Description : L'évolution des codes malveillants (" exploit "), des outils ou des méthodes de développement qui concernent ce domaine est souvent vécue uniquement comme une menace supplémentaire sur le SI.
Or il tout a fait possible pour une entreprise d'en tirer aussi un bénéfice dans le cadre de ses actions de sécurisation.
Après une analyse de l'évolution des " exploits ", il sera fait la démonstration des outils les plus avancés. Enfin nous expliquerons pourquoi et comment en tirer profit. Nous orienterons cette explication sur les bénéfices financiers, de sécurité et managériaux pour l'entreprise ou les équipes de sécurité.

Description : De nouveaux outils très conviviaux sont de plus en plus utilisés par le grand public sur l'Internet : blog, messagerie instantanée, téléphonie Internet, … Ces outils sont déjà maîtrisés par la jeune génération qui arrive sur le marché du travail et peuvent être utiles dans un environnement de travail. Ils ont donc tendance à pénétrer dans le monde du travail. Ils peuvent être installés très facilement, sans contrôle, par les utilisateurs non informaticiens sur leur poste. Ils génèrent alors de très importantes vulnérabilités pour le système d'information de l'entreprise.
Sans trancher sur l'interdiction ou non de chaque produit, … la présentation proposera de prendre du recul pour définir quelles sont les vulnérabilités induites par ces outils, avec les critères classiques de la sécurité mais aussi en en introduisant d'autres. Seront donc listés certains éléments à prendre en compte pour évaluer le risque d'un produit pour l'environnement de travail, souvent en appliquant les simples règles du bon sens.
L'imagination dans le domaine des applications sur l'Internet est très fertile et de nouveaux outils/services arriveront. On peut penser que cette démarche pourra être ré-utilisée.

Description : Comment la reconstruction complète d'une jeune administration a pu dès 2001 et avec l'adhésion forte de toute une nation, choisir un média unique pour la totalité des liens électroniques du citoyen avec la Gestion Publique. (Carte d'Identité, carte de Ville, carte d'électeur pour la e-démocratie, carte d'assuré social…)

Description : L'intervention devrait permettre de préciser le contexte particulier du secteur public pour la mise en œuvre d'une réglementation interne des usages et des pratiques sur les systèmes d'information de l'état.
Un point sera fait sur la situation actuelle et les conséquences directes et indirectes de l'ouverture massive des systèmes d'information de gestion sur internet et les risques induits à la fois pour l'institution et pour les usagers élèves, parents et/ou personnels.
Un point particulier permettra de mettre en exergue les difficultés inhérentes aux modalités de concertation et de consultation des différents échelons du système éducatif : cette démarche s'avère capitale pour susciter l'adhésion du plus grand nombre.

1. Introduction
2. Présentation des activités métiers de l'éducation nationale et son périmètre d'action
3. Le développement des usages numériques au sein de l'EN et les enjeux futurs
4. La situation actuelle et les risque sous-tendus par l'ouverture progressive des SI sur l'extérieur.
5. Les orientations stratégiques du ministère en matière de sécurité des systèmes d'information.
6. Des chartes oui ? pour qui ? pour quels usages ?
7. Le processus complexe de genèse et d'adoption des chartes au sein de l'institution.
8. Les effets attendus par la mise en place de la charte.
9. Conclusion

Description :

Description : Sécuriser l'Identification du Citoyen ?- L'Usurpation de l'Identité est-elle quantifiable ? Est-ce un phénomène nouveau, le risque est-il supérieur aux décennies précédentes ? Et si c'était le prix de la modernité, peux-t-on innover sans risques nouveaux ? Notre désir d'un monde sans fautes et sans risques n'est -il pas une forme nouvelle de " veau d'or ? "

Description : Face aux nombreuses menaces contre la vie privée qui existent du fait de l'utilisation d'Internet (profiling, traces électroniques, ...), les solutions techniques tendant à préserver l'anonymat des utilisateurs en leur permettant de ne pas dévoiler leur véritable identité se sont développées.
Après un rapide état de l'art et une démonstration de quelques unes de ces solutions (ex. TOR, Freenet, Privoxy, ...), nous nous interrogerons sur le point de savoir dans quelle mesure l'anonymat est un droit protégé et comment il est encadré par la loi ? -(ordre juridique concerné : France).

Description :

Description :

Description : Cette présentation synthétise les technologies mis en place par le Conseil Général de la Moselle pour assurer une mobilité en toute sécurité pour ses différents agents.
- Accès à partir d'un Mobile ou d'un Smartphone :
Avec " BlackBerry ", " Outlook Mobile Access (OMA) " et " Exchange ActiveSync (EAS) "
- Mobilité à travers le réseau Internet
Depuis une connexion au réseau Internet, il est possible d'accéder à plusieurs applications publiées du Conseil Général de la Moselle, ou de créer temporairement un bureau virtuelle à distance afin d'accéder à toutes les ressources du système d'information du Conseil Général de la Moselle. " Outlook Web Access (OWA) ", " Application Publiées", " VPN "
- Mobilité dans le réseau interne avec le WIFI
Des systèmes de réseau sans-fil on été installés dans les réseaux locaux du Conseil Général de la Moselle. Ces implantations ont concerné en majorité des salles de réunion, et parfois lors de déploiement de nouveaux matériels dans des bureaux dans le câblage étaient inexistant.

Description : Si l'open source en tant qu'offre est un phénomène presque aussi ancien que les progiciels, l'utilisation de cette technologie en entreprise est un phénomène encore récent. Cette offre logicielle a des spécificités qui lui sont propre et de ce fait entraîne des risques qui sont aussi spécifiques.
L'objectif de la présentation est de faire l'inventaire de ces risques spécifiques afin d'indiquer les mesures que les entreprises doivent prendre pour y faire face.

Description : Bien que l'obtention de l'engagement de la direction soit considérée comme une condition essentielle de la réussite de la mise en oeuvre des programmes de sécurité de l'information, dans la pratique seules quelques organisations appliquent cette méthode top-down à temps. La sécurité est encore souvent un aspect qui ne bénéficie que d'une attention et d'un engagement restreints au sein de l'entreprise et qui est trop souvent considéré comme étant l'affaire du service des TI. On se préoccupe plus des aspects techniques de la sécurité de l'information que des aspects liés au processus d'affaires, comme l'engagement du management pour la sécurité de l'information, la mise en place de règles de conduite et de standards, la réalisation d'analyses de risques et l'application d'un système adéquat de contrôles pour améliorer le comportement du personnel. Après une introduction sur le sujet, cette présentation traite principalement des moyens pragmatiques d'obtenir l'engagement de la direction pour intégrer la sécurité dans les projets. La présentation se termine par les points suivants: Enseignements, Ce qu'il faut faire et ce qu'il ne faut pas faire, Recommandations.

