Learning Expeditions in Israël

After having an opportunity to go in Israël for a first learning expedition in 2015, i went back last july (2019). Israël is known to be one of the best startup nation. I am going to share with you my experiences: one in the field computer science and the other in cybersecurity.

SheCodes, Tel Aviv (2015)

SheCodes @ Campus Tel Aviv

The first time i went in Israël i was able to attend one of SheCodes meetup. They presented the different workshops: from basics of web programming to more advanced programming. In these workshops everyone is welcome no matter which level. You will get to learn by doing and be able to ask questions to other attendes or to the mentors.

If you have the opportunity to attend an event made by SheCodes, you definitely should do it, and if you live in Israël you should attend all of them. Since 2015 they even grew they are not only in Tel Aviv anymore but also in Jerusalem, Herzliya, Netanya, … Click here to get more info on their website.

Technion University (2015)

Technion, Dream it. Do it

During this learning expedition, i scheduled a visit of Technion University. If you want to do the same, you will have to contact them and provide them a short bio and a brief explanation of why you want to visit. Then, they will help you schedule a guided tour of the University.

Technion is among the world top ten science and technology research University. You can read the full history of this University here. Also, by going to Technion you will have the opportunity to visit the breath taking city of Haifa. Why not taking a snack break at Fattoush?

Fattoush restaurant

After this go and chill out at Bahaï gardens!

View of Bahaïa gardens

BSides Tel Aviv 2019

BSides TLV 2019

Workshop – Ethical Hacking 101 (July 2019)

For the first day of the Cyber Week of Tel Aviv I attended a workshop hosted by BSides Tel Aviv: Ethical Hacking 101 by Telspace Systems.

After a brief introduction on Ethical Hacking, we were able to practice a little. We used different scanners and tools. There were different environments set up just for us to hack them. We got the opportunity to practice SQL injections, vulnerability scanning, vulnerability exploitations. We saw the full process of pentesting, from looking for vulnerabilities to exploiting them with tips and tricks to stay stealthy while doing so. They also presented a very useful tool, really worth mentioning here: CherryTree. With this you can take notes about your process, this will make the pentest report easier to produce in the end.

This class was an awesome introduction to ethical hacking. The instructors were very clear and passionate. If you have the opportunity to attend a BSides meetup you should totally do it.

Talks

The day after the workshops, BSides had organized different talks. They were presented by Keren Elazari, Security Analyst, Author and TED Speaker. There was also a special tent for BSides where you could see their partners. There was an area if you were looking for a job and one just to chill out. I need to add a special mention to the decorations of the stage and the posters. They were awesome! You can see the picture below.

Eva Galperin: Where do we go from here, fighting Spouseware and Stalkerware

Eva Galperin is Director of Cybersecurity at the Electronic Frontier Foundation.

The main points in her talks were the following:

  • Stalkerware and Spouseware are not detected by anti-virus
  • She conviced Kaspersky to help with the detection of those apps and take privacey seriously
  • The tools to fight against this exist
  • Laws that already exist need to be enforced
  • She is shouting out for people to talk about this.

If you scroll down you will find in the « To go further » section a link to a video of her talk.

Amichai Shulman and Yuval Ron: Alexa and Cortana in Windowsland

They presented different vulnerabilities they found in Cortana and Alexa on windows operated devices.

In the « To go further section » you will find the youtube Channel of Yuval Ron in which you can find some demos.

Sofia Belikovetsky: The Butterfly Effect Actively manipulating VW through hypervisor introspection

Sofia Belikovetsky took the challenge to create a virtual router in order to find anomalies in the network. In this talk she explained how she proceeded to do this: How she was able to find what was going on in the VMs from the outside (from a list of running processes to a monitor of every new processes).

Tomer Zait and Nimrod Levy: ReDTunnel, Explore Internal Networks via DNS Rebinding Tunnel

Tomer Zait and Nimrod Levy presented ReDTunnel how it works and why they created it. In the « To go further » section you will find a link to ReDTunnel Github, why not contribute?

Yossi Sassi: PowerShell as a Hacking Tool

Yossi Sassi shared many tips to get the best of PowerShell as a hacking tool. In the « To go further » section you can find a link to his slides and… a link to Yossi Sassi & The Oriental Rock Ochestra.

Omri Misgav: Bypassing user-mode hooks 101

Omri Misgav is the team leader of the security research team of Ensilo. In this talk he explained hooking and user-mode hooks.

Yaron King: Low hanging (blue) fruit, Hacking and defending yourself using open-source tools

Yaron King explained how he got confronted to password spraying and what he did about it.

Eyal Itkin: Karta Source code assisted Geographic-based binary matching

Eyal Itkin is a vulnerability researcher at Check Point Research. In this talk he explained how Karta works. In the « To go further » section you can find Karta Source code.

Danny Grander and Yuval Ofir from Pasten CTF Team: Capture the Flag

In their talk Danny Grander and Yuval Ofir explained what a CTF is and their experience with them. They also presented how they resolve hard challenges.

Other events of the Cyberweek 2019 in Tel Aviv

Besides BSides (yeah i know xD ), there were plenty of events during the cyberweek. I went to some of them that i will present here.

Women in Cybersecurity: How to attract more diverse talent

Leading Cyber ladies invited inspiring women in. Firstly, Keren Elazari interviewed some of them. They shared their experience and gave some advices :

  • Hila Meller, VP Security Europe British Telecom. Her advice: if you want it don’t let anyone stop you. Believe in yourself
  • Helen Dixon, Comissioner, DataProtection Comission, Ireland. Her advice: Don’t listen to any advice you are perfect as you are
  • Maria Thompson, Chief Risk Officer State of North Carolina. Her advice: Learn foundations of IT if you are able to achieve and do that you will be more successful.

After those interview Eva Galperin, Director of Cybersecurity and Head of Threat Lab, Electronic Frontier Foundation, presented herself and her career in a brief talk.

Finally, there was a panel moderated by Reut Menashe, co founder of BSides TLV.

Each person from the panel presented their background. Then they shared what and why in their opinion companies should do more to attract more talent.

  • For Limor Kessem, mono culture has a bad effect. She also said that there is an impact on diversity with the « bring a friend policy ». In fact, with this kind of policy companies tend to hire the same kind of people.
  • For Mary McGinley, companies need to have an extremly diverse team to see all aspects of a problem. She reminded the study that said that women won’t apply to a job if they do not fit 100% of the criterias. She advises that even if many people tell you that you should not apply, apply anyway. She added « do something you love and make it work for yourself ».
  • Karine Ben-Simhon, said that it’s important to encourage private and public sector to make equal opportunities. She also said that there is also a problem with women because most of HR staff are women.
  • For Moran Weber, the best way to make a difference is by combining top down and bottom up approach. It’s also important to revise the job description and understand why women don’t apply. In her opinion those descriptions should avoid terms like « ninja code », « superstar », « rockstar », etc. She shared that her best decision was to start putting herself out there and to decide that her imposter syndrom would not decide for her. She used it to help her learn more.

Plenary talk CyberWar is the continuation of politics by other means: interview of Stevan Bernard by Keren Elazari

CyberWar is the continuation of politics by other means

In this interview Stevan Bernard explained how the attack on Sony Pictures of november 2014 was handled. Here are the main points he shared:

  • Never underestimate your enemy.
  • Decisions made on Day 1 are the decisions that saved the company. This day was all about global and big decisions. This is when they decided to call the FBI and cyber security companies.
  • The human link is the weakest link: the attack started with spear phishing.
  • With twelve thousand employees all over the world, in such attack, you need to find alternative ways to communicate: Sony used old blackberry phones.
  • You can’t prepare enough: hire the right people, make the right decisions, get every one on the same page and define roles and responsibilities.

FraudCON 3.0

Stage of FraudCon 3.0

This event was a full day event. All along the day awards for « Legends of fraud fighting » were given and the winners shared their experience. I am going to present some talks of the day.

Limor Kessem, executive security advisor at IBM opened the day. She made an iventory of the last few years in terms of malwares and presented some of them. After her introduction different talks were given.

Ori Wainshtein: Thinking beyond traditional fraud

Ori Wainshtein is Head of Risk Research and Intelligence at Intuit. After a presentation of Intuit, he explained that in his opinion we need to be able to educate our children about this. He presented different aspects of fraud prevention and some scams. To conclude he gave key advices: Invest in customer safety, optimize for brand protection and develop holistic point of view on fraud.

Panel: news from the kingdom

Panel news from the kingdom

In this panel participants shared the lancaspe of UK in terms of fraud. Some figures were presented: reported fraud increased by 6% since 2009. Indentity fraud has been the biggest issue for a while and in 2018 it is more than ever, 85% of it is perpetrated online. They also tackled the issue of fraud detection and how to detect it.

Panel: tales from the colonies

Panel tales from the colonies

In this panel, they started to talk about mobile attacks saying that the minute something is patched, something new is out. Companies have to make things safer without changing too much the customer experience.

Nadav Katzenell: Remote overlay trojans attack and detection

Nadav Katzenell is head of ecurity researcher at IBM Security. In this talk he explained Remote overlay trojan attack. It is an attack that originated in Brazil and then quickly expended in South America and to new industries. Then he explained how his team set up a solution to detect this kind of attack.

Yehonatan Bar-Lev: The power of fusion center

Yehonatan Bar Lev is head of Cyber Center at the Bank Hapoalim. Yehonatan Bar Lev showed us the organization of a drug ring from the inside. What skills they have, how they work, how they hire staff and what type of attack they launch.

Mirko Manske: A sunday in hell

Mirko Manske is a federal criminal police officer in Germany. In this talk he explained how his team and him confronted an internet « provider from hell » to collaborate with them on a special case. He gave us an inside view of how german police and prosecutors work on such cases.

Panel ecommerce fraud, the next generation

Panel ecommerce fraud, the next generation

In this panel, Noa Kind started to explain what Ad Fraud is and how it was countered. Then, other persons from the panel explained how consulting works.

Karisse Hendrix: fighting online fraud is a lot like fighting zombies

Karisse Hendrick is an eCommerce Chargebacks & Fraud Consultant. In this talk she explained how online fraud evolved and her insights as a consultant. She also co-host a podcast that you can find in the « to go further » section.

Spencer McLain: Fighting fraud with collaboration

Spencer McLain is Vice President at Ekata. In this talk he first explained that online sales are increasing in order to tackle the authorization rate and fraud problem. He showed how fraud and solutions to fraud evolved, he gave a holistic approach to fraud prevention.

Sergey Shykevich: Even idiots can do fraud

Sergey Shykevich is cyber threat intelligence team manager at Q6 Cyber. In this talk, Sergey Shykevich explained that even with very basic knowledge anyone could do fraud. To prove his point he even showed an example.

