• Sécurité
• Conférence
• 55 min

REX – Construire un poste d’administration conforme SecNumCloud

• Date mercredi
• Horaire 12h30 à 13h25
• Salle Amphi D

Description

SecNumCloud est aujourd’hui la plus haute référence en matière de sécurité pour les services cloud en france, mais ses exigences peuvent sembler complexes, notamment lorsqu’il s’agit des accès d’administration. Dans ce talk, nous partagerons notre retour d’expérience concret sur la conception et la mise en place d’un poste d’administration sécurisé permettant à nos équipes d’exploiter et d’administrer la plateforme tout en respectant les exigences SecNumCloud de l’ANSSI. À travers un retour d’expérience terrain, nous expliquerons nos choix techniques, les contraintes rencontrées, les erreurs commises et les solutions mises en place. Pas de théorie abstraite : du pragmatique et du vécu. Nous aborderons les grands principes (séparation des usages, durcissement, traçabilité, contrôle des accès), l’architecture retenue, les compromis réalisés et les bénéfices concrets pour les équipes. Ce talk ne prétend pas être une interprétation officielle du référentiel : nous ne sommes ni experts ni auditeurs SecNumCloud. Il s’agit d’un retour d’expérience honnête et opérationnel, destiné à démystifier SecNumCloud et à montrer qu’il est possible d’allier sécurité forte et efficacité opérationnelle.

Orateur·ices

David Gandra

J’ai souvent pris la parole en interne, que ce soit pour des présentations techniques, des soutenances ou des audits de certification. J’aime partager mes connaissances et discuter de sujets techniques avec mes collègues, échanger des bonnes pratiques et rendre les concepts complexes accessibles. Transmettre et expliquer fait partie de ce que je préfère dans mon quotidien professionnel.

Chris Navas

Je suis consultant chez Wescale depuis bientôt 6 ans, avec une passion pour l’informatique qui remonte à mes débuts. À 12 ans, alors que le RFC sur le DNS venait de paraître fin 1983, j’apprenais à coder en BASIC puis en ASM 6502 sur l’ORIC-1 familial, guidé par mon père. Depuis, je vis et partage cette passion à travers mes projets et conférences, avec l’objectif de transmettre mes connaissances et d’échanger sur les innovations qui transforment notre métier. Références et conférences passées : Je présente régulièrement des conférences en interne chez Wescale, nos clients, notamment : HTTP/3 : 35 ans d’histoire du protocole HTTP (https://youtu.be/qmwtXp2Nadk ) Les bases du DNS (interne, sans replay) L’IoT et le cloud (interne, sans replay) J’ai également animé plusieurs conférences publiques lors de meetups parisiens et d’événements internes pour nos clients. Quelques références publiques : OVH World Tour 2015 : Présentation de l’infrastructure de Vodkaster https://www.youtube.com/watch?v=CDvCJA6Qz84 OVH Summit 2016 : Comment j’ai découvert qu’un chat mange toutes les 2/3 heures https://twitter.com/axelmore/status/785848961609465856 https://www.youtube.com/watch?v=ohmKeRsXz0E Multiples Conférences interne Wescale et chez les clients : DNS, HTTP, 12 facteurs, L’IoT et le cloud, etc ...

Actions rapides

mettre en favoris Ajouter à Google Calendar Télécharger le fichier ICS

Partager la session

---

Les sessions futures sur le même thème

• • Sécurité
  • Conférence

  Agents Smith vs OAuth2 + DPoP : stopper le replay et le vol de bearer tokens

  Vous vivez dans la Matrice : un Bearer Token (access_token) vous donne l’accès à vos applications… mais si un Agent Smith l’intercepte ? Game over. Il a tous vos accès sans demande de mot de passe, pas de preuve de possession – vous avez donc juste une illusion de contrôle. Suivez le lapin blanc jusqu’à DPoP (Demonstration of Proof-of-Possession, RFC 9449) : vos tokens deviennent inséparables d’une clé privée. Prouvez que vous êtes L’élu, ou rien. Restons au pays des merveilles, et descendons avec le lapin blanc au fond du gouffre : * PKCE, la première barrière contre l’interception du code d’autorisation * Les failles critiques des bearer tokens * Comment DPoP fonctionne * Les pièges d’implémentation dans le monde réel où les Agents se cachent encore … pour montrer qu’il est temps de sortir de l’illusion que toute la sécurité est faite avec les bearer tokens. Pour devs, architectes et équipes sécu qui veulent arrêter de vivre dans le rêve bleu.

  Jeudi 9h30 à 10h25 - Amphi B
• • Sécurité
  • Conférence

  Comment bien mettre en place une mauvaise gestion des mots de passe

  On est en 2026 et l'authentification par mot de passe est toujours largement utilisée. Mais bon, il faut que les utilisateurs arrêtent d'utiliser "toto" ou "azerty"... Alors je vais faire comme d'habitude et imposer un mot de passe de 10 caractères avec 1 majuscule, 1 minuscule, 1 chiffre et 2 caractères spéciaux comme ça je serai tranquille... Êtes-vous sûr·e de vos pratiques ? Êtes-vous prêt·e à confronter vos intuitions à la réalité mathématique ? Dans cette conférence, nous allons creuser le sujet d'une "bonne" politique de mots de passe, bien comprendre ce qu'est un mot de passe dit "robuste" ou "complexe" et voir des concepts clés pour critiquer objectivement la gestion de ceux-ci dans un SI. Nous mènerons une réflexion progressive et illustrée afin de bien appréhender et s'approprier ces concepts. L'objectif est de tordre le cou aux pratiques contre-productives, aux intuitions erronées et autres fausses bonnes idées. Cette conférence s'adresse à toutes personnes créant ou utilisant un SI : développeuses, chef de projet, directrice de SI, architectes, responsables de produit, MOA, utilisateurs...

  Jeudi 12h30 à 13h25 - Amphi A
• • Sécurité
  • Conférence

  De développeur à hacker : savoir casser, c'est savoir protéger ⚔️

  Aujourd'hui, on prend conscience de l'importance de la cybersécurité. Le moindre piratage peut causer des pertes importantes, tant au niveau image que financier. Les premiers acteurs de la sécurité sont les développeurs. Avec une vision basée sur la seule protection des SI, ils n'envisagent pas les possibilités de l'attaquant. Ne faudrait-il pas changer ce fonctionnement et passer dans la peau de l'attaquant pour élargir notre vision de la cybersécurité ? Comme le dit le dicton : "ce sont les braconniers qui font les meilleurs gardes-chasse" 😉 Chaque développeur devrait coder avec en tête : "comment je pourrais bien casser ça ?" Devenir hacker c'est revenir aux basiques (modèle OSI, algorithmie...) et accroître sa polyvalence. Au cours de ce talk, nous allons voir pourquoi la cybersécurité embarquée dans les équipes de développement est un atout majeur pour les projets, et quelles compétences doivent être apprises afin d'acquérir une maîtrise complète des systèmes d'information en place. L'objectif est qu'en sortant, vous soyez convaincu qu'il est essentiel de "penser au hack de son code" au moment même de son écriture, et que vous soyez armés pour proposer une correction 💪

  Jeudi 12h30 à 13h25 - Amphi E