Seconde partie de mon échange avec Ayoub SABBAR, PDG & Fondateur de Ornisec.

✅ CONTENU

(00:46) - Comment lancer une campagne de phishing + l'outil open-source de la CERT Société Générale (Swordphish)

(05:47) - En cas de doutes d'un email de phishing, ne pas avoir peur de poser la question au service informatique

(07:32) - Développer une culture cyber, une posture sécurité

(14:38) - Quelles métriques d'efficacité + comment s'en servir

(20:15) - Comment mettre en valeur ces rapports pour avoir du budget

(22:30) - Tips et retour d'expérience d'Ayoub (penser aux prestataires etc.)

(32:45) - L'idée forte à retenir de ce podcast

✴️ Retrouver Ayoub:

LinkedIn : lien ici

Twitter : @sabbarayoub

Ornisec : lien ici

Club Cybersécurité - Sécurité Informatique - lien ici

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Dans cet épisode, Ayoub SABBAR, PDG & Fondateur de Ornisec, nous parle des 4 premières étapes d'un programme de sensibilisation.

✅ CONTENU

(04:27) - Quels indicateurs indiquent un besoin de sensibilisation

(08:34) - Comment identifier les thématiques à traiter

(13:35) - Durée des actions à mettre en place

(15:41) - Quel périmètre (les nouveaux arrivants, les stagiaires, etc.)

(18:13) - Quelle stratégie de communication

(20:46) - Sensibiliser le management

(23:36) - Qui sont les sponsors nécessaires & comment les convaincre

(25:13) - Les démarches recommandées par Ayoub

(29:44) - Deux approches : approche de conformité vs approche accès sur le résultat

(32:58) - La sensibilisation concerne tout le monde - même les informaticiens

(36:25 - La mauvaise approche de simplement "cocher des cases" juste pour dire qu'un audit a été fait etc.

(39:22) - Différence entre savoir & agir

(41:32) - Ratio théorie vs pratique + outils e-learning

✴️ Retrouver Ayoub:

LinkedIn : lien ici

Twitter : @sabbarayoub

Ornisec : lien ici

Club Cybersécurité - Sécurité Informatique - lien ici

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Cet épisode est la seconde partie de mon échange avec Samuel ANTUNES, Consultant DevSecOps chez OCTO Technology.

✅ CONTENU

(01:45) - Security champion, Security Ambassador, Coach Security

(07:25) - Sécurité à la conception de l'application

(08:58) - Code Review -  Quoi challenger ? d'un point de vue de sécurité, et pas seulement les fonctionnalités

(10:27) - Secure coding policy - Identifier les failles possibles sur une application

(13:11) - La participation à la communauté sécurité de l'entreprise

(14:48) - Récupérer les inputs

(18:15) - Quels outils mettre en place + exemple d'un site web

(22:45) - Décalage entre l'évolution rapide des versions de développement et les outils de sécurité

(25:27) - Process. Outils SAST (analyse statique), DAST (analyse dynamique), SCA (software composition analysis), CCA (les critères de sécurité des containers, Docker etc)

(32:31) - Rajouter des tests infrastructure

(36:14) - Aller plus loin > avec des "templates" définis par une équipe d'architecture

(41:14) - Sécurité infra - "observatory" de Mozilla (pour vérifier la redirection HTTPS d'un site etc. Analyse serveur pour donner une note etc.)

(43:50) - L’idée forte que Samuel veut transmettre à travers ce podcast

✴️ Retrouver Samuel:

LinkedIn : https://bit.ly/2XcXuup

Twitter : @saamuelantunes

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Dans cet épisode je reçois Samuel ANTUNES, Consultant DevSecOps chez OCTO Technology.

✅ CONTEXTE

(02:54) - Comment Samuel défini la culture DevOps

(09:32) - Comment Samuel défini la culture DevSecOps

(14:00) - Chaque entreprise a un niveau de maturité différent

(16:46) - Son ressenti de maturité du marché français en rapport au DevSecOps

(21:30) - La différence de maturité entre la France et les US

(25:13) - Les contraintes du Time to Market vs la Sécurité

(31:16) - La dette technique & dette de sécurité

(34:46) - Faire de la sécurité dès le début

(35:26) - Exemple de l'importance du développeur d'un point de vue sécurité

(38:10) - Critères d'acceptation (Secure Application Criteria)

(39:30) - La "secure user story" &"evil user story" 

✴️ Retrouver Samuel:

LinkedIn : https://bit.ly/2XcXuup

Twitter : @saamuelantunes

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Dans cet épisode, je reçois Yassir KAZAR, CEO & Co-fondateur de Yogosha, qui est une plateforme française de Bug Bounty.

✅ CONTENU

(02:28) - L'évolution du Bug Bounty & quels en sont les grands principes ?

(06:25) - Le Bug Bounty aujourd'hui

(07:38) - Les défis des entreprises auxquels répond le Bug Bounty

(10:13) - Le cadre légal d'intervention de cette pratique

(13:02) - Transfert de compétences grâce au Bug Bounty

(19:25) - Les vulnérabilités trouvées, doivent-elles être corrigées ? & la communication avec la communauté des hackers

(25:24) - Les GAFAS (security vs privacy)

(28:55) - Ce qui ce cache derrière le terme "hacker", l'usage de ce terme & les clichés associés

(34:19) - Les aspects, de virtuosité technologique et de communauté, associés aux hackers

✴️ Pour retrouver Yassir:

LinkedIn : https://bit.ly/3ptkYY2

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

Dans cet épisode, Vincent RÉMON, Lead Cybersécurité à onepoint.

✅ CONTENU

(02:25) - Pourquoi Vincent rajoute le facteur humain dans le modèle OSI

(03:33) - Définition de l'ingénierie sociale + le profil type d'un ingénieur social

(04:46) - 70 % des attaques sont issues de vulnérabilités humaines

(06:39) - Moyens utilisés par l'ingénieur social (exemple de l'escabeau et du casque de chantier, etc.)

(10:26) - L'ingénierie sociale en elle-même, n'est pas automatiquement synonyme de malveillance (exemples des recruteurs, commerciaux, les enfants)

(12:32) - Le capital : social, de confiance, d'informations, de sympathie, d'autorité, etc.

(14:32) - Les biais cognitifs Dunning-Kruger, le syndrome de l'imposteur, l'illusion de corrélation

(22:33) - Les vecteurs utilisés par l'ingénieur social pour le travail de reconnaissance

(25:20) - Les réseaux sociaux

(27:50) - Les gens ne pensent jamais donner des informations cruciales. Très possiblement à tort. 

(29:42) - Les arnaques au président

(31:43) - "Ne rien avoir à cacher", ne veut pas dire "tout avoir à montrer"

(33:37) - Exemples d'informations qu'un ingénieur social voudrait recueillir + OSINT

(37:32) - Les moyens de sensibilisation et outils pour se protéger

(39:45) - Faire aussi un gros focus sur les nouveaux arrivants

(40:54) - Arnaque Bitcoin sur Twitter

(45:00) - L'idée forte à retenir du podcast

✴️ Pour retrouver Vincent:

Site onepoint : http://bit.ly/3haNAml

LinkedIn : http://bit.ly/LinkedIn-Vincent-Remon

Son channel YouTube : http://bit.ly/3gZxJa7

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael

(MAJ 03.11.21)

Dans cet épisode 0, je vous présente en quelques mots :

• Pourquoi ce podcast a été créé
• Quel type de contenu vous pourrez écouter à travers celui-ci
• Le format
• Où le trouver

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael