Première partie de mon podcast avec Nathalie GRANIER, qui est Threat Intelligence Analyst et Psychologue.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:55) - Nathalie se présente.(03:30) - Le lien entre le monde cyber et la psychologie.(05:16) - Les impacts des cyberattaques qui sont généralement évoqués.(08:31) - Le type d’impact rarement évoqué : l’impact sur les victimes est une problématique dont il faut parler.(09:43) - Il y a très peu d’outils pour comprendre et évaluer les dommages des cyberattaques sur les salariés.(12:58) - Les différents degrés d’impacts émotionnels, de légers à sévères.(17:49) - Les approches de l’accompagnement émotionnel selon le contexte.(20:19) - Les sentiments varient, entre le monde réel et le monde virtuel, et pro vs privé.(24:01) - Quand son matériel est analysé par des analystes forensic.(30:00) - L’accompagnement émotionnel, avant, pendant et après une cyberattaque.(34:47) - Gestion de crise cyber, éviter d’ajouter un surplus de stress.✴️ Retrouver Nathalie GRANIER :Son profil LinkedIn : https://bit.ly/3He3V8qSon site, "Threat Intelligence & Psychology" : https://bit.ly/3HaSY7w✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon podcast avec Yohann BAUZIL, Senior Program Manager chez RHEA Groupe France.⚠️ Le prochain podcast sera publié le 18 janvier 2022.Aussi, j'en profite (en avance) pour vous souhaiter de passer de bonnes fêtes et une bonne année.✴️ Retrouver Yohann BAUZIL :Son profil LinkedIn : http://bit.ly/3OLtfEJ✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon podcast avec Yohann BAUZIL, Senior Program Manager chez RHEA Groupe France.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(02:38) - Yohann se présente de nouveau(03:16) - L'intérêt de pouvoir développer son réseau pro(04:27) - Pourquoi ce sujet aujourd’hui ? Quel intérêt à partager son expérience ?(06:43) - L’importance des retours de “son audience” ou de “ses auditeurs” + anecdote sympa de Yohann(09:23) - Permettre à d’autres de faire de bonnes erreurs + se nourrir du partage dans les commentaires(11:44) - Travailler son personal branding, c’est une bonne ou une mauvaise chose ?(17:49) - Peut-on avoir un produit ou un service à vendre, et pour autant créer du contenu qui soit neutre ?(18:49) - Les retours positifs + se sentir plus légitime à poser une question lorsque l’on apporte aussi sa pierre à l’édifice(20:17) - Exprimer son opinion ou son expérience dans ses posts, ne pas partager souvent et beaucoup juste pour faire des vues(22:16) - Le process de création de contenu de Yohann(25:36) - Le concept “ACET” - Apprendre Comprendre Enseigner Théoriser + conseils aux profils plus juniors(30:50) - L'aspect développement personnel associé à cette démarche✴️ Retrouver Yohann BAUZIL :Son profil LinkedIn : http://bit.ly/3OLtfEJ✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Dans cette série Questions/Réponses, je pose vos questions à mes invité(e)s.Aujourd'hui, la seconde partie de vos questions à propos de l'OSINT.Avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute👉 désolé pour la confusion, les épisodes Questions/Réponses numéros 1 et 2 sont en fait les épisodes 16 et 20.✅ CONTENU✅Note : pour répondre au plus de questions possibles, plusieurs questions (Q-) similaires, ont été posées en même temps.(00:39) - (Q - Mathis) "Jusqu'où ça peut aller pour ne pas entrer dans la cyberpatrouille ou le doxing ?”(03:05) - (Q - Yann) “Par où commencer ? Un seul truc ? À lire, à faire, peu importe. Mais un seul.”(05:31) - Être curieux et arrêter de devenir des victimes sur internet(08:24) - (Q - Olivier) “Comment peut-on se mettre à l'OSINT? Des défis accessibles et où l'on pourrait avoir la/les méthodes de recherche de la réponse par exemple”(10:54) (Q - Mathieu & Aurélien) Challenges OSINT de Julien - la démarche, le temps de préparation, la gestion des réponses, etc (18:05) - Anecdote sympa de Julien + exemple de liaison entre plusieurs “points”(21:15) - Connaitre son empreinte numérique pour savoir quels pourraient être les points de pression possibles + exemple(23:51) - (Q-Jean-Noel) “Avec le développement des outils, usages et technologies dans les années à venir, comment l'OSINT peut-il évoluer et à quoi va-t-il ressembler dans l'avenir ?”✴️ Démo vidéo OSINT de Julien : https://bit.ly/3T0SpA1✴️ Retrouver Julien MÉTAYER :LinkedIn : https://bit.ly/3dLjWqkSa plateforme OZINT.eu : https://bit.ly/3Rfqs6y✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Dans cette série Questions/Réponses, je pose vos questions à mes invité(e)s.Aujourd'hui, la première partie de vos questions à propos de l'OSINT.Avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute👉 désolé pour la confusion, les épisodes Questions/Réponses numéros 1 et 2 sont en fait les épisodes 16 et 20.✅ CONTENU✅Note : pour répondre au plus de questions possibles, plusieurs questions (Q-) similaires, ont été posées en même temps.(01:43) - Q- de Jean-Noel. Il y a-t-il un intitulé de métier spécifique à l’OSINT?(04:11) - Q- de Nicolas. D'un point de vue recrutement : doit-on s'attendre à ce que ces entités aient de plus en plus besoin de ce type de profil à l'avenir ?(06:14) - Recherches à propos d’un candidat + “Ne mettez pas sur internet quoi que ce soit que vous ne seriez pas prêt à crier dans un bar”(10:22) - Travailler son image sur le net (sphère privée vs sphère professionnelle). Notamment dans le cadre de candidature à des emplois.(11:49) - Q- de Nicolas. Dans quel cadre sont utilisées ses ressources (Entreprise/Renseignement/usage perso....) + l'expérience de Julien(14:28) - Q- de Stéphane. Dans le cadre contractuel et réglementaire d'une mission d'OSINT chez un client final, quelles sont les clauses à intégrer, les pièges à éviter sur ce type de mission ?(22:18) - Quelle est sa propre responsabilité si la “source” d’une information, la, elle-même obtenue de manière illégale ? L’exemple des data leaks et des Google dorks.(25:13) - Q- de Jean-Noel. Qu'est-il éthiquement bon ou pas, de faire avec les renseignements obtenus ?(30:44) - Q- de Pascal. La diffusion de l'information peut-elle être différée et/ou écartée pour certains, et, si c'est le cas, .... Pourquoi? Existe t-il des accès restreints à une personne ou à plusieurs ?✴️ Démo vidéo OSINT de Julien : https://bit.ly/3T0SpA1✴️ Retrouver Julien MÉTAYER :LinkedIn : https://bit.ly/3dLjWqkSa plateforme OZINT.eu : https://bit.ly/3Rfqs6y✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon podcast avec Julien MÉTAYER, Hacker éthique, Ozinter, Red Teamer. Aussi connu dans la communauté OSINT sous le pseudo Kermit (🐸). Et fondateur de ozint.eu.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(03:35) - En quoi consiste l’OSINT (ou le ROSO en français)(06:07) - Les sous catégories de l’OSINT(08:50) - Son propre historique social peut servir à prouver (ou non) son éthique(10:17) - Précision : il faut différencier la nature des sujets (pédagogiques vs sujets sensibles)(11:18) - Les grands principes de la méthodologie de recherche(13:17) - Détail important : la confirmation des recherches selon l’importance du contexte + l’importance de créer son propre environnement de travail (une VM dédiée etc)(18:19) - Les légendes/les alias + la série “Le bureau des légendes”(19:51) - Comment juger de la crédibilité de ses sources, et de ses résultats(21:49) - Début du processus : collecter des informations(25:06) - La reconnaissance faciale n’est plus un lien manquant entre une photo et une personne(26:46) - La méthodologie de recherche à partir d’une image(30:55) - Exemple d’un write-up d’une recherche aboutie, à partir d’une photo depuis un hublot d’avion + la communauté OSINT-FR (liens en description)(31:52) - Le projet de Julien, la plateforme OZINT.eu (lien en description)(34:26) - Quelques principes réglementaires liés à la pratique de l’OSINT(38:50) - Le cyber-harcèlement (notamment concernant les jeunes)(42:37) - Pour se protéger au mieux, il faut couper les liens entres les points✴️ Démo vidéo OSINT : https://bit.ly/3T0SpA1OSINT-FR : https://bit.ly/3BIsV3wWrite-up mentionnée à (30:55) : https://bit.ly/3fpAbtt✴️ Retrouver Julien MÉTAYER :LinkedIn : https://bit.ly/3dLjWqkSa plateforme OZINT.eu : https://bit.ly/3Rfqs6y✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon podcast avec Fabien MIQUET, PSSO - Product & Solution Security Officer chez Siemens.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:51) - La durée de vie des projets > IT 3-5 ans (en moyenne). OT: 20-40 ans (en moyenne).(08:49) - La durée de vie du materiel. IT: cycle court (ex: PC, smartphone). OT: utilisation tant qu’il y a des pièces détachées.(10:59) - Problématique OT: les versions logicielles embarquées dans des pièces de rechange (qui sont potentiellement stockées pendant des années).(15:30) - Sécurité logicielle. IT: Élevée (>10 "agents" sur un PC office). OT: Faible (priorité à la performance).(16:53) - Le choc des cultures IT - OT.(18:35) - La notion des accès physiques non autorisés. Ex: dans les bureaux, les sessions sur les PC sont très souvent verrouillées. Dans les usines c’est beaucoup plus rare.(21:25) - La défense en profondeur + en OT, parfois sur des systèmes legacy, la protection physique est la seule option.(24:32) - Sécurité physique (gardes, vidéoprotection, contrôles d’accès, murs/barrières, gaines (potentiellement monitorées, dans lesquelles passent les câbles de comms), etc).(27:26) - Gestion de la protection. IT: standard (agents & patch automatique). OT: déploiement en fonction du risque.(30:04) - Risques & Enjeux. IT: conformité, financier. OT: sûreté, écologie, vies humaines, conformité.(32:36) - Les profils les plus adaptés au marché de l’OT security.✴️ Retrouver Fabien MIQUET :LinkedIn : https://bit.ly/3PVrrId✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon podcast avec Fabien MIQUET, PSSO - Product & Solution Security Officer chez Siemens.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(01:44) - À propos de la convergence IT/OT(03:48) - Les différences en terme de compétences et de mentalités(06:42) - (tiré d'un ancien post Linkedin de Fabien) “À force de rattraper un retard… On a plutôt pris une belle avance !!!”(07:59) - Des besoins plus spécifiques en OT security(11:26) - Comme dans le monde IT, il faut apprendre à détecter les signaux faibles d’attaques (ex: un changement de quelques millimètres peut ruiner une production complète, etc).(13:40) - La complexité cumulative du niveau de maturité (des environnements OT eux-mêmes, etc)(16:08) - Beaucoup d’entreprises préfèrent donc travailler en mode dégradé(17:45) - “On peut faire de la casse dans le monde réel avec quelques lignes de codes” + exemples(22:20) - Aspect crucial à prendre en compte : la durée de vie des systèmes(24:43) - Les anciens protocoles et autres ICS/SCADA sont des cibles prioritaires(28:29) - Analyse de risque, ex: des mainteneurs sous-traitants(34:03) - IoT et IIoT (Industrial Internet of Things)(37:30) - L’idée forte à retenir✴️ Retrouver Fabien MIQUET :LinkedIn : https://bit.ly/3PVrrId✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon podcast avec Vincent RÉMON, Leader Cybersécurité chez onepoint.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:51) - À propos des hacks Mt. Gox et The DAO(03:28) - L’attaque d’Axie Infinity (vols de clé privées), Monero (site web hacké + dépôt d’un wallet corrompu), IOTA (exploitation de vulnérabilités de librairies externes)(06:39) - Les attaques structurelles (attaque à 51% etc)(10:45) - Vulnérabilités réseau : Attaque par Déni De Service (DOS), Attaque Sybil, Attaque Eclipse(13:26) - Vulnérabilités de Protocole : Faille d’implémentation, Forge de monnaie à partir de rien, Collision de Hash(20:02) - La gouvernance est une vraie question - l’exemple “The DAO” / Ethereum(25:19) - L'intérêt des blockchains privées & les travers que l’on peut leur donner(29:42) - Une amplification des dangers liés au manque de sensibilisation ? (phishing pour obtenir les clés privées, etc).(34:19) - Fuite de données chez Ledger : certains de leurs clients ont reçu un cold wallet compromis(35:20) - L’idée forte à retenir✴️ Retrouver Vincent RÉMON :LinkedIn : http://bit.ly/LinkedIn-Vincent-RemonSon channel YouTube : http://bit.ly/3gZxJa7Son profil onepoint : http://bit.ly/3haNAml✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Retour du tout premier invité de mon podcast, Vincent RÉMON, Leader Cybersécurité chez onepoint.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(01:20) - Les blockchains sont ultra sécurisées(04:59) - Rapide résumé des concepts de la Blockchain(12:09) - Comment la blockchain peut permettre de sécuriser tout, ou une partie de son SI(15:22) - Confidentialité(17:34) - Intégrité(19:44) - Disponibilité(20:28) - Traçabilité(21:44) - Anonymat vs Pseudonymat + problématiques associées au RGPD(25:57) - (Parenthèse - Groupe d’attaquants et le blockchain)(30:19) - Satoshi Nakamoto (spoiler: ce n’est pas Vincent)(31:27) - L’apport des Smart contracts(36:09) - Un smart contract peut être aussi stupide qu’un distributeur de boissons(38:22) - L’idée forte à retenir✴️ Retrouver Vincent RÉMON :LinkedIn : http://bit.ly/LinkedIn-Vincent-RemonSon channel YouTube : http://bit.ly/3gZxJa7Son profil onepoint : http://bit.ly/3haNAml✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Matthieu BILLAUX, Cyber trainer chez Seela, et vainqueur du CTF français du SANS en 2021.✅ CONTENU✅(01:23) - Différents enjeux pour tous/toutes(04:37) - Différents niveaux d’intensité.(08:17) - Un exemple de fun/teasing entre compétiteurs(12:00) - Les CTF aident à se forger un mental(14:13) - “It’s like hacker olympics” (entendu dans la série Mr Robot, à propos des CTF)(17:53) - Idée reçue N1 : “Les CTF ne représentent que des techniques offensives”(20:15) - Idée reçue N2 : “C’est impossible de commencer sans préparation” + l’importance de s’entourer.(22:31) - Idée reçue N3 : “Quelqu’un qui est bon en CTF, est donc bon en pentest (par ex). Et inversement”.(25:26) - Cas réel dans lequel l'expérience CTF de Matthieu lui a servi dans son travail : hacker une webcam connectée(32:57) - Où pratiquer les CTF ?(36:49) - L’idée forte à retenir✴️ Retrouver Matthieu BILLAUX, :Tous les liens pour le retrouver : https://into.bio/euz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Matthieu BILLAUX, Cyber trainer chez Seela, et vainqueur du CTF français du SANS en 2021.✅ CONTENU✅(03:21) - Les Capture The Flag (CTF) c’est quoi ?(05:21) - Pourquoi proposer des CTF à ses équipes ?(11:09) - Les CTF sont un bon moyen d'intéresser ses équipes à la sécurité (ex: les développeurs, etc).(15:36) - Les CTF permettent de monter en compétences dans un environnement contrôlé (parallèle avec les sports de combat, sparring à l'entraînement vs combats dans la rue).(18:35) - “It is better to be a warrior in a garden, than a gardener in a war”.(21:20) - Candidats : utiliser son expérience CTF pour mettre son profil en avant et se démarquer + Recruteurs : déceler une passion à travers leur expérience CTF.(26:33) - L'intérêt de faire des CTF (ne serait-ce de temps en temps) pour les personnes qui font de la sécurité organisationnelle (pour mieux comprendre les risques, etc).(28:39) - Recruteurs : les CTF peuvent servir à aborder la méthode de résolution des problèmes des candidats, voire même de la tester en direct.(34:02) - Exemple de Sogeti qui a lancé son équipe semi-professionnelle de CTF “Sogeti Aces of Spades”, en octobre 2019.(37:42) - Autre exemple réel. D’une entreprise qui a utilisé les CTF pour faire monter les compétences sécurité de leurs développeurs.✴️ Retrouver Matthieu BILLAUX, :Tous les liens pour le retrouver : https://into.bio/euz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Valéry Rieß-Marchive, Rédacteur en chef chez le LeMagIT.Rapide note 👉cette fois-ci l'audio est de bien meilleure qualité en comparaison à la première partie (épisode de la semaine dernière).Enjoy.✴️ Retrouver Valéry RIEB-MARCHIVE, :LinkedIn : https://bit.ly/3sNTdxSLeMagIT : https://bit.ly/3MskKg7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Valéry Rieß-Marchive, Rédacteur en chef chez le LeMagIT.Rapide note 👉 malheureusement j'ai eu des soucis avec l'une des pistes audio, j'ai fais de mon mieux pour atténuer les craquements mais je vous conseil de baisser un peu le volume si cela vous dérange trop.✅ CONTENU✅(01:28) - Possibles raisons de vouloir être transparent : pouvoir travailler de manière plus sereine car moins de sollicitations + cela permet de recevoir de l’aide.(05:20) - Possibles raisons de ne pas vouloir être pleinement transparent dès le départ.(08:33) - Le degré de transparence relatif des collectivités territoriales.(15:52) - Plus qu’important, il est essentiel pour les fournisseurs de services IT en général d’être transparent.(19:42) - Attention aux éléments de communication qui risquent d’être reniés par la suite.(23:33) - Le message "L'investigation est en cours".(26:38) - Le message "Nous avons un incident technique”.(28:56) - Exemple d’un décalage entre les informations divulguées publiquement et celles divulguées en interne.(32:02) - L’idée forte à retenir.✴️ Retrouver Valéry RIEB-MARCHIVE, :LinkedIn : https://bit.ly/3sNTdxSLeMagIT : https://bit.ly/3MskKg7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Rachid EL ALAOUI, Dirigeant et Co-fondateur de Amn Brains. Et membre du Club EBIOS.Rapide note 👉 Les prochains podcasts en préparation seront à propos des CTF - Capture The Flag & le suivant à propos de la sécurisation du Blockchain. Posez vos questions pour mes 2 prochains invités sur cet email > michael@cybersecuriteallday.fr✅ CONTENU✅(01:04) - Le conseil numéro 1 à faire passer(03:44) - Socle de sécurité - qu’est-ce qu'un socle de sécurité pertinent ?(07:08) - Socle de sécurité - quelle approche faut-il suivre ?(10:12) - Scénarios opérationnels - quels sont les résultats visés d’un scénario opérationnel pertinent ?(12:08) - Scénarios opérationnels - quelques critères d’un scénario operationnel actionnable(13:31) - Scénarios opérationnels - quel niveau de détails à adopter ?(16:57) - Scénarios opérationnels - exemples dans la pratique(21:29) - La problématique des parties prenantes. Entité organisationnelle ou composant technique ?(23:25) - Dans ce contexte, quelle est la différence entre une partie prenante et un bien support ?(25:41) - Le niveau de connaissance de son SI requis(28:42) - Peut-on étudier les risques accidentels dans une étude EBIOS Risk Manager ?(32:26) - Exemple pratique d’un risque accidentel étudié avec l’EBIOS RM(34:15) - L’idée à retenir✴️ Retrouver Rachid EL ALAOUI :LinkedIn : https://bit.ly/3HylmxTLe blog d'Amn Brains : https://bit.ly/3Gvh35f✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Rachid EL ALAOUI, Dirigeant et Co-fondateur de Amn Brains. Et membre du Club EBIOS.✅ CONTENU✅(05:13) - Les blogs de Rachid à propos de l’EBIOS RM(06:24) - EBIOS 2010 et EBIOS RM(08:34) - L’utilité de la méthode dans un programme cyber + l’approche par conformité et l’approche par les risquesLES 5 ATELIERS DE L’EBIOS RM(12:46) - L’atelier 1 / Cadrage / Socle de sécurité(22:47) - L’atelier 2 / Sources de risques(25:24) - L’atelier 3 / Scénarios stratégiques et 4 / Scénarios opérationnels(28:29) - L’atelier 4 (plus dans le détail)(31:03) - L’atelier 5 / Traitement du risque(34:55) - L’idée reçue que l’EBIOS RM est une méthode lourde et contraignante(39:16) - L’autre point fort de la méthode est de pouvoir s'adresser aux personnes de l'opérationnel ainsi qu’aux donneurs d'ordre(40:48) - Le message à retenir✴️ Retrouver Rachid EL ALAOUI :LinkedIn : https://bit.ly/3HylmxTLe blog d'Amn Brains : https://bit.ly/3Gvh35f✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Rémi LAVEDRINE, Head of Application Security chez Chanel et co-fondateur de Wild & Secure.✅ CONTENU✅(01:15) - La vision DevSecOps de Rémi & pourquoi les outils sont importants dans celle-ci.(07:36) - Philisophie : la sécurité est un sous-ensemble de la qualité.(11:25) - Le SAST - Static Application Security Testing, DAST - Dynamic Application Security Testing et IAST - Interactive Application Security Testing.(17:22) - Le SCA - Software Composition Analysis + exemples de son importance avec des cas réels + le risque des nouvelles versions opensource volontairement malveillantes.(23:09) - Le RASP - Runtime Application Self-Protection + exemple d’un cas réel + la métaphore du donjon.(26:37) - La métaphore du donjon. La complémentarité du WAF et RASP + le RASP la dernière ligne de défense.(28:48) - Quelles priorités en termes d’outils ? En rapport à la maturité des équipes et leur appétance à travailler sur des sujets de sécurité.(33:25) - Comment retrouver Rémi + son channel YouTube (note: le lien est disponible ci-dessous).✴️ Retrouver Rémi LAVEDRINE :LinkedIn : https://bit.ly/31JLbf1Son channel YouTube : https://bit.ly/330ndgg✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Rémi LAVEDRINE, Head of Application Security chez Chanel et co-fondateur de Wild & Secure.✅ CONTENU✅(02:22) - À propos du channel YouTube de Rémi(04:40) - Partage de document : cacher les infos non nécessaires, ne partager que le strict minimum + exemples des agents immobiliers, des watermarks et “barres noires” sur les documents(12:19) - Utilisation de cartes bancaires jetables / temporaires (pour éviter les fraudes à la CB, etc)(17:47) - Utilisation de numéros de téléphones temporaires (pour limiter les risques de sim swapping, éviter de se faire spammer, réduire les risques de harcèlement, etc)(23:37) - Faire preuve de bon sens = ne pas donner des infos temporaires à sa banque, aux impôts… Infos temporaires, pour un usage temporaire. Le bon outil, au bon moment.(26:05) - Contacts avec des recruteurs + emails temporaires et/ou "adresses email poubelles”(30:43) - Quelques rappels de base(35:23) - L'idée forte à retenir✴️ Retrouver Rémi LAVEDRINE :LinkedIn : https://bit.ly/31JLbf1Son channel YouTube : https://bit.ly/330ndgg✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Sarka Pekarova, Security consultant chez Dreamlabs Technologies.⚠️ Dernier podcast de 2021, reprise officielle le mardi 11 janvier 2022 ⚠️✅ CONTENU✅(01:46) - La communication non verbale dans le cadre du social engineering.(07:24) - Ce ne sont que des indications au mieux, et non pas une vérité universelle.(09:28) - Analyser le langage corporel de ses interlocuteurs pour en tirer avantage.(12:00) - Certains des aspects les plus importants de l'ingénierie sociale. Les micro expressions, la psychologie etc.(15:38) - L'exemple parfait avec le film "Catch me if you can" ("Arrête-moi si tu peux" en français).(17:44) - Les parties du corps les plus honnêtes et les plus compliquées à "fake".(23:04) - Tirer avantage de l'espace personnel des gens.(26:20) - Cas réel de la communication non verbale dans le cadre d'une mission d'ingénierie sociale.(31:18) - Qui former dans son entreprise aux risques d'attaques de type d''ingénierie sociale ?(32:55) - L'idée à retenir.✴️ Retrouver Sarka PEKAROVA:LinkedIn : https://bit.ly/327QJzN✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Sarka Pekarova, Security consultant chez Dreamlabs Technologies.Edit : il est possible qu'il y ait un décalage de +/- 10 secondes sur le timing de certains temps de passages (à la réécoute sur différents supports le timing est différent 🤷‍♂️)✅ CONTENU✅(02:56) - Premier jour en tant que social engineer(04:30) - Préparation : comment rentrer et comment sortir sans se faire attraper(05:51) - Fin de mission debrief(07:36) - Sarka tout premier jour en tant que social engineer dans le cadre de son travail(13:06) - Les outils que Sarka utilise (fake ID, etc)(17:14) - Beaucoup de concepts de marketing et de vente sont parfaits pour faire de l'ingénierie sociale(20:12) - Les différents types de social engineers(22:01)- Bien faire comprendre que c'est beaucoup et avant tout, de la préparation(27:47) - Exemple : comment tirer avantage de certains biais cognitifs pour rentrer quelque part(31:04) - L'importance de se dissocier de sa propre identité et de se créer un alter ego(39:22) - L'idée forte à retenir✴️ Retrouver Sarka PEKAROVA:LinkedIn : https://bit.ly/327QJzN✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael