Description
Un épisode pour toit savoir sur le CLUSIL avec Line LAURET, Cédric MAUNY (Président) et Mathieu VAJOU.
Site web : https://clusil.lu
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Description
Un épisode pour toit savoir sur le CLUSIL avec Line LAURET, Cédric MAUNY (Président) et Mathieu VAJOU.
Site web : https://clusil.lu
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Je sais que parmi... mes auditeurs, il y a des responsables de la sécurité du système d'information, les RSSI, comme on appelle ça en français ou les CISO en anglais, et on peut se sentir parfois bien seul, on mange parfois à la cantine tout seul, évidemment je dis ça un petit peu en rigolant, mais on a besoin quand même assez souvent de se rapprocher de sa communauté et d'échanger avec d'autres RSSI sur différents sujets, d'une part parce que ça fait du bien je pense d'échanger un peu ces problématiques et surtout parce que la cybersécurité c'est... avant tout des échanges de point de vue avec d'autres personnes sur des difficultés qu'on peut rencontrer. Je connais peu de personnes quand même qui arrivent tout seuls à résoudre des problèmes de cybersécurité. Et pour ça, il y a les clubs de RSSI qui existent. On en a déjà parlé dans ce podcast, on a fait une émission sur les saisins. Mais aujourd'hui, j'avais envie de passer un peu de temps pour vous expliquer un autre... un autre club de la cybersécurité, enfin de responsable de la cybersécurité, qui lui est basé à Luxembourg et qui s'appelle le Clusil. Et pour ça, j'ai l'honneur et l'avantage de discuter ce soir avec trois membres respectables de cette assemblée. Honneur aux dames, on va commencer par Lynn. Donc Lynn, déjà, est-ce que tu veux bien te présenter ?
Oui, alors bonsoir. Je m'appelle Lynn, je suis membre du Cluzil depuis deux années maintenant. Je suis dans la cybersécurité, je suis une formation. Je suis étudiante en informatique option cybersécurité, une formation que je fais en parallèle de mon activité professionnelle depuis quelques années déjà.
échanger avec ses pairs et avec des professionnels, ça fait aussi partie de la... la formation, donc bienvenue à toi. Un deuxième intervenant ce soir, Mathieu ?
Oui, bonsoir à Mathieu et à vous. On est en cyber depuis un peu de décennie. Effectivement, le cyber est quelque chose de très intéressant qui nous permet de travailler sur des projets plutôt que ça, avec communautaire dans les working group. Toujours intéressant.
Parfait. Et le dernier, pas le moindre, puisque c'est le président du Cluzil, que j'ai l'honneur et l'avantage d'avoir ce soir comme invité. Cédric, qu'est-ce que tu viens bien de te présenter ?
Bonsoir à tous et à toutes, à tous ceux qui vont écouter le podcast. Merci beaucoup Nicolas pour l'invitation. Moi, c'est Cédric Moni, je suis président du Cluzil, je suis le cinquième président du Cluzil depuis 2020, à peu près. Avec la période du Covid, je ne me souviens plus trop. Et en cybersécurité, depuis un peu plus de 20 ans, je travaille pour un opérateur telco, IT service provider, cloud et cybersécurité assez connu au Luxembourg.
D'accord, ok, parfait. Déjà une première question, vous êtes à peu près combien au Cluzil aujourd'hui ?
Alors le Cluzil, c'est une ASBL sous la nouvelle loi de 2023. Il y a 150 membres et les membres sont membres de l'association à titre personnel. C'est-à-dire ? qu'on recherche justement l'expertise, les connaissances et l'échange entre les personnes qui travaillent dans la cybersécurité ou qui s'intéressent au domaine. Donc c'est un peu plus de 150 membres, mais évidemment il y en a qui appartiennent à des sociétés et pour des raisons de simplification administrative, on va dire, les organisations peuvent soutenir aussi et contribuer aux cotisations des membres et donc c'est 30 organisations qui sont membres à travers leurs employés au sein du Clusier. Quand on regarde aussi les membres qui sont présents, ils appartiennent en tout à 30 organisations différentes de tous les secteurs d'activité. Donc le Luxembourg, on peut se dire que c'est vraiment beaucoup finance, mais ce n'est pas du tout la finance qui est le secteur majeur parmi les membres du Clusil. On a des PME, on a des offreurs de services, on a des sociétés de consulting, on a le secteur de la santé, on a de l'industrie, on a absolument tous les secteurs d'activité. C'est vraiment ça qui est intéressant dans la perspective de l'échange.
Effectivement, parce que de toute façon, la cybersécurité, ça concerne quand même tout le monde, pas seulement le secteur de la finance, évidemment, mais effectivement, tous les secteurs d'activité sont concernés. Je te remercie pour cette présentation, mais déjà, la première question que j'ai envie de vous poser, c'est, vous avez pas mal d'activités, puisqu'on en a discuté pour préparer cette émission. Est-ce que tu pourrais m'expliquer, en quelques mots, déjà, votre programme ? Et si vous avez réalisé récemment... un petit peu des événements ou des choses intéressantes. Je sais que vous avez fait une étude sur les clus USB, par exemple.
Oui, exactement. Ça, on va en parler plus en détail. Le Clusil, c'est aussi une plateforme. C'est un club d'échange. Il y a le Clusil au Luxembourg. Pour les auditeurs, je pense qu'ils connaissent aussi le Clusif en France et les Clusirs en région en France, et aussi le Clusis en Suisse. Donc, on fait partie un peu de cette communauté. Et le Clusil au Luxembourg... On cherche un peu notre voie. Il est là quand même, le Cluesil, depuis 30 ans. Elle a été créée en 1996. Et il y a toujours eu cette vocation d'avoir des groupes de travail. Donc il y a eu le groupe de travail ISO 27001, il y a eu un groupe de travail sur la fonction RSSI, des groupes de travail sur Information Security Management, ce qui permet d'apprendre et d'échanger avec les autres personnes. Et quand je suis arrivé au Luxembourg il y a un peu plus de 20 ans, je me suis inscrit justement au Cluesil pour cette... spécificité d'apprendre et de partager. Et c'est ce que j'essaye aujourd'hui, je suis le cinquième président, et c'est ce que j'essaye aujourd'hui de faire perdurer et on a nos activités qui s'organisent principalement, je vais dire, autour d'Afterwork qu'on organise fin d'après-midi, début de soirée, où on fait venir actuellement un speaker sur un thème. et la personne présente son thème. Parfois, ça peut être très intéressant parce que ça peut réviser certaines choses. Donc récemment, on a reçu la CNPD, et tout le monde sait la CNPD avec le RGPD, mais la CNPD a maintenant dans ses prérogatives la responsabilité de la mise en œuvre de l'AI Act sur l'intelligence artificielle. Donc c'est intéressant d'apprendre ça, et par exemple, la semaine prochaine, ou la semaine dernière, quand les auditeurs l'écouteront, donc le 4 février, on va recevoir l'INNAS. avec Jean-Lancrenon, qui va parler de normalisation et de Cyber Resilience Act. Cyber Resilience Act avait fait l'objet d'un de tes podcasts il y a quelques semaines, quelques mois.
Effectivement. Effectivement, avec Marc-Antoine Le Dieu, que je salue au passage. Un épisode marathon, il avait dû durer à trois heures, je pense.
Il y avait deux parties, je pense. Donc, groupe de travail. Un petit peu moins, mais on va réactiver les groupes de travail avec les travaux sur la stratégie nationale en cybersécurité. Parce que le CLUSIL fait partie aussi d'une fédération, c'est la ICT Luxembourg. Donc c'est une fédération pour l'ICT au Luxembourg, comme son nom l'indique, et qui regroupe des associations comme le CLUSIL, comme la PDL sur la protection des données, des associations plus sectorielles comme la BBL pour les banques ou la CAP pour les compagnies d'assurance. et des entreprises comme Post, comme Proximus, comme Insert. Et à travers cette fédération, justement, on va avoir l'opportunité d'être sollicité pour faire des propositions et faire des commentaires sur la stratégie nationale en cybersécurité pour le Luxembourg. Donc là, ça va être aussi un des gros sujets en termes de groupe de travail qui va donc au-delà des présentations qu'on peut avoir de temps en temps.
Juste alors pour nos éditeurs français. la CNPD à Luxembourg, c'est l'équivalent de la CNIL en France. Parce que c'est vrai que, comme on parle du Clusil qui est basé à Luxembourg, forcément, on va faire référence dans cet épisode à beaucoup de régulateurs ou d'acteurs luxembourgeois. Mais je vous donnerai l'équivalence en France pour que vous puissiez comprendre un peu mieux de quoi on parle. Alors justement, dans les workshops et dans toutes ces activités, vous organisez très régulièrement des workshops. Et justement, Mathieu, est-ce que tu peux nous en parler un peu plus ?
Je peux donner un exemple, c'est que nous avions un groupe de travail qui s'est terminé après des échanges avec la CSSF, la MF version luxembourgeoise, un événement un soir où un nomond a pu présenter ses travaux, les résultats des questions réponses et des échanges qui avaient eu lieu avec la CSSF, et juste après la CSSF a pu... présentait des points très intéressants, dont une partie qui concerne un des articles sur lequel on avait le moins de réponses, qui est sur les tests d'intrusion liés à Dora.
Ah, effectivement, un grand sujet de discussion. Alors, juste pour les éditeurs français qui ne connaissent peut-être pas forcément le Luxembourg, c'est un pays qui n'est pas, on va dire, très très grand, il faut rester honnête. Je suis allé pour prendre de l'essence,
pour prendre du tabac ou parce que t'es perdu, tout simplement. Mais pour aller en vacances au Luxembourg,
il faut vraiment que le fieste du monde ait disparu. Mais, là, tu ne peux pas dire ça. On va faire comme ça. Tu me contactes ? Moi je vais être ton guide touristique à travers le Luxembourg, je vais te montrer si il n'y a rien ici. Parce que moi je vais te montrer la Guelphra, je vais te montrer en bas la vieille ville, le Grund et tout ça, je vais te montrer le château de Viernden, je vais te montrer le Möllendal, et qu'est-ce qu'on va faire aussi pendant tout ça ? On va se knuppen des chottes de Hunnestrup, si tu veux on va faire des petites grilles, on va chez l'Allemagne, on va manger un petit bourgac et tout ça, on va chez le Portugais griller quelques sardines et je ne sais pas quoi, encore boire des sagres. Mais non, il ne faut pas dire qu'il n'y a rien ici.
