Cybersécurité All Day

Seconde partie de mon podcast avec Hamza Kondah. Formateur Cybersécurité Chez Alphorm | Microsoft MVP en Sécurité des Entreprises.✴️ Retrouver Hamza KONDAHLinkedIn : http://bit.ly/3ZmWn96Son profil Alphorm : http://bit.ly/3JXQIAt✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Stéphane Bortzmeyer - Spécialiste DNS à l’AFNIC.✅ CONTENU✅(01:59) - L'aspect opérationnel des noms de domaines(06:59) - "Si le DNS tombe, tout tombe"(11:16) - Le DNS est un sujet trop négligé, même dans les boites du CAC40(15:01) - Culture opérationnelle des services juridiques et com, des noms de domaines(16:56) - Exemples qui illustrent bien un manque de prise en compte des enjeux liés aux noms de domaines(23:32) - Les solutions de supervision(30:51) - DoS, DDoS et détournements de noms✴️ Retrouver Stéphane BORTZMEYERSon Twitter : lien ici✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Dans cette série Questions/Réponses, je pose vos questions à mes invité(e)s.Aujourd'hui, la seconde partie de vos questions à propos de l'OSINT.Avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute👉 désolé pour la confusion, les épisodes Questions/Réponses numéros 1 et 2 sont en fait les épisodes 16 et 20.✅ CONTENU✅Note : pour répondre au plus de questions possibles, plusieurs questions (Q-) similaires, ont été posées en même temps.(00:39) - (Q - Mathis) "Jusqu'où ça peut aller pour ne pas entrer dans la cyberpatrouille ou le doxing ?”(03:05) - (Q - Yann) “Par où commencer ? Un seul truc ? À lire, à faire, peu importe. Mais un seul.”(05:31) - Être curieux et arrêter de devenir des victimes sur internet(08:24) - (Q - Olivier) “Comment peut-on se mettre à l'OSINT? Des défis accessibles et où l'on pourrait avoir la/les méthodes de recherche de la réponse par exemple”(10:54) (Q - Mathieu & Aurélien) Challenges OSINT de Julien - la démarche, le temps de préparation, la gestion des réponses, etc (18:05) - Anecdote sympa de Julien + exemple de liaison entre plusieurs “points”(21:15) - Connaitre son empreinte numérique pour savoir quels pourraient être les points de pression possibles + exemple(23:51) - (Q-Jean-Noel) “Avec le développement des outils, usages et technologies dans les années à venir, comment l'OSINT peut-il évoluer et à quoi va-t-il ressembler dans l'avenir ?”✴️ Démo vidéo OSINT de Julien : https://bit.ly/3T0SpA1✴️ Retrouver Julien MÉTAYER :LinkedIn : https://bit.ly/3dLjWqkSa plateforme OZINT.eu : https://bit.ly/3Rfqs6y✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Stéphanie BUSCAYRET, une RSSI avec plus de 20 ans d'expérience dans le secteur industriel.Série spéciale, dans laquelle je pose VOS questions à mes invité(e)s.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:34) - Question(s) recueillie(s) : “Comment faire pour montrer l’exemple, quelles clés, retour d’expérience de choses « qui fonctionnent », pour être inspirante et suivie par toute son entreprise, du comex à l’opérateur de machine outil ? »(08:53) - Question(s) recueillie(s) : “Je suis moi-même un junior tout fraîchement sorti de CESI École de l'alternance (maintenant CESI École d'Ingénieur), sorti en septembre 2022 avec déjà une expérience en tant qu'analyste SOC. Aujourd'hui, j'ai un objectif à long terme de devenir RSSI (comptons 10 ans, ce qui me pousserait au milieu de ma trentaine). Est-ce réaliste comme objectif ?"(22:34) - Remarque recueillie : “À mon époque, il n'y avait pas de formation, à part la cryptographie et ses mathématiques. Depuis, il y a des cursus. Mais je vois un vrai décalage entre la réalité et ce qui est enseigné. Savoir résoudre un problème inconnu et nouveau, l'aspect humain, etc…” + Beaucoup de questions que les étudiants se posent.