Le programme La keynote La masterclass La conférence de clôture
Les commissions Les meet-ups Le comité de pilotage
Les partenaires de l'édition 2021
Le programme
Une journée intense et riche en contenus : des tables rondes, des commissions sectorielles et des meet-ups.
Les Tables rondes
Les tables rondes ont pour objectif de faire un point sur les problématiques du secteur et de définir les grands axes de travail qui seront abordés en commission.
Les commissions
Les commissions sont l'occasion pour les participants d'échanger par sessions de travail sur des thématiques transverses telles que : la data protection, le cyber-contexte, les tendances technologiques, la conformité-régulation-réglementation ou encore la gestion des fournisseurs. Les participants délivrent leur vision concrète sur ces sujets. Le fruit de la réflexion de chaque commission fait l'objet d'une synthèse, présentée le mercredi matin de l'ouverture des Assises et mise à disposition sous forme de fiches récapitulatives.
1) Réglementation, souveraineté… Quel contexte national et international pour demain ?
Présidents : Philippe Loudenot Délégué cyber sécurité, Conseil Régional des Pays de la Loire et Sébastien Bombal, Directeur technique au Ministère de l'Economie, des Finances et de la Relance
Modératrice : Mélanie Benard-Crozat, Journaliste. Directrice de la rédaction de S&D magazine
Face à un sujet extrêmement complexe, le travail de la commission s’articulera autour de trois temps forts :
Un bilan 2020–21
- des évolutions réglementaires et normatives
- des initiatives nationales et internationales en matière de cybersécurité et de souveraineté numérique
Une restitution qui s’appuiera sur un questionnaire envoyé en amont à tous les participants.
Un débat qui devra répondre à différentes intrrogations :
- Avons-nous les bons outils de normalisation ?
- Quelles sont les instances de contrôle pour ces initiatives ?
- Quelle est l’efficacité des actions ?
2) La résilience des organisations face aux nouvelles crises.
Présidents : Patrick Menez Deputy Group CSO Axa et Stéphane Tournadre Directeur Sécurité SI Servier
Modératrice Caroline Moulin-Schwartz, Conférencière et Déléguée Technique du CRiP
Alors que la criminalité et les conflits géopolitiques se déportent dans le cyber, il n’a jamais été autant difficile d’imaginer les crises à venir. Et pourtant, nos gouvernements se préparent activement à de nouvelles formes de guerre. Mais qu’en est-il du côté de nos organisations ? Comment se préparer à vivre dans un système où la menace sera permanente ? Comment apprendre à gérer des crises qui vont devenir complexes et multifactorielles ? Au-delà de la gestion de crise cyber, nous devons nous préparer à de nouvelles formes de résilience. C’est à cet exercice de prospective que nous travaillerons lors du prochain Before. Un exercice qui nous permettra de co-construire de nouveaux systèmes résilients qui intègrent la notion de crise systémique.
3) Quand la géopolitique s’invite dans la cyber, quand des affrontements entre états pèsent sur la sécurité des entreprises, comment appréhender ces nouveaux risques et les intégrer dans la définition d’une stratégie SI ?
Présidents : Fabrice Bru Directeur Cybersécurité ,"Groupement Les Mousquetaires" et Administrateur du CESIN et Dominique Guiffard Group CTO, Savencia
Modérateur : Jérôme SAIZ Consultant, Opfor Intelligence
Les contextes géopolitiques nous ont habitué aux guerres économiques, culturelles, industrielles et politiques. Nous constatons que ces guerres s’étendent de plus en plus sur le terrain du numérique.
Ainsi, nous pouvons devenir des victimes collatérales en utilisant des services numériques qui peuvent être la cible ou l’arme de conflits géopolitiques entre nations (ex. SolarWind). En outre, nous sommes challengés à mettre en œuvre une stratégie SI globale long terme, en tenant compte des contextes réglementaires nationaux variés voire contradictoires. Aujourd’hui nous sommes désarmés. La géopolitique n’est pas toujours un risque pris en compte par les RSSI. Ils sont parfois ignorants des approches culturelles et politiques des pays où œuvrent leur entreprise. Les questions suivantes peuvent se poser :
- Comment suivre les évolutions de la situation géopolitique afin d’adapter les stratégies SI et SSI ?
- Doit-on d’avantage prendre en considération les contextes géopolitiques dans nos projets, dans nos plans stratégiques ?
- Doit-on prévoir des formations « culturelles, ethniques, politiques et religieuses » quand on travaille désormais à l’international adaptées à l’univers du numérique ?
- Si les infrastructures de nos fournisseurs stratégiques (Microsoft, Google, AWS, …) font l’objet d’attaques importantes, faisons-nous partis des clients à « sacrifier » ? Quels sont les impacts dans notre stratégie de résilience ? Pouvons-nous devenir des pions sur l’échiquier de la guerre numérique entre états (ex. Stuxnet) ? Comment identifier les acteurs et les parties prenantes ?
Nous vous proposons de partager vos expériences, témoignages, réflexions sur un nouveau sujet, inattendu mais qui est devenu de plus en plus prégnant, que l’on doit prendre en compte dans nos choix et analyses de risques.
4) Entreprise étendue : Comment développer la confiance au sein de son écosystème ?
Présidents : Thierry Auger Corporate CIO & Group CISO, Lagardère et Olivier Ligneul Directeur Cybersécurité , Groupe EDF
Modératrice Cécile Desjardins, Journaliste
L’entreprise étendue est devenue un véritable écosystème constitué de partenaires, de fournisseurs, d’indépendants etc mais aussi d’outils et d'applications, de plus en plus portés par le cloud. Accélérés par la pandémie, la Digitalisation et le travail à distance nous conduisent aujourd’hui à prendre conscience de la nécessité de développer la confiance et d'orchestrer dans les règles l’administration, la sécurité, la conformité, la surveillance de cet écosystème…
- Quels sont les challenges ?
- Quelles transformations faut-il opérer ?
- Faut-il un ajustement rapide des réglementations applicables aux uns et aux autres et donc y travailler avec les autorités compétentes ?
- Avons-nous besoin d’un Chief Ecosystem Officer ? Quelle serait sa mission et quels seraient ses outils ?
5) L’écosystème innovant de la cybertech : Décryptons-le ensemble !
Présidents : Malika Pastor Directrice des Systèmes d'information et du Numérique, Groupe Colliers et Cyrille Tesser Directeur investigation numérique légale, Groupe La Poste
Modératrice : Annick Rimlinger, Directrice Sûreté-Sécurité, Cyber & Data Protection, Groupe Aema
Cette commission se propose d’aborder quatre grands axes de réflexion :
- Les TENDANCES TECHNO SMART & STRATEGIQUES : Quelles innovations émergentes en CyberTech à surveiller pour sa CyberProtection et pour transformer son SI étendu ?
- NORMES /LABELS / CERTIFICATION : Lesquels pour répondre aux contraintes légales & pour respecter les conformités réglementaires (et essentiellement à la sécurité des données) ?
- Les ACTEURS CLES / CERCLE DE L’INNOVATION CYBERSEC : Quelle est la place des partenaires Cyber pour garantir cette confiance numérique ? (Startup ; Campus Cyber ; CyberDéfense Factory…)
- LES NOUVELLES COMPETENCES CYBERSEC (l’émergence) : Qui dit nouvelles technologies /émergentes dit nouvelles méthodologies dit nouvelles compétences mais aussi nouveaux comportements ?
Les meet-ups
Les meet-ups sont des animations en petit comité proposées par des avocats et des experts. Ils abordent des points réglementaires ou légaux de manière très pratique.
"Le risque de corruption : Prévention, détection, sanctions"
- Animé par Garance Mathias, Avocate au Barreau de Paris, Cabinet Mathias Avocats
En attendant les propositions de loi de refonte de la loi Sapin 2, des lanceurs d’alerte :
- Vers le renforcement des obligations anti-corruption
- Vers un encadrement du lobbying
- Vers une haute autorité pour la probité
Comment anticiper ces nouveaux risques ? Quelle démarche de conformité entreprendre ?
"IA , entreprises et droit"
- Animé par Myriam Quemener, Avocat Général, Cours d’appel de Paris, spécialisée en droit numérique
L’intelligence artificielle en déployant des algorithmes performants peut être une aide pour les entreprises mais en même temps elle fait naître de légitimes interrogations.
Aujourd’hui, les plateformes juridiques, les LegalTech par exemple proposent aux entreprises des solutions numériques fiables et des outils informatiques de pointe.
Grâce à l'IA en temps réel et l'automatisation intelligente, les prises de décision et la productivité des entreprises peuvent être améliorées. Cependant, le recours à l’IA et donc aux algorithmes ne peut se faire sans réflexion préalable .En effet, la plupart des produits et services digitaux innovants reposant désormais sur des algorithmes, c’est bien la confiance dans les traitements algorithmiques des données des consommateurs qui constitue un enjeu stratégique majeur. Cette confiance s’instaure en développant une démarche d’algorithmes responsables « by design », qui suppose pour les entreprises d’intégrer des critères éthiques.
Le meet up pourra aborder notamment :
- Les enjeux de l’IA pour l’entreprise : entre méfiance ( les risques de biais) et confiance
- Les exemples d’application de l’IA
- Quelle stratégie à mettre en place pour une IA responsable
- Construire une feuille de route IA
"Le traitement des vulnérabilités en 2021 : espoir ou désespoir ?"
- Animé par Jean-Marc Boursat, Group Enterprise CSO, TotalEnergies, Administrateur du Clusif
Le volume de publication sur des vulnérabilités est en constante augmentation et le pourcentage de vulnérabilités critiques augmente aussi : les équipes IT doivent donc appliquer de plus en plus de correctifs dans des délais de plus en plus court. Quelles sont les armes du RSSI face à ce combat qui semble perdu d’avance ?
L’objectif de l’atelier est de partager nos constats et nos difficultés à traiter les vulnérabilités en 2021 et d’échanger sur les bonnes pratiques ou les solutions qui permettent de s’en sortir. Les participants auront à répondre à des questions sur la stratégie de traitement de vulnérabilités : Faut il la faire évoluer ? Faut il changer la politique de sécurité face à d’évolution du contexte ? Le partage des responsabilités : Comment responsabiliser les parties prenantes ? Comment sensibiliser les métiers et les utilisateurs sur le sujet des vulnérabilités ?
Le pilotage de la remédiation : Comment éviter la surcharge des équipes ? Comment industrialiser le process et quelles sont les conditions à remplir pour réussir ? D’autres questions pourront bien sûr être débattues sur ce vaste sujet.
"Cartographie des risques : Première étape majeure de la gestion des risques"
- Animé par Helène Dubillot, Directrice du Pôle Scientifique de l’AMRAE
Attaques informatiques, défaillance de la supply chain, catastrophes naturelles entravant la continuité d'activité, mais aussi renforcement de l'environnement règlementaire ou volatilité des devises, ou des matières premières constituent autant de sources d’incertitudes pouvant peser sur la réalisation des objectifs de performance et de rentabilité des entreprises. Dans un monde de plus en plus incertain et complexe, la connaissance des risques et des moyens de maîtrise de ceux-ci est une donnée essentielle à la performance des entreprises. Le Risk Management devient plus que jamais le socle de l’entreprise responsable.
Cela suppose, pour les entreprises de mettre en place un dispositif, animé par un membre de l’organisation et de définir, avec son Conseil d’administration/surveillance, une politique propre d’appétence au risque et de gestion des risques. La réalisation d’une cartographie, qui va formaliser et hiérarchiser les risques majeurs, est une première étape. Ce meet-up aura pour vocation de présenter cet outil phare de la gestion des risques et de voir son évolution dans le temps
Cyberassurance : que fait-on de vos données ?
- Animé par Sébastien Héon, Deputy Chief Underwriting Officer at SCOR
Vous êtes-vous déjà demandé ce que deviennent les informations que vous fournissez aux assureurs ? Chaque année, les RSSI présentent la cybersécurité de leur entreprise à un panel d’assureurs. Comment ces informations sont-elles utilisées ? Sont-elles de trop haut niveau ou au contraire trop techniques ? Quels sont les sujets essentiels ?
Cet atelier vise à échanger sur ce dialogue annuel entre assurés et assureurs et à identifier des pistes d’améliorations.
Partager l’information : pourquoi ? Comment ?
- Animé par Eric Doyen et Didier Gras, Trésorier er Administrateur du Cesin
L’accroissement du volume d’incidents Cyber, de leurs impacts et de la complexité de certaines attaques démontrent l’importance du partage d’informations au sein de notre communauté Cyber.
Dans un univers interconnecté accru, nos entreprises assurent en même temps un rôle de partenaire, de fournisseur ET de client et il n’est pas facile de préserver ce partage.
Nous souhaitons profiter du moment privilégié du Before pour aborder en petit groupe le retour d’expérience et ce que nous pourrions capitaliser pour entretenir et développer ce partage qui demeure une des clés de réussite de notre communauté de confiance.
Comité de pilotage
DSI Corporate & Directeur Cybersécurité Groupe, Lagardère
Directeur Technique - Douanes et Droits Indirects
Directeur Cybersécurité ,"Groupement Les Mousquetaires" et Administrateur du CESIN
Directeur scientifique, Cabinet du directeur général de la Gendarmerie nationale
CISO/CSO, PwC France
Directeur Cybersécurité , Groupe EDF
Deputy Group CSO, Axa
Responsable national de la sécurité des systèmes d'informations, Etablissement Français du sang
Vice-président et responsable mondial de la sécurité de l'information, Groupe SEB
Directeur Sécurité SI Servier
Group CISO, Groupe ADP