Événement: la cybersécurité, une alliée pour la stratégie de l'entreprise ?

Événement cybersécurité organisé par ELCA en collaboration avec Clusis.

Cette conférence a pour but de donner des pistes pour que le responsable de la sécurité puisse passer du rôle de prescripteur à celui de conseiller stratégique pour son organisation.

La Haute école d'ingénieurs et d'architectes de Fribourg accueille le prochain séminaire organisé par ELCA et Clusis le 6 septembre 2016.

Réconcilier le responsable Sécurité et son management ou anticiper les menaces avancées – Mission impossible ?

Les défis posés aux dirigeants d’entreprises et des services de l’état sont énormes :

  • Maintenir l’organisation compétitive face à une concurrence globalisée
  • Restructurer un service ou une entreprise afin de faire face aux nouvelles contraintes politiques ou économiques
  • Conduire en parallèle des projets ambitieux de développement afin de se positionner à la pointe du marché

Pour y répondre, les directions peuvent se reposer sur des moyens technologiques toujours plus performants.

Depuis quelques années, les services IT développent la mobilité, pratiquement sans interruption de connectivité, via la numérisation des services.

La tendance aujourd’hui est à la déportation dans le cloud pour accroître le service tout en ménageant ses équipes IT.

Pour l’accompagner, des spécialistes lui apportent les bons outils au bon moment. Au milieu de ces spécialistes, le responsable de la sécurité a pour mission d’encadrer et solidifier cette ruée vers l’innovation et ces initiatives ambitieuses. Ceci de manière, en principe, réactive.

Cette conférence – en étroite coopération avec Le Clusis, l’Association suisse de la sécurité de l'information – a pour but de donner des pistes pour que le responsable de la sécurité puisse passer du rôle de prescripteur à celui de conseiller stratégique pour son organisation.

QUAND FRAIS LANGUE
Mardi, 6 septembre 2016
De 09.00 à 17.30 heures

Ecole d'ingénieurs et d'architectes de Fribourg
Boulevard de Pérolles 80
CH-1700 Fribourg
 

Auditoire Edouard Gremaud, bâtiment A

CHF 50.00 (pause café, lunch, apéro y compris)

 

Gratuit pour les membres du Clusis

Français (sauf l'intervention de Joanna Rutkowska qui sera en Anglais )

 

Le matin, nous aborderons la mission impossible numéro 1 – Réconcilier le responsable sécurité et son management : Des responsables de la sécurité parleront de leur expérience de terrain et des difficultés rencontrées. Les aspects juridiques liés à la protection des données personnelles seront également abordés.

L’après-midi, nous nous intéresserons à la mission impossible numéro 2 – Anticiper les menaces avancées : Nous traiterons des nouvelles menaces et des modes opératoires de l'adversaire, des experts présenteront leurs techniques et approches afin de répondre à ces nouvelles menaces.

Deux interventions viendront renforcer les messages de la journée :

  • Les tendances globales dans les systèmes sécurisés, Cubes OS – Joanna Rutkowska (http://blog.invisiblethings.org/ )
  • Où en sommes-nous sur le plan politique ? – Monsieur le Conseiller d’Etat Pierre Maudet en charge du Département de la sécurité et de l'économie du Canton de Genève

En plus de vous apporter des thématiques attrayantes, cette journée renforce le développement du réseau Romand et Suisse en matière de cybersécurité.

A cet effet, un espace de réseautage et de travail vous sera mis à disposition. Des salons de travail vous permettront de régler vos affaires courantes et d’y rencontrer les différents experts et vos partenaires.

Nous nous réjouissons d’ores et déjà de vous y rencontrer et de discuter avec vous les défis actuels qui se posent à votre organisation.

Cordialement,
Le comité de programme ELCA et CLUSIS

Agenda

08:30 Registration et café de bienvenue
09:00

Accueil et introduction

→ Jean-Nicolas Aebischer, Directeur de la Haute Ecole d'ingénierie et d'architecture Fribourg

→ Christophe Gerber, Head of Defense & CyberSecurity, ELCA
→ Enrico Viganò, Président, Clusis

09:25

DPO et RSSI, les deux pivots de la conformité en entreprise

→ Isabelle Dubois, Alain Bondet, Clusis

 

En savoir plus...

09:55

Principes de bon sens pour une gouvernance cyber sécurité efficiente

→ Stéphane Adamiste, Spécialiste sécurité, ELCA

 

En savoir plus...

10:25

Marketing et sensibilisation de sécurité de l'information
→ Gaëtan Derache, État de Genève et Enrico Viganò, Président du Clusis

 

En savoir plus...

10:50 Pause
11:10

Using IAM to protect against cyber threats

→ Nagib Aouini, Head of Cybersecurity Services, ELCA

 

En savoir plus...

11:40

Case study: retour d'expérience sur les défis d'un projet de sécurité

→ Alain Ceccato, Responsable sécurité, Comité international de la Croix-Rouge (CICR)

 

En savoir plus...

12:05 Discussion panel
12:25 Lunch
13:30

Durcir une application vaut mieux que de poser des pièges à taupes

→ Jean-Marc Bost, Head of Cybersecurity Solutions, ELCA

 

En savoir plus...

14:00

Keynote 1 : Qubes OS: Isolating and integrating your desktop (en anglais)

→ Joanna Rutkowska, founder of Invisible Things Lab and the Qubes OS project

 

En savoir plus...

15:00

Keynote 2 : Où en sommes-nous sur le plan politique ?

Pierre Maudet, Conseiller d'État et en charge du Département de la sécurité et de l'économie du Canton de Genève

15:30 Pause
15:50

Connaitre son adversaire

→ Sébastien Bischoff, Grégory Ruch, Experts en sécurité, ELCA

 

En savoir plus...

16:20

Le côté obscur du chiffrement de disque

→ Jean-Luc Beuchat, Expert en cryptographie et sécurité informatique, ELCA

 

En savoir plus...

16:50 Discussion panel "Que sont les prochaines étapes?"
17:30 Apéritif de clôture

 

 

DPO et RSI les deux pivots de la conformité en entreprise

Horaire
→ de 09h25 à 09h55

Isabelle Dubois, Avocate de formation
Alain Bondet, Responsable de sécurité de l’information et de la protection des données, Police cantonale de Genève

Abstract
Tout organisme traitant de l’information doit protéger son patrimoine informationnel, par des mesures techniques et organisationnelles. Pour cela l'organisme s'appuie sur deux pivots de la conformité en entreprise. Cette présentation a pour objectif de présenter ces deux pivots, de décrire leurs rôles, leur fonctionnement, leurs contraintes et leur contexte.

Biographie
Avocate de formation, Isabelle Dubois a été juge au sein du Pouvoir judiciaire genevois, puis la première préposée genevoise à la protection des données et à la transparence. Isabelle est expert en protection des données personnelles au sein de AD HOC RESOLUTION, qui délivre conseils, avis de droit, formations, accompagnements à la conformité et expertises dans ce domaine, tant aux entreprises privées qu’aux institutions publiques.

Alain Bondet est l'officier de la police cantonale de Genève chargé de la sécurité de l’information et de la protection des données, depuis plus de 10 ans. Ses missions principales sont : protéger le patrimoine informationnel de la police, définir et faire appliquer une politique de sécurité de l’information, identifier les risques et mettre en place des mesures de protection, déclarer les fichiers contenant des données personnelles et sensibiliser les personnes accédant aux données de l’institution.

Principes de bon sens pour une gouvernance cyber sécurité efficiente

Horaire
→ de 10h00 à 10h30

Stéphane Adamiste
Senior Business Consultant
ELCA Informatique SA

Abstract
Le terme «cyber sécurité» est dans toutes les bouches, avec pour conséquence un effet de galvaudage qui s’avère in fine préjudiciable aux organisations qui s’escriment à protéger leurs biens de valeur. Cette présentation vise à prodiguer quelques conseils pragmatiques en termes de gouvernance cyber sécurité, élaborés sur base du retour d’expérience terrain d’ELCA. Elle ne vise pas à introduire quelque concept hyper novateur et miraculeux mais invite au contraire à se reconcentrer sur des principes de bon sens de base curieusement négligés aujourd’hui.

