Vidéo: GEEKAVE - LE CARNET DE NOTES DU XXIème SIÈCLE (Novembre 2024)
La conférence RSA s'agrandit chaque année, avec davantage d'entreprises à rencontrer, davantage de démonstrations technologiques à regarder et des sessions plus instructives. Cependant, l’une des principales raisons pour lesquelles je parcours le pays chaque année est le résultat de conversations en dehors des limites officielles de la conférence. La déclaration jetable faite au petit-déjeuner, la brève conversation dans le couloir sur quelque chose que quelqu'un a vu ou entendu, ou le débat animé à l'un des nombreux événements sociaux de la semaine.
Voici un bref aperçu de ce à quoi mon carnet ressemblait à la fin de la journée du lundi 24 février.
Occupé occupé occupé
La conférence ne commence officiellement que lorsque le discours d’ouverture d’Art Coviello a été prononcé mardi, mais de nombreuses personnes discutent de la sécurité autour du Moscone Center de San Francisco. En fait, il y a 400 fournisseurs qui parrainent ou exposent au salon, plus de 500 conférenciers et environ 25 000 participants. Je ne sais plus où se trouve quelque chose et je dois réapprendre à nouveau la géographie du RSAC. Peut-être qu’il ya quelque chose à dire pour des émissions plus petites, régionales et plus intimes.
Codage de sécurité
Le projet de sécurité des applications Web ouvertes (OWASP) a organisé une séance de formation gratuite sur les pratiques de codage sécurisé chez Jillian (un bar près de Moscone), à laquelle tout participant du RSAC pourrait assister. La session était riche en informations générales sur le type de menaces Web contre lesquelles les développeurs doivent se défendre. Mieux encore, les chefs de chapitre, Jim Manico et Eoin Keary, ont proposé des astuces très pratiques pour coder plusieurs langages et frameworks majeurs, notamment Ruby, Java, Cold Fusion et Perl. Je me demande si les barmans étaient réellement attentifs à la séance ou s’agissaient simplement de garder les boissons coulantes.
Les scanners automatisés peuvent aider à trouver des vulnérabilités dans le code. C'est génial, non? Pas nécessairement, car les scanners automatisés ne peuvent pas prendre en compte le contexte commercial ou toujours gérer des cas d'utilisation spécialisés. Lors de la révision du code, une autre personne passe en revue la logique du programme et applique les cas d'utilisation commerciale. Cela me rappelle la récente vulnérabilité SSL d’Apple dans iOS et Mac OS X. Le bug gotofail était une erreur, mais une révision de code l'avait peut-être détecté avant qu'il ne devienne un problème potentiel pour les utilisateurs.
Extrait de la session OWASP: "Les robots détectent des inconnus connus. Les humains détectent des inconnus."
Meilleurs films de pirate
Après Rick Howard, CSO de Palo Alto Networks, et moi avons parlé de livres que les professionnels de la sécurité de l'information devraient lire, nous nous sommes éloignés du sujet. Howard discute de ce sujet jeudi.
Alors, quel est le film de sécurité de l'information supérieur de tous les temps?
Quel film est le top a beaucoup à voir avec la génération avec laquelle la personne s'identifie le plus, a déclaré Howard. Le meilleur film, pour lui, était War Games . La prochaine génération de professionnels d’information devrait prétendre que Hackers est le meilleur. Et ceux encore plus jeunes seraient plus susceptibles de nommer un film Matrix . Étant fermement dans le camp des hackers , bien que j'aime beaucoup les jeux de guerre , Matrix semble un peu déplacé.
De Twitter
Javvad Malik, analyste principal chez 451 Research, a notamment supervisé l’élimination des compétences en matière de cybersécurité. Jane Lute, présidente et directrice générale du Council on Cybersecurity, a déclaré à Twitter: "Nous rédigeons des descriptions de poste irréalistes".
Les recruteurs se plaignent souvent du manque de compétences et de l'impossibilité de trouver des candidats répondant aux exigences du poste. Mais le problème ne réside pas vraiment dans le manque de candidats qualifiés, mais plutôt dans le fait que les recruteurs recherchent des compétences telles que 15 années d’expérience dans la protection de Windows 7.
La question brûlante
Art Coviello abordera-t-il le contrat secret de 10 millions de dollars que RSA Security aurait signé avec la National Security Agency lors de la cérémonie d'ouverture mardi?
