Programme des JCUIC 2013

Programme des JCUIC
3 – 4 avril 2013
CEA Bruyères-Le-Châtel - TGCC
___________
Tous communicants, tous mobiles, en toute sécurité !
La technologie peut-elle remplacer la conscience de l’utilisateur ?
La rapidité d’évolution des technologies et des outils de communication est
vertigineuse : Smartphones, tablettes, réseaux sociaux, plateformes de services et
de partage collaboratif, réseaux haut débit, prolifération d’équipements personnels
ou techniques enfouis et connectés… sont les aspects emblématiques de ces
nouvelles tendances. Les possibilités de communication et de nomadisme qui en
découlent peuvent ouvrir de formidables perspectives pour fluidifier et démultiplier
nos pratiques scientifiques et techniques.
Mais ces technologies et leurs usages suscitent en parallèle l’essor et la
prolifération de pratiques malveillantes, parasites ou alternatives - nouveau visage
de l’hacktivisme, émergence de « pirates protestataires », fuite de données,
espionnage… Quel est l’impact sur notre façon de travailler, quelles sont les
nouvelles menaces et où sont les vraies vulnérabilités pour notre système
d’information et notre patrimoine de connaissances ?
Qu’il s’agisse d’équipements matériels ou de logiciels, aucun domaine n’est
épargné !
Les attaques ciblées sur des entreprises ayant « pignon sur rue », la fuite de
données majeures, la forte médiatisation des attaques spectaculaires révélées ces
derniers mois conjuguée aux dangers potentiels qu’elles présentaient ont sans
doute permis, au CEA comme ailleurs, un éveil des consciences sur les questions
de sécurité informatique.
Si ces nouvelles technologies peuvent aussi procurer d’énormes avantages en
termes d’innovation, de productivité et de satisfaction dans le travail, « l’humain »
reste bien évidemment au cœur de ce dispositif.
Comment garantir la sécurité de notre SI dans ce nouveau contexte ?
Entre risque et opportunité, deux jours pour réfléchir ensemble sur la façon de se
protéger et tirer le meilleur parti de ces nouvelles tendances.
_______________
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif
Les sessions, à base de présentations de 20 minutes pour les intervenants CEA + 10 minutes pour
les questions/discussions et changement d’orateur, mêleront des exposés à vocation généraliste ou
plus spécifiquement orientés informatique d’entreprise ou informatique scientifique.
Mercredi 3 avril matin
10h00 – 11h00 : Accueil et enregistrement des participants
11h00
• Message d’accueil – Introduction
Bernard Rouault, Président du Cuic
Pierre Bouchet, Directeur du centre DIF
11h15
• Conférence d'ouverture :
Cyberattaques – la réalité de la menace et comment s’en protéger
Patrick Pailloux, Directeur général de l’ANSSI
12h00
• Apache, le projet de sécurisation des postes de travail
Jean-Marc Zuccolini – DCS/SPACI
Pourquoi un projet de sécurisation du poste de travail ?
Malgré tous les équipements de sécurité mis en œuvre au niveau de l’infrastructure réseau,
les attaques d’exfiltration de données se multiplient pour siphonner l’ensemble des
précieuses informations détenues derrière cette ligne Maginot. Le pivot de ces attaques est
le poste de travail ou le terminal de l’utilisateur, de plus en plus mobile et de plus en plus
complexe voir non maîtrisé comme le propose le modèle du « Bring Your Own Device ». La
reprise en main de ces terminaux est plus un défi d’organisation qu’un défi technique. Elle
consiste principalement à appliquer des règles de bon sens et de bonne pratique, qui ont
beau paraître désuètes mais n’en sont pas moins les seules parades efficaces par rapport à
ce type d’attaque qui exploite la moindre vulnérabilité. C’est l’origine du projet Apache
« Aurora PAs CHEz nous », démarré fin 2011.
12h30
Déjeuner + café avec les exposants + visite Expo (1h30)
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif
Mercredi 3 avril après-midi
14h00
• Sécurisation des flux Web
Mathieu Geli – DAM/DIF/DSSI/CTSI
Les navigateurs web ainsi que leurs plugins (Java, Flash, lecteur PDF, etc.) représentent
une source de compromission non négligeable. Cette présentation montrera différentes
techniques permettant de renforcer la sécurité du poste client en se focalisant sur plusieurs
aspects complémentaires : proxy filtrant couplé avec une analyse temps-réel des URL
malveillantes (à partir de la base Google Safe Browsing), détection d'intrusions par analyse
des journaux de logs, conception d'un poste de navigation déporté, etc.
14h30
•
IAM – Pourquoi un projet d’Identity Access Management ?
Patrick Baldit – Chef du STIC de Cadarache
De nos jours, nous devons tous faire face à une forme de gestion des identités et des
habilitations. Nous le faisons par exemple en reconnaissant les visages et le son de la voix
des personnes que nous connaissons. Si laisser entrer quelqu’un que l’on connaît chez soi
ne présente aucune difficulté, alors pour quelles raisons les entreprises peinent-elles à
mettre en place un dispositif analogue pour accorder des accès à leur système
d’information ?
Ceci s’explique par le fait que les accès au Système d’Information sont bien plus
complexes, avec des « visiteurs » et des « portes d’entrées » multiples devant être
surveillés. A cela s’ajoutent des types d’accès (privilèges) multiples, qui sont fonction de
l’identité du visiteur. Mais quels sont les éléments de son identité, par qui ces éléments
sont-ils gérés et qui a la responsabilité de leur mise à jour ?
Le CEA Cadarache a mis en place une solution technique et organisationnelle pour
s’assurer que seules les personnes de confiance sont autorisées à accéder à son SI et que
l’ensemble des éléments constituant l’identité de la personne est unique.
15h00
• MUSCADE – Micro SCADA pour systèmes embarqués communicants
Christian Walter – Responsable R&D à DSM/Irfu/SIS
Muscade est un progiciel à embarquer et téléchargeable (Technologie WEB - Applet Java)
assurant supervision, commande et acquisition de données pour des systèmes
communicants. Il est utilisé principalement pour le débogage, le contrôle, le diagnostic et la
configuration d’équipements électroniques disposant d’un serveur WEB et d’une application
serveur Modbus®/TCP.
Déployé sur plateforme Windows Embedded Standard 7 ou 8, il assure les fonctions
suivantes :
- Authentification forte du client par l’utilisation de certificats et d’E-token.
- Protection des postes clients grâce à la certification des programmes et des
données.
- Communication client/serveur sécurisée en https.
- Protection du serveur grâce à un OS flashé, de l’outil MS « Application Locker » et
d’un mécanisme sécurisé de mise à jour.
Mobilité assurée avec une tablette sous Windows 8 Entreprise.
15h30
• Mobilité et sécurité au CEA Grenoble : réalisations pratiques
Dominique Marion – Ingénieur projet à DRT/GRE/DSP/SIE
Il est fréquent maintenant que l'expérimentation sorte du laboratoire. A la DRT, c'est le cas
pour les études sur les nouvelles générations de batteries ainsi que pour les capteurs
solaires. Le problème est ensuite de transférer dans l'INTRA les données expérimentales
produites pour les traiter en prenant en compte les contraintes de sécurité.
Les VLANs compartimentent le réseau interne du centre et sont un frein à la mobilité à
l'intérieur du centre. Le CEA-Grenoble met en place une solution pour que chaque PC
portable retrouve le VLAN qui lui a été attribué dans les salles de réunions.
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif
16h00
Pause + visite Expo (45')
16h45
•
CERN - Computer Security in an Academic Environment
Stefan Lüders – CERN Computer Security Officer
CERN, the European Organization for Nuclear Research, is welcoming every year on
average about 10.000 researches, students, professors, etc. who travel to CERN in order to
study, work or teach. As they stay only for a limited time --- days, weeks or months --- they
usually bring their own devices or a laptop/computer provided by their home university.
They are used to run their preferred choice of operating system and software applications,
to program in their favourite programming language, and to communicate easily and
regularly with their peers at home. CERN is even providing hostels on site to accommodate
them. Professional life meets personal life on CERN’s sites. It is one of CERNs paradigms
to support this academic freedom. “Computer Security” has to put the balance right while
not impacting too much on this academic freedom. Accordingly, “computer security” cannot
solely be covered by technical means. It is rather a sociological problem. Computer security
starts in front of the screen and this presentation should outline how CERN tries to introduce
a security culture in the minds of its staff & users.
- Conférence en anglais -
17h15
• Gestion de flotte et sécurisation des terminaux mobiles : le projet MDM
Denis Chermette – Responsable de la gestion des accords téléphonie – DSI/ARCHI
Les systèmes de MDM (Mobile Device Management) servent à offrir une vision cohérente
et homogène d’une flotte de terminaux mobiles (smartphones, tablettes), et permettre des
actions en masse relatives à la sécurité, au déploiement d’applications et au support à
l’utilisateur.
Au CEA, la mise en place d’un système de MDM doit répondre aux besoins énoncés par la
ligne fonctionnelle Sécurité, par l’exploitant, et … par l’utilisateur final qui souhaite
conserver au maximum les libertés dont il jouit actuellement, tout en bénéficiant d’un
support en cas de problème.
Une équation pas simple à résoudre !
17h45
• Table ronde – Télétravail : Où en sont les entreprises en France ? où en est Areva ?
où en est le CEA ?
Animateur : Anne-Marie Jonquière - Pôle RHF – Conduite du changement - Présidente du réseau
Parité Diversité Femmes du CEA
Maurice Mazière – Directeur du centre CEA de Cadarache
Philippe Thurat, directeur de la Diversité d’AREVA
Guillaume Ravel, DRH à la Direction de la recherche technologique (DRT)
Jean-Marc Zuccolini – DCS/SPACI
Témoignages de deux salariés pratiquant le télétravail
Le télétravail, cette capacité à créer -grâce à la technologie- de la valeur professionnelle en
dehors du « lieu habituel de travail » nous pose questions et c’est normal : parce que
justement il remet en cause nos habitudes de travail. Notre relation au temps, à l’espace,
aux autres...
Aujourd’hui, les entreprises s'y engagent -à l'initiative souvent des réseaux de femmescomme moyen de mieux concilier vie professionnelle et vie personnelle, ou avec des
arguments environnementaux. Mais quand le télétravail pour certains est source de
progrès social, pour d’autres il reste vecteur de tous les dangers. Cette différence de vision
est le signe que dans l’entreprise, il s’agit d’un vrai changement culturel : à la fois
managérial et technique. Et que sa mise en œuvre doit être conduite en conséquence.
Quelles sont les différences entre nomadisme et travail à domicile, vues du salarié ou de
son entreprise ? Quelles sont les activités éligibles au télétravail ? Qu’est-ce qu’on y
gagne? Comment travailler avec des équipes distantes ? Comment passer de la mesure
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif
du temps de présence (ie le temps qu’on passe au bureau ou au labo) à la mesure
du résultat qu’on obtient, qu’on soit présent ou pas…? Comment résoudre les différents
problèmes qui se posent au télétravailleur ou à son équipe, en particulier ceux liés à la
sécurisation des échanges ?
A l’heure des smartphones, du VPN, des conf-call et de la visio, nous croiserons la vision
des DRH, des managers, et des salariés concernés par cette nouvelle organisation du
travail : ceux du CEA et les autres… A l’occasion de cette table ronde, nous partagerons en
particulier les analyses et retours d’expérience d’AREVA et du CEA/Cadarache sur ce sujet.
Vos expériences dans ce domaine seront les bienvenues !
18h30
•
Pot-pourri des meilleurs échecs de la sécurité informatique
Nicolas Ruff – EADS – chercheur en sécurité
Retour d’expérience sur 10 ans d’audits de sécurité. De nombreux produits de sécurité, tels
que les solutions de MDM (mais pas que) seront passés en revue. Seul, du contenu original
sera dévoilé au cours de cette présentation, il ne s’agit pas d’une revue de presse !
19h15
Visite Expo,
20h00
Apéritif, suivi du dîner de travail
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif
Jeudi 4 avril matin
Je 8h30
• Visite Expo (30’)
Je 9h00
• Reverse engineering de codes malveillants
Fabrice Desclaux – Expert CTSI à DAM/DIF/DSSI
Dans le but d'échapper à la surveillance des antivirus les plus connus, les malwares ont
tendance à utiliser des "packers". Ceux-ci leur permettent, au même titre que le prêt à
porter, de changer de robe à volonté et ainsi de mettre à mal les techniques basées sur les
signatures de virus. Cette présentation montrera la démarche et les techniques utilisées
pour analyser des codes malveillants, le tout accompagné d'exemples concrets tirés de cas
réels.
Je 9h30
• Les technologies mobiles : Et la protection des données à caractère personnel dans
tout ça !
Adrien Rousseaux – CNIL – Ingénieur Expert au Service de l’Expertise informatique
Les technologies mobiles, qu'elles soient utilisées à des fins privées ou professionnelles,
contiennent de nombreuses données à caractère personnel, et en sont même la source. La
loi « Informatique et Libertés » impose au responsable de traitement de mettre en œuvre
les mesures de sécurité adaptées aux risques « Informatique et Libertés ». Quels sont les
risques sur les traitements de données à caractère personnel et comment les gérer ?
Je 10h00
• Le BYOD, sujet trop à la mode vous casse les pieds ? Moi aussi
Eric DOMAGE - Orange Business Services – Directeur for Strategy and Market Insight
Le nombre d’incidents impliquant des systèmes d’informations ne cesse d’augmenter et le
moment est venu de se poser de nouvelles questions : pourquoi la loi de Moore nous
donne-t-elle de plus en plus de capacité sans que nous puissions juguler les attaques ?
Pourquoi la puissance de calcul phénoménale disponible pour les solutions de sécurité estelle devenue vaine ? En Bref, la Sécurité telle que nous la pratiquons depuis des décennies
est-elle un échec ? Sur la base de constats objectifs, essayons de détecter les pistes d’une
sécurité plus anticipée, plus architecturée, plus en amont…bref, plus intelligente !
10h45
Pause – Visite Expo (45')
11h30
• Usage sécurisé des moyens nomades et sécurité économique
Direction Centrale du Renseignement Intérieur
A travers des exemples concrets et quelques démonstrations techniques, un officier de
renseignement de la DCRI présentera les bonnes pratiques en matière de mobilité
(smartphones, support de stockages mobiles, etc…) dans un contexte professionnel et
notamment lors des déplacements à l'étranger.
.
12h30
Déjeuner + café avec les exposants + visite Expo (1h45)
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif
Jeudi 4 avril après-midi
14h00
• Contrôle d’accès mandataire en environnement HPC
Mathieu Blanc - DAM/DIF/DSSI/CTSI
Le déploiement de mécanismes de contrôle d'accès renforcé (comme SELinux) a pour
objectifs, d'une part, de cloisonner les utilisateurs entre eux, et d'autre part, de réduire le
risque que représentent les vulnérabilités encore inconnues présentes sur les architectures
HPC.
14h30
• Mise en place d’un RLAN à Cadarache
Jérome Risso – Chef du groupe Infrastructures Réseau, Télécom au STIC de Cadarache
Le CEA/Cadarache a étendu son réseau Ethernet/IP « traditionnel », par la mise en place
d’une couverture radioélectrique haut débit (RLAN Radio Local Area Network), dans la
bande de fréquence des 5.400GHz (fréquences libres).
Ce dispositif permet de raccorder à un réseau dédié de données du CEA, des matériels
« nomades » et/ou isolés sur le site ;
Comme primo applications, on peut noter :
- La création d’un « point d’accès » installé dans un véhicule d’intervention de la FLS
(PCML), permettant le raccordement d’un PC bureautique, via une connexion Wifi
de proximité,
- Le raccordement d’un dispositif de vidéosurveillance, transportable et autonome, au
réseau informatique, via un « point d’accès »,
- D’autres à venir….
Les liaisons ainsi créées permettent d’échanger des flux de données propriétaires et
sécurisées entre ces équipements nomades/isolés et le Système d’information du CEA.
15h00
• Cloud public ou Cloud privé, pour quels usages ?
Arié Sarfati – THALES - Service Delivery Manager dédié au Cloud Thales
Quels sont les concepts de Cloud privé et de Cloud public ?
La sécurité est un enjeu majeur pour la réussite d’un projet de Cloud Computing et les
risques sont bien réels face à la mondialisation de l’offre.
Le Cloud souverain est-il une solution pour garantir la confidentialité des informations ?
Quels sont les bénéfices organisationnels et financiers du Cloud Computing pour
l’entreprise ?
15h30
• Transmission sans fil industrielle – Enjeux de sécurité
Thierry Cornu- Euriware - Responsable de l’offre Cybersécurité industrielle
Dans l'industrie nucléaire, le suivi en temps réel des travailleurs en milieu ionisant nécessite
le déploiement rapide de systèmes temporaires et mobiles. Ces applications comprennent
typiquement des capteurs portatifs personnels (dosimétrie, radiamétrie, mesure de
paramètres physiologiques), des capteurs transportables déployables rapidement (balises
radiologiques de chantier) et des moyens de communication audio et vidéo avec les
travailleurs en zone. L'ensemble des équipements fait une utilisation intensive de la
communication sans fil. Cette présentation évoque les architectures de systèmes de
chantier en cours de développement pour EDF et AREVA et les enjeux liés à la sécurisation
de ces systèmes.
16h00
• Conclusion
Louis Arrivet, Directeur des systèmes d’information
16h15
• Tirage au sort
Louis Arrivet
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif
JCUIC’13, 3 – 4 avril 2013, Bruyères-Le-Châtel - TGCC – Programme des conférences
V2.0 - définitif