S’il n’y avait pas de vulnérabilités à mettre en face des menaces, il n’y aurait pas de surface d’attaque, donc pas de risque, pas d’incident. Mais, justement, la complexité des systèmes d’information fait que l’existence de vulnérabilités est endémique à ces systèmes. Les vulnérabilités sont au cœur de la sécurité du SI et une des préoccupations principales du RSSI, chargé de renforcer la sécurité des actifs de l’organisme… et des données des personnes physiques.
L’enjeu pour le RSSI est simplement de connaître ces vulnérabilités pour pouvoir les corriger avant que celles-ci ne soient adressées par une menace.
Pour constituer la connaissance de ces vulnérabilités, le RSSI dispose depuis longtemps de plusieurs « outils » comme la veille éditeur, les plateformes de scan de vulnérabilités, les audits techniques et tests d’intrusion. Au cours des dernières années, de nouvelles démarches sont aussi venues enrichir la boîte à outils du RSSI comme le « Red Team » ou le Bug Bounty.
À chaque fois, l’objectif est de connaître ses vulnérabilités pour mieux les corriger ou, au moins, mieux en prioriser la correction.
Au-delà de ça, il est intéressant de se poser la question de la posture à tenir face aux vulnérabilités : ne faut-il pas développer plus largement la possibilité de collecter, en dehors du cadre habituel des Bug Bounties, les vulnérabilités découvertes par les chercheurs en sécurité afin, in fine, de permettre leur communication aux organismes concernés ? Et dans ce cas, quelle structure serait le mieux à même de tenir ce rôle ?
Faut-il être dans une logique de communication ou faut-il, au contraire, limiter celle-ci en partant du principe qu’une non communication permet de limiter le risque ?
Sur ce sujet touchant le cœur de la sécurité opérationnelle des systèmes d’information, le CLUSIF souhaite faire un point complet sur les pratiques et innovations permettant de mieux connaître ses vulnérabilités pour mieux définir comment se protéger.
PROGRAMME
- Jean-Marc GRÉMY (CLUSIF) : Actualités du CLUSIF
- Alain DETELDER (Bouygues Telecom) : Focus sur le GT 5G
- Thierry CHIOFALO (CLUSIF) : Agenda de la conférence
- Olivier PERRAULT (Orange) : RETEX d’un hébergeur Cloud
- Clément DOMINGO aka SaxX (Sopra Steria) : Le Bug Bounty aujourd’hui et demain
- Guillaume VASSAULT-HOULIÈRE (YesWeHack) : La divulgation des vulnérabilités pour fédérer
- Quentin BERDUGO (Dailymotion) : RETEX d’une plateforme Web
- Animation Jean-Marc GREMY (CLUSIF) : Table ronde et Questions-Réponses
- Jean-Marc CERLES (Veolia) : RETEX
- Henri FAVREAU (Bouygues Telecom) : RETEX
- Adrien PETIT (Inquest Risk) : Approche
- Nicolas ANDREU (COFACE) : Red Team
- Laurent BEAUSSART (Vinci Autoroutes) : Red Team
- Mot des sponsors
- Cocktail
