Le biomédical, le Far West de la cybersécurité hospitalière | Partie 1/2 | #70

Première partie de mon échange avec Hervé PELLARIN, RSSI du Centre Hospitalier Annecy Genevois👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:45) - Hervé se présente(01:20) - “Le cyber dans la santé est un précaire qu’il faut redresser”(04:04) - Un hôpital, en vrai c’est quoi ?(09:56) - 90% des ransomware qu’Hervé a trouvé étaient dans le far west des appareils biomédicaux. "L'ennemi" d'Hervé c'est le prestataire(12:22) - Les prestataires qui vendent des logiciels, n'ont aucune obligation de respecter des normes de sécurité, bien que les hôpitaux soient des Opérateurs de Services Essentiels (OSE). Ils devraient avoir un “permis” de travailler chez eux et devraient respecter leurs règles(16:00) - Un "label cyber pour le secteur de la santé" serait important + Les conditions qu'il faudrait y inclure selon Hervé(19.58) - Comment faire avancer les choses ? La vision de la réalité de l'intégration du numérique dans la santé. Les lobbys.(23:30) - Ce sont des niches. Exemple des logiciels de brancardage + l’exemple des failles sur ces logiciels. La complexité de changer de prestataire(25:25) - Dans le soin, il y a des besoins de disponibilité, d'intégrité, et de confidentialité à tout instant. Ce sont des métiers difficiles. Ce qui rends la tâche très intéressante car c’est riche en enjeux, en diversité,  (27:49) - Être parano c'est une condition requise. Ce qui dérange Hervé : quand les éditeurs ne veulent pas faire d’efforts, ne veulent pas essayer(31:00) - L'exemple du marquage CE✴️ Retrouver Hervé PELLARINLinkedIn : https://bit.ly/4bGFiyX✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Cédric LEJAULT, RSSI chez Securitas Technology France.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:59) - Les conflits managériaux. Ce qui fait qu’un compromis soit bon. Faire son propre calcul d’emm*rdes(06:26) - Un exemple réel de Cédric, dans lequel il a dû licencier une personne qui pensait être performante, mais qui ne l'était pas. Ses conseils dans ce genre de situations(11:30) - Second exemple. Les RH qui lui ont demandé d'intervenir dans un cadre non hiérarchique (d'une personne du service informatique d’un autre site)(15:27) - Prendre des décisions difficiles, dans la nuance, ce sont surtout des choix stratégiques(17:17) - La gestion de la politique interne. La proximité avec le siège ou du décideur général(19:54) - Tout le monde ne peut pas monter. Certains n'ont pas d'avenir, car trop impliqués, d'autres car trop honnêtes(26:06) - Savoir plébisciter les personnes qui le méritent (et savoir soi-même se mettre parfois en avant de temps en temps)(30:01) - "La récompense ce n'est vraiment pas facile à mesurer quand on manage"(31:20) - Comment Cédric gère la pression, la gestion des conflits, etc✴️ Retrouver Cédric LEJAULTLinkedIn : https://bit.ly/4qH6VPc✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Cédric LEJAULT, RSSI chez Securitas Technology France.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:18) - Cédric se présente. Pourquoi son expérience est pertinente par rapport au sujet du jour(06:51) - Penser à l’image que l’on laisse. Gérer les collaborateurs en tant que RSSI, ce sont toutes des relations différentes, relations hiérarchiques vs fonctionnelles, son expérience d’avoir dû licencier des personnes, et d'autres exemples(13:20) - L’importance du partage des indicateurs (dans la mesure du possible). Que tout le monde sache dans une équipe, pourquoi un tel va favoriser ce projet par rapport à l'autre(14:31) - Développer son intelligence émotionnelle pour "lire les situations", “read the room”(21:21) - Susciter les émotions, les leviers émotionnels. Comprendre le réseau d’influence / de confiance sur le pilotage d’une équipe(26:14) - “Savoir diviser pour mieux régner, car manager c’est de prendre des décisions difficiles au quotidien”. Manager ce n’est pas tout beau tout rose(28:30) - Sa vision, depuis le point de vue d’un RSSI en particulier. Donnant / Donnant ? Donner du temps, pour le court terme (transactionnel), ou sur la durée (du ‘développement, de la capitalisation”)✴️ Retrouver Cédric LEJAULTLinkedIn : https://bit.ly/4qH6VPc✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:24) - Tips variés (paiements en physique, comptes jetables, identités fictives numériques, et plus)(06:08) - On donne une partie de notre identité en ligne à chaque fois. Dans le futur, il serait possible de cartographier un pays(07:21) - Exemple d’une différence culturelle entre la France (donner ses infos pour acheter une carte SIM) et l'Angleterre (achat d'une carte SIM dans un supermarché et payer à la caisse comme pour achat normal)(10:36) - Comment créer un alter ego : pour recevoir du courrier + l’une des techniques que les fraudeurs utilisent avec des adresses de livraison. À propos des numéros de téléphone et des comptes bancaires.