Newsletter Sécurité 20/09 2016, Un individu au teint verdâtre ...

Bonjour,

Vous avez peut-être lu dans la littérature, le plus souvent américaine, des histoires peu valorisantes sur les chasseurs de primes, ces auxiliaires de justice dont le métier est de rechercher des prisonniers évadés ou des libérés conditionnels dont la police a perdu la trace. Très antipathiques, d’un aspect répugnant, au teint verdâtre et au regard mauvais, usant parfois de méthodes à la limite de la légalité, et parfois tout à fait hors la loi, ces chasseurs de prime mettent la main au collet de ceux qu’ils recherchent pour les trainer devant les tribunaux, plus morts que vifs. Parfois le poursuivant ceinture sa victime alors qu’elle joue en famille avec ses enfants, parfois il met en danger la vie de ceux qui sont autour, au moment de l’arrestation. Peu importe pour eux la méthode, seule compte la prime à l’individu maitrisé et ramené.

Il existe, à l’inverse, évoluant comme un prince dans les nuages du cyberespace, une catégorie d’individus située à l’opposé du chasseur de primes. Ce sont des experts haut-niveau, très sympathiques et secourables, pompiers de l’Internet, maitrisant bien les arcanes de la programmation et la complexité de la sécurité des données numériques. Leur métier : le Bug Bounty ou chasseur de failles logicielles. Ils viennent auditer le système d’information de votre organisation, à votre demande, encadrés par un contrat de service solide, pour chercher les failles dans les logiciels que vous exploitez. Ce sont des « hackers éthiques ». Leur modèle commercial est parfois de se faire payer à la faille trouvée. Vous vous en doutez, des failles, ils en trouvent toujours, car vous en avez hélas un paquet chez vous. Ils vous donnent les recommandations indispensables pour les combler avant qu’elles ne soient exploitées par des crackers (au teint verdâtre) qui eux sont loin d’être éthiques

Le Bug Bounty est le thème de notre Lundi de l’IE du mois d’octobre du cercle d’Intelligence Economique du Medef Ile-de-France, le lundi 17 octobre 18h00-20h00, au 10 rue du Débarcadère 75017 Paris (métro Porte Maillot). Deux experts, membres de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information – http://www.arcsi.fr ) animeront ce Lundi de l’IE. L’évènement sera certainement d’une grande qualité car l’ARCSI compte, parmi ses membres, les meilleurs experts nationaux et même au-delà, vue la sélection rigoureuse faite pour intégrer cette vaillante association.

Pour couvrir tous les aspects du Bug Bounty, nous faisons donc intervenir un expert technique, Yassir Kazar, qui a créé sa société de Bug Bounty, Yogosha (qui signifie défense, en Japonais). Et comme le Bug Bounty doit être étroitement encadré par la loi pour éviter les dérives, nous faisons également intervenir une experte juridique, maître Isabelle Landreau, avocate à la cour, au barreau de Paris, du cabinet d’avocats Landreau, docteur en droit et férue du droit des nouvelles technologies de l’Information et de la Communication.

Je leur donne la plume :

« Derrière ce terme tout droit venu des États-Unis, se cache une nouvelle approche de la détection des failles de sécurité informatique : rémunérer une foule de spécialistes à la recherche de failles visibles et invisibles.

Sommes-nous à l’aube de l’ubérisation de l'info-sécurité ? Est-ce juste un autre buzzword de plus qui fera son temps et ira aux oubliettes ? Va-t-il réellement remplacer les tests d’intrusions tels que nous les connaissons ? À quoi faut-il s'attendre en termes de ROI du côté des entreprises ? Jusqu’à quel point le Bug Bounty va modifier l’approche de la sécurité dans les entreprises ? Comment une telle approche peut s’intégrer dans les processus des équipes informatique opérationnelles ?

Quelles sont les limites légales d'une activité rémunérée sur des tests de piratage consenti ? Qui sont ces experts de la faille derrière les différentes plateformes qui existent ? Quel business model acceptable pour des pirates sous contrat ?

Voici quelques-unes des questions et bien d’autres auxquelles nous allons essayer de répondre sans engouement excessif ni dénigrement gratuit de cette activité naissante, afin de donner à tout à l’auditoire les clés nécessaires pour bien appréhender le Bug Bounty. »

Je reprends la plume. 

J’ai goûté, il y a quelques temps, à l’ivresse d’intervenir à la demande de Frédéric Bascuñana, directeur de Cafeine.tv, dans son studio d’enregistrement, sur le sujet «  Les "Advanced Persistent Threats" (APT) frappent partout actuellement », avec Yassir Kazar. Vous pouvez ainsi voir qui est l'un des deux intervenants de notre Lundi de l’IE d’octobre en : http://techtoc.tv/APT-premiere-approche

Pour accéder à la vidéo, il faut juste se créer un compte sur Cafeine.tv, pour cela la saisie de vos coordonnées suffit.

Dans cette même demi-journée, une autre table ronde sur le sujet « Le secret des affaires : vers la reconnaissance d'un actif immatériel stratégique ? » donnait la parole à maître Isabelle Landreau, la deuxième intervenante du Lundi de l’IE d’octobre. C’est en :

http://cafeine.tv/event/7323/intelligence-economique/intelligence-economique/le-secret-des-affaires

C’est là que je me suis dit « ces deux ARCSIstes feront merveille dans un Lundi de l’IE sur le Bug Bounty en 2016». C’est pour le lundi 17 octobre, 18h00-20h00, évènement gratuit, inscription en :

http://www.medef92.fr/lundi-de-lie-bug-bounty.html

Réservez aussi sur vos agendas le mercredi 16 novembre pour les 10es rencontres de l’ARCSI qui se feront à l’École du Val de Grace 75005 Paris, sur une journée, avec un programme autour de la dépendance au numérique. Pour présenter ce thème, sont prévus des intervenants qui vous décoifferont. Évènement gratuit, ouvert aussi aux non ARCSIstes, dans la limite des places disponibles. Je vous donnerai plus de détails sur cette journée dans mes prochaines lettres. Les inscriptions sont ouvertes sur http://www.arcsi.fr/inscription-colloque-161116/form.html.

Dernière chose (pour cette lettre), dans le cadre de l’ARCSI, nous recevons une très intéressante lettre d’information sur la cybersécurité et la cyberdéfense, construite par notre camarade Lionel Guillet. Si vous souhaitez recevoir régulièrement cette lettre, demandez-lui, par email de vous inclure dans ses listes : guillet.lionel@gmail.com.

À bientôt

Gérard Peliks, président de l’atelier sécurité et VP de Forum ATENA

 

AGENDA de septembre et octobre 2016

  • Mercredi 28 septembre 9h00 à 12h30 : Medef national, avenue Bosquet Paris 7e, conférence CES - 3 : What’s NEXT ? en prélude au CES (Consumer Electronics Show) 2017 - Las Vegas. Sur invitation. Contact : Xavier DALLOZ <dalloz@dalloz.com>
  • Lundi 17 octobre 18h00 à 20h00 : 10 rue du débarcadère Paris, Lundi de l’IE  d’octobre – Le Bug Bounty ou la recherche de failles dans les applications des clients, dans le cadre de la loi, avec maître Isabelle Landreau et Yassir Kazar. Inscription en http://www.medef92.fr/lundi-de-lie-bug-bounty.html
  • Mercredi 19 octobre 19h00-22h00 : Dîner networking de Forum ATENA, au Sénat autour de Patrick Chaise, sénateur de l’Ain et président de l’AVICCA (Association des villes et collectivités pour les communications électroniques et l'audiovisuel) http://www.forumatena.org/diner-networking-patrick-chaize-avicca