Raymond King: Robbing the digital train

Raymond King is a product manager at TransferWise. In this talk, firstly he presented TransferWise. Then he explained to what kind of fraud TransferWise is confronted and the consequences it has and how they prevented them.

Ethan Ram: Fraudulent App installs

Ethan Ram is VP R&D at ZoomD. In this talk he explains what is App Install Fraud, how it works and how to fight it.

Panel: What’s new in marketplace fraud

Panel: What’s new in marketplace fraud

In this panel, they all shared their insights from their different companies. Firstly they shared the kind of fraud they are confronted to. Then they gave their opinions about machine learning and artificial intelligence to detect fraud. They talked about the collaborations they have with other platforms in the marketplace. Finally they shared some advice to fraud fighting teams.

To hapilly finish the day at FraudCon we did a fun little game in which we had to define if the case presented to us was « friendly fraud » or « true fraud ».

Conclusion

Learning expeditions are a really good way to learn. You get to see different things and discover the world at the same time. The CyberWeek was an awesome experience, i really enjoyed the talks and got to learn a lot. If you have the opportunity to go to the CyberWeek you definitely have to go to BSides TLV and FraudCon.

To go further

Journée des Chaires Cyber Interarmées

Le jeudi 13 juin 2019, je me suis rendue à la journée des Chaires Cyber Interarmées.

L’évènement était ouvert à tous et regroupait des intervenants des trois chaires militaires et du Comcyber.

Introduction

L’évènement a été introduit par différentes interventions des représentants des chaires et du comcyber. Les points suivants on été abordés:

Introduction de Didier Tisseyre, général de brigade aérienne, adjoint du COMCYBER

  • Selon lui, la gestion des crises est essentielle, on ne gère pas que des incidents informatiques, l’activité est ciblée et il faut être capable de réagir.
    C’est essentiel par exemple pour la souveraineté de l’Etat. Il y a non seulement des enjeux financiers, mais aussi des enjeux de survie.
  • Aussi, il ajoute qu’il est important de réagir contre l’impunité pour que les cybercriminels soient punis. Pour ce faire, il faut penser et mettre en place phénomène d’attribution et donc travailler sur le plan juridique. Il est également nécessaire que les acteurs publics et privés coopèrent.

Introduction de Jérôme Bellanger, général de brigade aérienne

  • Pour Jérôme Bellanger, la cybersécurité est un engagement sur le long terme.
    Comment aider l’opérateur humain à réagir dans une situation extraordinairement complexe?
    La technologie de cyber défense autonome aura quand même besoin d’une intervention humaine.
    Il conclu en affirmant qu’il faut travailler sur la coopération cyber cognitive et que nous sommes face à un défi fondamental. Il faut donc des agents efficaces et pas dangereux.

Intervention de Yvon Kermarrec, titulaire de la chaire de cyberdéfense des systèmes navals

  • D’après Yvon Kermarrec, les évolutions numériques s’accompagnent de vulnérabilités.
    On voit de plus en plus d’attaques sur le monde maritime comme sur d’autres cibles. C’est la cinquième année de la chaire qui a comme missions principales la recherche et la formation.

Table ronde 1: Cybersécurité dans le contexte maritime: enjeux et opportunités

Intervenants de la première table ronde

Les intervenants ont été présentés.

Un navire est une usine flottante, il y a donc des problématiques de maintien en conditions opérationnelles. Un bateau a une durée de vie de 40-50 ans avec une réflexion a mi-vie. Dans le cas d’un navire militaire il faut prendre en compte la criticité des missions. On doit pouvoir identifier les problèmes et identifier des solutions à ces problèmes.

Intervention du Capitaine de Vaisseau Jérôme Augusseau

Le Capitaine de Vaisseau Jérôme Augusseau a abordé le Maintien en Condition Opérationnelle (MCO) ainsi que le Maintien en Condition de Sécurité (MCS) dans la Marine Nationale. Il a précisé que les pratiques du MCS sont clairement expliquées par l’ANSSI.

Il a abordé la cartographie physique logique applicative, selon lui on ne défend bien que ce que l’on connait bien. Ainsi la cartographie propose plein d’outils appliqués à l’IT mais cela devient plus compliqué pour un système de système.

Il a également abordé les vulnérabilités, on en compte une centaine par an.
Pour conclure son propos, il a abordé la mise à niveau logiciel en précisant qu’il souhaitait une approche autonome intelligente. Il faut des outils de sécurité « up to date ».

Voici quelques slides de sont intervention :

Intervention de Bastien Sultan, doctorant de la chaire de cyberdéfense des systèmes navals

Bastien Sultan a présenté son outil de veille de vulnérabilité. Il s’agit d’un outil qui va agréger des informations issues des organismes de veille.
Il marche déjà bien avec ANSSI de détecter les outils potentiellement vulnérables sur les systèmes.

Il a abordé les difficultés rencontrées lors de ses recherches et notamment celle d’établir une relation entre la méthodologie et la métrique.

Voici deux de ses slides:

Intervention de Patrick Hébrard

Patrick Hébrard a évoqué la détection d’anomalies et de cyber-attaques.

Il aborde cinq piliers:
– L’identification des systèmes et risques
– La protection défense en profondeur
– La détection: détecter situations anormales par forcément des cyber-attaques mais aussi des anomalies c’est un point sur lequel l’Intelligence Artificielle peut aider.
– Défendre
– La remediation: remettre le système en état et être résilient
Concernant l’AI dans la détection, il parle d’une AI capable de modéliser le comportement de l’utilisateur mais ceci est très complexe à établir pour des systèmes de systèmes.

Voici son slide:

Détection d’anomalies et cyber-attaques, Patrick Hébrard

Intervention de Philippe Leroy

Philippe Leroy a présenté les points forts de Thales.

Selon lui, l’attaquant a toujours un temps d’avance.
Il a évoqué les publications sur internet des vulnérabilités, qui selon lui rendent les entreprises plus vulnérables.

Il a ensuite parlé de détection maîtrisée. Il y a une obligation de veille et d’analyse permanente d’évolution de la menace.

Il a évoqué de l’apport de l’IA. Les évolutions de la puissance en informatique améliorent les performances de l’IA.
Selon lui, il faut favoriser la qualité de la détection. Concrètement, l’IA va grandement faciliter la détection des attaques.

Voici ses slides:

Table ronde 2: Scénario et réponses juridiques

Scénario et réponses juridiques
Scénario et réponses juridiques

La question suivante a été posée:
Quelle serait l’intelligibilité juridique de ce système ?

Intervention du Général Olivier Kempf

Le Général évoque une hybridation des acteurs.
Il cite le directeur de l’ANSSI qui dénonce la cybercriminalité. On remarque d’ailleurs que plusieurs instances ont tenté d’aborder ce droit du cyber espace.
Selon lui, les attaquants n’ont pas forcément toujours une avance sur les défenseurs.
Quelles sont les motivations et mobiles des attaquants:
– Obtenir un avantage
– Gagner de l’argent
– Faire du mal a quelqu’un
Il a ensuite rappelé que rien n’est sécurisé à 100%
Il a abordé l’ingénierie sociale et la crédulité des utilisateur et s’est interrogé sur un moyen d’éduquer à l’hygiène informatique.

Le modérateur a ensuite demandé comment définir le territoire juridique malgré l’hybridation des acteurs et des normes. Peut on contrôler juridiquement l’influence?

Intervention de Cecile Doutriaux

Elle explique ne pas partager les positions concernant l’hybridation.
Selon elle, la souplesse de navigation entre les différents droits existe depuis longtemps et la question des règlementation ne pose pas de question particulière.
Tout dépend de l’objectif. Elle rappelle que, par définition, le délinquant ne se préoccupe pas du droit et pose les questions suivantes:
Est-ce que les données médicales pourraient être attaquées ou non?
Est-ce qu’une cyberattaque est un acte de guerre?
A quoi va servir le recours à la loi?
Jusqu’où on peut attaquer pour pouvoir rester dans les frontières ?
Selon elle, sur le terrain judiciaire, la France est performante aux questions de la répression de la délinquance.
Elle cite notamment la loi Godfrain de répression de la fraude informatique: le législateur a évoluée, on a augmenté la peine de prison.
Au niveau du dépôt de plainte, elle évoque le problème des preuves et de l’identification de l’auteur.
Il existe des circonstances aggravantes si il y a atteinte au SI de l’état mais sinon les peines sont légères.
Elle souhaite également faire évoluer le droit des données: la loi sur la protection des données date de 1978
Elle rappelle qu’en 1977 l’Allemagne avait déjà cette loi en raison de l’holocauste et du fichage qui avait été fait à l’époque de la deuxième guerre mondiale.
Elle a également abordé le règlement européen, le Big data et l’Open Data (qu’il faudrait développer), le RGPD et les hébergeurs.
Selon elle, le terrain juridique est complet il doit poser des limites sans freiner l’innovation.

Le modérateur a ensuite demandé s’il y aurait une patrimonialisation des données ?

Intervention de Jean Paul Laborde

Jean Paul Laborde rappelle qu’au sein de l’ONU, le cheminement qui a été fait pour le terrorisme est le même que celui qui a été fait pour la cybersécurité. Au début, personne ne souhaitait travailler sur ces sujets. Des groupes de discussions russes et américains on été constitués pour aborder le sujets des djihadistes, c’est ainsi qu’est née la résolution 2178.
Lorsqu’une menace est forte si les intérêts sont communs on peut y arriver. Selon lui, il faut travailler cette question de façon internationale.
Il explique qu’il faut faire un premier effort au niveau politique et ensuite au niveau de la compréhension des textes.

Table ronde 3: La cyber-résilience comme capacité d’anticipation et de réaction en situations de cyber-crise

La cyber-résilience comme capacité d’anticipation et de réaction en situations de cyber-crise

Dans un premier temps les doctorants de la chaire Cyb’ Air ont présenté leurs recherches, voici leurs slides:

Cyber et confiance interpersonnelle

Fatigue cognitive et résilience des opérateurs en situation de cyber-crise

Intervention de Jean-Pierre Faye

Selon lui pour se défendre d’une attaque il faut s’interroger sur les informations qui nous arrivent.
Il faut élaborer une réflexion sur la maintenance préventive et sur les sous traitances.
Concernant la méthode, il faut étudier quelle information présenter et quel outil mettre ainsi qu’établir un champ de recherche sur les problèmes de la protection des données.
Notamment concernant les fausses données générées par des actions inadaptées.
C’est pour cela, selon lui que les personnes aux commandes doivent être vigilantes.
Pour résumer son propos il pose la question suivante: Comment traiter et mettre en place des agents pour assurer la vérification des informations des données?

Intervention de Bruno Ramirez

Pour Bruno Ramirez le thème présenté par les doctorant, la résilience dans les milieux aéronautique est fondamental
Il explique qu’un certain nombre de systèmes compose un avion.
Au niveau d’un avion la sécurité des vols est fondamentale.
Il évoque l’importance de sécuriser le déroulement de la mission.
D’ailleurs, comme un avion doit être résistant by design, l’avion a déjà une architecture relativement résistante.
Aussi, selon lui, la compromission des données est un point fondamental.
Aujourd’hui les technologies utilisée sont anciennes et contiennent ainsi peu de vecteur de menaces. Toutefois, il faut également se reposer sur des nouvelles technologies plus performantes et la thématique de la cybersecurité se présente.
Il pose ainsi la question suivante: Comment apporter des éléments de décision à un équipage qui n’est pas spécialement formé et qui doit réagir rapidement ?
Il évoque différents éléments de réponse: la robustesse intrinsèque des systèmes avoir des moyens de secours (back up), …
Selon lui dans l’idéal, il faudrait donner à l’utilisateur un moyen de décision qui lui permettent de savoir les impacts de ce qu’il a observé et quelles décisions prendre.

Il évoque ensuite le cas du pilote et son manque de formation en cybersécurité.
Il lui faut quelque chose de synthétique et non binaire qui lui permettra de prendre une décision. Il parle d’une relation de confiance entre une machine qui fera un état de la situation et un pilote qui adaptera son comportement à la mission et à l’information fournie par la machine.
Il résume son intervention en quatre axes à explorer selon lui:
– Aider à la prise de décision pour un utilisateur formé ou pas formé
– Être capable de modérer la gravité d’une attaque au vu du contexte informatique
– La notion de connaissance d’ensemble du système
– La notion de préparation simulation et information.

Cette journée d’étude complète mon auto-formation par un biais militaire. Il est important de se nourrir de l’ensemble des acteurs intervenant dans le cyber espace. Les militaires sont des acteurs importants dans le monde de la cybersécurité et ce séminaire m’a permis d’en connaître les stratégies, les rouages juridiques et le matériel utilisé.

Nuit de la gestion de crise par les jeunes de l’IHEDN

Le 29 mars 2019 a eu lieu la nuit de la gestion de la crise. Cet évènement est organisé par l’association des jeunes de l’IHEDN. J’ai ainsi pu assister à des conférences et des ateliers (gestion de crise, risques de gestion de crise, Social Room, Création d’un exercice de crise, Exercice de crise sociale)

Inscription et préparation

Cet évènement est très prisé et les places pour les ateliers sont parties en moins de deux heures, il faut donc bien lire le programme et préparer son planning à l’avance. Inscrivez vous à l’avance et restez réactifs aux e-mails pour l’inscription aux ateliers.

La gestion de crise aujourd’hui, Gilles Malié

Gilles Malié, Chef d’Etat Major de la Zone de Défense et Sécurité de Paris

L’évènement a été ouvert par une conférence de Gilles Malié, Chef d’Etat Major de la Zone de Défense et Sécurité de Paris. Gilles Malié a présenté son travail et tenté de définir la résilience. Toutefois, selon lui, il est impossible de promettre la résilience dans la gestion de crise: « on ne sait pas ce qu’est la résilience, on connait seulement l’absence de résilience ».

Voici ci-après un slide permettant de comprendre les missions de Gilles Malié.

Gestion de crise

Il a ensuite évoqué, à titre d’exemples, quelques cas pratiques.

Pour conclure, il a rappelé la difficulté de donner une bonne définition de la résilience et souligné que lorsque trop de personnes s’occupent d’un problème, cela débouche sur une mauvaise gestion. Dans ce type de mission, il faut donc être préparé et rester humble.

Les risques de la gestion de crises, Patrick Lagadec

Lors de son intervention, Patrick Lagadec, a donné des exemples de crises et de la façon dont elles ont été gérées. Il a évoqué les imprévus, les mauvaises préparations ainsi que la gestion d’évènements inédits.

Je vous invite à consulter son site internet qui est fascinant et qui propose ses travaux dans différentes langues. C’est ici.

Atelier: Social Room

Social Room est un outil mis au point par Crisotech pour s’entrainer à la communication de crise via les réseaux sociaux. Crisotech met en place différents outils de formation à la gestion de crise.

Formation à la gestion de crise – Crisotech

Après une brève présentation de Crisotech, l’exercice a commencé. Voici le scénario:

Scénario Starwhite – Crisotech

Et nous voici devant la social room de Starwhite. Un exercice délicat, périlleux et passionnant!

Social Room du Starwhite Explorer – Crisotech

Ce qui était important dans cet exercice, était de bien comprendre la crise, de tenter d’anticiper au maximum, d’établir une bonne cartographie de la situation et bien sûr de rédiger des billets pertinents. En résumé la priorité ici est d’être rassurant et de protéger la réputation de Starwhite grâce à une communication de crise adaptée.

Atelier création d’un exercice de crise, Resiliency

Lors de cet atelier, Resiliency nous a présenté les processus de création des différents types d’exercices de gestion de crise. Voici quelques slides de la présentation:

La notion d’exercice

Celui qui m’a le plus intéressé est l’exercice de terrain. Cet exercice se fait sur de longues durées (36h), il s’agit de s’entrainer à sentir ses limites personnelles et physiques.

Un exercice effectué en Corse a été donné en exemple: Les participants occupaient chacun 4 postes de 6h. L’exercice était découpé en plusieurs phases. Les participants ne savaient pas à l’avance ce qu’il se passerait. Voici une vidéo qui présente cet exemple:

Exercice Resiliency en Corse

Exercice de crise sociale, Patrick Cansell

Cet exercice était très bien ficelé. Toutefois, je ne peux pas en dire trop pour le cas ou vous seriez amené à participer à la prochaine nuit de gestion de crise. Il s’agissait d’un exercice en immersion total ou il fallait déployer des stratégies pour gérer une (ou plusieurs 😉 ) crise(s) en entreprise. Chaque participant avait un rôle et des objectifs à respecter. Bref, un atelier à faire et à refaire 😀

En attendant, je vous invite à vous rendre sur le site de Artem-is

Comme vous avez pu le constater dans cette article, j’ai adoré cet évènement. Je vous invite à consulter le site officiel de la nuit de la gestion de crise si vous souhaitez participer à la prochaine édition.

Pour aller plus loin

FIC 2019

Entrée du Grand Palais de Lille

Les 22 et 23 janvier 2019 au Grand Palais de Lille se déroulait le Forum International de Cybersécurité. Toutes les conférences avaient l’air passionnante, mais n’ayant pas le don d’ubiquité j’ai du faire des choix. Je vais les présenter brièvement ici.

Cybersécurité des grands évènements: retours d’expérience

Cybersécurité des grands évènements: retours d’expérience
Modérateur: Pierre-Alexis Saint-Michel
Intervenante: Reiko Kondo
Intervenant: Loïc Guezo
Intervenant: Colonel Michel Sans

Le but de cette conférence était de tenter de donner un panorama des futurs menaces cyber grâce à divers questions posées aux intervenants.
Il a donc d’abord été question de définir un terme clé du titre de la conférence: « les grands évènements. »

Grands évènements: De quoi parle-t-on?

Lorsque l’on parle de Grands évènements cela concerne des évènements d’ampleur nationale ou internationale tels que des élections présidentielles, le G20, la COP21, des jeux olympiques, etc.

Loïc Guezo, a proposé un paysage de la menace.

Threat Landscape

Il a été également évoqué des incidents lors d’anciens jeux olympiques

What had happened to the past Olympic Games?
Cases in the Past Olympic and Paralympic Games

Reiko Kondo a présenté les observation du NICT (National Institute of Information and Communications Technology) relatives aux attaques sur les objets IoT.

Attacks on IOT Devices observed by Nicter

Pierre-Alexis Saint-Michel a évoqué rapport de l’Université de Berkeley concernant les jeux olympiques et en a présenté un résumé.

Report on the Cybersecurity of Olympic Sports, CENTER FOR LONG-TERM CYBERSECURITY

Reiko Kondo a parlé services essentiels pour Tokyo en 2020. Ils en ont identifié 21.

Essential Service Providers Tokyo 2020

Elle a présenté les mesures de cybersécurité pour Tokyo 2020

Cybersecurity Measures for Tokyo 2020

Il a également été question de définir des bonnes pratiques. Le guide du CERT a été évoqué. Il est également essentiel de sensibiliser les OIV. Aussi, les technologies évoluent il faut donc s’y préparer.

De nouvelles techniques de risk management sont introduites

Scenario Based Security Risk Management – Trend Micro

Il est donc important d’anticiper la menace et d’apprendre de ce qui s’est précédemment produit.

Keynote: Exploiting dangerous behavior, Clément Lavoillotte

Ce keynote nous a donné un tour d’horizon et quelques ressources en matière de « privilege esalation ». Voici quelques slides pertinents:

Techniques and tools – Provadys
Takeways – Provadys

L’intervention de Florence Parly Ministre des Armées

Florence Parly (ministre des armées) a exposé la stratégie de la France en matière de cybersécurité. Elle a évoqué les investissements de la France pour le renforcement de la cybersécurité et le fait que le pays revendique d’utiliser l’arme cyber au même titre que toutes les armes conventionnelles. L’arme cyber est un outil pour défendre, répliquer et attaquer.

Elle a également évoqué l’augmentation des partenariats à l’échelle européenne. Il s’agit de créer une culture commune et des remparts plus fort pour agir ensemble.

Enfin, elle a abordé les PME et leur partenariats avec comcyber comme par exemple yeswehack pour la création du premier bug bounty du ministère des armées.

Cybermenace: Avis de tempête, Wavestone, Institut Montaigne

Le FIC a aussi été l’occasion d’assister au talk de Wavestone concernant leur rapport en partenariat avec l’institut Montaigne: « Cybermenace, avis de tempête ». Ce rapport est disponible ici. Dans ce rapport un scénario catastrophe a été imaginé puis confronté à la revue cyber défense. Les conclusions de ce rapport ont permis d’établir des recommendations sous la forme de 13 propositions disponibles ici.