(15:12) - Les tickets commerçants et des informations qui sont parfois visibles sur ceux-ci, si leur TPE n’est pas à jour (19:06) - Hunter Cat (détecteur de cartes à puce / détecteur de skimmers)(21:50) - Avoir un second numéro de téléphone, service On/Off, carte SIM différente(23:12) - Comment créer un alter ego : dans quel niveau de détail, les sites de type fake person generator ou fakexy, l'outil Epieos(27:13) - Comment se lancer pour faire un audit de son identité numérique(31:04) - Comment créer un alter ego : “lui” créer une vie, l’exemple d’une identité fictive “Madame Michu”(34:15) - Ne pas partager ses vraies informations si ce n’est pas nécessaire ou pas important (au contraire des impôts ou de sa banque par exemple, avec qui c’est important de le faire) + d'autres tips(39:04) - En quoi l’Espagne est-elle beaucoup plus avancée dans la lutte contre la fraude (44:22) - L’idée à retenir✴️ Retrouver Jonathan SPEDALELinkedIn : https://bit.ly/4lsyvw1✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:52) - Jonathan se présente(04:38) - Personne ne fait de la veille sur les sujets de fraude(06:00) - L’ubérisation de la fraude, la fraude à la TVA, la fraude au retour / au refund, à propos des dataleaks(08:37) - Frauder est devenu plus accessible. Des "catalogues" de données volées(10:58) - On entends peu parler ce dont à quoi les données qui ont fuitées ont servies. La partie “submergée” de la fraude dont on entend peu parler. L'exemple de la fuite de données de Free.(14:38) - N’importe quelle information peut servir. L’exemple de la composition famille et des arbres généalogiques(18:22) - L’aspect temporel de certaines données qui ont fuitées(20:58) - La fraude ne concerne pas que des petits montants + Beaucoup de sociétés n’ont pas évolué, l’exemple de la fraude d’un bon d’achat dans un Drive, les bons de parrainage(24:50) - Ce qui m'a attiré sur le profil de Jonathan, c'est la partie pratique. En effet, il teste le parcours des fraudeurs + explications de son process.(29:28) - L’exemple du premier contrat qu’il a eu, tester un outil de lutte contre la fraude documentaire(30:49) - Des données inutilisables aujourd’hui, pourraient être utiles dans des nouvelles méthodes de fraudeLes fraudeurs recyclent. L’humain est trop souvent impressionnable. (33:16) - Il faut comparer un fraudeur à un magicien(37:40) - Le mot de la fin✴️ Retrouver Jonathan SPEDALELinkedIn : https://bit.ly/4lsyvw1✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Troisième et dernière partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:51) - Le règlement d'exécution relatif aux entités et réseaux (02:05) - Le problème des attaques de supply chain - Exemple de l’affaire SolarWinds (04:00) - “REX NIS2”, qui est concerné ?(07:49) - 10 mesures opérationnelles + le premier exemple(11:10) - Deuxième exemple : Politique de gestion des risques(14:01) - L'obligation de notifier(16:35) - La mise en conformité des prestataires critiques + Sanctions et responsabilités(19:57) - Le discours de l’ANSSI vs ce que les entreprises ont entendues (la stratégie du contournement)(22:48) - Une petite conclusion(26:00) - ”Faut-il diluer NIS2 dans du vin blanc?” La réalité du discours. Nos dirigeants, sont-ils préparés à ce chantier ?(31:26) - À propos de la documentation(33:57) - Liens utiles✴️ Retrouver Marc-Antoine LEDIEULinkedIn : https://bit.ly/41HFOJz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:30) - NIS2, c’est pour quand ? + Est-ce aux entités régulées de mettre leurs prestataires au carré ?(05:45) - Quel calendrier de transposition en France ?(07:21) - Le projet de décret ANSSI, 42 pages, 20 mesures techniques très détaillés + résumé de ces mesures + Mesures 1 à 10(18:23) - Mesures 11 à 20✴️ Retrouver Marc-Antoine LEDIEULinkedIn : https://bit.ly/41HFOJz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:19) - Marc-Antoine se présente (Avocat dans la cyber + Contributeur à NoLimitSecu)(04:35) - Podcast différent aujourd’hui, le support visuel complémentaire + L'anecdote derrière les slides en dessin (et les images en général) utilisés par Marc-Antoine(07:52) - Rapide retour sur NIS1, pourquoi ça échoué, et pourquoi NIS2 serait donc un succès sachant que le périmètre est beaucoup plus large(11:16) - Pourquoi en sommes nous où nous sommes aujourd’hui ?(14:58) - L’autre problème quand il y a une nouvelle loi obligatoire en France : le réflexe de la stratégie du contournement + le “Pipo Bingo” tenu par Marc-Antoine et sa collaboratrice(17:15) - Le changement de stratégie de l’EU(21:38) - Le concept de NIS2 + l’aspect de documentation(26:56) - Les 3 piliers indissociables(28:13) - (Slides 32 à 34) Qui sont les entreprises concernées par NIS2 ?(29:47) - Pour comprendre le nombre d’entreprises concernées par NIS2 : les deux problèmes de NIS1(32:28) - (Slide 36) Comprendre NIS2 - Les secteurs hautement critiques (annexe I), les autres secteurs critiques (annexe II)(36:03) - Le principe de l’auto-désignation✴️ Retrouver Marc-Antoine LEDIEULinkedIn : https://bit.ly/41HFOJz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:51) - Mythe 1 : “J’utilise des partenaires certifiés PCI DSS, donc je suis certifié PCI DSS”(03:04) - Quand un partenaire est certifié PCI DSS il faut comprendre sur quel périmètre (05:45) - Il y a 2 types de partenaires : des prestataires certifiés PCI DSS, des prestataires qui ne le sont pas(08:09) - Mythe 2 : “La PCI DSS ne se résume qu'à de la technique”Parcours d’obtention de la certification : (10:28) - 1/ Comment se mettre en conformité et les 2 questions à se poser à cette étape. Le CDE, etc(12:19) - Un moyen de diminuer le périmètre de certification(13:08) - Analyse d'écart (gap analysis)(14:10) - 2 / Comment obtenir la certification, comment celle-ci se déroule(16:38) - L’aspect du renouvellement et l’importance pour une entreprise de maintenir sa certification  (19:03) - La problématique de trouver un juste-milieu entre le niveau de sécurité requis par la norme et le niveau de sécurité cohérent en rapport à ses activités, sans que cela ne perturbe la productivité(21:24) - Les aspects de l’assurance et des responsabilités en cas de compromission de cartes bancaires(23:47) - Il est important d’avoir un vrai sponsor en interne pour mobiliser toutes les équipes, pour s’assurer d’obtenir le renouvellement de sa certification(25:14) - La PCI DSS et sa relation avec les autres normes PCI(28:46) - Le mot de la fin de Kévin(30:26) - La PCI DSS n’est pas une exigence réglementaire, c’est une exigence contractuelle✴️ Retrouver Kévin DEJOURLinkedIn : https://bit.ly/3CzUCj7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:06) - La force de l'expérience de Kévin, qui avait été audité sur l'aspect PCI DSS quand il était RSSI et qui maintenant est auditeur PCI DSS.(02:44) - Où se place la PCI DSS en termes de difficulté d’obtention.(04:29) - L’obtention de la PCI DSS n’est pas liée à l'appréciation de l’auditeur + ce qui en fait son avantage.(06:28) - Les concepts de base de la PCI DSS. Pourquoi elle a été créée, pour quels acteurs, etc. Les programmes de sécurité des schemes (Visa, Mastercard, etc).(09:10) - Selon Kévin, pourquoi le nombre de transactions par niveau est différent selon les schemes (ex: Visa, 6M pour le niveau 1, alors qu'AMEX c'est 2.5M).(11:13) - La PCI DSS, les 2 types d'entités qui se font auditer: les fournisseurs des services et les commerçants. Les distinctions à faire.(13:26) - Les différences principales entre le niveau 1 et les autres niveaux.(15:40) - Kévin démystifie le jargon principal associé (ROC, SAQ, PAN, etc).(19:30) - Les principaux chapitres de la PCI DSS (parmi les 12).(23:39) - De son expérience d'auditeur PCI DSS : les principales raisons pour lesquelles une certification n'est pas obtenue par une entreprise(27:01) - Les quatre occurrences de scan dans l'année. L’obtention de la certification, et son renouvellement.(28:07) - Être certifié PCI DSS, comment (si c'est le cas), cela influe sur la sélection des outils de sécurité.(30:12) - Les nouveautés de la PCI DSS v4.0.(33:41) - L'un des changements les plus compliqués de la PCI DSS v4.0(34:53) - La deuxième nouveauté qui s’applique aussi au ecommerce: des tests de sécurité pour détecter l’insertion de skimmers dans une page de paiement.✴️ Retrouver Kévin DEJOURLinkedIn : https://bit.ly/3CzUCj7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber