--- title: TMS - conférences notes tags: TMS, moemoea.fierin --- [TOC] # Conférence ANSSI **Conférencier:** Guillaume Poupard Les points d'aujourd'hui: - des points positifs qui permettent de faire face a cette menace grandissante. Nous sommes au coeur de l'evolution ## 1er Point + Le sentiment qu'on arrive au terme d'une phase d'evangelisation. Il explique qu'on a probablement tous essayer de faire comprendre aux entreprises (qui n'on pas envie de l'entendre, qui ne veulent pas comprendre) et au monde en général a quel point la sécurité c'est important. Aujourd'hui, il explique qu'il pense que cette phase arrive a terme. Les gens ont aujourd'hui compris qu'il y'avait un sujet (grace a nous et aux hackers) Cela nous permet auj de nous concentrer sur les solutions. Comment fait on pour que le numerique soit ce qui nous protege et non pas le talon d'achille. ## 2e point + etre attaqué c'est un traumatisme mais ce n'est plus qqchose de honteux et qqchose de positif. il faut ecouter ceux qui ont ete attaque dans des secteurs differents. (exemple: l'attaque sur les hopitaux). Ce collectif de personnes peut nous preserver. Pour les decideurs/dirigeant, il devient difficiles de dire 'je ne savais pas'. Aujourd'hui un decideur qui pense que la securité c'est surfait, il devient fautif dans leur role de decideur. Maintenant ils veulent comprendre. c'est auj a nous de nous elever pour etre capable de leur apporter des messages comprehensible et de leur permettre de prendre les bonnes deciscion (financier, budgetaire). Cependant la question de la securite ne peut pas etre simplifier que par l'argent. Aujourd'hui plus personne ne peut dire, je ne savais pas. ## 3e point Les metiers de la cybersecurite, il y'a des choses techniques et il y'a aussi un coté humain (organisation, gouvernance) Un nouveau livre est sortie de l'ANSSI 'Organiser des exrcices de gestions de crise' Ce livre sert pour s'aider a mettre en oeuvre des entrainement a la crise cyber. Il contient des fiches reflexes, suggestions et autres qui vont permettre aux diverses entité des differents secteurs de se preparer à ce qui pourrait arriver. En terme d'organisation, communication, d'image, ... S'exercer pour devenir efficace le jour ou l'on se fait attaquer. Ces exos sont important car dans ce type d'attaque, le temps est très important. ## 4e point + Le travail quon fait autour de la qualification et notamment autour des prestataires de services. Travail compliqué (temps, argent, ..). Mais le resultat en vaut la chandelle. Aujourdhui on arrive a maturité sur un referentiel qui s'appelle PAMS (prestataire d'amdinistration et de maintenance securise). Sauf que si ces gens la ne sont pas de confiance c'est la merde. On va bientot pouvoir proposer une liste de blanche de prestataire. ## Cloud Le cloud redevient d'actualité cela arrive a maturite maintenant ce qui permetrait d'aporter des solutions a des problemes juridico-geopolitique Dans un contexte qui ne prete pas a l'optimisme on peut etre fier des solution qui sont apporter, de la prise de conscience aupres des victimes. ## 4 grands message les directions pour l'annee a venir: - la question de l'humain et des ressources humaine: on a fini pour comprendre que ces sujets techniques passait par des humains a tous les niveaux. La q? de la formation et des RH est essentiel (continuer a expliquer ce que sont les metier de la cyber). L'important c'est d'avoir un lang commun. On a besoin d'acteur juridique, coms, ... dont on a besoin pour faire de la cyber. Education: formation, on est a un stad ou il faut remonter. Les enfants devraient commencer a entendre parler de securite numerique en seconde-premiere. Les programmes scolaires sont en places. Les outils commence egalement a arriver pour etre capable d'enseigner de maniere moderne. C'est la qu'on peut corriger des biais - Europe de la cybersecurite: le morcellement europeen joue contre nous (recherches, industriel, au niveaux des etats membres...): il y'a des efforts a faire mais cela ca progresse. Des choses commencent a se metre en place (une organisation qui reunit les ANSSI par ex, strategie cyber d'europe qui sort en fin d'annee) - la reflexion sur les adherences entre les questions de secu numerique et de souvernaité numérique. On ne peut pas faire l'economie d'un traitement conjoints. Ce qu'on peut apporter collectivement c'est de l'objectivité. Il faut faire en sorte. Le droit applicable devrait etre le droit europeen. Ce n'est pas illusoire de faire des choses proprement, le but est d'ouvrir l'esprit des autres nations pour qu'on se base sur le droit europeen. - notre force c'est d'etre capable de travailler ensemble. Seul la force du collectif permet de se proteger (chercheurs, enseignants, ...). Ça existe en France (ca n'existe pas partout). Developement de ce travail en commun (campus cyber). # Conference MICROSOFT Conférence: Bernard OURGHANLIAN - Directeur Technique et Sécurité **Qu'est ce qu'il s'est passe pdt la pandemie en terme de consequence sur les SI d'entreprise:** - elle a permis une acceleration de la tranformation numerique (ex: PDG de microsoft, 2ans de transformation en l'espace de 2mois) - elle nous a appris des choses: sur nous meme sur la vie sur la societe sur nos forces, nos faiblesses - tout le monde n'etait pas prete pour ce changemetn (eco, sante, securite des si) - les cybercriminelle se sont adapté au covid: ils ont fait evolue leur techniques, ils ont enrichies leurs strats (phishing qui se sert du covid) - les entreprises se sont adaptés tant bien que mal 'les cybercriminelle ont surfer sur la vague' - si on regarde les tendance en accelration avec cette crise: - les orga qui se sot adapte rapidement sont celle qui ont adopte une philosophie du zero trust (traiter chaque tentative d'acces d'un reseaux non approuve: donc toutes les tentatives de co des collaborateurs a distance) - la plupart des entreprises qui ont reposer sur les methode de securite traditionel etait plus touché car plus de mal a s'adapter (au teletravail notamment) - de nmbreux SI etait peu preparer a ce changmnt brutal (les passerelle vpn pas taille poir l'augmentation du traffic), carde nouveaux défis - on a commencer a avoir les comex se preparer d'avantage de resilience operationnelle - on a vu une augmentation du teletravail 60% des collaborateurs en teletravail - CCL: ce qui est certain cest que ce covid a perturber les coutumes des collaborateurs des entreprises. **Temoignage Nicolas Denis directeur des operation informatique du groupe servier (partage d'experience) qu'est ce que le groupe servier?** - fondation - pas d'actionnaire - fabrique des medicaments, on sogine des gens comment ca s'est passe pour le groupe servier - les 23Mille collaborateurs en teletravail du jour au lendemain - obligation de continuer a faire des medicaments, ils ont du decidr ce qu'etait leur priorite - pour la plupart des personnes le teletravail n'etait pas possible (les chercheurs, ..) - migration vers teams pour continuer de communiquer avec les gens car ils ont couper les vpn pour empecher certaine spersonnes de trvaailler a distance? quels sont les grands defis et comment vous les avez resolu mode post-confinement? - deciscion que vous aviez prise que vous auriez plutot prefere ne pas prendre? - le teletravail depend des personnes ce n'est pas tjrs compatible - on n'impose pas de regle de preference - visite virtuel qui commence a se mettre en place de maniere importante - CCL: changement profond de la maniere de travailler des collaborateurs. Bernard: - les données continue de s'accumuler elle nest pas affecter par le covid - cette quantite de données partage, stocker en ligne, les cybermenace augmentent? - l'IOT - la securité: comment proteger un patrimoine informationel avec les covid? - zero trust comporte une partie importante de ce defis: consiste a voir chaque tentative d'acces comme provenant d'un reseau non approuve/securise - 3 principe zero trust: verifier explicitement, utiliser le moindre privilege, presupposer qu'il y aura une faille tot ou tard - verifier explicitement: logique de confiance zero (mise en place d'une authent et autorisation forte base sur toutes les données, emplacement du terminale, les services, les données, de facon a ce qu'on puisse contextualiser l'acces) - moindre priviège; consiste a n'accorder l'acces au personne uniquement a celle qui en ont besoin, aussi longtemps qu'elle en ont besoin et uniqement pour la tache dont elle en ont besoin en minisant les acces. - presupposer la violation: partir du principe qu'on est dans la merde et tenter de faire evoluer nos SI pour qu'ils soient plus resilient. cela implique d'avoir de nouveau principe: analyse en temps reel pour detecter les attaques. - on peut donc avec cette methode: en fonction du contexte, donner acces ou pas ou potentiellement demander des garantie plus forte de la part de l'utilisateur. - cela empeche entre 95% et 99% des intrusions - dans un tel env, l'identité devient de ce fait le nouveau perimetre de securité de l'information - pour avoir une vision securitaire complete il faut avoir des info en temps reel: reunir les points de collecte d'information - voila pk ils ont creer: microsoft intelligent security graph qui consiste a travers la collecte d'information de l'ens des services aux sint du cloud qui vont permettre d'avoir une vision transverse de tel facon que l'on puisse assure la secu de l'ensemble des collaborateurs au quotidien - CCL: c'est grace aux données que l'on arrive a assure la securité des données aux quotidien un des elements fondamentaux c'est la resilience, la capacite de repondre a des changements mondiaux innatendu. Il faut un engagement en terme resilience Les clients n'etait pas pret a resister a un event max => un engagmen dans la cyberresilience qui doit etre mis en place. AUj on considerer que la motiie des clients ont un Plande reprise des activité: - 1/4 des entreprises qqui ont un plan, ne l'ont jamais tester reelement - seulement 42% des dirigeants sont convaincu que leur entreprise pourrait se remettre d'un cyber event maj sans que cela affecte leur entreprise - CCL: la mise en plan d'un plan apes sinistre est une chose majeur, ne pas en avoir est de la negligeance - cela repose sur les personnes, la technologies: - en terme de tech: definir des POLS qui permettre un controle d'acces, sensibilisation des utilisateurs, - un point souvent oublie: restorer depuis une sauvegarde. Il faut faire des sauvegarde mais il faut aussi tester notre capacite a revenir a l'état nominal apres un cyber-event. Le cloud a pas mal aider certaines entreprise a resister (ca a pu assurer la continuite d'activité) Le futur: - de grands sujet qui resteront a l'ordre du jour: - la transformation numerique qui sera aider et accelere grace a la cybersecurité - le fait que la chaine d'approvisionnement joue un role majeur et aussi la securite de cette chaine - l'apprentissage artificiel - la capacité de tirer partie de nos données. - l'IOT et la 5G vont apporter de nouveaux risques - l'informatique quantique pourra changer nos methode - CCL: l'adoption de nouvel approche, de nouvel architecture, est necessaire et a ete accelerer par la crise. Il faut renforcer sa posutre de securité a traver la mise en place de zero trust, cyber-resilience, et en priorisant. # Crowdstrike conferiencier: - Shawn Henry, CrowdStrike President et RSSI - CJ Moses Comment les RSSI doivent etre les portes paroles de la securité ? La façon dont nous responsabilitson le RSSI pour proteger leurs orga dans le domaine cyber. Who is CJ? l'un des ces anciens colleègues, ils ont travailler ensemble au FBI. Shawn a pris sa retraite apres 24 ans de service. Shawn: - Shawn explique qu'il pense que les qualités necessaire pour etre pilote de courses sont globalement les memes que celles pour etre RSSI (precision, passion, rapidité dans les deciscions, ...) . Lorsqu'on est en pleine course on évalue les données qu'on possede et qu'on recupere). Mais en plus de ca, CJ: - RSSI est responsable de cet enviro de menace a 360 degres. Dans la realité proteger les données, c'est aussi etre capable de faire face a toutes les menaces. - Il aime bien dire a son equipe (que ce soit dans le milieu de la course ou dans le cadre de RSSI en tant que protecteur des données), que c'est leur boulot d'etre tactictement impatient et strategiquement patient. L'idee c'est que si on sait ce qui doit etre fait et qu'on a le chemin, il faut le prendre. - La meme chose s'applique d'un point de vue strategique. - Exemple: des violations externes des données, comme des mdp et qui sont ensuite utilises ou que l'on tente d'utiliser sur notre platforme. (Pwd reuse) En effet les gens aiment bien reutiliser lememe mdp. - Phishing and malware scams sont combiné. - On commence a voir que l'un des points essentiel c'est la formation car les humains ont beau avoir les meilleurs intentions du monde cela ne bloquera pas qqn de malveillant. Et la deuxieme chose face a ca c'est evidemment limiter l'acces grace au principe de moindre privilege - Autre domaine dans lequle il y'a des impact positif - Chew amazone et AWS , on a un env informatique mondiale donc on peut un peut voir ce qu'il se passe et ou ca se passe. Et Falcon peut nous indiquer ce genre de visibilité: on remarque notamment que les cibles mondiaement sont la chaine d'approvisionnement. - En tant que RSSI on est responsable de la protection des données des clients et autres collaborateurs donc si on utilise un fournisseur tier et qu'on leur donnée acces aux PII ou a la propriete intellectuel. C'est donc la responsabilité d'un RSSI de s'assurer que de leur cotes les fournisseurs ont un niveau de securité soit equivalent soit plus eleves que le notre. - Ce qui arrive souvent c'est que les periodes de conservations des journaux d'activité ne sont pas assez robuste ou persistant que nous pourrions en avoir besoin. Si qqchose se passe ou qu'on souhaite verifier si qqchose s'est passe, on doit etre en mesure d'avoir des journaux. il y'a donc bcp de chose qui en tant que RSSI doivent etre pris en compte - Le role du RSSI ne s'arrete pas uniquement a l'env cyber ou virtuel car ils sont responsable de tous les aspects de la protection des données clients. Il doit donc s'appropier totalement la securite de ces données. Shawn: - au niveau de la securité physique: (par ex des datacenters). Il raconte qu'il s'inquietais souvent des attaques a distance mais il explique que finalement si on laisse la porte de derriere ouverte, qqn peut entree et sortir du batiment avec le serveur ou pire jeter un object incendiaire. - Il faut prendre ne compte que finalement a la fin de la journée il y'aura un etre humain derriere certaines actions. - souvent on pense aux attaques en elles meme et on ouvlie que derriere la personne qui lance ces attaques ce sont des etres humains. Certains meme de ce qu'il a vu s'en prenne a des employés physiquement pour les rendre complice de leurs attaues. Exemple chz tesla un mec a essayer de soudoyer un employé de tesla pour introduire des logiciels malveillants dans l'env tesla pour voler l'argent de tesla. Et la somme qu'il proposait c'etait 1million de dollar pour l'employé qui l'aidais. Il y'a donc egalement une necessite de travailler avec la securité physique pour controle: le datacenter, les acces, est ce que les acces des meployés sont controlés, est ce qu'il existe des processus pr identifié si qqn s'engage dans une action malveillante. Il pourrait meme.y avoir un employé mecontent ou autres. C'est pour ca que l'aspect humain est tres important dans la cybersecurity CJ: - il faut penser a cet aspect humain qu'il soit intentionnelle ou non. - Il y'a aussi l'employé bien intentionner qui veut aider et qui se fait social-engineered au telephone, et la personne lui demande de faire tel et tel chose pour l'aider et l'employé veut etre utile et veulent faire ce qui est bien et ils ne se rendent pas compte qu'il font qqn de mal. Il faut donc former et dans le cas ou ca passe quand meme a travers, il faut etre capable de rapidement recuperer l'information pour pouvoir desactiver ces menaces. "Le plus grands dangers pour nos données ce sont les personnes qui ont accès a ces données" qu'il soit bien ou mal intentionné - Le but ca va etre de considerablement reduire d'acces de nos employés aux données. Par exemple si l'employés est en vacances il n'aura pas besoin d'avoir acces a autre chose que ses mails. C'est l'ensemble des models basé qui vont limiter les degats au minimum Shawn: - En effet, je pense que cela creer la "culture approprié" qu fait que tout le monde concoit ces principes de la meme maniere: comprendre les risques, les dangers, les objectifs. - une des choses qu'il a appris, c'est que le leader va donner le rythme au reste du pelotin et si les personnes dans l'equipe ne croit pas en leur leader , si les leaders ne disent pas les mots qu'il faut et n'explique pas les procedures adaptés alors il risque d'y avoir des probleme. Un leadership fort est donc important CJ: - les choses les + impt auxquelles les RSSI present devraient reflechir et comment ils peuvent se preparer a etre plus resilient. - culturelle, organisation, making sure securité is priorit zero, not only - on doit donc s'assurer qe le CEO et le COMEX sont conscient des risques que nous avons devant nous et tout ce qu'on peut faire face a cela et faire ne sorte que ce soit fait Shawn: - c'est une question de leadership et urgence et passion. Questions/reponses: - Q: Réduction des accès pour limiter les risques, limiter le nombre de personne n'est il pas un autre risque? - R: quel RSSI ne reve pas d'utilisateur avec des bons droits. Il est necessaire de mettre en place des proc pour limiter l'action et l'accès aux données.Est ce que vous faite periodiquement des revues de droits lorsqu'elle change d'equipe, des revues de compte utiliseé, est ce que vous utiliser de l'utilsiation multi facteur, les utilisateurs doievnt etre conscient de l'importance du niveau d'accès. - Q: Quels strategie adopté pour limiter les degats de ce maillon faible que peut etre ce fournisseurs ou le prestataire dans l'ecosys - R: chez les fourn il y'a aussi des collaborateur, il faut s'assurer que les fournisseurs ont le meme niveau de sécurité, sassurer de pouvoir collecter des logs pour detecter les activités suspectes et de remonter l'information, et de pratique le moindre privilege - Q: si la données est attaques chez amazon c'est un manque de confiance et un manque de confiance dans la données c'est une perte de business. comment on peut faire evoluer les mentalités pour proteger au mieux ces données - R: le message passe par l'interne, le RSSI ## Liste de liste: - Vision 360: ne pas uniquement se concentrer sur un seul aspect de la securité il faut avoir une vision 360. Une personne mal intentionné pourrait par exemple s'emparer physiquement d'un serveur tout simplement par ce qu'une porte est resté ouverte dans le batiment. - Formation: L'un des vollets de cette vision 360 c'est le côté humain. On oublie souvent qu'il y'a un être humain derrière les attaques. Il est évidemment important de former les collaborateurs pour qu'ils comprennent les enjeux, les dangers et l'importance de la cybersécurité. Cependant, il prendre en considération qu'un employé n'aura pas forcement de bonnes intentions tout au long de son activité au sein de l'entreprise. Et à l'inverse, un employé bien intentionnée pourrait être victime d'une attaque téléphonique de social-engineering. Il est donc important de mettre en place des procedures de sécurité comme par exemple l'approche de moindre privilège. Celle-ci consiste a - se baser sur une approche zero trust dans laquelle il faudrait constamment verifier - Moindre privilège: limiter les acces des collaborateurs uniquement a ce dont ils ont besoin pour travailler et en fonction du moment ou il en ont besoin - transmission de l'information pour en cas de social-engineering ou autre les equipes puissent rapidement immobiliser le danger. - Mise en place de bonne procedures - S'assurer de la sécurité des fournisseurs - conservation des journaux de sécurité (pour par exemple s'emparer physiquement d'un serveur tout simplement par ce qu'une porte serait resté ouverte dans le batiment. ) qu'un employé n'aura pas forcement de bonnes intentions tout au long de son activité au sein de l'entreprise. # Tanium Introduction Orion Hindawi, Co-founder et CEO de Tanium challenges of Covid19: taniums perspectives - its amazing how quickly ppl adapted - and how many ppl think this adaption think is gonna continue - Maybe ppl are gonna continue working at home despites that the compagnies begin to reopen and begin to try having more ppl physically - they got used to the idea that their data has to be accessible from home and so that data is flowing in ways that it haven't in the past. - their network control has gone way done than before and so they have to provide better security than before. Today its more critical - alot of the investment the customer have made is gonna continue being made. - We seen more attacks than we seen in the past and more risk of lost and lots of ppl take advantage of this to make more dmg - Customer have to keep the standarts higher and higher and tanium has to invest in them to get them comfortable there. if working from home is a news norme: impacts industries in the futur - in the cybersecurity industry, too many vendors that do many small things, and the amount of time we spend selling thing than making them is out of proportion. - They just dont have time to process through to process the vendors. - there is gonna be a huge shake in the industry. - customers have ahd the ability to spend time with the community that its overgrown and we have been waitin gfor it to reduce and this transition is gonna accelerate this ability. what was your original vision of tanium - where we came from: we co-founded big-fix (lets customers see what they own) and they started to have customers that needed more than what they could give - we went from the idea that customer needed fundamentaly stronger end-point platform (more real time, more flexible) this was in 2007 cloud was very early - customer saw that this was comming - tanium was started has an experiment how do you see the vendors evoluving in the comming year - a girl was telling him that her biggest concern was that she had 30 different tools on her endpoint. Each one of them can make changes. Her concerns was that one of her vendors would give acces to some hacker because of some bad implementation. - tanium does not fragment the endpoint at the end of the day the efficacy is not behind those many vendors **cybersecurity is more and more a board item agenda.** - zoom is a way to communicate - lots of boards are businessman and they arent technologist expect a few ppl and yet they realise this is an existancial threat for the company. - they spend alot of time how those attck actually happen and how they mitigte the risks - they spend time explaining zero trust - most of ppl understand the concept of keeping the place clean (you know where and what the landscape looks like and being able to fix it: where are the endpoint, where the critical assets are) so at least the non creative attcks will not and being able to fix it. - The vast majority of atcks its know vulnerabilites that are being exploitated because ppl didnt close the windows. - What we need to communicate the board is that its gonna happen and that there is not anybody who has a network that is not gonna suffer from an attck at some point. The goal is to make it has difficult as possible for the atccker to limit the dmg thats caused and to make it that so that when an attck is occuring we can get there as quickly as possible and stop it. - The good news is, they want to understand,and the lvl of understanding is going up and that when they are talking to each other they teach each other stuff What would be your msg to the audience? - our industry would love to show you cool shiny things - and i think that last year or two years ago we were `w - we have a lot of time - this is war time , customer budget and expense of cybersecurity are huge issue for them and i think we owe our compagny to be very discipline about what we are doing