Podcast #3 Tanya Janca, Microsoft

Tanya Janca is the founder of WoSEC (Women of Security) and Cloud Security Advocate at Microsoft.

If you are interested in knowing:

  • What is the ideal cyberspace for a cloud Advocate
  • How we can make this industry better for women and newcomers,
  • Or simply hear about an inspiring career path

Listen to this podcast and you will have some answers. (You can download the file in mp3)

Listen in this page

Nuit de la gestion de crise par les jeunes de l’IHEDN

Le 29 mars 2019 a eu lieu la nuit de la gestion de la crise. Cet évènement est organisé par l’association des jeunes de l’IHEDN. J’ai ainsi pu assister à des conférences et des ateliers (gestion de crise, risques de gestion de crise, Social Room, Création d’un exercice de crise, Exercice de crise sociale)

Inscription et préparation

Cet évènement est très prisé et les places pour les ateliers sont parties en moins de deux heures, il faut donc bien lire le programme et préparer son planning à l’avance. Inscrivez vous à l’avance et restez réactifs aux e-mails pour l’inscription aux ateliers.

La gestion de crise aujourd’hui, Gilles Malié

Gilles Malié, Chef d’Etat Major de la Zone de Défense et Sécurité de Paris

L’évènement a été ouvert par une conférence de Gilles Malié, Chef d’Etat Major de la Zone de Défense et Sécurité de Paris. Gilles Malié a présenté son travail et tenté de définir la résilience. Toutefois, selon lui, il est impossible de promettre la résilience dans la gestion de crise: « on ne sait pas ce qu’est la résilience, on connait seulement l’absence de résilience ».

Voici ci-après un slide permettant de comprendre les missions de Gilles Malié.

Gestion de crise

Il a ensuite évoqué, à titre d’exemples, quelques cas pratiques.

Pour conclure, il a rappelé la difficulté de donner une bonne définition de la résilience et souligné que lorsque trop de personnes s’occupent d’un problème, cela débouche sur une mauvaise gestion. Dans ce type de mission, il faut donc être préparé et rester humble.

Les risques de la gestion de crises, Patrick Lagadec

Lors de son intervention, Patrick Lagadec, a donné des exemples de crises et de la façon dont elles ont été gérées. Il a évoqué les imprévus, les mauvaises préparations ainsi que la gestion d’évènements inédits.

Je vous invite à consulter son site internet qui est fascinant et qui propose ses travaux dans différentes langues. C’est ici.

Atelier: Social Room

Social Room est un outil mis au point par Crisotech pour s’entrainer à la communication de crise via les réseaux sociaux. Crisotech met en place différents outils de formation à la gestion de crise.

Formation à la gestion de crise – Crisotech

Après une brève présentation de Crisotech, l’exercice a commencé. Voici le scénario:

Scénario Starwhite – Crisotech

Et nous voici devant la social room de Starwhite. Un exercice délicat, périlleux et passionnant!

Social Room du Starwhite Explorer – Crisotech

Ce qui était important dans cet exercice, était de bien comprendre la crise, de tenter d’anticiper au maximum, d’établir une bonne cartographie de la situation et bien sûr de rédiger des billets pertinents. En résumé la priorité ici est d’être rassurant et de protéger la réputation de Starwhite grâce à une communication de crise adaptée.

Atelier création d’un exercice de crise, Resiliency

Lors de cet atelier, Resiliency nous a présenté les processus de création des différents types d’exercices de gestion de crise. Voici quelques slides de la présentation:

La notion d’exercice

Celui qui m’a le plus intéressé est l’exercice de terrain. Cet exercice se fait sur de longues durées (36h), il s’agit de s’entrainer à sentir ses limites personnelles et physiques.

