FIC 2019

Entrée du Grand Palais de Lille

Les 22 et 23 janvier 2019 au Grand Palais de Lille se déroulait le Forum International de Cybersécurité. Toutes les conférences avaient l’air passionnante, mais n’ayant pas le don d’ubiquité j’ai du faire des choix. Je vais les présenter brièvement ici.

Cybersécurité des grands évènements: retours d’expérience

Cybersécurité des grands évènements: retours d’expérience
Modérateur: Pierre-Alexis Saint-Michel
Intervenante: Reiko Kondo
Intervenant: Loïc Guezo
Intervenant: Colonel Michel Sans

Le but de cette conférence était de tenter de donner un panorama des futurs menaces cyber grâce à divers questions posées aux intervenants.
Il a donc d’abord été question de définir un terme clé du titre de la conférence: « les grands évènements. »

Grands évènements: De quoi parle-t-on?

Lorsque l’on parle de Grands évènements cela concerne des évènements d’ampleur nationale ou internationale tels que des élections présidentielles, le G20, la COP21, des jeux olympiques, etc.

Loïc Guezo, a proposé un paysage de la menace.

Threat Landscape

Il a été également évoqué des incidents lors d’anciens jeux olympiques

What had happened to the past Olympic Games?
Cases in the Past Olympic and Paralympic Games

Reiko Kondo a présenté les observation du NICT (National Institute of Information and Communications Technology) relatives aux attaques sur les objets IoT.

Attacks on IOT Devices observed by Nicter

Pierre-Alexis Saint-Michel a évoqué rapport de l’Université de Berkeley concernant les jeux olympiques et en a présenté un résumé.

Report on the Cybersecurity of Olympic Sports, CENTER FOR LONG-TERM CYBERSECURITY

Reiko Kondo a parlé services essentiels pour Tokyo en 2020. Ils en ont identifié 21.

Essential Service Providers Tokyo 2020

Elle a présenté les mesures de cybersécurité pour Tokyo 2020

Cybersecurity Measures for Tokyo 2020

Il a également été question de définir des bonnes pratiques. Le guide du CERT a été évoqué. Il est également essentiel de sensibiliser les OIV. Aussi, les technologies évoluent il faut donc s’y préparer.

De nouvelles techniques de risk management sont introduites

Scenario Based Security Risk Management – Trend Micro

Il est donc important d’anticiper la menace et d’apprendre de ce qui s’est précédemment produit.

Keynote: Exploiting dangerous behavior, Clément Lavoillotte

Ce keynote nous a donné un tour d’horizon et quelques ressources en matière de « privilege esalation ». Voici quelques slides pertinents:

Techniques and tools – Provadys
Takeways – Provadys

L’intervention de Florence Parly Ministre des Armées

Florence Parly (ministre des armées) a exposé la stratégie de la France en matière de cybersécurité. Elle a évoqué les investissements de la France pour le renforcement de la cybersécurité et le fait que le pays revendique d’utiliser l’arme cyber au même titre que toutes les armes conventionnelles. L’arme cyber est un outil pour défendre, répliquer et attaquer.

Elle a également évoqué l’augmentation des partenariats à l’échelle européenne. Il s’agit de créer une culture commune et des remparts plus fort pour agir ensemble.

Enfin, elle a abordé les PME et leur partenariats avec comcyber comme par exemple yeswehack pour la création du premier bug bounty du ministère des armées.

Cybermenace: Avis de tempête, Wavestone, Institut Montaigne

Le FIC a aussi été l’occasion d’assister au talk de Wavestone concernant leur rapport en partenariat avec l’institut Montaigne: « Cybermenace, avis de tempête ». Ce rapport est disponible ici. Dans ce rapport un scénario catastrophe a été imaginé puis confronté à la revue cyber défense. Les conclusions de ce rapport ont permis d’établir des recommendations sous la forme de 13 propositions disponibles ici.

