Cybersécurité All Day

Dans cette conversation captivante, Paul VARELA, expert en cybersécurité dans le secteur spatial, partage son expertise sur l'importance des formations et certifications dans ce domaine. Il aborde les défis mentaux et financiers liés à l'obtention de ces certifications, tout en soulignant le rôle crucial de la formation continue. Paul discute également des meilleures stratégies pour le financement des formations et des impacts des certificats sur la carrière professionnelle, y compris la négociation salariale en Europe.

Paul VARELA, expert en cybersécurité spatial, partage son parcours fascinant. Il aborde les défis de la formation continue, y compris le syndrome de l'imposteur. Leur discussion éclaire la différence entre certifications et formations, ainsi que l'impact sur le marché du travail. Ils racontent comment l'ego peut motiver des défis personnels tout en mettant en lumière l'importance de l'intégrité des certifications en cybersécurité et les nouvelles solutions pour prévenir la fraude. Un échange engagé autour des enjeux cruciaux de la profession.

Seconde partie de mon échange Karim LAMOURI, Président de Hackers Without Borders (HWB).👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✴️ Retrouver Karim LAMOURILinkedIn : ici✴️ Me retrouverLinkedIn : iciSite web : iciMichael

Première partie de mon échange Karim LAMOURI, Président de Hackers Without Borders (HWB).👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:56) - La mission statement de l’ONG Hackers Without Borders (HWB) ; Pourquoi ils font le choix de rester discrets à propos de leurs actions.(04:42) - Vouloir apporter sa petite pierre à l’édifice ; Pourquoi ils ont créé cette ONG et la particularité de HWB ; La moitié des métiers de la cyber ne sont pas techniques, donc il y’a un besoin de gérer et de manager toute la scène cyber.(07:16) - Un modèle différent des autres ONG ; Des ONG “concurrentes” dans le bien, qui ne le sont pas vraiment car les missions de chacune sont très complémentaires.(09:57) - Le modèle qu’ils ont choisi chez HWB ; Pourquoi et comment, ils mettent en place des actions de paix sans financement externe (par exemple, ils n’ont pas de compte bancaire et ne collectent pas un centime).(12:58) - Ils se sont faits attaqués sur le fait de ne pas être complètement transparent sur leur site par rapports à leurs missions, etc ; Il serait plus judicieux de parler de “cyber-paix” plutôt que de “cyber-guerre” ; Le CyberPeace Institute et HWB sont très complémentaires, une collaboration serait l'une des premières mondiales (voir la première).(15:58) - Que fait HWB de l’argent collecté ? (spoiler : ils ne collectent pas d’argent, ils ont collecté 0 centime à ce jour) ; L’attaque médiatique de la part de l’EGE ; L’expérience personnelle de Karim dans le domaine associatif ; Les notions comme l’altruisme et l'empathie sont dans l’ADN de HWB ; Ce qui est demandé aux membres de l’ONG.(21:33) - Des problèmes du passé de représentativité et de représentation en France, avec certaines personnes qui n’étaient pas venues avec l’envie ni d’apprendre, ni de transmettre.(23:18) - Faire quelque chose avec gentillesse et transparence attire parfois des critiques ; Bernard Arnaud qui a donné 10 millions d'euros aux restos du cœur.(25:43) - Il y a des gens qui veulent juste le bien, car oui, il y a aussi des “cyber-gentils” ; Les burn-outs et l’impact psychologique du modèle néfaste de toujours être dans la crainte (menaces, mal, etc) VS regarder le positif que l’on apporte + l'avis personnel de Karim.(30:10) - L’intérêt de participer à une ONG, c’est souvent la satisfaction de faire des projets utiles qui font du bien, avec des gens que l’on apprécie ; Les egos.(33:29) - Après des erreurs de jeunesse liées à la coordination, depuis qu’ils sont en place ils apportent des résultats dans leurs actions et c’est une vraie satisfaction.(34:55) - Il n’y a pas de place à l’ego chez HWB ; Ils évitent de faire de la politique ouverte et tranchée, ils ne parlent pas de religion, et évitent de parler d’argent.✴️ Retrouver Karim LAMOURILinkedIn : https://bit.ly/3RtCZXe✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon échange avec Stéphanie BUSCAYRET, une RSSI avec plus de 20 ans d'expérience dans le secteur industriel.Série spéciale, dans laquelle je pose VOS questions à mes invité(e)s.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(00:34) - Question(s) recueillie(s) : “Comment faire pour montrer l’exemple, quelles clés, retour d’expérience de choses « qui fonctionnent », pour être inspirante et suivie par toute son entreprise, du comex à l’opérateur de machine outil ? »(08:53) - Question(s) recueillie(s) : “Je suis moi-même un junior tout fraîchement sorti de CESI École de l'alternance (maintenant CESI École d'Ingénieur), sorti en septembre 2022 avec déjà une expérience en tant qu'analyste SOC. Aujourd'hui, j'ai un objectif à long terme de devenir RSSI (comptons 10 ans, ce qui me pousserait au milieu de ma trentaine). Est-ce réaliste comme objectif ?"(22:34) - Remarque recueillie : “À mon époque, il n'y avait pas de formation, à part la cryptographie et ses mathématiques. Depuis, il y a des cursus. Mais je vois un vrai décalage entre la réalité et ce qui est enseigné. Savoir résoudre un problème inconnu et nouveau, l'aspect humain, etc…” + Beaucoup de questions que les étudiants se posent.(29:07) - Question(s) recueillie(s) : “Quelles sont les contraintes principales auxquelles sont confrontés les RSSI, qu’est-ce qui peut empêcher Stéphanie de dormir, pourquoi autant de RSSI changent de rôle ?”(34:36) - Question(s) recueillie(s) : “Quels sont les prochains défis et objectifs de Stéphanie ? Personnellement et professionnellement ?" + “Pourquoi s’habille-t-elle toujours en rouge ? “✴️ Retrouver Stéphanie BUSCAYRETLinkedIn : https://bit.ly/3RA5OBE✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon échange avec Stéphanie BUSCAYRET, une RSSI avec plus de 20 ans d'expérience dans le secteur industriel.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(01:00) - Stéphanie se présente(02:07) - Pourquoi Stéphanie a écrit sur son profil LinkedIn : "CyberGardener planting cybersecurity seeds in industrial sectors for 2 decades…"(07:14) - Articles de Stéphanie "La sensibilisation, c'est au moins 30 ans de travail, et dans 30 ans, nous en aurons encore pour 30 ans"(09:21) - La sensibilisation est un processus continu(12:17) - Anecdote d’une revue de presse, d’un article, qui avait retenu une citation qu’avait faite Stéphanie(15:04) - Parallèle entre la Malbouffe et la Privacy(21:16) - Le sujet des libertés numériques, c’est ça(22:04) - La cyber ce n’est pas un métier, c’est des métiers. Pentesters oui, mais des juristes, des communicants, des psychologues, etc(23:51) - On besoin de tout le monde, personne n'est un couteau suisse. Il faut développer sa spécialité.(27:38) - L’importance de l’aspect humain. “Convaincre pour enrôler”(30:55) - “Un RSSI est pratiquement tout le temps comme un politicien en campagne”(34:33) - Le concept de Shuhari. 1/ On suit les règles, 2/ on les comprend, 3/ (sûrement l'aspect le plus important selon Stéphanie) on les transcende(40:35) - Le mot de la fin✴️ Retrouver Stéphanie BUSCAYRETLinkedIn : https://bit.ly/3RA5OBESon article mentionné, "des 30 ans" : https://bit.ly/3ES0YImSon article mentionné, du parallèle Malbouffe et Privacy : https://bit.ly/3rCzi7n✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon podcast avec Étienne LADENT, CERT Manager dans un grand groupe du Luxe.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(01:36) - PowerShell est un langage trop souvent sous-estimé. C’est un langage trop peu contraint.(03:44) - "L'execution policy" n’est pas un mécanisme de sécurité, mais de sûreté(05:34) - Différents environnements informatiques, différentes difficultés pour mettre en place les bonnes mesures de sécurité liées à PowerShell(08:22) - La valeur ajoutée des logs PowerShell dans son SIEM(11:19) - “En tant que décideur, vous n'êtes pas démuni par rapport à PowerShell” - 3 cas de figures(14:25) - Quelques RETEX d’incidents liés à PowerShell’(22:00) - Qu’est-ce qu’un “Malware fait maison” dans le contexte PowerShell(25:16) - L’idée à retenir✴️ Retrouver Étienne LADENTLinkedIn : https://bit.ly/3XzzQqoSon livre (ce n'est pas un lien d'affiliation) : https://bit.ly/3Xq4B0T✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon podcast avec Étienne LADENT, CERT Manager dans un grand groupe du Luxe.👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(01:13) - Étienne se présente + pourquoi il a écrit un livre à propos des usages cyber de PowerShell.(09:39) - “PowerShell ce n’est pas le mal”.(13:04) - Souvent, PowerShell est trop ignoré sur les aspects défensifs.(15:12) - Arriver à sécuriser PowerShell est une vraie gêne pour les attaquants.(17:25) - Sécuriser PowerShell est un excellent temps/investissement.Section des possibilités défensives de PowerShell.(18:40) - Les mécaniques de signature de code + l'execution policy.(22:10) - La mise en place d’une chaîne de certification.(23:11) - Les mécanismes comme l'AMSI (Anti-Malware Scan Interface).(26:08) - Le mode de langage contraint sur PowerShell : pour Étienne c’est la solution à déployer par défaut.✴️ Retrouver Étienne LADENTLinkedIn : https://bit.ly/3XzzQqoSon livre (ce n'est pas un lien d'affiliation) : https://bit.ly/3Xq4B0T✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Seconde partie de mon podcast avec Hamza Kondah. Formateur Cybersécurité Chez Alphorm | Microsoft MVP en Sécurité des Entreprises.✴️ Retrouver Hamza KONDAHLinkedIn : http://bit.ly/3ZmWn96Son profil Alphorm : http://bit.ly/3JXQIAt✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael

Première partie de mon podcast avec Hamza Kondah. Formateur Cybersécurité Chez Alphorm | Microsoft MVP en Sécurité des Entreprises.L’Active Directory (AD) est une cible privilégiée des attaquants, et c'est vrai que, j'ai pris un raccourci facile pour le titre de ce podcast en utilisant une stat d'un rapport de Wavestone et de Microsoft. Même si ça reste une stat et non pas une vérité universelle, c'est tellement parlant. Pour être exact je cite "Moins de 10% des clients ont correctement implémenté les bonnes pratiques de sécurité".👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute✅ CONTENU✅(01:18) - Hamza se présente(02:30) - L’ambiguïté autour de la nature de l’AD(04:07) - Les plus gros problèmes à propos de l’AD(08:19) - “Moins de 10% des clients ont correctement implémenté les bonnes pratiques de sécurité” (source: Sécurisation de l’active directory et d’Azure AD - Rapport Wavestone & Microsoft, audit AD 2020)(10:52) - Les risques associés à l’AD + comment un attaquant pourrait en prendre le contrôle(17:21) - L’AD est l’une des sources de données les plus importantes à surveiller dans son SOC & SIEM(20:09) - 3 écoles de pensée(26:07) - Il est impossible de nettoyer l’AD correctement (“la chasse aux fantômes”)(30:30) - Certaines entreprises veulent mettre leur AD à jour mais ont peur “qu’il craque”(32:59) - L'idée forte à retenir✴️ Retrouver Hamza KONDAHLinkedIn : http://bit.ly/3ZmWn96Son profil Alphorm : http://bit.ly/3JXQIAt✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: michael@cybersecuriteallday.fr⏩ Si vous avez aimé le contenu de cet épisode :👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4Michael