Programme des JCUIC 3 4 avril 2013 CEA Bruyères-Le-Châtel - TGCC

Transcription

1 Programme des JCUIC 3 4 avril 2013 CEA Bruyères-Le-Châtel - TGCC Tous communicants, tous mobiles, en toute sécurité! La technologie peut-elle remplacer la conscience de l utilisateur? La rapidité d évolution des technologies et des outils de communication est vertigineuse : Smartphones, tablettes, réseaux sociaux, plateformes de services et de partage collaboratif, réseaux haut débit, prolifération d équipements personnels ou techniques enfouis et connectés sont les aspects emblématiques de ces nouvelles tendances. Les possibilités de communication et de nomadisme qui en découlent peuvent ouvrir de formidables perspectives pour fluidifier et démultiplier nos pratiques scientifiques et techniques. Mais ces technologies et leurs usages suscitent en parallèle l essor et la prolifération de pratiques malveillantes, parasites ou alternatives - nouveau visage de l hacktivisme, émergence de «pirates protestataires», fuite de données, espionnage Quel est l impact sur notre façon de travailler, quelles sont les nouvelles menaces et où sont les vraies vulnérabilités pour notre système d information et notre patrimoine de connaissances? Qu il s agisse d équipements matériels ou de logiciels, aucun domaine n est épargné! Les attaques ciblées sur des entreprises ayant «pignon sur rue», la fuite de données majeures, la forte médiatisation des attaques spectaculaires révélées ces derniers mois conjuguée aux dangers potentiels qu elles présentaient ont sans doute permis, au CEA comme ailleurs, un éveil des consciences sur les questions de sécurité informatique. Si ces nouvelles technologies peuvent aussi procurer d énormes avantages en termes d innovation, de productivité et de satisfaction dans le travail, «l humain» reste bien évidemment au cœur de ce dispositif. Comment garantir la sécurité de notre SI dans ce nouveau contexte? Entre risque et opportunité, deux jours pour réfléchir ensemble sur la façon de se protéger et tirer le meilleur parti de ces nouvelles tendances.

2 Les sessions, à base de présentations de 20 minutes pour les intervenants CEA + 10 minutes pour les questions/discussions et changement d orateur, mêleront des exposés à vocation généraliste ou plus spécifiquement orientés informatique d entreprise ou informatique scientifique. Mercredi 3 avril matin 10h00 11h00 : Accueil et enregistrement des participants 11h00 Message d accueil Introduction Bernard Rouault, Président du Cuic Pierre Bouchet, Directeur du centre DIF 11h15 Conférence d'ouverture : Cyberattaques la réalité de la menace et comment s en protéger Patrick Pailloux, Directeur général de l ANSSI 12h00 Apache, le projet de sécurisation des postes de travail Jean-Marc Zuccolini DCS/SPACI Pourquoi un projet de sécurisation du poste de travail? Malgré tous les équipements de sécurité mis en œuvre au niveau de l infrastructure réseau, les attaques d exfiltration de données se multiplient pour siphonner l ensemble des précieuses informations détenues derrière cette ligne Maginot. Le pivot de ces attaques est le poste de travail ou le terminal de l utilisateur, de plus en plus mobile et de plus en plus complexe voir non maîtrisé comme le propose le modèle du «Bring Your Own Device». La reprise en main de ces terminaux est plus un défi d organisation qu un défi technique. Elle consiste principalement à appliquer des règles de bon sens et de bonne pratique, qui ont beau paraître désuètes mais n en sont pas moins les seules parades efficaces par rapport à ce type d attaque qui exploite la moindre vulnérabilité. C est l origine du projet Apache «Aurora PAs CHEz nous», démarré fin h30 Déjeuner + café avec les exposants + visite Expo (1h30)