Description : Le 18 Juin 1815, Napoléon 1er perdait une ultime bataille à Waterloo. Cette défaite est difficilement comprehensible en dehors d'un context plus global. Quelle était sa cible ? Quel a été l'impect des batailles précédentes à Ligny et 4-Bras ?
Il est possible d'établir un lien entre cette bataille et la sécurité numérique. Entre le hacker et la cible, se tienennt différentes lignes de defense qui réduiront les capacités d'intrusion et l'impact des attaques au fur et à mesure que l'on s'enfonce vers le coeur du système d'information. En réduisant les capacités de rebonds, en ralentissant la progression du hacker et en désorganisant sa logistique, il devient possible de protéger efficacement les ressources critiques de l'entreprise.

Description : Le système d’information se complexifie. Les composants sécurité se multiplient. Comment dans ce cadre traiter la multiplicité des informations. Les solutions de corrélations existent mais ne se suffisent pas à elles-mêmes. Cette présentation éclaire sur les principes et les enjeux de ces solutions et les approches novatrices sur le plan de la corrélation.

Description :

Description :

Description : La dématérialisation des marchés publics en France a maintenant un an : 1er janvier 2005. Plus de 50 entreprises ont proposés des solutions sous forme de services en ligne ( mode ASP0 ou de logiciels a installer au sein du système d'information de l'acheteur public. Les exigences de sécurité de ce type d'applications qui sont comparables a celle d'un tiers de confiance, sont fortes.
Faute d'homologation, les acheteurs publics n'ont aucune garantie quant a la solution qu'ils ont choisie et n'ont pas les moyens de qualifier les solutions du marché.
Rappels des exigences :
Horodatage,
Chiffrement
Signature
Gestion de la preuve
Archivage
et identification des meilleures pratiques.

Description : Le risk manager doit veiller à maintenir l'intégrité et la valeur des actifs de l'entreprise. Les risques liés au système d'information font partie intégrante des risques majeurs gérés par le RM, car les SI sont au cœur même de l'activité de l'entreprise.
Mais la complexité des risques liés au SI nécessite une analyse suffisamment précise par le RSSI, qui doit permettre ensuite au RM de planifier la couverture du risque opérationnel (dommage, fraude, piratage, gestion de crise, plan de secours…) lié au SI.
Le RM doit arbitrer entre plan d'action prévention/protection et couverture par l'assurance.

Le triptyque ainsi formé par le RM, le RSSI et l'assureur favorise alors une nouvelle culture du risque et de la sécurité au service de la compétitivité.

Description : Le WiMAX (Worldwide Interoperability for Microwave Access) est la nouvelle technologie d’accès sans fil à la mode. De manière générale, le WiMAX est une technologie radio qui permet un accès données double sens à plusieurs mégabits par seconde sur une distance de plusieurs kilomètres, que ce soit en vue directe ou en vue indirecte.
Les mécanismes de sécurité de ce standard seront décrits et une analyse critique sera présentée.
Enfin sur les aspects opérationnels, nous décrirons des déploiements expérimentaux de la technologie WiMAX (dans version « accès fixe ») par France Télécom. Ces déploiements expérimentaux ont été lancés dans des zones isolées en France, afin de fournir un accès de type DSL à de multiples clients et entreprises. Nous présenterons alors un retour d’expérience sur ces déploiements.

Description : Les réseaux Wi-Fi font maintenant partie du paysage informatique de toute entreprise. Mais cette démocratisation doit être prise au serieux lorsqu'il s'agit d'une technologie radioélectrique. Les avancées en normalisation permettent de déployer des solutions robustes, mais il reste certaines problématiques sérieuses telles que les points d'accès
illégitimes. Nous présenterons notre retour d'expérience dans ce domaine.

Description : La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite Loi " Informatique et Libertés ", a été profondément modifiée en 2004. Les principes posés afin de garantir la protection des données à caractère personnel ont été réaffirmés. Ils sont applicables que le traitement soit automatisé ou manuel, et quel que soit le secteur d'activité (public/privé).
Parmi ces principes figure le respect de la durée de conservation des données, qui ne saurait être illimitée, pendant du " droit à l'oubli " consacré par la CNIL. Courant 2005, les modalités relatives à l'archivage des données à caractère personnel ont été précisées par la CNIL, pour le secteur privé. D'un point de vue pratique les procédures à mettre en œuvre par les entreprises ont été clarifiées. Toutefois, la problématique de l'archivage des données s'inscrit dans un contexte actuellement mouvant, compte tenu de l'apparition de nouveaux " traitements " (tels que les blogs) et également eu égard à l'adoption de réglementations nouvelles dont l'impact ne peut être écarté (loi n° 2006-64 du 23 janvier 2006 relative " à la lutte contre le terrorisme ", projet de directive sur la conservation des données de connexion).

Description : La continuation de l'activité " envers et contre tout " est apparue ces dernières années comme une donnée essentielle de l'économie actuelle. A cet effet, les Plans de Secours Informatiques (PSI), les Plans de Reprise d'Activité (PRA) et les Plans de Continuité d'Activité (PCA) doivent être considérés comme des manifestations de cette même réalité. Ils se sont multipliés dans de nombreuses entreprises, à la fois pour " prévoir l'imprévisible " et pour répondre à certaines exigences légales. Ainsi, depuis 1997, les documents visant à assurer la continuité de l'activité dans les banques et dans les établissements financiers n'ont cessé de s'étoffer. Cette préoccupation, voire l'obligation juridique qui est induite, n'intéresse pas que la cible première visée par les textes d'origine bancaire, mais se généralise à l'ensemble des grandes, voire des moyennes entreprises. Ce qui laisse augurer un même mouvement pour les plans de continuation d'activité et donc des obligations identiques pour les sociétés d'une certaine importance financière.

Description : The legal frame of electronic commerce (trade) continues to be formed. In this frame, the ordonnance (french government act) n°2005-674 of 16 june 2005 has adapted the dispositions subordunating the conclusion, the validity or the influences of certain contracts to the annexed procedures for an electronic writing. This text has removed the principal legal obstacles regarding the formalism forbidding the tranfert of certain contracts using the electronic way. For example, those formalities have been defined : original, exemplaire, recommanded or simple letter and postmark or detachable forms. The electronic equivalents answering the same legal fonctions may be used under the reserve of respect of legal exigence and the adoption of the decrees in case of necessity. It is observed that the new perspectives will be available to the users and market actors.

Description : La continuation de l'activité " envers et contre tout " est apparue ces dernières années comme une donnée essentielle de l'économie actuelle. A cet effet, les Plans de Secours Informatiques (PSI), les Plans de Reprise d'Activité (PRA) et les Plans de Continuité d'Activité (PCA) doivent être considérés comme des manifestations de cette même réalité. Ils se sont multipliés dans de nombreuses entreprises, à la fois pour " prévoir l'imprévisible " et pour répondre à certaines exigences légales. Ainsi, depuis 1997, les documents visant à assurer la continuité de l'activité dans les banques et dans les établissements financiers n'ont cessé de s'étoffer. Cette préoccupation, voire l'obligation juridique qui est induite, n'intéresse pas que la cible première visée par les textes d'origine bancaire, mais se généralise à l'ensemble des grandes, voire des moyennes entreprises. Ce qui laisse augurer un même mouvement pour les plans de continuation d'activité et donc des obligations identiques pour les sociétés d'une certaine importance financière.