Mais ça peut représenter certains avantages, c'est que du coup... les communautés se connaissent assez bien, c'est déjà la première chose. Et le contact avec les régulateurs, même si ça se fait de manière très formelle, se fait de manière assez sympathique et avec une très bonne collaboration. Donc ça, c'est quand même des éléments qui sont importants à retenir. Au-delà de ces workshops, vous avez fait une étude sur les clés USB et la possibilité de voir ce qui se passe avec les clés USB. parce que c'est un... Les clés USB, c'est quand même le cauchemar de la plupart des SSI. La première chose qu'on fait, c'est justement bloquer les clés USB. Mais le problème, c'est qu'une clé USB, ça peut être beaucoup de choses. Ça peut être du stockage, ça peut être aussi un clavier. Donc pour les plus férides techniques d'entre nous, il existe des clés USB qu'on peut programmer pour pouvoir taper du code très rapidement en imitant un clavier. Il y a aussi des clés USB qui sont malveillantes et qui vont détruire le port USB. Il y a beaucoup de choses possibles avec les clés USB. Vous avez mené une expérience qui est assez intéressante qui est de qu'est-ce qui se passe concrètement quand on laisse traîner une clé USB quelque part ? Justement, je suis assez impatient de vous entendre sur le sujet. Est-ce que vous pouvez nous expliquer, les auditeurs et moi, ce que vous avez fait et ce qu'il en est sorti ?
Le Clusil est là aussi pour échanger, c'est aussi une plateforme. Et ce qui est intéressant, c'est quand les membres ont des idées de projets et que le Clusil peut être un facilitateur pour la réalisation des projets. C'est vraiment un grand avantage pour la communauté et c'est comme ça que ça a commencé, où Didier Barzin, qui ne peut pas être là aujourd'hui, est venu avec l'idée de se dire, on a toujours parlé des clés USB comme une menace, c'est vrai que ça a toujours été une menace, quand je faisais mes analyses de risque il y a quelques années, on considérait ce risque-là, mais aujourd'hui avec les téléphones portables, on ne met plus de clés USB sur un téléphone portable, sauf exception, et donc est-ce que le risque des clés USB est toujours présent aujourd'hui en 2025-2026 ? Et c'est là le déclencheur de l'idée du projet.
C'est presque une question pour le bac de philo.
Probabilité et impact, on est exactement sur ça. Est-ce que c'est toujours un scénario et un vecteur de menace, un vecteur d'attaque qui est toujours utilisé aujourd'hui ? Et en fait, le but était d'avoir des indicateurs pour répondre à cette question. Et c'est justement là le projet. Là, je laisserai la parole à Aline et à Mathieu. beaucoup plus travaillé que moi sur le sujet et c'est vraiment intéressant, ça donne des résultats intéressants.
D'accord. Didier Barzin est l'auteur de Mercator, qui est un produit open source auquel je vous conseille. Je pense qu'on aura, j'espère, l'occasion de l'inviter dans ce podcast pour qu'il nous explique tout ça plus en détail. Alors Mathieu, Lynn, justement, est-ce que vous pouvez nous présenter un petit peu plus ce projet ? Pour répondre à cette fameuse question, est-ce qu'aujourd'hui les clés USB sont encore un vecteur d'attaque important ?
Ah oui, attendez, pardon, excusez-moi. Non, j'ai bien fait de m'arrêter parce que là c'est le moment du spectacle un peu fouillou, d'accord ? Là, pendant une minute, une minute quinze, ça va gratter un peu le bas des mollets, d'accord ? Hein ? Voilà, je ne sais pas comment vous le dire, mais ça va décoller du va-vivre, hein ? Ça va saigner les oreilles, on va dégronder du portail, je ne sais pas comment vous le dire, mais voilà, ça va. Hein ? Alors si jamais vous êtes un peu... Ça peut arriver, des fois il y a des publics un peu... Voilà, je vous le dis, vous tenez bien la manche du voisin, de la voisine, c'est comme ils faisaient dans Scooby-Doo, quand on était petit, ils traversaient la forêt en carré pour éviter les fantômes, la nuit ils avaient peur, etc. Ok, c'est un bon groupe, je vous le dis, là ça va. Tout le monde s'en branle, mais moi je sais ce qui suit, pas vous. Tout le monde s'en fout, tu n'as aucune autorité. C'est pas... Ça ne dure pas longtemps, 1 minute 30, 1 minute 40, pas très long. Et si vraiment vous ne vous sentez pas bien, vous me le dites et j'arrête tout, je suis un professionnel, je sais vous jauger.
c'est que la base, effectivement l'USB en sens général, ça peut être n'importe quoi, littéralement, d'où le plug-in prêt, cette fameuse sentence qu'on entend de façon régulière, c'est réaliste. Donc aujourd'hui, quelles sont les chances que quelqu'un branche une clé USB et la fouille ? C'est ce qu'on a tenté de... de répondre. Suite à l'idée originale de Didier, on a acheté des clés, disposé du contenu à l'intérieur. On a cherché une façon de savoir comment les gens interagissaient avec. Le problème, on ne voulait pas être intrusif. Donc on a juste choisi le poids le plus inoffensif possible. qui est la présence d'un fichier HTML parmi une grande quantité de fichiers PPT, des images, des PDF, des Word, et un fichier HTML qui contenait un lien avec un unique ID que l'on a créé pour identifier chaque clé, ce qui nous a permis de savoir où les clés sont déposées et au bout de combien de temps elles sont signées.
D'accord.
donc un peu la même technique qu'on utilise quand on fait des tests de phishing pour voir qui a cliqué sur le lien et ainsi de suite un peu mourant on n'est pas capable de savoir si quelqu'un branche la clé pour ne pas être intrusif et ne pas être détecté par les antivirus aucune action, aucun auto-start en revanche, si une personne a ouvert le fichier HTML c'est ce que l'on a quantifié Au total, je vais laisser parler Lean sur la partie chiffres. On a droppé 240 clés au total et ça s'est plutôt bien passé. Il y a eu quelques petits cas assez drôles, des pauses de clés pouvant manquer légèrement de discrétion dû au matériau utilisé, la clé étant recouverte d'un... couverture métal, ça rebondit plutôt bien au sol.
D'accord. Alors, juste pour la petite histoire, vous en avez dispersé un peu partout dans Luxembourg. Donc, vous avez fait un test grandeur nature à l'échelle du pays. Et alors, justement, à propos des résultats, est-ce que vous pourriez nous parler des résultats et ce que vous avez observé ?
Oui, alors, effectivement, on a dispersé 200 clarins. 40 clés au total dans tout le Luxembourg. Alors, on a essayé d'agir avec méthode. On a fait au départ une sorte d'analyse pour voir un peu la densité de la population de Luxembourg dans chacune des parties de Luxembourg, donc chacun des cantons. et on a fait en sorte de disperser à peu près la même quantité. de clés relativement par rapport à la densité de la population. Donc ça, c'est une première chose. Et ce que l'on voulait voir aussi à travers ça, c'était de voir s'il y avait une différence de comportement entre des zones, des cantons, par exemple Luxembourg-Ville, qui était beaucoup plus dense en population, qui était plus animée. Une différence de comportement lorsqu'on avait ces lieux-là où les clés étaient dispersées par rapport à des clés qui se trouvaient dans les villages. Et finalement, les résultats n'ont pas permis d'indiquer une différence flagrante de comportement. Mais on a essayé de disperser ça tout autour de Luxembourg.
En termes de réaction, est-ce que les gens se sont précipités sur les clés ? Alors déjà une question de base, est-ce que ces clés avaient une marque significative ? Est-ce que c'était marqué dossier confidentiel, fiche de paye du Grand-Duc, ou quelque chose qui aurait pu... Ah, elle était rouge.
C'était flashing.
Je vais passer trois minutes à vous dire que ça allait envoyer du bois, il n'y en a pas un qui met cru, alors maintenant... Je suis au milieu, il y en a encore pour 30 secondes.
D'accord, ok. Donc il n'y avait pas de différence flagrante entre une clé USB qu'on aurait vraiment égarée et une clé USB qui contiendrait des informations confidentielles ou autre.
Non, on a fait en sorte de les distribuer, ou plutôt de les disséminer dans des endroits très accessibles où il y avait beaucoup de fréquentation, et on a fait aussi en sorte que ces clés soient clairement visibles. C'est la raison pour laquelle on a choisi la couleur rouge, mais finalement, toutes les clés qui ont été disposées étaient toutes identiques. On n'a pas mis de signe distinctif sur chacune des clés, aussi parce qu'on s'inspirait. On a aussi lu une étude qui a été faite il y a dix ans de ça, qui là, dans cette étude, les personnes avaient regardé s'il y avait une différence de comportement suivant le design de la clé ou la forme ou l'apparence de la clé, et ils avaient détecté que non, ça n'était pas le cas. Donc voilà. On n'a pas souhaité recommencer cette étude-là et on a pris des clés totalement identiques.
D'accord. Et alors, en termes de résultats, quels sont les éléments significatifs que vous avez pu retirer de cette étude ? Typiquement, la rapidité avec laquelle les gens ont voulu lire les fichiers ? Est-ce qu'il y a certaines clés qui n'ont jamais été activées ? Est-ce que certaines clés ont été renvoyées ou ont été déposées dans un commissariat ? Par rapport aux résultats, qu'est-ce qui vous a semblé être significatif par rapport à ça ?