3 Mercredi 3 avril après-midi 14h00 Sécurisation des flux Web Mathieu Geli DAM/DIF/DSSI/CTSI Les navigateurs web ainsi que leurs plugins (Java, Flash, lecteur PDF, etc.) représentent une source de compromission non négligeable. Cette présentation montrera différentes techniques permettant de renforcer la sécurité du poste client en se focalisant sur plusieurs aspects complémentaires : proxy filtrant couplé avec une analyse temps-réel des URL malveillantes (à partir de la base Google Safe Browsing), détection d'intrusions par analyse des journaux de logs, conception d'un poste de navigation déporté, etc. 14h30 IAM Pourquoi un projet d Identity Access Management? Patrick Baldit Chef du STIC de Cadarache De nos jours, nous devons tous faire face à une forme de gestion des identités et des habilitations. Nous le faisons par exemple en reconnaissant les visages et le son de la voix des personnes que nous connaissons. Si laisser entrer quelqu un que l on connaît chez soi ne présente aucune difficulté, alors pour quelles raisons les entreprises peinent-elles à mettre en place un dispositif analogue pour accorder des accès à leur système d information? Ceci s explique par le fait que les accès au Système d Information sont bien plus complexes, avec des «visiteurs» et des «portes d entrées» multiples devant être surveillés. A cela s ajoutent des types d accès (privilèges) multiples, qui sont fonction de l identité du visiteur. Mais quels sont les éléments de son identité, par qui ces éléments sont-ils gérés et qui a la responsabilité de leur mise à jour? Le CEA Cadarache a mis en place une solution technique et organisationnelle pour s assurer que seules les personnes de confiance sont autorisées à accéder à son SI et que l ensemble des éléments constituant l identité de la personne est unique. 15h00 MUSCADE Micro SCADA pour systèmes embarqués communicants Christian Walter Responsable R&D à DSM/Irfu/SIS Muscade est un progiciel à embarquer et téléchargeable (Technologie WEB - Applet Java) assurant supervision, commande et acquisition de données pour des systèmes communicants. Il est utilisé principalement pour le débogage, le contrôle, le diagnostic et la configuration d équipements électroniques disposant d un serveur WEB et d une application serveur Modbus /TCP. Déployé sur plateforme Windows Embedded Standard 7 ou 8, il assure les fonctions suivantes : - Authentification forte du client par l utilisation de certificats et d E-token. - Protection des postes clients grâce à la certification des programmes et des données. - Communication client/serveur sécurisée en https. - Protection du serveur grâce à un OS flashé, de l outil MS «Application Locker» et d un mécanisme sécurisé de mise à jour. Mobilité assurée avec une tablette sous Windows 8 Entreprise. 15h30 Mobilité et sécurité au CEA Grenoble : réalisations pratiques Dominique Marion Ingénieur projet à DRT/GRE/DSP/SIE Il est fréquent maintenant que l'expérimentation sorte du laboratoire. A la DRT, c'est le cas pour les études sur les nouvelles générations de batteries ainsi que pour les capteurs solaires. Le problème est ensuite de transférer dans l'intra les données expérimentales produites pour les traiter en prenant en compte les contraintes de sécurité. Les VLANs compartimentent le réseau interne du centre et sont un frein à la mobilité à l'intérieur du centre. Le CEA-Grenoble met en place une solution pour que chaque PC portable retrouve le VLAN qui lui a été attribué dans les salles de réunions.