Un exercice effectué en Corse a été donné en exemple: Les participants occupaient chacun 4 postes de 6h. L’exercice était découpé en plusieurs phases. Les participants ne savaient pas à l’avance ce qu’il se passerait. Voici une vidéo qui présente cet exemple:

Exercice Resiliency en Corse

Exercice de crise sociale, Patrick Cansell

Cet exercice était très bien ficelé. Toutefois, je ne peux pas en dire trop pour le cas ou vous seriez amené à participer à la prochaine nuit de gestion de crise. Il s’agissait d’un exercice en immersion total ou il fallait déployer des stratégies pour gérer une (ou plusieurs 😉 ) crise(s) en entreprise. Chaque participant avait un rôle et des objectifs à respecter. Bref, un atelier à faire et à refaire 😀

En attendant, je vous invite à vous rendre sur le site de Artem-is

Comme vous avez pu le constater dans cette article, j’ai adoré cet évènement. Je vous invite à consulter le site officiel de la nuit de la gestion de crise si vous souhaitez participer à la prochaine édition.

Pour aller plus loin

FIC 2019

Entrée du Grand Palais de Lille

Les 22 et 23 janvier 2019 au Grand Palais de Lille se déroulait le Forum International de Cybersécurité. Toutes les conférences avaient l’air passionnante, mais n’ayant pas le don d’ubiquité j’ai du faire des choix. Je vais les présenter brièvement ici.

Cybersécurité des grands évènements: retours d’expérience

Cybersécurité des grands évènements: retours d’expérience
Modérateur: Pierre-Alexis Saint-Michel
Intervenante: Reiko Kondo
Intervenant: Loïc Guezo
Intervenant: Colonel Michel Sans

Le but de cette conférence était de tenter de donner un panorama des futurs menaces cyber grâce à divers questions posées aux intervenants.
Il a donc d’abord été question de définir un terme clé du titre de la conférence: « les grands évènements. »

Grands évènements: De quoi parle-t-on?

Lorsque l’on parle de Grands évènements cela concerne des évènements d’ampleur nationale ou internationale tels que des élections présidentielles, le G20, la COP21, des jeux olympiques, etc.

Loïc Guezo, a proposé un paysage de la menace.

Threat Landscape

Il a été également évoqué des incidents lors d’anciens jeux olympiques

What had happened to the past Olympic Games?
Cases in the Past Olympic and Paralympic Games

Reiko Kondo a présenté les observation du NICT (National Institute of Information and Communications Technology) relatives aux attaques sur les objets IoT.

Attacks on IOT Devices observed by Nicter

Pierre-Alexis Saint-Michel a évoqué rapport de l’Université de Berkeley concernant les jeux olympiques et en a présenté un résumé.

Report on the Cybersecurity of Olympic Sports, CENTER FOR LONG-TERM CYBERSECURITY

Reiko Kondo a parlé services essentiels pour Tokyo en 2020. Ils en ont identifié 21.

Essential Service Providers Tokyo 2020

Elle a présenté les mesures de cybersécurité pour Tokyo 2020

Cybersecurity Measures for Tokyo 2020

Il a également été question de définir des bonnes pratiques. Le guide du CERT a été évoqué. Il est également essentiel de sensibiliser les OIV. Aussi, les technologies évoluent il faut donc s’y préparer.

De nouvelles techniques de risk management sont introduites

Scenario Based Security Risk Management – Trend Micro

Il est donc important d’anticiper la menace et d’apprendre de ce qui s’est précédemment produit.

Keynote: Exploiting dangerous behavior, Clément Lavoillotte

Ce keynote nous a donné un tour d’horizon et quelques ressources en matière de « privilege esalation ». Voici quelques slides pertinents:

Techniques and tools – Provadys
Takeways – Provadys

L’intervention de Florence Parly Ministre des Armées

Florence Parly (ministre des armées) a exposé la stratégie de la France en matière de cybersécurité. Elle a évoqué les investissements de la France pour le renforcement de la cybersécurité et le fait que le pays revendique d’utiliser l’arme cyber au même titre que toutes les armes conventionnelles. L’arme cyber est un outil pour défendre, répliquer et attaquer.

Elle a également évoqué l’augmentation des partenariats à l’échelle européenne. Il s’agit de créer une culture commune et des remparts plus fort pour agir ensemble.

Enfin, elle a abordé les PME et leur partenariats avec comcyber comme par exemple yeswehack pour la création du premier bug bounty du ministère des armées.

Cybermenace: Avis de tempête, Wavestone, Institut Montaigne

Le FIC a aussi été l’occasion d’assister au talk de Wavestone concernant leur rapport en partenariat avec l’institut Montaigne: « Cybermenace, avis de tempête ». Ce rapport est disponible ici. Dans ce rapport un scénario catastrophe a été imaginé puis confronté à la revue cyber défense. Les conclusions de ce rapport ont permis d’établir des recommendations sous la forme de 13 propositions disponibles ici.

You are the weakest link

Une table ronde réunissant les intervenants suivants a évoqué l’humain au centre de al cybersécurité:

Intervenants You are the weakest link

Différents éléments ont été évoqués:
Selon Phedra Clouner:

    • Il faut considérer que l’humaine peut être le maillon fort: pare feu humain. La technologie ne va pas sans l’humain et les deux sont complémentaires.
      Il est important de noter que l’on peut entrer dans une optique de sensibilisation et d’information du citoyen qui peut agir comme protecteur de son éco-système.
    • En 2017 on observe un changement de paradigme pour impliquer le citoyen dans sa propre utilisation, le gouvernement Belge a incité le citoyen à envoyer les mails qu’ils considéraient comme suspect, en un an plus de 600 000 mails ont été envoyés. Cela permet de bloquer 5 sites de phishing par jour, de découvrir de nouveaux malwares et de travailler avec des entreprises anti-virus.
    • Faire participer le citoyen, le responsabilise quant à sa propre protection.
    • Concernant les OIV (terme en Belgique: infrastructures critiques) des informations ont été mise à leur disposition pour mieux se défendre face aux menaces. Il y a un référentiel de sécurité à la disposition qui est à la disposition de tous les services

Pour Sébastien Gest:

      • l’IA est nécessaire car les données personnelles sont « dans la nature ».
      • Le BOYD est problématique notamment en termes de phishing

Pour Stéphane Nappo:

      • Il faut transformer le vecteur de menace humain en facteur de sécurité grâce à l’éducation.
      • Eduquer l’utilisateur dans sa sphère personnelle a un impact positif dans la sphère professionnelle

Pour Pascal Steichen:

      • Etant donné les rapides évolutions en termes d’attaques la technologie doit être évolutive.
      • Il faut appliquer une sorte de prévention routière mais pour la cybersécurité.
      • Pour les grandes structures il faut des personnes dédiées pour ceci.
      • Depuis 6-7 ans le Luxembourg a lancé l’initiative « Be Secure » qui proposedes sessions de sensibilisations dans les écoles.
      • Il faut sensisbiliser, former et tester des managers qui seront confrontés à des cyber attaques même s’ils n’ont pas forcément un profil technique.
      • Tous les métiers doivent travailler ensemble ce n’est pas l’affaire que du responsable de la sécurité.

Intervention de Mariya Gabrielle, European Commisioner

La prise de conscience est de plus en plus saisissante au niveau européen.
Mariaya Gabrielle a évoqué différents éléments concernant la cybersécurité européenne:

      • Les canaux numériques sont de plus en plus utilisés pour s’immiscer au cœur de la démocratie
      • Nous dépendons des systèmes et sommes confrontés à de nouveaux types d’attaques
      • La directive NIS a pour objectif de permettre une meilleure communication entre les états membres pour l’amélioration de la cybersécurité en Europe.
      • Aujourd’hui il est question d’augmenter le budget et les ressources humaines de l’ENISA de 50%.
      • Un système de certification europénne en cybersécurité va être mis en place.
      • Les industries européennes doivent avoir moins de charges financières et administratives
      • L’europe doit investir plus dans la cybersécurité
      • Il faut attirer plus de jeunes et plus de femmes dans le domaine de la cybersécurité. Les chiffres sont alarmants

Que peut on faire au FIC en dehors des conférences?

Le FIC propose effectivement beaucoup de conférences. Toutefois, il y a aussi plein d’autres choses à faire: des CTF, des stands d’administrations et d’entreprises, des démonstrations, et même des courts métrages diffusés lorsque l’on attend le début d’une conférence.
Ces films sont issus du festival du film sécurité.

Voici les liens de ceux que j’ai pu trouver :

On peut également discuter avec les personnes présentes au stand. C’est assez riche en enseignements, j’ai par exemple découvert le site safeonweb qui permet de sensibiliser les citoyens belges au phishing et autres attaques: Safe on web

Pour aller plus loin:

Compte rendu de notre visite au Meetup OWASP France

Le 4 avril nous sommes allées ensemble au Meetup d’OWASP France.
Différents sujets on été abordés et des groupes de discussions ont été proposés. Les membres du WoSEC Paris se sont joint à l’atelier ou il était question d’agilité dans la sécurité.
Le prochain meetup ou nous nous rendrons à plusieurs sera celui des cyber rencontres de Orange.
Retrouvez tous les prochains meetups ici: https://www.meetup.com/fr-FR/WoSEC-Women-of-security-Paris/

Compte rendu du meetup du 27 mars 2019

Ce meetup était le premier, il avait pour objectif de présenter les projets de #WoSECParis et de prendre contact avec les participant.e.s.

Le chapitre parisien du WoSEC a été présenté, il a pour objectif de:

  • D’apprendre ensemble le Ethical Hacking par différents biais notamment via des entrainements à des CTF qui pourraient fort probablement déboucher sur la création d’une équipe de CTF majoritairement voire exclusivement féminine.
  • Faire intervenir des personnalités de la Cyber grâce à des conférences
  • Aller ensemble à des évènements pour ne pas se sentir seules.
  • Et bien sûr toutes autres suggestions proposées par les participantes

Après un tour de table de présentation, nous avons décidé que la fréquence des meetups serait mensuelle avec une préférence pour les mercredis soirs ou jeudis soirs (à partir de 18:30).

Les suggestions des participant.e.s ont été les suivantes:

  • Faire une conférence avec ateliers sur le thème du recrutement
  • Faire intervenir des expert.e.s sur différents sujets
  • Découper les meetups en deux temps: un temps conférence suivi d’un temps atelier d’entrainement aux CTF.

Il a été précisé que si certaines participantes le souhaitaient des Meetups pourraient être exclusivement féminin. Toutefois, pour le moment aucune demande de cet ordre n’a été formulée.

Il a été décidé de créer un groupe Linkedin pour échanger et s’informer: https://www.linkedin.com/groups/13694861/

Deux nouveaux events ont été créés sur meetup afin d’aller ensemble à des évènements:

Podcast #2: Anouk Vos, Cyberworkplace

Anouk Vos is founder of Revnext, a strategy consultancy firm in Technology Driven Strategies in Netherlands and chairman of Cyberworkplace a non-profit initiative that helps reduce the current shortage of cyber security experts in the labor market (see my article about it here).

If you want to know more about:

  • Cyberworkplace and how to help reduce the shortage of cybersecurity expert
  • Cybersecurity from a former diplomat point of view
  • Listen to this podcast! (you can download the file in mp3)

    Listen in your browser


    Podcast #1: Melanie Rieback, Radically Open Security

    Melanie Rieback is co-founder and CEO of Radically Open Security the world’s first not-for-profit computer security consultancy company (see about my internship with them here).

    If you want to know more about:

    • The first not for profit computer security consultancy company
    • The vision of Cybersecurity of social entrepreneur

    Listen to this podcast! (You can download the file in mp3)

    Listen in this page

    My internship at Radically Open Security

    One of my goal in this ethical hacker challenge was to volunteer for a GREAT organization. This is what i did with Radically Open Security who welcomed me as an intern for six months.

    How did i get this opportunity?

    When i started to work in the IT I quickly had concerns about the lack of safety on the Internet.
    Therefore, my curiosity and thirst for learning led me to wonder about the construction of a safer cyberspace.
    This quest has shaped the type of company I wanted to be involved with. This is when I discovered the existence of ROS (Amsterdam, Netherlands) and Melanie Rieback in a press article.
    This initiative was an evidence and in line with the values I want to promote.
    Transparency is the central point of this company and its business model is a promise of a better social future.

    What is Radically Open Security?

    « Radically Open Security is the world’s first not-for-profit computer security consultancy company. We are prototyping an innovative new business model – using a Dutch « Fiscaal Fondswervende Instelling » (Fiscal Fundraising Institution) to provide a commercial front-end that sends 90% of our profits tax-free to a backend foundation (Stichting NLnet) that has supported open-source, Internet research, and digital rights organizations for almost 20 years. The other 10% of our profits will go to an employee profit-sharing scheme, in which the secretary accumulates profit-sharing rights as quickly as the CEO. Additionally, due to our low management/overhead costs, we can afford to pay competitive wages to our computer security consultants.  »
    At ROS everybody works remotely.
    (source: https://radicallyopensecurity.com/business-model.htm)

    Wait! Not for profit?

    Yes not for profit! Let Melanie Rieback co-founder and CEO explain this to you:

    What service do they offer?

    • Penetration testing, ethical hacks and social engineering
    • Malware reversing and analysis
    • Network monitoring and threat detection
    • Forensics
    • CSIRT and incident response
    • Code audits
    • DDoS Testing
    • Cryptographic analysis
    • Custom R&D Projects
    • Workshops, trainings and mentoring
    • Misc: Embedded, Android and RFID Security

    (source: https://radicallyopensecurity.com/services.htm)

    What did i do?

    Participation in the creation of a Capture-The-Flag (CTF) game

    ROS helped to build a CTF for the CyberHeroes week of the non profit organization Cyberworkplace (see my article about the CyberHeroes week here).
    The theme of the week was Heroes in cyber, I build a list with many heroes from the cybersecurity world, cryptography and cybersecurity resources.

    Observation of pentests

    I was added to some pentesting channels on RocketChat a chatroom that was used for communication for work purposes. This way, i was able to peek over the shoulders of pentester and see how they work, how they communicate with the client as the pentests are completely available to the clients from the begining to the end (this is one of the core principle of ROS).

    Review of pentest reports

    I was able to read and review some pentests reports. This really helped me to see how proper pentest reports are build, what pentesters look for while pentesting and which tools they use.

    Improvement of the onboarding manual for new staff members

    When i onboarded i was provided with an onboarding manual. As i encountered some little problems to set up my work environment i added some entrees in the onboarding manual in order to help future onboarders who had the same configuration i had.

    Creation of a wiki page with relevant onboarding information for new staff members

    ROS wanted to improve the onboarding process and provide the onboarders resources and useful informations.
    This is why i created a wiki page with many resources for every type of positions (project management, software development, pentesting, …). I also added a section for general informations about ROS.
    After the set up of this wiki i invited everyone to contribute and share their knowledge with relevant links like their favorite tools that help them in their tasks, great articles they’ve read, anything they would find relevant.

    Submission of a process for improving internal training

    We wanted to improve the internal training that is why i created a documentation to propose some ideas on the subject.

    Helping a coworker with the use of Gitlabs (Radically Open Security’s file storage system)

    One of the other intern was new to Gitlabs. As i had previously encountered Git and worked with it, i was able to provide my help.

    Organizing folders in Gitlabs

    ROS puts their projects and documentation on an internal Gitlabs system. I updated the organization of the folders.

    Use of Pentext and XML

    « The OWASP PenText XML documentation project can help your software security company produce offers, reports, invoices and generic documents by offering a well-structured and easy to maintain documenting system you can modify to your liking. »
    This tool was created by ROS they open sourced it and made it available on Github.
    In order to use Pentext you need to know XML.
    I really enjoyed using pentext. XML is really useful and you get to generate great looking documents. This saves a lot of work mainly for pentesting reports but it can also be use to save time on other types of reports.

    What did i get from this experience

    As I plan to build a company, ROS was an inspiring and innovative model for tomorrow’s companies.
    More specifically, I learned how a holocratic system works in a company. This system in which everyone has a place and a voice has been a beautiful discovery.
    On a more technical aspect I have used many tools such as Pentext.
    Finally, I have appreciated working remotely because it requires a personal work organization that invites to be autonomous and rigorous.

    (source cyberheroes week flickr) During the CyberHeroes week i had the opportunity to meet Daan, Steven, Melanie and Anh from ROS.

    To go further

    CyberHeroes week by Cyberworkplace

    During my internship at Radically Open Security, i had the opportunity to help with the building of a CTF made for the CyberHeroes week of Cyberworkplace.
    I found Cyberworkplace’s initiative so great that i asked if i could volunteer for the CyberHeroes week. They did not only accepted that i volunteered, but also invited me to come as a participant.

    What is Cyberworkplace?

    Cyberworkplace is a dutch initiative based in Rotterdam. It « is a non-profit initiative that helps reduce the current shortage of cyber security experts in the labor market and provides much-needed 21st-century skills to vulnerable young people (dropouts/ gamers/students, who lack practical experience in their study programs).
    The training/lessons given at Cyberworkplace are inspired by modern teaching methods such as peer-to-peer techniques and project-based learning. » (source: https://cyberworkplace.tech/wat-is/)

    What is CyberHeroes ?

    « CyberHeroes is a one-week training program that brings together twenty talented youngsters from The Netherlands and New Mexico, USA. Together they will be trained in ethical hacking skills to address current security threats. Over the course of one week they will take on hacker battles, work on CSI-type cyber challenges with local police, study the history of cryptography, learn to fight cyber crime alongside international hackers, and much more. » (source: Cyberheroes booklet)

    (source: Cyberheroes flickr)

    What happened?

    Day 1: Cryptography and Lockpicking

    (source: cyberheroes booklet)

    Philip Zimmerman made a great talk about cryptography and data protection.
    He exposed the evolution of the Internet and the impact it had on privacy.

    (source: cyberheroes booklet)

    (source: Oscar Koeroo’s slides)

    Oscar Koeroo started his workshop by a talk about his work at KPN and how they handled security.
    On 2012 KPN got hacked, this year they decided to set up a Security Operation Center to handle better such incidents.
    KPN CISO Strategy and policy is made available for everyone here
    After this introduction, he started explaining cryptography concepts.
    He then detailed RSA encryption.
    Finally we practiced RSA encryption and encrypted with our own messages and numbers.
    He mentioned a very good tool to help us for the assignments:
    Wolframalpha.

    (source: Cyberheroes flickr)

    We ended the day with lockpicking, now i really want to buy my own lockpicking set! 😀 It reminded me of the video game called Skyrim, except it is much easier with a joystick^^

    Day 2: CTF with Radically Open Security

    (source: screen of the CTF platform made by Daan Spitz from Radically Open Security)

    In the morning, Daan Spitz was introduced and the CTF started.
    Daan works for Radically Open Security who sponsored the event and gave a CTF that he made.
    In the afternoon, Melanie Rieback CEO of Radically Open Security was introduced she presented ROS and gave a great demo talk about cracking passwords.
    We cracked the password « TreeHouse1234 » in less than 33 seconds!
    Demo and slides can be found on ROS’s github.

    (source: Cyberheroes flickr)

    Day 3: On a boat with the dutch Police

    (source: Cyberheroes flickr)

    On day 3, we spent all day at the Seaport Police of Rotterdam.
    We had the opportunity to meet Dirk-Jan Grootenboer, Peter Duin and other great police officers. They presented the Seaport Police and their work.
    The Cyber Resilience unit has different goals:

    • Awareness of cyber threats and risks by citizens, corporations and other organisations
    • Know how to act: reactive, preventive, pro-active
    • Work together to share knowledge and new opportunities offered by technology
    • Resulting in continuous growth of cyber resiliency
    • From cyber security to cyber resilience
    • From reactive to pro active thinking and acting
    • Catching the advantages of cyber with an open eye for the risks

    (source: Police officers talk)

    Then, we had a CSI like challenge and a Police Patrol Boat Adventure. We were able to work on our social engineering skills and see the huge port of Rotterdam (largest in Europe).

    On the afternoon, Floor Jansen and Marinus Boekelo joined us to present the Hack_Right initiative and explain the amazing take over of Hansa Market a dark web marketplace.
    Hack Right is an initiative to help young hackers who commited a small crime, to get back in the right path and use their skills for ethical hacking.
    It consists of 4 modules

    1. Restorative justice: if you commit a crime you break your connection with the victim to repair this boundary you have to do something for the community. In this module, cyber criminals are confronted with the damage and possibly even with the victims.
    2. Training: ethical and legal boundaries
    3. Coaching: personal connection between coach and offender. This involves providing longer guidance to the offender, linking them to someone from the community.
    4. Alternative: indicates the opportunities on the labour market and teaches young people where to develop their talents

    (source: Floor Jansen’s talk and Mediawijzer’s article)

    Day 4: Cybersprint at The Hague Security Delta and US Ambassador residence

    In the morning, we worked on « Make it Smart » Maarten van Duivenbode introduced us to smart objects and how to use them. We were able to program lights and their colors.

    In the afternoon, we visited Cybersprint at The Hague Security Delta.
    Cynthia Schouten made an introductive talk and gave us a tour of the campus. We visited: Hogeschool Leiden’s IOT lab, we were introduced to a mixed reality tool that aims to train student in forensics with simulated crime scenes

    (source: Cyberheroes flickr)

    Then, we visited Splendo that introduced us their smart bikelock project for X-bike.

    After the tour, Peter van Eijk who works at the municipality of the Hague presented the Hack Den Haag CTF. A CTF to help the city of the Hague to be more secure.
    Finally, Soufian El Yadmani made an amazing talk about his adventure to cybersecurity. He explained that he was hired as a cybersecurity analyst at Cybersprint by winning a CTF. His team and him travel to many CTF competitions.
    His secret to be a good ethical hacker? Practice, practice, practice!

    After our visit to The Hague Security Delta Campus we went to the US Ambassador’s residence for a reception for the Cyberheroes program. There, Peter Hoekstra the Ambassador of the US, Anouk Vos from Cyberworkplace and Charles Ashley III from Cultivating Coders talked.
    The Ambassador, is now a proud hacker in a beautiful Cyberworkplace hoodie and the owner of a CyberHeroes medal!

    (source: Cyberheroes flickr)

    Day 5 and 6: Trip to Leeuwarden, no escape possible 😀

    (source: Cyberheroes flickr)

    On the last two days of CyberHeroes, we were invited to Leeuwarden for a CTF at the amazing Hacklab.
    Leeuwarden is a beautiful historical city in the north of Netherlands that has been European Capital of 2018.
    The CTF gave us the opportunity to learn a lot.
    After all this hacking we did we had to go to jail… joking we just spent the night in a former prison: Alibi Hostel


    But before going to sleep, we took part in a great escape game made by Henk Van Ee founder of Cybersafety4u in which we had to unlock a hacker’s phone.

    (source: Cyberheroes flickr)

    To conclude this awesome week, we all got a certificate and a CyberHeroes medal.
    Needless to way i was very proud to participate and help for this great adventure.
    I would like to take the time to thank Radically Open Security (Melanie and Anh) without whom i would not have heard about Cyberworkplace.
    Thanks also to Anouk, Nasya and Maria from Cyberworkplace that welcomed me for this week.
    They all made an amazing work and i would definetely recommend everyone who has the opportunity to take part in a week like this.
    Volunteer or help Cyberworkplace any way you can, they do such an amazing work for students and cybersecurity lovers.

    (source: Cyberheroes flickr) Volunteers for the CyberHeroes week: Adelle, Anh, Maria, Anouk, Me, Nasya

    To go further:

    About the forum / A propos du forum

    Note: Le forum n’ayant pas attiré beaucoup de monde, je réfléchis à une autre façon de proposer un échange de connaissances et une entraide ouvert à tou.te.s.

    Note: As the forum did not attract many people, I am thinking about another way to offer an exchange of knowledge and a mutual support open to all.

    Faire défiler le texte pour lire la version française

    A Forum to self-study cybersecurity collectively

    A few days ago I published my article in peerlyst about how to create an open education degree for free in cybersecurity. In a comment, someone tackled a very important issue : how stay focused when you study alone online?
    Because:

      • you can easily be distracted,
      • We tend to scatter ourselves,
    • It is not always easy to learn alone.

    To answer to these questions, i first suggested this very good Mooc by Dr Barbara Oakley (McMaster University, University of California San Diego): Learning how to learn on Coursera.

    This Mooc is really helpful to understand the process of learning. You get tips and tricks to learn more efficiently.

    I also answered that what helps a lot is to make lists of objectives. For instance you can make a list of things to achieve for the day, the week or the month.
    The most important thing is to define what you want to learn and where you want to go. Then write it down as objectives you’ll like to fulfill in the end at a certain time pace.


    And to break the loneliness while self-studying, I decided to create a forum to gather people who want to learn collectively. It is a place open to everyone who want to learn and share knowledge no matter your age, gender, level, country and so on.

    In brief it is a forum that can be use to learn a specific subject or lookup for an answer when you tackle an issue.

    picture of the forum


    Here is a picture of the forum as it currently is. It is not it’s final look, it will evolve with users and their needs.

    As you can see there is an english and a french part for now.

    If you speak another language you can ask me to add a category. This would open the forum even more to everyone no matter where they live and which language they speak.

    private part for women

    This part is only for women or people who identify as women to feel more comfortable learning together. This part is private and you need to ask me the access for it.


    Feel free to make this forum a place where learning is free and open to everyone. Learning with peers and meeting for a specific topic or Mooc would be easier to achieve.

    Finally, people from the industry and experts are welcome to share their experiences and build a community for open education in cybersecurity.

    So let’s build a safe internet by learning together cybersecurity.


    Un forum d’auto-apprentissage collectif pour la cybersécurité


    Il y a quelques jours, j’ai publié un article sur peerlyst pour décrire le processus de création d’une formation complète en cybersécurité. Dans un commentaire, une personne a évoqué un point important: comment rester concentré lorsque l’on apprend seul?
    En effet:

    • On est facilement distrait
    • On peut avoir tendance à se disperser
    • Et ce n’est pas toujours évident d’apprendre seul

    Pour répondre à ces questions, j’ai d’abord suggéré l’excellent Mooc du Dr Barbara Oakley « Apprendre à apprendre » sur Coursera (disponible sous titré en français).

    Ce Mooc est vraiment très intéressant pour comprendre le processus d’apprentissage. Vous repartirez avec des outils et des astuces pour apprendre de façon plus efficace.

    J’ai ajouté qu’il était utile de faire des listes d’objectifs. Par exemple, vous pouvez lister vos objectifs pour la journée, la semaine ou même le mois.

    Le plus important, c’est de bien identifier ce que vous voulez apprendre et vers quoi vous souhaitez vous diriger. Ecrivez ensuite cela sous forme d’objectif à accomplir dans un délai prédéfini.

    Aussi pour casser la solitude que peut parfois apporter l’auto-apprentissage, j’ai décidé de créer un forum pour réunir les personnes qui souhaiteraient apprendre collectivement. Il s’agit d’un espace ouvert à tous ceux qui veulent apprendre et partager leur connaissances quels que soit leur niveau, leur âge, leur genre, leur pays, etc.

    En bref, c’est un forum qui peut être utilisé pour apprendre un sujet spécifique ou répondre à une question lorsque l’on rencontre un problème.
    visuel du forum
    Voici une photo du forum tel qu’il est. Ce n’est pas son aspect final, il évoluera en fonction des utilisateurs et de leurs besoins et envies.

    Comme vous pouvez le voir il y a pour le moment une partie en français et une partie en anglais.

    Si vous parlez une autre langue vous pouvez me contacter pour ajouter une catégorie pour cette langue. Ceci permettra d’ouvrir le forum plus largement.
    forum privé réservé aux femmes
    Cette partie est pour les femmes ou les personnes s’identifiant au genre féminin afin de se sentir plus à l’aise et d’apprendre ensemble. C’est une partie privée pour laquelle il faut me demander un accès.

    N’hésitez pas à faire de ce forum un endroit ou l’apprentissage est gratuit et ouvert à tous. Apprendre avec ses pairs ou se rencontrer pour échanger sur certains sujets sera facilité.

    Pour finir, les professionnels et experts sont les bienvenus pour partager leur expérience et construire une communauté d’apprentissage ouverte pour la cybersécurité.

    Allez, construisons un internet sécurisé en apprenant ensemble la cybersécurité!