Par rapport aux résultats, sur la totalité des 240 clés qui ont été disséminées, il y a eu au total 16% des clés, donc 39. 16% des clés qui ont été récupérées et pour lesquelles le traceur, donc le tracker qu'on avait mis dans le fichier HTML, donc 16% des clés qui ont émis un hit en fait. Alors ça ne veut pas forcément dire qu'il n'y a eu que 39, donc 16% des clés qui ont été consultées, parce qu'on a simplement mis... le tracker sur un des différents fichiers qui étaient dans la clé et comme le disait aussi Mathieu tout à l'heure, on ne s'est pas autorisé ou on n'a pas été autorisé non plus à tracer toutes les clés qui ont été simplement plugées sur un ordinateur sans pour autant que le fichier HTML soit consulté. Donc, ça veut dire qu'il y en a potentiellement peut-être plus que 39 qui ont été consultés. Mais voilà, donc 16% des clés ont été, enfin, il y a eu 16% des clés pour lesquelles le fichier HTML a été consulté. Donc, ça, c'est un premier point. Un deuxième point qu'on avait, c'est qu'on a distribué dans différents lieux publics. Par contre, il y avait des lieux standards, un peu dans les rues, dans les espaces publics. Il y avait aussi un autre type de lieu qui était plus au niveau des établissements scolaires, là où potentiellement on a une population étudiante. Et on a constaté effectivement des différences. assez remarquable entre les lieux, on va dire classiques, et les clés qui ont été distribuées aux abords des établissements étudiants. Donc, ce qui avait été constaté, c'est qu'au niveau des établissements scolaires, On a eu justement… en toute proportion gardée, plus de ramasses de clés et aussi plus de consultations. Pour une clé donnée, lorsqu'on consulte une première fois le fichier HTML, on a un premier hit et plus on le consulte, plus le nombre de hits que nous récoltons par la suite augmente. Et on a effectivement constaté que pour les clés qui étaient distribuées aux abords des établissements scolaires, non seulement il y a eu plus de consultations, mais aussi une fréquence plus grande de consultations de la même clé.
D'accord. Et sur des adresses IP identiques ou différentes du coup ?
On a fait cette statistique pour justement limiter la collecte de données. Alors on a quand même, pendant un laps de temps, eu cette information. On ne l'a pas conservée. On l'a principalement conservée, on l'a principalement utilisée avant de la détruire pour localiser le code WIZ. Cela nous a permis de trouver la localité géographique potentielle, ainsi que potentiellement certaines entreprises.
Ligne, tu veux rajouter peut-être encore un mot sur cette étude, une conclusion à cette fameuse question ? Est-ce que c'est encore dangereux ?
Oui, alors en ce qui concerne le temps entre lequel la clé a été déposée et la clé... le moment où la clé a été récupérée. Alors, ce qui, moi, me semblait un peu étonnant, c'est que en fait, ce temps-là varie énormément. Donc, ça varie de 30 minutes à quand même 133 jours. Donc, il y a des personnes qui ont pris cette clé et qui ont attendu quand même plus de 100 jours avant de consulter le contenu. Donc, voilà, c'est vraiment très espacé. Et on s'est demandé pourquoi les personnes consultaient les clés. On s'est aussi inspiré un peu de l'étude, des études qu'on avait lues auparavant où ces études-là donnaient deux hypothèses. Soit finalement les personnes récupéraient les clés et consultaient les clés pour essayer de retrouver le propriétaire de la clé. soit c'était par simple curiosité. Et nous, au vu du laps de temps qui est quand même relativement long pour la plupart des captures, on est arrivé à la conclusion que c'était plutôt par curiosité que les personnes récupèrent une clé dans la rue et se mettent à la consulter.
Ah, la curiosité ! C'est le meilleur vecteur d'attaque qui existe. Mathieu, tu voulais rajouter quelque chose peut-être ?
Peut-être quelques anecdotes intéressantes. On a eu, par exemple, une clé qui a été droppée devant la voiture d'un cinquanté-liste. S'il se reconnaît, ce n'était pas volontaire. D'accord. Sinon on ne l'aurait pas mise là, on l'aurait sans doute déposée à une voiture un peu plus loin justement pour éviter que quelqu'un avec certaines compétences remarque la clé, la dépiaute, parce qu'on a aussi reçu cette photo où il informe son manager regarde ce que j'ai trouvé devant ma voiture ce n'était pas volontaire mais ça nous a beaucoup fait rire quand on l'a reçu
Au moins, il a fait son boulot sérieusement.
Complètement. Je ne suis pas sûr que ce soit en semaine. Je n'ai plus le souvenir. Mais en tout cas, ça nous a fait rire de partager ça.
Parfait. Très bien. Merci en tout cas pour ce feedback par rapport à cette étude qui est quand même assez intéressante parce que ce n'est pas des cas qu'on voit très souvent finalement. dans les tests qu'on peut faire, mais au moins ça répond à cette question. Est-ce que les clés USB sont encore dangereuses aujourd'hui ? Manifestement oui, en tout cas vous avez réussi à le démontrer. Et ça je pense que c'est quelque chose d'assez intéressant, ce n'est pas quelque chose de commun en tout cas. Au-delà de ça, vous avez quand même d'autres activités au niveau du Cluzil. Est-ce que vous voulez bien partager avec nous peut-être les prochains événements que vous avez préparés ? Je sais que... On risque d'avoir l'arrivée à Luxembourg de guest stars. Je ne vais pas spoiler le nom, parce que comme ça, les éditeurs seront obligés d'aller regarder votre site web et de regarder ce qui s'y passe. Mais vous pouvez nous en dire un peu plus, justement, sur ce que vous avez organisé pour cette année ?
Oui, alors 2026, 30 ans du Cluzil. On va avoir plusieurs événements. Le premier, justement, cette personnalité internationalement reconnue qui va venir au Luxembourg. pour discuter avec certaines administrations et certaines autorités. Vous saurez le nom, il ne va pas très longtemps,
mais je peux le faire en trois briques. Un petit jeune qui débute.
Un petit jeune qui débute. Je peux le faire en trois briques. Cryptograph. USA, libre penseur.
Voilà, donc vous verrez. Je ne vais pas lire un morceau de la notice Wikipédia, mais vous pourrez trouver et vous verrez. Donc, ce sera le 12 mai. C'est à travers ICT Luxembourg, où le Clusil est justement membre. On fait venir cette personne-là pour pouvoir échanger sur les problématiques actuelles, l'intelligence artificielle, la démocratie, la souveraineté, la cybersécurité. Donc, on va pouvoir discuter de tout ça. Et le 12 mai, en fin d'après-midi, il y aura un événement public où vous êtes... tous conviés. Ensuite, on va continuer de fêter nos 30 ans au cours du GRC Summit qui sera organisé par la Luxembourg House of Cyber Security les 3 et 4 juin. C'est exactement dans le thème du Cluzil, dans toutes les problématiques et toutes les discussions qu'on peut avoir sur la cyberdiplomatie, sur la gestion des risques, sur les technologies émergentes et les risques associés. Ça va être le sujet du Summit GRC 3 et 4 juin et il y aura la soirée d'anniversaire du Cluzil. Cluzil qui aura lieu le 3 juin justement, au soir. Et après, comme on avait dit aussi rapidement, il y a la stratégie nationale en cybersécurité qui est aussi un gros morceau sur lequel le Cluzil va contribuer. Et on soutient aussi d'autres initiatives comme B-Sides à Luxembourg qui aura lieu les 6 au 8 mai, où comme l'année dernière, on va avoir une traque Cluzil avec des speakers qui participent à B-Sides et avec le soutien du Cluzil justement pour d'autres initiatives. pour rassembler les gens, partager, échanger et même apprendre de ces PM.
Parfait. Et alors, comment on fait pour faire partie du Cluzil du coup ?
Vous nous envoyez un mail, on a un site web qui fonctionne maintenant. Donc, j'en suis assez fier, ça fait longtemps. Merci Mathieu. Et voilà, vous nous envoyez un mail sur le site web cluzil.lu. C'est aussi vous... Il y a un LinkedIn, on essaye d'être un tout petit peu actif sur LinkedIn pour partager justement les news sur les prochaines rencontres et les prochains événements. Si vous voyez passer sur LinkedIn, vous nous mettez un like et puis vous passez nous voir. On fait souvent les événements, les after-work, on les fait souvent à Luxembourg House of Cyber Security qui nous héberge et qui nous offre un grand support avec Margot. Et le site web, plusil.lu, il y a une partie Join Us et ce n'est pas grand-chose, c'est 100 euros par personne. par an et ça n'a pas bougé depuis peut-être 25 ans ou peut-être même depuis 30 ans on était toujours à 500 euros malgré l'inflation.
Il n'y a pas besoin d'être basé à Luxembourg en plus ? Non, c'est vraiment libre. D'ailleurs un certain Hervé, bien connu dans le monde de la cybersécurité, je crois qu'il fait partie du Cluzil. Oui,
ça fait très longtemps que je fais partie du Cluzil et je ne sais plus s'il y a encore donc je passe le message à Hervé s'il nous écoute. On va se parler dans pas très longtemps je pense mais il ne faut pas hésiter. Mais c'est vraiment ouvert à tout le monde. Le but, c'est d'échanger. Notre seul revenu, c'est les cotisations des membres. Donc, c'est sûr, on a besoin de ça pour faire un peu d'événements. Mais même si vous n'êtes pas membre, venez participer, échanger. C'est du try and buy. Discutez. Et tout ce que vous pouvez apporter et tout ce que vous allez pouvoir en ressortir, c'est ça qui est essentiel pour la communauté.
Bien sûr. C'est toujours très utile d'échanger avec les uns et les autres parce que, encore une fois, je pense que le métier de la cybersécurité, c'est un métier qui apprend à être humble et surtout à... qui remet sans cesse en question nos compétences et nos connaissances par ce qu'on apprend tous les jours. Peut-être que Mathieu ou Lynn, vous voulez rajouter quelque chose à ce qui vient d'être dit ?
De mon côté, c'est un plaisir d'échanger avec mes pairs au Clusil. C'est pas mal. Une bonne ouverture d'esprit des sujets à la pointe en ce moment, surtout en ce moment avec toute la presse. qui s'est officialisée. On ne lâchait que des petites brides jusqu'à présent. On a des discussions. C'est très intéressant. Les groupes de travail s'organisent plutôt bien. Et si vous avez des idées de projets, ce genre de choses, on est tout à fait ouvert au travail.
D'accord. C'est vrai que... La cybersécurité sur le plan national, eu égard au contexte géopolitique en ce moment, a un intérêt quand même assez fort. Lynn, je ne sais pas si tu veux rajouter quelque chose ?
Oui, alors la cybersécurité, effectivement, c'est un sujet dont on entend de plus en plus parler. Et il est nécessaire justement d'avoir toujours une sensibilisation. Ce que nous a appris cette étude, au vu des résultats qu'on a reçus, qui étaient sensiblement identiques. aux études qui ont été faites dix ans auparavant. Donc, on s'est posé la question si finalement la sensibilisation était suffisante, puisqu'on n'a pas vu forcément de progression dans les habitudes des personnes. Donc, il y a toujours ce risque-là et il est toujours nécessaire de sensibiliser et faire peut-être même plus pour... pour éviter que les personnes tombent dans le piège de la sécurité informatique ou de récupérer des virus ou ce genre de problème.
Parfait. Le mot de la fin, Cédric ?
Merci beaucoup pour l'invitation. Je tiens aussi à remercier tous nos membres, parce que c'est grâce à eux que le Cluzil existe. Je tiens à remercier les administrateurs et les membres du bureau du Cluzil, Yves, Raphaël, Werner, Maxime, Didier, Mathieu, Victor et Margot, pour le support que vous apportez. Et grâce à vous, l'association en tant qu'ASBL existe, et l'association en tant que club existe aussi. Et encore merci à tous les membres, et merci beaucoup Nicolas pour l'invitation.
De rien, c'était avec un grand plaisir. J'aime toujours parler de cybersécurité avec des gens d'horizons divers, parce qu'on apprend toujours. Je pense que c'est vraiment l'essence même de notre métier, déjà la communication entre nous et essayer d'approfondir nos connaissances et découvrir de nouvelles choses. C'est moi qui vous remercie pour avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Et comme je le dis très souvent, pour certains, la cybersécurité, c'est un objet de vie ou de mort, mais c'est bien plus sérieux que ça.
Description
Un épisode pour toit savoir sur le CLUSIL avec Line LAURET, Cédric MAUNY (Président) et Mathieu VAJOU.
Site web : https://clusil.lu
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Je sais que parmi... mes auditeurs, il y a des responsables de la sécurité du système d'information, les RSSI, comme on appelle ça en français ou les CISO en anglais, et on peut se sentir parfois bien seul, on mange parfois à la cantine tout seul, évidemment je dis ça un petit peu en rigolant, mais on a besoin quand même assez souvent de se rapprocher de sa communauté et d'échanger avec d'autres RSSI sur différents sujets, d'une part parce que ça fait du bien je pense d'échanger un peu ces problématiques et surtout parce que la cybersécurité c'est... avant tout des échanges de point de vue avec d'autres personnes sur des difficultés qu'on peut rencontrer. Je connais peu de personnes quand même qui arrivent tout seuls à résoudre des problèmes de cybersécurité. Et pour ça, il y a les clubs de RSSI qui existent. On en a déjà parlé dans ce podcast, on a fait une émission sur les saisins. Mais aujourd'hui, j'avais envie de passer un peu de temps pour vous expliquer un autre... un autre club de la cybersécurité, enfin de responsable de la cybersécurité, qui lui est basé à Luxembourg et qui s'appelle le Clusil. Et pour ça, j'ai l'honneur et l'avantage de discuter ce soir avec trois membres respectables de cette assemblée. Honneur aux dames, on va commencer par Lynn. Donc Lynn, déjà, est-ce que tu veux bien te présenter ?
Oui, alors bonsoir. Je m'appelle Lynn, je suis membre du Cluzil depuis deux années maintenant. Je suis dans la cybersécurité, je suis une formation. Je suis étudiante en informatique option cybersécurité, une formation que je fais en parallèle de mon activité professionnelle depuis quelques années déjà.
échanger avec ses pairs et avec des professionnels, ça fait aussi partie de la... la formation, donc bienvenue à toi. Un deuxième intervenant ce soir, Mathieu ?
Oui, bonsoir à Mathieu et à vous. On est en cyber depuis un peu de décennie. Effectivement, le cyber est quelque chose de très intéressant qui nous permet de travailler sur des projets plutôt que ça, avec communautaire dans les working group. Toujours intéressant.
Parfait. Et le dernier, pas le moindre, puisque c'est le président du Cluzil, que j'ai l'honneur et l'avantage d'avoir ce soir comme invité. Cédric, qu'est-ce que tu viens bien de te présenter ?
Bonsoir à tous et à toutes, à tous ceux qui vont écouter le podcast. Merci beaucoup Nicolas pour l'invitation. Moi, c'est Cédric Moni, je suis président du Cluzil, je suis le cinquième président du Cluzil depuis 2020, à peu près. Avec la période du Covid, je ne me souviens plus trop. Et en cybersécurité, depuis un peu plus de 20 ans, je travaille pour un opérateur telco, IT service provider, cloud et cybersécurité assez connu au Luxembourg.
D'accord, ok, parfait. Déjà une première question, vous êtes à peu près combien au Cluzil aujourd'hui ?
Alors le Cluzil, c'est une ASBL sous la nouvelle loi de 2023. Il y a 150 membres et les membres sont membres de l'association à titre personnel. C'est-à-dire ? qu'on recherche justement l'expertise, les connaissances et l'échange entre les personnes qui travaillent dans la cybersécurité ou qui s'intéressent au domaine. Donc c'est un peu plus de 150 membres, mais évidemment il y en a qui appartiennent à des sociétés et pour des raisons de simplification administrative, on va dire, les organisations peuvent soutenir aussi et contribuer aux cotisations des membres et donc c'est 30 organisations qui sont membres à travers leurs employés au sein du Clusier. Quand on regarde aussi les membres qui sont présents, ils appartiennent en tout à 30 organisations différentes de tous les secteurs d'activité. Donc le Luxembourg, on peut se dire que c'est vraiment beaucoup finance, mais ce n'est pas du tout la finance qui est le secteur majeur parmi les membres du Clusil. On a des PME, on a des offreurs de services, on a des sociétés de consulting, on a le secteur de la santé, on a de l'industrie, on a absolument tous les secteurs d'activité. C'est vraiment ça qui est intéressant dans la perspective de l'échange.
Effectivement, parce que de toute façon, la cybersécurité, ça concerne quand même tout le monde, pas seulement le secteur de la finance, évidemment, mais effectivement, tous les secteurs d'activité sont concernés. Je te remercie pour cette présentation, mais déjà, la première question que j'ai envie de vous poser, c'est, vous avez pas mal d'activités, puisqu'on en a discuté pour préparer cette émission. Est-ce que tu pourrais m'expliquer, en quelques mots, déjà, votre programme ? Et si vous avez réalisé récemment... un petit peu des événements ou des choses intéressantes. Je sais que vous avez fait une étude sur les clus USB, par exemple.
Oui, exactement. Ça, on va en parler plus en détail. Le Clusil, c'est aussi une plateforme. C'est un club d'échange. Il y a le Clusil au Luxembourg. Pour les auditeurs, je pense qu'ils connaissent aussi le Clusif en France et les Clusirs en région en France, et aussi le Clusis en Suisse. Donc, on fait partie un peu de cette communauté. Et le Clusil au Luxembourg... On cherche un peu notre voie. Il est là quand même, le Cluesil, depuis 30 ans. Elle a été créée en 1996. Et il y a toujours eu cette vocation d'avoir des groupes de travail. Donc il y a eu le groupe de travail ISO 27001, il y a eu un groupe de travail sur la fonction RSSI, des groupes de travail sur Information Security Management, ce qui permet d'apprendre et d'échanger avec les autres personnes. Et quand je suis arrivé au Luxembourg il y a un peu plus de 20 ans, je me suis inscrit justement au Cluesil pour cette... spécificité d'apprendre et de partager. Et c'est ce que j'essaye aujourd'hui, je suis le cinquième président, et c'est ce que j'essaye aujourd'hui de faire perdurer et on a nos activités qui s'organisent principalement, je vais dire, autour d'Afterwork qu'on organise fin d'après-midi, début de soirée, où on fait venir actuellement un speaker sur un thème. et la personne présente son thème. Parfois, ça peut être très intéressant parce que ça peut réviser certaines choses. Donc récemment, on a reçu la CNPD, et tout le monde sait la CNPD avec le RGPD, mais la CNPD a maintenant dans ses prérogatives la responsabilité de la mise en œuvre de l'AI Act sur l'intelligence artificielle. Donc c'est intéressant d'apprendre ça, et par exemple, la semaine prochaine, ou la semaine dernière, quand les auditeurs l'écouteront, donc le 4 février, on va recevoir l'INNAS. avec Jean-Lancrenon, qui va parler de normalisation et de Cyber Resilience Act. Cyber Resilience Act avait fait l'objet d'un de tes podcasts il y a quelques semaines, quelques mois.
Effectivement. Effectivement, avec Marc-Antoine Le Dieu, que je salue au passage. Un épisode marathon, il avait dû durer à trois heures, je pense.
Il y avait deux parties, je pense. Donc, groupe de travail. Un petit peu moins, mais on va réactiver les groupes de travail avec les travaux sur la stratégie nationale en cybersécurité. Parce que le CLUSIL fait partie aussi d'une fédération, c'est la ICT Luxembourg. Donc c'est une fédération pour l'ICT au Luxembourg, comme son nom l'indique, et qui regroupe des associations comme le CLUSIL, comme la PDL sur la protection des données, des associations plus sectorielles comme la BBL pour les banques ou la CAP pour les compagnies d'assurance. et des entreprises comme Post, comme Proximus, comme Insert. Et à travers cette fédération, justement, on va avoir l'opportunité d'être sollicité pour faire des propositions et faire des commentaires sur la stratégie nationale en cybersécurité pour le Luxembourg. Donc là, ça va être aussi un des gros sujets en termes de groupe de travail qui va donc au-delà des présentations qu'on peut avoir de temps en temps.
