Le 23 avril s’est déroulé le Wavestone Insight Day durant lequel nous avons pu vous partager toutes nos dernières convictions.
Vous pouvez télécharger les présentations associées sous chacun des encarts ci-dessous.
Plenière
14h30 – 15h20
Ateliers : Session #1
15:20 - 16:35
Alors que la date limite de transposition de la directive NIS 2 en droit national se rapproche (octobre 2024), les avancées des Etats membres de l’UE sont hétérogènes. Cet atelier propose de présenter où en est chaque pays européen sur sa transposition et de comparer les premières orientations prises par chacun.
Après avoir dressé cet état des lieux, nous ferons un focus sur la France et analyserons la maturité du marché français par rapport aux exigences de sécurité pressenties. Pour ce faire, nous nous appuierons sur les résultats de plus de 200 évaluations de maturité réalisées via le CyberBenchmark Wavestone.
Rejoignez-nous pour une session qui vous permettra de mieux appréhender 2 questions :
- Où en est chaque pays de l’UE sur la NIS 2 ?
- Quelle est la maturité du marché français par rapport aux exigences de sécurité à venir ?
Un article sur le sujet sera prochainement publié.
Vous le savez, l’IA est sur toutes les lèvres en ce début d’année 2024. Et pour cause, les actualités en la matière sont on ne peut plus riches. Bien sûr, les équipes de Wavestone suivent ça de prêt !
Pendant cet atelier, nous auront le plaisir de vous présenter les retours d’expérience de nos missions de sécurisation de l’IA chez plus d’une vingtaine de grands comptes. En particulier, nous évoquerons les REX de nos activités sécurisation des projets IA développés en interne, de sécurisation des modules IA proposés par les fournisseurs (Copilot, Einstein, AzureOpenAI…), et des résultats, parfois surprenant, de nos pentests IA !
Et bien sûr, nous reviendrons sur le tant attendu AI Act et vous partagerons nos priorités en matière de sécurité de l’IA pour 2024 et 2025.
Dans un monde de plus en plus axé sur le Cloud, la question de l’administration devient une préoccupation cruciale pour les organisations. Nous avons souvent considéré l’Active Directory comme la pierre angulaire de la sécurité des systèmes d’information, mais dans le paysage du Cloud, les risques évoluent et se démultiplient.
L’administration dans le Cloud constitue un nouveau défi à relever, toujours afin d’assurer un maximum de sécurité et de résilience. Pourquoi les administrateurs Cloud peuvent-ils induire des risques plus importants que ceux de l’Active Directory ? Pourquoi ne pouvons-nous tout simplement pas appliquer le modèle 3-Tiers au Cloud ? Nous échangerons autour des meilleures pratiques et des approches pour adapter le concept du tier-0 de l’AD au Cloud, notamment en fournissant des recommandations liées à l’Enterprise Access Model proposé par Microsoft.
Bien que les entreprises disposent d’un large éventail d’outils de détection – du scan de vulnérabilté aux tests d’intrusion et à la threat intelligence – les backlogs deviennent trop important et les evironnements multiples et complexes ont rendu les approches traditionnelles insuffisantes. Pour gérer efficacement les vulnérabilités, il faut désormais privilégier la contextualisation et la priorisation.
Rejoignez-nous donc pour explorer l’évolution de la gestion des vulnérabilités et découvrez les concepts derrière le Vulnerability Operation Centre !
Dans le contexte actuel les grandes entreprises doivent se structurer afin de cultiver leurs talents cyber & recruter des nouveaux profils. Depuis 2 ans, Wavestone évalue, grâce à un outil dédié, les pratiques du marché sur ces questions, l’atelier sera l’occasion de présenter les résultats obtenus et les défis de demain.
De plus, une des clefs identifiée par les organisations est de créer des parcours de carrière spécifique et sur-mesure pour ses collaborateurs. Le retour d’expérience du groupe BNP Paribas sur la création d’un Cyber Career Path permettra de partager les bonnes pratiques, anecdotes et pièges à éviter.
Les actifs industriels sont de plus en plus connectés pour faciliter les opérations à grande échelle et rester compétitifs.
Les infrastructures Cloud offrent aujourd’hui la possibilité de faire évoluer les services avec une haute disponibilité, tout en estompant la frontière entre IT et OT : dès lors, comment sécuriser les infrastructures cloud dédiées à l’OT ?
En explorant les nouvelles tendances, leurs risques et opportunités, nous discuterons lors de cet atelier de l’approche de sécurité à adopter pour de tels usages.
Les CISO ont de plus en plus besoin de revoir leur modèle d’organisation : efficacité opérationnelle, globalisation des équipes et des processus, synergies avec d’autres risques (fraude, risque IT, produits …), les défis sont nombreux.
L’objectif de cet atelier est de décrypter les grandes tendances en termes d’operating model cyber et d’identifier les points clés à adresser pour le faire évoluer.
Ateliers : Session #2
17:00 - 18:15
Avec l’obligation à partir de janvier 2025 pour certaines entités bancaires de réaliser des exercices TLPT dans le cadre de la réglementation DORA, le référentiel TIBER-EU est remis au devant de la scène. Quelles sont les spécificités de ces deux référentiels et quelles sont les différences entre un exercice Red Team “classique” et ces exercices dirigés par la menace ?
Au travers de cet atelier, nous vous proposons de découvrir les caractéristiques de ces exercices et comment ils permettent une meilleure évaluation du niveau de résilience des entreprises. Nous identifierons également les éléments de ces référentiels dont les opérations Red Team “classique” peuvent s’inspirer.
Au cœur des développements Agile/DevOps se trouvent les chaînes d’intégration continue et de déploiement continu (CI/CD), vecteur d’automatisation de la sécurité… mais aussi nouveau vecteur d’attaque !
Les cyberattaques sur les chaînes CI/CD peuvent mener à la compromission totale de votre système d’information – SolarWinds (2020) étant un exemple parlant.
Face à ces problématiques, comment vous assurer que votre chaîne CI/CD est bien sécurisée ? Par une approche holistique de la sécurisation de la chaîne CI/CD et une analyse des risques associés à celle-ci, l’atelier présentera les outils et techniques pour identifier, évaluer et atténuer les vulnérabilités dans les chaînes CI/CD.
Hybride, automatisé, augmenté par l’IA, threat-led… à quoi ressemblera le SOC de demain ?
Le SOC moderne est en constante évolution et les éditeurs ne cessent de proposer de nouveaux produits et services. Si nous observons des niveaux d’optimisation jamais atteints dans les SOC de nos clients, il semble que le SOC du futur a encore beaucoup de potentiel d’optimisation (SOC modulaire, décentralisé…)
A travers une présentation de notre vision du SOC d’aujourd’hui et de perspectives pour le futur, cet atelier vous permettra de challenger votre stratégie SOC avec vos pairs.
Depuis plusieurs années l’identité numérique fait face à un véritable paradoxe : tous les services de l’entreprise s’appuient dessus, toutes les entités en dépendent, mais trop peu de monde se risque à en prendre la responsabilité.
Et pourtant, l’intensification des réglementations data privacy, l’accélération des initiatives move to Cloud, l’ouverture sécurisée du SI aux tiers et partenaires, l’émergence de technologies de pointe comme l’IA ou tout simplement l’adoption de la philosophie Zero Trust font prendre la lumière à l’identité numérique en la positionnant comme premier moyen de protection et de défense des SI.
Lors de cet atelier, nous vous partagerons notre vision du rôle clé que l’identité porte en réalité, l’importance d’en faire une priorité dans toutes stratégies cybersécurité et enfin, peut-être, répondre à l’une de vos éternelles interrogations : est-ce que l’identité numérique est l’affaire des RSSI ?
La cybersécurité peut-elle être plus durable ? Wavestone et le Campus Cyber ont souhaité répondre à cette question dans le cadre du groupe de travail « Cyber4Tomorrow ». Nous avons développé une première méthodologie de calcul des émissions de gaz à effet de serre (GES) liées à la cybersécurité, identifiant les contrôles les plus émetteurs et proposant des stratégies de réduction.
Venez assister à notre atelier pour comprendre en quoi les responsables de la sécurité des systèmes d’information jouent un rôle crucial en matière de développement durable, en allant au-delà d’un plan durable global qui serait mis en place par leur organisation. Pour ce faire, les RSSI peuvent mettre en place des actions ciblées sur leur périmètre, notamment en modifiant la mise en œuvre des exigences de sécurité, permettant de réduire encore davantage les émissions (jusqu’à 10 %).
L’objectif de cet atelier est de mettre en lumière les grands chantiers des RSSI pour faire face aux évolutions technologiques, réglementaires et géopolitique. A ces enjeux s’ajoutent aussi le constat que la hausse des budgets cyber, observée ces dernières années, n’est plus automatique !
Les questions auxquelles nous souhaitons répondre sont alors : comment éviter la « cyber-fatigue » et maintenir une dynamique d’investissement, comment réorganiser sa filière (couverture, efficacité) et apporter plus de valeurs aux métiers, comment accompagner les transformations en cours (Cloud, CI/CD, Zero Trust…) tout en préparant l’arrivée de l’IA et du quantique ?
Retrouvez nos retours d’expérience et ainsi que les clés pour construire une stratégie cyber 2027.
Nos clients sont rentrés depuis quelques semaines dans une phase d’opérationalisation et d’exécution des programmes de conformité au Digital Operational Resilience Act.
Dans cette perspective, nous vous proposons de partager les premiers enseignements à tirer des plus matures d’entre eux. Quels écueils et difficultés opérationnelles rencontrées ? Quels arbitrages communs vis-à-vis de la conformité au 17 janvier 2025 ? Quels conseils pour faire de leurs programmes un succès ?
Le Cyber Resilience Act devrait être voté prochainement et concerne l’ensemble des produits vendus dans l’Union Européenne. Venez découvrer la génèse de cette législation, sa portée, mais aussi ses impacts concrets sur les sociétés européennes.
Nous aborderons également l’interraction de cette législation avec le reste du panorama réglementaire, son planning.
Enfin, nous plongerons dans quelques exemples de mesures de sécurité concrètes ainsi que sur les grands chantiers qui nous paraissent nécessaires dans le cadre de la mise en conformité.
Les startups présentes à l'évènement
ALEIA est la plateforme Saas tout-en-un qui permet aux entreprises privées comme aux organismes publics de mettre en place et d’accélérer TOUS les projets d’IA (IA classique ou IA générative). Les équipes techniques et métiers peuvent ainsi collaborer très facilement sur tous les projets d’Intelligence Artificielle.
ALEIA participe notamment à CYBIAH ou CYLVIA. Pour faire face aux risques de cybersécurité, le Gouvernement français a décidé l’ouverture au printemps 2022 du Campus Cyber, lieu totem réunissant pour la première fois les consommateurs et les producteurs de solutions cyber. Les différents acteurs (grands groupes, startups, industriels) partagent ainsi leurs ressources pour faire émerger des solutions françaises. ALEIA participe à ces deux projets en mettant à disposition sa plateforme d’IA. Ces prestataires cyber sont référencés par le label « ExpertCyber ».
Giskard.ai, la “ceinture de sécurité de l’IA”, édite une solution logicielle permettant aux entreprises de contrôler les risques liés au déploiement de leurs modèles de ML/LLMs en production. Les équipes techniques et métiers peuvent ainsi centraliser sur leur plateforme tous leurs tests liés aux enjeux de Qualité, de Sécurité, et de Conformité réglementaire.
Prism Eval est une startup parisienne spécialisée dans le red teaming et l’évaluation des modèles et systèmes d’IA de pointe. Sa mission est de développer une compréhension scientifique approfondie de la cognition des IAs de pointe et d’exploiter ces connaissances pour créer des produits qui renforcent leur robustesse, sécurité et alignement à grande échelle.
Behavioral Elicitation Tool (BET) est son IA propriétaire qui sonde la surface d’attaque des LLMs de pointe en exploitant des milliards de prompts privés pour susciter des comportements spécifiques. Cette solution de test automatique de robustesse fournit des métriques et un aperçu détaillé des différentes vulnérabilités des LLMs et de leurs applications. Mini-BET est le ‘MVP’ de BET : une version statique qui repose sur un échantillon limité de prompts d’attaque des modèles. Il offre déjà un taux de réussite très élevé sur les modèles les plus récents, tels que GPT-4 et Claude-3-Opus.
SaferAI aide les entreprises à démontrer leur engagement envers l’IA responsable en produisant une notation IA Responsable des IA génératives utilisées incluant les impacts sociétaux, produits et environnementaux. Cela permet à cette startup de proposer aux entreprises du contenu à insérer directement dans leur rapport RSE.
Sarus introduit au cœur des projets IA les plus hauts standards de protection de la donnée, pour exploiter 100% de la data sans compromis sur la sécurité. Grâce à Sarus, les projets IA sont mis en place sans donner accès à la donnée confidentielle. La conformité de tous les résultats est assurée automatiquement grâce à la technologie de confidentialité différentielle, et l’expérience du data scientist est préservée grâce aux données synthétiques.
L’Insight Day est un évènement gratuit, organisé par Wavestone depuis 2016. Il réunit chaque année les principaux acteurs de l’écosystème cybersécurité en France.
Ajouter au calendrier
Un après-midi dédié à la cybersécurité
Vous pouvez d’ores et déjà le noter dans votre agenda : l’Insight Day 2023 aura lieu le mardi 18 avril à partir de 14 heures. Au programme, échanges et présentations sur les sujets d’actualité brûlants. L’après-midi se terminera par un cocktail en présence des équipes Wavestone et des participants.
Nous vous accueillerons au Campus Cyber, lieu totem de la cybersécurité en France.