You are the weakest link

Une table ronde réunissant les intervenants suivants a évoqué l’humain au centre de al cybersécurité:

Intervenants You are the weakest link

Différents éléments ont été évoqués:
Selon Phedra Clouner:

    • Il faut considérer que l’humaine peut être le maillon fort: pare feu humain. La technologie ne va pas sans l’humain et les deux sont complémentaires.
      Il est important de noter que l’on peut entrer dans une optique de sensibilisation et d’information du citoyen qui peut agir comme protecteur de son éco-système.
    • En 2017 on observe un changement de paradigme pour impliquer le citoyen dans sa propre utilisation, le gouvernement Belge a incité le citoyen à envoyer les mails qu’ils considéraient comme suspect, en un an plus de 600 000 mails ont été envoyés. Cela permet de bloquer 5 sites de phishing par jour, de découvrir de nouveaux malwares et de travailler avec des entreprises anti-virus.
    • Faire participer le citoyen, le responsabilise quant à sa propre protection.
    • Concernant les OIV (terme en Belgique: infrastructures critiques) des informations ont été mise à leur disposition pour mieux se défendre face aux menaces. Il y a un référentiel de sécurité à la disposition qui est à la disposition de tous les services

Pour Sébastien Gest:

      • l’IA est nécessaire car les données personnelles sont « dans la nature ».
      • Le BOYD est problématique notamment en termes de phishing

Pour Stéphane Nappo:

      • Il faut transformer le vecteur de menace humain en facteur de sécurité grâce à l’éducation.
      • Eduquer l’utilisateur dans sa sphère personnelle a un impact positif dans la sphère professionnelle

Pour Pascal Steichen:

      • Etant donné les rapides évolutions en termes d’attaques la technologie doit être évolutive.
      • Il faut appliquer une sorte de prévention routière mais pour la cybersécurité.
      • Pour les grandes structures il faut des personnes dédiées pour ceci.
      • Depuis 6-7 ans le Luxembourg a lancé l’initiative « Be Secure » qui proposedes sessions de sensibilisations dans les écoles.
      • Il faut sensisbiliser, former et tester des managers qui seront confrontés à des cyber attaques même s’ils n’ont pas forcément un profil technique.
      • Tous les métiers doivent travailler ensemble ce n’est pas l’affaire que du responsable de la sécurité.

Intervention de Mariya Gabrielle, European Commisioner

La prise de conscience est de plus en plus saisissante au niveau européen.
Mariaya Gabrielle a évoqué différents éléments concernant la cybersécurité européenne:

      • Les canaux numériques sont de plus en plus utilisés pour s’immiscer au cœur de la démocratie
      • Nous dépendons des systèmes et sommes confrontés à de nouveaux types d’attaques
      • La directive NIS a pour objectif de permettre une meilleure communication entre les états membres pour l’amélioration de la cybersécurité en Europe.
      • Aujourd’hui il est question d’augmenter le budget et les ressources humaines de l’ENISA de 50%.
      • Un système de certification europénne en cybersécurité va être mis en place.
      • Les industries européennes doivent avoir moins de charges financières et administratives
      • L’europe doit investir plus dans la cybersécurité
      • Il faut attirer plus de jeunes et plus de femmes dans le domaine de la cybersécurité. Les chiffres sont alarmants

Que peut on faire au FIC en dehors des conférences?

Le FIC propose effectivement beaucoup de conférences. Toutefois, il y a aussi plein d’autres choses à faire: des CTF, des stands d’administrations et d’entreprises, des démonstrations, et même des courts métrages diffusés lorsque l’on attend le début d’une conférence.
Ces films sont issus du festival du film sécurité.

Voici les liens de ceux que j’ai pu trouver :

On peut également discuter avec les personnes présentes au stand. C’est assez riche en enseignements, j’ai par exemple découvert le site safeonweb qui permet de sensibiliser les citoyens belges au phishing et autres attaques: Safe on web

Pour aller plus loin:

Pourquoi la veille informationnelle est essentielle dans la cybersécurité ?

Article available only in french

Il m’a semblé important d’ajouter un agrégateur de flux RSS dans ce blog du fait de l’importance de la veille informationnelle dans le domaine de la cybersécurité.
Bien sur cela ne vaut pas un travail fait par un veilleur informationnel ou une bonne revue de presse. Cependant, on obtient tout de même en un coup d’oeil les dernières informations de ses médias de prédilection.
Toutefois, j’en profite ici pour vous présenter non seulement en quoi consiste le métier de veilleur-se stratégique mais également comment mettre en place un agrégateur de flux RSS.

Qu’est-ce que la veille informationnelle?

La veille informationnelle est une « activité continue en grande partie itérative visant à une surveillance active de l’environnement technologique, commercial, etc., pour en anticiper les évolutions »

source: Wikipedia

Il s’agit donc de surveiller l’actualité . En cybersécurité, c’est d’autant plus important car se tenir au courant permet d’apporter à ses clients, par exemple, des réponses adaptées aux problèmes de sécurité actuels. Ou simplement de se tenir aux courants des dernières menaces pour mieux s’en protéger.

Il existe d’ailleurs dans les entreprises et les organisations des postes spécialisés pour la veille informationnelle.
Voici la fiche métier de l’Onisep pour vous faire une idée plus précise de ce qu’est un-e veilleu-r-se stratégique.
Pour savoir comment cela se transpose dans la cybersécurité je vous invite à consulter la fiche de poste de l’ANSSI qui donne une idée très précise des tâches incombant au « veilleu-r-se de permanence opérationnelle ».
Dans cette fiche, vous remarquerez la tâche suivante: « suivre l’actualité relative à la sécurité des systèmes d’information en France et dans le monde (attaques informatiques, logiciels malveillants, failles de sécurité, produits de sécurité, etc.) et les médias en sources ouvertes afin de détecter au plus vite toute menace cyber pouvant impacter les intérêts nationaux. »

En cybersécurité, s’informer de l’actualité permet donc d’aider à la détection des menaces.

Finalement le rôle d’un-e veilleur-se opérationnelle est de résumer plusieurs articles qu’il estime pertinent sous forme de revue de presse ou de rapport en fonction des codes imposés par son organisation ou entreprise.
Ce rapport sera consigné et mis à disposition de tous les services de l’organisation ou de l’entreprise.

Voici à quoi ressemble une note pour un rapport ou une revue de presse:
Vulnérabilité dans le noyau Linux de SUSE par le CERT

L’analyse doit être précise et courte pour être percutante comme dans cet exemple:

En résumé un poste de veille opérationnelle dans la cybersécurité est très intéressant car il a plusieurs aspects:

  • C’est très varié: documentation, collecte d’informations relatives à la cybersécurité, détection de menaces, …
  • Si l’on souhaite s’orienter vers un métier plus technique ce poste est un bon point de départ
  • On est au coeur stratégique d’une organisation ou d’une entreprise

Pourquoi un agrégateur de flux RSS?

Un agrégateur est un moyen efficace d’obtenir les dernières informations de vos média d’actualités préférés.
Vous pourrez, en effet, choisir les sources, mais aussi les actualiser à la fréquence que vous jugerez la plus pertinente (jours, heures ou même minutes)
C’est également extrêmement simple à mettre en place sur WordPress

Comment le mettre en place sur WordPress?

    • Télécharger un plugin d’agrégateur de flux rss

J’ai choisi WP RSS Aggregator car il était extrêmement bien noté et vantait le côté intuitif et simple de pour l’installation et la mise en place.

    • L’installer et l’activer
    • Ajouter les flux souhaités et les paramétrer

Voici comment j’ai paramétré mes flux:

La case « Unique titles only » permet d’éviter les doublons elle s’avère assez utile car cela peut arriver.

    • Créer une page pour afficher les flux

J’ai du chercher un peu pour comprendre ce qu’il fallait inscrire dans la page pour afficher le flux il vous suffit simplement d’insérer le code suivant:
[ wp-rss-aggregator ] (en enlevant les espaces avant ‘]’ et après ‘[‘.)

    • Ajouter cette page au menu

Enfin il ne vous reste plus qu’à ajouter cette page à votre menu:

Et voilà!

Comment choisir les références?

Personnellement, j’attache beaucoup d’importance aux sources officielles, c’est pourquoi j’y ai mis le CERT français mais aussi le CERT européen et bien sur l’ANSSI.
Ensuite, j’ai tenté de trouver des médias de référence dans le milieu à l’échelle internationale grâce à mon fil d’actualités sur les réseaux sociaux, en cherchant par exemple les médias le plus souvent cités ou bien en faisant une recherche internet.
Enfin, j’ai aussi proposé mes médias préférés.
Je vous conseille donc de choisir vos références en fonction des besoins de votre activité pour être informé des actualités de votre domaine en temps réel.

Les métiers de la cybersécurité

Note: This article is in french because it is related to the career possibilities in cybersecurity in France.

Il m’a toujours semblé difficile de se faire une idée concrète d’un métier.
Comment faire pour avoir une liste de tous les métiers relatifs à un domaine ? Et surtout comment se faire une idée précise des métiers en question ? Autrement dit, à quoi ressemble le quotidien d’un poste spécifique ?

Quand on souhaite faire ses premiers pas dans la cybersécurité par exemple cela peut sembler compliqué de faire le tri entre les différents sous-domaines et métiers possibles.
Dans cet article, j’ai donc tenté de regrouper des ressources intéressantes pour faire le tri et mieux comprendre les différents postes.

Le “profils-métiers” de l’ANSSI:

Bref, mais efficace, on a un aperçu des différents profils et même une idée du niveau.
C’est une excellente ressource pour choisir un profil.

L’article “La cybersécurité” de l’Onisep:

La fiche de l’Onisep sur la cybersécurité. On y trouve quelques métiers et aussi des formations.

“Quel référentiel pour les métiers de la cybersécurité?” par le CEIS:

Ce document édité par la Compagnie Européenne d’intelligence stratégique tente de proposer un référentiel.
En un seul coup d’œil grâce à leurs indicateurs, on peut savoir la “densité” en terme de “métier”, “IT” ou “sécurité” pour chaque “emploi type”.

“Les métiers des Systèmes d’Information dans les grandes entreprises” du CIGREF:

Ce document ne concerne pas uniquement la cybersécurité puisqu’il aborde tous les métiers des systèmes d’information, mais le métier du RSSI y est présenté de façon très précise. On y trouve les “activités et tâches”, les compétences, et même les livrables.

Le “career pathway” de cyberseek (uniquement en anglais):

Un outil très visuel qui donne un bon résumé de chaque rôle et permet de voir aussi les évolutions possibles ou les postes de début de carrière. En passant la souris sur un métier, on a le salaire moyen et en cliquant sur un poste, on a plus de détails comme les compétences nécessaires ou même les certifications possibles.

Jobs in cybersecurity de cyberdegrees (uniquement en anglais):

On y trouve une liste des métiers et en cliquant sur un métier une fiche vraiment bien détaillée : un résumé rapide du métier, les responsabilités, les évolutions de carrières, les emplois similaires, les diplômes requis, les compétences, etc.

Cyber Security Jobs de Cybrary (uniquement en anglais):

C’est une référence un peu limitée au niveau des descriptions de métier, car il s’agit surtout d’un site de ressources pour se former mais on y trouve une liste de métiers et la partie “a day in a life of…” en cliquant sur un métier qui donne un bon aperçu de la réalité du métier.

Carte des domaines de la cybersécurité de Henry Jiang (uniquement en anglais)

Cette carte permet de voir en un seul coup d’oeil tous les domaines de la cybersécurité.

Pour aller plus loin:

Si vous êtes un.e globe trott.er.euse, je vous conseille ce lien :
Cyber Security around the world de Cybrary
Vous aurez un aperçu du marché de l’emploi en cybersécurité en fonction du pays. Pour le moment, la liste n’est pas complète, mais plutôt bien remplie.