Cybersécurité All Day

Jonathan SPEDALE, analyste fraude et fondateur de Cyber Moustache, teste depuis 2016 les failles des systèmes qui se font détourner. Il aborde la tendance croissante de la fraude, y compris l’ubérisation et l’utilisation croissante des données volées. SPEDALE explique comment des informations anodines peuvent être exploitées à des fins frauduleuses, et explore la psychologie des fraudeurs, souvent plus compétents qu'on ne le croit. Il met également en garde contre la glorification médiatique des escrocs.

Dans cette discussion passionnante, Marc-Antoine LEDIEU, avocat spécialisé en cybersécurité, expose la directive NIS2 et ses implications. Il aborde les défis de conformité pour les entreprises, en particulier sur la gestion des risques et l'obligation de notification des incidents. LEDIEU illustre l'importance d'une documentation rigoureuse, évoquant des analogies humoristiques. Enfin, il interroge la préparation des dirigeants face à ces nouvelles obligations, nous laissant réfléchir sur la meilleure stratégie à adopter.

Dans cet échange, Marc-Antoine LEDIEU, avocat au Barreau de Paris et expert en cybersécurité, aborde la directive NIS2 et son calendrier de mise en œuvre en France. Il détaille les 20 mesures techniques du projet de décret ANSSI, soulignant l'importance d'une gestion rigoureuse des prestataires IT. Marc-Antoine met en avant les défis législatifs et les exigences de sécurité qui pèsent sur les entreprises. Ces discussions sont essentielles pour comprendre les enjeux contemporains de la cybersécurité dans des secteurs critiques.

Marc-Antoine LEDIEU, avocat au Barreau de Paris et expert en droit de la cybersécurité, partage ses connaissances sur la directive NIS2. Il aborde l'échec de NIS1 et explique pourquoi NIS2 pourrait réussir avec un périmètre élargi. Marc-Antoine évoque la complexité des nouvelles lois et l'importance d'utiliser des supports visuels pour mieux les comprendre. Il traite aussi des défis que les entreprises doivent relever face aux exigences de cybersécurité et discute des problèmes juridiques liés à la mise en conformité.

Seconde partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:51) - Mythe 1 : “J’utilise des partenaires certifiés PCI DSS, donc je suis certifié PCI DSS”(03:04) - Quand un partenaire est certifié PCI DSS il faut comprendre sur quel périmètre (05:45) - Il y a 2 types de partenaires : des prestataires certifiés PCI DSS, des prestataires qui ne le sont pas(08:09) - Mythe 2 : “La PCI DSS ne se résume qu'à de la technique”Parcours d’obtention de la certification : (10:28) - 1/ Comment se mettre en conformité et les 2 questions à se poser à cette étape. Le CDE, etc(12:19) - Un moyen de diminuer le périmètre de certification(13:08) - Analyse d'écart (gap analysis)(14:10) - 2 / Comment obtenir la certification, comment celle-ci se déroule(16:38) - L’aspect du renouvellement et l’importance pour une entreprise de maintenir sa certification  (19:03) - La problématique de trouver un juste-milieu entre le niveau de sécurité requis par la norme et le niveau de sécurité cohérent en rapport à ses activités, sans que cela ne perturbe la productivité(21:24) - Les aspects de l’assurance et des responsabilités en cas de compromission de cartes bancaires(23:47) - Il est important d’avoir un vrai sponsor en interne pour mobiliser toutes les équipes, pour s’assurer d’obtenir le renouvellement de sa certification(25:14) - La PCI DSS et sa relation avec les autres normes PCI(28:46) - Le mot de la fin de Kévin(30:26) - La PCI DSS n’est pas une exigence réglementaire, c’est une exigence contractuelle✴️ Retrouver Kévin DEJOURLinkedIn : https://bit.ly/3CzUCj7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Kévin DEJOUR, ancien RSSI et auditeur PCI DSS qualifié, partage son parcours fascinant. Il révèle la complexité de l'obtention de la certification PCI DSS et son caractère unique. Kévin explique pourquoi certaines entreprises échouent à obtenir cette certification et démystifie le jargon associé. Il aborde également les différences entre les niveaux d'audit et les exigences spécifiques pour les commerçants et les fournisseurs de services. Enfin, il éclaire sur les nouveautés de la version 4.0 de la PCI DSS et son impact sur la sécurité des transactions en ligne.

Matthias Pouyanne, consultant indépendant et expert en quantification du risque cyber, partage des insights captivants sur la mise en place d'un programme de quantification. Il discute des synergies entre les méthodes FAIR et EBIOS RM, et comment naviguer entre elles selon les besoins. Matthias aborde l'importance de la cohérence dans l'évaluation des risques et donne des conseils stratégiques pour choisir des partenaires en cybersécurité. Sa perspective valorise aussi l'intégration des données de CTI dans les modèles de risque.

Matthias Pouyanne, consultant indépendant et spécialiste de la quantification du risque cyber, partage son expertise sur la gestion des risques en cybersécurité. Il aborde l'évolution des méthodes, notamment la méthodologie FAIR, et les défis de l'évaluation des pertes. Il discute également des professions impliquées dans ce processus, des métriques à considérer, et souligne l'importance d'une approche quantitative pour les entreprises, tout en anticipant une réglementation croissante autour de cette thématique.

Lucie Poiraud, RSSI Opérationnelle chez le Groupe Atlantic, partage son expérience post-cyberattaque. Elle aborde comment cette crise a révélé des personnalités au sein de l'équipe et l'importance d'un soutien adéquat pour les employés touchés. Lucie recommande des 'quicks wins' pour renforcer la cybersécurité et souligne l'importance des actions de sensibilisation. Elle évoque également le rôle des podcasts internes comme un outil précieux de communication pour engager le personnel et développer une culture de sécurité au sein de l'entreprise.

Lucie Poiraud, RSSI Opérationnelle chez le Groupe Atlantic, partage son expérience suite à une cyberattaque en 2020. Elle décrit la chronologie des événements et les actions mises en place à court terme pour rétablir la confiance. Lucie discute des effets psychologiques de cette crise sur elle et son équipe. Elle souligne l'importance d'une communication efficace pendant cette période, ainsi que des recommandations pour améliorer la sécurité et réduire les risques d'attaques futures.