Write a Blog >>
Wed 17 Nov 2021 11:00 - 11:20 at Grand Auditorium - Security Analysis Chair(s): Gurvan LE GUERNIC

Les approches pour sécuriser un système se sont longtemps organisées en deux camps. Le premier camp privilégiait une étude de la conformité vis-à-vis de référentiels génériques. L’autre camp privilégiait l’étude exhaustive de scénarios de risque en tant qu’outil support à la prise de toute décision de sécurisation. Cependant, ces approches ont montré leurs limites. L’étude par conformité est simple, mais ne colle pas forcément aux besoins et enjeux. L’étude par scénarios est exhaustive et spécifique, mais laborieuse, pour au final proposer un bon nombre de mesures de sécurité classiques. Suite à ce constat, des approches hybrides sont apparues : d’abord une étape de sécurisation par conformité, plus ou moins ad-hoc, propice à une certaine automatisation, puis une étape d’analyse par scénarios, manuelle et à dire d’expert, pour compléter le socle de mesures, si nécessaire. Ces approches hybrides rebattent les cartes d’un point de vue sociétal et d’organisation du travail. Les ingénieurs et architectes généralistes prennent l’initiative sur certaines activités de cybersécurité, libérant de fait du temps pour les experts, qui peuvent se concentrer sur des activités à haute valeur ajoutée. Cependant, le premier niveau de sécurisation par conformité reste une opération globalement mal maîtrisée qu’une automatisation pourrait simplifier. Ce papier effectue une revue critique des normes et standards actuels qui proposent cette approche hybride. Il explique notamment les fondements et les automatismes à la base de la détermination d’un socle de sécurité pour sécuriser, par conformité, au juste besoin, et en fonction des enjeux.

For a long time, there have been two main approaches to securing a system or organisation. On the one hand, compliance with respect to generic security baselines, and on the other, exhaustive risk scenarios studies. However, these approaches have shown their limits, and thus, hybrid approaches have appeared. These hybrid approaches recommend first a step of securing by compliance, more or less ad hoc, conducive to a certain automation, then a step of scenario analysis, manual and based on expert judgement. These hybrid approaches reshuffle the cards from a societal and work organisation point of view, but the first step remains an operation that is still poorly controlled. This paper performs a critical review of the current norms and standards that propose this hybrid approach. It explains the fundamentals and the automatic mechanisms underlying the determination of a security baseline to secure, by compliance, in line with the needs and stakes.

Wed 17 Nov

Displayed time zone: Brussels, Copenhagen, Madrid, Paris change

11:00 - 12:00
Security AnalysisCall for Papers at Grand Auditorium
Chair(s): Gurvan LE GUERNIC DGA MI & Université de Rennes 1
11:00
20m
Talk
Systématisation d’une démarche de sécurisation par conformité ajustée aux besoins et enjeux de sécurité – une revue critique // A critical review of approaches to securing proportionally to the needs and stakes – with automation considerations
Call for Papers
Stephane Paul Thales Research and Technology, Nicolas Van Cauter Thales SIX GTS France, Paul Varela Thales SIX GTS France, Simon Leboeuf Thales Services Numériques, Michael Catroux Thales Services Numériques
Media Attached
11:20
20m
Talk
Automation of risk-based vulnerability management based on a cyber kill chain model
Call for Papers
Paul Varela Thales SIX GTS France, Alexis Ulliac Thales SIX GTS France, Jean-Luc Simoni Thales SIX GTS France, Thomas Massip Thales SIX GTS France, Thomas Devaux Thales SIX GTS France
Media Attached
11:40
10m
Day closing
Closing by the General Chair
Call for Papers
Gurvan LE GUERNIC DGA MI & Université de Rennes 1
Media Attached
11:50
10m
Day closing
Official Closing
Call for Papers