FIC 2019

Entrée du Grand Palais de Lille

Les 22 et 23 janvier 2019 au Grand Palais de Lille se déroulait le Forum International de Cybersécurité. Toutes les conférences avaient l’air passionnante, mais n’ayant pas le don d’ubiquité j’ai du faire des choix. Je vais les présenter brièvement ici.

Cybersécurité des grands évènements: retours d’expérience

Cybersécurité des grands évènements: retours d’expérience
Modérateur: Pierre-Alexis Saint-Michel
Intervenante: Reiko Kondo
Intervenant: Loïc Guezo
Intervenant: Colonel Michel Sans

Le but de cette conférence était de tenter de donner un panorama des futurs menaces cyber grâce à divers questions posées aux intervenants.
Il a donc d’abord été question de définir un terme clé du titre de la conférence: « les grands évènements. »

Grands évènements: De quoi parle-t-on?

Lorsque l’on parle de Grands évènements cela concerne des évènements d’ampleur nationale ou internationale tels que des élections présidentielles, le G20, la COP21, des jeux olympiques, etc.

Loïc Guezo, a proposé un paysage de la menace.

Threat Landscape

Il a été également évoqué des incidents lors d’anciens jeux olympiques

What had happened to the past Olympic Games?
Cases in the Past Olympic and Paralympic Games

Reiko Kondo a présenté les observation du NICT (National Institute of Information and Communications Technology) relatives aux attaques sur les objets IoT.

Attacks on IOT Devices observed by Nicter

Pierre-Alexis Saint-Michel a évoqué rapport de l’Université de Berkeley concernant les jeux olympiques et en a présenté un résumé.

Report on the Cybersecurity of Olympic Sports, CENTER FOR LONG-TERM CYBERSECURITY

Reiko Kondo a parlé services essentiels pour Tokyo en 2020. Ils en ont identifié 21.

Essential Service Providers Tokyo 2020

Elle a présenté les mesures de cybersécurité pour Tokyo 2020

Cybersecurity Measures for Tokyo 2020

Il a également été question de définir des bonnes pratiques. Le guide du CERT a été évoqué. Il est également essentiel de sensibiliser les OIV. Aussi, les technologies évoluent il faut donc s’y préparer.

De nouvelles techniques de risk management sont introduites

Scenario Based Security Risk Management – Trend Micro

Il est donc important d’anticiper la menace et d’apprendre de ce qui s’est précédemment produit.

Keynote: Exploiting dangerous behavior, Clément Lavoillotte

Ce keynote nous a donné un tour d’horizon et quelques ressources en matière de « privilege esalation ». Voici quelques slides pertinents:

Techniques and tools – Provadys
Takeways – Provadys

L’intervention de Florence Parly Ministre des Armées

Florence Parly (ministre des armées) a exposé la stratégie de la France en matière de cybersécurité. Elle a évoqué les investissements de la France pour le renforcement de la cybersécurité et le fait que le pays revendique d’utiliser l’arme cyber au même titre que toutes les armes conventionnelles. L’arme cyber est un outil pour défendre, répliquer et attaquer.

Elle a également évoqué l’augmentation des partenariats à l’échelle européenne. Il s’agit de créer une culture commune et des remparts plus fort pour agir ensemble.

Enfin, elle a abordé les PME et leur partenariats avec comcyber comme par exemple yeswehack pour la création du premier bug bounty du ministère des armées.

Cybermenace: Avis de tempête, Wavestone, Institut Montaigne

Le FIC a aussi été l’occasion d’assister au talk de Wavestone concernant leur rapport en partenariat avec l’institut Montaigne: « Cybermenace, avis de tempête ». Ce rapport est disponible ici. Dans ce rapport un scénario catastrophe a été imaginé puis confronté à la revue cyber défense. Les conclusions de ce rapport ont permis d’établir des recommendations sous la forme de 13 propositions disponibles ici.

You are the weakest link

Une table ronde réunissant les intervenants suivants a évoqué l’humain au centre de al cybersécurité:

Intervenants You are the weakest link

Différents éléments ont été évoqués:
Selon Phedra Clouner:

    • Il faut considérer que l’humaine peut être le maillon fort: pare feu humain. La technologie ne va pas sans l’humain et les deux sont complémentaires.
      Il est important de noter que l’on peut entrer dans une optique de sensibilisation et d’information du citoyen qui peut agir comme protecteur de son éco-système.
    • En 2017 on observe un changement de paradigme pour impliquer le citoyen dans sa propre utilisation, le gouvernement Belge a incité le citoyen à envoyer les mails qu’ils considéraient comme suspect, en un an plus de 600 000 mails ont été envoyés. Cela permet de bloquer 5 sites de phishing par jour, de découvrir de nouveaux malwares et de travailler avec des entreprises anti-virus.
    • Faire participer le citoyen, le responsabilise quant à sa propre protection.
    • Concernant les OIV (terme en Belgique: infrastructures critiques) des informations ont été mise à leur disposition pour mieux se défendre face aux menaces. Il y a un référentiel de sécurité à la disposition qui est à la disposition de tous les services

Pour Sébastien Gest:

      • l’IA est nécessaire car les données personnelles sont « dans la nature ».
      • Le BOYD est problématique notamment en termes de phishing

Pour Stéphane Nappo:

      • Il faut transformer le vecteur de menace humain en facteur de sécurité grâce à l’éducation.
      • Eduquer l’utilisateur dans sa sphère personnelle a un impact positif dans la sphère professionnelle

Pour Pascal Steichen:

      • Etant donné les rapides évolutions en termes d’attaques la technologie doit être évolutive.
      • Il faut appliquer une sorte de prévention routière mais pour la cybersécurité.
      • Pour les grandes structures il faut des personnes dédiées pour ceci.
      • Depuis 6-7 ans le Luxembourg a lancé l’initiative « Be Secure » qui proposedes sessions de sensibilisations dans les écoles.
      • Il faut sensisbiliser, former et tester des managers qui seront confrontés à des cyber attaques même s’ils n’ont pas forcément un profil technique.
      • Tous les métiers doivent travailler ensemble ce n’est pas l’affaire que du responsable de la sécurité.

Intervention de Mariya Gabrielle, European Commisioner

La prise de conscience est de plus en plus saisissante au niveau européen.
Mariaya Gabrielle a évoqué différents éléments concernant la cybersécurité européenne:

      • Les canaux numériques sont de plus en plus utilisés pour s’immiscer au cœur de la démocratie
      • Nous dépendons des systèmes et sommes confrontés à de nouveaux types d’attaques
      • La directive NIS a pour objectif de permettre une meilleure communication entre les états membres pour l’amélioration de la cybersécurité en Europe.
      • Aujourd’hui il est question d’augmenter le budget et les ressources humaines de l’ENISA de 50%.
      • Un système de certification europénne en cybersécurité va être mis en place.
      • Les industries européennes doivent avoir moins de charges financières et administratives
      • L’europe doit investir plus dans la cybersécurité
      • Il faut attirer plus de jeunes et plus de femmes dans le domaine de la cybersécurité. Les chiffres sont alarmants

Que peut on faire au FIC en dehors des conférences?

Le FIC propose effectivement beaucoup de conférences. Toutefois, il y a aussi plein d’autres choses à faire: des CTF, des stands d’administrations et d’entreprises, des démonstrations, et même des courts métrages diffusés lorsque l’on attend le début d’une conférence.
Ces films sont issus du festival du film sécurité.

Voici les liens de ceux que j’ai pu trouver :

On peut également discuter avec les personnes présentes au stand. C’est assez riche en enseignements, j’ai par exemple découvert le site safeonweb qui permet de sensibiliser les citoyens belges au phishing et autres attaques: Safe on web

Pour aller plus loin: