• Perspective
Publié le 20 juillet 2022

Behind the FIC

Vous n'êtes pas allés au FIC cette année ?
EvaBssi et Sopra Steria vous embarquent pour un tour du salon façon "behind the scenes"... En route !

Jour 1

Les participants se pressent aux alentours du Grand Palais. Malgré un accueil "lillois" (pluvieux), l'effervescence se lit dans les visages. Est-ce la bonhomie contagieuse du Nord ou la joie de se voir en vrai pour un corps de métier si habitué au virtuel ?

Chacun découvre le protocole de sécurité physique de l'événement avec une maladresse qui s'estompera vite : scan des badges, vérification des sacs, vérification des identités. On n'a de cesse de le rappeler : même en cyber, le premier facteur de risque est le facteur humain, et le FIC l'a bien compris. La police sera d'ailleurs souvent présente dans les rues alentour.

Nous arrivons au stand Sopra Steria. C'est plus grand qu’avant, me disent certains anciens de chez EvaBssi. Pour ne rien gâcher, le stand est idéalement placé. Central, près des grands acteurs privés et du ministère des armées. Les costumes bleus se mêlent aux uniformes gris. Ceux qui n'ont pas pris d'hôtel sur place la veille, et qui ont dû prendre le train tôt, commencent à faire tourner les machines à café. Elles serviront ensuite en quasi continu, au fur et à mesure que les curieux, les intéressés ou les vieilles connaissances viendront nous rendre visite. Au stand Sopra Steria, on sait recevoir !

Justement, avant de vous emmener faire un tour du salon, laissez-moi vous présenter le stand Sopra Steria. EvaBssi y est présent, bien sûr, avec notamment la présentation de notre outil de simulation d'attaque par machine learning créé par un de nos Data Scientists Emilien, basé sur l'outil Microsoft CyberBatleSim. L'offre Mactan est également présentée : nous vous reparlerons de cette solution plus loin dans cet article. Dans les coulisses, dans un entassement de sacs à dos, Margaux, Consultante Cybersécurité spécialisée en CTI, concentrée, révise son talk de 14h. Enfin, un écran sur le stand diffuse les interviews d'Ivan, Estelle et Alban, qui nous parlent de leur métier de Consultant.e.s, que vous pouvez retrouver sur ce lien, et qui nous permettent déjà de prétendre au titre de stand le plus "méta" du salon 😉
Allons-nous remporter d'autres récompenses durant le FIC ? Suspense...

Alors, par où commencer ? L'application officielle de l'événement est heureusement très bien faite. Elle alerte les visiteurs sur le planning des conférences, talks et démos du salon. (Une remarque : elle permet aussi de scanner le badge des visiteurs pour garder leurs coordonnées, une méthode qui "reste" certes moins que les cartes de visites cartonnées, mais incontestablement plus "covid-friendly").

Pour nous ce sera donc la démo Darktrace. La démo est trop dense en informations pour être résumée ici. Comme Darktrace l'a recommandé en fin de démo, allez donc faire un tour sur leur blog. Une nouvelle preuve que les blogs des entreprises sont un excellent moyen d'avoir de l'information.

Il y a d'ailleurs énormément d'EDR cette année : Sekioa, Harfanglab, Tehtris... Pour ne pas faire de jaloux, j'irai parler à tous. Bien inspiré, j'aurai une discussion passionnante avec Antonin Caors, dirigeant marketing de Sekoia. Nous parlerons sécurisation des terminaux mobiles - des endpoints comme les autres, il faut le rappeler - et il me recommandera de regarder les solutions de Pradeo.

Le FIC est aussi l'occasion de saluer ses relations. Sorti de la démo, je vais donc retrouver DOT-Anonymizer, avec qui j'ai eu l'occasion de travailler. Ils développent un outil d'anonymisation de données, très pratique pour les entreprises en retard sur le RGPD. Dans la plénière du lendemain, on recevra la confirmation que l'Europe passe à la vitesse supérieure sur la cyber. Le RGPD est donc un sujet à surveiller de près.

Au risque de radoter, le premier facteur de risque est humain. La première mitigation est donc... la sensibilisation. Je vais donc tester le Cyber Wargame développé par Holiseum et Game Partners, entreprise spécialisée dans les serious game. Le jeu se joue à 2 équipes de 2, je suis donc rejoint par Romain, Anthony et Thomas pour démarrer la partie. Nos avis finissent unanimement positifs (même pour l'équipe perdante). Cyber Wargame est un excellent moyen de sensibiliser aux enjeux et au vocabulaire de la cyber, en plus d'être un jeu équilibré et divertissant. Nous discutons ensuite avec Pierre Dudit, directeur de Game Partners, qui nous confirme que le jeu connaît un franc succès.

Soudain… Mais non, c'est trop beau pour être vrai... Mais si ! SANS est là et distribue des posters ! Si vous ne connaissez pas SANS, leurs posters sont des sortes de "cheatsheet" exceptionnellement bien faits. Je vous encourage également à aller voir leur site pour constater leur talent en matière d'infographie. Je ne peux malheureusement pas parler longtemps avec eux : leurs posters ont été livrés en format A2 dépliés, et ils doivent passer la matinée à les replier. La vie de salon est faite de ce genre d'imprévus. Bon courage !

Du côté des startups, je rencontre Predica Labs. On a beau se dire qu'on laisse des quantités de données inimaginables sur Internet, on est toujours surpris. Surtout quand une startup comme Predica propose d'utiliser l'intelligence artificielle dans la collecte et l'analyse de ces données. Sans doute une future star du milieu OSINT.

Du côté des associations, je parle avec Woman4Cyber. 2% : le taux de femmes avec un poste de manager dans la cyber. Ayant moi-même commencé avec une femme en N+1, je trouve ce chiffre effarant. Woman4Cyber repose sur le bénévolat : venez donc les aider. Et si vous êtes une femme, pourquoi ne pas rejoindre le Cefcys, avec qui Sopra Steria a déjà un partenariat pour promouvoir les métiers de la cyber auprès des femmes ? Je suis ensuite en train de discuter avec YesWeHack de la possibilité de vivre du bug bounty (difficile, à moins d'être très fort) lorsque je vois plusieurs files commencer à se former. Il est midi passé, les gens cherchent à manger. J'apprendrai plus tard que pour des histoires de contrats d'exploitation, l'offre au Grand Palais est très souvent sous-dimensionnée par rapport à la demande. Pensez-y pour le prochain FIC. Je sors attraper mon déjeuner et nous voilà repartis.

C'est l'heure de la première conférence Sopra Steria. Petit souci technique : les organisateurs n'ont pas le bon adaptateur pour la projection. Ils recommandent de venir avec sa propre clé USB ce qui, à une conférence sur la cybersécurité, peut semer le doute. Le problème s'arrange et la conférence retransmise en live peut commencer.

Alexandre et Margaux se passent le micro. Ils présentent à l'aide de schéma l'utilisation des frameworks MITRE pour se prémunir des vulnérabilités. Une vidéo valant mieux qu'un long discours, vous pourrez la trouver ici.

Retour au stand Sopra Steria. Quelques discussions, on en apprend toujours sur ses collègues. Saviez-vous qu'EvaBssi comptait parmi ses membres un ancien sportif professionnel ? Ou des personnes étant intervenues à la suite du hack de TV5 Monde ? Maintenant oui.

J'aurais pu continuer à parler longtemps, mais nous avons un imprévu. Un des intervenants de la table ronde que j'anime ne pourra pas être là. Il va falloir le passer en distanciel. Heureusement, Amélie d'Avisa Partners qui organise la rencontre est là pour nous aider.

Je termine cette première journée avec un tour par les stands étatiques. Pour ce qui est du ministère des armées, je vous renvoie à cet article des Echos. Concernant le CNRS, je discute avec un doctorant qui travaille sur du distributed learning. Les enjeux RGPD sont intéressants, ceux de sécurité aussi car cette technique permet en théorie d'éviter le reverse engineering d'IA. Le nom de la nouvelle marque de la recherche française ? Allistene. Enfin, l'ANSSI. Ils sont bien entendu la référence dans le domaine, personne ne le nie. Mais pourquoi ? Selon eux, leur force est dans leur connaissance et dans leur AMOA. Ils sont assez occupés en ce moment, notamment parce qu'ils accompagnent les ministères. Conséquence : ça recrute. Postulez !

Le soleil se couche sur Lille. Probablement. Le ciel est trop gris pour le dire.

Mais la journée n'aura pas été triste, loin de là. D'autres événements m'attendent ce soir... Vivement demain.

Jour 2

Le deuxième jour du FIC, le jour le plus FIC. Tout le monde est présent, le salon est plein à craquer. C'est parti !

La journée commence par la plénière, avec en guest star Guillaume Poupard de l'ANSSI. Je vous encourage à aller la voir ici. De l'autre côté du salon, c'est la European Cyber Cup qui démarre. Une compétition de hacking qui reprend les codes de l'e-sport (animateurs, retransmission sur Twitch, etc). L’équipe Sopra Steria est là, #199 dans les starting blocks...

Stressés ? Sûrement. La Cyber Cup est en quelque sorte l'Iron Man du hacking : deux jours d'épreuves allant de l'OSINT au bug bounty, une compétition acharnée... On comprend mieux les boissons énergisantes malgré l'heure matinale, entre les fonds d'écran Kali et les consoles Wireshark. Leur objectif ? Cette année, battre l'ESNA. Y arriveront-ils ? Suspense...

Je propose d'aller voir la conférence de Mendiant, une entreprise qui m'intéresse surtout depuis son rachat par Google. Mon ami grimace : "Ils se sont faits pawn lundi". Dans la cyber, les nouvelles vont vite, très vite... Nous passerons donc voir les stands alentours. D'abord l'EGE, Ecole de Guerre Economique, qui a des brochures assez intéressantes, puis Intigrity, plateforme de bug bounty belge. A leur parler, on sent la bataille entre bug bounty et pentest (YesWeHack nous dira plus tard que 75% de leurs inscrits sont pentesteurs). Un secteur en pleine mutation. Prochaine étape : Stoïk, une start-up française qui a connu un départ canon après avoir annoncé vouloir révolutionner l'assurance cyber. Ils reprennent un modèle qui vient des Etats-Unis, où la mutualisation classique n'est pas non plus suffisante : assurer des TPE-PME en permettant à un autre assureur de porter le risque en équipant ces entreprises avec des outils de protection, plus un scan interne / externe et une sensibilisation au phishing. Nous passons par le stand F-Secure, qui sont venus au FIC pour faire une annonce : ils scindent leur activité, avec la création de WithSecure, branche B2B du groupe. On leur souhaite plus de chance qu'Atos, qui a également opté pour cette stratégie.

Pour le deuxième jour, je me focalise sur les solutions d'IAM (Identity Access Management). D'abord avec OneWave, qui propose une "carte à mots de passe" avec un gestionnaire embarqué, une capacité de sauvegarde et un SaaS d'administration. Puis avec Bind Id, qui veulent étendre les domaines passwordless en s'appuyant sur les solutions biométriques déjà présentes. Concernant la solution star (et recommandée par l'ANSSI) Lockpass, ils ont effectivement une image très sérieuse, avec un cloud privé certifié SecNumCloud, et une possibilité d'avoir du SSO on-premise. Ce cloud est d'ailleurs fourni par Outscale, qui est quelques stands plus loin : un cloud souverain en pay-as-you-go qui propose du stockage objet. Information intéressante : 60% de leurs employés sont en R&D. Comme prévu, beaucoup d'activité dans ce secteur toujours plus critique.

Pour la pause midi, je rencontre Dominique Yang, qui travaille sur les JO de Paris 2024 (une heureuse coïncidence), ainsi que des superstars du milieu, le groupe Black Cats. La prochaine conférence est celle de Vialink et elle démarre avec un chiffre qui fait peur : 1 français sur 3 a déjà été victime d'usurpation d'identité. La réglementation européenne est déjà en train de bouger pour s'adapter, grâce à un meilleur partage d'information au sein de l'Union et une nouvelle carte d'identité. Rassurés ? Un arrêt obligatoire chez MalwareBytes : si nous avons tous (enfin je l'espère) installé leur solution antivirale sur nos machines personnelles, saviez-vous qu'ils proposaient également un EDR ? Rollback de 72h, hébergement Amazon, et une montée en version très facile pour les entreprises qui utilisent déjà le logiciel. Leurs équipes R&D sont européennes, basées en Estonie.

C'est déjà l'heure du concours de pitch de start-ups, sponsorisé par Atos. La première start-up n'est pas là et c'est donc Dataxium qui doit enchaîner au pied levé pour nous parler de ses solutions pentest Red and Blue team. Puis vient Cyblex Technologies, qui a un pitch efficace basé sur des persona, notamment d'analystes SOC qu'ils souhaitent aider. Enfin c'est Mindflow avec une solution SOAR qui a une particularité : elle est complétement no-code ! La promesse semble folle, mais on a visiblement envie d'y croire : ce seront eux les grands vainqueurs du prix FIC 2022. On ne s'arrête pas : Jscrambler, la solution pour auditer votre JavaScript (et associé, Node, React, Angular...) et s'assurer de l'intégrité de votre page, la CSB School, une école de cybersécurité qui s'apprête à ouvrir à Lyon, le stand du Luxembourg, à qui on doit notamment l'excellent outil CVE Search (merci encore !), et ITrust, dont la page YouTube propose quelques vidéos utiles pour vulgariser la cyber.

Cette journée bien remplie se termine. En sortant, plus un vélo disponible à des kilomètres à la ronde ! C'était sûrement pour beaucoup (pour les organisateurs du moins) la journée la plus éprouvante. Pour moi ? Ça sera demain...

Jour 3

Pas de grand texte pour aujourd'hui. J'ai surtout pris des notes pour consolider la table ronde que je devais animer l'après-midi.

Il ne me reste qu'une chose à dire : félicitations à toute l'équipe #199. Car oui, Sopra Steria finit en première place de l'European Cyber Cup. La fin idéale d'un FIC idéal. Il faudra peut-être remettre le titre en jeu l'année prochaine mais pour l'instant, la victoire se savoure en équipe.

Et vous, l'année prochaine... serez-vous au rendez-vous du FIC ?

Auteur

Louis-emmanuel GIRES

Article rédigé par
Tristan Loret