(29:07) - Question(s) recueillie(s) : “Quelles sont les contraintes principales auxquelles sont confrontés les RSSI, qu’est-ce qui peut empêcher Stéphanie de dormir, pourquoi autant de RSSI changent de rôle ?”(34:36) - Question(s) recueillie(s) : “Quels sont les prochains défis et objectifs de Stéphanie ? Personnellement et professionnellement ?" + “Pourquoi s’habille-t-elle toujours en rouge ? “✴️ Retrouver Stéphanie BUSCAYRETLinkedIn : https://bit.ly/3RA5OBE✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Dans cette série Questions/Réponses, je pose vos questions à mes invité(e)s.Aujourd'hui, la première partie de vos questions à propos de l'OSINT.Avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute👉 désolé pour la confusion, les épisodes Questions/Réponses numéros 1 et 2 sont en fait les épisodes 16 et 20.✅ CONTENU✅Note : pour répondre au plus de questions possibles, plusieurs questions (Q-) similaires, ont été posées en même temps.(01:43) - Q- de Jean-Noel. Il y a-t-il un intitulé de métier spécifique à l’OSINT?(04:11) - Q- de Nicolas. D'un point de vue recrutement : doit-on s'attendre à ce que ces entités aient de plus en plus besoin de ce type de profil à l'avenir ?(06:14) - Recherches à propos d’un candidat + “Ne mettez pas sur internet quoi que ce soit que vous ne seriez pas prêt à crier dans un bar”(10:22) - Travailler son image sur le net (sphère privée vs sphère professionnelle). Notamment dans le cadre de candidature à des emplois.(11:49) - Q- de Nicolas. Dans quel cadre sont utilisées ses ressources (Entreprise/Renseignement/usage perso....) + l'expérience de Julien(14:28) - Q- de Stéphane. Dans le cadre contractuel et réglementaire d'une mission d'OSINT chez un client final, quelles sont les clauses à intégrer, les pièges à éviter sur ce type de mission ?(22:18) - Quelle est sa propre responsabilité si la “source” d’une information, la, elle-même obtenue de manière illégale ? L’exemple des data leaks et des Google dorks.(25:13) - Q- de Jean-Noel. Qu'est-il éthiquement bon ou pas, de faire avec les renseignements obtenus ?(30:44) - Q- de Pascal. La diffusion de l'information peut-elle être différée et/ou écartée pour certains, et, si c'est le cas, .... Pourquoi? Existe t-il des accès restreints à une personne ou à plusieurs ?✴️ Démo vidéo OSINT de Julien : https://bit.ly/3T0SpA1✴️ Retrouver Julien MÉTAYER :LinkedIn : https://bit.ly/3dLjWqkSa plateforme OZINT.eu : https://bit.ly/3Rfqs6y✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:24) - Tips variés (paiements en physique, comptes jetables, identités fictives numériques, et plus)(06:08) - On donne une partie de notre identité en ligne à chaque fois. Dans le futur, il serait possible de cartographier un pays(07:21) - Exemple d’une différence culturelle entre la France (donner ses infos pour acheter une carte SIM) et l'Angleterre (achat d'une carte SIM dans un supermarché et payer à la caisse comme pour achat normal)(10:36) - Comment créer un alter ego : pour recevoir du courrier + l’une des techniques que les fraudeurs utilisent avec des adresses de livraison. À propos des numéros de téléphone et des comptes bancaires.(15:12) - Les tickets commerçants et des informations qui sont parfois visibles sur ceux-ci, si leur TPE n’est pas à jour (19:06) - Hunter Cat (détecteur de cartes à puce / détecteur de skimmers)(21:50) - Avoir un second numéro de téléphone, service On/Off, carte SIM différente(23:12) - Comment créer un alter ego : dans quel niveau de détail, les sites de type fake person generator ou fakexy, l'outil Epieos(27:13) - Comment se lancer pour faire un audit de son identité numérique(31:04) - Comment créer un alter ego : “lui” créer une vie, l’exemple d’une identité fictive “Madame Michu”(34:15) - Ne pas partager ses vraies informations si ce n’est pas nécessaire ou pas important (au contraire des impôts ou de sa banque par exemple, avec qui c’est important de le faire) + d'autres tips(39:04) - En quoi l’Espagne est-elle beaucoup plus avancée dans la lutte contre la fraude (44:22) - L’idée à retenir✴️ Retrouver Jonathan SPEDALELinkedIn : https://bit.ly/4lsyvw1✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:52) - Jonathan se présente(04:38) - Personne ne fait de la veille sur les sujets de fraude(06:00) - L’ubérisation de la fraude, la fraude à la TVA, la fraude au retour / au refund, à propos des dataleaks(08:37) - Frauder est devenu plus accessible. Des "catalogues" de données volées(10:58) - On entends peu parler ce dont à quoi les données qui ont fuitées ont servies. La partie “submergée” de la fraude dont on entend peu parler. L'exemple de la fuite de données de Free.(14:38) - N’importe quelle information peut servir. L’exemple de la composition famille et des arbres généalogiques(18:22) - L’aspect temporel de certaines données qui ont fuitées(20:58) - La fraude ne concerne pas que des petits montants + Beaucoup de sociétés n’ont pas évolué, l’exemple de la fraude d’un bon d’achat dans un Drive, les bons de parrainage(24:50) - Ce qui m'a attiré sur le profil de Jonathan, c'est la partie pratique. En effet, il teste le parcours des fraudeurs + explications de son process.(29:28) - L’exemple du premier contrat qu’il a eu, tester un outil de lutte contre la fraude documentaire(30:49) - Des données inutilisables aujourd’hui, pourraient être utiles dans des nouvelles méthodes de fraudeLes fraudeurs recyclent. L’humain est trop souvent impressionnable. (33:16) - Il faut comparer un fraudeur à un magicien(37:40) - Le mot de la fin✴️ Retrouver Jonathan SPEDALELinkedIn : https://bit.ly/4lsyvw1✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Troisième et dernière partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:51) - Le règlement d'exécution relatif aux entités et réseaux (02:05) - Le problème des attaques de supply chain - Exemple de l’affaire SolarWinds (04:00) - “REX NIS2”, qui est concerné ?(07:49) - 10 mesures opérationnelles + le premier exemple(11:10) - Deuxième exemple : Politique de gestion des risques(14:01) - L'obligation de notifier(16:35) - La mise en conformité des prestataires critiques + Sanctions et responsabilités(19:57) - Le discours de l’ANSSI vs ce que les entreprises ont entendues (la stratégie du contournement)(22:48) - Une petite conclusion(26:00) - ”Faut-il diluer NIS2 dans du vin blanc?” La réalité du discours. Nos dirigeants, sont-ils préparés à ce chantier ?(31:26) - À propos de la documentation(33:57) - Liens utiles✴️ Retrouver Marc-Antoine LEDIEULinkedIn : https://bit.ly/41HFOJz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:30) - NIS2, c’est pour quand ? + Est-ce aux entités régulées de mettre leurs prestataires au carré ?(05:45) - Quel calendrier de transposition en France ?(07:21) - Le projet de décret ANSSI, 42 pages, 20 mesures techniques très détaillés + résumé de ces mesures + Mesures 1 à 10(18:23) - Mesures 11 à 20✴️ Retrouver Marc-Antoine LEDIEULinkedIn : https://bit.ly/41HFOJz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:19) - Marc-Antoine se présente (Avocat dans la cyber + Contributeur à NoLimitSecu)(04:35) - Podcast différent aujourd’hui, le support visuel complémentaire + L'anecdote derrière les slides en dessin (et les images en général) utilisés par Marc-Antoine(07:52) - Rapide retour sur NIS1, pourquoi ça échoué, et pourquoi NIS2 serait donc un succès sachant que le périmètre est beaucoup plus large(11:16) - Pourquoi en sommes nous où nous sommes aujourd’hui ?(14:58) - L’autre problème quand il y a une nouvelle loi obligatoire en France : le réflexe de la stratégie du contournement + le “Pipo Bingo” tenu par Marc-Antoine et sa collaboratrice(17:15) - Le changement de stratégie de l’EU(21:38) - Le concept de NIS2 + l’aspect de documentation(26:56) - Les 3 piliers indissociables(28:13) - (Slides 32 à 34) Qui sont les entreprises concernées par NIS2 ?(29:47) - Pour comprendre le nombre d’entreprises concernées par NIS2 : les deux problèmes de NIS1(32:28) - (Slide 36) Comprendre NIS2 - Les secteurs hautement critiques (annexe I), les autres secteurs critiques (annexe II)(36:03) - Le principe de l’auto-désignation✴️ Retrouver Marc-Antoine LEDIEULinkedIn : https://bit.ly/41HFOJz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:51) - Mythe 1 : “J’utilise des partenaires certifiés PCI DSS, donc je suis certifié PCI DSS”(03:04) - Quand un partenaire est certifié PCI DSS il faut comprendre sur quel périmètre (05:45) - Il y a 2 types de partenaires : des prestataires certifiés PCI DSS, des prestataires qui ne le sont pas(08:09) - Mythe 2 : “La PCI DSS ne se résume qu'à de la technique”Parcours d’obtention de la certification : (10:28) - 1/ Comment se mettre en conformité et les 2 questions à se poser à cette étape. Le CDE, etc(12:19) - Un moyen de diminuer le périmètre de certification(13:08) - Analyse d'écart (gap analysis)(14:10) - 2 / Comment obtenir la certification, comment celle-ci se déroule(16:38) - L’aspect du renouvellement et l’importance pour une entreprise de maintenir sa certification  (19:03) - La problématique de trouver un juste-milieu entre le niveau de sécurité requis par la norme et le niveau de sécurité cohérent en rapport à ses activités, sans que cela ne perturbe la productivité(21:24) - Les aspects de l’assurance et des responsabilités en cas de compromission de cartes bancaires(23:47) - Il est important d’avoir un vrai sponsor en interne pour mobiliser toutes les équipes, pour s’assurer d’obtenir le renouvellement de sa certification(25:14) - La PCI DSS et sa relation avec les autres normes PCI(28:46) - Le mot de la fin de Kévin(30:26) - La PCI DSS n’est pas une exigence réglementaire, c’est une exigence contractuelle✴️ Retrouver Kévin DEJOURLinkedIn : https://bit.ly/3CzUCj7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:06) - La force de l'expérience de Kévin, qui avait été audité sur l'aspect PCI DSS quand il était RSSI et qui maintenant est auditeur PCI DSS.(02:44) - Où se place la PCI DSS en termes de difficulté d’obtention.(04:29) - L’obtention de la PCI DSS n’est pas liée à l'appréciation de l’auditeur + ce qui en fait son avantage.(06:28) - Les concepts de base de la PCI DSS. Pourquoi elle a été créée, pour quels acteurs, etc. Les programmes de sécurité des schemes (Visa, Mastercard, etc).(09:10) - Selon Kévin, pourquoi le nombre de transactions par niveau est différent selon les schemes (ex: Visa, 6M pour le niveau 1, alors qu'AMEX c'est 2.5M).(11:13) - La PCI DSS, les 2 types d'entités qui se font auditer: les fournisseurs des services et les commerçants. Les distinctions à faire.(13:26) - Les différences principales entre le niveau 1 et les autres niveaux.(15:40) - Kévin démystifie le jargon principal associé (ROC, SAQ, PAN, etc).(19:30) - Les principaux chapitres de la PCI DSS (parmi les 12).(23:39) - De son expérience d'auditeur PCI DSS : les principales raisons pour lesquelles une certification n'est pas obtenue par une entreprise(27:01) - Les quatre occurrences de scan dans l'année. L’obtention de la certification, et son renouvellement.(28:07) - Être certifié PCI DSS, comment (si c'est le cas), cela influe sur la sélection des outils de sécurité.(30:12) - Les nouveautés de la PCI DSS v4.0.(33:41) - L'un des changements les plus compliqués de la PCI DSS v4.0(34:53) - La deuxième nouveauté qui s’applique aussi au ecommerce: des tests de sécurité pour détecter l’insertion de skimmers dans une page de paiement.✴️ Retrouver Kévin DEJOURLinkedIn : https://bit.ly/3CzUCj7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:47) - Établir un programme de quantification : les étapes à court terme et à long terme.(07:29) - Les synergies entre les méthodes FAIR & EBIOS RM.(12:15) - Quand utiliser FAIR vs quand utiliser EBIOS RM.(15:15) - Comment maintenir son programme de quantification.(18:33) - Les problématiques de cohérence.(21:38) - Appel d’offres : comment choisir le bon acteur.(25:33) - Réconcilier le risque, et la mesure de sécurité associée.(30:08) - L’approche personnelle de Matthias, qui valorise les données de CTI et de sécurité opérationnelle dans les modèles de risque.(33:53) - Les 2 messages de Matthias.✴️ Retrouver Matthias POUYANNELinkedIn : https://bit.ly/3AMUSun✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:50) - Matthias se présente(04:08) - Les origines & l'histoire de la quantification cyber + à ce dont ce sujet va servir au cours des prochaines années(07:18) - Quand le risque a évolué plus rapidement que les mesures de sécurité mises en place(10:33) - Personas : qui peut et/ou devrait être inclus dans ce sujet ? le DAF, le CISO, le Risk Manager ?(13:00) - Les autres métriques (autres que financières) associées & utilisées (16:29) - L’un des cas d’utilisations: la négociation de la police d’assurance(21:19) - La validité temporelle d’une quantification à travers la méthode FAIR. Les métriques utilisées dans cette méthode(24:17) - Quelles autres méthodes similaires à FAIR?(26:17) - Une deuxième alternative à FAIR(27:44) - Quelle maturité est nécessaire ? À quel type d’entreprise s’adresse la méthode FAIR? + la principale value ajoutée pour les entreprises qui manquent de maturité(31:53) - La quantification sera bientôt un sujet de conformité✴️ Retrouver Matthias POUYANNELinkedIn : https://bit.ly/3AMUSun✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMichael

Seconde partie de mon échange avec Lucie POIRAUD, RSSI Opérationnelle chez le Groupe Atlantic.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:52) - Début du podcast + certes, même si subir une cyberattaque est une expérience négative, peut-elle être mise en avant lors de sa candidature pour de futurs rôles ?(03:52) - Dans la crise, on découvre des personnalités (des champion(e)s, des gens qui ont envie d’aider, etc)(06:32) - Il y’a très peu d’outils pour comprendre et pour évaluer les dommages d'une cyberattaque sur les salariés. Quel accompagnement avait été fait chez le Groupe Atlantic ?(09:09) - Les quicks wins qui ont été mises en place + les recommandations de Lucie(12:55) - Post cyberattaque: les actions de sensibilisation qui ont été mises en place (22:51) - Les podcasts en interne, un autre canal de communication important + la participation de Lucie à ce premier podcast interne chez le Groupe Atlantic(24:41) - Le mot de la fin✴️ Retrouver Lucie POIRAUDLinkedIn : https://bit.ly/3VjNlLf✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Lucie POIRAUD, RSSI Opérationnelle chez le Groupe Atlantic.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:59) - Début du podcast + Lucie se présente(02:29) - Contexte du Groupe Atlantic(04:44) - Chronologie de la cyberattaque qui a touché le Groupe Atlantic fin 2020(09:25) - Le périmètre qui a été touché(10:51) - Les actions qui ont été mises en place sur du court terme(12:40) - Repartir vite oui, mais, avec le plus de “confiance” possible(16:13) - L’aspect de communication (interne et externe), les leçons tirées, et plus(21:24) - Recommandations. Les actions de durcissement et autres actions pour réduire le risque de subir de ce genre d'attaque(25:32) - Les premiers jours, les premières semaines. Créer une task force, etc.(28:14) - Effets psychologiques : comment elle l’a vécue à l'époque en tant que Ingénieure Systeme, Réseaux et Sécurité.(32:57) - Effets psychologiques : comment elle le vivrait aujourd'hui, maintenant qu'elle est RSSI depuis plus de 3 ans✴️ Retrouver Lucie POIRAUDLinkedIn : https://bit.ly/3VjNlLf✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Paul VARELA, Expert cyber dans le domaine du spatial.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✴️ Retrouver Paul VARELALinkedIn : ici✴️ Me retrouverLinkedIn : iciSite web : iciMichael

Première partie de mon échange avec Paul VARELA, Expert cyber dans le domaine du spatial.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✴️ Retrouver Paul VARELALinkedIn : ici✴️ Me retrouverLinkedIn : iciSite web : iciMichael

Seconde partie de mon échange Karim LAMOURI, Président de Hackers Without Borders (HWB).👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✴️ Retrouver Karim LAMOURILinkedIn : ici✴️ Me retrouverLinkedIn : iciSite web : iciMichael

Première partie de mon échange Karim LAMOURI, Président de Hackers Without Borders (HWB).👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:56) - La mission statement de l’ONG Hackers Without Borders (HWB) ; Pourquoi ils font le choix de rester discrets à propos de leurs actions.(04:42) - Vouloir apporter sa petite pierre à l’édifice ; Pourquoi ils ont créé cette ONG et la particularité de HWB ; La moitié des métiers de la cyber ne sont pas techniques, donc il y’a un besoin de gérer et de manager toute la scène cyber.(07:16) - Un modèle différent des autres ONG ; Des ONG “concurrentes” dans le bien, qui ne le sont pas vraiment car les missions de chacune sont très complémentaires.(09:57) - Le modèle qu’ils ont choisi chez HWB ; Pourquoi et comment, ils mettent en place des actions de paix sans financement externe (par exemple, ils n’ont pas de compte bancaire et ne collectent pas un centime).(12:58) - Ils se sont faits attaqués sur le fait de ne pas être complètement transparent sur leur site par rapports à leurs missions, etc ; Il serait plus judicieux de parler de “cyber-paix” plutôt que de “cyber-guerre” ; Le CyberPeace Institute et HWB sont très complémentaires, une collaboration serait l'une des premières mondiales (voir la première).(15:58) - Que fait HWB de l’argent collecté ? (spoiler : ils ne collectent pas d’argent, ils ont collecté 0 centime à ce jour) ; L’attaque médiatique de la part de l’EGE ; L’expérience personnelle de Karim dans le domaine associatif ; Les notions comme l’altruisme et l'empathie sont dans l’ADN de HWB ; Ce qui est demandé aux membres de l’ONG.(21:33) - Des problèmes du passé de représentativité et de représentation en France, avec certaines personnes qui n’étaient pas venues avec l’envie ni d’apprendre, ni de transmettre.(23:18) - Faire quelque chose avec gentillesse et transparence attire parfois des critiques ; Bernard Arnaud qui a donné 10 millions d'euros aux restos du cœur.(25:43) - Il y a des gens qui veulent juste le bien, car oui, il y a aussi des “cyber-gentils” ; Les burn-outs et l’impact psychologique du modèle néfaste de toujours être dans la crainte (menaces, mal, etc) VS regarder le positif que l’on apporte + l'avis personnel de Karim.(30:10) - L’intérêt de participer à une ONG, c’est souvent la satisfaction de faire des projets utiles qui font du bien, avec des gens que l’on apprécie ; Les egos.(33:29) - Après des erreurs de jeunesse liées à la coordination, depuis qu’ils sont en place ils apportent des résultats dans leurs actions et c’est une vraie satisfaction.(34:55) - Il n’y a pas de place à l’ego chez HWB ; Ils évitent de faire de la politique ouverte et tranchée, ils ne parlent pas de religion, et évitent de parler d’argent.✴️ Retrouver Karim LAMOURILinkedIn : https://bit.ly/3RtCZXe✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael