Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Appel à Communication du CLUSIF - Evaluer la solidité de son SI : Pratiques et valeur ajoutée (du Bug Bounty à l’audit technique : connaître ses vulnérabilités pour mieux se protéger)

juillet 2018 par Marc Jacob

S’il n’y avait pas de vulnérabilités à mettre en face des menaces, il n’y aurait pas de surface d’attaque, donc pas de risque, pas d’incident. Mais, justement, la complexité des systèmes d’information fait que l’existence de vulnérabilités est endémique à ces systèmes. Les vulnérabilités sont au cœur de la sécurité du SI et une des préoccupations principales du RSSI, chargé de renforcer la sécurité des actifs de l’organisme… et des données des personnes physiques.

L’enjeu pour le RSSI est simplement de connaitre ces vulnérabilités pour pouvoir les corriger avant que celles-ci ne soient adressées par une menace.

Pour constituer la connaissance de ces vulnérabilités, le RSSI dispose depuis longtemps de plusieurs « outils » comme la veille éditeur, les plateformes de scan de vulnérabilités, les audits techniques et tests d’intrusion. Au cours des dernières années, de nouvelles démarches sont aussi venues enrichir la boite à outils du RSSI comme le « Red Team » ou le Bug bounty.

A chaque fois, l’objectif est de connaitre ses vulnérabilités pour mieux les corriger ou, au moins, mieux en prioriser la correction.

Au-delà de ça, il est intéressant de se poser la question de la posture à tenir face aux vulnérabilités  : ne faut-il pas développer plus largement la possibilité de collecter, en dehors du cadre habituel des Bug Bounties, les vulnérabilités découvertes par les chercheurs en sécurité afin, in fine, de permettre leur communication aux organismes concernés  ? Et dans ce cas, quelle structure serait le mieux à même de tenir ce rôle  ?

Faut-il être dans une logique de communication ou faut-il, au contraire, limiter celle-ci en partant du principe qu’une non communication permet de limiter le risque  ?

Sur ce sujet touchant le cœur de la sécurité opérationnelle des systèmes d’information, le CLUSIF souhaite faire un point complet sur les pratiques et innovations permettant de mieux connaitre ses vulnérabilités pour mieux définir comment se protéger. Ce point s’appuiera sur vos contributions qui favoriseront les retours d’expérience et pourront, par exemple mais pas uniquement, développer les thèmes suivants :

- Les apports des nouvelles démarches
- Les coûts associés
- Quel mix de méthodes pour connaitre ses vulnérabilités
- Comment développer la communication entre découvreurs de vulnérabilités et porteurs de celles-ci
- Etc.

Fidèle à l’esprit du CLUSIF, nous vous encourageons à proposer des retours d’expérience, démarches de mise en œuvre ou de conception singulière de la thématique.

Le CLUSIF vous invite à diffuser cet Appel à Contribution au sein de vos réseaux. Si vous pensez à un autre aspect de cette thématique et qui mériterait un traitement, n’hésitez pas à nous en faire part.

Présentations non commerciales exigées

Infos pratiques
Date : jeudi 18 octobre 2018
Lieu : Paris 9e

Format : une intervention dans les conférences du CLUSIF est d’une durée de 20 minutes, filmée et diffusée sur le site web du CLUSIF. Si vous ne souhaitez pas être filmé, veuillez le préciser dans votre proposition d’intervention.

Date limite de réponse : lundi 17 septembre 2018 (acte de volontariat, synthèse de votre intervention en 3-5 lignes, coordonnées complètes de l’intervenant). Le comité d’organisation des conférences arbitrera les choix des interventions dans la semaine

Présentation définitive à fournir : jeudi 11 octobre 2018 au plus tard Proposition à soumettre via le formulaire ou à envoyer à l’adresse conferences@clusif.fr.




Voir les articles précédents

    

Voir les articles suivants