You are the weakest link

Une table ronde réunissant les intervenants suivants a évoqué l’humain au centre de al cybersécurité:

Intervenants You are the weakest link

Différents éléments ont été évoqués:
Selon Phedra Clouner:

    • Il faut considérer que l’humaine peut être le maillon fort: pare feu humain. La technologie ne va pas sans l’humain et les deux sont complémentaires.
      Il est important de noter que l’on peut entrer dans une optique de sensibilisation et d’information du citoyen qui peut agir comme protecteur de son éco-système.
    • En 2017 on observe un changement de paradigme pour impliquer le citoyen dans sa propre utilisation, le gouvernement Belge a incité le citoyen à envoyer les mails qu’ils considéraient comme suspect, en un an plus de 600 000 mails ont été envoyés. Cela permet de bloquer 5 sites de phishing par jour, de découvrir de nouveaux malwares et de travailler avec des entreprises anti-virus.
    • Faire participer le citoyen, le responsabilise quant à sa propre protection.
    • Concernant les OIV (terme en Belgique: infrastructures critiques) des informations ont été mise à leur disposition pour mieux se défendre face aux menaces. Il y a un référentiel de sécurité à la disposition qui est à la disposition de tous les services

Pour Sébastien Gest:

      • l’IA est nécessaire car les données personnelles sont « dans la nature ».
      • Le BOYD est problématique notamment en termes de phishing

Pour Stéphane Nappo:

      • Il faut transformer le vecteur de menace humain en facteur de sécurité grâce à l’éducation.
      • Eduquer l’utilisateur dans sa sphère personnelle a un impact positif dans la sphère professionnelle

Pour Pascal Steichen:

      • Etant donné les rapides évolutions en termes d’attaques la technologie doit être évolutive.
      • Il faut appliquer une sorte de prévention routière mais pour la cybersécurité.
      • Pour les grandes structures il faut des personnes dédiées pour ceci.
      • Depuis 6-7 ans le Luxembourg a lancé l’initiative « Be Secure » qui proposedes sessions de sensibilisations dans les écoles.
      • Il faut sensisbiliser, former et tester des managers qui seront confrontés à des cyber attaques même s’ils n’ont pas forcément un profil technique.
      • Tous les métiers doivent travailler ensemble ce n’est pas l’affaire que du responsable de la sécurité.

Intervention de Mariya Gabrielle, European Commisioner

La prise de conscience est de plus en plus saisissante au niveau européen.
Mariaya Gabrielle a évoqué différents éléments concernant la cybersécurité européenne:

      • Les canaux numériques sont de plus en plus utilisés pour s’immiscer au cœur de la démocratie
      • Nous dépendons des systèmes et sommes confrontés à de nouveaux types d’attaques
      • La directive NIS a pour objectif de permettre une meilleure communication entre les états membres pour l’amélioration de la cybersécurité en Europe.
      • Aujourd’hui il est question d’augmenter le budget et les ressources humaines de l’ENISA de 50%.
      • Un système de certification europénne en cybersécurité va être mis en place.
      • Les industries européennes doivent avoir moins de charges financières et administratives
      • L’europe doit investir plus dans la cybersécurité
      • Il faut attirer plus de jeunes et plus de femmes dans le domaine de la cybersécurité. Les chiffres sont alarmants

Que peut on faire au FIC en dehors des conférences?

Le FIC propose effectivement beaucoup de conférences. Toutefois, il y a aussi plein d’autres choses à faire: des CTF, des stands d’administrations et d’entreprises, des démonstrations, et même des courts métrages diffusés lorsque l’on attend le début d’une conférence.
Ces films sont issus du festival du film sécurité.

Voici les liens de ceux que j’ai pu trouver :

On peut également discuter avec les personnes présentes au stand. C’est assez riche en enseignements, j’ai par exemple découvert le site safeonweb qui permet de sensibiliser les citoyens belges au phishing et autres attaques: Safe on web

Pour aller plus loin:

CyberHeroes week by Cyberworkplace

During my internship at Radically Open Security, i had the opportunity to help with the building of a CTF made for the CyberHeroes week of Cyberworkplace.
I found Cyberworkplace’s initiative so great that i asked if i could volunteer for the CyberHeroes week. They did not only accepted that i volunteered, but also invited me to come as a participant.

What is Cyberworkplace?

Cyberworkplace is a dutch initiative based in Rotterdam. It « is a non-profit initiative that helps reduce the current shortage of cyber security experts in the labor market and provides much-needed 21st-century skills to vulnerable young people (dropouts/ gamers/students, who lack practical experience in their study programs).
The training/lessons given at Cyberworkplace are inspired by modern teaching methods such as peer-to-peer techniques and project-based learning. » (source: https://cyberworkplace.tech/wat-is/)

What is CyberHeroes ?

« CyberHeroes is a one-week training program that brings together twenty talented youngsters from The Netherlands and New Mexico, USA. Together they will be trained in ethical hacking skills to address current security threats. Over the course of one week they will take on hacker battles, work on CSI-type cyber challenges with local police, study the history of cryptography, learn to fight cyber crime alongside international hackers, and much more. » (source: Cyberheroes booklet)

(source: Cyberheroes flickr)

What happened?

Day 1: Cryptography and Lockpicking

(source: cyberheroes booklet)

Philip Zimmerman made a great talk about cryptography and data protection.
He exposed the evolution of the Internet and the impact it had on privacy.

(source: cyberheroes booklet)

(source: Oscar Koeroo’s slides)

Oscar Koeroo started his workshop by a talk about his work at KPN and how they handled security.
On 2012 KPN got hacked, this year they decided to set up a Security Operation Center to handle better such incidents.
KPN CISO Strategy and policy is made available for everyone here
After this introduction, he started explaining cryptography concepts.
He then detailed RSA encryption.
Finally we practiced RSA encryption and encrypted with our own messages and numbers.
He mentioned a very good tool to help us for the assignments:
Wolframalpha.

(source: Cyberheroes flickr)

We ended the day with lockpicking, now i really want to buy my own lockpicking set! 😀 It reminded me of the video game called Skyrim, except it is much easier with a joystick^^

Day 2: CTF with Radically Open Security

(source: screen of the CTF platform made by Daan Spitz from Radically Open Security)

In the morning, Daan Spitz was introduced and the CTF started.
Daan works for Radically Open Security who sponsored the event and gave a CTF that he made.
In the afternoon, Melanie Rieback CEO of Radically Open Security was introduced she presented ROS and gave a great demo talk about cracking passwords.
We cracked the password « TreeHouse1234 » in less than 33 seconds!
Demo and slides can be found on ROS’s github.

(source: Cyberheroes flickr)

Day 3: On a boat with the dutch Police

(source: Cyberheroes flickr)

On day 3, we spent all day at the Seaport Police of Rotterdam.
We had the opportunity to meet Dirk-Jan Grootenboer, Peter Duin and other great police officers. They presented the Seaport Police and their work.
The Cyber Resilience unit has different goals:

  • Awareness of cyber threats and risks by citizens, corporations and other organisations
  • Know how to act: reactive, preventive, pro-active
  • Work together to share knowledge and new opportunities offered by technology
  • Resulting in continuous growth of cyber resiliency
  • From cyber security to cyber resilience
  • From reactive to pro active thinking and acting
  • Catching the advantages of cyber with an open eye for the risks

(source: Police officers talk)

Then, we had a CSI like challenge and a Police Patrol Boat Adventure. We were able to work on our social engineering skills and see the huge port of Rotterdam (largest in Europe).

On the afternoon, Floor Jansen and Marinus Boekelo joined us to present the Hack_Right initiative and explain the amazing take over of Hansa Market a dark web marketplace.
Hack Right is an initiative to help young hackers who commited a small crime, to get back in the right path and use their skills for ethical hacking.
It consists of 4 modules

  1. Restorative justice: if you commit a crime you break your connection with the victim to repair this boundary you have to do something for the community. In this module, cyber criminals are confronted with the damage and possibly even with the victims.
  2. Training: ethical and legal boundaries
  3. Coaching: personal connection between coach and offender. This involves providing longer guidance to the offender, linking them to someone from the community.
  4. Alternative: indicates the opportunities on the labour market and teaches young people where to develop their talents

(source: Floor Jansen’s talk and Mediawijzer’s article)

Day 4: Cybersprint at The Hague Security Delta and US Ambassador residence

In the morning, we worked on « Make it Smart » Maarten van Duivenbode introduced us to smart objects and how to use them. We were able to program lights and their colors.

In the afternoon, we visited Cybersprint at The Hague Security Delta.
Cynthia Schouten made an introductive talk and gave us a tour of the campus. We visited: Hogeschool Leiden’s IOT lab, we were introduced to a mixed reality tool that aims to train student in forensics with simulated crime scenes

(source: Cyberheroes flickr)

Then, we visited Splendo that introduced us their smart bikelock project for X-bike.

After the tour, Peter van Eijk who works at the municipality of the Hague presented the Hack Den Haag CTF. A CTF to help the city of the Hague to be more secure.
Finally, Soufian El Yadmani made an amazing talk about his adventure to cybersecurity. He explained that he was hired as a cybersecurity analyst at Cybersprint by winning a CTF. His team and him travel to many CTF competitions.
His secret to be a good ethical hacker? Practice, practice, practice!

After our visit to The Hague Security Delta Campus we went to the US Ambassador’s residence for a reception for the Cyberheroes program. There, Peter Hoekstra the Ambassador of the US, Anouk Vos from Cyberworkplace and Charles Ashley III from Cultivating Coders talked.
The Ambassador, is now a proud hacker in a beautiful Cyberworkplace hoodie and the owner of a CyberHeroes medal!

(source: Cyberheroes flickr)

Day 5 and 6: Trip to Leeuwarden, no escape possible 😀

(source: Cyberheroes flickr)

On the last two days of CyberHeroes, we were invited to Leeuwarden for a CTF at the amazing Hacklab.
Leeuwarden is a beautiful historical city in the north of Netherlands that has been European Capital of 2018.
The CTF gave us the opportunity to learn a lot.
After all this hacking we did we had to go to jail… joking we just spent the night in a former prison: Alibi Hostel


But before going to sleep, we took part in a great escape game made by Henk Van Ee founder of Cybersafety4u in which we had to unlock a hacker’s phone.

(source: Cyberheroes flickr)

To conclude this awesome week, we all got a certificate and a CyberHeroes medal.
Needless to way i was very proud to participate and help for this great adventure.
I would like to take the time to thank Radically Open Security (Melanie and Anh) without whom i would not have heard about Cyberworkplace.
Thanks also to Anouk, Nasya and Maria from Cyberworkplace that welcomed me for this week.
They all made an amazing work and i would definetely recommend everyone who has the opportunity to take part in a week like this.
Volunteer or help Cyberworkplace any way you can, they do such an amazing work for students and cybersecurity lovers.

(source: Cyberheroes flickr) Volunteers for the CyberHeroes week: Adelle, Anh, Maria, Anouk, Me, Nasya

To go further:

Engensec IT Security Summer School

(Article disponible en français plus bas)

To move forward in my challenge, I decided to attend a Summer School. That is how in july, i had the great opportunity to attend a European Program in Cybersecurity in the beautiful city of Lviv (Ukraine).
This program was held by the Lviv National Polytechnic University and the classes were organised in a beautiful annexe of the University.
view from the outside
entrance hall
corridor
Many students from different countries were attending this studious week: Ukraine, Sweden, Poland, Netherland, Luxembourg and France.

Presentation of the IT Security Summer School in the Lviv National Polytechnic University.

Why a Summer School ?

Well, a Summer School is a short and intensive way to gain skills quickly plus you get to meet people from all over the world.
Also, it seemed important to me to confront my knowledge with practical exercises in group to give an interactive dimension to my learning in self-training. Finally, being coached by cybersecurity experts during the summer school allowed me to consolidate the knowledge acquired during the previous months.

What did we learn ?

On the first day, we had a first assignment which was fun. We were given a list of teams named after malware. The goal was to find our team mates with the help of this list. It was a very good ice breaker to first meet attendees. To go further with the social interactions we also had a team quest to do in order to get to know each other better and discover the city.

The high quality courses were taught by professors from leading European universities such as Sweden, Poland and Ukraine.

The four main subjects discussed during the week

Malware Analysis

First, the history of ransomwares (first ransomware: AIDS trojan 1989) was discussed.
Then we reviewed different ransomwares: their encryption method, how they interact with the user and for some of them how to decrypt files.
The practical exercises allowed me to understand the necessary steps to analyze malware.
However, there is no single way or infallible method. This field requires great patience and perseverance to gain more experience.

Software Security

This course was about : Programming problems and buffer overflows, Defensive programming, Revision control systems and Good practices.

About the part « good practices », i wish i had such a course during my training as a programmer. Good practices in development for security is, in my opinion, a must known for every developer.

The lab about buffers was really helpful to better understand the buffer overflow error and how it can make a software very vulnerable. I had another Lab in which i had to manipulate and debug a program in order to find a password.

Web Security (including web app vulnerabilities)

Web security is quite an important piece in cybersecurity.
This class gave me an overview of the most common vulnerabilities on the web. With this course I was able to complete my list of tools and Websites related to Web security.

I really enjoyed the practical exercises because they were divided into several stages and allowed me to progress naturally according to the level of difficulty. More precisely during these exercises I tested the vulnerabilities during authentication, SQL injection, XSS vulnerabilities and ethical hacking.

Pentesting

This course gave a good overview of the duties of the pentester.
First we discussed several elements such as technical terms, the different types of hacker, pentesting tools and methodologies.
We also worked on the methodology to follow when writing a pentesting report.
Also, I learned the techniques of malicious hackers in order to propose a good defense strategy.

Finally, all the practical exercises allowed me to get use to the tools used during pentests, analyze vulnerabilities, test web applications and put social engineering methods into practice.

A step in the workforce

At the end of the fourth day two professionals came to share their experiences in the Security Operation Center of a Ukrainian business. They described their work and the issues they had to tackle every day.

This presentation gave us an inside point view of cybersecurity professionnals.

A place of culture and full of history

The City of Lviv

Lviv is a city in western Ukraine which was founded in the 13th century but has roots since the 6th century. Needless to say it is full of history.

Opéra House of Lviv Opera House of Lviv

You’ll have many opportunies to widen your culture:

  • Go to the Opera and see a beautiful piece
  • Visit beautiful churches
  • Just walk around in the streets of the old town
  • Eat and discover local gastronomy

The city tour

Engensec organized for us an amazing city tour with historic reconstitution and actors in costums in many corners of the city.
It was very a good break from the classes and a good entertainment.
sword fight
guided tour

Why you should attend Engensec?

– The organizers are very welcoming and helpful
– You get to have social interactions with people from all over the world
– If you want high quality classes for a great value this is totally the place to go
– You get a certification in the end of the week and ECTS for a total of 60 hours
certificate example

To go further


Pour avancer dans mon défi, j’ai décidé de suivre une summer school. C’est ainsi qu’en juillet, j’ai eu l’opportunité d’assister à un programme européen de cybersécurité dans la belle ville de Lviv (Ukraine).
Ce programme a été organisé par l’Université Polytechnique Nationale de Lviv et les cours avaient lieu dans une magnifique annexe de l’Université.

view from the outside
entrance hall
corridor

De nombreux étudiants de différents pays participaient à cette semaine studieuse : Ukraine, Suède, Pologne, Pays-Bas, Luxembourg et France.

Présentation de Engensec security summer school à l’Université polytechnique nationale de Lviv.

Pourquoi une summer school ?

Une summer school est un moyen court et intensif d’acquérir rapidement des compétences et de rencontrer des gens du monde entier. Aussi, il m’a semblé important de confronter mes connaissances à des travaux pratiques en groupe pour donner une dimension interactive à mon apprentissage en auto-formation. Enfin, être accompagné par des experts en cybersécurité pendant la summer school, m’a permis de consolider les connaissances acquises durant les mois précédents.

Qu’avons-nous appris ?

Le premier jour, nous avons eu un premier exercice assez amusant. On nous a donné une liste d’équipes portant le nom d’un logiciel malveillant. Le but était de trouver nos coéquipiers à l’aide de cette liste. C’était une très bonne façon de briser la glace. Pour aller plus loin dans les interactions sociales, nous avions aussi une quête à faire en équipe pour mieux se connaître et découvrir la ville.

Les cours de qualité étaient encadrés par des professeurs de grandes universités européennes telles que la Suède, la Pologne et l’Ukraine.

Les matières abordées dans la semaine

Malware Analysis

Dans ce module nous avons abordés l’historique des ransomwares (premier ransomware: AIDS trojan 1989).
Ensuite nous avons passé en revue différents ransomwares: leur méthode d’encryption, la façon dont ils se manifestent pour l’utilisateur et pour certains comment décrypter les fichiers.

Les exercices pratiques m’ont permis de comprendre les étapes nécessaires pour analyser un malware.
Pour autant, il n’existe pas une seule façon de faire ni une méthode infaillible. Ce domaine implique une grande patience et persévérance pour laisser place aux tâtonnements et à l’expérience.

Sécurité des logiciels

Dans ce cours nous avons abordé : les erreurs de programmation dont le buffer overflow, la programmation défensive, les systèmes de contrôle de révision et les bonnes pratiques en programmation.

En ce qui concerne la partie « bonnes pratiques », j’aurais aimé avoir un cours comme celui ci lors de ma formation de développeuse. Selon moi, il est indispensable de connaître ces bonnes pratiques afin d’être en mesure de livrer des logiciels sécurisés.

L’exercice pratique sur les buffer a été vraiment utile pour comprendre comment l’erreur buffer overflow peut rendre un logiciel très vulnérable. Dans un autre exercice, il fallait manipuler et débugger un programme afin de trouver un mot de passe.

Sécurité Web (dont vulnérabilités des applications Web)

La sécurité Web est un élément essentiel de la cybersécurité. Ce cours donne un aperçu des vulnérabilités les plus courantes sur le web.
Aussi grâce à ce cours j’ai pu compléter ma liste d’outils et de sites Web relatifs à la sécurité du Web.

J’ai beaucoup apprécié les exercices pratiques car ils étaient découpés en plusieurs étapes et permettaient de progresser naturellement en fonction du niveau de difficulté. Plus précisément lors de ces exercices j’ai testé les vulnérabilités lors d’authentification, l’injection SQL, les faille XSS et le hacking éthique.

Pentesting

Ce cours donnait un bon aperçu des missions qui incombent au pentester.
Tout d’abord nous avons abordé plusieurs éléments comme les termes techniques, les définitions des profils de hackers, les outils et les méthodologies du pentesting.
Nous avons également travaillé sur la méthodologie à respecter pour la rédaction d’un rapport de pentesting.
Aussi, j’ai pris connaissances des techniques de pirates malveillants afin de proposer une bonne stratégie de défense.

Enfin, tous les exercices pratiques m’ont permis de me familiariser avec les outils utilisés lors des pentests, d’analyser des vulnérabilités, de tester des applications web et de mettre en pratique des méthodes de social engineering.

Un aperçu des opportunités d’emploi

A la fin de la quatrième journée, deux professionnels sont venus partager leur expérience dans le Security Operation Center d’une entreprise ukrainienne. Ils ont décrit leur travail et les problèmes auxquels ils étaient confrontés au quotidien.

Cette présentation était intéressante pour avoir un point de vue de professionnels de la cybersécurité.

Un lieu de culture et plein d’histoire

La ville de Lviv

Lviv est une ville de l’ouest de l’Ukraine qui a été fondée au 13ème siècle mais qui a des racines depuis le 6ème siècle. C’est donc une ville pleine d’histoire.
Opéra House of Lviv Opera de Lviv

Ainsi, vous aurez de nombreuses occasions d’élargir votre culture :

  • Aller à l’Opéra et voir une belle pièce
  • Visiter de belles églises
  • Marcher dans les rues de la vieille ville
  • Découvrir la gastronomie locale

La visite de la ville

Engensec a organisé pour nous une visite avec une reconstitution historique faite par des acteurs en costumes dans de nombreux coins de la ville.
C’était une très bonne pause des cours et un bon divertissement.
sword fight
guided tour

Pourquoi vous devriez venir à Engensec?

– Les organisateurs sont très accueillants et serviables.
– Vous aurez des interactions sociales avec des gens du monde entier.
– Si vous voulez des cours de haute qualité pour un prix abordable, c’est l’endroit idéal.
– Vous obtenez une certification en fin de semaine et des ECTS pour un total de 60 heures.
– Le programme est ouvert à tous sans condition de niveau ou d’âge.

certificate example

Pour aller plus loin

OECD’s 2018 forum « What brings us together »

On tuesday the 29th of may 2018, thanks to Led by Her i was invited to the OECD’s forum and went to three talks.

Cybersecurity


This panel was moderated by Cyrille Lachèvre, a macroeconomics reporter from the french media « L’Opinion », who asked questions to every person of the panel.
To introduce he said that cybersecurity is such a big subject that they decided to focus only on the following question:

“How can public and private sector cooperate to enhance cybersecurity and especially government and private actors?”

Moderator’s question to David Martinon “What is the french strategy and how do you handle the cybersecurity question from the government point of view?”

