La Journée Sécurité des Systèmes d'Information 2007

JSSI 2007
FIAP Jean Monnet - Paris
Mardi 22 mai 2007

"Le SI 2.0 : une évolution ou un bouleversement ...

pour la sécurité ?"

Programme

8h30 : accueil des participants et café
9h00 : ouverture de la journée

9h10 : première session

9h10 - 10h10, 1A, Nicolas Ruff (Chercheur en Sécurité, EADS)

Bienvenue dans le Web 2.0

 

10h10 - 10h40 : pause café

10h40 : deuxième session

10h40 - 11h20 : 2A, Eric Barbry (Avocat au Barreau de Paris)

L'impact du Web 2.0 sur les aspects juridiques

11h20 - 12h40 : 2B, Table Ronde, "Nouveaux services, nouvelles (ir)responsabilités ?"

Avec la participation de : Eric Barbry (Avocat au Barreau de Paris) ; Cédric Blancher (Responsable du Département de Recherche en Sécurité Informatique d'EADS) ; Gilles Brusson (Bâtisseur en sécurité, Renault) ; Christophe Labourdette (CNRS et OSSIR) ; Nicolas Ruff (Chercheur en sécurité, EADS et OSSIR) ; animée par Michel Miqueu (CNES).

 

12h45 - 14h00 : déjeuner

14h00 : troisième session

14h00 - 14h40 : 3A, Renaud Feil (Consultant en Sécurité, HSC)

Le Web 2.0 : plus d'ergonomie... et moins de sécurité ?

14h40 - 15h20 : 3B, Nicolas Fischbach (Senior Manager, COLT)

L'opérateur passe au 2.0 : la sécurité des réseaux de nouvelle génération"

 

15h20 - 15h50 : pause café

15h50 : quatrième session

15h50 - 16h30 : 4A, Cédric Blancher (Responsable du Département de Recherche en Sécurité Informatique d'EADS) et Eric Hazane (Airbus)

Blogs, un concentré de problèmes à l'usage de tous ?

16h30 - 17h10 : 4B, Philippe Humeau (NBS System)

Passé l'injection, Ajax entre en action

 

17h10 - 17h30 : clôture de la journée, discussions

Détail des interventions

Première session

1A - Bienvenue dans le Web 2.0

Conférencier : Nicolas Ruff (Chercheur en Sécurité, EADS)

Bien qu'il n'existe pas de définition "officielle" du Web 2.0, cette conférence d'introduction se propose de faire le tour des technologies couramment acceptées comme "2.0" ... et des menaces associées.

Outre l'analyse technique des attaques passées les plus significatives, l'accent sera mis sur les techniques offensives étudiées aujourd'hui dans les labos de recherche et disponibles demain sur Internet.

 

A propos de Nicolas :

Connu depuis plusieurs années dans le milieu de la sécurité, Nicolas RUFF est chercheur en sécurité informatique au sein de la société EADS.

Ses thèmes de recherche sont :

  • La sécurité des infrastructures Microsoft
  • La sécurité Windows Mobile
  • La réponse aux incidents et l'analyse de machines compromises (forensics)
  • La lutte contre les codes malveillants (vers, spywares, rootkits)
  • La sécurité des réseaux sans-fil (WiFi, BlueTooth)

Il est l’auteur de nombreuses publications sur la sécurité Windows dans des revues spécialisées telles que MISC, dispense régulièrement des formations sur le sujet et participe à des conférences telles que EuroSec, les Journées Microsoft de la Sécurité, la JSSI et le SSTIC.

Deuxième session

2A - L'impact du Web 2.0 sur les aspects juridiques

Conférencier : Eric Barbry (Avocat au Barreau de Paris)

Pour les uns le web 2.0 est une "simple" évolution du web actuel ; pour les autres le web 2.0 est une véritable révolution. Le web 2.0 est en fait une "évolution révolutionnaire"... Une "simple" évolution sur un plan technique car le web 2.0 n’est pas une "rupture" technologique et repose essentiellement sur une agrégation de technologies existantes. Cependant l’impact du web 2.0 est tel que l’on peut affirmer qu’il s’agit d’un évolution qui risque de fort de révolutioner les fondamentaux sociologiques, économiques et juridiques. Cette présentation qui aborde les aspects juridiques du web 2.0 tente d’expliquer que si le web 2.0 n’est pas un "no laws land ", il risque fort de constituer un tsunami juridique.

 

A propos d'Eric :

Eric Barbry dirige le pôle « Communications électroniques » du Cabinet Alain Bensoussan qui regroupe les départements « Internet », « télécoms », « sécurité des systèmes d’informations », « Informatique et libertés » et « droit public IT ». Il est l’auteur de plusieurs ouvrages et articles consacrés au droit de l’Internet et au multimédia. Il est membre fondateur de Cyberlex et de l’Association française des correspondants informatique et libertés. Membre de l’OSSIR. Il est chargé d’enseignement à l’Ecole nationale supérieure des télécommunications.

2B - Table Ronde : "Nouveaux services, nouvelles (ir)responsabilités ?"

Sujet : les nouveaux services offerts, tant en matière de travail collaboratif que pour la publication d'opinions personnelles, sont générateurs de nouvelles responsabilités qui sont mises en avant par les entreprises pour décider d'offrir ou non ce type de services. Qu'en est-il dans la réalité ? Les participants à la table ronde discuteront des expérimentations menées (ou non) avec ce type de services (wiki, blog, chat, ...).

Avec la participation de : Eric Barbry (Avocat au Barreau de Paris) ; Cédric Blancher (Responsable du Département de Recherche en Sécurité Informatique d'EADS) ; Gilles Brusson (Bâtisseur en sécurité, Renault) ; Christophe Labourdette (CNRS et OSSIR) ; Nicolas Ruff (Chercheur en sécurité, EADS et OSSIR).

Animateur : Michel Miqueu (CNES).

Troisième session

3A - Le Web 2.0 : plus d'ergonomie... et moins de sécurité ?

Conférencier : Renaud Feil (Consultant en sécurité, HSC)

Cette intervention présente les nouveaux risques de sécurité qui découlent du modèle de développement des applications "Web 2.0". Elle présente les retours d'expérience de plusieurs audits de sécurité de code source et explique la cause des vulnérabilités fréquemment rencontrées. Elle étudie aussi les différents frameworks et outils de développement utilisés pour créer des applications "Web 2.0" et montre leur rôle dans la sécurité (ou l'absence de sécurité) du code produit.

 

A propos de Renaud :

Après une première expérience de 2 ans en tant qu'auditeur sécurité, Renaud Feil a rejoint HSC en 2007. Il a acquis une expérience significative dans la réalisation d'audits de sécurité de code source, notamment sur des technologies Web et sur plusieurs frameworks utilisés dans des projets atteignant plusieurs dizaines de milliers de jours / homme de développement. Il a déjà présenté par le passé le résultat de ses recherches lors de la conférence SSTIC et dans le magazine MISC. Il est diplômé du mastère SSIR de l'ENST.

3B - L'opérateur passe au 2.0: la sécurité des réseaux de nouvelle génération

Conférencier : Nicolas Fischbach (Senior Manager, COLT)

Beaucoup d'opérateurs sont en train de modifier des technologies critiques et éprouvées dans leurs réseaux : la voix devient voix sur IP. Les réseaux de transport passent à l'Ethernet et les DSLAMs à IP. La virtualisation progresse jusqu'à devenir un enjeu : réseaux MPLS, VLANs, pare-feux et PBX IP, etc. La convergence est elle aussi en marche.

Quel est l'impact sur la sécurité de ces réseaux de nouvelle génération ? C'est ce que nous allons tenter de présenter.

 

A propos de Nicolas :

Nicolas FISCHBACH est Senior Manager chez COLT Telecom et dirige l'équipe sécurité au sein du département européen d'ingénierie réseau. Il gère Sécurité.Org et est actif au sein du Honeynet Project. Nicolas participe à de nombreuses conférences, publie des articles et donne des cours dans différentes écoles et universités.

Pour plus d'informations: http://www.securite.org/nico/

Quatrième session

4A - Blogs, un concentré de problèmes à l'usage de tous ?

Conférencier : Cédric Blancher (Computer Security Research Team Leader, EADS) et Eric Hazane (Airbus)

2006 aura été l'année des blogs. Bien que la blogosphère existe depuis longtemps, cette année aura vu l'explosion du nombre de ces tribunes ouvertes et la forte médiatisation du phénomène comme de ses
chroniqueurs les plus en vue.
Vus sous l'angle de la sécurité informatique, ces blogs ne sont que de nouvelles applications Web, présentant des failles plus ou moins graves. Au delà de cette simple constatation technique, les blogs, en ce qu'ils offrent une capacité de publication encore inégalée, posent plus largement le problème de la maîtrise de l'information.

 

A propos de Cédric :

Après avoir été consultant en SSI pendant 4 ans, réalisant principalement des audits et tests d'intrusion, Cédric Blancher est aujourd'hui à la tête du Département de Recherche en Sécurité Informatique d'EADS. Ingénieur-chercheur spécialisé sur les problématiques réseau et sans-fil, il est également rédacteur pour MISC conférencier et blogger à ses heures. Il participe en outre à la promotion du logiciel libre en SSI et enseigne en mastères spécialisés.

4B - Passé l'injection, Ajax entre en action

Conférencier : Philippe Humeau (NBS System)

Les utilisateurs sont désormais "éduqués" et le Web est à la fois devenu un outil de travail, une source d'information, mais il présente un intérêt à titre privé. Ces utilisateurs, souvent peu avertis, ont vu leurs vies transformées par l'utilisation croissante du Web. L'émergence de techniques de pointe pour attaquer ces nouveaux consommateurs, ou les entreprises dans lesquelles ils travaillent, par l'intermédiaire du Web devient un axe majeur pour les pirates. Si le Web "2.0", Javascript et Ajax sont des mystères pour eux, les entreprises et leurs dirigeants informatiques doivent eux maitriser ces nouveaux vecteurs de compromission tout à fait réels et efficaces.

 

A propos de Philippe :

Philippe Humeau est l'un des fondateur en 1999 de la société NBS System. Cette société évolue depuis 8 années dans les tests de sécurité, les audits, la conception d'architectures sécurisés, le conseil et l'infogérance. En complément de son travail de consultant, il intervient en tant que conférencier, qu'auteur d'article dans plusieurs magazines et participe à la rédaction de HOWTO publiques concernant la sécurité informatique.