Cybersécurité All Day

Épisodes disponibles

5 sur 67

NIS2 : c'est quoi, pourquoi, pour qui ? | #63
Première partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:19) - Marc-Antoine se présente (Avocat dans la cyber + Contributeur à NoLimitSecu)(04:35) - Podcast différent aujourd’hui, le support visuel complémentaire + L'anecdote derrière les slides en dessin (et les images en général) utilisés par Marc-Antoine(07:52) - Rapide retour sur NIS1, pourquoi ça échoué, et pourquoi NIS2 serait donc un succès sachant que le périmètre est beaucoup plus large(11:16) - Pourquoi en sommes nous où nous sommes aujourd’hui ?(14:58) - L’autre problème quand il y a une nouvelle loi obligatoire en France : le réflexe de la stratégie du contournement + le “Pipo Bingo” tenu par Marc-Antoine et sa collaboratrice(17:15) - Le changement de stratégie de l’EU(21:38) - Le concept de NIS2 + l’aspect de documentation(26:56) - Les 3 piliers indissociables(28:13) - (Slides 32 à 34) Qui sont les entreprises concernées par NIS2 ?(29:47) - Pour comprendre le nombre d’entreprises concernées par NIS2 : les deux problèmes de NIS1(32:28) - (Slide 36) Comprendre NIS2 - Les secteurs hautement critiques (annexe I), les autres secteurs critiques (annexe II)(36:03) - Le principe de l’auto-désignation✴️ Retrouver Marc-Antoine LEDIEULinkedIn : https://bit.ly/41HFOJz✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber
--------
41:24
PCI DSS - Les mythes & le parcours d’obtention | #62
Seconde partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:51) - Mythe 1 : “J’utilise des partenaires certifiés PCI DSS, donc je suis certifié PCI DSS”(03:04) - Quand un partenaire est certifié PCI DSS il faut comprendre sur quel périmètre (05:45) - Il y a 2 types de partenaires : des prestataires certifiés PCI DSS, des prestataires qui ne le sont pas(08:09) - Mythe 2 : “La PCI DSS ne se résume qu'à de la technique”Parcours d’obtention de la certification : (10:28) - 1/ Comment se mettre en conformité et les 2 questions à se poser à cette étape. Le CDE, etc(12:19) - Un moyen de diminuer le périmètre de certification(13:08) - Analyse d'écart (gap analysis)(14:10) - 2 / Comment obtenir la certification, comment celle-ci se déroule(16:38) - L’aspect du renouvellement et l’importance pour une entreprise de maintenir sa certification (19:03) - La problématique de trouver un juste-milieu entre le niveau de sécurité requis par la norme et le niveau de sécurité cohérent en rapport à ses activités, sans que cela ne perturbe la productivité(21:24) - Les aspects de l’assurance et des responsabilités en cas de compromission de cartes bancaires(23:47) - Il est important d’avoir un vrai sponsor en interne pour mobiliser toutes les équipes, pour s’assurer d’obtenir le renouvellement de sa certification(25:14) - La PCI DSS et sa relation avec les autres normes PCI(28:46) - Le mot de la fin de Kévin(30:26) - La PCI DSS n’est pas une exigence réglementaire, c’est une exigence contractuelle✴️ Retrouver Kévin DEJOURLinkedIn : https://bit.ly/3CzUCj7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber
--------
33:17
Échange avec un ancien RSSI. Aujourd'hui auditeur PCI DSS (QSA) | #61
Première partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(01:06) - La force de l'expérience de Kévin, qui avait été audité sur l'aspect PCI DSS quand il était RSSI et qui maintenant est auditeur PCI DSS.(02:44) - Où se place la PCI DSS en termes de difficulté d’obtention.(04:29) - L’obtention de la PCI DSS n’est pas liée à l'appréciation de l’auditeur + ce qui en fait son avantage.(06:28) - Les concepts de base de la PCI DSS. Pourquoi elle a été créée, pour quels acteurs, etc. Les programmes de sécurité des schemes (Visa, Mastercard, etc).(09:10) - Selon Kévin, pourquoi le nombre de transactions par niveau est différent selon les schemes (ex: Visa, 6M pour le niveau 1, alors qu'AMEX c'est 2.5M).(11:13) - La PCI DSS, les 2 types d'entités qui se font auditer: les fournisseurs des services et les commerçants. Les distinctions à faire.(13:26) - Les différences principales entre le niveau 1 et les autres niveaux.(15:40) - Kévin démystifie le jargon principal associé (ROC, SAQ, PAN, etc).(19:30) - Les principaux chapitres de la PCI DSS (parmi les 12).(23:39) - De son expérience d'auditeur PCI DSS : les principales raisons pour lesquelles une certification n'est pas obtenue par une entreprise(27:01) - Les quatre occurrences de scan dans l'année. L’obtention de la certification, et son renouvellement.(28:07) - Être certifié PCI DSS, comment (si c'est le cas), cela influe sur la sélection des outils de sécurité.(30:12) - Les nouveautés de la PCI DSS v4.0.(33:41) - L'un des changements les plus compliqués de la PCI DSS v4.0(34:53) - La deuxième nouveauté qui s’applique aussi au ecommerce: des tests de sécurité pour détecter l’insertion de skimmers dans une page de paiement.✴️ Retrouver Kévin DEJOURLinkedIn : https://bit.ly/3CzUCj7✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber
--------
36:18
Quantification des risques cyber : comment commencer ? | #60
Seconde partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:47) - Établir un programme de quantification : les étapes à court terme et à long terme.(07:29) - Les synergies entre les méthodes FAIR & EBIOS RM.(12:15) - Quand utiliser FAIR vs quand utiliser EBIOS RM.(15:15) - Comment maintenir son programme de quantification.(18:33) - Les problématiques de cohérence.(21:38) - Appel d’offres : comment choisir le bon acteur.(25:33) - Réconcilier le risque, et la mesure de sécurité associée.(30:08) - L’approche personnelle de Matthias, qui valorise les données de CTI et de sécurité opérationnelle dans les modèles de risque.(33:53) - Les 2 messages de Matthias.✴️ Retrouver Matthias POUYANNELinkedIn : https://bit.ly/3AMUSun✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉 laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMerciMichael VIRGONECréateur du Podcast & Commercial dans la cyber
--------
38:25
Quantifier un risque cyber pour mesurer son exposition financière | #59
Première partie de mon échange avec Matthias Pouyanne, consultant indépendant et spécialiste français de la quantification du risque cyber.👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute✅ CONTENU ✅(00:50) - Matthias se présente(04:08) - Les origines & l'histoire de la quantification cyber + à ce dont ce sujet va servir au cours des prochaines années(07:18) - Quand le risque a évolué plus rapidement que les mesures de sécurité mises en place(10:33) - Personas : qui peut et/ou devrait être inclus dans ce sujet ? le DAF, le CISO, le Risk Manager ?(13:00) - Les autres métriques (autres que financières) associées & utilisées (16:29) - L’un des cas d’utilisations: la négociation de la police d’assurance(21:19) - La validité temporelle d’une quantification à travers la méthode FAIR. Les métriques utilisées dans cette méthode(24:17) - Quelles autres méthodes similaires à FAIR?(26:17) - Une deuxième alternative à FAIR(27:44) - Quelle maturité est nécessaire ? À quel type d’entreprise s’adresse la méthode FAIR? + la principale value ajoutée pour les entreprises qui manquent de maturité(31:53) - La quantification sera bientôt un sujet de conformité✴️ Retrouver Matthias POUYANNELinkedIn : https://bit.ly/3AMUSun✴️ Me retrouverLinkedIn : https://bit.ly/Michael-VirgoneSite web : https://www.cybersecuriteallday.fr/Email: [email protected]⏩ Si vous avez aimé le contenu de cet épisode :👉laissez votre avis via mon site, sur Spotify ou sur Apple PodcastMichael
--------
34:25

Plus de podcasts Technologies

Podcasts tendance de Technologies

À propos de Cybersécurité All Day

Podcast francophone de vulgarisation des sujets de la cybersécurité, dans une ambiance décontractée. Animé par Michael VIRGONE, commercial et passionné de cyber depuis plusieurs années

Site web du podcast