La communauté Cybersécurité de Telecom Valley, en partenariat avec l’ANSSI, la CCI Côte d’Azur, le Clusir PACA, la Gendarmerie Nationale et l’INRIA, présente, dans le cadre du mois européen de la cybersécurité
Sophia Security Camp 2019
atelier & conference
« Security by design »
« Sécurité dès la conception »
Mardi 8 octobre 2019
Inria Sophia Antipolis
2004 route des Lucioles
06410 Sophia Antipolis
Programme
13h45 : Accueil
14h : TABLE RONDE « LES MENACES MOBILES »
17h30 : Accueil conférence
18h00 : conférence "Sécurité dès la conception"
18: 00
Moise MOYAL
EN SAVOIR PLUS
18: 20
La sécurité dans le cycle de vie du développement logiciel: un changement culturel par David MANSUTTI
EN SAVOIR PLUS
La réussite de la gestion de la sécurité dans le cycle de vie de nos logiciels s’est articulée autour des points suivants: * évangélisation de la sécurité dans les logiciels au travers de formations obligatoires pour l’ensemble du personnel R&D * la définition d’un plan sécurité s’intégrant dans le plan projet avec ses propres jalons tout au long du cycle de vie du logiciel (cycle en V ou agile) * l’identification des risques de sécurité comme partie intégrante de la phase de conception * l’introduction du rôle de « security officer » garant du respect du plan sécurité pour chaque logiciel * la mise en place d’une équipe sécurité ainsi que d’une communauté interne * la définition d’exigences de sécurité sur tout logiciel produit par la R&D * la mise en place d’une équipe de gestion de crise de sécurité Cette approche nous a permis de bâtir une culture de la sécurité au sein de la R&D et de faire en sorte que chaque personne détienne une partie de de la réponse pour sécuriser nos logiciels. Tous les développeurs ont désormais le réflexe d’intégrer les aspects sécurité dès la phase de conception voire en amont de celle-ci. La comparaison d’un projet mené suivant cette nouvelle approche versus un projet ou toute la sécurité est à rajouter après la disponibilité du logiciel a mis en évidence outre des gains de temps et de cout, les aspects suivants: * la sécurité joue un rôle essentiel dans le choix des technologies utilisées * le client se sent en confiance face a un discours clair et maitrise sur la sécurité du logiciel qu’il acheté * connaitre les risques de sécurité au plus tôt permet des choix et des décisions bases sur ces risques lors de la conception * les procédures et les jalons sécurité permettent de gérer la sécurité comme toute autre fonctionnalité du logiciel
18: 40
SPbD @ IBM France Lab par Patrick MERLIN
EN SAVOIR PLUS
Mise en place du Process SPbD dans les différentes équipes de developpement au Lab R&D d’IBM (PAris , Sophia …) SPbD -Threat Model -Code Scan (SAST, DAST, IAST, Other) -Security Tests -Pen Test (internal vs external) -Vulnerability management SPbY on legacy code VS new software
19: 00
Sécurité by design + Cloud = Infrastructure as Code par Sergio LOURIERO
EN SAVOIR PLUS
Aujourd’hui tout doit etre programmable et automatisé. Pour implementer Sécurité by design en utilisant le cloud, nous devons specifier aussi l’infrastructure dans le cycle de development et integration (CI/CD), ce qu’on appele Infrastructure as Code. L’intervention montrera comment nous avons fait cette demarche avec le deploiement de nos solutions sur AWS et Azure.
19: 20
Pourquoi implémenter la security by design ? par Baka DIOP
EN SAVOIR PLUS
Intégrer la sécurité dès sa conception est un moyen de gagner en efficacité et de mieux protéger son SI. La mise en place du modèle répond à un certain besoin de plus en plus en croissance face aux nombreuses attaques et à la rareté de la main d’oeuvre d’experts sur le sujet. L’objectif principal est de faire un retour d’expérience découlant des diverses mises en place faites et de pouvoir répondre aux inquiétudes et interrogations des différents acteurs et personnes interéssés sur la mise en place.
19: 40
Cyber-menaces et cyber-préjudices : regards croisés par Gilles DESOBLIN & Reda YAICH
EN SAVOIR PLUS
La transformation numérique expose toutes les organisations (entreprises, usines, collectivités…) à de nouvelles menaces de sécurité numérique.
Nous présenterons brièvement les typologies d’attaques, l’ampleur et la nature des préjudices subis par les véhicules connectés. Nous évoquerons également les pistes pour limiter l’exposition aux risques de cyber-attaques.
20: 00
Une introduction à la sécurité sur mobile, par Bruno MUSSARD
EN SAVOIR PLUS
Enumérer les principaux problèmes de sécurité sur platforme mobile Définir les bonnes pratiques et les méthodes d’evaluation sécuritaire
Cocktail networking
Intervenants
Moise Moyal
Délégué à la Sécurité Numérique ANSSI - Région PACA
A propos
Patrick MERLIN
ODM/DBA Cloud Security Focal - IBM
A propos
Patrick MERLIN (plus de 20 ans d’expérience chez des fournisseurs d’accès Internet & éditeurs logiciels) est entré dans le Lab R&D d’IBM France suite au rachat d’ILOG en tant qu’expert réseau et sécurité. Après un passage dans l’équipe business controls pour vérifier la conformité des serveurs & postes de travail, il a rejoint les équipes de développement du produit Operational Decision Manager lors de sa « cloudification ». Le projet RGDP a débouché sur la mise en place de Security Privacy by Design dans les labs de développement. Nous verrons l’application du SPbD sur le produit existant ODM versus les nouveaux produits développés au lab.
Sergio LOUREIRO
Directeur Produit Cloud&Containers - OUTPOST24
A propos
Sergio est actuellement Directeur Produits chez Outpost24 après l’acquisition de SecludIT, start-up qu’il a fondé en 2011. Sergio est un des auteurs du document fondateur du CSA et du papier “A Security Analysis of Amazon’s EC2 Service” publié dans la conférence ACM SAC 2012. Il a occupé des postes de direction au sein de 2 start-ups où il a été responsable de produits et de services de sécurité de courrier électronique ainsi que de passerelles sécurisées. Sergio est titulaire d’un doctorat de l’ENST Paris, et d’un MSc de l’université de Porto (FEUP). Ses travaux ont abouti à 4 brevets.
Baka DIOP
Technical Lead Sécurité Applicative - SQUAD
A propos
Gilles DESOBLIN
Directeur Sécurité Numérique et Défence - IRT SystemX
A propos
Au sein de la direction Stratégie et Programmes de l’IRT SystemX, Gilles s’implique dans l’écosystème national, contribue à la feuille de route de l’institut en association avec les partenaires académiques et industriels, et développe les affaires qui visent notamment à améliorer la résilience des infrastructures numériques exposées aux cyber-risques. Dans ce cadre, il prospecte et construit des projets de R&D multi-partenaires, en optimisant l’exploitation des résultats et l’impact sur l’ensemble de l’écosystème. Gilles possède plus de 25 ans d’expérience dans le management de l’innovation au sein d’entreprises multinationales dans les domaines de la défense, des télécommunications et des technologies numériques pour l’industrie des médias.
Reda YAICH
Cybersecurity team Manager - IRT SystemX
A propos
Reda Yaich est Ingénieur-Docteur en Informatique. Il est titulaire d’un doctorat de l’école des Mines de Saint-Etienne et d’un Master Recherche de l’Université Paris-Sud. Son domaine d’expertise couvre différents domaines de la cybersécurité, tels que l’autorisation, le contrôle d’accès et la détection d’intrusion. Reda a également une grande expertise en intelligence artificielle, notamment dans les mécanismes de décision décentralisés et les systèmes multi-agents. Reda a participé/piloté plusieurs projets nationaux (ANR, PIA, Régionaux, RAPID, etc.) et européens (FP7, COST, H2020, etc) et possède une longue expérience dans l’enseignement dans de nombreuses universités (Université de Saint-Etienne, Université de Lyon) et écoles d’ingénieurs (ENS Mines de Saint-Etienne, Telecom Bretagne, IMT Atlantique, ENSIBS, Telecom SudParis). En 2018, Reda a rejoint l’IRT SystemX en tant que Chercheur Sénior. Il occupe également le poste de responsable d’équipe « sécurité numérique ».
Bruno MUSSARD
Subject Matter Expert - UL
A propos
Innovation is at the heart of today’s products and services. My motivation is to lead and to manage programs, projects and teams for the IT, Security & Semiconductor industry.
Expertise in Technology Watch, Program & Project Management, Security and Power Electronics.
Mohamed FANGAR
Security Manager & PCI Internal assessor - Amadeus
A propos
Je suis chef de projet Cybersécurité chez Amadeus, je fais partie du Security Office de l’unité SGB, en charge des produits stratégiques à fort potentiel de croissance. Je m’assure que les produits de mon unité respectent les règles de sécurité, conformité et de confidentialité définie dans l’entreprise. Je suis aussi PCI ISA, et fais donc parti des PCI auditeur de l’entreprise. J’ai rejoint Amadeus en 2012 en tant qu’ingénieur logiciel, j’ai travaillé sur plusieurs solutions dont les solutions de paiement.
David DOCQUIER
Security Subject Matter Expert - FIDENS
A propos
David Docquier est consultant en sécurité des systèmes d’information depuis 12 ans au sein de Fidens. Il a pris la direction de l’Agence Fidens Sud en 2018.
Auditeur certifié ISO 27001 Lead Auditor et Implementer, ainsi que ISO 27005 Risk Manager, ses domaines d’excellence sont l’analyse de risques EBIOS RM/ISO 27005, ainsi que les audits organisationnels et techniques.
Il accompagne de nombreuses structures à la certification ISO 27001 :2013, en mettant en œuvre des systèmes de management de la sécurité conformes à la norme. Conscient des problématiques et des coûts engendrés par la mitigation du risque à postériori, il prône l’intégration de la sécurité ‘by design’ dans les systèmes de management, dont l’applicabilité dépasse amplement le périmètre R&D.
David MANSUTTI
Software Architect Security Champion CI/CD Champion - GEMALTO
A propos
Je suis architecte logiciel chez Gemalto et travaille actuellement sur les futurs produits de leur branche Télécom. Je suis également le garant du respect des normes sécurités des produits Télécoms conçus et développés à Sophia-Antipolis. Avant celà, j’ai travaillé dans des groupes d’innovations, de préventes techniques, de recherches et développements dans les Télécoms. Curieux, fort de mon expérience de plus de 20 ans dans les Télécoms et adepte des nouvelles technologies, je contribue également à la veille technologique et à l’introduction de nouveaux modèles et composants dans nos produits et nos procédures.
Animé par
sponsors
Accès
Inria Sophia Antipolis
2004 Route des Lucioles
Espace Kahn
06410 SOPHIA ANTIPOLIS
Préparez votre déplacement,
covoiturez avec l’appli Ridygo !
C’est tout simple !
• Téléchargez gratuitement l’application mobile, web ou PC Ridygo, créez un compte et inscrivez-vous dans la communauté dédiée aux événements « Telecom Valley »,
• Planifiez votre trajet pour l’événement à l’avance ou le jour-J en spécifiant si vous êtes conducteur ou passager,
• Partagez vos frais et soyez gagnant sur le plan économique et écologique !
Pour en savoir plus sur le fonctionnement de l’application, visionnez la vidéo :