TakTak by phospho
Checkout the phospho AI powered robots
J'ai fait plusieurs appels cette semaine, peux-tu me faire un résumé?
Peux-tu résumer le texte suivant: Présentation: • Ingénieur cyber passé par l’EFREI • Current job: administrateur système DGA • Past jobs: o SOC Analyste N1 Advens o SOC Analyste N2 ITrust Impression générale: Guilhem est enjoué par l’idée. Nous explique que les pen tests sont chiant ajd car il s’agit plus de faire de la paperasse que de bosser sur le côté technique (écrire rapport et lancer script). Rend attrayant les pen test. Mais d’un POV technique permet aussi de dvp des outils d’attaques intéressants. Résumé non structuré: Aujourd’hui des scripts automatisant les pentest existent. Mais ce sont des scripts généraux qui ne permettent pas de créer des règles de détection ou de fine tuner les modèles avec les CVE. Ce qui pourrait être vraiment différenciant, c’est de faire du bug bounty et découvrir de nouvelles failles. Le bug bounty rapporte de l’argent, puisque les entreprises payent les organismes qui trouvent des failles dans leur système. Il lui semble qu’utiliser une IA pour automatiser les pentest serait plus difficile, car l’audit d’entreprise / des systèmes de l’état, est un processus très encadré avec beaucoup de règles ce qui rend le métier compliqué. Les entreprises veulent savoir ce qui se passe L’intérêt du bug bounty est qu’il ne s’agit pas uniquement de trouver des CVE. Les entreprises privées mettent à disposition leurs systèmes, pour qu’on puisse les bouriner. La découverte de zero day, est elle plus délicate: elle pose des problèmes éthiques car plusieurs acteurs étatiques mais aussi malveillants, sont prêt à payer pour découvrir ces failles. Enfin, Guilhem nous explique qu’aujourd’hui les pens tests sont boudés par les ingénieurs cybers, car trop procéduriers et demandant d’écrire des rapports/lancer des scripts, plutôt que d’être sur le côté technique. Chief Risk officer and Founder of STOIK (Acteur de l’assurance spécialisé sur le risque cyber à destination des PME et ETI en Europe) Contact de Pierre de la GrandRive Parcours X16 qui fait son stage 3A chez Wavestone, passe la certification cyber OSCP pendant sa césure et fait sa 4A au Master MVA. Stoïk Stoïk est une assurance spécialisée sur le risque cyber à destination des PME/ETI. Sont sur le point d’annoncer leur Série B de 50M€ L’assurance couvre: • Les pertes d’exploitation et les réclamations • La prévention des risques cyber (pour limiter leur fréquence) ainsi que l’intervention o Cette prévention est automatisée. Elle consiste en scans de vulnérabilité et campagnes de phishing o Powershell script to automate Active Directory scan o Un partenariat avec crowdstrike a récemment été signé pour son produit d’EDR (Endpoint Detection and Response) o L’intervention post-détection est gérée par l’équipe interne Discussions • Difficile de recruter des ingénieurs cyber qualifiés? o Premiers recrutements difficiles puis cela devient facile o Les équipes d’intervention (réponse incident) dans les cabinets de conseils ne prennent pas en main la gestion de l’incident → Travail peu excitant, passent 20/30% de leur temps à écrire des rapports o Chez Stoïk, les équipes vont parfois chez le client pour gérer les incidents et ont une véritable valeur ajoutée car les ingénieurs cyber des PME ne sont pas super qualifiés • Quels types d’incidents? o En fréquence: compromission de boite mail o En gravité: ransomware • Avis sur Pyrrha o Danger si le modèle peut faire ce qu’il veut et peut modifier l’AD client o Ce qui sera clé est le taux de précision du modèle o Le pentest est un gros marché et plusieurs acteurs ont essayé d’automatiser ces processus avec peu de succès (avant progrès techniques IA) o “La défense est pas mal automatisée avec l’EDR mais l’attaque est encore très manuelle o Enjeu de confiance: comment créer de la confiance au début → surtout des gros clients avec des paniers moyen-haut o Important d’identifier qui prend les décisions Présentation: A monté une start-up de drones dans la défense et monte une nouvelle boite dans les munitions intelligentes Quand faut-il commencer à parler avec les acteurs de la défense? Les acteurs de la défense aiment quand il y a un MVP fonctionnel, une forme de démonstration. Plus que le produit en lui même, ce qui est clé est la capacité de déployer rapidement le produit et son interopérabilité avec les systèmes existants. De ce fait, Thomas recommande de parler avec les PME qui ont des technologies dual-use (après NDA). Le besoin doit driver les discussions: parler avec la DGA quand on a besoin de ressources spécifiques ou un produit à leur vendre. Avec qui faut-il parler? Que peux-t-on dire? Les entreprises civiles en connexion avec la défense ou les start-ups qui ont des contacts avec le gouvernement dans le même secteur sont des bons points d’entrée. Importance d’avoir un NDA quand on a avancé sur le projet et de faire des background check (en particulier lien avec des gouvernements étrangers). Acteurs clés: DGA (coordinateur), AID (Agence Innovation Défense), BPI (DefInvest) Conseil de toujours demander 2-3 contacts dans le secteur à la fin du call. La DGA Travailler avec la DGA est un processus long et chiant: il faut être résilient. Attentes: • Est-ce que le produit marche? • L’implémentation est-elle facile/rapide? • Est-ce interopérable avec le reste de l’écosystème Option 1: Le guichet unique • Unique point d’entrée pour travailler avec la DGA → Rien ne sert de reach out avec des gens hauts placés, ils nous redirigeront vers ce guichet • Besoin d’avoir le statut d’entreprise pour candidater au guichet unique • Revue du dossier • Si positif, présentation de 20min du projet avec expert technique et business • Puis entretien téléphonique de 5min avec experts techniques • Puis AID/DGA proposent différentes formes de soutien afin de développer la solution • Définition de spec ops (cahier des charges) o Vont régulièrement update le spec ops o Savoir dire non, ou monétiser ces mises à jour Option 2: Travailler avec un gros acteur de la défense • Grosses entreprises dans l’obligation légale de bosser avec des start-ups et PME • Discussion avec grosse entreprise lorsqu’on a un début de produit • Co-développement sur des parties isolées du système (pas le système complet) • Ces gros acteurs ont déjà des contrats avec la DGA. Si la solution plait, la DGA vient directement nous parler • Tests terrains jusqu’à satisfaction du Spec ops de la DGA • Test en situation réelle Point d’attention: lors de partenariat, bien penser au label gris (ie obliger l’entreprise partenaire à mettre nom sur les documents pour qu’on évite de se faire effacer) La DGSE/DGSI Discussion plus tardive car besoin d’être habilité secret défense. Discussion uniquement une fois que nous avons une solution aboutie, car veulent être certains qu’elle fonctionne. Il n’y a pas de moyen de les contacter, la DGSE nous contacte si elle a un intérêt pour le produit. Le pricing Analyse des solutions existantes, choix d’un positionnement (premium/base value) qui va influencer les volumes commandés. Négociation: la DGA veut faire fonctionner l’écosystème, il ne faut donc pas voir peur de faire des marges. S’il n’y a pas de négociations c’est que le prix demandé était trop bas. Ne pas hésiter à être fermes. Présentation: X16 qui a fait des maths fonda, puis une thèse. Décide de quitter l’académique et travaille chez Headmind depuis Novembre 2023. Produits développés par Headmind 1. Modèles spécialisés en cyber - développé Pre-training sur CVE de modèles en open source, pour les fine tuner. Intégration à un chatbot. Outil avec peu de valeur, plus une vitrine du savoir faire. Entrainé au Q1 2024 et est déjà dépassé par les nouveaux modèles généralistes. 1. Homologation automatisée - en cours de dvp Les entreprises de la défense (mais aussi assurance, médical et finance) ont besoin d’homologuer leurs produits (ISO 27001 / 9001) avant de les commercialiser. Processus long qui prend jusqu’à 6 mois. Passage par un acteur homologué (e.g. Veritas ou Headmind). Client fourni le DAT (document d’architecture technique). Le modèle lis le DAT et regarde s’il peut cocher les exigences. Insights • Les cabinets d’audits cyber qui travaillent avec l’état ou entreprises de la défense, n’ont pas le droit d’avoir des clients étrangers. Cela veut dire qu’il faut mettre en silo les différents cabinets d’audits. • La performance de la solution est souvent moins important que l’output. “La présentation de l’output (i.e. le dashboard) est la première chose que le client va regarder” • Choix techniques o One shot // En arrière plan o Dans le cloud // Dans l’environnement client • Possibilité d’accord o Faire payer le POC 1/10 du prix avant le développement o Rendre le POC gratuit contre le dataset Non-trivial insights: •⁠ ⁠Licence Nesus à 5000€/an/siège → permet de scanner des vulnérabilités •⁠ ⁠⁠Il faut passer par l’antenne parisienne pour distribuer un outil à l’ensemble du groupe → Trouver le bon contact à Paris •⁠ ⁠⁠Wavestone n’a pas le temps de dvp de vrais outils en interne •⁠ ⁠⁠L’adoption d’un outil par l’ensemble des entreprises passe surtout par la recommandation et la confiance → Importance d’avoir un premier client qui kiffe l’outil •⁠ ⁠⁠Cabinets d’audits ont de fortes restrictions sur les outils et ont besoin que les données ne transitent pas par le cloud Résumé: • Master à Polytechnique et à l’EPFL • A écrit sa thèse de master sur le design de workflow de pen tests automatisés o En open source (représente 1,5 mois de code) o Sous l’impulsion de Wavestone, cabinet de conseil qu’il a rejoint à Genève (mi-Aout 2024) o L’équipe à Genève est très technique et conduit des audit/pentest Wavestone: • L’équipe de Genève travaille avec des entreprises privées qui lancent de nouveaux produits • La principale motivation des clients est d’obtenir un tampon d’audit cyber par un tiers, plus que par la recherche de failles • De ce fait, les équipes de Wavestone ont des délais qui peuvent être assez courts (1 semaine pour pentest produit avec checklist à dérouler) → Les tests sont super classiques mais ne vont pas en profondeur • Le bureau parisien est bcp plus grand que celui de Genève o Le développement d’outils interne leur ai confié o L’achat de solution tierce part de Paris o Mais dans les faits, les consultants ont peu de temps pour développer des outils en interne • Dans l’équipe de Genève, chacun utilise ses propres outils, en plus de ceux distribués par Paris o Utilisation de Nessus vulnerability scanner par exemple (la licence ne coute que 5000€ o Les outils sont souvent recommandés d’une entreprise à l’autre et la confiance client est clé Nous conseille de parler avec Louis-Marie Marcille qui est au bureau parisien de Wavestone.
Plutôt que me parler des acteurs à qui on a parlé, présente moi les informations sur l'utilisation de l'IA dans la cybersécurité

Questions similaires

Related questions