Cybersécurité All Day

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

La gestion des conflits managériaux | #69

Thu, 18 Dec 2025 12:33:51 +0000

Seconde partie de mon échange avec Cédric LEJAULT, RSSI chez Securitas Technology France.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:59) - Les conflits managériaux. Ce qui fait qu’un compromis soit bon. Faire son propre calcul d’emm*rdes

(06:26) - Un exemple réel de Cédric, dans lequel il a dû licencier une personne qui pensait être performante, mais qui ne l'était pas. Ses conseils dans ce genre de situations

(11:30) - Second exemple. Les RH qui lui ont demandé d'intervenir dans un cadre non hiérarchique (d'une personne du service informatique d’un autre site)

(15:27) - Prendre des décisions difficiles, dans la nuance, ce sont surtout des choix stratégiques

(17:17) - La gestion de la politique interne. La proximité avec le siège ou du décideur général

(19:54) - Tout le monde ne peut pas monter. Certains n'ont pas d'avenir, car trop impliqués, d'autres car trop honnêtes

(26:06) - Savoir plébisciter les personnes qui le méritent (et savoir soi-même se mettre parfois en avant de temps en temps)

(30:01) - "La récompense ce n'est vraiment pas facile à mesurer quand on manage"

(31:20) - Comment Cédric gère la pression, la gestion des conflits, etc

✴️ Retrouver Cédric LEJAULT

LinkedIn : https://bit.ly/4qH6VPc

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Gérer une équipe : émotions, relations et décisions difficiles | #68

Tue, 04 Nov 2025 11:40:45 +0000

Première partie de mon échange avec Cédric LEJAULT, RSSI chez Securitas Technology France.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:18) - Cédric se présente. Pourquoi son expérience est pertinente par rapport au sujet du jour

(06:51) - Penser à l’image que l’on laisse. Gérer les collaborateurs en tant que RSSI, ce sont toutes des relations différentes, relations hiérarchiques vs fonctionnelles, son expérience d’avoir dû licencier des personnes, et d'autres exemples

(13:20) - L’importance du partage des indicateurs (dans la mesure du possible). Que tout le monde sache dans une équipe, pourquoi un tel va favoriser ce projet par rapport à l'autre

(14:31) - Développer son intelligence émotionnelle pour "lire les situations", “read the room”

(21:21) - Susciter les émotions, les leviers émotionnels. Comprendre le réseau d’influence / de confiance sur le pilotage d’une équipe

(26:14) - “Savoir diviser pour mieux régner, car manager c’est de prendre des décisions difficiles au quotidien”. Manager ce n’est pas tout beau tout rose

(28:30) - Sa vision, depuis le point de vue d’un RSSI en particulier. Donnant / Donnant ? Donner du temps, pour le court terme (transactionnel), ou sur la durée (du ‘développement, de la capitalisation”)

✴️ Retrouver Cédric LEJAULT

LinkedIn : https://bit.ly/4qH6VPc

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Identité numérique : pourquoi et comment se protéger | #67

Wed, 06 Aug 2025 10:20:46 +0000

Seconde partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:24) - Tips variés (paiements en physique, comptes jetables, identités fictives numériques, et plus)

(06:08) - On donne une partie de notre identité en ligne à chaque fois. Dans le futur, il serait possible de cartographier un pays

(07:21) - Exemple d’une différence culturelle entre la France (donner ses infos pour acheter une carte SIM) et l'Angleterre (achat d'une carte SIM dans un supermarché et payer à la caisse comme pour achat normal)

(10:36) - Comment créer un alter ego : pour recevoir du courrier + l’une des techniques que les fraudeurs utilisent avec des adresses de livraison. À propos des numéros de téléphone et des comptes bancaires.

(15:12) - Les tickets commerçants et des informations qui sont parfois visibles sur ceux-ci, si leur TPE n’est pas à jour

(19:06) - Hunter Cat (détecteur de cartes à puce / détecteur de skimmers)

(21:50) - Avoir un second numéro de téléphone, service On/Off, carte SIM différente

(23:12) - Comment créer un alter ego : dans quel niveau de détail, les sites de type fake person generator ou fakexy, l'outil Epieos

(27:13) - Comment se lancer pour faire un audit de son identité numérique

(31:04) - Comment créer un alter ego : “lui” créer une vie, l’exemple d’une identité fictive “Madame Michu”

(34:15) - Ne pas partager ses vraies informations si ce n’est pas nécessaire ou pas important (au contraire des impôts ou de sa banque par exemple, avec qui c’est important de le faire) + d'autres tips

(39:04) - En quoi l’Espagne est-elle beaucoup plus avancée dans la lutte contre la fraude

(44:22) - L’idée à retenir

✴️ Retrouver Jonathan SPEDALE

LinkedIn : https://bit.ly/4lsyvw1

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Dataleak, que ce passe-t-il ensuite ? | #66

Tue, 01 Jul 2025 06:45:59 +0000

Première partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:52) - Jonathan se présente

(04:38) - Personne ne fait de la veille sur les sujets de fraude

(06:00) - L’ubérisation de la fraude, la fraude à la TVA, la fraude au retour / au refund, à propos des dataleaks

(08:37) - Frauder est devenu plus accessible. Des "catalogues" de données volées

(10:58) - On entends peu parler ce dont à quoi les données qui ont fuitées ont servies. La partie “submergée” de la fraude dont on entend peu parler. L'exemple de la fuite de données de Free.

(14:38) - N’importe quelle information peut servir. L’exemple de la composition famille et des arbres généalogiques

(18:22) - L’aspect temporel de certaines données qui ont fuitées

(20:58) - La fraude ne concerne pas que des petits montants + Beaucoup de sociétés n’ont pas évolué, l’exemple de la fraude d’un bon d’achat dans un Drive, les bons de parrainage

(24:50) - Ce qui m'a attiré sur le profil de Jonathan, c'est la partie pratique. En effet, il teste le parcours des fraudeurs + explications de son process.

(29:28) - L’exemple du premier contrat qu’il a eu, tester un outil de lutte contre la fraude documentaire

(30:49) - Des données inutilisables aujourd’hui, pourraient être utiles dans des nouvelles méthodes de fraude

Les fraudeurs recyclent. L’humain est trop souvent impressionnable.

(33:16) - Il faut comparer un fraudeur à un magicien

(37:40) - Le mot de la fin

✴️ Retrouver Jonathan SPEDALE

LinkedIn : https://bit.ly/4lsyvw1

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

NIS2 - Le règlement d'exécution relatif aux entités et réseaux critiques | #65

Tue, 27 May 2025 10:40:00 +0000

Troisième et dernière partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:51) - Le règlement d'exécution relatif aux entités et réseaux

(02:05) - Le problème des attaques de supply chain - Exemple de l’affaire SolarWinds

(04:00) - “REX NIS2”, qui est concerné ?

(07:49) - 10 mesures opérationnelles + le premier exemple

(11:10) - Deuxième exemple : Politique de gestion des risques

(14:01) - L'obligation de notifier

(16:35) - La mise en conformité des prestataires critiques + Sanctions et responsabilités

(19:57) - Le discours de l’ANSSI vs ce que les entreprises ont entendues (la stratégie du contournement)

(22:48) - Une petite conclusion

(26:00) - ”Faut-il diluer NIS2 dans du vin blanc?” La réalité du discours. Nos dirigeants, sont-ils préparés à ce chantier ?

(31:26) - À propos de la documentation

(33:57) - Liens utiles

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

NIS2 - Les mesures techniques du projet de décret ANSSI | #64

Tue, 29 Apr 2025 10:45:00 +0000

Seconde partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:30) - NIS2, c’est pour quand ? + Est-ce aux entités régulées de mettre leurs prestataires au carré ?

(05:45) - Quel calendrier de transposition en France ?

(07:21) - Le projet de décret ANSSI, 42 pages, 20 mesures techniques très détaillés + résumé de ces mesures + Mesures 1 à 10

(18:23) - Mesures 11 à 20

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

NIS2 : c'est quoi, pourquoi, pour qui ? | #63

Wed, 26 Feb 2025 11:39:00 +0000

Première partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:19) - Marc-Antoine se présente (Avocat dans la cyber + Contributeur à NoLimitSecu)

(04:35) - Podcast différent aujourd’hui, le support visuel complémentaire + L'anecdote derrière les slides en dessin (et les images en général) utilisés par Marc-Antoine

(07:52) - Rapide retour sur NIS1, pourquoi ça échoué, et pourquoi NIS2 serait donc un succès sachant que le périmètre est beaucoup plus large

(11:16) - Pourquoi en sommes nous où nous sommes aujourd’hui ?

(14:58) - L’autre problème quand il y a une nouvelle loi obligatoire en France : le réflexe de la stratégie du contournement + le “Pipo Bingo” tenu par Marc-Antoine et sa collaboratrice

(17:15) - Le changement de stratégie de l’EU

(21:38) - Le concept de NIS2 + l’aspect de documentation

(26:56) - Les 3 piliers indissociables

(28:13) - (Slides 32 à 34) Qui sont les entreprises concernées par NIS2 ?

(29:47) - Pour comprendre le nombre d’entreprises concernées par NIS2 : les deux problèmes de NIS1

(32:28) - (Slide 36) Comprendre NIS2 - Les secteurs hautement critiques (annexe I), les autres secteurs critiques (annexe II)

(36:03) - Le principe de l’auto-désignation

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

PCI DSS - Les mythes & le parcours d’obtention | #62

Tue, 14 Jan 2025 11:55:00 +0000

Seconde partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:51) - Mythe 1 : “J’utilise des partenaires certifiés PCI DSS, donc je suis certifié PCI DSS”

(03:04) - Quand un partenaire est certifié PCI DSS il faut comprendre sur quel périmètre

(05:45) - Il y a 2 types de partenaires : des prestataires certifiés PCI DSS, des prestataires qui ne le sont pas

(08:09) - Mythe 2 : “La PCI DSS ne se résume qu'à de la technique”

Parcours d’obtention de la certification :

(10:28) - 1/ Comment se mettre en conformité et les 2 questions à se poser à cette étape. Le CDE, etc

(12:19) - Un moyen de diminuer le périmètre de certification

(13:08) - Analyse d'écart (gap analysis)

(14:10) - 2 / Comment obtenir la certification, comment celle-ci se déroule

(16:38) - L’aspect du renouvellement et l’importance pour une entreprise de maintenir sa certification

(19:03) - La problématique de trouver un juste-milieu entre le niveau de sécurité requis par la norme et le niveau de sécurité cohérent en rapport à ses activités, sans que cela ne perturbe la productivité

(21:24) - Les aspects de l’assurance et des responsabilités en cas de compromission de cartes bancaires

(23:47) - Il est important d’avoir un vrai sponsor en interne pour mobiliser toutes les équipes, pour s’assurer d’obtenir le renouvellement de sa certification

(25:14) - La PCI DSS et sa relation avec les autres normes PCI

(28:46) - Le mot de la fin de Kévin

(30:26) - La PCI DSS n’est pas une exigence réglementaire, c’est une exigence contractuelle

✴️ Retrouver Kévin DEJOUR

LinkedIn : https://bit.ly/3CzUCj7

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Échange avec un ancien RSSI. Aujourd'hui auditeur PCI DSS (QSA) | #61

Thu, 21 Nov 2024 12:13:00 +0000

Première partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:06) - La force de l'expérience de Kévin, qui avait été audité sur l'aspect PCI DSS quand il était RSSI et qui maintenant est auditeur PCI DSS.

(02:44) - Où se place la PCI DSS en termes de difficulté d’obtention.

(04:29) - L’obtention de la PCI DSS n’est pas liée à l'appréciation de l’auditeur + ce qui en fait son avantage.

(06:28) - Les concepts de base de la PCI DSS. Pourquoi elle a été créée, pour quels acteurs, etc. Les programmes de sécurité des schemes (Visa, Mastercard, etc).

(09:10) - Selon Kévin, pourquoi le nombre de transactions par niveau est différent selon les schemes (ex: Visa, 6M pour le niveau 1, alors qu'AMEX c'est 2.5M).

(11:13) - La PCI DSS, les 2 types d'entités qui se font auditer: les fournisseurs des services et les commerçants. Les distinctions à faire.

(13:26) - Les différences principales entre le niveau 1 et les autres niveaux.

(15:40) - Kévin démystifie le jargon principal associé (ROC, SAQ, PAN, etc).

(19:30) - Les principaux chapitres de la PCI DSS (parmi les 12).

(23:39) - De son expérience d'auditeur PCI DSS : les principales raisons pour lesquelles une certification n'est pas obtenue par une entreprise

(27:01) - Les quatre occurrences de scan dans l'année. L’obtention de la certification, et son renouvellement.

(28:07) - Être certifié PCI DSS, comment (si c'est le cas), cela influe sur la sélection des outils de sécurité.

(30:12) - Les nouveautés de la PCI DSS v4.0.

(33:41) - L'un des changements les plus compliqués de la PCI DSS v4.0

(34:53) - La deuxième nouveauté qui s’applique aussi au ecommerce: des tests de sécurité pour détecter l’insertion de skimmers dans une page de paiement.

✴️ Retrouver Kévin DEJOUR

LinkedIn : https://bit.ly/3CzUCj7

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Quantification des risques cyber : comment commencer ? | #60

Wed, 23 Oct 2024 11:17:00 +0000

Seconde partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:47) - Établir un programme de quantification : les étapes à court terme et à long terme.

(07:29) - Les synergies entre les méthodes FAIR & EBIOS RM.

(12:15) - Quand utiliser FAIR vs quand utiliser EBIOS RM.

(15:15) - Comment maintenir son programme de quantification.

(18:33) - Les problématiques de cohérence.

(21:38) - Appel d’offres : comment choisir le bon acteur.

(25:33) - Réconcilier le risque, et la mesure de sécurité associée.

(30:08) - L’approche personnelle de Matthias, qui valorise les données de CTI et de sécurité opérationnelle dans les modèles de risque.

(33:53) - Les 2 messages de Matthias.

✴️ Retrouver Matthias POUYANNE

LinkedIn : https://bit.ly/3AMUSun

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Quantifier un risque cyber pour mesurer son exposition financière | #59

Wed, 04 Sep 2024 10:21:00 +0000

Première partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:50) - Matthias se présente

(04:08) - Les origines & l'histoire de la quantification cyber + à ce dont ce sujet va servir au cours des prochaines années

(07:18) - Quand le risque a évolué plus rapidement que les mesures de sécurité mises en place

(10:33) - Personas : qui peut et/ou devrait être inclus dans ce sujet ? le DAF, le CISO, le Risk Manager ?

(13:00) - Les autres métriques (autres que financières) associées & utilisées

(16:29) - L’un des cas d’utilisations: la négociation de la police d’assurance

(21:19) - La validité temporelle d’une quantification à travers la méthode FAIR. Les métriques utilisées dans cette méthode

(24:17) - Quelles autres méthodes similaires à FAIR?

(26:17) - Une deuxième alternative à FAIR

(27:44) - Quelle maturité est nécessaire ? À quel type d’entreprise s’adresse la méthode FAIR? + la principale value ajoutée pour les entreprises qui manquent de maturité

(31:53) - La quantification sera bientôt un sujet de conformité

✴️ Retrouver Matthias POUYANNE

LinkedIn : https://bit.ly/3AMUSun

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Michael

Mener une reconstruction post cyberattaque (Partie 2/2) | #58

Thu, 20 Jun 2024 10:27:47 +0000

Seconde partie de mon échange avec Lucie POIRAUD, RSSI Opérationnelle chez le Groupe Atlantic.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:52) - Début du podcast + certes, même si subir une cyberattaque est une expérience négative, peut-elle être mise en avant lors de sa candidature pour de futurs rôles ?

(03:52) - Dans la crise, on découvre des personnalités (des champion(e)s, des gens qui ont envie d’aider, etc)

(06:32) - Il y’a très peu d’outils pour comprendre et pour évaluer les dommages d'une cyberattaque sur les salariés. Quel accompagnement avait été fait chez le Groupe Atlantic ?

(09:09) - Les quicks wins qui ont été mises en place + les recommandations de Lucie

(12:55) - Post cyberattaque: les actions de sensibilisation qui ont été mises en place

(22:51) - Les podcasts en interne, un autre canal de communication important + la participation de Lucie à ce premier podcast interne chez le Groupe Atlantic

(24:41) - Le mot de la fin

✴️ Retrouver Lucie POIRAUD

LinkedIn : https://bit.ly/3VjNlLf

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Mener une reconstruction post cyberattaque (Partie 1/2) | #57

Thu, 30 May 2024 11:24:00 +0000

Première partie de mon échange avec Lucie POIRAUD, RSSI Opérationnelle chez le Groupe Atlantic.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:59) - Début du podcast + Lucie se présente

(02:29) - Contexte du Groupe Atlantic

(04:44) - Chronologie de la cyberattaque qui a touché le Groupe Atlantic fin 2020

(09:25) - Le périmètre qui a été touché

(10:51) - Les actions qui ont été mises en place sur du court terme

(12:40) - Repartir vite oui, mais, avec le plus de “confiance” possible

(16:13) - L’aspect de communication (interne et externe), les leçons tirées, et plus

(21:24) - Recommandations. Les actions de durcissement et autres actions pour réduire le risque de subir de ce genre d'attaque

(25:32) - Les premiers jours, les premières semaines. Créer une task force, etc.

(28:14) - Effets psychologiques : comment elle l’a vécue à l'époque en tant que Ingénieure Systeme, Réseaux et Sécurité.

(32:57) - Effets psychologiques : comment elle le vivrait aujourd'hui, maintenant qu'elle est RSSI depuis plus de 3 ans

✴️ Retrouver Lucie POIRAUD

LinkedIn : https://bit.ly/3VjNlLf

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

RETEX - Formation continue & certifications en cybersécurité. Partie 2/2 | #56

Thu, 04 Apr 2024 10:50:35 +0000

Seconde partie de mon échange avec Paul VARELA, Expert cyber dans le domaine du spatial.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✴️ Retrouver Paul VARELA

LinkedIn : ici

✴️ Me retrouver

LinkedIn : ici

Site web : ici

Michael

RETEX - Formation continue & certifications en cybersécurité. Partie 1/2 | #55

Wed, 07 Feb 2024 09:28:00 +0000

Première partie de mon échange avec Paul VARELA, Expert cyber dans le domaine du spatial.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✴️ Retrouver Paul VARELA

LinkedIn : ici

✴️ Me retrouver

LinkedIn : ici

Site web : ici

Michael

Hackers Without Borders (HWB). Sans filtre. Partie 2/2 | #54

Thu, 21 Dec 2023 12:13:00 +0000

Seconde partie de mon échange Karim LAMOURI, Président de Hackers Without Borders (HWB).

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✴️ Retrouver Karim LAMOURI

LinkedIn : ici

✴️ Me retrouver

LinkedIn : ici

Site web : ici

Michael

Hackers Without Borders (HWB). Sans filtre. Partie 1/2 | #53

Wed, 06 Dec 2023 11:23:00 +0000

Première partie de mon échange Karim LAMOURI, Président de Hackers Without Borders (HWB).

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:56) - La mission statement de l’ONG Hackers Without Borders (HWB) ; Pourquoi ils font le choix de rester discrets à propos de leurs actions.

(04:42) - Vouloir apporter sa petite pierre à l’édifice ; Pourquoi ils ont créé cette ONG et la particularité de HWB ; La moitié des métiers de la cyber ne sont pas techniques, donc il y’a un besoin de gérer et de manager toute la scène cyber.

(07:16) - Un modèle différent des autres ONG ; Des ONG “concurrentes” dans le bien, qui ne le sont pas vraiment car les missions de chacune sont très complémentaires.

(09:57) - Le modèle qu’ils ont choisi chez HWB ; Pourquoi et comment, ils mettent en place des actions de paix sans financement externe (par exemple, ils n’ont pas de compte bancaire et ne collectent pas un centime).

(12:58) - Ils se sont faits attaqués sur le fait de ne pas être complètement transparent sur leur site par rapports à leurs missions, etc ; Il serait plus judicieux de parler de “cyber-paix” plutôt que de “cyber-guerre” ; Le CyberPeace Institute et HWB sont très complémentaires, une collaboration serait l'une des premières mondiales (voir la première).

(15:58) - Que fait HWB de l’argent collecté ? (spoiler : ils ne collectent pas d’argent, ils ont collecté 0 centime à ce jour) ; L’attaque médiatique de la part de l’EGE ; L’expérience personnelle de Karim dans le domaine associatif ; Les notions comme l’altruisme et l'empathie sont dans l’ADN de HWB ; Ce qui est demandé aux membres de l’ONG.

(21:33) - Des problèmes du passé de représentativité et de représentation en France, avec certaines personnes qui n’étaient pas venues avec l’envie ni d’apprendre, ni de transmettre.

(23:18) - Faire quelque chose avec gentillesse et transparence attire parfois des critiques ; Bernard Arnaud qui a donné 10 millions d'euros aux restos du cœur.

(25:43) - Il y a des gens qui veulent juste le bien, car oui, il y a aussi des “cyber-gentils” ; Les burn-outs et l’impact psychologique du modèle néfaste de toujours être dans la crainte (menaces, mal, etc) VS regarder le positif que l’on apporte + l'avis personnel de Karim.

(30:10) - L’intérêt de participer à une ONG, c’est souvent la satisfaction de faire des projets utiles qui font du bien, avec des gens que l’on apprécie ; Les egos.

(33:29) - Après des erreurs de jeunesse liées à la coordination, depuis qu’ils sont en place ils apportent des résultats dans leurs actions et c’est une vraie satisfaction.

(34:55) - Il n’y a pas de place à l’ego chez HWB ; Ils évitent de faire de la politique ouverte et tranchée, ils ne parlent pas de religion, et évitent de parler d’argent.

✴️ Retrouver Karim LAMOURI

LinkedIn : https://bit.ly/3RtCZXe

✴️ Me retrouver

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Questions/Réponses | #05 | RSSI avec plus de 20 ans d'expérience dans la cyber

Wed, 08 Nov 2023 13:30:00 +0000

Seconde partie de mon échange avec Stéphanie BUSCAYRET, une RSSI avec plus de 20 ans d'expérience dans le secteur industriel.

Série spéciale, dans laquelle je pose VOS questions à mes invité(e)s.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:34) - Question(s) recueillie(s) : “Comment faire pour montrer l’exemple, quelles clés, retour d’expérience de choses « qui fonctionnent », pour être inspirante et suivie par toute son entreprise, du comex à l’opérateur de machine outil ? »

(08:53) - Question(s) recueillie(s) : “Je suis moi-même un junior tout fraîchement sorti de CESI École de l'alternance (maintenant CESI École d'Ingénieur), sorti en septembre 2022 avec déjà une expérience en tant qu'analyste SOC. Aujourd'hui, j'ai un objectif à long terme de devenir RSSI (comptons 10 ans, ce qui me pousserait au milieu de ma trentaine). Est-ce réaliste comme objectif ?"

(22:34) - Remarque recueillie : “À mon époque, il n'y avait pas de formation, à part la cryptographie et ses mathématiques. Depuis, il y a des cursus. Mais je vois un vrai décalage entre la réalité et ce qui est enseigné. Savoir résoudre un problème inconnu et nouveau, l'aspect humain, etc…” + Beaucoup de questions que les étudiants se posent.

(29:07) - Question(s) recueillie(s) : “Quelles sont les contraintes principales auxquelles sont confrontés les RSSI, qu’est-ce qui peut empêcher Stéphanie de dormir, pourquoi autant de RSSI changent de rôle ?”

(34:36) - Question(s) recueillie(s) : “Quels sont les prochains défis et objectifs de Stéphanie ? Personnellement et professionnellement ?" + “Pourquoi s’habille-t-elle toujours en rouge ? “

✴️ Retrouver Stéphanie BUSCAYRET

LinkedIn : https://bit.ly/3RA5OBE

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Retours utiles (ou qui essayent de l'être) sur 20 ans de pratique de la cyber | #52

Wed, 27 Sep 2023 10:12:00 +0000

Première partie de mon échange avec Stéphanie BUSCAYRET, une RSSI avec plus de 20 ans d'expérience dans le secteur industriel.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(01:00) - Stéphanie se présente

(02:07) - Pourquoi Stéphanie a écrit sur son profil LinkedIn : "CyberGardener planting cybersecurity seeds in industrial sectors for 2 decades…"

(07:14) - Articles de Stéphanie "La sensibilisation, c'est au moins 30 ans de travail, et dans 30 ans, nous en aurons encore pour 30 ans"

(09:21) - La sensibilisation est un processus continu

(12:17) - Anecdote d’une revue de presse, d’un article, qui avait retenu une citation qu’avait faite Stéphanie

(15:04) - Parallèle entre la Malbouffe et la Privacy

(21:16) - Le sujet des libertés numériques, c’est ça

(22:04) - La cyber ce n’est pas un métier, c’est des métiers. Pentesters oui, mais des juristes, des communicants, des psychologues, etc

(23:51) - On besoin de tout le monde, personne n'est un couteau suisse. Il faut développer sa spécialité.

(27:38) - L’importance de l’aspect humain. “Convaincre pour enrôler”

(30:55) - “Un RSSI est pratiquement tout le temps comme un politicien en campagne”

(34:33) - Le concept de Shuhari. 1/ On suit les règles, 2/ on les comprend, 3/ (sûrement l'aspect le plus important selon Stéphanie) on les transcende

(40:35) - Le mot de la fin

✴️ Retrouver Stéphanie BUSCAYRET

LinkedIn : https://bit.ly/3RA5OBE

Son article mentionné, "des 30 ans" : https://bit.ly/3ES0YIm

Son article mentionné, du parallèle Malbouffe et Privacy : https://bit.ly/3rCzi7n

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

PowerShell dans son SI, est une opportunité & un risque - Partie 2/2 | #51

Wed, 23 Aug 2023 10:59:00 +0000

Seconde partie de mon podcast avec Étienne LADENT, CERT Manager dans un grand groupe du Luxe.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(01:36) - PowerShell est un langage trop souvent sous-estimé. C’est un langage trop peu contraint.

(03:44) - "L'execution policy" n’est pas un mécanisme de sécurité, mais de sûreté

(05:34) - Différents environnements informatiques, différentes difficultés pour mettre en place les bonnes mesures de sécurité liées à PowerShell

(08:22) - La valeur ajoutée des logs PowerShell dans son SIEM

(11:19) - “En tant que décideur, vous n'êtes pas démuni par rapport à PowerShell” - 3 cas de figures

(14:25) - Quelques RETEX d’incidents liés à PowerShell’

(22:00) - Qu’est-ce qu’un “Malware fait maison” dans le contexte PowerShell

(25:16) - L’idée à retenir

✴️ Retrouver Étienne LADENT

LinkedIn : https://bit.ly/3XzzQqo

Son livre (ce n'est pas un lien d'affiliation) : https://bit.ly/3Xq4B0T

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

PowerShell dans son SI, est une opportunité & un risque - Partie 1/2 | #50

Wed, 28 Jun 2023 10:41:00 +0000

Première partie de mon podcast avec Étienne LADENT, CERT Manager dans un grand groupe du Luxe.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(01:13) - Étienne se présente + pourquoi il a écrit un livre à propos des usages cyber de PowerShell.

(09:39) - “PowerShell ce n’est pas le mal”.

(13:04) - Souvent, PowerShell est trop ignoré sur les aspects défensifs.

(15:12) - Arriver à sécuriser PowerShell est une vraie gêne pour les attaquants.

(17:25) - Sécuriser PowerShell est un excellent temps/investissement.

Section des possibilités défensives de PowerShell.

(18:40) - Les mécaniques de signature de code + l'execution policy.

(22:10) - La mise en place d’une chaîne de certification.

(23:11) - Les mécanismes comme l'AMSI (Anti-Malware Scan Interface).

(26:08) - Le mode de langage contraint sur PowerShell : pour Étienne c’est la solution à déployer par défaut.

✴️ Retrouver Étienne LADENT

LinkedIn : https://bit.ly/3XzzQqo

Son livre (ce n'est pas un lien d'affiliation) : https://bit.ly/3Xq4B0T

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

13 commandements du Hardening AD | #49

Wed, 17 May 2023 10:46:00 +0000

Seconde partie de mon podcast avec Hamza Kondah. Formateur Cybersécurité Chez Alphorm | Microsoft MVP en Sécurité des Entreprises.

✴️ Retrouver Hamza KONDAH

LinkedIn : http://bit.ly/3ZmWn96

Son profil Alphorm : http://bit.ly/3JXQIAt

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Active Directory - Moins de 10% ont correctement implémenté les bonnes pratiques de sécurité | #48

Thu, 30 Mar 2023 10:45:00 +0000

Première partie de mon podcast avec Hamza Kondah. Formateur Cybersécurité Chez Alphorm | Microsoft MVP en Sécurité des Entreprises.

L’Active Directory (AD) est une cible privilégiée des attaquants, et c'est vrai que, j'ai pris un raccourci facile pour le titre de ce podcast en utilisant une stat d'un rapport de Wavestone et de Microsoft. Même si ça reste une stat et non pas une vérité universelle, c'est tellement parlant. Pour être exact je cite "Moins de 10% des clients ont correctement implémenté les bonnes pratiques de sécurité".

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(01:18) - Hamza se présente

(02:30) - L’ambiguïté autour de la nature de l’AD

(04:07) - Les plus gros problèmes à propos de l’AD

(08:19) - “Moins de 10% des clients ont correctement implémenté les bonnes pratiques de sécurité” (source: Sécurisation de l’active directory et d’Azure AD - Rapport Wavestone & Microsoft, audit AD 2020)

(10:52) - Les risques associés à l’AD + comment un attaquant pourrait en prendre le contrôle

(17:21) - L’AD est l’une des sources de données les plus importantes à surveiller dans son SOC & SIEM

(20:09) - 3 écoles de pensée

(26:07) - Il est impossible de nettoyer l’AD correctement (“la chasse aux fantômes”)

(30:30) - Certaines entreprises veulent mettre leur AD à jour mais ont peur “qu’il craque”

(32:59) - L'idée forte à retenir

✴️ Retrouver Hamza KONDAH

LinkedIn : http://bit.ly/3ZmWn96

Son profil Alphorm : http://bit.ly/3JXQIAt

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Les effets psychologiques d’une cyberattaque | #47

Wed, 18 Jan 2023 11:58:00 +0000

Première partie de mon podcast avec Nathalie GRANIER, qui est Threat Intelligence Analyst et Psychologue.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:55) - Nathalie se présente.

(03:30) - Le lien entre le monde cyber et la psychologie.

(05:16) - Les impacts des cyberattaques qui sont généralement évoqués.

(08:31) - Le type d’impact rarement évoqué : l’impact sur les victimes est une problématique dont il faut parler.

(09:43) - Il y a très peu d’outils pour comprendre et évaluer les dommages des cyberattaques sur les salariés.

(12:58) - Les différents degrés d’impacts émotionnels, de légers à sévères.

(17:49) - Les approches de l’accompagnement émotionnel selon le contexte.

(20:19) - Les sentiments varient, entre le monde réel et le monde virtuel, et pro vs privé.

(24:01) - Quand son matériel est analysé par des analystes forensic.

(30:00) - L’accompagnement émotionnel, avant, pendant et après une cyberattaque.

(34:47) - Gestion de crise cyber, éviter d’ajouter un surplus de stress.

✴️ Retrouver Nathalie GRANIER :

Son profil LinkedIn : https://bit.ly/3He3V8q

Son site, "Threat Intelligence & Psychology" : https://bit.ly/3HaSY7w

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La sécurité grandit lorsqu’elle se partage - Partie 2/2 | #46

Tue, 13 Dec 2022 11:58:00 +0000

Seconde partie de mon podcast avec Yohann BAUZIL, Senior Program Manager chez RHEA Groupe France.

⚠️ Le prochain podcast sera publié le 18 janvier 2022.

Aussi, j'en profite (en avance) pour vous souhaiter de passer de bonnes fêtes et une bonne année.

✴️ Retrouver Yohann BAUZIL :

Son profil LinkedIn : http://bit.ly/3OLtfEJ

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La sécurité grandit lorsqu’elle se partage - Partie 1/2 | #45

Tue, 29 Nov 2022 11:28:00 +0000

Première partie de mon podcast avec Yohann BAUZIL, Senior Program Manager chez RHEA Groupe France.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(02:38) - Yohann se présente de nouveau

(03:16) - L'intérêt de pouvoir développer son réseau pro

(04:27) - Pourquoi ce sujet aujourd’hui ? Quel intérêt à partager son expérience ?

(06:43) - L’importance des retours de “son audience” ou de “ses auditeurs” + anecdote sympa de Yohann

(09:23) - Permettre à d’autres de faire de bonnes erreurs + se nourrir du partage dans les commentaires

(11:44) - Travailler son personal branding, c’est une bonne ou une mauvaise chose ?

(17:49) - Peut-on avoir un produit ou un service à vendre, et pour autant créer du contenu qui soit neutre ?

(18:49) - Les retours positifs + se sentir plus légitime à poser une question lorsque l’on apporte aussi sa pierre à l’édifice

(20:17) - Exprimer son opinion ou son expérience dans ses posts, ne pas partager souvent et beaucoup juste pour faire des vues

(22:16) - Le process de création de contenu de Yohann

(25:36) - Le concept “ACET” - Apprendre Comprendre Enseigner Théoriser + conseils aux profils plus juniors

(30:50) - L'aspect développement personnel associé à cette démarche

✴️ Retrouver Yohann BAUZIL :

Son profil LinkedIn : http://bit.ly/3OLtfEJ

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Questions/Réponses | #04 - L'OSINT - Partie 2/2

Tue, 01 Nov 2022 12:04:00 +0000

Dans cette série Questions/Réponses, je pose vos questions à mes invité(e)s.

Aujourd'hui, la seconde partie de vos questions à propos de l'OSINT.

Avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

👉 désolé pour la confusion, les épisodes Questions/Réponses numéros 1 et 2 sont en fait les épisodes 16 et 20.

✅ CONTENU✅

Note : pour répondre au plus de questions possibles, plusieurs questions (Q-) similaires, ont été posées en même temps.

(00:39) - (Q - Mathis) "Jusqu'où ça peut aller pour ne pas entrer dans la cyberpatrouille ou le doxing ?”

(03:05) - (Q - Yann) “Par où commencer ? Un seul truc ? À lire, à faire, peu importe. Mais un seul.”

(05:31) - Être curieux et arrêter de devenir des victimes sur internet

(08:24) - (Q - Olivier) “Comment peut-on se mettre à l'OSINT? Des défis accessibles et où l'on pourrait avoir la/les méthodes de recherche de la réponse par exemple”

(10:54) (Q - Mathieu & Aurélien) Challenges OSINT de Julien - la démarche, le temps de préparation, la gestion des réponses, etc

(18:05) - Anecdote sympa de Julien + exemple de liaison entre plusieurs “points”

(21:15) - Connaitre son empreinte numérique pour savoir quels pourraient être les points de pression possibles + exemple

(23:51) - (Q-Jean-Noel) “Avec le développement des outils, usages et technologies dans les années à venir, comment l'OSINT peut-il évoluer et à quoi va-t-il ressembler dans l'avenir ?”

✴️ Démo vidéo OSINT de Julien : https://bit.ly/3T0SpA1

✴️ Retrouver Julien MÉTAYER :

LinkedIn : https://bit.ly/3dLjWqk

Sa plateforme OZINT.eu : https://bit.ly/3Rfqs6y

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Questions/Réponses | #03 - L'OSINT - Partie 1/2

Tue, 11 Oct 2022 10:45:00 +0000

Dans cette série Questions/Réponses, je pose vos questions à mes invité(e)s.

Aujourd'hui, la première partie de vos questions à propos de l'OSINT.

Avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

👉 désolé pour la confusion, les épisodes Questions/Réponses numéros 1 et 2 sont en fait les épisodes 16 et 20.

✅ CONTENU✅

Note : pour répondre au plus de questions possibles, plusieurs questions (Q-) similaires, ont été posées en même temps.

(01:43) - Q- de Jean-Noel. Il y a-t-il un intitulé de métier spécifique à l’OSINT?

(04:11) - Q- de Nicolas. D'un point de vue recrutement : doit-on s'attendre à ce que ces entités aient de plus en plus besoin de ce type de profil à l'avenir ?

(06:14) - Recherches à propos d’un candidat + “Ne mettez pas sur internet quoi que ce soit que vous ne seriez pas prêt à crier dans un bar”

(10:22) - Travailler son image sur le net (sphère privée vs sphère professionnelle). Notamment dans le cadre de candidature à des emplois.

(11:49) - Q- de Nicolas. Dans quel cadre sont utilisées ses ressources (Entreprise/Renseignement/usage perso....) + l'expérience de Julien

(14:28) - Q- de Stéphane. Dans le cadre contractuel et réglementaire d'une mission d'OSINT chez un client final, quelles sont les clauses à intégrer, les pièges à éviter sur ce type de mission ?

(22:18) - Quelle est sa propre responsabilité si la “source” d’une information, la, elle-même obtenue de manière illégale ? L’exemple des data leaks et des Google dorks.

(25:13) - Q- de Jean-Noel. Qu'est-il éthiquement bon ou pas, de faire avec les renseignements obtenus ?

(30:44) - Q- de Pascal. La diffusion de l'information peut-elle être différée et/ou écartée pour certains, et, si c'est le cas, .... Pourquoi? Existe t-il des accès restreints à une personne ou à plusieurs ?

✴️ Démo vidéo OSINT de Julien : https://bit.ly/3T0SpA1

✴️ Retrouver Julien MÉTAYER :

LinkedIn : https://bit.ly/3dLjWqk

Sa plateforme OZINT.eu : https://bit.ly/3Rfqs6y

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

OSINT (Open Source Intelligence) ou ROSO (Renseignement d’origine sources ouvertes) en français | #44

Tue, 27 Sep 2022 11:10:04 +0000

Première partie de mon podcast avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(03:35) - En quoi consiste l’OSINT (ou le ROSO en français)

(06:07) - Les sous catégories de l’OSINT

(08:50) - Son propre historique social peut servir à prouver (ou non) son éthique

(10:17) - Précision : il faut différencier la nature des sujets (pédagogiques vs sujets sensibles)

(11:18) - Les grands principes de la méthodologie de recherche

(13:17) - Détail important : la confirmation des recherches selon l’importance du contexte + l’importance de créer son propre environnement de travail (une VM dédiée etc)

(18:19) - Les légendes/les alias + la série “Le bureau des légendes”

(19:51) - Comment juger de la crédibilité de ses sources, et de ses résultats

(21:49) - Début du processus : collecter des informations

(25:06) - La reconnaissance faciale n’est plus un lien manquant entre une photo et une personne

(26:46) - La méthodologie de recherche à partir d’une image

(30:55) - Exemple d’un write-up d’une recherche aboutie, à partir d’une photo depuis un hublot d’avion + la communauté OSINT-FR (liens en description)

(31:52) - Le projet de Julien, la plateforme OZINT.eu (lien en description)

(34:26) - Quelques principes réglementaires liés à la pratique de l’OSINT

(38:50) - Le cyber-harcèlement (notamment concernant les jeunes)

(42:37) - Pour se protéger au mieux, il faut couper les liens entres les points

✴️ Démo vidéo OSINT : https://bit.ly/3T0SpA1

OSINT-FR : https://bit.ly/3BIsV3w

Write-up mentionnée à (30:55) : https://bit.ly/3fpAbtt

✴️ Retrouver Julien MÉTAYER :

LinkedIn : https://bit.ly/3dLjWqk

Sa plateforme OZINT.eu : https://bit.ly/3Rfqs6y

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Comparaison : IT Security & OT Security | #43

Tue, 13 Sep 2022 09:47:00 +0000

Seconde partie de mon podcast avec Fabien MIQUET, PSSO - Product & Solution Security Officer chez Siemens.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:51) - La durée de vie des projets > IT 3-5 ans (en moyenne). OT: 20-40 ans (en moyenne).

(08:49) - La durée de vie du materiel. IT: cycle court (ex: PC, smartphone). OT: utilisation tant qu’il y a des pièces détachées.

(10:59) - Problématique OT: les versions logicielles embarquées dans des pièces de rechange (qui sont potentiellement stockées pendant des années).

(15:30) - Sécurité logicielle. IT: Élevée (>10 "agents" sur un PC office). OT: Faible (priorité à la performance).

(16:53) - Le choc des cultures IT - OT.

(18:35) - La notion des accès physiques non autorisés. Ex: dans les bureaux, les sessions sur les PC sont très souvent verrouillées. Dans les usines c’est beaucoup plus rare.

(21:25) - La défense en profondeur + en OT, parfois sur des systèmes legacy, la protection physique est la seule option.

(24:32) - Sécurité physique (gardes, vidéoprotection, contrôles d’accès, murs/barrières, gaines (potentiellement monitorées, dans lesquelles passent les câbles de comms), etc).

(27:26) - Gestion de la protection. IT: standard (agents & patch automatique). OT: déploiement en fonction du risque.

(30:04) - Risques & Enjeux. IT: conformité, financier. OT: sûreté, écologie, vies humaines, conformité.

(32:36) - Les profils les plus adaptés au marché de l’OT security.

✴️ Retrouver Fabien MIQUET :

LinkedIn : https://bit.ly/3PVrrId

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Les particularités liées à l’OT Security | #42

Tue, 30 Aug 2022 11:10:00 +0000

Première partie de mon podcast avec Fabien MIQUET, PSSO - Product & Solution Security Officer chez Siemens.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(01:44) - À propos de la convergence IT/OT

(03:48) - Les différences en terme de compétences et de mentalités

(06:42) - (tiré d'un ancien post Linkedin de Fabien) “À force de rattraper un retard… On a plutôt pris une belle avance !!!”

(07:59) - Des besoins plus spécifiques en OT security

(11:26) - Comme dans le monde IT, il faut apprendre à détecter les signaux faibles d’attaques (ex: un changement de quelques millimètres peut ruiner une production complète, etc).

(13:40) - La complexité cumulative du niveau de maturité (des environnements OT eux-mêmes, etc)

(16:08) - Beaucoup d’entreprises préfèrent donc travailler en mode dégradé

(17:45) - “On peut faire de la casse dans le monde réel avec quelques lignes de codes” + exemples

(22:20) - Aspect crucial à prendre en compte : la durée de vie des systèmes

(24:43) - Les anciens protocoles et autres ICS/SCADA sont des cibles prioritaires

(28:29) - Analyse de risque, ex: des mainteneurs sous-traitants

(34:03) - IoT et IIoT (Industrial Internet of Things)

(37:30) - L’idée forte à retenir

✴️ Retrouver Fabien MIQUET :

LinkedIn : https://bit.ly/3PVrrId

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Blockchain : ses propres enjeux de sécurité | #41

Thu, 11 Aug 2022 12:13:00 +0000

Seconde partie de mon podcast avec Vincent RÉMON, Leader Cybersécurité chez onepoint.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:51) - À propos des hacks Mt. Gox et The DAO

(03:28) - L’attaque d’Axie Infinity (vols de clé privées), Monero (site web hacké + dépôt d’un wallet corrompu), IOTA (exploitation de vulnérabilités de librairies externes)

(06:39) - Les attaques structurelles (attaque à 51% etc)

(10:45) - Vulnérabilités réseau : Attaque par Déni De Service (DOS), Attaque Sybil, Attaque Eclipse

(13:26) - Vulnérabilités de Protocole : Faille d’implémentation, Forge de monnaie à partir de rien, Collision de Hash

(20:02) - La gouvernance est une vraie question - l’exemple “The DAO” / Ethereum

(25:19) - L'intérêt des blockchains privées & les travers que l’on peut leur donner

(29:42) - Une amplification des dangers liés au manque de sensibilisation ? (phishing pour obtenir les clés privées, etc).

(34:19) - Fuite de données chez Ledger : certains de leurs clients ont reçu un cold wallet compromis

(35:20) - L’idée forte à retenir

✴️ Retrouver Vincent RÉMON :

LinkedIn : http://bit.ly/LinkedIn-Vincent-Remon

Son channel YouTube : http://bit.ly/3gZxJa7

Son profil onepoint : http://bit.ly/3haNAml

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Blockchain : quels apports à la Cybersécurité ? | #40

Tue, 21 Jun 2022 10:21:00 +0000

Retour du tout premier invité de mon podcast, Vincent RÉMON, Leader Cybersécurité chez onepoint.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(01:20) - Les blockchains sont ultra sécurisées

(04:59) - Rapide résumé des concepts de la Blockchain

(12:09) - Comment la blockchain peut permettre de sécuriser tout, ou une partie de son SI

(15:22) - Confidentialité

(17:34) - Intégrité

(19:44) - Disponibilité

(20:28) - Traçabilité

(21:44) - Anonymat vs Pseudonymat + problématiques associées au RGPD

(25:57) - (Parenthèse - Groupe d’attaquants et le blockchain)

(30:19) - Satoshi Nakamoto (spoiler: ce n’est pas Vincent)

(31:27) - L’apport des Smart contracts

(36:09) - Un smart contract peut être aussi stupide qu’un distributeur de boissons

(38:22) - L’idée forte à retenir

✴️ Retrouver Vincent RÉMON :

LinkedIn : http://bit.ly/LinkedIn-Vincent-Remon

Son channel YouTube : http://bit.ly/3gZxJa7

Son profil onepoint : http://bit.ly/3haNAml

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Rex d'un joueur de CTF (Capture The Flag) | #39

Tue, 03 May 2022 09:58:00 +0000

Seconde partie de mon échange avec Matthieu BILLAUX, Cyber trainer chez Seela, et vainqueur du CTF français du SANS en 2021.

✅ CONTENU✅

(01:23) - Différents enjeux pour tous/toutes

(04:37) - Différents niveaux d’intensité.

(08:17) - Un exemple de fun/teasing entre compétiteurs

(12:00) - Les CTF aident à se forger un mental

(14:13) - “It’s like hacker olympics” (entendu dans la série Mr Robot, à propos des CTF)

(17:53) - Idée reçue N1 : “Les CTF ne représentent que des techniques offensives”

(20:15) - Idée reçue N2 : “C’est impossible de commencer sans préparation” + l’importance de s’entourer.

(22:31) - Idée reçue N3 : “Quelqu’un qui est bon en CTF, est donc bon en pentest (par ex). Et inversement”.

(25:26) - Cas réel dans lequel l'expérience CTF de Matthieu lui a servi dans son travail : hacker une webcam connectée

(32:57) - Où pratiquer les CTF ?

(36:49) - L’idée forte à retenir

✴️ Retrouver Matthieu BILLAUX, :

Tous les liens pour le retrouver : https://into.bio/euz

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Entreprises : pourquoi proposer des CTF à vos équipes ? | #38

Tue, 12 Apr 2022 10:35:00 +0000

Première partie de mon échange avec Matthieu BILLAUX, Cyber trainer chez Seela, et vainqueur du CTF français du SANS en 2021.

✅ CONTENU✅

(03:21) - Les Capture The Flag (CTF) c’est quoi ?

(05:21) - Pourquoi proposer des CTF à ses équipes ?

(11:09) - Les CTF sont un bon moyen d'intéresser ses équipes à la sécurité (ex: les développeurs, etc).

(15:36) - Les CTF permettent de monter en compétences dans un environnement contrôlé (parallèle avec les sports de combat, sparring à l'entraînement vs combats dans la rue).

(18:35) - “It is better to be a warrior in a garden, than a gardener in a war”.

(21:20) - Candidats : utiliser son expérience CTF pour mettre son profil en avant et se démarquer + Recruteurs : déceler une passion à travers leur expérience CTF.

(26:33) - L'intérêt de faire des CTF (ne serait-ce de temps en temps) pour les personnes qui font de la sécurité organisationnelle (pour mieux comprendre les risques, etc).

(28:39) - Recruteurs : les CTF peuvent servir à aborder la méthode de résolution des problèmes des candidats, voire même de la tester en direct.

(34:02) - Exemple de Sogeti qui a lancé son équipe semi-professionnelle de CTF “Sogeti Aces of Spades”, en octobre 2019.

(37:42) - Autre exemple réel. D’une entreprise qui a utilisé les CTF pour faire monter les compétences sécurité de leurs développeurs.

✴️ Retrouver Matthieu BILLAUX, :

Tous les liens pour le retrouver : https://into.bio/euz

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Do & Don't - Communication de crise ransomware | #37

Tue, 29 Mar 2022 10:36:00 +0000

Seconde partie de mon échange avec Valéry Rieß-Marchive, Rédacteur en chef chez le LeMagIT.

Rapide note 👉cette fois-ci l'audio est de bien meilleure qualité en comparaison à la première partie (épisode de la semaine dernière).

Enjoy.

✴️ Retrouver Valéry RIEB-MARCHIVE, :

LinkedIn : https://bit.ly/3sNTdxS

LeMagIT : https://bit.ly/3MskKg7

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Ransomware : communiquer en transparence… ou pas ? | #36

Tue, 08 Mar 2022 13:26:00 +0000

Première partie de mon échange avec Valéry Rieß-Marchive, Rédacteur en chef chez le LeMagIT.

Rapide note 👉 malheureusement j'ai eu des soucis avec l'une des pistes audio, j'ai fais de mon mieux pour atténuer les craquements mais je vous conseil de baisser un peu le volume si cela vous dérange trop.

✅ CONTENU✅

(01:28) - Possibles raisons de vouloir être transparent : pouvoir travailler de manière plus sereine car moins de sollicitations + cela permet de recevoir de l’aide.

(05:20) - Possibles raisons de ne pas vouloir être pleinement transparent dès le départ.

(08:33) - Le degré de transparence relatif des collectivités territoriales.

(15:52) - Plus qu’important, il est essentiel pour les fournisseurs de services IT en général d’être transparent.

(19:42) - Attention aux éléments de communication qui risquent d’être reniés par la suite.

(23:33) - Le message "L'investigation est en cours".

(26:38) - Le message "Nous avons un incident technique”.

(28:56) - Exemple d’un décalage entre les informations divulguées publiquement et celles divulguées en interne.

(32:02) - L’idée forte à retenir.

✴️ Retrouver Valéry RIEB-MARCHIVE, :

LinkedIn : https://bit.ly/3sNTdxS

LeMagIT : https://bit.ly/3MskKg7

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

EBIOS Risk Manager - Les bonnes pratiques | #35

Tue, 22 Feb 2022 11:53:00 +0000

Seconde partie de mon échange avec Rachid EL ALAOUI, Dirigeant et Co-fondateur de Amn Brains. Et membre du Club EBIOS.

Rapide note 👉 Les prochains podcasts en préparation seront à propos des CTF - Capture The Flag & le suivant à propos de la sécurisation du Blockchain. Posez vos questions pour mes 2 prochains invités sur cet email > michael@cybersecuriteallday.fr

✅ CONTENU✅

(01:04) - Le conseil numéro 1 à faire passer

(03:44) - Socle de sécurité - qu’est-ce qu'un socle de sécurité pertinent ?

(07:08) - Socle de sécurité - quelle approche faut-il suivre ?

(10:12) - Scénarios opérationnels - quels sont les résultats visés d’un scénario opérationnel pertinent ?

(12:08) - Scénarios opérationnels - quelques critères d’un scénario operationnel actionnable

(13:31) - Scénarios opérationnels - quel niveau de détails à adopter ?

(16:57) - Scénarios opérationnels - exemples dans la pratique

(21:29) - La problématique des parties prenantes. Entité organisationnelle ou composant technique ?

(23:25) - Dans ce contexte, quelle est la différence entre une partie prenante et un bien support ?

(25:41) - Le niveau de connaissance de son SI requis

(28:42) - Peut-on étudier les risques accidentels dans une étude EBIOS Risk Manager ?

(32:26) - Exemple pratique d’un risque accidentel étudié avec l’EBIOS RM

(34:15) - L’idée à retenir

✴️ Retrouver Rachid EL ALAOUI :

LinkedIn : https://bit.ly/3HylmxT

Le blog d'Amn Brains : https://bit.ly/3Gvh35f

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Vue d'ensemble de l'EBIOS Risk Manager (EBIOS RM) | #34

Tue, 08 Feb 2022 11:42:00 +0000

Première partie de mon échange avec Rachid EL ALAOUI, Dirigeant et Co-fondateur de Amn Brains. Et membre du Club EBIOS.

✅ CONTENU✅

(05:13) - Les blogs de Rachid à propos de l’EBIOS RM

(06:24) - EBIOS 2010 et EBIOS RM

(08:34) - L’utilité de la méthode dans un programme cyber + l’approche par conformité et l’approche par les risques

LES 5 ATELIERS DE L’EBIOS RM

(12:46) - L’atelier 1 / Cadrage / Socle de sécurité

(22:47) - L’atelier 2 / Sources de risques

(25:24) - L’atelier 3 / Scénarios stratégiques et 4 / Scénarios opérationnels

(28:29) - L’atelier 4 (plus dans le détail)

(31:03) - L’atelier 5 / Traitement du risque

(34:55) - L’idée reçue que l’EBIOS RM est une méthode lourde et contraignante

(39:16) - L’autre point fort de la méthode est de pouvoir s'adresser aux personnes de l'opérationnel ainsi qu’aux donneurs d'ordre

(40:48) - Le message à retenir

✴️ Retrouver Rachid EL ALAOUI :

LinkedIn : https://bit.ly/3HylmxT

Le blog d'Amn Brains : https://bit.ly/3Gvh35f

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

SAST, SCA, RASP. Quels outils, pour quels usages? | #33

Tue, 25 Jan 2022 11:57:00 +0000

Seconde partie de mon échange avec Rémi LAVEDRINE, Head of Application Security chez Chanel et co-fondateur de Wild & Secure.

✅ CONTENU✅

(01:15) - La vision DevSecOps de Rémi & pourquoi les outils sont importants dans celle-ci.

(07:36) - Philisophie : la sécurité est un sous-ensemble de la qualité.

(11:25) - Le SAST - Static Application Security Testing, DAST - Dynamic Application Security Testing et IAST - Interactive Application Security Testing.

(17:22) - Le SCA - Software Composition Analysis + exemples de son importance avec des cas réels + le risque des nouvelles versions opensource volontairement malveillantes.

(23:09) - Le RASP - Runtime Application Self-Protection + exemple d’un cas réel + la métaphore du donjon.

(26:37) - La métaphore du donjon. La complémentarité du WAF et RASP + le RASP la dernière ligne de défense.

(28:48) - Quelles priorités en termes d’outils ? En rapport à la maturité des équipes et leur appétance à travailler sur des sujets de sécurité.

(33:25) - Comment retrouver Rémi + son channel YouTube (note: le lien est disponible ci-dessous).

✴️ Retrouver Rémi LAVEDRINE :

LinkedIn : https://bit.ly/31JLbf1

Son channel YouTube : https://bit.ly/330ndgg

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Comment éviter de devenir une cyber victime | #32

Tue, 11 Jan 2022 11:39:11 +0000

Première partie de mon échange avec Rémi LAVEDRINE, Head of Application Security chez Chanel et co-fondateur de Wild & Secure.

✅ CONTENU✅

(02:22) - À propos du channel YouTube de Rémi

(04:40) - Partage de document : cacher les infos non nécessaires, ne partager que le strict minimum + exemples des agents immobiliers, des watermarks et “barres noires” sur les documents

(12:19) - Utilisation de cartes bancaires jetables / temporaires (pour éviter les fraudes à la CB, etc)

(17:47) - Utilisation de numéros de téléphones temporaires (pour limiter les risques de sim swapping, éviter de se faire spammer, réduire les risques de harcèlement, etc)

(23:37) - Faire preuve de bon sens = ne pas donner des infos temporaires à sa banque, aux impôts… Infos temporaires, pour un usage temporaire. Le bon outil, au bon moment.

(26:05) - Contacts avec des recruteurs + emails temporaires et/ou "adresses email poubelles”

(30:43) - Quelques rappels de base

(35:23) - L'idée forte à retenir

✴️ Retrouver Rémi LAVEDRINE :

LinkedIn : https://bit.ly/31JLbf1

Son channel YouTube : https://bit.ly/330ndgg

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La communication non verbale, un des outils des Socials Engineers | #31

Tue, 07 Dec 2021 12:10:00 +0000

Seconde partie de mon échange avec Sarka Pekarova, Security consultant chez Dreamlabs Technologies.

⚠️ Dernier podcast de 2021, reprise officielle le mardi 11 janvier 2022 ⚠️

✅ CONTENU✅

(01:46) - La communication non verbale dans le cadre du social engineering.

(07:24) - Ce ne sont que des indications au mieux, et non pas une vérité universelle.

(09:28) - Analyser le langage corporel de ses interlocuteurs pour en tirer avantage.

(12:00) - Certains des aspects les plus importants de l'ingénierie sociale. Les micro expressions, la psychologie etc.

(15:38) - L'exemple parfait avec le film "Catch me if you can" ("Arrête-moi si tu peux" en français).

(17:44) - Les parties du corps les plus honnêtes et les plus compliquées à "fake".

(23:04) - Tirer avantage de l'espace personnel des gens.

(26:20) - Cas réel de la communication non verbale dans le cadre d'une mission d'ingénierie sociale.

(31:18) - Qui former dans son entreprise aux risques d'attaques de type d''ingénierie sociale ?

(32:55) - L'idée à retenir.

✴️ Retrouver Sarka PEKAROVA:

LinkedIn : https://bit.ly/327QJzN

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Intrusions physiques / Échange avec une Social Engineer | #30

Tue, 16 Nov 2021 11:36:00 +0000

Première partie de mon échange avec Sarka Pekarova, Security consultant chez Dreamlabs Technologies.

Edit : il est possible qu'il y ait un décalage de +/- 10 secondes sur le timing de certains temps de passages (à la réécoute sur différents supports le timing est différent 🤷‍♂️)

✅ CONTENU✅

(02:56) - Premier jour en tant que social engineer

(04:30) - Préparation : comment rentrer et comment sortir sans se faire attraper

(05:51) - Fin de mission debrief

(07:36) - Sarka tout premier jour en tant que social engineer dans le cadre de son travail

(13:06) - Les outils que Sarka utilise (fake ID, etc)

(17:14) - Beaucoup de concepts de marketing et de vente sont parfaits pour faire de l'ingénierie sociale

(20:12) - Les différents types de social engineers

(22:01)- Bien faire comprendre que c'est beaucoup et avant tout, de la préparation

(27:47) - Exemple : comment tirer avantage de certains biais cognitifs pour rentrer quelque part

(31:04) - L'importance de se dissocier de sa propre identité et de se créer un alter ego

(39:22) - L'idée forte à retenir

✴️ Retrouver Sarka PEKAROVA:

LinkedIn : https://bit.ly/327QJzN

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

5 idées reçues à propos de l'ISO 27001 | #29

Tue, 02 Nov 2021 13:00:00 +0000

Troisième épisode avec Florence FENIOU - Consultant en Intelligence Économique & DPO chez Bee's Eye.

✅ CONTENU✅

(02:25) - La relation entre l'Intelligence Économique (IE), l'ISO 27001 et le RGPD

(05:25) - Idée reçue n*1 : "Souvent les gens confondent bonnes pratiques et conditions/règles absolues à suivre à la lettre"

(09:13) - L'idée reçue n*2 qui est associée à l'aspect marketing de l'ISO 27001

(14:09) - Idée reçue n*3 : "On va l’implementer en quelques mois"

(18:03) - Devenir certifié ISO 27001 pour "cocher des cases" ?

(21:31) - Idée reçue n*4 : "L'on va laisser l'IT prendre seule la charge de ce projet"

(28:17) - Idée reçue n*5 : "Cette norme c'est simplement de la documentation"

(33:46) - La notion d'engagement/responsabilité de ce que veut dire être certifié IS0 27001

(35:01) - L'avis de Florence à propos de l'EBIOS Risk Manager (note: qui sera le sujet d'un prochain podcast avec Rachid El Alaoui)

(38:44) - L'idée à retenir de cet échange

✴️ Retrouver Florence FENIOU:

LinkedIn : lien ici

Son site Bee's Eye - lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Les bonnes pratiques de la gestion des noms de domaines | #28

Tue, 03 Aug 2021 12:00:00 +0000

Seconde partie de mon échange avec Stéphane Bortzmeyer - Spécialiste DNS à l’AFNIC.

✴️ Retrouver Stéphane BORTZMEYER

Son Twitter : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Pourquoi les noms de domaines et le DNS sont au cœur de la cybersécurité | #27

Tue, 20 Jul 2021 12:00:00 +0000

Première partie de mon échange avec Stéphane Bortzmeyer - Spécialiste DNS à l’AFNIC.

✅ CONTENU✅

(01:59) - L'aspect opérationnel des noms de domaines

(06:59) - "Si le DNS tombe, tout tombe"

(11:16) - Le DNS est un sujet trop négligé, même dans les boites du CAC40

(15:01) - Culture opérationnelle des services juridiques et com, des noms de domaines

(16:56) - Exemples qui illustrent bien un manque de prise en compte des enjeux liés aux noms de domaines

(23:32) - Les solutions de supervision

(30:51) - DoS, DDoS et détournements de noms

✴️ Retrouver Stéphane BORTZMEYER

Son Twitter : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Réflexion autour des tendances et de l'avenir des Ransomware | #26

Tue, 06 Jul 2021 12:00:00 +0000

Mon invité du jour est Florent CURTET - Directeur de Neo Cyber, société spécialisée en Cyber renseignement, Red team et pentest.

✅ CONTENU✅

(04:57) - Les différents groupes d'attaquants

(12:03) - Les ransom cartels

(15:13) - 3 aspects du business model des attaquants

(20:11)- Ransomware as a Service (RaaS), Deep web, Dark web

(24:15) - Un écosystème complet

(26:03) - PrintNightmare - CVE-2021-1675

(32:09) - Les casiers ransomware + les groupes APT

(36:58) - Le réseau tentaculaire des ransomgangs

(40:41) - La tendance actuelle des ransomware

(44:28) - L'idée forte à retenir

✴️ Retrouver Florent CURTET

Son profil LinkedIn : lien ici

Neo Cyber - sa société : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Hardening / durcissement : réduire la surface d'attaque | #25

Tue, 29 Jun 2021 12:00:00 +0000

Mon invité du jour est Damien HOTZ - Ingénieur Cybersécurité chez Atamasec.

✅ CONTENU✅

(04:18) - Un sujet très oublié

(05:36) - Les principes de bases de l’hardening / durcissement

(07:16) - La métaphore d'un jeu de 52 cartes + l'exemple du ransomware WannaCry

(09:48) - Certaines difficultés associées au durcissement + l'exemple du durcissement des firewalls

(12:58) - Un système de base durci : des solutions de sécurité plus performantes

(13:39) - Nécessite du temps et une connaissance profonde de l'utilisation des services et des serveurs par le SI et les utilisateurs

(18:41) - "On ferme tout et on ouvre juste ce dont on a besoin" + autre exemple des firewalls

(21:30) - Métaphore du film "300" : un choix d'attaque plus restreint pour les attaquants

(25:07) - Le principe de moindre privilège + d'autres exemples

(28:22) - Security by design + le Zero Trust

(30:12) - Nécessite une connaissance fine des technos

(31:29) - Le transfert de connaissance dans l'entreprise + la documentation

(32:45) - Bien lire les notes de patch pour éviter que de nouvelles fonctionnalités passent à la trappe du durcissement

(36:36) - L'idée forte à retenir

✴️ Retrouver Damien HOTZ

Son profil LinkedIn : lien ici

Atamasec - son activité pro : lien ici

Son GitHub : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

N'oublions pas les parents sinon les jeunes seront seuls face aux risques du numérique | #24

Tue, 15 Jun 2021 11:03:00 +0000

Seconde partie de mon échange avec Bertrand MÉENS - DSI Adjoint au Groupe IRCEM.

✅ CONTENU✅

(01:20) - Anecdotes de Bertrand sur l'observation des autres parents et du personnel éducatif

(04:41) - L'importance du relais des adultes + autre anecdote de son fils en CM1

(08:35) - Anecdote : le compte Instagram d'une ado utilisé par l'une de ses "copines"

(10:19) - Internet a une mémoire infinie

(12:23) - Propriété immatérielle + données volées vs données dupliquées

(13:49) - Le fossé générationnel

(15:41) - Le contrôle parental n'est pas du flicage, et ne remplace pas le dialogue avec ses enfants

(22:33) - Le risque numérique n'est qu'un reflet du risque réel

(24:37) - Sensibiliser les parents et les équipes pédagogiques en plus des élèves

(30:49) - Les algorithmes YouTube (ou autres)

(33:14) - L'approche de transparence et de dialogue

(36:28) - Le rôle des parents

(39:56) - L'idée forte à retenir

✴️ Retrouver Bertrand MÉENS

Son profil LinkedIn : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La sensibilisation des jeunes / ados aux enjeux et risques du numérique | #23

Tue, 01 Jun 2021 12:00:00 +0000

Première partie de mon échange avec Bertrand MÉENS - DSI Adjoint au Groupe IRCEM.

✅ CONTENU✅

(06:17) - Pourquoi ce sujet ? À partir de quel âge il faut commencer à les sensibiliser, etc.

(10:18) - Les accompagner pour qu'ils ne se retrouvent pas formatés par des "influenceurs".

(14:25) - Les arnaques sur le net ; l’Australie veut introduire la cybersécurité dans son programme scolaire (actualité mai 2021) ; leur apprendre à ne pas foncer tête baissée sur tout ce qui est dit.

(19:08) - Le cyberharcèlement.

(22:14) - Instagram envisage de créer une version pour les enfants entre 6 ans et 12 ans (actualité mai 2021)

(Sensibilisation des jeunes : le top 6 des bonnes pratiques).

(24:20) - (1) "Faire attention à ma privée et à mes données personnelles".

(27:29) - (2) "Être vigilant avec qui je discute".

(29:26) - (3) Se poser les bonnes questions avant de publier, liker ou commenter.

(33:52) - (4) Développer sa culture générale pour être critique face aux informations.

(38:17) - (5) Parler à un adulte en cas de problème. Le dialogue est important.

(42:04) - (6) Se déconnecter pour vivre IRL.

(Ressources)

(45:57) - e-enfance, Cybermalveillance et les As du Web.

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Attaques ransomware - retour d'expérience | #22

Tue, 25 May 2021 12:00:00 +0000

Seconde partie de mon échange avec Jérôme SAIZ - Spécialiste des crises cyber chez OPFOR Intelligence.

✅ CONTENU✅

Les méthodes d'intrusions les plus fréquentes

La difficulté d'être au top de son active directory

La difficulté de savoir si l'attaquant est toujours dans le réseau

La difficulté associée aux accès légitimes

✴️ Retrouver Jérôme SAIZ

Son profil LinkedIn : lien ici

Son site OPFOR Intelligence - lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La gestion des crises cyber | #21

Tue, 18 May 2021 12:00:00 +0000

Première partie de mon échange avec Jérôme SAIZ - Spécialiste des crises cyber chez OPFOR Intelligence.

✅ CONTENU✅

(06:01) - Les premiers échanges avec une entreprise victime d'une attaque.

(10:19) - Le type d'entreprises avec qui il travaille.

(12:47) - La prise de conscience des risques + ce qui a changé avec les ransomwares.

(16:54) - Comprendre le périmètre touché par l'attaque : les 72h du RGPD, les questions à se poser, le temps d'investigation requis.

(21:16) - Communication interne & externe, incompréhension des victimes, réponse à incident.

(24:33) - Après une attaque, le but n'est pas de repartir vite. C'est de repartir avec de la confiance.

(27:01) - La communication de crise de FireEye.

(30:05) - Communication - le fait de faire preuve de transparence.

(33:58) - Ne pas faire de réponse à incident peut générer beaucoup de frustration due au manque de visibilité.

(38:52) - Il est important de prendre soin de ses équipes.

(42:09) - Les 3 idées fortes à retenir.

✴️ Retrouver Jérôme SAIZ

Son profil LinkedIn : lien ici

Son site OPFOR Intelligence - lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Ask Anything | RGPD | Big Data, Privacy by Design | #20

Tue, 04 May 2021 12:00:00 +0000

Seconde partie de mon échange avec Florence FENIOU - Consultant en Intelligence Économique

Dans cette série "Ask Anything", je pose à mes invité(e)s les questions que vous souhaitiez que je leur pose.

Pour participer aux prochains épisodes, abonnez vous à ma newsletter.

✅ CONTENU✅

(01:18) - "Le RGPD est-il un prolongement de l’Intelligence économique?"

(06:12) - "Étant responsable informatique je peux devenir DPO ou il y a-t'il un conflit d’intérêt"

(11:15) - "La problématique du Big Data du point de vue du Privacy by Design du RGPD"

(18:49) - "Le Blockchain et le RGPD"

(22:52) - "Violation des données personnelles, quelle est la responsabilité d'un sous-traitant ?"

(28:39) - "Le positionnement du DPO vis à vis de sa SSI pour limiter les fuites de données, via des failles applicatives, etc."

✴️ Retrouver Florence FENIOU:

Son profil LinkedIn : lien ici

Son site Bee's Eye - lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La cybersécurité au cœur de l'intelligence économique (IE) | #19

Tue, 27 Apr 2021 12:00:00 +0000

Première partie de mon échange avec Florence FENIOU - Consultant en Intelligence Économique

✅ CONTENU✅

(02:24) - La place de la cybersécurité dans l'intelligence économique (IE).

(06:31) - L'information entrante/ L'information sortante.

(10:49) - L'aspect offensif et l'aspect défensif de l'intelligence économique.

(14:19) - "Faire de la sécu pour faire de la sécu ça n’a pas de sens. La démarche est plus globale. Pour que ça fonctionne, il faut que les 3 piliers soient alignés".

(18:59) - L'approche à 360 degrés.

(22:19) - La relation IE, RGPD et ISO 27001.

(25:22) - Pilier numéro 1 : La veille.

(30:56) - Pilier numéro 2 : La sécurité et sûreté.

(39:46) - Pilier numéro 3 : La communication et influence.

(45:03) - L'idée forte à retenir.

✴️ Retrouver Florence FENIOU:

Son profil LinkedIn : lien ici

Son site Bee's Eye - lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

RSSI / Opération : Une frontière plus ou moins fine | #18

Tue, 20 Apr 2021 12:00:00 +0000

Seconde partie de mon échange avec Jean-Paul JOANANY - RSSI chez Action Logement.

✅ CONTENU✅

(01:19) - Ce sont des problèmes d’efficacité de la cyber, mais aussi des problèmes humains, d’ambition, et de politique interne.

(06:55) - Il faut les soutenir (métaphore du coach de foot).

(09:26) - Se retrouver dans un rôle juge/arbitre.

(13:14) - Parfois, avoir un RSSI avec un profil plus technique permet d'être plus opérationnel.

(15:56) - Retour d'expérience de Jean-Paul : le comportement des DSI est souvent le même.

(18:55) - Le RSSI veut-il parfois être le "calife à la place du calife" ?.

(21:32) - "La cyber c’est à la mode : Il y a ceux qui en parlent …".

(25:45) - Les relations entre le RSSI et le Responsable Sécurité Opérationnelle.

(29:51) - Dans le meilleur des mondes, à quoi ressemble & comment se développe, une cohésion parfaite.

(36:18) - Message de Jean-Paul.

✴️ Retrouver Jean-Paul JOANANY:

Son profil LinkedIn : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

De quoi sont faites les journées d'un RSSI | #17

Tue, 13 Apr 2021 11:48:00 +0000

Première partie de mon échange avec Jean-Paul JOANANY - RSSI chez Action Logement.

✅ CONTENU✅

(03:10) - Quel calcul a fait Jean-Paul & pourquoi il l'a fait

(05:05) - Être occupé vs être productif

(06:39) - Les activités d'un RSSI & les jours hommes associés

(18:33) - Les différents profils de RSSI

(21:39) - Le RSSI ne peut / doit pas être seul

(27:19) - Les enseignements que Jean-Paul en a tiré

(28:53) - Quelles ressources

(37:00) - L'idée forte à retenir

✴️ Retrouver Jean-Paul JOANANY:

Son profil LinkedIn : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Ask Anything | RSSI, DPO, Officier de Réserve en cyberdéfense | #16

Tue, 06 Apr 2021 12:00:00 +0000

Ask Anything est une nouvelle série d'épisodes dans laquelle vous avez la parole.

Dans cette série, je pose à mes invité(e)s les questions que vous souhaitez que je leur pose.

Questions répondues par Yohann BAUZIL- RSSI France & DPO chez Airbus OneWeb Satellites & Officier de Réserve en cyberdéfense.

✅ CONTENU✅

(01:43) - (Cyberdéfense) il y a t-il des formations militaires spécifiques ?

(04:44) - "Comment envisager la sécurité des flux entre l'UE et les EU après "Schrems 2" sous l'angle du RSSI ?"

(07:25) - "Est-il possible de décrire une journée type de cet invité ?"

(10:21) - Est-ce un email de phishing ? > Ne pas avoir peur de poser la question

(13:53) - "Peut-on raisonnablement penser qu'à court ou moyen terme l'espace devienne un nouveau champ d'opération cyber pour les états ?"

(17:46) - "À l'heure où les budgets accordés à la cybersec sont très serrés, voire faibles, quelles priorités en fonction du budget ?"

(20:04) - On parle souvent d'amélioration continue en cybersécurité. Quelles types d'actions à appliquer ?"

(24:30) - "Par quels moyens peut on sensibiliser, former et faire acquérir de bons réflexes aux utilisateurs sans faire de user bashing ? Merci d’avance à l’invité pour ces réponses !"

(28:43) - "Comment s'assure t-il de la prise en compte de la cyber sécurité tout au long du cycle de vie du produit/solution" Incluant les fournitures de fournisseurs ? Respect des normes ? Audit ? ..."

(31:43) "Bonjour, vu les diverses activités de votre futur invité, ce dernier arrive-t-il à avoir une vie perso ?"

✴️ Retrouver Yohann:

Son profil LinkedIn : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Comment avoir une stratégie de SSI adaptée au business | #15

Tue, 30 Mar 2021 12:00:00 +0000

Première partie de mon échange avec Yohann Bauzil- RSSI France chez Airbus OneWeb Satellites. Il est également, DPO (fonction additionnelle) & Officier de Réserve en cyberdéfense.

✅ CONTENU✅

(01:41) - Intro de Yohann + son profil de RSSI, de DPO (fonction additionnelle) & Officier de Réserve en cyberdéfense.

(06:10) - L'approche générale de Yohann de la cyber, en tant que RSSI

(08:54) - Répondre "non" à une demande business (dans certains contextes) n'est pas acceptable

(12:20) - Souvent le business ne vient pas avec un besoin. Mais vient avec une solution à son besoin

(15:23) - "Si la sécurité n'est pas alignée sur les besoins du business. Les gens feront sans la sécurité"

(19:19) - En tant que RSSI, comment répondre aux besoins business

(24:42) - 4-5 mesures qui seront appliquées à 100% vs un plan de sécurité de 20 pages qui ne sera jamais lu

(28:20) - Mettre une station blanche pour mitiger le risque des clés USB, à côté de la machine à café

(36:04) - Les 3 idées fortes à retenir

✴️ Retrouver Yohann Bauzil:

Son profil LinkedIn : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La sécurisation des containers (Docker, etc) | #14

Tue, 23 Mar 2021 13:00:00 +0000

Mon échange avec Rachid ZAROUALI - Architecte Cloud Indépendant.

✅ CONTENU✅

(02:56) - Containers 101: Containers vs. Machines virtuelles

(05:53) - Stratégie de communication entreprise - Mise en avant de l’implémentation des containers

(08:43) - Migration vers les containers: l’aspect humain, les process, la sécurité

(12:40) - Une application sécurisée peut ne plus l'être dans 6 mois

(21:20) - In Cloud We Trust?

(27:00) - La sécurité est l’affaire de tous & exemples

✴️ Retrouver Rachid ZAROUALI:

Sur LinkedIn : lien ici

Sur Twitter: lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

L'AppSec - le développement d'applications sécurisées | #13

Tue, 16 Mar 2021 12:55:00 +0000

Mon échange avec Azziz ERRIME - Co-fondateur de l'AppSec Academy et Continus.io.

✅ CONTENU✅

(02:43) - Le sens du terme “Security By Design”

(04:22) - Prendre en compte la sécurité le plus tôt possible pour réduire les coûts

(06:30) - Erreurs de sécurité

(08:25) - Les failles applicatives sont les principales sources d’infections et de piratages

(11:22) - Sensibilisation - se mettre dans la peau des attaquants

(16:03) - Modélisation de la menace (threat modeling)

(22:44) - Comment former ses développeurs à la sécurité

(28:45) - L’intérêt pour les développeurs a être formé à la sécurité

✴️ Retrouver Azziz ERRIME:

Sur LinkedIn : lien ici

L'AppSec Academy : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La biométrie comportementale | #12

Tue, 09 Mar 2021 13:00:00 +0000

Première partie de mon échange avec Christophe Rosenberger - Directeur du laboratoire de recherche en sciences du numérique, le GREYC.

✅ CONTENU

(01:36) - Qu'est-ce que la biométrie (reconnaissance faciale, empreintes digitales, etc.) ?

(04:49) - Un exemple d'un usage de la biométrie : la surveillance d'examens à distance

(07:38) - Obtenir des informations sur des personnes à leur façon de taper au clavier

(12:32) - Les intentions de l'usage des données collectées sont variées

(16:33) - Ne pas faire attention sous prétexte que beaucoup de données sont déjà disponibles

(19:50) - La biométrie comportementale est-elle la clé de la cybersécurité ?

(25:09) - La biométrie ne remplace pas le principe de l'authentification forte, mais elle en est complémentaire

(28:29) - Une des limites de la biométrie

(35:03) - L'idée forte à retenir

✴️ Retrouver Christophe Rosenberger:

Toutes ses publications professionnelles : lien ici

LinkedIn : lien ici

Son talk sur YouTube : lien ici

Le laboratoire de recherche en sciences du numérique, le GREYC : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Les mots de passe - le bon & le moins bon | #11

Tue, 02 Mar 2021 13:00:00 +0000

Première partie de mon échange avec Christophe Rosenberger - Directeur du laboratoire de recherche en sciences du numérique, le GREYC.

✅ CONTENU

(02:03) - Intro

(03:36) - D'où est venue la nécessité d'utiliser des mots de passe

(05:11) - La différence entre authentification et identification

(06:46) - Le principe des mots de passe est simple, la protection de sécurité des données elle, est plus complexe

(09:46) - Quelques conseils importants pour gérer ses mots de passe

(17:27) - Ne pas oublier d'utiliser le multi-factor authentification pour les gestionnaires de mots de passe eux mêmes

(22:58) - Choix des mots de passe - les fausses bonnes idées

(29:40) - Le problème des astuces pour créer ses propres mots de passe

(31:48) - Un exemple (parmi tant d'autres) qui pourrait remplacer les mots de passe dans le futur : les empreintes de navigateur

(34:40) - Certaines attaques ne nécessitent pas un background poussé

(39:10) - L'idée forte à retenir

✴️ Retrouver Christophe Rosenberger:

Toutes ses publications professionnelles : lien ici

LinkedIn : lien ici

Son talk sur YouTube : lien ici

Le laboratoire de recherche en sciences du numérique, le GREYC : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Les conséquences associées aux Cyber incidents | #10

Tue, 23 Feb 2021 14:00:00 +0000

Première partie de mon échange avec Christophe Bianco - Co-fondateur d'Excellium Services.

✅ DÉTAIL DE L'ÉPISODE

(00:52) - Les technos les plus secures sont celles que l'on maîtrise

(10:24) - Le RGPD & la problématique de la réponse à incident / RGPD 72h vs 10-12 jours pour comprendre le périmètre touché

(15:19) - Conséquences, pas que des vols de données, réputation qui prend un coup, l'arrêt de l’activité

(18:44) - Appréciation du risque : déterminer quelles sont ses données sensibles

(24:58) - Communication de crise, cas réels : British Airways et FireEye

(29:52) - Qui a lu le plan de remédiation de FireEye ?

(31:26) - Communication de crise, être pédagogique et partager ?

(35:24) - Les idées à retenir de ce podcast et du précédent (>> pour rappel j'ai découpé mon échange avec Christophe en deux épisodes)

✴️ Retrouver Christophe:

LinkedIn : lien ici

Excellium Services : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

L'alignement entre les responsables sécurité & les autres dirigeants | #09

Tue, 16 Feb 2021 14:00:00 +0000

Première partie de mon échange avec Christophe Bianco - Co-fondateur d'Excellium Services.

✅ CONTENU

(03:21) - Les connaissances cyber des dirigeants (retour d'expérience de Christophe)

(06:02) - L'éducation cyber du board & comment aborder le sujet

(16:15) - Rapports d'audit ou de pentest - l'important est de comprendre le problème

(20:24)- Clairement exposer ses objectifs de sécurité

(24:23) - La culture sécurité d’une entreprise ne dépend pas directement de son industrie

(27:07) - Les objectifs du board d’un point de vue sécurité + Quelles devraient être les questions que les board members devraient poser. L'importance d'avoir une personne qui fait autorité en sécurité dans un board - pour parler le même langage

(33:25) - Le manque d'alignement avec le board

(36:57) - Savoir utiliser le même langage & comprendre l'angle de vue des autres

(41:35) - Bilans financiers vs Dashboard de sécurité + d'autres exemples

✴️ Retrouver Christophe:

LinkedIn : lien ici

Excellium Services : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Les applications de messagerie instantanée | #08

Tue, 09 Feb 2021 15:22:00 +0000

Aujourd'hui, la seconde partie de mon échange avec Linda Heurtebize, Consultante en cybersécurité, co-présidente du groupe Cyber de Télécom Paris Alumni.

✴️ Retrouver Linda:

LinkedIn : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La sécurité des réseaux sociaux / Facebook, LinkedIn, etc. | #07

Tue, 02 Feb 2021 13:40:00 +0000

Dans ce podcast, j'ai pu échanger avec Linda Heurtebize, Consultante en cybersécurité, co-présidente du groupe Cyber de Télécom Paris Alumni.

✅ CONTENU

(00:39) - Début de l'échange - Linda se présente.

(05:05) - Actualité (en janvier 2021) liée à Facebook (concurrence déloyale, WhatsApp).

(08:06) - Amalgame : la sécurité de l’information vs la sécurité des communications.

(10:53) - Pourquoi les réseaux sociaux ont pris de l'ampleur & quelles plateformes pour quels usages.

(18:18) - Quand c'est gratuit - c'est nous le produit.

(23:06) - Les amendes destinées à Facebook / la CNIL et l'évolution des gestions des cookies.

(25:05) - Les risques associés aux réseaux sociaux.

(27:32) - Un exemple concret de risques à travers LinkedIn - le risque est partout.

(33:22) - Sur Facebook tout est source de menace / Sur les réseaux sociaux. Rien n'est privé. Tout est public.

✴️ Retrouver Linda:

LinkedIn : lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Comment exécuter un programme de sensibilisation | #06

Tue, 26 Jan 2021 14:00:00 +0000

Seconde partie de mon échange avec Ayoub SABBAR, PDG & Fondateur de Ornisec.

✅ CONTENU

(00:46) - Comment lancer une campagne de phishing + l'outil open-source de la CERT Société Générale (Swordphish)

(05:47) - En cas de doutes d'un email de phishing, ne pas avoir peur de poser la question au service informatique

(07:32) - Développer une culture cyber, une posture sécurité

(14:38) - Quelles métriques d'efficacité + comment s'en servir

(20:15) - Comment mettre en valeur ces rapports pour avoir du budget

(22:30) - Tips et retour d'expérience d'Ayoub (penser aux prestataires etc.)

(32:45) - L'idée forte à retenir de ce podcast

✴️ Retrouver Ayoub:

LinkedIn : lien ici

Twitter : @sabbarayoub

Ornisec : lien ici

Club Cybersécurité - Sécurité Informatique - lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Les 4 premières étapes d'un programme de sensibilisation | #05

Tue, 19 Jan 2021 14:00:00 +0000

Dans cet épisode, Ayoub SABBAR, PDG & Fondateur de Ornisec, nous parle des 4 premières étapes d'un programme de sensibilisation.

✅ CONTENU

(04:27) - Quels indicateurs indiquent un besoin de sensibilisation

(08:34) - Comment identifier les thématiques à traiter

(13:35) - Durée des actions à mettre en place

(15:41) - Quel périmètre (les nouveaux arrivants, les stagiaires, etc.)

(18:13) - Quelle stratégie de communication

(20:46) - Sensibiliser le management

(23:36) - Qui sont les sponsors nécessaires & comment les convaincre

(25:13) - Les démarches recommandées par Ayoub

(29:44) - Deux approches : approche de conformité vs approche accès sur le résultat

(32:58) - La sensibilisation concerne tout le monde - même les informaticiens

(36:25 - La mauvaise approche de simplement "cocher des cases" juste pour dire qu'un audit a été fait etc.

(39:22) - Différence entre savoir & agir

(41:32) - Ratio théorie vs pratique + outils e-learning

✴️ Retrouver Ayoub:

LinkedIn : lien ici

Twitter : @sabbarayoub

Ornisec : lien ici

Club Cybersécurité - Sécurité Informatique - lien ici

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La transition DevOps > DevSecOps | #04 - (2/2)

Tue, 12 Jan 2021 14:00:00 +0000

Cet épisode est la seconde partie de mon échange avec Samuel ANTUNES, Consultant DevSecOps chez OCTO Technology.

✅ CONTENU

(01:45) - Security champion, Security Ambassador, Coach Security

(07:25) - Sécurité à la conception de l'application

(08:58) - Code Review - Quoi challenger ? d'un point de vue de sécurité, et pas seulement les fonctionnalités

(10:27) - Secure coding policy - Identifier les failles possibles sur une application

(13:11) - La participation à la communauté sécurité de l'entreprise

(14:48) - Récupérer les inputs

(18:15) - Quels outils mettre en place + exemple d'un site web

(22:45) - Décalage entre l'évolution rapide des versions de développement et les outils de sécurité

(25:27) - Process. Outils SAST (analyse statique), DAST (analyse dynamique), SCA (software composition analysis), CCA (les critères de sécurité des containers, Docker etc)

(32:31) - Rajouter des tests infrastructure

(36:14) - Aller plus loin > avec des "templates" définis par une équipe d'architecture

(41:14) - Sécurité infra - "observatory" de Mozilla (pour vérifier la redirection HTTPS d'un site etc. Analyse serveur pour donner une note etc.)

(43:50) - L’idée forte que Samuel veut transmettre à travers ce podcast

✴️ Retrouver Samuel:

LinkedIn : https://bit.ly/2XcXuup

Twitter : @saamuelantunes

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

La transition DevOps > DevSecOps | #03 - (1/2)

Tue, 05 Jan 2021 14:00:00 +0000

Dans cet épisode je reçois Samuel ANTUNES, Consultant DevSecOps chez OCTO Technology.

✅ CONTEXTE

(02:54) - Comment Samuel défini la culture DevOps

(09:32) - Comment Samuel défini la culture DevSecOps

(14:00) - Chaque entreprise a un niveau de maturité différent

(16:46) - Son ressenti de maturité du marché français en rapport au DevSecOps

(21:30) - La différence de maturité entre la France et les US

(25:13) - Les contraintes du Time to Market vs la Sécurité

(31:16) - La dette technique & dette de sécurité

(34:46) - Faire de la sécurité dès le début

(35:26) - Exemple de l'importance du développeur d'un point de vue sécurité

(38:10) - Critères d'acceptation (Secure Application Criteria)

(39:30) - La "secure user story" &"evil user story"

✴️ Retrouver Samuel:

LinkedIn : https://bit.ly/2XcXuup

Twitter : @saamuelantunes

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Le Bug Bounty / prime à la faille détectée | #02

Tue, 29 Dec 2020 15:00:00 +0000

Dans cet épisode, je reçois Yassir KAZAR, CEO & Co-fondateur de Yogosha, qui est une plateforme française de Bug Bounty.

✅ CONTENU

(02:28) - L'évolution du Bug Bounty & quels en sont les grands principes ?

(06:25) - Le Bug Bounty aujourd'hui

(07:38) - Les défis des entreprises auxquels répond le Bug Bounty

(10:13) - Le cadre légal d'intervention de cette pratique

(13:02) - Transfert de compétences grâce au Bug Bounty

(19:25) - Les vulnérabilités trouvées, doivent-elles être corrigées ? & la communication avec la communauté des hackers

(25:24) - Les GAFAS (security vs privacy)

(28:55) - Ce qui ce cache derrière le terme "hacker", l'usage de ce terme & les clichés associés

(34:19) - Les aspects, de virtuosité technologique et de communauté, associés aux hackers

✴️ Pour retrouver Yassir:

LinkedIn : https://bit.ly/3ptkYY2

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

L'ingénierie sociale / social engineering | #01

Tue, 22 Dec 2020 15:00:00 +0000

Dans cet épisode, Vincent RÉMON, Lead Cybersécurité à onepoint.

✅ CONTENU

(02:25) - Pourquoi Vincent rajoute le facteur humain dans le modèle OSI

(03:33) - Définition de l'ingénierie sociale + le profil type d'un ingénieur social

(04:46) - 70 % des attaques sont issues de vulnérabilités humaines

(06:39) - Moyens utilisés par l'ingénieur social (exemple de l'escabeau et du casque de chantier, etc.)

(10:26) - L'ingénierie sociale en elle-même, n'est pas automatiquement synonyme de malveillance (exemples des recruteurs, commerciaux, les enfants)

(12:32) - Le capital : social, de confiance, d'informations, de sympathie, d'autorité, etc.

(14:32) - Les biais cognitifs Dunning-Kruger, le syndrome de l'imposteur, l'illusion de corrélation

(22:33) - Les vecteurs utilisés par l'ingénieur social pour le travail de reconnaissance

(25:20) - Les réseaux sociaux

(27:50) - Les gens ne pensent jamais donner des informations cruciales. Très possiblement à tort.

(29:42) - Les arnaques au président

(31:43) - "Ne rien avoir à cacher", ne veut pas dire "tout avoir à montrer"

(33:37) - Exemples d'informations qu'un ingénieur social voudrait recueillir + OSINT

(37:32) - Les moyens de sensibilisation et outils pour se protéger

(39:45) - Faire aussi un gros focus sur les nouveaux arrivants

(40:54) - Arnaque Bitcoin sur Twitter

(45:00) - L'idée forte à retenir du podcast

✴️ Pour retrouver Vincent:

Site onepoint : http://bit.ly/3haNAml

LinkedIn : http://bit.ly/LinkedIn-Vincent-Remon

Son channel YouTube : http://bit.ly/3gZxJa7

✴️ Me retrouver

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Introduction au podcast | #0

Thu, 03 Dec 2020 04:37:10 +0000

(MAJ 03.11.21)

Dans cet épisode 0, je vous présente en quelques mots :

Pourquoi ce podcast a été créé
Quel type de contenu vous pourrez écouter à travers celui-ci
Le format
Où le trouver

✴️ Me retrouver