4 16h00 Pause + visite Expo (45') 16h45 CERN - Computer Security in an Academic Environment Stefan Lüders CERN Computer Security Officer CERN, the European Organization for Nuclear Research, is welcoming every year on average about researches, students, professors, etc. who travel to CERN in order to study, work or teach. As they stay only for a limited time --- days, weeks or months --- they usually bring their own devices or a laptop/computer provided by their home university. They are used to run their preferred choice of operating system and software applications, to program in their favourite programming language, and to communicate easily and regularly with their peers at home. CERN is even providing hostels on site to accommodate them. Professional life meets personal life on CERN s sites. It is one of CERNs paradigms to support this academic freedom. Computer Security has to put the balance right while not impacting too much on this academic freedom. Accordingly, computer security cannot solely be covered by technical means. It is rather a sociological problem. Computer security starts in front of the screen and this presentation should outline how CERN tries to introduce a security culture in the minds of its staff & users. - Conférence en anglais - 17h15 Gestion de flotte et sécurisation des terminaux mobiles : le projet MDM Denis Chermette Responsable de la gestion des accords téléphonie DSI/ARCHI Les systèmes de MDM (Mobile Device Management) servent à offrir une vision cohérente et homogène d une flotte de terminaux mobiles (smartphones, tablettes), et permettre des actions en masse relatives à la sécurité, au déploiement d applications et au support à l utilisateur. Au CEA, la mise en place d un système de MDM doit répondre aux besoins énoncés par la ligne fonctionnelle Sécurité, par l exploitant, et par l utilisateur final qui souhaite conserver au maximum les libertés dont il jouit actuellement, tout en bénéficiant d un support en cas de problème. Une équation pas simple à résoudre! 17h45 Table ronde Télétravail : Où en sont les entreprises en France? où en est Areva? où en est le CEA? Animateur : Anne-Marie Jonquière - Pôle RHF Conduite du changement - Présidente du réseau Parité Diversité Femmes du CEA Maurice Mazière Directeur du centre CEA de Cadarache Philippe Thurat, directeur de la Diversité d AREVA Guillaume Ravel, DRH à la Direction de la recherche technologique (DRT) Jean-Marc Zuccolini DCS/SPACI Témoignages de deux salariés pratiquant le télétravail Le télétravail, cette capacité à créer -grâce à la technologie- de la valeur professionnelle en dehors du «lieu habituel de travail» nous pose questions et c est normal : parce que justement il remet en cause nos habitudes de travail. Notre relation au temps, à l espace, aux autres... Aujourd hui, les entreprises s'y engagent -à l'initiative souvent des réseaux de femmescomme moyen de mieux concilier vie professionnelle et vie personnelle, ou avec des arguments environnementaux. Mais quand le télétravail pour certains est source de progrès social, pour d autres il reste vecteur de tous les dangers. Cette différence de vision est le signe que dans l entreprise, il s agit d un vrai changement culturel : à la fois managérial et technique. Et que sa mise en œuvre doit être conduite en conséquence. Quelles sont les différences entre nomadisme et travail à domicile, vues du salarié ou de son entreprise? Quelles sont les activités éligibles au télétravail? Qu est-ce qu on y gagne? Comment travailler avec des équipes distantes? Comment passer de la mesure

5 du temps de présence (ie le temps qu on passe au bureau ou au labo) à la mesure du résultat qu on obtient, qu on soit présent ou pas? Comment résoudre les différents problèmes qui se posent au télétravailleur ou à son équipe, en particulier ceux liés à la sécurisation des échanges? A l heure des smartphones, du VPN, des conf-call et de la visio, nous croiserons la vision des DRH, des managers, et des salariés concernés par cette nouvelle organisation du travail : ceux du CEA et les autres A l occasion de cette table ronde, nous partagerons en particulier les analyses et retours d expérience d AREVA et du CEA/Cadarache sur ce sujet. Vos expériences dans ce domaine seront les bienvenues! 18h30 Pot-pourri des meilleurs échecs de la sécurité informatique Nicolas Ruff EADS chercheur en sécurité Retour d expérience sur 10 ans d audits de sécurité. De nombreux produits de sécurité, tels que les solutions de MDM (mais pas que) seront passés en revue. Seul, du contenu original sera dévoilé au cours de cette présentation, il ne s agit pas d une revue de presse! 19h15 Visite Expo, 20h00 Apéritif, suivi du dîner de travail

6 Jeudi 4 avril matin Je 8h30 Visite Expo (30 ) Je 9h00 Reverse engineering de codes malveillants Fabrice Desclaux Expert CTSI à DAM/DIF/DSSI Dans le but d'échapper à la surveillance des antivirus les plus connus, les malwares ont tendance à utiliser des "packers". Ceux-ci leur permettent, au même titre que le prêt à porter, de changer de robe à volonté et ainsi de mettre à mal les techniques basées sur les signatures de virus. Cette présentation montrera la démarche et les techniques utilisées pour analyser des codes malveillants, le tout accompagné d'exemples concrets tirés de cas réels. Je 9h30 Les technologies mobiles : Et la protection des données à caractère personnel dans tout ça! Adrien Rousseaux CNIL Ingénieur Expert au Service de l Expertise informatique Les technologies mobiles, qu'elles soient utilisées à des fins privées ou professionnelles, contiennent de nombreuses données à caractère personnel, et en sont même la source. La loi «Informatique et Libertés» impose au responsable de traitement de mettre en œuvre les mesures de sécurité adaptées aux risques «Informatique et Libertés». Quels sont les risques sur les traitements de données à caractère personnel et comment les gérer? Je 10h00 Le BYOD, sujet trop à la mode vous casse les pieds? Moi aussi Eric DOMAGE - Orange Business Services Directeur for Strategy and Market Insight Le nombre d incidents impliquant des systèmes d informations ne cesse d augmenter et le moment est venu de se poser de nouvelles questions : pourquoi la loi de Moore nous donne-t-elle de plus en plus de capacité sans que nous puissions juguler les attaques? Pourquoi la puissance de calcul phénoménale disponible pour les solutions de sécurité estelle devenue vaine? En Bref, la Sécurité telle que nous la pratiquons depuis des décennies est-elle un échec? Sur la base de constats objectifs, essayons de détecter les pistes d une sécurité plus anticipée, plus architecturée, plus en amont bref, plus intelligente! 10h45 Pause Visite Expo (45') 11h30 Usage sécurisé des moyens nomades et sécurité économique Direction Centrale du Renseignement Intérieur A travers des exemples concrets et quelques démonstrations techniques, un officier de renseignement de la DCRI présentera les bonnes pratiques en matière de mobilité (smartphones, support de stockages mobiles, etc ) dans un contexte professionnel et notamment lors des déplacements à l'étranger.. 12h30 Déjeuner + café avec les exposants + visite Expo (1h45)

7 Jeudi 4 avril après-midi 14h00 Contrôle d accès mandataire en environnement HPC Mathieu Blanc - DAM/DIF/DSSI/CTSI Le déploiement de mécanismes de contrôle d'accès renforcé (comme SELinux) a pour objectifs, d'une part, de cloisonner les utilisateurs entre eux, et d'autre part, de réduire le risque que représentent les vulnérabilités encore inconnues présentes sur les architectures HPC. 14h30 Mise en place d un RLAN à Cadarache Jérome Risso Chef du groupe Infrastructures Réseau, Télécom au STIC de Cadarache Le CEA/Cadarache a étendu son réseau Ethernet/IP «traditionnel», par la mise en place d une couverture radioélectrique haut débit (RLAN Radio Local Area Network), dans la bande de fréquence des 5.400GHz (fréquences libres). Ce dispositif permet de raccorder à un réseau dédié de données du CEA, des matériels «nomades» et/ou isolés sur le site ; Comme primo applications, on peut noter : - La création d un «point d accès» installé dans un véhicule d intervention de la FLS (PCML), permettant le raccordement d un PC bureautique, via une connexion Wifi de proximité, - Le raccordement d un dispositif de vidéosurveillance, transportable et autonome, au réseau informatique, via un «point d accès», - D autres à venir. Les liaisons ainsi créées permettent d échanger des flux de données propriétaires et sécurisées entre ces équipements nomades/isolés et le Système d information du CEA. 15h00 Cloud public ou Cloud privé, pour quels usages? Arié Sarfati THALES - Service Delivery Manager dédié au Cloud Thales Quels sont les concepts de Cloud privé et de Cloud public? La sécurité est un enjeu majeur pour la réussite d un projet de Cloud Computing et les risques sont bien réels face à la mondialisation de l offre. Le Cloud souverain est-il une solution pour garantir la confidentialité des informations? Quels sont les bénéfices organisationnels et financiers du Cloud Computing pour l entreprise? 15h30 Transmission sans fil industrielle Enjeux de sécurité Thierry Cornu- Euriware - Responsable de l offre Cybersécurité industrielle Dans l'industrie nucléaire, le suivi en temps réel des travailleurs en milieu ionisant nécessite le déploiement rapide de systèmes temporaires et mobiles. Ces applications comprennent typiquement des capteurs portatifs personnels (dosimétrie, radiamétrie, mesure de paramètres physiologiques), des capteurs transportables déployables rapidement (balises radiologiques de chantier) et des moyens de communication audio et vidéo avec les travailleurs en zone. L'ensemble des équipements fait une utilisation intensive de la communication sans fil. Cette présentation évoque les architectures de systèmes de chantier en cours de développement pour EDF et AREVA et les enjeux liés à la sécurisation de ces systèmes. 16h00 Conclusion Louis Arrivet, Directeur des systèmes d information 16h15 Tirage au sort Louis Arrivet

8