Biographie
Stéphane Adamiste travaille au sein de la division Business Consulting d’ELCA en tant que spécialiste sécurité. Il dispose d’une expérience de plus de 15 ans dans le domaine, acquise en occupant divers rôles : auditeur, chef de projet, directeur opérationnel d’une société de services, consultant ou spécialiste sécurité dans les projets de développement. Il est intervient dans tout type d’industrie avec la volonté constante d’assister ses clients à intégrer la sécurité au mieux au sein de leur organisation.

Marketing et sensibilisation autour de la sécurité de l'information

Horaire
→ de 09h55 à 10h25

Gaëtan Derache, Co-fondateur de l’entreprise filrouge

Enrico Viganò, Président du Clusis et Conseiller en sécurité de l'information au Département de la sécurité et de l'économie du Canton de Genève

Abstract
Comment inciter les utilisateurs-trice-s des systèmes d’information à adopter les bonnes pratiques en matière de sécurité ? Comment comprendre les besoins en information / formation des utilisateurs-trice-s des systèmes d’information, quel langage leur tenir, sur quel ton ? Comment instaurer une culture de la sécurité qui s’appuie sur la responsabilité individuelle de chacun-e ? Une direction peut-elle initier seule une campagne dédiée à la sécurité de l’information ou gagne-t-elle à s’associer à des experts en communication ? Ne devrait-on pas parler de marketing de la sécurité de l’information ?

Enrico Viganò, président du Clusis et conseiller en sécurité au sein d’une administration suisse ainsi que  Gaëtan Derache, expert en communication et partenaire de la Direction générale des systèmes d’information pour la campagne de sensibilisation à la sécurité de l’information répondront entre autres à ces questions. Leur intervention prendra la forme d’un dialogue. Monsieur Viganò jouera le rôle du Chef qui a mis en œuvre une campagne de sensibilisation à la sécurité de l’information. Monsieur Derache jouera le rôle du manager « candide » qui désire entreprendre une telle démarche, mais qui ne sait pas comment s’y prendre.

Biographie
Gaëtan Derache, co-fondateur de l’entreprise filrouge spécialisée dans la communication, est également Professeur de Communication à la Haute école de gestion de Genève et à l’Université de Genève (Hec Executive). Après des études universitaires, DEA en Lettres et en Sciences de la communication et des médias, il a acquis une expérience dans le journalisme. Ses travaux actuels portent notamment sur la communication de crise.

Enrico Viganò est Conseiller en sécurité de l'information au Département de la sécurité et de l'économie du Canton de Genève. Il est en charge de la définition et mise en œuvre de la stratégie globale de sécurité de l'information ainsi que de divers projets dans le domaine de la continuité d'activités. Enrico a débuté sa carrière professionnelle au sein de multinationales en Amérique du Sud dans les domaines de la production et distribution d'énergie ainsi que dans l'informatique. Il a poursuivi sa carrière professionnelle en Europe dans l'industrie informatique et auprès d'administrations publiques suisses dans le domaine de la sécurité des systèmes d'information et de l'information. Il a occupé également le poste de Professeur HES, conçu et dirigé le Master en Management de la sécurité des systèmes d'information au sein du réseau HES-SO.

Mieux protéger vos accès externe et interne par la gestion des identités et des accès

Horaire
→ de 11h10 à 11h40

Nagib Aouini
Head of Cybersecurity Services
ELCA Informatique SA

Abstract
Un attaquant est toujours à la recherche du chemin le plus rapide et le plus vulnérable pour accéder aux données sensibles de votre entreprise. Une des possibilités consiste à compromettre l’accès d’un utilisateur autorisé et de voler sa session en utilisant des vulnérabilités et des attaques connues mais non patchées. De nos jours, les systèmes de gestion d’accès Web permettent d’authentifier et autoriser l’accès des utilisateurs tout en laissant le contenu du flux web traverser les zones réseaux sans contrôles de sécurité et l’application de politiques de contrôle d’accès strictes (basé sur l’identité de l’utilisateur). Afin de défendre l’entreprise contre les attaques ciblées et les prises de contrôle de session, les systèmes de gestion d’accès Web devront évoluer pour prendre conscience des menaces et des vulnérabilités de sécurité. Dans tous les cas, une bonne gestion d’identité et des accès est votre première ligne de défense pour rester protégé.

Au cours de cette session, nous vous proposons de faire un état de l’art d’une architecture de gestion d’accès Web de sécurité de pointe, afin de protéger efficacement contre les attaquants, mais aussi contre les menaces internes. Grâce à cette architecture, vous pouvez sécuriser le partage des informations d’identité entre les nouvelles applications (basée sur SAML 2) dédiées à vos partenaires et clients, contrôler les risques internes (par une meilleure gestion des autorisations basé sur le modèle ABAC – Attribute Based Access Control) et protéger votre entreprise contre les cyberattaques (via web application firewall et solution d’authentification forte).

Un client d’ELCA viendra présenter ensuite un exemple de projet sécurité déployé avec succès au sein d’une grande organisation internationale qui a permis de migrer plus de 150 applications web vers un nouveau système de fédération d’identité et d’accès protégé par une solution d’authentification forte et de contrôle de contenu Web applicatif.

Biographie
Nagib Aouini est en charge de la division Cyber Security Services d’ELCA et gère une équipe de cyber sécurité expert. Il dispose d’une expérience de plus de 18 ans dans le domaine de la gestion de l’identité et possède une expérience éprouvée dans la réalisation de projets techniques complexes à forte valeur ajoutée. Auparavant il a occupé des postes clés au sein de de grande multinationale dans la sécurité informatique, pour la conception de la sécurité des accès (basé sur des technologies carte à puce sans contact). Il a travaillé avec des institutions gouvernementales (ministère de l’Intérieur français pour le projet de passeport biométrique, Royaume du Maroc pour le programme de carte d’identité biométrique, US Department of Defense DoD pour le programme de cartes à puce d’accès CAC).

Case study et retour d'expérience sur les défis d'un projet de sécurité

Horaire
→ de 11h40 à 12h00

Alain Ceccato
Responsable sécurité au CICR

Abstract
Depuis sa création en 1863, le CICR a pour seul objectif de protéger et d'assister les victimes de conflits armés et de situations de violence, partout dans le monde. Par le biais de son infrastructure IT, le CICR met à disposition de ses employés et de ses membres partenaires, plus d’une centaines d’applications web accessibles depuis n’importe pays. Sans cette infrastructure IT, le CICR ne serait plus, aujourd'hui, à même de mener ses missions humanitaires dans les meilleures conditions possibles. Aussi, lorsqu'en 2013 le CICR a décidé de renouveler son système de protection périmétrique web devenu totalement inadapté pour faire face aux besoins croissants de l'institution, le succès d'un tel projet ne pouvait souffrir d'aucun doute malgré les nombreux défis: faciliter l’intégration des applications web, offrir du SSO fédéré à ses employés et ses partenaires et surtout d’améliorer la sécurité des accès pour ne donner que quelques exemples. M. Alain Ceccato, qui a géré ce projet sensible de bout en bout, sur pratiquement 2 ans, vous propose un retour d'expérience sur les difficultés rencontrées et les résultats obtenus.

Biographie
Alain Ceccato est responsable sécurité au sein de la division ICT du CICR, depuis 2012. Il est chargé de définir la politique de sécurité des systèmes d'information et s'assurer que sa mise en oeuvre est conforme aux risques à gérer (pour le siège de Genève et les 80 pays où l'institution est présente). Il a également un rôle de conseil et d'alerte en matière de sécurité informatique pour l'ensemble de l'institution.

Durcir une application vaut mieux que de poser des pièges à taupes

Horaire
→ de 13h30 à 14h00

Jean-Marc Bost
Head of Cybersecurity Solutions
ELCA Informatique SA

Abstract
Nous le verrons lors de la session du matin, il existe des outils et bonnes pratiques pour protéger un système d'information. Celui qui ne les applique pas, ne peut s'en prendre qu'à lui-même en cas de problème. Mais que penser des attaques plus sophistiqués comme les terrifiantes "APT" (Advanced Persistent Threat)? Elles semblent imparables. Alors, on fait quoi? On s'assied et on attend?
Le problème est que nos applications informatiques sont de plus en plus complexes, empilant de plus en plus de couches logicielles. La preuve, on passe son temps à les « patcher », et qui sait quelle nouvelle vulnérabilité on introduit à chaque fois? Telle une taupe, une attaque de type APT va s'introduire dans le premier trou visible et creuser jusqu'à atteindre la plateforme sous-jacente. Tapie tout au fond, elle va construire son nid, s'y reproduire et la petite famille va maintenant pouvoir aller coloniser les autres machines.
Les pièges à taupes (antivirus, IDS, ...) ne sont pas la solution, il y aura toujours un trou hors de portée. En revanche, on peut limiter le nombre de trous exploitables en restreignant au strict nécessaire les couches logiciels et les interfaces qu'elles exposent. Cette approche, dite "durcissement" est complexe à mettre en œuvre sur un système généraliste. Elle est plus réaliste quand on se limite à une seule application.

Biographie
Jean-Marc Bost dirige la Division Cyber-Sécurité chez ELCA. Il est en charge des solutions de sécurité éditées par ELCA et déployées chez les clients d’ELCA. Après avoir conçu et développé pendant des années diverses applications métier, il a commencé, il y a 15 ans environ, à s’intéresser à leur besoin de sécurité. Depuis, il a été très actif dans le domaine :

  • mise en œuvre de proofs of concept afin de matérialiser la menace, en particulier dans les
  • conception et industrialisation de solutions pragmatiques pour l’authentification, la signature et le chiffrement applicatif
  • mise en œuvre des outils et de l’organisation pour le développement sécurisé d’application sécurisées
  • présentation des découvertes effectuées et des meilleures pratiques recommandées dans différents événements et publications sur la sécurité des applications

Depuis que la menace APT s’est matérialisée, il s’intéresse aussi, et de plus en plus, au besoin de sécuriser la plateforme qui héberge les applications. Ses centres d’intérêts se sont donc déplacés des couches applicatives haut-niveau vers le système d’exploitation et même, depuis peu, vers le firmware :

  • animation de la veille technologique autour des concepts de hardening et de rootkits défensifs
  • mise en appliance sécurisée des solutions de sécurité développées par ELCA
  • enseignement de la sécurité des systèmes d’exploitation dans une école d’ingénieurs cantonale

Qubes OS for isolating and integrating your desktop

Horaire
→ de 14h00 à 15h00

Joanna Rutkowska
Founder of "The Invisible Things"

Abstract (présentation en anglais)
The presentation will focus on Qubes OS, a reasonably secure desktop OS which attempts to implement Security by Compartmentalization principle to desktops (endpoints). Rationale, common scenarios of decomposition, recent developments and challenges will be discussed.

Biographie
Joanna Rutkowska is a founder of Invisible Things Lab and the Qubes OS project, which she has been leading since its inception in 2010. Prior to that she has been focusing on system-level offensive security research. Together with her team at ITL, she has presented numerous attacks on virtualization systems and Intel security technologies, including the famous series of exploits against the Intel Trusted Execution Technology (TXT), the still-only-one software attack demonstrating Intel VT-d escape, and also supervised her team with the pioneering research on breaking into the Intel vPro BIOS and AMT/MT technology. She is also known for writing Blue Pill, the first hardware virtualization-based rootkit, introducing Evil Maid attack, and for her prior work on kernel-mode malware for Windows and Linux in the first half of the 2000s. She proudly holds 0 (zero) patents.

Connaitre son adversaire

Horaire
→ de 15h50 à 16h20

Sébastien Bischoff & Grégory Ruch
Security Experts
ELCA Informatique SA

Abstract
« Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril. Qui ne connaît pas l’autre mais se connaît lui-même, pour chaque victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même, perdra inéluctablement toutes les batailles. »
– Sun Tzu –

Autrement dit, afin de se défendre efficacement contre les adversaires, il est nécessaire de comprendre leurs profils, méthodologies et façons de penser. A l'aide d'exemples avérés, nous décrirons des modèles d'attaque ainsi que les mesures appropriées pour les mitiger. En partageant notre expérience "terrain" et ses retours nous souhaitons sensibiliser l'audience aux modi operandi et motivations des pirates afin d'augmenter ses chances de parer leurs attaques. Nous sommes sincèrement convaincus que savoir est synonyme de pouvoir et de ce fait, les chances de contrer un adversaire sont proportionnelles à la compréhension de ceux-ci.

Biographie
Sébastien et Grégory travaillent dans la division sécurité chez ELCA en tant qu’experts en sécurité des systèmes d’information et des communications. Ils officient également en tant que responsables de la sécurité chez ELCA. En tant que tels, ils prodiguent leurs conseils à leurs collègues ainsi qu’aux équipes techniques et rendent compte de la vision globale de la sécurité des systèmes d’information de ELCA au management. De plus, ils représentent ELCA dans le cadre du programme Suisse de collaboration des experts du domaine de la sécurité informatique « Swiss Cyber Experts ».

Passionnés par la sécurité informatique, la veille technologique dans ce domaine est leur fil rouge. Pour ce faire, ils se tiennent informés des menaces les plus récentes en participant activement dans les forums, les conférences internationales et autres événements qui ont trait à la sécurité informatique. De plus, ils participent régulièrement à des compétitions de hacking en équipe comme Insomni’hack.

Leurs parcours académique se basent sur un Bachelor en télécommunications et réseaux complété par un Master HES spécialisé dans la sécurité informatique. Cette particularité leur a souvent valu l’appellation « full-stack IT Security Expert » car leur expertise couvre de nombreux domaines allant de la sécurité réseau à l’obfuscation de code en passant par les mécanismes de sécurité inhérents aux systèmes d’exploitation et l’élaboration d’architecture sécurité.

Le côté obscur du chiffrement de disque

Horaire
→ de 16h20 à 16h50

Jean-Luc Beuchat
Expert en cryptographie et sécurité informatique
ELCA Informatique SA

Abstract
Vous avez chiffré le disque de votre ordinateur avec un logiciel commercial et pensez que vos données sont en sûreté ? Vous changerez peut-être d'avis en découvrant que certains vendeurs introduisent des portes dérobées dans leurs produits ou stockent une copie de votre clé de chiffrement sur leurs serveurs.
Dans cet exposé, nous nous demanderons si le logiciel libre peut offrir de meilleures garanties de sécurité. Nous illustrerons ses avantages et inconvénients à l'aide de CipherShed. Nous montrerons en particulier que les mêmes techniques permettent de renforcer la sécurité ou de dissimuler une porte dérobée. 

Biographie
Avant de rejoindre ELCA en 2013 en tant qu'expert en cryptographie et sécurité informatique, Jean-Luc Beuchat a travaillé plusieurs années dans le monde académique en France (Ecole Normale Supérieure de Lyon) et au Japon (Université de Tsukuba). Il s'est spécialisé dans l'implantation logicielle et matérielle de primitives cryptographiques.

L'originalité de son approche est d'étudier simultanément les aspects arithmétiques, algorithmiques et architecturaux. Cette méthodologie lui a par exemple permis de concevoir des coprocesseurs cryptographiques à la fois compacts et performants pour des systèmes embarqués, ou d’établir de nouveaux records de vitesse pour le calcul de certaines primitives sur des processeurs commerciaux (https://sites.google.com/site/jeanlucbeuchat/).

Informations personnelles
   
ELCA Update
(newsletter client bi-mensuelle)