Description : Le cadre juridique du commerce électronique continue à se structurer. Dans ce cadre, l'ordonnance n°2005-674 du 16 juin 2005 a adapté les dispositions subordonnant la conclusion, la validité ou les effets de certains contrats à des formalités connexes à l'exigence d'un écrit électronique. Ce faisant, ce texte a levé les principaux obstacles juridiques liés au formalisme qui interdisait le passage de certains contrats par voie électronique. Désormais, des formalités tenant, par exemple, aux notions d'original, d'exemplaire, de lettre recommandée ou simple et de cachet de la Poste ou encore de formulaire détachable… sont définis. Des équivalents électroniques répondant aux mêmes fonctions juridiques peuvent ainsi être utilisés, sous réserve du respect des exigences juridiques et de l'adoption des décrets prévus le cas échéant. Il s'ensuit que de nouvelles perspectives s'ouvrent aux utilisateurs et prestataires.

Description : Vous disiez autrefois que le Droit n'est par essence pas le lieu de la Vérité ni de la Certitude mais l'instrument dont les sociétés démocratiques se sont dotées pour réguler l'incertitude.
la Sécurité Juridique a-t-elle besoin de perfection ? Le Juge n'est-il pas souverain ? L'erreur Juridique n'est elle pas la preuve que le Droit est une science Humaine et non une science exacte ?
Le Droit peut-il être utilisé pour sécuriser la prise de risque plutôt que pour justifier la non prise de risque ? Qu'est ce que cela change dans la pratique, dans l'enseignement du droit, quel conseil donneriez vous aux entrepreneurs que le risque juridique effraie ?

Description :

Description : Actuellement, les principales vulnérabilités exploitables dans les SI des entreprises, depuis l'extérieur mais aussi en interne, sont de type applicatif. Cela n'est pas sans raison: la sécurité est encore très mal prise en compte dans la vie des projets, si ce n'est pas du tout. Les conséquences de ces vulnérabilités applicatives sont souvent très graves: accès frauduleux, pertes de données, interruptions de service, pouvant conduire à des pertes financières considérables, voire à un
risque de cessation d'activité.
Cette présentation se propose, après avoir donné quelques exemples de vulnérabilités applicatives pouvant avoir des impacts importants, de présenter une méthode pragmatique permettant d'implémenter une démarche de sécurité dans les projets, afin d'obtenir un produit final suffisamment sécurisé et à un coût raisonnable.
Des exemples concrets et des retours d'expérience vécus par les intervenants, tous deux chargés de la sécurisation de grandes entreprises, permettront de tirer des enseignements profitables à tous.

Description :

Description :

Description : Dans le cadre de la mise en œuvre d'une politique de développement durable, le Groupe Devoteam a décidé de mettre en œuvre une Charte d'utilisation des systèmes d'information du Groupe Devoteam.

1. Comment a été identifié la nécessité d'avoir une Charte sécurité ?
2. Quelle a été la démarche de sa rédaction ?
3. Comment s'est faite la mise en œuvre de cette Charte au sein du Groupe ?

Description : Le mode ASP (applications logicielles hébergées) bouleverse le monde de l'édition des solutions de gestion. Depuis 2000, le marché évolue en faveur de ce nouveau mode d'accès. La composante " sécurité " est un des facteurs clés des prises de décision des entreprises et les éditeurs en ont pris conscience. De la sécurité de l'hébergement à la sécurité des connexions en passant par la continuité de service, nous vous ferons part de notre retour d'expérience en tant que plateforme ASP de solution CRM avec en complément le témoignage de la CCI de Paris.

Description :

Description : Depuis 2003, le Département de la Moselle entreprend la mise en place de la continuité de service des applications métiers auprès de ces agents départementaux. A cet effet et afin de mieux répondre aux besoins de continuité de service exprimés par la collectivité et de garantir la continuité de son activité, le Conseil Général de la Moselle a décidé d'engager une étude (voire refonte conséquente) sur l'architecture de son système d'information visant à garantir une meilleure sécurité et disponibilité de celui-ci :

Ø de la haute disponibilité de son réseau départemental
Ø de la réalisation d'une salle blanche de haute disponibilité
Ø de sa politique de sauvegarde basée sur le mise en place d'une solution de robot de sauvegarde (LTO2, DAT 8mm, SDLT x000, …)

En mettant l'accent sur des solutions de redondance et de plus haute disponibilité, le Conseil Général de la Moselle reste néanmoins conscient des limites de cette stratégie par rapport à un Plan de Continuité des Activités qui le garantirait contre tous les risques potentiels auxquels il est exposé.

Description : Le déroulement de la méthode de gestion des risques EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) n'est pas automatique et figé et dépend de nombreux facteurs. En effet, le niveau de détail et la manière de réaliser chaque activité varient selon la taille et la complexité du système étudié, la phase du cycle de vie, les livrables attendus, la disponibilité des acteurs…
Face à la complexité croissante et au niveau d'intégration et d'interconnexion élevé des systèmes d'information, il est nécessaire de mettre en œuvre une gestion globale des risques de sécurité pour l'ensemble du système d'information tout au long de son cycle de vie et impliquant les différents acteurs concernés. Une telle approche, dite " démarche d'homologation de sécurité " doit permettre d'identifier, d'atteindre puis de maintenir un niveau de risques de sécurité acceptable pour le système d'information considéré, compte tenu du niveau de protection requis.
La présentation constitue un retour d'expérience concret d'utilisation de la méthode EBIOS pour l'élaboration d'un dossier de sécurité. Ce dossier de sécurité permet à une autorité de se prononcer sur une homologation de sécurité d'un système au vu des risques résiduels. Cette démarche permet de sensibiliser les décideurs sur la valeur réelle du patrimoine informationnel de leur organisme et sur les impacts potentiels. Par exemple, un arrêt de l'activité métier dû à une panne matérielle peut engendrer une impossibilité à fournir le service mais aussi des pertes financières et une mauvaise image de marque.
L'approche couvre différentes phases projets, de l'expression des besoins à la mise en production.

Description :

Description : Ce débat a pour objet de reconstruire les éléments qui fondent une image positive de L'Identité et du rapport de l'Individu Citoyen à la collectivité.

Plus d'information...

Description : plus d'information .....

Description :

Description :

Description : La sécurité des données de l'entreprise et leur sauvegarde régulière sont des gages de pérennité de l'activité économique. Des solutions techniques sont désormais disponibles pour traiter la sauvegarde des données via les réseaux de télécommunication à des coûts adaptés à toutes les entreprises, quelle que soit leur importance.

Toutefois, au delà des aspects techniques des prestations proposées, il convient de définir leur niveau de qualité. C'est ainsi qu'un référentiel a été élaboré : il s'agit d'un corpus de règles universelles concernant le domaine de la sauvegarde à distance des données qui s'inscrit dans le cadre de la certification de service (loi n°94-442 du 3 juin 1994).

Le " Référentiel AFAQ Service Confiance ® Sauvegarde à distance de données numériques " publié au Journal Officiel le 24 juin 2001 a pour objectif d'accompagner les évolutions du marché.

