout se stocke tout se re-identifie, et ses enjeux de sécurité, réactivent la question des données personnelles mais également des limites de la protection des données confidentielles, aux allures parfois de « Nightmare Privacy ». De la DATAWISE à la DATAPARANO, il n’y a qu’un pas, revenant finalement toujours autour de la même question : celle de l’humain. Jusqu’où aller dans la protection de ses données ? Nous arrivons à nous demander si on peut prendre la carte de visite de quelqu’un. Comment vais-je sécuriser ses données ? lui donner la possibilité de les consulter, modifier, effacer ? Quand les contraintes de sécurité deviennent trop fortes nous installons des stratégies de contournement ou encore, malgré un contexte professionnel éclairé, superformé aux risques, finissons par lâcher des infos topsecret à l’heure du cocktail dinatoire d’un Congrès…

Sommes-nous condamnés à être perdus par nos sens ?

L'OBLIGATION DE SÉCURISATION DES SYSTÈMES D'INFORMATION | MARC-ANTOINE LEDIEU, AVOCAT À LA COUR, [LEDIEU AVOCAT]

Depuis la loi française sur les Opérateurs d’Importance Vitale (LPM 2013), l’Europe s’est emparée du sujet pour obliger les entreprises (et les administrations) à se soucier sérieusement de la sécurisation de leurs système d’information. La Directive “Network Information Security” a (enfin) été transposée en France par la loi “SRSI” du 26 février 2018 qui créé les catégories d’Opérateur de Service Essentiel et de Fournisseur de Service Numérique avec des obligations spécifiques de sécurité. C’est également la GDPR qui impose une obligation générale de sécurité des systèmes d’information en cas de “traitement de données à caractère personnel”. La France ayant transposé les obligations GDPR depuis 2014, il est aussi intéressant de prendre en compte la jurisprudence (assez technique) de la CNIL sur les défauts de sécurisation des “données personnelles”.

Marc-Antoine Ledieu

ASPECTS RÉGLEMENTAIRES (OIV, LPM, RGS, ISO). L’EFFET BOULE DE NEIGE ! | PATRICK LEGAND, DIRECTEUR DE XIRIUS INFORMATIQUE
Depuis une dizaine d’années, on observe un engagement fort de l’État en faveur de la lutte contre la cybermenace et la protection du patrimoine informationnel. Un dispositif législatif et règlementaire a notamment été mis en place afin de renforcer la protection des activités d’importance vitale et des industries stratégiques. Bien que les effets bénéfiques de la mise en oeuvre progressive d’une telle doctrine soient indiscutablement avérés, le déploiement d’une politique de sécurité se heurte à de nombreux écueils et le niveau de maturité en sécurité dans les entreprises, dans un contexte de sophistication croissante des menaces, demeure toujours disparate. Nous proposons un rapide point de situation.

Patrick Legand

L'AUDIT DE SÉCURITÉ, POUR QUELS OBJECTIFS ET PAR QUELS PROCÉDÉS ? RETOUR D'EXPÉRIENCE | DAMIEN CAUQUIL, RESPONSABLE R&D CHEZ DIGITAL.SECURITY
Damien présentera durant cette intervention les différents types d’audits, leurs avantages et inconvénients, ainsi que les conditions dans lesquels ils sont réalisables. Il délivrera l’ensemble des clés permettant de choisir le ou les audits qui conviennent le mieux en fonction de différentes situations, illustrés par des exemples et des retours d’expériences. Enfin, il abordera les spécificités des audits de systèmes connectés (Internet des Objets), leur réalisation, ainsi qu’un retour d’expérience sur la base des audits effectués au sein de Digital.Security.

Damien Cauquil

LOKLY : SOLUTION DE TRANSPORT D'INFORMATIONS SENSIBLES DANS UN CONTEXTE DE MOBILITÉ MULTI-SUPPORT | BENOÎT BERTHE, DG VANDELAY
Pour transmettre des documents, mettre à jour des systèmes isolés, sécuriser des données sensibles ou personnelles, la clé USB est le moyen le plus répandu. Mais c’est également un vecteur d’attaque redouté des services informatiques car même les produits dits « sécurisés » présentent des faiblesses. Lokly apporte une solution innovante en proposant la clé USB connectée la plus sécurisée du marché. Lokly déchiffre ses données uniquement si l’utilisateur est à proximité et l’a autorisé.

Benoît Berthe

CYBER ATTAQUES : RETOUR D’EXPÉRIENCE SUR LA REMÉDIATION DE SYSTÈMES COMPROMIS OU HORS SERVICES | DIDIER PILON ET MOHAMMED BAKKALI, DIRIGEANTS DE ZYROC

La remédiation sous 2 modes :

1. Réactif.  Pour les sociétés victimes d’APT : définir et mettre en œuvre la stratégie de remédiation afin de contenir l’attaque, identifier les mesures d’urgence,  redémarrer l’activité, restaurer la confiance dans le système d’information et évincer durablement l’attaquant.
2. Proactif. Afin de réduire le risque de compromission pour les autres: protéger et assainir le système d’information, détecter les signaux faibles ou les traces de compromissions et assurer la mise en conformité avec la législation, les standards et les bonnes pratiques…

Didier Pilon
Mohammed Bakkali

Benoît Berthe

LE TRANSFERT DU RISQUE CYBER À L’ASSURANCE | CHRISTOPHE DELCAMP EN CHARGE DES SUJETS CYBER AU SEIN DE LA FÉDÉRATION FRANÇAISE DE L'ASSURANCE (FFA)
La gestion du risque cyber par les entreprises et les collectivités n’est plus un problème technique relevant des seules directions informatiques mais bien un enjeu de gouvernance relevant des directions générales.

Les multiples exemples d’attaque prouvent que nul n’est à l’abri et que tous les secteurs économiques et publics doivent se mobiliser contre ce risque.

L’Etat français a été le premier conscient du sujet. Par des interventions législatives (Loi informatique et liberté de 78 et s ; loi de programmation militaire 2014-2019),  il a su mettre en place un cadre juridique et de gouvernance dont l’Europe s’est inspirée par une récente réglementation en vigueur depuis mai 2018 : le RGPD et la Directive NIS (1).

Par cet encadrement législatif, l’inaction devient une faute de gestion pouvant entrainer la responsabilité d’un dirigeant en cas d’incident cyber impactant significativement la marche de ses affaires. L’assurance a su de tout temps accompagner le développement économique des entreprises en gérant le transfert de leurs risques vers une mutualité d’assurés.

Or les entreprises françaises sont aujourd’hui peu couvertes contre le risque cyber par le biais de l’assurance. Cette présentation a pour objectif de faire un état des lieux de ce nouveau marché.

(1) RGPD : Règlement Général de protection des données personnelles, Directive NIS : Network and Information Security.

Christophe DELCAMP