DIGITEMIS, partenaire du Forum International de la Cybersécurité 2019
Le Forum International de la Cybersécurité (FIC) revient les 22 et 23 janvier 2019 à Lille Grand Palais !
Nos consultants vous accueilleront sur le stand A6 pour échanger sur vos enjeux et besoins en cybersécurité et en protection des données personnelles.
Atelier « Gouvernance de la sécurité, mode d’emploi »
Le 23 janvier 2019 de 11h30 à 13h, participez à l’atelier « Gouvernance de la sécurité, mode d’emploi » (Security governance, instruction for use).
Animé par Marie de Freminville, Présidente associée de Starboard Advisory, découvrez lors de cet atelier, les expertises et retours d’expérience de Ludovic de Carcouët, fondateur et PDG de Digitemis, de Gabriel de Brosses, Directeur de la cybersécurité du groupe La Poste, Olivier Ligneul, Directeur de la Cybersécurité du groupe EDF, François Thill, Directeur de la cybersécurité du Ministère de l’Economie du Luxembourg et Solange Ghernaouti, Professeur à Swiss Cybersecurity Advisory & Research Group.
Description :
La réponse cybersécuritaire n’est pas que technologique. Elle passe d’abord par la mise en place d’une gouvernance adaptée s’appuyant sur une organisation, des politiques et des processus de sécurité. Parmi les enjeux : l’implication du top management, la mobilisation des métiers ou bien encore la conformité aux normes, standards et réglementation en vigueur. Comment articuler ces différents enjeux dans une stratégie coordonnée ? Quel lien entre cybersécurité et enjeux « business » ? Quelle articulation entre les fonctions IT et cybersécurité ? Et comment s’assurer que les stratégies de gouvernance adoptées s’appliquent à « l’entreprise étendue » et notamment à la chaîne des fournisseurs et sous-traitants ?
Derniers articles
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?
Angular, N’Tier et HttpOnly
Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?