Retour sur le Forum InCyber 2024 de Lille

Écrit par Nicolas Cavigneaux

Introduction

Le 28 mars 2024, nous avons participé à la 16e édition du Forum InCyber à Lille Grand Palais. Ce forum se concentre tout particulièrement sur les sujets liés à la cybersécurité.

Comme vous le savez, c’est un vaste sujet et c’est donc sans surprise qu’en arrivant, on y retrouve énormément de visiteurs. Il y a également beaucoup de stands avec de grands noms du monde de la cybersécurité.

Cette année, le forum se concentrait particulièrement sur l’IA et comment celle-ci a modifié le mode opératoire des attaques, mais aussi et surtout comment se prémunir plus efficacement des attaques avancées grâce à cette technologie.

Bien sûr, beaucoup d’exposants se concentraient aussi sur la sécurité au sens plus classique avec des spécialistes du pentest, des formateurs en sécurité, des experts de la sécurité matérielle, etc.

Les journées étaient ponctuées d’interventions d’orateurs, plus dans l’esprit des conférences techniques que des forums. Des sujets assez variés ont été présentés :

• la cybersécurité dans l’industrie de l’énergie
• sécuriser ses communications avec de la cryptographie résistance aux attaques quantiques
• OSINT
• retours d’expérience sur des attaques menées et déjouées
• comment faire confiance en l’IA
• les 3 plus grands vecteurs d’attaque des bases de données
• et encore bien d’autres

La majorité de ces interventions étaient dans un format de 30 min. Seul hic en ce qui me concerne, pour les conférences les plus intéressantes, il était très difficile (voire impossible) de se frayer un chemin dans les salles de fortune des conférences.

Les exposants

Je ne vais évidemment pas tous les citer ici, mais simplement lister soit ceux qui m’ont réellement intrigué ou qui ont au moins éveillé ma curiosité.

GitGuardian

GitGuardian que vous connaissez peut-être m’a particulièrement intéressé en tant que développeur.

Cet outil permet de se brancher à des dépôts Git pour en faire une analyse poussée pour détecter de nombreux types de secrets qui auraient pu venir se glisser dans vos commits, même si ceux-ci ont été effacés par la suite.

On se rend vite compte que de nombreux secrets finissent par arriver dans les dépôts, soit par méconnaissance des principes de sécurité, soit tout juste par étourderie.

Au-delà de ça, ce qui est intéressant, c’est que l’outil est en mesure pour une grande quantité de services, de lancer une tentative de connexion (non destructive) pour vérifier si la clé est oui ou non exploitable.

Aucune remédiation automatique par l’outil à ce jour, mais des alertes sont remontées vous permettant d’agir rapidement pour effectuer une rotation de clé par exemple.

GitGuardian permet aussi de voir si du code privé se retrouve dans des dépôts publics. L’outil se base entre autre sur un “honeypot” à ajouter dans vos dépôts privés qui permettent une détection facile et rapide.

C’est un des rares stands où j’ai demandé une démo et elle a été efficace.

Katana Digital

Dans le domaine de la sécurité matérielle, il y avait bien évidemment des spécialistes des réseaux physiques, des routeurs, de l’embarqué, etc.

Mais Katana Digital a retenu mon attention, je pense qu’ils étaient les seuls à proposer ce genre de services dans le forum.

Leur spécialité ? La destruction des supports physiques, disques durs, cartes sim, téléphones, documents papier. J’imagine que leur clientèle est majoritairement liée de près ou de loin aux datacenters ou aux organismes d’état.

Ils peuvent aussi faire de la destruction plus classique, au niveau logiciel pour s’assurer que les données ne soient plus récupérables tout en gardant le matériel fonctionnel.

J’aurais apprécié une démo de destruction en live, mais ça n’a malheureusement pas eu lieu :-).

keeper PAM

Keeper PAM est un outil de centralisation de la gestion des mots-de-passe pour les entreprises, des gestionnaires de connexion ou encore de gestionnaires des secrets.

L’idée est de simplifier au maximum cette gestion et de minimiser les trous engendrés par le facteur humain (mots-de-passe faibles, …).

L’outil s’intègre à toute sorte de choses comme évidemment les navigateurs, mais aussi les éditeurs ou encore les CI/CD.

On a également la possibilité de mettre en place du passwordless, importer les mots-de-passe existants depuis d’autres gestionnaires, de protéger son coffre avec du 2FA, …

Thetris XDR platform & Sentinel one

C’est deux là jouent dans la même cour. Ce sont ce que l’on appelle des XDR. Leur rôle principal est de protéger des machines, souvent des postes clients.

Un agent doit être installé sur les machines du parc. Suite à ça, ces deux solutions sont en mesure d’analyser à peu près tout et n’importe quoi, trafic réseau, pièces jointes, commandes ou enchaînement de commandes suspicieuses, anomalies d’utilisation pour pouvoir les remonter et créer des alertes avec différents niveaux de criticité.

Elle aura, par exemple, comme tâche de détecter et bloquer des cryptolocker ou encore de détecter des binaires connus pour avoir des backdoors.

Ces outils sont aussi capables de sandboxer la machine, permettre l’intervention pour la dévéroler, etc.

Ninja One

Ninja One permet la gestion unifiée des terminaux. Entendez par là que cet outil permet de gérer de manière centralisée la mise à jour de PC, de tablettes, la sauvegarde. Elle permet aussi la prise en main de la machine à distance. Elle gérera aussi le déploiement de scripts et de logiciels.

C’est à mon avis une solution plutôt à destination de très gros parcs où le besoin d’uniformisation est un pré-requis.

Snyk

Snyk est également un outil orienté sécurité. L’une de ses utilisations principales est l’intégration avec les éditeurs de texte et IDE pour remonter en temps réel les éventuels problèmes de sécurité de votre code.

Il pourra aussi s’intégrer dans votre CI/CD, analyser vos conteneurs pour y trouver d’éventuelles failles.

L’outil semble être très intuitif, mais la tarification me parait un peu élevée pour une entreprise de taille moyenne.

CyberGuru

CyberGuru est une initiative que j’ai trouvée très intéressante. Ils ne fournissent pas à proprement parler un outil d’aide à la sécurisation de vos applications ou infrastructures. Au lieu de ça, ils se concentrent sur la sensibilisation des équipes à l’importance de la sécurité.

À travers divers outils et plateformes d’elearning, ils essaient de sensibiliser à divers aspects de la sécurité au quotidien. On sait que le phishing, fichiers infectés et autres astuces d’ingénierie sociale sont encore aujourd’hui une grande part des points d’entrée des personnes malveillantes.

Grâce à des exercices pratiques, des vidéos, des compétitions, les plateformes permettent aux collaborateurs de mieux prendre conscience des enjeux de sécurité, à tous les niveaux.

Quelques autres

Sur le forum, j’ai pu croiser d’autres stands qui proposent des choses intéressantes, mais pour lesquelles je ne rentrerais pas dans les détails. Je donnerais juste la liste pour que vous puissiez vous renseigner :

• Splunk : détection des menaces et assistance à l’analyse des équipes SOC à l’aide de l’IA
• Fortinet : sécurité des réseaux, notamment industriel
• Clever cloud : déploiement simplifié et automatisé d’applications sur leur cloud souverain — Google cloud : je pense que l’on peut se passer d’une présentation
• NBS System : spécialistes de sécurité offensive (redteam)
• YesWeHack : une plate-forme de bug bounty qui simplifie la mise en relation entre chercheurs et clients
• InterCERT France : association loi 1901 qui constitue la première communauté de CERTs en France

Misc

Dans les stands et activités plus à la marge, il y avait comme vous vous en doutez du recrutement, particulièrement d’ingénieurs en sécurité, Pentester et SOC analysts.

Il y avait aussi, si mes souvenirs sont bons, des écoles spécialisées dans la sécurité (SOC, blueteam, redteam) qui présentaient leurs formations.

Nous avons quand même eu le droit à quelque chose d’assez inattendu. Pour des raisons évidentes de sécurité dans un cadre d’alerte attentats, la police était sur les lieux avec une présence constante.

Au détour d’un stand, une personne me demande “Mais c’est une démonstration ou il y a vraiment un problème ?” en me pointant un autre stand du doigt. Je me retourne et à cet instant, je vois plusieurs policiers et la brigade canine. Le chien de la brigade était complètement excité et fouillait autant qu’il le pouvait le stand à côté duquel il était.

Une minute plus tard, le chien balançait sa queue comme s’il avait trouvé un nouveau jouet et marquait l’endroit avec insistance. Figurez-vous que la brigade qui passait sa journée complète au forum a décidé de mettre son temps à profit.

Ils ont improvisé une chasse à la bombe dans le forum, le maître du chien avait placé une substance identifiée par le chien comme étant une bombe. Lorsque le chien a trouvé sa cible, toutes les personnes autour se sont mises à l’applaudir.

Un chouette moment qui nous a un peu sorti la tête de la tech.

Pour conclure

C’était mon premier passage au forum InCyber. J’ai plutôt l’habitude de participer à des conférences, très orientées tech avec des speakers qui nous présente un sujet pointu qui n’est pas spécialement lié à un produit.

Le forum quant à lui est une ambiance différente, on y vient pour découvrir des produits, peut-être trouver celui qui manque à notre structure, mais il y a finalement assez peu de présentations poussées sur des sujets techniques purs.

J’imaginais voir des démos d’intrusion ou des workshops autour de ce genre de sujet. Je n’en ai pas vu ou je suis passé à côté. Rien non plus en termes de remédiation qui ne serait pas directement lié à un produit.

Je pense donc que ce genre de forum est plus adapté à des décideurs orientés techniques moins qu’aux geeks purs et durs qui veulent de la technique pour la technique.

Quoi qu’il en soit, ça reste un forum impressionnant par sa taille et sa fréquentation. L’organisation y était excellente.
J’y aurais quand même découvert des outils intéressants qui peut-être seront adoptés chez nous et qui en tout cas nous donnerons des idées d’axes d’amélioration de nos outils et usages actuels.