SSTIC 2010 - Mercredi après-midi : 4ème conf

g4l4drim

9 juin 2010 — 2 min read

Intéressez vous au droit avant que le droit ne s’intéresse a vous

par Eric Barbry

Les aspects juridiques du monde de l’informatique bougent beaucoup ces derniers temps. Le problème c’est qu’en pratique, le temps manque pour s’y intéresser, même si nul n’est censé ignorer la loi.

Le travail des acteurs de la sécurité informatique est donc impacté par ces lois et le nombre de rôles attribués aux DSI/RSSI complexifie grandement le travail.

Le problème c’est que les données de l’entreprise et son périmètre deviens flou (télétravail, SaaS, Cloud …) et en prime les réseaux sociaux posent des problèmes concrets en matière de communication. Ajoutez à cela l’usurpation d’identité, les problèmes de suppression de contenus publiés indument sur internet, le phishing et les problématiques des licences open-source et vous obtenez un magnifique cocktail explosif au niveau juridique.

Avec cet explosion de problématiques techniques est arrivé une explosion du nombre de lois impactant les SI (et là c’est le drame, parce qu’il y en a beaucoup !!!)

La LOPSSI II avec l’usurpation d’identité condamnée, la vidéo-protection, l’intelligence économique … elle s’accompagne forcément d’obligations pour l’entreprise (sensibilisation des utilisateurs, définition de l’identité numérique )

Jeux d’argent et ARJEL : en dehors des sites agréés, il faut rendre inaccessibles les sites illégaux, etc…

LCEN : les décrets d’application sur la conservation des données de connexion pendant un an a un impact fort.

HADOPI : l’autorité est presque en place, et l’employeur a pour obligation de veiller aux usages de l’accès internet, et réagir aux notifications de coupure d’accès qui seront reçues par l’entreprise.

Loi Informatique et Libertés 3.0 : toute IP est à caractère individuel. Le correspondant Informatique et Liberté deviens obligatoire pour toute entreprise sous le coup de la loi I&L ou disposant de plus de 100 personnes connecté à son SI.
L’article 34 modifié qui impose l’obligation de sécuriser son système mais n’impliquait pas forcément d’obligation de résultat. Dans sa nouvelle mouture, c’est OBLIGATOIRE, et en cas d’incident il faut obligatoirement et sans délai contacter le CIL ou la CNIL (s’il n’y a pas de CIL) ainsi que l’ensemble des utilisateurs du SI impacté. La loi I&L étant déjà en vigeur, il n’y aura pas de délai de mise en application !!!

Et pour le reste des baffes je vous invite à regarder les slides quand ils seront dispo sur sstic.org…

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Streamer Audio : Volumio

Introduction Aujourd’hui il y a plein de manières de diffuser de la musique dans son salon. La première source à laquelle je pense est très certainement la TV connectée. Les services de musique ont pour la plupart lancé des applications sur les TV connectées. Et cet article peut s’

Read more

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1

Streamer Audio : Volumio