Comme je l'ai déjà un peu expliqué sur Twitter, le forum était sous très haute surveillance. De par son côté international et donc accueillant de nombreuses délégations étrangères mais aussi par le nombre de militaires, policiers et autres gradés, les forces de l’ordre étaient omniprésentes ! Cette surveillance était couplée à celle de tous les visiteurs par des caméras de surveillance à 360°, je n'ai pas vu les autocollants obligatoires indiquant une vidéo-surveillance cependant. Mention spéciale aux gentils chiens qui composaient la brigade cynophile et qui étaient là pour nous protéger. Hormis cela, des soupçons qui n'ont pas pu être confirmés sur la présence d'IMSI-catchers dans les plénières sur le Forum.

J'ai longuement hésité mais finalement, je vais exposer ici les plus gros ratés au niveau sécurité que j'ai pu apercevoir lors de cette 9^ème édition. Les voici :

• Les cartes NFC utilisées aux bars et restaurants
• Les cartes d'identification professionnelles (NFC ou pas !) accrochées à la ceinture des gradés ou encore à de simples professionnels
• L'absence de filtre de confidentialité chez des professionnels en plénière, j'aii apprécié de pouvoir consulter des comptes de société et d'autres sur Twitter se sont émus de pouvoir consulter des analyses réseaux pendant plus d'une heure
• Les raspberry Pi qui n'étaient pas très bien cachés dans les sacs et qui dépassaient avec leurs antennes
• Les tickets de bagagerie affichés à côté des badges en public, c'était très intéressant, surtout qu’il n'y avait aucune vérification d'identité lors de la récupération des bagages.
• Des entreprises proposent toujours des clés USB lors de forums sur la sécurité informatique. Paradoxal ? Rappelons juste qu'une des bonnes pratiques est de ne pas connecter des clés USB inconnues (A leur décharge, je n'ai rien trouvé sur la clé )

MENTION SPÉCIALE à l'application du FIC sur Android pour ses permissions plus qu'invasives : Quel besoin d'accéder à mes contacts, à enregistrer des fichiers audio, à accéder et associer à mon Bluetooth, à lister les applications qui tournent sur mon smartphone ? Cest des autorisations plus qu'intrusives dans ma vie privée ! Une réponse serait à chercher du côté d'un Framework utilisé par une société d'événementiel. Pas très sécurisé et sérieux pour un forum avec pour thème la cybersécurité !

Un niveau technique de conférences disparate
Certains visiteurs se sont plaints du niveau technique de certaines conférences. Et effectivement, il y a matière à disserter sur le sujet. Entre les conférences commerciales (essayer au moins d'être honnêtes et annoncez-le !) et des conférences simplistes, j'aiquand même eu de bonnes surprises. J'ai assisté à plusieurs conférences sur ces deux jours de Forum, j'y ai notamment appris certaines choses, mais beaucoup de réchauffé et de communication. Pour reprendre mon Tweet, une fois le vernis commercial gratté, peu de personnes savaient répondre aux questions un peu techniques, nous renvoyant vers des sites web ou encore des "je vous enverrai la documentation technique la semaine prochaine".

Une organisation qui peut mieux faire
Une organisation qui peut réellement mieux faire. C'était désastreux au niveau de la gestion des équipes. Je prends à témoin les 4 personnes qui géraient la brasserie et qui étaient débordées par des files d'attente. J'ai attendu plus de 40 minutes pour une boisson et un sandwich. On pourra aussi citer les files d'attente devant la bagagerie, certes moins longues, mais tout autant pénibles. Enfin, pour moi qui voulait assister à la masterclass donnée par Renaud Lifchitz, lorsque je suis arrivé et que je me suis rendu compte de la taille de la salle et de sa proximité avec le CTF du FIC très bruyant, j'ai bien essayé d'entendre ce qu'il disait mais au bout de 5-10 minutes, j'ai abandonné. Je m'adresse aux organisateurs, si jamais vous lisez ce retour, sachez que quand vous avez des speakers, leur donner une salle de 15 mètres carrés, c'est tout sauf correct vis-à-vis d’eux et des spectateurs, surtout si leurs propos sont masqués par le brouhaha d'un CTF.
Nous avons encore pu constater les différences de point de vue entre l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et les représentants de la défense et de la cyber-diplomatie en France. En effet, lors des questions posées par le public après les interventions des différents acteurs de la plénière sous le #FIC2017, j'ai envoyé le Tweet suivant :




Le débat est donc lancé. Il s'en suit donc les arguments habituels : « Nous devons pouvoir lutter contre les réseaux pédopornographiques et terroristes. » « Nous allons légiférer prochainement sur le chiffrement. » « Le chiffrement ne doit pas empêcher les forces de l’ordre de mener leurs investigations. » Pour avoir discuté avec deux de leurs membres de terrain (des analystes criminalistiques), français comme belges, ils sont, eux, conscients de l'absurdité de telles déclarations. Comme le rappelle aussi le dirigeant d'OVH, plus gros hébergeur de France, c'est techniquement impossible de limiter la force du chiffrement. Ce qui est aussi intéressant à constater, c'est la position de Julian King, commissaire à la sécurité, chargé de la lutte contre le terrorisme et le crime, qui lors de son discours, n'a pas manqué d'égratigner le chiffrement :
Une autre piste est évoquée dans une autre conférence de presse par Guillaume Poupard, Directeur de l'ANSSI, et qui parle donc de portes dérobées ou encore de rapprochements entre les opérateurs et l'Etat. Mais le peu d'espoir qu'il nous reste est peut-être à aller chercher du côté de l'eurodéputée Amelia Anderstotter, qui elle, promeut le chiffrement et tacle au passage le gouvernement français en objectant que « s'il veut que les citoyens respectent la loi, il ferait bien d'en faire autant » au sujet de la vie privée.

• 100% des réseaux sont compromis (Cisco)
• 50% des sites des collectivités territoriales ne sont pas à jour
• 26% des entreprises ont été victimes d'atteintes à la protection de données (Thalès)
• 63% des RSSI qui affirment que la mobilité accroit les risques de sécurité (Ercom)
• 46% des RSSI ont noté la présence d'incident de sécurité dans la flotte mobile (Ercom)
• La production de données augmente de 50% par an, dont 75% de ces données sont des copies hors de contrôle des émetteur initiaux (ShadLine)

Orange Cyberdéfense annonce son arrivée dans les Hauts-de-France
Stéphane Richard, PDG d’Orange, pourrait dire « Chose promise, chose faite ». En effet, après avoir déclaré en 2016 au FIC, la création d'un pôle d'expertise cyberdéfense, il a cette année, profité du FIC pour inauguré la création de son pôle de cyberdéfense, à côté de Lille, à Lesquin. Après plusieurs rachats afin d'acquérir de la compétence, notamment LEXSI en 2016, Orange s'implante durablement dans la région, 100 postes prévus d'ici la fin 2018. Lille, une ouverture sur l'Europe où Orange Cyberdéfense aimerait bien devenir un acteur majeur !

ACYMA, le dispositif d'assistance aux victimes d'actes de cyber malveillance
Inauguré en grande pompe par Thierry Delville (Délégué ministériel aux Industries de sécurité et à la Lutte contre les cybermenaces), Axelle Lemaire, (secrétaire d'Etat au numérique et à l'Innovation) et Guillaume Poupard (Directeur Général de l'Agence nationale de la sécurité des systèmes d'information) ACYMA (Actions contre la CYberMAlveillance) se veut être le premier CERT grand public pour assister les victimes via une plateforme en ligne en les mettant en relation avec des professionnels de proximité. La plateforme veut mener des opérations de sensibilisation à l'instar de ce que fait déjà la sécurité routière. Elle créé aussi un observatoire du risque numérique dont les missions seront de rendre compte et d'anticiper les menaces du monde numérique. ACYMA s'adresse aux particuliers, entreprises et collectivités territoriales, exception faite des Opérateurs d'Importance Vitale. Cette plateforme est créée avec un statut de Groupement d'Intérêt Public et a comme gouvernance l'ANSSI, 3 ministères (Finances, Justice et Intérieur) et 3 collèges (Utilisateurs, Prestataires et Offreurs de solutions).

L'ANSSI labellise 26 formations SecNumEdu
Le label SecNumEdu identifie les formations dans le domaine de la sécurité du numérique et répond à une charte et des critères définis par l'ANSSI. Il vise à améliorer le référencement des formations en sécurité du numérique par la mise en place d'un processus qui éprouve et garantit la pertinence de la formation par rapport à ses objectifs afin d'en apporter l'assurance aux étudiants et aux entreprises d'un gage de formation de spécialisation en sécurité du numérique. La liste complète des formations labellisées est disponible ici.

L'association Le Cercle des Femmes de la CYberSécurité (CEFCYS)
L'association a quatre missions:

• Mettre en avant les femmes travaillant dans le domaine de la cybersécurité
• Encourager les femmes à développer en continu leurs compétences y compris par des réunions avec des expert(e)s
• Réaliser la cartographie des compétences des femmes travaillant dans la cybersécurité
• Organiser des événements sociaux et des conférences destinées aux femmes dans le domaine de la cybersécurité

Leur site web:http://cefcys.com/

Association des Réservistes du Chiffre et de la Sécurité de l'Information (ARCSI)
L'association qui comprend quelques éminents spécialistes du chiffre articule son action autour de plusieurs axes dont voici ci-dessous les principaux:

• Approfondir et diffuser la connaissance historique du domaine et en assurer la pérennité.
• Permettre à chacun de tenir à jour et de perfectionner ses connaissances en cryptographie et en sécurité des systèmes d'information.
• Examiner les impacts sociologiques et les implications juridiques des évolutions techniques.
• S'exprimer, le cas échéant, sur les questions touchant à son domaine.

Leur site web: http://www.arcsi.fr/
La société Cellebrite, qui, quelques semaines après avoir été visée par une grosse brèche de sécurité impliquant bon nombre de ses clients étatiques dans une divulgation de données de 900 Go, était tout de même présente au FIC. À propos des solutions proposées, une a particulièrement retenu mon attention, il s'agit de UFED Cloud Analyzer, qui promet, du moins sur la plaquette, de permettre l'accès à nos dispositifs et nos données dans les nuages privées, en faisant fi des formalités administratives.
Malgré des déconvenues, le FIC reste une bonne expérience, même si le côté commercial commence à détériorer l'esprit initial. Mais le FIC, c'est aussi l'occasion d'échanger, de découvrir des entreprises et des personnes que ce soit dans le forum ou encore autour d'une flàmmeküeche et de bières.

A l'année prochaine !