  • Organize the state so that it can ensure the security of critical infrastructure
  • The Diplomatic Strategy consists, through multilateral negotiations at the United Nations, in trying to stabilize cyberspace.
  • We need to find diplomatic’s answers to cyberattack and new and hybrid cyberattack.
  • No state are invulnerable but also no state are not able to conduct attack
  • It is not a block to block confrontation but a multi polar context, everyone can act. And beyond the states, private actors are incredibly efficient. For each of them the expected benefit of a cyber attack is far beyond the initial investment. This is why we need to find a way to stabilize the situation.
  • The United Nations is trying to clarify the rules of international laws applicable to cyberspace.
  • In the OECD we are trying (it is a french initiative) to engage in a multi-stakeholder debate. It is essential to involve a certain number of private actors whose role has a systemic scope.
  • There is a digital battlefield created by vulnerabilities in computer products (software or devices) of the market that can be exploited.
  • Three main ideas:
    • We want to achieve a better recognition by software and tool manufacturers of their economic, political and moral responsibilities.
    • Preventing the proliferation of the cyber arms trade
    • The need to ensure that a certain number of practices such as reverse hacking or hack back are prohibited. That enable private actors to conduct private wars on behalf of private actors.

Moderator’s question to Casper Klynge “ How can today governments and private actors work hands in hands with private company to enhance private security?

  • Wake up call twelve month ago with the NotPetya attack
  • Two weeks ago launch of a new cybersecurity strategy which focuses on multilateral collaboration. How can we cooperate multilaterally on cybersecurity issues?
  • Increase dialog with the private sector not only GAFAM because we have a global mandate we also take a global view on the industry including in China, Asia and Europe.
  • Fundamental task: Make sure that the companies will assume the responsability which is proportional to the influence they exercizing over our societies.
  • We need to have a public private partnership to find common solutions. We need the private sector to help us solve this problem.
  • We need to include Artificial Intelligence and Machine learning into that equation. There’s a common misunderstanding that Artificial Intelligence will be part of the solution and will help us solve the cyberattacks but A.I is going to increase the capabilities of the state and non state actors that are not necessarily well intentioned.

Moderator’s question to Tarah Wheeler: As you well know private actors what is your opinion with this relationship with governments?

  • She is afraid of an attack that has no name yet. What would be the Pearl Harbour of cybersecurity? What would be the attack that is so devastating that it has a new name?
  • The public sector does not often listen to the best resource it has for determining in advance where risk lies. Many of the same vulnerabilities are still present in american and global internet infrastructures.
  • There’s a lack of partnership between private and public resources in the United States and beyond.
  • She hopes for the wisdom to reach a hand out and provide the kind of wisdom that private security tries to gather as well as information about the potential for devastating attacks. She calls for the public sector to listen carefully to the words that are coming from the information security about the vulnerabilities that they have discovered.
  • Public sector should listen to the information security community instead of prosecuting them, instead of frightening them with threats of lawsuits.

Moderator’s question for Renata Avila: We have developed countries that are seen as ambassadors about these cybersecurity questions but we see a lot of developing countries with a lot of people getting use to the Internet so danger could come from here also.

  • Cybersecurity is a global problem it is something that brings us together and we are not bringing the right pieces into place because the two ambassador here are describing the public private partnership but the consumer side, the citizen side is neglected. Usually civil society find closed doors. Why do we perpetuate this exclusion of civil community from security? If you exclude community from a security problem you end up with a flaw.
  • Who ever we are, we are walking asleep in this interconnectedness
  • We need to follow top down bottom up combined, open up our spaces be open about the problem and be more creative for the solutions. We have a responsibility to not delay this problem.

Moderator’s question to Shane Curran: “Are you afraid of the protection of data? Or is it something that is getting better and better?”

  • He used to think to think that cybersecurity is mostly a human issue and that education is the best way to correct it. But that is not the case.
  • Data security is not something people want to learn about only a small amount of people have a keen interest on it and are sort of developing their own knowledge of it.
  • In the example of Facebook everybody cares about data privacy. Even with the cambridge Analytica problem people have a lack of care for the data privacy.
  • That is why he developed with his company a platform that allows third-party services to process personal data without ever seeing or handling it
  • The difficult thing for government is to bring things out of academia and bring them in to a real world use case. With cybersecurity in particular there’s a lot of research happening but the solutions government are trying to do are mostly regulatory. Over time this is not a feasible solution.

Moderator’s question to the two ambassador: Do you fear a global attack? What kind of attack do you fear? How can we enhance education? How to work with customers?

David Martinon

  • A global attack is something we fear. Even though we have already face that kind of attack.
  • But there may be at some point cyber terrorist attack. Skills are on the market so if you are a mafia you have the means to hire people and make a cyber attack.

Casper Klynge

  • We do fear global attack and with the grow of iot vulnerabilities are going to increase. This is a real issue and we need to do something about it.
  • We are trying to enable company to say that they have been attacked without their image being impacted
  • The international dimension is a critical part of it. We need to talk together but we also need to bring the private sector.
  • The digital inequality is an important part of it, it is damaging for company but for people it is a life or death issue.

Question’s of moderator for every panelist: Who should pay for cyber protection? State? Companies? Citizens?

Tarah Wheeler

  • Cybersecurité is a public good
  • It’s not just private company not just private sector or private citizens who have the responsibility of paying for cyber protection it’s much like removing pollution. Each responsible person has the responsibility to not pollute.
  • Cybersecurity is a public good that involves a partnership among industry, among governments and among citizens all of whom bear the responsibility of the ecosystem we are all affected by.

Renata Avila

Security should not be a plus in the product it should be the standard. Technology industry should redesign standard for everyone.

David Martinon

  • Everyone should take responsibility for cybersecurity.
  • Government can not cover for everyone.
  • We don’t see insurance market growing in Europe as it grows in US because the pricing for insurance contracts based on cyber risk is impossible.
  • How do we make sure that everyone including private companies behave correctly when they protect themselves?

Shane Curran

  • He is a supporter of personal data monetization. There should be something similar as bank for data privacy.
  • Individual should definitely not pay for it

Moderator’s question: How can we trust NSA and how can we trust the government to help us? How can we cope with this trust problem?

Tarah Wheeler

  • If your incentive are misaligned with who you should trust you probably have a problem.
  • What is that trust based upon? For companies incentive needs to based around serving their customers and sometimes customers and users are not the same thing.
  • Don’t trust where you don’t have to. Cause you don’t know who you’re delegating that trust to as a third-party.
  • The digital battleground is not only real but it is very difficult to adjust proper weights to it in terms of risk and if you can’t tell what your risk is if you can’t tell what your problem is and the people around you are not even sure about what you’re talking about is real it is going to be difficult to trust them with your life, your security and your future.

Casper Klynge

  • Part of the solution is to have standards for devices
  • Difference between EU and US in the trust issue in Eu we tend to trust governments this a difference of culture approach to where trust lies
  • We need to find a common approach of regulation also in the cybersecurity issue.

Poll for the audience: Do you trust your government to handle cybersecurity?

I made a big summary of this round table because i am really fascinated about the subject and i felt like it was tackled in a different way than it usually is that is why i think you should also have a look at the video.
Every panelist was really interesting. I was particularly fascinated by Renata Avila which put into light very important issues regarding inequality.
Finally as Tarah Wheeler said it is necessary to listen to the information security community because they know very well what is happening in the field and could bring a lot to citizen, governments and private companies.

Universal digital rights and digital inclusion


For this round table i will only make a quick summary of what has been said.

  • There is insufficient transparency regarding human rights in the digital.
  • We outsource our own way of doing things as humans. Silicon Valley is telling us the speed is the right way.
  • Everyone has the right to learn and work as an adult all along their lives
  • You don’t need to choose between privacy and AI anymore. You can use modern technic without giving up privacy. We invented a way to create fake data and use it to train the AI. This method works even better.
  • With AI the real risk is bias.
  • The future has already arrive in marginalized communities too. They have to trade basic human rights for other rights (ex privacy for food)
  • The way that data flows has everything to do with who has powers
  • Companies start with the best of intentions with the time things happen and go wrong. How do you make sure that policies are being made on the values of company
  • How to you take care of integrity and make sure that it is not questioned. Humans rights are in critical stake
  • You can’t blame propaganda for being powerful because we all use it. But the drivers of all of this remain the humans. We’re living in a world governed by us not robots. Our values are what need to be challenged
  • We need to move our business model from targeted advertising. We need to take responsibility.

I really invite you to follow every people of this panel as everything that was said was really interesting. The best thing to do though if you want to have a nice sum up of the subject is to watch the video

Meet Tarah Wheeler the author of “Women in Tech: take your career to the next level with practical advice and inspiring stories”

Meet Tarah Wheeler
Interviewed by Sarah Box Counsellor, Doctorate for Science, Technology and Innovation OECD.
This presentation of Tarah Wheeler really made me want to read her book. She is really inspiring. She presented her book and gave us some advices.
Here is a quick summary of what has been said:

  • Most of technology is interrelated in a way that we do not often pay attention to. It is overwhelming but being a women in tech can be overwhelming too.
  • With her book she hopes she has been a voice for other women. There’s a reason why she and seven other women talked about their experiences: “you are not alone”. There are women everywhere all of us have different stories but ultimately it is all the same: we all face the challenges and we all overcome and we are not alone.
  • The problem is there and it does not seem to get better. She keeps having the same questions again and again about the subject which means that those question are not being answered properly by the companies that we are working for.
  • She then gave some advice:
    • Money is power don’t turn it down. When you negotiate a salary: Don’t name a number first, the first person to name a number always loses. Don’t say yes to the first offer. Think and talk about always being a good member in the team and use that as a negotiating strategy.
    • If you feel like you are not being treated well in your current position: get out. It is not your job to make it better. Find the company that will treat you well or create your own.
    • How do you have a family and work life at the same time? As Sheryl Sandberg said there is no more important career choice a woman can make than her choice of a partner
    • If you have that sense of joy in tech don’t let anyone tell you to leave.

To conclude people from the audience asked her questions and advices.
If you want to see the full interview which i encourage you to do you can find it here.
You can also buy her book here

To go further

Conférence les lundis de l’IHEDN: « Souveraineté numérique et cybersécurité »

Article available only in french

Guillaume Poupard: Souveraineté numérique et cybersécurité

Mots clés: cybersécurité, mutualisation, harmonisation, systémique
Photo de Guillaume Poupard

Qui est Guillaume Poupard?

Joël Bouchité a tenu à présenter Guillaume Poupard en se basant sur son parcours.
Guillaume Poupard est polytechnicien de la promotion X92. Il obtient un doctorat en cryptologie en 2000. Il est également diplômé en psychologie.
Il est ensuite expert en cryptographie au sein de la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information).
Il rejoint en 2006 le ministère de la Défense puis il est responsable à la direction de la SSI (sécurité des systèmes d’information) au sein de la DGA (Direction Générale de l’Armement).
Depuis le 27 mars 2014, il est directeur général de l’ANSSI (Agence Nationale de sécurité des Système d’Information).

La sécurité numérique, une jeune discipline

Pour introduire son propos, Guillaume Poupard a précisé que le sujet de la sécurité numérique était assez nouveau. En effet, cette question était inexistante en 2000 outre l’apparition d’Internet ceci reste encore confidentiel.
Aujourd’hui, l’ANSSI compte environ 500 personnes, il y a donc eu une évolution considérable en 20 ans.
En 2007 l’Estonie est victime d’une série d’attaques visant notamment le Parlement des banques et des ministères.
De plus, en 2008 la cybersécurité est abordée dans le livre blanc pour la défense et la sécurité ce que Guillaume Poupard qualifie de visionnaire.
En 2009, l’ANSSI est créé.
Enfin en 2013, la cybercriminalité est une des trois menaces prioritaires

Que se cache-t-il derrière ces attaques?

La cybercriminalité est un Eldorado, en effet, il y a peu de chances d’être identifié le ratio risque gain est inédit. Cela rapporte des centaines de millions d’euros par groupe de cybercriminels (un groupe étant composé d’environ une dizaine de personnes).
Pour les victimes, les coûts sont considérables. La cybercriminalité coûte de plus en plus cher et pose également un réel problème à l’échelle de la sécurité nationale.
Le deuxième risque concerne l’espionnage. Ce sujet ne pourra pas être traité de façon très précise, car les victimes d’espionnage préfèrent être discrètes. Aussi, un des objectifs de l’ANSSI est de protéger ses victimes et de respecter le secret de leur identité.
Il faut simplement retenir que la réalité est éloignée de ce que l’on sait et que l’espionnage est une réelle menace.
On compte 15 à 20 cas graves par an.
Il y a une efficacité et un côté systémique.
Le troisième risque est le sabotage. La destruction, la perte matérielle, et même la perte humaine sont des scénarios imaginables.
Il faut toutefois, éviter de faire peur de manière irresponsable.
Selon Guillaume Poupard pour se protéger, il faut identifier les risques et créer un collectif pour répondre collectivement à la menace.
Aussi, depuis 2016, il y a de nouvelles menaces, des processus tels qu’une élection sont manipulables par des attaques informatiques. L’attaque informatique est une manière supplémentaire pour complexifier la guerre d’informations.
Certaines attaques sont plus complexes à classer. Pour expliquer ceci, G. Poupard évoque l’attaque TV5, WannaCry et NotPetya.
Les conséquences financières des cyberattaques sont dramatiques.

Traitement des questions diplomatiques

La cybercriminalité touche de plus en plus de ministères. Guillaume Poupard précise cependant qu’attaquer la France depuis la France ou l’Europe depuis l’Europe sont des opérations sérieusement risquées.
Il précise aussi que les industriels capables de protéger la France ne sont pas forcément américains ou israéliens, il existe en France des professionnels tout aussi compétents.
Le rôle de l’ANSSI est d’être là pour réaliser ce qui peut être mutualisé. Il faut des bases solides et efficaces. La réaction de l’état seule n’est pas suffisante : c’est à chacun de se protéger.

Les Organisations d’importances vitales

Pour les OIV, la cybersécurité devait devenir une nécessité. Il ne suffit pas de donner des conseils.
En 2013, la loi a permis d’imposer aux OIV de faire de la cybersécurité une nécessité.
Il ne faut pas voir ça comme quelque chose de coercitif, mais plutôt comme une main tendue.
Il s’agit d’organiser une défense collective, de savoir quel organisme est attaqué, quand l’attaque s’est produite.
Il faut aussi imposer des règles de sécurité. Il existe effectivement un panel de solutions et des règles de sécurité efficaces pour se protéger.

La cybersécurité une question de gouvernance.

C’est aux décideurs de faire remonter les bons arbitrages. Il y a aussi un problème de sensibilisation en effet des hommes et femmes peuvent aussi être acteurs d’attaques informatiques à leur insu simplement pour des questions d’hygiène informatique.
Tous systèmes numériques est susceptible d’être attaqué. Les systèmes doivent être « by design » conçus pour se protéger. Pour une cybersécurité efficace il faut une architecture sécurisée dès le départ.
C’est aux décideurs de comprendre ces questions.

L’Europe et la cybersécurité

Pour renforcer la cybersécurité l’Europe renforce son autonomie stratégique.
La sécurité numérique de l’Europe est importante et liée à la sécurité nationale.
Assurer cette sécurité à l’échelle européenne est nécessaire et compatible avec les intérêts nationaux.
Il s’agit de développer la cybersécurité avec des fonds européens notamment axés sur la recherche et le développement.
Aussi ce qui a été développé avec les OIV a inspiré la Communauté Européenne.
Cependant, en ce qui concerne la certification, le processus est plus compliqué. Il faut en effet passer par des acteurs de confiance et organiser des processus d’évaluation pour certifier et qualifier.
Pour conclure son propos, G. Poupard a qualifié de décevant le premier draft européen, mais reste persuadé de l’efficacité prochaine à l’échelle européenne.

Les questions

À la suite de son exposé, plusieurs personnes du public ont posé des questions à Guillaume Poupard.

Qu’en est-il de l’OTAN et des mécanismes de lutte déployés ? Existe-t-il un volet de coopération ?

G. Poupard estime que c’est une erreur de se mettre sous la protection de l’OTAN.
Le plus judicieux serait de reproduire le travail effectué avec l’ENISA à l’échelle internationale. En effet, le but de l’ENISA consiste aider les états membres de l’Union européenne à travailler entre eux. La France a ainsi des partenariats privilégiés avec par exemple l’Allemagne ou le Royaume-Uni.

Est-ce que le GDPR a un impact sur la diffusion des manières?

Les problématiques liées aux données datent d’avant la sécurité numérique cette approche est donc en avance. Pour faire bouger certains acteurs, il faut des sanctions. Dans la sécurité numérique, les entreprises sont des victimes. Pour les OIV, il existe des sanctions.
Cependant, le but n’est pas de sanctionner, ceux qui seront sanctionnés seront ceux qui n’auront pas mis en œuvre de façon volontaire les règles de cybersécurité.
Il faut toutefois noter que le GDPR semble avoir un effet de contagion très positif sur les industriels non européens.
L’ANSSI n’a pas de lien administratif avec la CNIL, mais les deux organismes travaillent en commun.

Faut-il envisager un partenariat entre l’ANSSI et Hexatrust?

Hexatrust est une association de PME française dans le domaine de la cybersécurité. En France, l’écosystème est croissant. L’organisation de cet écosystème est essentielle et en progrès constant.
Le coût de la cybersécurité représente aujourd’hui 5 à 10 % du budget IT. C’est une opportunité de développement économique.

Faut-il s’attendre en cas d’attaque à un krach majeur dans le domaine de l’électricité ou bancaire par exemple ?

On se doit de préparer les scénarios les plus anxiogènes. Ceci permet de s’assurer que l’analyse a été faite jusqu’au bout.
Cependant le niveau de préparations des acteurs aux menaces cyber est très hétérogènes.
Les banques par exemple sont très familières avec le sujet.
Il y a une nouvelle idée selon laquelle il est possible de faire des choses très fines.
Par exemple, si l’on bloque tous les distributeurs automatiques de billets.
Il faut donc toujours se préparer au pire dans tous les domaines.

Certains états sont-ils à l’origine d’attaques ? La Russie par exemple ? Et si oui comment les contrer ?

La question de l’attribution d’une attaque est très complexe et cette problématique est inédite dans le domaine de la sécurité.
Dans le cyber tout est clandestin. Aujourd’hui on peut lier différentes attaques et reconstituer un puzzle pour mieux comprendre les attaquants.
Mais si dans des codes certains commentaires sont en cyrilliques par exemples ou si les fuseaux horaires sont russes il ne faut pas pour autant conclure à une attaque d’origine russe, cela pourrait aussi être le but de l’attaquant.
L’attribution est un acte politique et la pire des choses et de se tromper dans une attribution.

Concernant la cybersécurité et la politique industrielle, faudrait-il une politique européenne industrielle basée sur des systèmes d’exploitations libres?

La souveraineté ne passe pas par le fait de tout réinventer.
Il faut bien penser les architectures et en déduire les contraintes.
On peut favoriser les systèmes d’exploitations libres, mais des systèmes propriétaires peuvent aussi très bien fonctionner.
La priorité réside d’abord dans le fait de bien analyser les risques.

Faut-il des champions français en services cyber ? Et si oui comment former les futurs experts ?

L’intelligence artificielle va faire évoluer le métier. Il y a une demande croissante mais l’offre aussi croissante, simplement moins rapide.
Il faut améliorer la formation et proposer aussi plus de formation continue (formation tout au long de la vie) et professionnelle.

Ressources ou pour aller plus loin:

International cyberspace mapping symposium

View of ecole militaire in Paris
View of ecole militaire in Paris

On the 13th and 14th of march in Paris was the international symposium of cyberstrategy entitled “Cartographie du cyberespace” which means literally “Mapping cyberspace”.
http://cybercarto.com/
It was run by the Castex Chair of cyberstrategy of the IHEDN

To make it more lively and facilitate the reading of the notes taken during this symposium, i used different formats (interview, summaries, slides).

Introduction: The digital Space, what geographies?

Frédérick Douzet, Castex Chair of cyberstrategy, French institute of Geopolitics of Paris 8 University

Frederick Douzet

In this introduction, Frederick Douzet exposed the aim of this symposium and the future challenges regarding the mapping of cyberspace.

Her presentation attempted to answer the following questions:

How to understand the geography of cyberspace?

For this first question, which is still under study F. Douzet said that concepts method tools and graphical representation should be developed in order to better understand strategic stakes.

What can we measure and comprehend?

To this question she refers to the digital dimension in a geopolitical context.
Mapping is a pedagogic tool that helps explain stakes, it is an accessible way to represent digital spaces. It helps to understand the strategies of influence and geopolitical rivalries that are expressed through cyberspace.

What are the methodological challenges when representing cyberspace?

F. Douzet also pointed out that cyberspace was an environment generated by global interconnection. She underlined the fact that as cyberspace was hard to visualize it would be hard to map because of its complex planetary dimension and highly dynamic aspect. She added that the physical world was more and more projected in cyberspace.
In order to map it correctly she intends to ask relevant strategic questions to guide the choice of elements to be taken into account in a cartographic representation. An interdisciplinary and an experimental approach in geography should be used. The challenge would be to relate the cyber dimension to other dimensions.


Keynote

John Frank, Microsoft

To introduce his keynote J. Frank explained that 2017 was an inflection point for cybersecurity.
He insisted on the fact that attacks like WannaCry were intended to cause as much chaos as possible in E.U and North America. They were not targeted against a particular organization. Those last attacks were containable but what if the next ones are not?

J. Frank also mentioned the attack in Ukraine on the 27th of June during the Ukrainian Constitution day.
Several radio and TV stations went off the air, bank ATM stopped working, people could not buy gas. Through forensics we can track an attack and that’s how we knew that this one was led by a russian crew.

Then J. Frank explained what we learned from those attacks. According to him 2017 was our wake up call and 2018 must be our response.
2017’s attack could have been far worse but we know now that attackers can do significant damage to civilian infrastructures.
The economics damages are high, for a country in struggle the impact can be dramatic.
More than 40 countries are now developing cybersecurity. This is not a military operation anymore people are now in the middle of a conflict.

He also tackled the issue of international laws, what is the law and does it exist in certain areas?
NotPetya was taking place in a context of conflict so it was acknowledged as a violation of international law.

To conclude he said that we need to insure that there are more international laws to respond to cyber attack.


Territories and sovereignty in cyberspace

Territories and sovereignty in cyberspace

To address the subject of territories and sovereignty in cyberspace various military actors, ambassador and academics presented their work and experience.
In this panel different points of view were expressed. Stakeholders, depending on their status, define territories and sovereignty in a different way. That is why I have chosen to present these points using the following keywords: territory, sovereignty and cyberspace.

Territory

Général Olivier Bonnet de Paillerets

  • Modern weapon should be used and that it is not by chance that France has taken measures in cybersecurity

David Martinon

  • There must be an effort for the laws of the republic to apply on the republic’s territory.
    For instance, it is necessary to ensure that heinous content is avoided by the application of the laws of the republic. To do so we must enter into discussions with the platforms that operate in France to ensure that these legislative measures are applied.

Uta Kohl

  • We consider the term territory as physical. Territory is not the same as land it includes the notion of someone’s authority on a land.

Theodore Christakis

  • The cloud act is in discussion in the american congress (it was in discussion during the symposium but it was signed into law on march 23rd). This act is related to personal data and its aim is to allow US authorities to request data even if servers where the data is stored are located outside the US.
    The European Union said that they would cooperate and give access to this data and that they would as the USA give an extraterritorial access.
    This law is prejudicial to human rights and it should be reconciled with the GDPR

Sovereignty

Général Olivier Bonnet de Paillerets

  • It is a question of the state responsibility. How do we answer to an attack?
  • It is a question of conditions of an equipment control sovereignty which in the field of operational decision is essential.
  • Cybersecurity is becoming a stake of collective security.
  • Nowadays ANSSI is first mobilized by spy attacks.
  • Espionage is the center of gravity of the Army Ministry’s concerns.

David Martinon

  • Today there’s a complexity in understanding these issues so that our government can ensure that these notions are fully respected and considered.
  • Our defence appartus must always be state of the art, enforcement and compliance must be audited.

Martin Schallbruch

  • We are losing control over public goods on behalf of private companies. Governments have to build assessments abilities. They have to force the platforms to open for government inspection.
  • We should support the idea of having a more and more bigger part of Internet designed as a public good

Pavel Karasev

Cyberspace

Général Olivier Bonnet de Paillerets

  • The threat comes from the fact that the digitalization is an advantage but also a critical weakness.

David Martinon

  • Can a country be isolated in terms of cyberspace?
  • In cyberspace, threats and influence also comes from private actors.
  • In the cyberspace cooperation exists but is not satisfactory.
  • Today borders are diffuse and the imposed regulations can be circumvented.

Uta Kohl

  • The law does not really relate to Data we are never attaching legal consequence purely to data but to actors of the data. In the cyberspace, the border guards for states are not actually inside the territory. These guard borders are asked to act in terms of criminality. The complexity of cyberspace is also related to the fact that data is being collected through private actors outside the borders. For instance any private company in the US is not allowed to give any information relevant for another government.

Martin Schallbruch

  • In order to make proper international laws we should intensify our cooperation between countries.

Pavel Karasev

  • Cyberspace must be defined before making any international law.

Mapping how data travels

Mapping how data travels
To present this debate it seemed relevant to me to show some slides of the speakers who illustrate the journey of the data.

Doug Madory

The internet is shaped by the geopolitic around it
The internet is shaped by the geopolitic around it

Kevin Limonier and Louis Pétiniaud

The use of the Internet’s data flow has made it possible to map the geopolitical boundaries of cyberspace.
The tool used is the Atlas network

Comparing the travel time of data in the black sea space
Comparing the travel time of data in the black sea space

Olivier Fourmaux

To map cyberspace O. Fourmaux used the traceroute utility program. It is therefore mainly based on the path the data takes when it is transferred.
The path of transferred data

Kavé Salamatian

K. Salamatian studied three frameworks:

  • Cyberspace embedded in geography
  • Geography embedded in cyberspace
  • Cyberspace as a space on its own

He also showed that some flows have their source in History.

From gulags to data centers: the strategic territories of Russian cyberspace
From gulags to Data centers

Pavel Pilyugin

He explained that borders are real or imaginary lines in the political space.

How to present the digital boundary between states
How to present the digital boundary between states


The Geopolitics of the Datasphere

The Geopolitics of the Datasphere

Stephane Grumbacht

For Stéphane Grumbacht, the data sphere is changing the balance of power between states because of new players who are platforms and operators.

Jim Cowie

He presented several maps related to climatic phenomena to conclude by proposing an improvement on how to map events
“Cartography’s challenge will be to uncover (and validate) spatial/regional patterns within these global-scale overlay networks”

Henri Verdier

H. Verdier believes that cartography is an obsolete reading grid to understand modern issues.
He argues that « the geography of data precedes the geopolitics of data ».

Amiral Arnaud Coustillère

The Amiral Coustillère stressed the importance of French sovereignty by protecting itself, being at the forefront and establishing a strong legislative framework.


The Art of representing the Intangible

The Art of representing the Intangible
Two artists and a philosopher presented their work to approach cartography from an artistic perspective.

Pierre Cassou-Noguès

He talked mostly about the invisible and the intangible.
According to him the digital medium is related to the intangible.
He also refered to Bruno Latour and his Mapping of controversies.

Louise Druhle

L. Druhle tried to represent the shape of the Internet. Her artwork is an Atlas of the Internet.
Critical Atlas of Internet

Gwenola Wagon

G. Wagon made an artistic documentary about the Internet network in the World.


Mapping the Information Warfare

Mapping the Information Warfare
This panel of researchers and experts presented case studies and described the methodology used.
For each speaker I will make a short description of their study and show a representative slide of their remarks.

Remi Géraud

R. Géraud approaches information warfare in a poetic and mathematical manner based on the notion of time.
Time becomes a space that rhythms cyberspace and an information strategy.

How to approach cyberspace
How to approach cyberspace

John Kelly

J. Kelly suggests that we follow his thought process by first comparing Internet expectations (more participation, more diversity and quality in public sphere) and reality (elections targeted, spread of hatred, weakening of democratic debate).
He continues his reasoning by deciphering the propagation of fake news versus news by shedding light on the difficulty of discerning the protagonists of the displacement of a rumour.

Mapping cyber social terrain
Mapping cyber social terrain

Romain Campigotto

R. Campigotto presented a mapping of information dissemination via social networks and specifically via Twitter.
To carry out this search he collected the tweets via an API (Twitter Streaming API) and connected them via direct links (mentions, replies to, retweets) and indirect links (hashtags and posted links shared).

Community detection
Community detection

Kevin Limonier

K. Limonier tried to map the information related to the French presidential elections.
Following his study Kevin Limonier asked himself the following question: If we put in parallel with the American campaign how can we explain that the macron leaks movement had little impact on our election?

Ecosystème participant à la propagation
Écosystème participant à la propagation

Estelle Lezean

E. Lezean used different media (youtube, facebook, twitter) to observe the Arabic-speaking cyberspace based on two dimensions: geopolitical reasoning and mastery of the Arabic language and its different dialects. She took as example Saudi Arabia’s strategy of influence against Qatar on Twitter.
During her research she was confronted with various technical challenges:

  • The need to develop a scrapping tool to recover all facebook friends from a public account
  • How to organize and import data collected on a visualization software?

Army of loyalist bots relaying anti Qatar content from Saudi information accounts.
Army of loyalist bots relaying anti Qatar content from Saudi information accounts

Martin Dittus

M. Dittus tried to propose a geography of darknet market places.
To do this he and his study group have scraped the largest darknet markets by focusing on different types of data:

  • Collection of listings accross the largest market
  • Buyer reviews to get indication on sales volumes.

With this research they were able to note the fact that darknet vendors don’t appear to be based in drug producer countries.

Seized production darknet trade and population demand
Seized production darknet trade and population demand

Gisèle Ducrot

G. Ducrot tackled cyber risk mapping. For her, cyber risk must be managed like all risks in a society. She also made an analysis of this mapping:

  • 5% of the topics addressed by the CAC40 concern cybersecurity and data protection
  • 23% of the topics addressed by the CAC40 concern Big Data, digital transformation and transformation projects.
  • 39% of companies do not update their risk mapping annually, while 100% of audit committees rely on risk mapping.

Cyber risks an ecosystem of risks
Cyber risks an ecosystem of risks

Sébastien Heon

S. Heon talked about cyber insurance. He explained the challenge that cyber insurer have to tackle. Fisrt they need to score the cyber maturity of their client, imagine the worst case scenarios and the kind of information they need. Then they need to establish a fair modelling price ratio. Finally they have to analyze systemic aspects of cyber risks.
He added that in order to be more accurate a multi-disciplinary approach must be made.

Collective intelligence and information sharing
Collective intelligence and information sharing

Geopolitics and Datascience

Geopolitics and Datascience
This panel of researchers questions the ethics, accountability, transparency and biases of the algorithm.

Martin Dittus proposes a declaration or a manifesto of the data scientist and developer who commit themselves to more respect of the users. He wishes that these professionals commit themselves in conscience in a responsible approach which includes a systemic glance of the tools which they create.

Nozha Boujemaa presented the importance of the transparency of the algorithm as an asset of confidence towards the user. According to her, the opacity of the platforms who use personal data should be limited. She also warned about the new discriminations that the algorithm can generate because of its technicality to people who are less informed or educated about algorithm.

Algorithmic systems in every day life
Algorithmic systems in every day life
Amaël Cattaruzza presented a critic of predictive algorithms and the biases they may contain. This limitation may be discriminatory and exclude traditional social science approaches.

Mathematizing criminal behavior
Mathematizing criminal behavior

Kavé Salamatian explained that ethical work is necessary to reflect on human adaptation to this digital revolution.

To go further: