jssi
Nicolas Hanteville (Devoteam) « Forensics Windows » edit: slides Pourquoi faire du Forensic : parce qu’on s’est fait pwner !!! L’objectif est alors simple, identifier le scénario d’intrusion et comprendre les actions de l’attaquant sur le système. Les sources d’investigations sont l’état instantanné, le système de fichier,
jssi
Nicolas Grégoire (Agarri) « XML et sécurité » edit: slides @Agarri_FR Petit rappel sur les technologies XML et leur fonctionnement pour ceux qui ne connaissent pas, puis on va plonger dans le sujet. Le rendu fait par les navigateurs dépend fortement du namespace, ça permet par exemple d’étendre les fonctionnalités
jssi
Nicolas Viot (NGM Security) « Les injections No-SQL » edit:slides Les bases de données NO-SQL regroupent toutes les BDD non relationelles, mongoDB, CouchDB, SimpleDB etc… Les grands acteurs du web travaillent sur le sujet et l’utilisent dans certains cas. Les avantages de ces technologies, c’est la suppression des contraintes
jssi
Laurent Butti (Orange Portals) edit:slides « Retour d’expérience sur les outils d’audit d’applications Web en boite noire » (une publication académique sur le sujet est disponible ici : http://www.cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010.pdf ) Travaille à Orange Portail, qui fait des applications pour Orange.fr et
jssi
Table ronde Avec: Philippe Bernard (RSSI MBDA) Olivier Caleff (Fédération des Professionnels des Tests Intrusifs) Olivier Dembour (ARJEL) « Faut-il réglementer la prestation de services en sécurité ? » Philippe Bernard, le RSSI de la première présentation Olivier Dembour, évaluateur de l’ARJEL qui s’occupe du suivis des certifications des opérateurs de
jssi
Frédéric Connes (HSC) « Aspects juridiques des tests d’intrusion » edit: slides Sujet très intéressant et souvent négligé que le cadre juridique dans les audits. Qu’a-t-on le droit de faire dans le cadre d’un audit ? Limites légales, hébergement de l’application par un tiers, non respect du périmètre, constatation
jssi
Thibault Koechlin (NBS) « Protection du site Charlie Hebdo par le logiciel NAXSI » Bon, la sécurité web, c’est super facile à exploiter, et les SQLi requièrent peut de compétences techniques. La tendance au « deface » et au « leaks » est en forte augmentation, mais ça reste la partie émergée de l’Iceberg.
jssi
Philippe Bernard (RSSI MBDA) « Le rôle de la prestation de services en sécurité » L’objectif d’un audit est de faire un point, un bilan, vérifier l’évolution (positive ou non) de son SI et s’en servir comme argument pour justifier des investissements dans tel ou tel projet afin