Troisième et dernière partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:51) - Le règlement d'exécution relatif aux entités et réseaux

(02:05) - Le problème des attaques de supply chain - Exemple de l’affaire SolarWinds

(04:00) - “REX NIS2”, qui est concerné ?

(07:49) - 10 mesures opérationnelles + le premier exemple

(11:10) - Deuxième exemple : Politique de gestion des risques

(14:01) - L'obligation de notifier

(16:35) - La mise en conformité des prestataires critiques + Sanctions et responsabilités

(19:57) - Le discours de l’ANSSI vs ce que les entreprises ont entendues (la stratégie du contournement)

(22:48) - Une petite conclusion

(26:00) - ”Faut-il diluer NIS2 dans du vin blanc?” La réalité du discours. Nos dirigeants, sont-ils préparés à ce chantier ?

(31:26) - À propos de la documentation

(33:57) - Liens utiles

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:30) - NIS2, c’est pour quand ? + Est-ce aux entités régulées de mettre leurs prestataires au carré ?

(05:45) - Quel calendrier de transposition en France ?

(07:21) - Le projet de décret ANSSI, 42 pages, 20 mesures techniques très détaillés + résumé de ces mesures + Mesures 1 à 10

(18:23) - Mesures 11 à 20

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:19) - Marc-Antoine se présente (Avocat dans la cyber + Contributeur à NoLimitSecu)

(04:35) - Podcast différent aujourd’hui, le support visuel complémentaire + L'anecdote derrière les slides en dessin (et les images en général) utilisés par Marc-Antoine

(07:52) - Rapide retour sur NIS1, pourquoi ça échoué, et pourquoi NIS2 serait donc un succès sachant que le périmètre est beaucoup plus large

(11:16) - Pourquoi en sommes nous où nous sommes aujourd’hui ?

(14:58) - L’autre problème quand il y a une nouvelle loi obligatoire en France : le réflexe de la stratégie du contournement + le “Pipo Bingo” tenu par Marc-Antoine et sa collaboratrice

(17:15) - Le changement de stratégie de l’EU

(21:38) - Le concept de NIS2 + l’aspect de documentation

(26:56) - Les 3 piliers indissociables

(28:13) - (Slides 32 à 34) Qui sont les entreprises concernées par NIS2 ?

(29:47) - Pour comprendre le nombre d’entreprises concernées par NIS2 : les deux problèmes de NIS1

(32:28) - (Slide 36) Comprendre NIS2 - Les secteurs hautement critiques (annexe I), les autres secteurs critiques (annexe II)

(36:03) - Le principe de l’auto-désignation

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:51) - Mythe 1 : “J’utilise des partenaires certifiés PCI DSS, donc je suis certifié PCI DSS”

(03:04) - Quand un partenaire est certifié PCI DSS il faut comprendre sur quel périmètre

(05:45) - Il y a 2 types de partenaires : des prestataires certifiés PCI DSS, des prestataires qui ne le sont pas

(08:09) - Mythe 2 : “La PCI DSS ne se résume qu'à de la technique”

Parcours d’obtention de la certification :

(10:28) - 1/ Comment se mettre en conformité et les 2 questions à se poser à cette étape. Le CDE, etc

(12:19) - Un moyen de diminuer le périmètre de certification

(13:08) - Analyse d'écart (gap analysis)

(14:10) - 2 / Comment obtenir la certification, comment celle-ci se déroule

(16:38) - L’aspect du renouvellement et l’importance pour une entreprise de maintenir sa certification

(19:03) - La problématique de trouver un juste-milieu entre le niveau de sécurité requis par la norme et le niveau de sécurité cohérent en rapport à ses activités, sans que cela ne perturbe la productivité

(21:24) - Les aspects de l’assurance et des responsabilités en cas de compromission de cartes bancaires

(23:47) - Il est important d’avoir un vrai sponsor en interne pour mobiliser toutes les équipes, pour s’assurer d’obtenir le renouvellement de sa certification

(25:14) - La PCI DSS et sa relation avec les autres normes PCI

(28:46) - Le mot de la fin de Kévin

(30:26) - La PCI DSS n’est pas une exigence réglementaire, c’est une exigence contractuelle

✴️ Retrouver Kévin DEJOUR

LinkedIn : https://bit.ly/3CzUCj7

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:06) - La force de l'expérience de Kévin, qui avait été audité sur l'aspect PCI DSS quand il était RSSI et qui maintenant est auditeur PCI DSS.

(02:44) - Où se place la PCI DSS en termes de difficulté d’obtention.

(04:29) - L’obtention de la PCI DSS n’est pas liée à l'appréciation de l’auditeur + ce qui en fait son avantage.

(06:28) - Les concepts de base de la PCI DSS. Pourquoi elle a été créée, pour quels acteurs, etc. Les programmes de sécurité des schemes (Visa, Mastercard, etc).

(09:10) - Selon Kévin, pourquoi le nombre de transactions par niveau est différent selon les schemes (ex: Visa, 6M pour le niveau 1, alors qu'AMEX c'est 2.5M).

(11:13) - La PCI DSS, les 2 types d'entités qui se font auditer: les fournisseurs des services et les commerçants. Les distinctions à faire.

(13:26) - Les différences principales entre le niveau 1 et les autres niveaux.

(15:40) - Kévin démystifie le jargon principal associé (ROC, SAQ, PAN, etc).

(19:30) - Les principaux chapitres de la PCI DSS (parmi les 12).

(23:39) - De son expérience d'auditeur PCI DSS : les principales raisons pour lesquelles une certification n'est pas obtenue par une entreprise

(27:01) - Les quatre occurrences de scan dans l'année. L’obtention de la certification, et son renouvellement.

(28:07) - Être certifié PCI DSS, comment (si c'est le cas), cela influe sur la sélection des outils de sécurité.

(30:12) - Les nouveautés de la PCI DSS v4.0.

(33:41) - L'un des changements les plus compliqués de la PCI DSS v4.0

(34:53) - La deuxième nouveauté qui s’applique aussi au ecommerce: des tests de sécurité pour détecter l’insertion de skimmers dans une page de paiement.

✴️ Retrouver Kévin DEJOUR

LinkedIn : https://bit.ly/3CzUCj7

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:47) - Établir un programme de quantification : les étapes à court terme et à long terme.

(07:29) - Les synergies entre les méthodes FAIR & EBIOS RM.

(12:15) - Quand utiliser FAIR vs quand utiliser EBIOS RM.

(15:15) - Comment maintenir son programme de quantification.

(18:33) - Les problématiques de cohérence.

(21:38) - Appel d’offres : comment choisir le bon acteur.

(25:33) - Réconcilier le risque, et la mesure de sécurité associée.

(30:08) - L’approche personnelle de Matthias, qui valorise les données de CTI et de sécurité opérationnelle dans les modèles de risque.

(33:53) - Les 2 messages de Matthias.

✴️ Retrouver Matthias POUYANNE

LinkedIn : https://bit.ly/3AMUSun

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:50) - Matthias se présente

(04:08) - Les origines & l'histoire de la quantification cyber + à ce dont ce sujet va servir au cours des prochaines années

(07:18) - Quand le risque a évolué plus rapidement que les mesures de sécurité mises en place

(10:33) - Personas : qui peut et/ou devrait être inclus dans ce sujet ? le DAF, le CISO, le Risk Manager ?

(13:00) - Les autres métriques (autres que financières) associées & utilisées

(16:29) - L’un des cas d’utilisations: la négociation de la police d’assurance

(21:19) - La validité temporelle d’une quantification à travers la méthode FAIR. Les métriques utilisées dans cette méthode

(24:17) - Quelles autres méthodes similaires à FAIR?

(26:17) - Une deuxième alternative à FAIR

(27:44) - Quelle maturité est nécessaire ? À quel type d’entreprise s’adresse la méthode FAIR? + la principale value ajoutée pour les entreprises qui manquent de maturité

(31:53) - La quantification sera bientôt un sujet de conformité

✴️ Retrouver Matthias POUYANNE

LinkedIn : https://bit.ly/3AMUSun

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Michael

Seconde partie de mon échange avec Lucie POIRAUD, RSSI Opérationnelle chez le Groupe Atlantic.

👉 possible décalage de +/- 10 secondes des timestamps selon la plateforme d'écoute

✅ CONTENU✅

(00:52) - Début du podcast + certes, même si subir une cyberattaque est une expérience négative, peut-elle être mise en avant lors de sa candidature pour de futurs rôles ?

(03:52) - Dans la crise, on découvre des personnalités (des champion(e)s, des gens qui ont envie d’aider, etc)

(06:32) - Il y’a très peu d’outils pour comprendre et pour évaluer les dommages d'une cyberattaque sur les salariés. Quel accompagnement avait été fait chez le Groupe Atlantic ?

(09:09) - Les quicks wins qui ont été mises en place + les recommandations de Lucie

(12:55) - Post cyberattaque: les actions de sensibilisation qui ont été mises en place

(22:51) - Les podcasts en interne, un autre canal de communication important + la participation de Lucie à ce premier podcast interne chez le Groupe Atlantic

(24:41) - Le mot de la fin

✴️ Retrouver Lucie POIRAUD

LinkedIn : https://bit.ly/3VjNlLf

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉ma newsletter (gratuite) : https://bit.ly/3EDGBg3 🔥

👉laissez votre avis via mon site 💎 : https://bit.ly/3k4cKp4

Michael