APPEL A CONTRIBUTION

En amont de chaque conférence, le CLUSIF lance un appel à contribution à l’ensemble de la communauté de la sécurité de l’information.

Dans la philosophie de l’association, nous vous invitons à nous faire part de vos propositions (i.e. retour d’expérience, promotion d’une démarche) et à diffuser cet appel au sein de vos réseaux – Présentations non commerciales exigées.

18 octobre 2018

Evaluer la solidité de son SI : pratiques et valeur ajoutée
(du bug bounty à l’audit technique : connaitre ses vulnérabilités pour mieux se protéger)

 

S’il n’y avait pas de vulnérabilités à mettre en face des menaces, il n’y aurait pas de surface d’attaque, donc pas de risque, pas d’incident. Mais, justement, la complexité des systèmes d’information fait que l’existence de vulnérabilités est endémique à ces systèmes. Les vulnérabilités sont au cœur de la sécurité du SI et une des préoccupations principales du RSSI, chargé de renforcer la sécurité des actifs de l’organisme… et des données des personnes physiques.

L’enjeu pour le RSSI est simplement de connaitre ces vulnérabilités pour pouvoir les corriger avant que celles-ci ne soient adressées par une menace.

Pour constituer la connaissance de ces vulnérabilités, le RSSI dispose depuis longtemps de plusieurs « outils » comme la veille éditeur, les plateformes de scan de vulnérabilités, les audits techniques et tests d’intrusion. Au cours des dernières années, de nouvelles démarches sont aussi venues enrichir la boite à outils du RSSI comme le « Red Team » ou le Bug bounty.

A chaque fois, l’objectif est de connaitre ses vulnérabilités pour mieux les corriger ou, au moins, mieux en prioriser la correction.

Au-delà de ça, il est intéressant de se poser la question de la posture à tenir face aux vulnérabilités : ne faut-il pas développer plus largement la possibilité de collecter, en dehors du cadre habituel des Bug Bounties,  les vulnérabilités découvertes par les chercheurs en sécurité afin, in fine, de permettre leur communication aux organismes concernés ? Et dans ce cas, quelle structure serait le mieux à même de tenir ce rôle ? 

Faut-il être dans une logique de communication ou faut-il, au contraire, limiter celle-ci en partant du principe qu’une non communication permet de limiter le risque ?  

Sur ce sujet touchant le cœur de la sécurité opérationnelle des systèmes d’information, le CLUSIF souhaite faire un point complet sur les pratiques et innovations permettant de mieux connaitre ses vulnérabilités pour mieux définir comment se protéger. Ce point s’appuiera sur vos contributions qui favoriseront les retours d’expérience et pourront, par exemple mais pas uniquement, développer les thèmes suivants :

  • Les apports des nouvelles démarches
  • Les coûts associés
  • Quel mix de méthodes pour connaitre ses vulnérabilités
  • Comment développer la communication entre découvreurs de vulnérabilités et porteurs de celles-ci
  • Etc.

Nous sollicitons l’ensemble de nos membres dans cet Appel à Contribution. Fidèle à l’esprit du CLUSIF, nous vous encourageons à proposer des retours d’expérience, démarches de mise en œuvre ou de conception singulière de la thématique.

Le CLUSIF vous invite à diffuser cet Appel à Contribution au sein de vos réseaux. Si vous pensez à un autre aspect de cette thématique et qui mériterait un traitement, n’hésitez pas à nous en faire part. 

Présentations non commerciales exigées

Soumettre une proposition

Infos pratiques

Date : jeudi 18 octobre 2018 à 16h
Lieu : Paris 9e
Format : une intervention dans les conférences du CLUSIF est d’une durée de 20 minutes, filmée et diffusée sur le site web du CLUSIF. Si vous ne souhaitez pas être filmé, veuillez le préciser dans votre proposition d’intervention.
Date limite de réponse : lundi 17 septembre 2018 (acte de volontariat, synthèse de votre intervention en 3-5 lignes, coordonnées complètes de l’intervenant). Le comité d’organisation des conférences arbitrera les choix des interventions dans la semaine
Présentation définitive à fournir : jeudi 11 octobre 2018 au plus tard
Proposition à soumettre via le formulaire ou à envoyer à l’adresse conferences@clusif.fr.