Description : Selon Médiamétrie, il y aurait aujourd'hui en France 6 à 7 millions de blogs, soit 10 à 15000 nouveaux blogs chaque jour. L'engouement lié à l'usage des blogs dont la création est extrêmement simple pour un néophyte a notamment été mis en valeur récemment à l'occasion des évènements dans les banlieues de la fin de l'année 2005.
Les blogs sont constitués de pages personnelles qui laissent toutefois la possibilité aux visiteurs de procéder à des commentaires de toute nature au sein d'un forum qui a un caractère publique. Si la liberté d'expression est garantie, celle-ci dans les cas déterminés par la loi, ne doit par porter atteinte à la nation ainsi qu'à la personnalité des tiers ou de leurs biens. Il convient dés lors en amont de sensibiliser les bloggeurs, population jeune et souvent mineure, sur les risques qu'ils encourent de voir leur responsabilité pénale engagée à raison des contenus publiés.

Description :

Description : Une certification individuelle de sécurité atteste d'un niveau de connaissances et de bonnes pratiques par rapport aux standards du marché. Le CISSP (Certified Information System Security Professional) est un diplôme professionnel délivré par un organisme à but non lucratif. Le CISSP est classé parmi les leaders dans le domaine des certifications individuelles. L'obtention de ce diplôme instaure la confiance dans les relations de l'individu avec l'entreprise, ses clients, ses fournisseurs, ses partenaires ou auditeurs. Au travers de son propre parcours le présentateur vous donnera des éléments pour comprendre sa démarche et celle de son entreprise, mieux connaître cette certification et ses modalités d'obtention et vous fera part des bénéfices retirés. Enfin, pour clore la présentation, vous serez sollicités pour participer à un quiz ludique pour tester vos propres connaissances.

Description :

Description :

Description : Il est quelque peu surprenant de vouloir confronter des domaines aussi divers que la gestion de projet avec les approches processus et produits, le code Napoléon et le droit anglo-saxon avec les cycles de vie et les systèmes de management, ou encore les concepts de liberté avec les paradigmes organisationnels. Pourtant, le rapprochement de concepts aussi différents permet de mettre en évidence l'influence significative du respect de l'identité culturelle sur l'efficacité et l'efficience de l'organisation de la sécurité de l'information.

Certaines règles pratiques que l'on peut déduire peuvent optimaliser la mise en œuvre de la sécurité mais aussi aider dans l'utilisation de normes internationales , comme par exemple l'ISO/IEC 17799 (Code de bonne pratique pour la gestion de la sécurité de l'information ) ou l'ISO/IEC 27001 (Système de management de la sécurité de l'information) Code de pratique de management de la sécurité) .
C'est une telle réflexion que vous propose Eric Gheur, au travers d'anecdotes de la vie quotidienne ou vécues dans différents pays.

Description :

Description :

Description : La Sécurité de l'Identité Numérique est une disposition centrale de la fiabilité de ces nouveau titres numériques. La Biométrie semble devoir être l'avatar moderne de notre perception de la fiabilité donc de notre Confiance dans ces titres nouveaux. La Biométrie est-elle si fiable qu'on le dit ?. A quelle conditions ? Est-il raisonnable de vouloir faire confiance in fine à la machine plutôt qu'à l'homme - Est-ce que la part résiduelle d'incertitude est finalement un défaut ou une qualité désirable voire un élément paradoxal constitutif de notre sécurité ultime ? Où en est-on vraiment de la Biométrie aujourd'hui ?

Description :

Description :

Description :

Description :

Description : Le mode ASP (applications logicielles hébergées) bouleverse le monde de l'édition des solutions de gestion. Depuis 2000, le marché évolue en faveur de ce nouveau mode d'accès. La composante " sécurité " est un des facteurs clés des prises de décision des entreprises et les éditeurs en ont pris conscience. De la sécurité de l'hébergement à la sécurité des connexions en passant par la continuité de service, nous vous ferons part de notre retour d'expérience en tant que plateforme ASP de solution CRM avec en complément le témoignage de la CCI de Paris.

Description : La Commission Bancaire a promu depuis plusieurs années une démarche cohérente sur la mesure, le suivi et le contrôle des risques liés aux systèmes d'information dans les établissements de crédit. Elle a allié, dans une approche pragmatique, formalisation de bonnes pratiques élaborées en concertation avec la profession bancaire et les autres autorités concernées, réglementation et contrôle. Les derniers développements des dispositifs prudentiels, que ce soit au niveau international (Bâle II et sa transposition européenne : Capital Requirements Directive - CRD) ou national (évolutions récentes du Règlement 97-02 du CRBF sur le contrôle interne) sont très structurants pour les systèmes d'information et vont sans doute contribuer à renforcer le rôle et le positionnement des RSSI. De nouveaux chantiers et défis en matière de systèmes d'information continuent à s'ouvrir, sur lesquels des travaux de place sont engagés et qui continueront à mobiliser fortement les différents acteurs.

Description :

Description :

Description : Les nouvelles vulnérabilités touchant les réseaux informatiques sont découvertes et publiées quotidiennement. Mais en raison du manque d'information sur les vulnérabilités, l'évaluation du risque associé est complexe et difficile.

Dans le cadre de ses recherches, Gerhard Eschelbeck, Directeur Technique de la société Qualys, a collecté pendant plus de trois ans des informations et des statistiques sur les vulnérabilités, sur des centaines de milliers de systèmes et de réseaux. Ces données et analyses ont permis à Gerhard Eschelbeck de définir les Lois des Vulnérabilités ; cette étude unique en son genre permet aux entreprises de mieux qualifier les vulnérabilités et mieux comprendre comment protéger les réseaux et les systèmes des menaces émergeantes.

Description : Dans la pratique du Crédit ou des Investissements Bancaires pensez-vous qu'il soit possible de changer la culture de la Sécurité en une vraie culture positive du Risque ? Qu'est-ce qui rend les Banques si frileuses face aux initiatives entrepreneuriales ? A quoi tient l'écart de comportement entre investisseurs Outre atlantique et chez nous ? Le RSSI a-t-il une position qui peut accompagner la mutation des cultures ou bien est-ce un rôle captif de la Culture du Tout Sécuritaire ?

Description : Actuellement, les principales vulnérabilités exploitables dans les SI des entreprises, depuis l'extérieur mais aussi en interne, sont de type applicatif. Cela n'est pas sans raison: la sécurité est encore très mal prise en compte dans la vie des projets, si ce n'est pas du tout. Les conséquences de ces vulnérabilités applicatives sont souvent très graves: accès frauduleux, pertes de données, interruptions de service, pouvant conduire à des pertes financières considérables, voire à un
risque de cessation d'activité.
Cette présentation se propose, après avoir donné quelques exemples de vulnérabilités applicatives pouvant avoir des impacts importants, de présenter une méthode pragmatique permettant d'implémenter une démarche de sécurité dans les projets, afin d'obtenir un produit final suffisamment sécurisé et à un coût raisonnable.
Des exemples concrets et des retours d'expérience vécus par les intervenants, tous deux chargés de la sécurisation de grandes entreprises, permettront de tirer des enseignements profitables à tous.

Description : De nos jours, le terme d'injection SQL est bien connu dans le monde de la sécurité, mais peu de gens connaissent la gravité réelle de cette attaque. Beaucoup affirme qu'il est impossible d'exploiter cette faille derrière un
système de détection d'intrusion (IDS), un firewall ou un reverse proxy.
Mais qu'en est-il vraiment? La réalité est malheureusement plus sombre que ce qu'on peut imaginer. En effet il est possible de contourner tous les mécanismes de filtre et équipement de sécurité réseau tout en passant inaperçu. Pire encore, beaucoup de documentation traitant le sujet donne des solutions qui ne règle en rien le problème si ce n'est que de donner une fausse sensation de sécurité.
Nous présenterons dans cette Rump session la problématique, une démonstration de ce qui serait une attaque furtive automatisée et finalement des pistes de solution à ce problème.

Description : Conscient des progrès réalisés dans le domaine des TIC mais également des risques induits pour l'ensemble des acteurs, qu'ils soient publics ou privés, le Premier ministre a souhaité que soit conduit une mission destinée à évaluer les moyens mis en œuvre pour amener la France à un niveau de sécurité et d'autonomie de ses systèmes d'information. Après plusieurs mois d'auditions et de travaux, la mission a proposé plusieurs solutions stratégiques et a appelé notamment au renforcement de la posture de l'Etat et de son dispositif opérationnel. Des actions fortes en matière de sensibilisation, de formation, un soutien particulier aux PME, et le développement d'une politique d'achat complètent ce dispositif ambitieux visant à garantir une meilleure protection de notre patrimoine économique et scientifique et à l'instauration d'une véritable économie de confiance dans la société de l'information et de la communication.

Description : A l'heure ou les frontières des infrastructures réseaux sont remises en question à travers des technologies mouvantes, à chaque instant, la supervision des événements critiques semble devenir une gageure.
Virus, Worm, Spyware, attaque logique applicative, dénis de service à la volumétrie et autres zombies, phagocyte un temps de plus en plus important, et des moyens techniques et financiers de plus en plus conséquents.
Est il encore envisageable de superviser les évènements systèmes, réseaux, applicatifs ?
Est il encore pensable de pouvoir analyser les millions de lignes de logs en temps réel ?
Peux t on encore penser que le cœur de métier est de concentrer ses ressources sur le suivi des vulnérabilités ?
Comment détecter une anomalie ou une attaque en masse un jour férié à quatre heures du matin ?
Comment anticiper les attaques dites 0 Day ?
Les offres des grands acteurs du marché se sont naturellement tournées vers les services à valeurs ajoutées, mais pour reprendre une notion anglo-saxonne de Service Delivery, pour autant la qualité de service est elle au rendez vous ? .
Quels sont les moyens mis en œuvre par ces éditeurs ?
Deux se différencient et vont jusqu'au SLA (Service Level Agreement). Nous allons étudier de quelle manière et avec quelle qualité de service.
Un seul mot d'ordre : Guerre contre le cyber crime

Description : En dépit de l¹existence de textes définissant les conditions et les critères qui doivent être remplis pour assurer la sécurité juridique des échanges, certaines incertitudes juridiques subsistent. Les lois et réglementations
déterminent par exemple ce qu¹il faut conserver et pendant quelle durée mais les modalités de l¹archivage ne sont pas pour autant définies.
Ces incertitudes ne doivent pas pour autant freiner la dématérialisation. La réussite d¹un projet de dématérialisation passera par la maîtrise de la législation et de la réglementation en vigueur, et par l¹application du principe de précaution qui conduit à s¹appuyer, selon les circonstances, sur l¹état de l¹art et des conventions de preuve.

Description : Y a-t-il un rapport entre le Tout Sécuritaire et l'avènement des Nouvelles Technologies ? L'assurance n'est -elle pas un métier dont la nature est de mutualiser les risques ? Mais inversement les Clients n'ont-ils pas tendance à ne sécuriser que les risques qu'ils perçoivent…et dès lors est-ce une l'assurance n'encourage t-elle pas à sur-pondérer les risques ? L'assurance est-elle une discipline qui au contraire permettrait de prendre des risques nouveaux ? Ne peut-on envisager par exemple - ou y a t-il - une assurance qui permettrait de mieux appréhender l'échec entrepreneurial ?

Description : Les tableaux de bord de sécurité informatique sont un sujet récurrent de discussions entre RSSI et un thème inépuisable de présentations lors de conférences, congrès et séminaires. Cette présentation n'a pas pour but de définir un rapport idéal ni une methodologie universelle mais propose des axes de réflexion et un retour d'expérience pragmatique de mise en ?uvre de tableau de bord sécurité. La démarche s'appuie sur l'identification claire des besoins de reporting et des destinataires des tableaux de bord avant de s'intéresser au contenu et à la mise en oeuvre.

Description : Les évolutions réglementaires récentes en matière de contrôle interne (Sarbanes-Oxley Act aux USA et Loi de Sécurité Financière en France) ont fixé de nouvelles obligations de communication aux entreprises concernées.
Cette obligation couvre naturellement le contrôle interne informatique en tant que rouage essentiel du contrôle interne en général, et, à ce titre, nécessite une implication et une coopération importantes des directions informatiques et des directions utilisatrices.
Les premiers projets d'évaluation du contrôle interne informatique ont conduit à des constats parfois sévères pour les équipes informatiques. Cependant, l'exposition offerte au sein de l'entreprise et les bénéfices en terme de maîtrise rendent incontournables la mise en place de dispositifs de contrôle, assortie d'une organisation adéquate autour des acteurs concernés.

Description : Cette table ronde adressera la démarche d'assurance sécurité dans les infrastructures de télécommunications. L'assurance sécurité est une mesure de la confiance que les contre mesures déployées vont minimiser les risques qui menacent les biens des utilisateurs. La sécurité d'un système n'est pas nécessairement augmentée lors de l'ajout de fonctions de sécurité, par contre la complexité de gestion est accrue. La dimension assurance sécurité peut apporter des garanties que l'investissement fait vaut le prix payé. Cette table ronde adressa divers points comme la gestion de la complexité et l'ouverture des modèles, les sondes et outils, les niveaux d'assurance et la méthodologie ainsi qu'un outil intégré de gestion appelé cockpit de sécurité. Cette table ronde sera animé par des partenaires d'un projet de recherche européen Eureka Celtic nommé BUGYO.

Description : Aujourd'hui les leaders affrontent un grand défi pour satisfaire les exigences de la sécurité de l' information. Christof Jungo, chef de la sécurité d'information opérationnelle à Swisscom Fixnet, et Nicolas Mayencourt, Membre du Directoire de l' Institute for Security and Open Methodologies (ISECOM) présentent le modèle de gestion de la sécurité de l' information qu'a adopté Swisscom. Ce modèle répond aux devoirs compliance de SOX404, BS7799, la Business Strategy, la législature ainsi que les Best Practices. Le modèle de gestion de la sécurité de l' information à Swisscom est basée sur le Open Source Security Testing Methodology Manual (OSSTMM), la méthodologie leader " ouverte " dans ce domaine. Les OSSTMM Risk Assessment Values représentent son élément clé, permetant à Swisscom de mesurer et quantifier les risques.

Description : Lors de cette session, nous discuterons de la campagne de sensibilisation à la sécurité de l'information créée et mise en place pour Airbus - en tant qu'exemple de best practice pour développer et promouvoir un changement prolongé et significatif de comportement au sein de cette société. Le projet commença par un exercice de consulting suivi du développement d'un plan continu pour fournir un programme de sensibilisation et formation à la sécurité de l'information en 4 langues. Nous discuterons de la sensibilisation basée sur le web pour les employés et spécialistes, modules de rappel, portail et système de gestion de la formation servant au suivi et l'édition de rapports. Les conférenciers peuvent s'attendre à comprdrendre l'importance de la planification, à apprendre à répondre aux besoins d'audiences variées, être éclairés sur la composition d'un plan continu de sensibilisation et la valeur d'un système de gestion de l'apprentissage.

Description : Le modèle " ASP " (Application Service Provider) ou des " services applicatifs en ligne " a considérablement évolué. On relève des progrès et une évolution profonde : 1) des offres des éditeurs de logiciels ; 2) de la connectique ; 3) des services de stockage et d'hébergements, pour la conservation et la sauvegarde des données des entreprises. Le modèle " en ligne " est devenu très attrayant, du fait notamment de l'évolution des services, tendance à l'externalisation, dont le modèle ASP constitue un aboutissement ou la notion du " logiciel vu comme un service " ; et surtout un modèle économique de " prix " radicalement nouveau : mode " locatif ", paiements " à la consommation " des logiciels. Une guerre féroce s'annonce entre ses acteurs pour savoir qui emportera ce marché (éditeurs, prestataires, acteurs télécom… ?). L'un des challenges de ce nouveau mode des ASP, dont on a dit qu'il serait " destructeur ", est celui de la sécurité. L'utilisateur aura-t-il assez confiance dans les acteurs pour accepter de n'avoir chez lui qu'un terminal, sans applications, ni données, auxquelles il n'accédera qu'à distance ?

Description :

Description : Phising attacks are a worldwide plague, whose spreading ratio is increasing every now and then. Although the internet-banking “user-side” defense strategy has been – finally – determined, there is no clear “process”, for the banks and in general from the big institutions targeted, to handle a phishing attack in terms of technical response, legal implication and public relation strategies. The aim of this paper is to provide an effective scheme for handling a phishing attack from the point of view of a financial institution, that has been successfully enforced in Italy.

Description : Comment expliqueriez-vous la fréquente paranoïa des experts en sécurité qui les porte à voir le 1% des cas de risques plutôt que les 99% des chances de réussite ? Est-ce que la judiciarisation galopante de la société n'encourage pas à maximiser la sécurité même si cela n'est pas toujours plus efficace ? Ne passe-t-on finalement pas plus de temps à sécuriser les moyens que sécuriser les objectifs ?…Quel changement serait-ce si l'on disait que vous faites du Risk Management pour aider les Entreprises à construire des stratégies qui sécurisent leurs objectifs ? Quelles conclusions tirez-vous en tant qu'expert des propos de vos confrères ?

Description :

Description : Historiquement, il a été non technique, mais le plus insidieux, jouant sur le désir sincère de nos ouvriers d'obtenir le travail fait et aide d'autres pour faire la même chose. Nous avons vu une explosion dans l'utilisation de "phishing" par l'intermédiaire du E-mail et les sites Web et les redirections phony, etc., pour ajouter un composant technique à cette attaque psychologique. Un ingénieur social vraiment compétent peut faire une cible lui faire confiance à tel point qu'ils sont disposés à fournir en passant l'informationinterne sensible. Découvrez pourquoi la technologie sociale fonctionne tellement bien, et contre pourquoi il est si difficile de défendre, et pourquoi, malgré notre propre utilisation de la technique, nous sommes sujets également tous à être avec succès manoeuvré.

Description : Cette présentation abordera les différentes facions pour une société de tirer parti d'une externalisation avec ou sans sécurité, sur la manière de choisir un prestataire et comment controler son interaction. Nous analyserons mes points positifs et négatifs d'une externalisation. Nous regarderons les différentes point de sécurité indiospensable à une externalisation.
Cette présentation devrait permettre aux participants de prendre des décisions économiques et réalistes à) propos de l'externalisation de leur sécurité.

Description :

Description : Pour les utilisateurs d'ordinateur, les Adwares et les Spywares sont devenus une menace probablement aussi importante que les virus. L'argent étant au rendez-vous, leur nombre progresse et leurs fonctionnalités deviennent de plus en plus complexes.
L'utilisation d'Anti-Spyware et d'Anti-Adware augmente avec la menace. Les grands éditeurs de produit de sécurité entrent dans l'arène et proposent leurs propres solutions. Beaucoup d'entre eux sont encore techniquement limités et leur capacité à nettoyer complètement une machine en la débarrassant de tout composant indésirable apparait parfois contestable.
Dans la première partie de mon intervention, je souhaite définir ces deux catégories spécifiques de logiciel avec précision. A l'aide de quelques exemples, je montrerai les méthodes qu'ils utilisent pour pénétrer nos machines. [Dans le cas d'EUROSEC'2006, cette partie sera très courte puisqu'elle a déjà été abordée par moi-même l'an dernier - à EUROSEC'2005].
Dans la seconde partie, le corps principal de ma présentation, j'offrirai un guide pour détecter et enlever ces programmes. Pour faire ce travail, je vous proposerai des outils gratuits et disponibles sur Internet : des outils différents de ceux que vous connaissez.
Cette présentation se veut éducative. En vous permettant de mener des recherches avec l'œil d'un chercheur, mon exposé devrait vous aider à mieux comprendre les rouages internes de la machine que vous utilisez. Mon but est de vous apprendre à faire vous même le travail. Si ces outils deviennent les vôtres, ce ne seront plus uniquement d'autres internautes qui auront accès au cœur de votre machine.

Description :

Description : La sensibilisation à la sécurité de l'information chez Bouygues Telecom est l'un des thèmes récurrents d'action pour instaurer une culture de sécurité.
Les actions de sensibilisation font partie de l'axe de Prévention auquel la Direction Sécurité de Bouygues Telecom consacre annuellement 15 % de son budget.
En 2005, lors des actions d'audits nommées chez Bouygues Telecom " Bureaux Propres " et menées par la Sécurité, nous avons constaté que sur les dix directions auditées, trois ont obtenu des notes satisfaisantes par rapport aux règles existantes.
Cette situation, liée à d'autres constats tels que :
· les spécifications de sécurité parfois insuffisamment prises en compte par les projets,
· les écarts dans les comportements,
· le nombre important de correctifs sécurité après la mise en production des nouveaux systèmes,
a permis de convaincre la Direction Générale de créer un chantier transverse sur la Confidentialité.
L'objectif de ce chantier était de créer de manière durable une culture sécurité. Les membres du groupe font partie du management de l'entreprise (Ressources Humaines, Informatique, Organisation, Direction Financière, Management des Risques, Relations Clients, Direction Commerciale), … Après quelques mois de travail, le chantier a réussi pleinement son challenge :
· Simplification et clarification de la classification ces informations et documents,
· Création d'un ensemble de " Règles de vie " : écriture d'un document, usage du mail, usage d'Internet et attitudes comportementales en interne, en réunion, en déplacement.
· Explication des règles de vie dans les Comités de Directions des unités opérationnelles,
· Mise en œuvre de tous les moyens pour favoriser la protection des informations et données (outils bureautique et formation)
· Message clair du management au sujet du respect dès règles et des sanctions positives et négatives à appliquer
· Sensibilisation individuelle de tous les collaborateurs

La vidéo interactive présentée a été le moyen choisi pour diffuser d'une manière très large ces éléments. Un questionnaire intégrant cette vidéo permet d'évaluer le niveau de compréhension des règles de vie. Elle s'intègre dans un plan d'accompagnement du changement et de communication tout au long de l'année, avec mesure des résultats en fin d'année par Direction

Description : De l'élaboration au maintien en condition opérationnelle d'un Plan de Continuité d'Entreprise, on peut retenir de l'expérience de CNP Assurances que :
la mise en situation réelle de sinistre par des tests impromptus est la meilleure garantie pour préparer tous les acteurs (managers, personnels, supports techniques -logistiques, informatiques-) à répondre à un sinistre majeur.

C'est ainsi que des gestions de crise sont expérimentées tous les ans avec les instances dirigeantes de l'entreprise. Les scénarios inconnus des acteurs mettent en situation les services, les directions et toutes les instances de l'entreprise appelées à participer à la résolution de la crise.
Quelques expérimentations seront présentées à titre d'exemple.

D'une façon générale, tous les acteurs de l'entreprise qui participent au maintien des ressources et des activités vitales doivent être entraînés à la gestion de crise.

Description : Une entreprise, de quelque type que ce soit, ne repose plus uniquement sur ce qu'elle possède ou ce qu'elle réalise, mais sur ce qu'elle sait. De ce fait, les exigences CID traversent désormais toutes les couches de l'organisation. La très récente norme ISO 27001 fixe les exigences d'un système de gestion de la sécurité soumis au principe d'amélioration continue hérité du monde de la qualité et qui traite cette problématique. Encore faut-il pouvoir inscrire les tâches qui conduisent au respect de ces exigences dans le champ global des activités de l'organisation. La norme ISO 15504 est quant à elle une norme dédiée aux processus qui fixe un cadre strict pour leur évaluation et leur implémentation. En utilisant conjointement l'ISO 27001, issues du travail d'experts en sécurité, et le cadre normatif de l'ISO 15504, un modèle de référence de processus sécurité a été défini, fruit d'un travail de
recherche. Les modèles qui vous seront présentés décrivent un cycle complet de gestion de la sécurité applicable dans les tâches de tous les jours via les pratiques de base qu'ils contiennent. Une fois mis en place au travers de la politique de sécurité, leur utilité peut être multiple : implémentation, évaluation, certification, législation, benchmarking ou formation.

Description : L'actualité juridique de la sécurité des systèmes d'information est toujours en pleine effervescence.
Les nombreux textes législatifs prie en ce domaine en constituent un parfait exemple.
Il n'est pas le seul. La jurisprudence aussi, prétorienne et de plus en plus abondante en la matière, témoigne d'une prise de conscience collective face aux risques liés et même inhérents aux nouvelles technologies.
Cette intervention sera donc l'occasion de dresser un panorama des évolutions, tant législatives que jurisprudentielles, dans le domaine de la sécurité des systèmes d'information.

Description :

Description : Mesures, Surveillance et Assistance, les 3 dimensions du cockpit d'assurance de sécurité : une visualisation intégrée de l'assurance de la sécurité

En tant qu'élément central de la mesure de l'assurance sécurité, le cockpit de sécurité va regrouper les fonctionnalités de mesure, surveillance et d'assistance. Ces caractéristiques principales seront:
- Fonction de visualisation montrant en temps réel l'état de l'assurance de la sécurité
- Fonction de détection d'alarme indiquant les changement d'état du système
- Fonction d'élaboration de rapports fournissant les information nécessaires au support et aux maintiens des audits et des efforts de certification.
Toutes ces fonctionnalités seront intégrées au cockpit de sécurité afin de garantir d'une part une vision global de la sécurité du système et d'autre part un niveau d'assurance de cette sécurité.

Description : La convergence et la dématérialisation des moyens de communication se fait clairement au profit de la messagerie d'entreprise qui peut être considérée comme l'une des premières applications métier. Assurer la sécurisation du service de messagerie est un enjeu de taille pour les entreprises qui doivent actuellement faire face non seulement à la croissance des volumes et aux risques de sécurité logiques, mais aussi au contexte juridique international, qui impose des pratiques jusque là peu maîtrisées.
La session vise à présenter les enjeux de la sécurisation de la messagerie et présenter les bonnes pratiques tant sur le plan opérationnel que juridique et humain. En particulier, Devoteam présentera ses retours d'expérience sur la constitution d'une équipe pluridisciplinaire assurant d'une part la conformité du service avec les lois et normes et d'autre part pour assurer la surveillance et bonne utilisation des moyens informatiques mis à disposition.

Description : L'absence de culture numérique soulève plusieurs problèmes de nature différentes qui pourraient effectivement être autant d'obstacles à la mise en place d'un instrument de lutte contre la criminalité informatique. On peut cité pêle-mêle : l'absence de perception par les politiciens du caractère stratégique de la lutte contre la criminalité informatique, l'incivisme de la population sur les inforoutes, l'absence de réponses juridiques appropriées.....
Effectivement, pendant longtemps, la cybercriminalité a été perçu comme une délinquance spécifique aux pays riches. Cette situation a été largement alimenté par la faiblesse du taux de pénétration des TIC.
Perdus dans ce "désert numérique", les pouvoirs publics n'ont pas toujours effectivement été conscients de l'enjeu stratégique que peut représenter la lutte contre le crime informatique pour le développement. C'est une question d'environnement et de priorités.
C'est précisément là que doivent intervenir les experts dont le rôle est de sensibiliser, d'expliquer, de former en anticipant les menaces et les risques. Il leur appartient notamment , en leur qualité "d'éclaireur", d'apporter aux politiciens les éléments d'appréciation et de décision, notamment en leur montrant à quel point, et dans quelle mesure la criminalité informatique pourrait constituer un obstacle supplémentaire pour le développement. On relève d'ailleurs, la multiplication des cas de cybercrminalité face auxquels les réponses pénales existantes conçues pour le monde réel se révèlent inappropriées et anachroniques...

Description : Le contexte hospitalier est en pleine mutation, et connaît en particulier de nouveaux enjeux réglementaires spécifiques avec les procédures d'accréditation, et la déclinaison sécurité de Vigipirate & Piranet. Les exigences de sécurité se renforcent de manière considérable avec l'informatisation de la production de soins, en particulier sur la disponibilité et la continuité. Pour répondre à ces évolutions, les HUS ont établi une stratégie de sécurité permettant d'évaluer leur niveau initial à travers un audit de sécurité, utilisant des référentiels adaptés, qui a permis l'établissement d'un plan d'actions sur les 5 ans à venir. En parallèle, l'organisation de la sécurité a été définie au niveau de l'établissement, à travers la constitution de structures décisionnelles et opérationnelles, et un engagement formel de la Direction Générale. Un des axes majeurs de la politique de sécurité cadre en cours de déclinaison est l'intégration de la sécurité dans les nouveaux projets.

Description :

Description : Face à l'accroissement du nombre de filtres périmétriques installés dans les entreprises (pare-feux, proxies filtrant, NAT), les logiciels clients et les spywares ont dû adapter leur stratégie d'accès Internet afin de continuer à
offrir des services de connexion permanente avec l'extérieur. Les logiciels les plus connus dans le domaine sont les logiciels Skype et WebEx.
Au cours de cette présentation, nous passerons en revue les techniques de contournement les plus utilisées "dans la nature", ainsi que les méthodes de détection et de filtrage.

Description : Aujourd'hui, un système de Valeur qui unit les citoyens n'émane plus de l'Etat mais des Citoyens eux-même. Le rôle de l'Etat n'est-il pas d'abord de créer le champ des possibles et de faire la Synthèse entre la Collectivité et les contraintes extérieures quand il y en a ? L'Identité Numérique de ce point de vue ne doit-elle pas avant tout sécuriser les libertés civiles du Citoyen et faciliter ses échanges avec l'ensemble de l'économie, publique ou privée ? Est-ce le sens du repositionnement du Projet Français. Sinon quel est-il ?

Description : Les infrastructures qui n'ont pas été déployées par la direction des systèmes d'information se multiplient dans l'entreprise. Ce sont des infrastructures spontanées. Quelles sont les conséquences pour la sécurité et comment
gérer cette évolution majeure ? Nous le verrons avec au moins deux exemples : Webex et Skype.

Description : Pendant les dix à quinze dernières années, le rôle du directeur financier a évolué de fournisseur de données historiques obsolètes à un véritable interlocuteur.
Récemment, des scandales financiers très corsés mais peu appétissants, ont provoqué un raz-de-marée de lois et de règlements qui ont envahi les sociétés.
Si leurs noms et détails diffèrent, l'objectif des nouvelles règles du jeu est de montrer que le management garde le contrôle.
Et par dessus le marché, à partir du 1er janvier 2005 toutes les sociétés européènnes cotées doivent établir leurs comptes en normes IFRS.
Dans la présentation les effets de cette législation sur une société de taille moyenne appelée PROVIMI, sont examinés et les instruments, procédures, moyens informatiques et autres outils seront explorés.

Description : Les Gouvernements sont des plus en plus conscients que les réseaux informatiques représentent des infrastructures critiques, qui demandent une protection spéciale pur garantir la vie quotidienne des citoyens et des entreprises.
Les Administrations Locales sont un élément crucial dans ce contexte, parce qu'elles sont en première ligne avec les citoyens. Elles gèrent des informations critiques mais, dans plusieurs situations, n'ont pas la compétence où même la conscience qu'elles peuvent constituer un point de vulnérabilité pour le système entier.
La présentation va souligner les actions qu'il faudrait activer pour aider les Administrations Locales à mieux protéger leurs systèmes mais aussi à les encourager a jouer un rôle actif pour augmenter l'attention générale à la sécurité.

Description : L'évaluation de conformité dans le domaine de la sécurité des technologies de l'information et particulièrement la certification IS 27001. Le programme de travail de l'IOS dans ce domaine et la situation internationale.

La certification de conformité est très peu développée en France et en Europe dans le domaine de la sécurité des technologies de l'information alors qu'elle est très utilisée dans d'autres domaines tels que le bâtiment et travaux publics, le domaine médical etc. Une nouvelle norme vient juste d'être publiée à l'ISO : l'IS27001 relative aux systèmes de management de la sécurité de l'information. Qu'est-ce que cette certification, comment marche-t-elle, qu'apporte-t-elle aux clients et aux organismes certifiés, qu'elle est la situation et la position des différentes nations et des différents secteurs d'activités au niveau international ? Position de l'Europe dans cette situation ? Suite à cette publication, de nombreuses normes vont être publiées dans le même domaine.

Description : L'Identité Numérique est un outil pour le citoyen qui bénéficie également à l'Etat…Le contrôle de son usage par le citoyen permet un vrai contre-pouvoir qui met en oeuvre une conception fondamentalement démocratique de l'usage de la sécurité et donne l'occasion de valoriser une éthique de la relation de l'Etat au Citoyen. Cette vision ne pose-t-elle pas la question de la responsabilité avant celle de l'Autorité…? Cette conception est-elle exportable ? A quelles conditions ? La Citoyenneté du XXIème siècle, ne doit elle justement pas se caractériser par la primauté du principe de responsabilité sur celui d'Autorité ?

Description : Face aux nombreuses menaces contre la vie privée qui existent du fait de l'utilisation d'Internet (profiling, traces électroniques, ...), les solutions techniques tendant à préserver l'anonymat des utilisateurs en leur permettant de ne pas dévoiler leur véritable identité se sont développées.
Après un rapide état de l'art et une démonstration de quelques unes de ces solutions (ex. TOR, Freenet, Privoxy, ...), nous nous interrogerons sur le point de savoir dans quelle mesure l'anonymat est un droit protégé et comment il est encadré par la loi ? -(ordre juridique concerné : France).

Description : Face aux nombreuses menaces contre la vie privée qui existent du fait de l'utilisation d'Internet (profiling, traces électroniques, ...), les solutions techniques tendant à préserver l'anonymat des utilisateurs en leur permettant de ne pas dévoiler leur véritable identité se sont développées.
Après un rapide état de l'art et une démonstration de quelques unes de ces solutions (ex. TOR, Freenet, Privoxy, ...), nous nous interrogerons sur le point de savoir dans quelle mesure l'anonymat est un droit protégé et comment il est encadré par la loi ? -(ordre juridique concerné : France).

Description :

Description : La mobilité est devenue incontournable pour les petites, moyennes et grandes entreprises qui souhaitent améliorer leur productivité et développer leur activité.
Mais, en multipliant les accès depuis l'extérieur de l'entreprise, la mobilité expose le système d'information à de nouveaux risques. C'est la fin du modèle de la forteresse et de la simple protection périmétrique.
La présentation a pour but d'énumérer les risques induits par la mobilité tout le long d'une chaîne qui va de l'utilisateur final jusqu'au système d'information de l'entreprise.
On présentera en parallèle les solutions génériques comme le chiffrement, la remédiation du poste de travail ou l'authentification qui permettent de réduire voire d'annuler le risque en certains points de cette chaîne.