Juste alors pour nos éditeurs français. la CNPD à Luxembourg, c'est l'équivalent de la CNIL en France. Parce que c'est vrai que, comme on parle du Clusil qui est basé à Luxembourg, forcément, on va faire référence dans cet épisode à beaucoup de régulateurs ou d'acteurs luxembourgeois. Mais je vous donnerai l'équivalence en France pour que vous puissiez comprendre un peu mieux de quoi on parle. Alors justement, dans les workshops et dans toutes ces activités, vous organisez très régulièrement des workshops. Et justement, Mathieu, est-ce que tu peux nous en parler un peu plus ?
Je peux donner un exemple, c'est que nous avions un groupe de travail qui s'est terminé après des échanges avec la CSSF, la MF version luxembourgeoise, un événement un soir où un nomond a pu présenter ses travaux, les résultats des questions réponses et des échanges qui avaient eu lieu avec la CSSF, et juste après la CSSF a pu... présentait des points très intéressants, dont une partie qui concerne un des articles sur lequel on avait le moins de réponses, qui est sur les tests d'intrusion liés à Dora.
Ah, effectivement, un grand sujet de discussion. Alors, juste pour les éditeurs français qui ne connaissent peut-être pas forcément le Luxembourg, c'est un pays qui n'est pas, on va dire, très très grand, il faut rester honnête. Je suis allé pour prendre de l'essence,
pour prendre du tabac ou parce que t'es perdu, tout simplement. Mais pour aller en vacances au Luxembourg,
il faut vraiment que le fieste du monde ait disparu. Mais, là, tu ne peux pas dire ça. On va faire comme ça. Tu me contactes ? Moi je vais être ton guide touristique à travers le Luxembourg, je vais te montrer si il n'y a rien ici. Parce que moi je vais te montrer la Guelphra, je vais te montrer en bas la vieille ville, le Grund et tout ça, je vais te montrer le château de Viernden, je vais te montrer le Möllendal, et qu'est-ce qu'on va faire aussi pendant tout ça ? On va se knuppen des chottes de Hunnestrup, si tu veux on va faire des petites grilles, on va chez l'Allemagne, on va manger un petit bourgac et tout ça, on va chez le Portugais griller quelques sardines et je ne sais pas quoi, encore boire des sagres. Mais non, il ne faut pas dire qu'il n'y a rien ici.
Mais ça peut représenter certains avantages, c'est que du coup... les communautés se connaissent assez bien, c'est déjà la première chose. Et le contact avec les régulateurs, même si ça se fait de manière très formelle, se fait de manière assez sympathique et avec une très bonne collaboration. Donc ça, c'est quand même des éléments qui sont importants à retenir. Au-delà de ces workshops, vous avez fait une étude sur les clés USB et la possibilité de voir ce qui se passe avec les clés USB. parce que c'est un... Les clés USB, c'est quand même le cauchemar de la plupart des SSI. La première chose qu'on fait, c'est justement bloquer les clés USB. Mais le problème, c'est qu'une clé USB, ça peut être beaucoup de choses. Ça peut être du stockage, ça peut être aussi un clavier. Donc pour les plus férides techniques d'entre nous, il existe des clés USB qu'on peut programmer pour pouvoir taper du code très rapidement en imitant un clavier. Il y a aussi des clés USB qui sont malveillantes et qui vont détruire le port USB. Il y a beaucoup de choses possibles avec les clés USB. Vous avez mené une expérience qui est assez intéressante qui est de qu'est-ce qui se passe concrètement quand on laisse traîner une clé USB quelque part ? Justement, je suis assez impatient de vous entendre sur le sujet. Est-ce que vous pouvez nous expliquer, les auditeurs et moi, ce que vous avez fait et ce qu'il en est sorti ?
Le Clusil est là aussi pour échanger, c'est aussi une plateforme. Et ce qui est intéressant, c'est quand les membres ont des idées de projets et que le Clusil peut être un facilitateur pour la réalisation des projets. C'est vraiment un grand avantage pour la communauté et c'est comme ça que ça a commencé, où Didier Barzin, qui ne peut pas être là aujourd'hui, est venu avec l'idée de se dire, on a toujours parlé des clés USB comme une menace, c'est vrai que ça a toujours été une menace, quand je faisais mes analyses de risque il y a quelques années, on considérait ce risque-là, mais aujourd'hui avec les téléphones portables, on ne met plus de clés USB sur un téléphone portable, sauf exception, et donc est-ce que le risque des clés USB est toujours présent aujourd'hui en 2025-2026 ? Et c'est là le déclencheur de l'idée du projet.
C'est presque une question pour le bac de philo.
Probabilité et impact, on est exactement sur ça. Est-ce que c'est toujours un scénario et un vecteur de menace, un vecteur d'attaque qui est toujours utilisé aujourd'hui ? Et en fait, le but était d'avoir des indicateurs pour répondre à cette question. Et c'est justement là le projet. Là, je laisserai la parole à Aline et à Mathieu. beaucoup plus travaillé que moi sur le sujet et c'est vraiment intéressant, ça donne des résultats intéressants.
D'accord. Didier Barzin est l'auteur de Mercator, qui est un produit open source auquel je vous conseille. Je pense qu'on aura, j'espère, l'occasion de l'inviter dans ce podcast pour qu'il nous explique tout ça plus en détail. Alors Mathieu, Lynn, justement, est-ce que vous pouvez nous présenter un petit peu plus ce projet ? Pour répondre à cette fameuse question, est-ce qu'aujourd'hui les clés USB sont encore un vecteur d'attaque important ?
Ah oui, attendez, pardon, excusez-moi. Non, j'ai bien fait de m'arrêter parce que là c'est le moment du spectacle un peu fouillou, d'accord ? Là, pendant une minute, une minute quinze, ça va gratter un peu le bas des mollets, d'accord ? Hein ? Voilà, je ne sais pas comment vous le dire, mais ça va décoller du va-vivre, hein ? Ça va saigner les oreilles, on va dégronder du portail, je ne sais pas comment vous le dire, mais voilà, ça va. Hein ? Alors si jamais vous êtes un peu... Ça peut arriver, des fois il y a des publics un peu... Voilà, je vous le dis, vous tenez bien la manche du voisin, de la voisine, c'est comme ils faisaient dans Scooby-Doo, quand on était petit, ils traversaient la forêt en carré pour éviter les fantômes, la nuit ils avaient peur, etc. Ok, c'est un bon groupe, je vous le dis, là ça va. Tout le monde s'en branle, mais moi je sais ce qui suit, pas vous. Tout le monde s'en fout, tu n'as aucune autorité. C'est pas... Ça ne dure pas longtemps, 1 minute 30, 1 minute 40, pas très long. Et si vraiment vous ne vous sentez pas bien, vous me le dites et j'arrête tout, je suis un professionnel, je sais vous jauger.
c'est que la base, effectivement l'USB en sens général, ça peut être n'importe quoi, littéralement, d'où le plug-in prêt, cette fameuse sentence qu'on entend de façon régulière, c'est réaliste. Donc aujourd'hui, quelles sont les chances que quelqu'un branche une clé USB et la fouille ? C'est ce qu'on a tenté de... de répondre. Suite à l'idée originale de Didier, on a acheté des clés, disposé du contenu à l'intérieur. On a cherché une façon de savoir comment les gens interagissaient avec. Le problème, on ne voulait pas être intrusif. Donc on a juste choisi le poids le plus inoffensif possible. qui est la présence d'un fichier HTML parmi une grande quantité de fichiers PPT, des images, des PDF, des Word, et un fichier HTML qui contenait un lien avec un unique ID que l'on a créé pour identifier chaque clé, ce qui nous a permis de savoir où les clés sont déposées et au bout de combien de temps elles sont signées.
D'accord.
donc un peu la même technique qu'on utilise quand on fait des tests de phishing pour voir qui a cliqué sur le lien et ainsi de suite un peu mourant on n'est pas capable de savoir si quelqu'un branche la clé pour ne pas être intrusif et ne pas être détecté par les antivirus aucune action, aucun auto-start en revanche, si une personne a ouvert le fichier HTML c'est ce que l'on a quantifié Au total, je vais laisser parler Lean sur la partie chiffres. On a droppé 240 clés au total et ça s'est plutôt bien passé. Il y a eu quelques petits cas assez drôles, des pauses de clés pouvant manquer légèrement de discrétion dû au matériau utilisé, la clé étant recouverte d'un... couverture métal, ça rebondit plutôt bien au sol.
D'accord. Alors, juste pour la petite histoire, vous en avez dispersé un peu partout dans Luxembourg. Donc, vous avez fait un test grandeur nature à l'échelle du pays. Et alors, justement, à propos des résultats, est-ce que vous pourriez nous parler des résultats et ce que vous avez observé ?
Oui, alors, effectivement, on a dispersé 200 clarins. 40 clés au total dans tout le Luxembourg. Alors, on a essayé d'agir avec méthode. On a fait au départ une sorte d'analyse pour voir un peu la densité de la population de Luxembourg dans chacune des parties de Luxembourg, donc chacun des cantons. et on a fait en sorte de disperser à peu près la même quantité. de clés relativement par rapport à la densité de la population. Donc ça, c'est une première chose. Et ce que l'on voulait voir aussi à travers ça, c'était de voir s'il y avait une différence de comportement entre des zones, des cantons, par exemple Luxembourg-Ville, qui était beaucoup plus dense en population, qui était plus animée. Une différence de comportement lorsqu'on avait ces lieux-là où les clés étaient dispersées par rapport à des clés qui se trouvaient dans les villages. Et finalement, les résultats n'ont pas permis d'indiquer une différence flagrante de comportement. Mais on a essayé de disperser ça tout autour de Luxembourg.
En termes de réaction, est-ce que les gens se sont précipités sur les clés ? Alors déjà une question de base, est-ce que ces clés avaient une marque significative ? Est-ce que c'était marqué dossier confidentiel, fiche de paye du Grand-Duc, ou quelque chose qui aurait pu... Ah, elle était rouge.
C'était flashing.
Je vais passer trois minutes à vous dire que ça allait envoyer du bois, il n'y en a pas un qui met cru, alors maintenant... Je suis au milieu, il y en a encore pour 30 secondes.
D'accord, ok. Donc il n'y avait pas de différence flagrante entre une clé USB qu'on aurait vraiment égarée et une clé USB qui contiendrait des informations confidentielles ou autre.
Non, on a fait en sorte de les distribuer, ou plutôt de les disséminer dans des endroits très accessibles où il y avait beaucoup de fréquentation, et on a fait aussi en sorte que ces clés soient clairement visibles. C'est la raison pour laquelle on a choisi la couleur rouge, mais finalement, toutes les clés qui ont été disposées étaient toutes identiques. On n'a pas mis de signe distinctif sur chacune des clés, aussi parce qu'on s'inspirait. On a aussi lu une étude qui a été faite il y a dix ans de ça, qui là, dans cette étude, les personnes avaient regardé s'il y avait une différence de comportement suivant le design de la clé ou la forme ou l'apparence de la clé, et ils avaient détecté que non, ça n'était pas le cas. Donc voilà. On n'a pas souhaité recommencer cette étude-là et on a pris des clés totalement identiques.
D'accord. Et alors, en termes de résultats, quels sont les éléments significatifs que vous avez pu retirer de cette étude ? Typiquement, la rapidité avec laquelle les gens ont voulu lire les fichiers ? Est-ce qu'il y a certaines clés qui n'ont jamais été activées ? Est-ce que certaines clés ont été renvoyées ou ont été déposées dans un commissariat ? Par rapport aux résultats, qu'est-ce qui vous a semblé être significatif par rapport à ça ?
Par rapport aux résultats, sur la totalité des 240 clés qui ont été disséminées, il y a eu au total 16% des clés, donc 39. 16% des clés qui ont été récupérées et pour lesquelles le traceur, donc le tracker qu'on avait mis dans le fichier HTML, donc 16% des clés qui ont émis un hit en fait. Alors ça ne veut pas forcément dire qu'il n'y a eu que 39, donc 16% des clés qui ont été consultées, parce qu'on a simplement mis... le tracker sur un des différents fichiers qui étaient dans la clé et comme le disait aussi Mathieu tout à l'heure, on ne s'est pas autorisé ou on n'a pas été autorisé non plus à tracer toutes les clés qui ont été simplement plugées sur un ordinateur sans pour autant que le fichier HTML soit consulté. Donc, ça veut dire qu'il y en a potentiellement peut-être plus que 39 qui ont été consultés. Mais voilà, donc 16% des clés ont été, enfin, il y a eu 16% des clés pour lesquelles le fichier HTML a été consulté. Donc, ça, c'est un premier point. Un deuxième point qu'on avait, c'est qu'on a distribué dans différents lieux publics. Par contre, il y avait des lieux standards, un peu dans les rues, dans les espaces publics. Il y avait aussi un autre type de lieu qui était plus au niveau des établissements scolaires, là où potentiellement on a une population étudiante. Et on a constaté effectivement des différences. assez remarquable entre les lieux, on va dire classiques, et les clés qui ont été distribuées aux abords des établissements étudiants. Donc, ce qui avait été constaté, c'est qu'au niveau des établissements scolaires, On a eu justement… en toute proportion gardée, plus de ramasses de clés et aussi plus de consultations. Pour une clé donnée, lorsqu'on consulte une première fois le fichier HTML, on a un premier hit et plus on le consulte, plus le nombre de hits que nous récoltons par la suite augmente. Et on a effectivement constaté que pour les clés qui étaient distribuées aux abords des établissements scolaires, non seulement il y a eu plus de consultations, mais aussi une fréquence plus grande de consultations de la même clé.
D'accord. Et sur des adresses IP identiques ou différentes du coup ?
On a fait cette statistique pour justement limiter la collecte de données. Alors on a quand même, pendant un laps de temps, eu cette information. On ne l'a pas conservée. On l'a principalement conservée, on l'a principalement utilisée avant de la détruire pour localiser le code WIZ. Cela nous a permis de trouver la localité géographique potentielle, ainsi que potentiellement certaines entreprises.
Ligne, tu veux rajouter peut-être encore un mot sur cette étude, une conclusion à cette fameuse question ? Est-ce que c'est encore dangereux ?
Oui, alors en ce qui concerne le temps entre lequel la clé a été déposée et la clé... le moment où la clé a été récupérée. Alors, ce qui, moi, me semblait un peu étonnant, c'est que en fait, ce temps-là varie énormément. Donc, ça varie de 30 minutes à quand même 133 jours. Donc, il y a des personnes qui ont pris cette clé et qui ont attendu quand même plus de 100 jours avant de consulter le contenu. Donc, voilà, c'est vraiment très espacé. Et on s'est demandé pourquoi les personnes consultaient les clés. On s'est aussi inspiré un peu de l'étude, des études qu'on avait lues auparavant où ces études-là donnaient deux hypothèses. Soit finalement les personnes récupéraient les clés et consultaient les clés pour essayer de retrouver le propriétaire de la clé. soit c'était par simple curiosité. Et nous, au vu du laps de temps qui est quand même relativement long pour la plupart des captures, on est arrivé à la conclusion que c'était plutôt par curiosité que les personnes récupèrent une clé dans la rue et se mettent à la consulter.
Ah, la curiosité ! C'est le meilleur vecteur d'attaque qui existe. Mathieu, tu voulais rajouter quelque chose peut-être ?
Peut-être quelques anecdotes intéressantes. On a eu, par exemple, une clé qui a été droppée devant la voiture d'un cinquanté-liste. S'il se reconnaît, ce n'était pas volontaire. D'accord. Sinon on ne l'aurait pas mise là, on l'aurait sans doute déposée à une voiture un peu plus loin justement pour éviter que quelqu'un avec certaines compétences remarque la clé, la dépiaute, parce qu'on a aussi reçu cette photo où il informe son manager regarde ce que j'ai trouvé devant ma voiture ce n'était pas volontaire mais ça nous a beaucoup fait rire quand on l'a reçu
Au moins, il a fait son boulot sérieusement.
Complètement. Je ne suis pas sûr que ce soit en semaine. Je n'ai plus le souvenir. Mais en tout cas, ça nous a fait rire de partager ça.
Parfait. Très bien. Merci en tout cas pour ce feedback par rapport à cette étude qui est quand même assez intéressante parce que ce n'est pas des cas qu'on voit très souvent finalement. dans les tests qu'on peut faire, mais au moins ça répond à cette question. Est-ce que les clés USB sont encore dangereuses aujourd'hui ? Manifestement oui, en tout cas vous avez réussi à le démontrer. Et ça je pense que c'est quelque chose d'assez intéressant, ce n'est pas quelque chose de commun en tout cas. Au-delà de ça, vous avez quand même d'autres activités au niveau du Cluzil. Est-ce que vous voulez bien partager avec nous peut-être les prochains événements que vous avez préparés ? Je sais que... On risque d'avoir l'arrivée à Luxembourg de guest stars. Je ne vais pas spoiler le nom, parce que comme ça, les éditeurs seront obligés d'aller regarder votre site web et de regarder ce qui s'y passe. Mais vous pouvez nous en dire un peu plus, justement, sur ce que vous avez organisé pour cette année ?
Oui, alors 2026, 30 ans du Cluzil. On va avoir plusieurs événements. Le premier, justement, cette personnalité internationalement reconnue qui va venir au Luxembourg. pour discuter avec certaines administrations et certaines autorités. Vous saurez le nom, il ne va pas très longtemps,
mais je peux le faire en trois briques. Un petit jeune qui débute.
Un petit jeune qui débute. Je peux le faire en trois briques. Cryptograph. USA, libre penseur.
Voilà, donc vous verrez. Je ne vais pas lire un morceau de la notice Wikipédia, mais vous pourrez trouver et vous verrez. Donc, ce sera le 12 mai. C'est à travers ICT Luxembourg, où le Clusil est justement membre. On fait venir cette personne-là pour pouvoir échanger sur les problématiques actuelles, l'intelligence artificielle, la démocratie, la souveraineté, la cybersécurité. Donc, on va pouvoir discuter de tout ça. Et le 12 mai, en fin d'après-midi, il y aura un événement public où vous êtes... tous conviés. Ensuite, on va continuer de fêter nos 30 ans au cours du GRC Summit qui sera organisé par la Luxembourg House of Cyber Security les 3 et 4 juin. C'est exactement dans le thème du Cluzil, dans toutes les problématiques et toutes les discussions qu'on peut avoir sur la cyberdiplomatie, sur la gestion des risques, sur les technologies émergentes et les risques associés. Ça va être le sujet du Summit GRC 3 et 4 juin et il y aura la soirée d'anniversaire du Cluzil. Cluzil qui aura lieu le 3 juin justement, au soir. Et après, comme on avait dit aussi rapidement, il y a la stratégie nationale en cybersécurité qui est aussi un gros morceau sur lequel le Cluzil va contribuer. Et on soutient aussi d'autres initiatives comme B-Sides à Luxembourg qui aura lieu les 6 au 8 mai, où comme l'année dernière, on va avoir une traque Cluzil avec des speakers qui participent à B-Sides et avec le soutien du Cluzil justement pour d'autres initiatives. pour rassembler les gens, partager, échanger et même apprendre de ces PM.
Parfait. Et alors, comment on fait pour faire partie du Cluzil du coup ?
Vous nous envoyez un mail, on a un site web qui fonctionne maintenant. Donc, j'en suis assez fier, ça fait longtemps. Merci Mathieu. Et voilà, vous nous envoyez un mail sur le site web cluzil.lu. C'est aussi vous... Il y a un LinkedIn, on essaye d'être un tout petit peu actif sur LinkedIn pour partager justement les news sur les prochaines rencontres et les prochains événements. Si vous voyez passer sur LinkedIn, vous nous mettez un like et puis vous passez nous voir. On fait souvent les événements, les after-work, on les fait souvent à Luxembourg House of Cyber Security qui nous héberge et qui nous offre un grand support avec Margot. Et le site web, plusil.lu, il y a une partie Join Us et ce n'est pas grand-chose, c'est 100 euros par personne. par an et ça n'a pas bougé depuis peut-être 25 ans ou peut-être même depuis 30 ans on était toujours à 500 euros malgré l'inflation.
Il n'y a pas besoin d'être basé à Luxembourg en plus ? Non, c'est vraiment libre. D'ailleurs un certain Hervé, bien connu dans le monde de la cybersécurité, je crois qu'il fait partie du Cluzil. Oui,
ça fait très longtemps que je fais partie du Cluzil et je ne sais plus s'il y a encore donc je passe le message à Hervé s'il nous écoute. On va se parler dans pas très longtemps je pense mais il ne faut pas hésiter. Mais c'est vraiment ouvert à tout le monde. Le but, c'est d'échanger. Notre seul revenu, c'est les cotisations des membres. Donc, c'est sûr, on a besoin de ça pour faire un peu d'événements. Mais même si vous n'êtes pas membre, venez participer, échanger. C'est du try and buy. Discutez. Et tout ce que vous pouvez apporter et tout ce que vous allez pouvoir en ressortir, c'est ça qui est essentiel pour la communauté.
Bien sûr. C'est toujours très utile d'échanger avec les uns et les autres parce que, encore une fois, je pense que le métier de la cybersécurité, c'est un métier qui apprend à être humble et surtout à... qui remet sans cesse en question nos compétences et nos connaissances par ce qu'on apprend tous les jours. Peut-être que Mathieu ou Lynn, vous voulez rajouter quelque chose à ce qui vient d'être dit ?
De mon côté, c'est un plaisir d'échanger avec mes pairs au Clusil. C'est pas mal. Une bonne ouverture d'esprit des sujets à la pointe en ce moment, surtout en ce moment avec toute la presse. qui s'est officialisée. On ne lâchait que des petites brides jusqu'à présent. On a des discussions. C'est très intéressant. Les groupes de travail s'organisent plutôt bien. Et si vous avez des idées de projets, ce genre de choses, on est tout à fait ouvert au travail.
D'accord. C'est vrai que... La cybersécurité sur le plan national, eu égard au contexte géopolitique en ce moment, a un intérêt quand même assez fort. Lynn, je ne sais pas si tu veux rajouter quelque chose ?
Oui, alors la cybersécurité, effectivement, c'est un sujet dont on entend de plus en plus parler. Et il est nécessaire justement d'avoir toujours une sensibilisation. Ce que nous a appris cette étude, au vu des résultats qu'on a reçus, qui étaient sensiblement identiques. aux études qui ont été faites dix ans auparavant. Donc, on s'est posé la question si finalement la sensibilisation était suffisante, puisqu'on n'a pas vu forcément de progression dans les habitudes des personnes. Donc, il y a toujours ce risque-là et il est toujours nécessaire de sensibiliser et faire peut-être même plus pour... pour éviter que les personnes tombent dans le piège de la sécurité informatique ou de récupérer des virus ou ce genre de problème.
Parfait. Le mot de la fin, Cédric ?
Merci beaucoup pour l'invitation. Je tiens aussi à remercier tous nos membres, parce que c'est grâce à eux que le Cluzil existe. Je tiens à remercier les administrateurs et les membres du bureau du Cluzil, Yves, Raphaël, Werner, Maxime, Didier, Mathieu, Victor et Margot, pour le support que vous apportez. Et grâce à vous, l'association en tant qu'ASBL existe, et l'association en tant que club existe aussi. Et encore merci à tous les membres, et merci beaucoup Nicolas pour l'invitation.
De rien, c'était avec un grand plaisir. J'aime toujours parler de cybersécurité avec des gens d'horizons divers, parce qu'on apprend toujours. Je pense que c'est vraiment l'essence même de notre métier, déjà la communication entre nous et essayer d'approfondir nos connaissances et découvrir de nouvelles choses. C'est moi qui vous remercie pour avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Et comme je le dis très souvent, pour certains, la cybersécurité, c'est un objet de vie ou de mort, mais c'est bien plus sérieux que ça.
Share
Embed
You may also like
Description
Un épisode pour toit savoir sur le CLUSIL avec Line LAURET, Cédric MAUNY (Président) et Mathieu VAJOU.
Site web : https://clusil.lu
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Je sais que parmi... mes auditeurs, il y a des responsables de la sécurité du système d'information, les RSSI, comme on appelle ça en français ou les CISO en anglais, et on peut se sentir parfois bien seul, on mange parfois à la cantine tout seul, évidemment je dis ça un petit peu en rigolant, mais on a besoin quand même assez souvent de se rapprocher de sa communauté et d'échanger avec d'autres RSSI sur différents sujets, d'une part parce que ça fait du bien je pense d'échanger un peu ces problématiques et surtout parce que la cybersécurité c'est... avant tout des échanges de point de vue avec d'autres personnes sur des difficultés qu'on peut rencontrer. Je connais peu de personnes quand même qui arrivent tout seuls à résoudre des problèmes de cybersécurité. Et pour ça, il y a les clubs de RSSI qui existent. On en a déjà parlé dans ce podcast, on a fait une émission sur les saisins. Mais aujourd'hui, j'avais envie de passer un peu de temps pour vous expliquer un autre... un autre club de la cybersécurité, enfin de responsable de la cybersécurité, qui lui est basé à Luxembourg et qui s'appelle le Clusil. Et pour ça, j'ai l'honneur et l'avantage de discuter ce soir avec trois membres respectables de cette assemblée. Honneur aux dames, on va commencer par Lynn. Donc Lynn, déjà, est-ce que tu veux bien te présenter ?
Oui, alors bonsoir. Je m'appelle Lynn, je suis membre du Cluzil depuis deux années maintenant. Je suis dans la cybersécurité, je suis une formation. Je suis étudiante en informatique option cybersécurité, une formation que je fais en parallèle de mon activité professionnelle depuis quelques années déjà.
échanger avec ses pairs et avec des professionnels, ça fait aussi partie de la... la formation, donc bienvenue à toi. Un deuxième intervenant ce soir, Mathieu ?
Oui, bonsoir à Mathieu et à vous. On est en cyber depuis un peu de décennie. Effectivement, le cyber est quelque chose de très intéressant qui nous permet de travailler sur des projets plutôt que ça, avec communautaire dans les working group. Toujours intéressant.
Parfait. Et le dernier, pas le moindre, puisque c'est le président du Cluzil, que j'ai l'honneur et l'avantage d'avoir ce soir comme invité. Cédric, qu'est-ce que tu viens bien de te présenter ?
Bonsoir à tous et à toutes, à tous ceux qui vont écouter le podcast. Merci beaucoup Nicolas pour l'invitation. Moi, c'est Cédric Moni, je suis président du Cluzil, je suis le cinquième président du Cluzil depuis 2020, à peu près. Avec la période du Covid, je ne me souviens plus trop. Et en cybersécurité, depuis un peu plus de 20 ans, je travaille pour un opérateur telco, IT service provider, cloud et cybersécurité assez connu au Luxembourg.
D'accord, ok, parfait. Déjà une première question, vous êtes à peu près combien au Cluzil aujourd'hui ?
Alors le Cluzil, c'est une ASBL sous la nouvelle loi de 2023. Il y a 150 membres et les membres sont membres de l'association à titre personnel. C'est-à-dire ? qu'on recherche justement l'expertise, les connaissances et l'échange entre les personnes qui travaillent dans la cybersécurité ou qui s'intéressent au domaine. Donc c'est un peu plus de 150 membres, mais évidemment il y en a qui appartiennent à des sociétés et pour des raisons de simplification administrative, on va dire, les organisations peuvent soutenir aussi et contribuer aux cotisations des membres et donc c'est 30 organisations qui sont membres à travers leurs employés au sein du Clusier. Quand on regarde aussi les membres qui sont présents, ils appartiennent en tout à 30 organisations différentes de tous les secteurs d'activité. Donc le Luxembourg, on peut se dire que c'est vraiment beaucoup finance, mais ce n'est pas du tout la finance qui est le secteur majeur parmi les membres du Clusil. On a des PME, on a des offreurs de services, on a des sociétés de consulting, on a le secteur de la santé, on a de l'industrie, on a absolument tous les secteurs d'activité. C'est vraiment ça qui est intéressant dans la perspective de l'échange.
Effectivement, parce que de toute façon, la cybersécurité, ça concerne quand même tout le monde, pas seulement le secteur de la finance, évidemment, mais effectivement, tous les secteurs d'activité sont concernés. Je te remercie pour cette présentation, mais déjà, la première question que j'ai envie de vous poser, c'est, vous avez pas mal d'activités, puisqu'on en a discuté pour préparer cette émission. Est-ce que tu pourrais m'expliquer, en quelques mots, déjà, votre programme ? Et si vous avez réalisé récemment... un petit peu des événements ou des choses intéressantes. Je sais que vous avez fait une étude sur les clus USB, par exemple.
Oui, exactement. Ça, on va en parler plus en détail. Le Clusil, c'est aussi une plateforme. C'est un club d'échange. Il y a le Clusil au Luxembourg. Pour les auditeurs, je pense qu'ils connaissent aussi le Clusif en France et les Clusirs en région en France, et aussi le Clusis en Suisse. Donc, on fait partie un peu de cette communauté. Et le Clusil au Luxembourg... On cherche un peu notre voie. Il est là quand même, le Cluesil, depuis 30 ans. Elle a été créée en 1996. Et il y a toujours eu cette vocation d'avoir des groupes de travail. Donc il y a eu le groupe de travail ISO 27001, il y a eu un groupe de travail sur la fonction RSSI, des groupes de travail sur Information Security Management, ce qui permet d'apprendre et d'échanger avec les autres personnes. Et quand je suis arrivé au Luxembourg il y a un peu plus de 20 ans, je me suis inscrit justement au Cluesil pour cette... spécificité d'apprendre et de partager. Et c'est ce que j'essaye aujourd'hui, je suis le cinquième président, et c'est ce que j'essaye aujourd'hui de faire perdurer et on a nos activités qui s'organisent principalement, je vais dire, autour d'Afterwork qu'on organise fin d'après-midi, début de soirée, où on fait venir actuellement un speaker sur un thème. et la personne présente son thème. Parfois, ça peut être très intéressant parce que ça peut réviser certaines choses. Donc récemment, on a reçu la CNPD, et tout le monde sait la CNPD avec le RGPD, mais la CNPD a maintenant dans ses prérogatives la responsabilité de la mise en œuvre de l'AI Act sur l'intelligence artificielle. Donc c'est intéressant d'apprendre ça, et par exemple, la semaine prochaine, ou la semaine dernière, quand les auditeurs l'écouteront, donc le 4 février, on va recevoir l'INNAS. avec Jean-Lancrenon, qui va parler de normalisation et de Cyber Resilience Act. Cyber Resilience Act avait fait l'objet d'un de tes podcasts il y a quelques semaines, quelques mois.
Effectivement. Effectivement, avec Marc-Antoine Le Dieu, que je salue au passage. Un épisode marathon, il avait dû durer à trois heures, je pense.
Il y avait deux parties, je pense. Donc, groupe de travail. Un petit peu moins, mais on va réactiver les groupes de travail avec les travaux sur la stratégie nationale en cybersécurité. Parce que le CLUSIL fait partie aussi d'une fédération, c'est la ICT Luxembourg. Donc c'est une fédération pour l'ICT au Luxembourg, comme son nom l'indique, et qui regroupe des associations comme le CLUSIL, comme la PDL sur la protection des données, des associations plus sectorielles comme la BBL pour les banques ou la CAP pour les compagnies d'assurance. et des entreprises comme Post, comme Proximus, comme Insert. Et à travers cette fédération, justement, on va avoir l'opportunité d'être sollicité pour faire des propositions et faire des commentaires sur la stratégie nationale en cybersécurité pour le Luxembourg. Donc là, ça va être aussi un des gros sujets en termes de groupe de travail qui va donc au-delà des présentations qu'on peut avoir de temps en temps.
Juste alors pour nos éditeurs français. la CNPD à Luxembourg, c'est l'équivalent de la CNIL en France. Parce que c'est vrai que, comme on parle du Clusil qui est basé à Luxembourg, forcément, on va faire référence dans cet épisode à beaucoup de régulateurs ou d'acteurs luxembourgeois. Mais je vous donnerai l'équivalence en France pour que vous puissiez comprendre un peu mieux de quoi on parle. Alors justement, dans les workshops et dans toutes ces activités, vous organisez très régulièrement des workshops. Et justement, Mathieu, est-ce que tu peux nous en parler un peu plus ?
Je peux donner un exemple, c'est que nous avions un groupe de travail qui s'est terminé après des échanges avec la CSSF, la MF version luxembourgeoise, un événement un soir où un nomond a pu présenter ses travaux, les résultats des questions réponses et des échanges qui avaient eu lieu avec la CSSF, et juste après la CSSF a pu... présentait des points très intéressants, dont une partie qui concerne un des articles sur lequel on avait le moins de réponses, qui est sur les tests d'intrusion liés à Dora.
Ah, effectivement, un grand sujet de discussion. Alors, juste pour les éditeurs français qui ne connaissent peut-être pas forcément le Luxembourg, c'est un pays qui n'est pas, on va dire, très très grand, il faut rester honnête. Je suis allé pour prendre de l'essence,
pour prendre du tabac ou parce que t'es perdu, tout simplement. Mais pour aller en vacances au Luxembourg,
il faut vraiment que le fieste du monde ait disparu. Mais, là, tu ne peux pas dire ça. On va faire comme ça. Tu me contactes ? Moi je vais être ton guide touristique à travers le Luxembourg, je vais te montrer si il n'y a rien ici. Parce que moi je vais te montrer la Guelphra, je vais te montrer en bas la vieille ville, le Grund et tout ça, je vais te montrer le château de Viernden, je vais te montrer le Möllendal, et qu'est-ce qu'on va faire aussi pendant tout ça ? On va se knuppen des chottes de Hunnestrup, si tu veux on va faire des petites grilles, on va chez l'Allemagne, on va manger un petit bourgac et tout ça, on va chez le Portugais griller quelques sardines et je ne sais pas quoi, encore boire des sagres. Mais non, il ne faut pas dire qu'il n'y a rien ici.
Mais ça peut représenter certains avantages, c'est que du coup... les communautés se connaissent assez bien, c'est déjà la première chose. Et le contact avec les régulateurs, même si ça se fait de manière très formelle, se fait de manière assez sympathique et avec une très bonne collaboration. Donc ça, c'est quand même des éléments qui sont importants à retenir. Au-delà de ces workshops, vous avez fait une étude sur les clés USB et la possibilité de voir ce qui se passe avec les clés USB. parce que c'est un... Les clés USB, c'est quand même le cauchemar de la plupart des SSI. La première chose qu'on fait, c'est justement bloquer les clés USB. Mais le problème, c'est qu'une clé USB, ça peut être beaucoup de choses. Ça peut être du stockage, ça peut être aussi un clavier. Donc pour les plus férides techniques d'entre nous, il existe des clés USB qu'on peut programmer pour pouvoir taper du code très rapidement en imitant un clavier. Il y a aussi des clés USB qui sont malveillantes et qui vont détruire le port USB. Il y a beaucoup de choses possibles avec les clés USB. Vous avez mené une expérience qui est assez intéressante qui est de qu'est-ce qui se passe concrètement quand on laisse traîner une clé USB quelque part ? Justement, je suis assez impatient de vous entendre sur le sujet. Est-ce que vous pouvez nous expliquer, les auditeurs et moi, ce que vous avez fait et ce qu'il en est sorti ?
Le Clusil est là aussi pour échanger, c'est aussi une plateforme. Et ce qui est intéressant, c'est quand les membres ont des idées de projets et que le Clusil peut être un facilitateur pour la réalisation des projets. C'est vraiment un grand avantage pour la communauté et c'est comme ça que ça a commencé, où Didier Barzin, qui ne peut pas être là aujourd'hui, est venu avec l'idée de se dire, on a toujours parlé des clés USB comme une menace, c'est vrai que ça a toujours été une menace, quand je faisais mes analyses de risque il y a quelques années, on considérait ce risque-là, mais aujourd'hui avec les téléphones portables, on ne met plus de clés USB sur un téléphone portable, sauf exception, et donc est-ce que le risque des clés USB est toujours présent aujourd'hui en 2025-2026 ? Et c'est là le déclencheur de l'idée du projet.
C'est presque une question pour le bac de philo.
Probabilité et impact, on est exactement sur ça. Est-ce que c'est toujours un scénario et un vecteur de menace, un vecteur d'attaque qui est toujours utilisé aujourd'hui ? Et en fait, le but était d'avoir des indicateurs pour répondre à cette question. Et c'est justement là le projet. Là, je laisserai la parole à Aline et à Mathieu. beaucoup plus travaillé que moi sur le sujet et c'est vraiment intéressant, ça donne des résultats intéressants.
D'accord. Didier Barzin est l'auteur de Mercator, qui est un produit open source auquel je vous conseille. Je pense qu'on aura, j'espère, l'occasion de l'inviter dans ce podcast pour qu'il nous explique tout ça plus en détail. Alors Mathieu, Lynn, justement, est-ce que vous pouvez nous présenter un petit peu plus ce projet ? Pour répondre à cette fameuse question, est-ce qu'aujourd'hui les clés USB sont encore un vecteur d'attaque important ?
Ah oui, attendez, pardon, excusez-moi. Non, j'ai bien fait de m'arrêter parce que là c'est le moment du spectacle un peu fouillou, d'accord ? Là, pendant une minute, une minute quinze, ça va gratter un peu le bas des mollets, d'accord ? Hein ? Voilà, je ne sais pas comment vous le dire, mais ça va décoller du va-vivre, hein ? Ça va saigner les oreilles, on va dégronder du portail, je ne sais pas comment vous le dire, mais voilà, ça va. Hein ? Alors si jamais vous êtes un peu... Ça peut arriver, des fois il y a des publics un peu... Voilà, je vous le dis, vous tenez bien la manche du voisin, de la voisine, c'est comme ils faisaient dans Scooby-Doo, quand on était petit, ils traversaient la forêt en carré pour éviter les fantômes, la nuit ils avaient peur, etc. Ok, c'est un bon groupe, je vous le dis, là ça va. Tout le monde s'en branle, mais moi je sais ce qui suit, pas vous. Tout le monde s'en fout, tu n'as aucune autorité. C'est pas... Ça ne dure pas longtemps, 1 minute 30, 1 minute 40, pas très long. Et si vraiment vous ne vous sentez pas bien, vous me le dites et j'arrête tout, je suis un professionnel, je sais vous jauger.
c'est que la base, effectivement l'USB en sens général, ça peut être n'importe quoi, littéralement, d'où le plug-in prêt, cette fameuse sentence qu'on entend de façon régulière, c'est réaliste. Donc aujourd'hui, quelles sont les chances que quelqu'un branche une clé USB et la fouille ? C'est ce qu'on a tenté de... de répondre. Suite à l'idée originale de Didier, on a acheté des clés, disposé du contenu à l'intérieur. On a cherché une façon de savoir comment les gens interagissaient avec. Le problème, on ne voulait pas être intrusif. Donc on a juste choisi le poids le plus inoffensif possible. qui est la présence d'un fichier HTML parmi une grande quantité de fichiers PPT, des images, des PDF, des Word, et un fichier HTML qui contenait un lien avec un unique ID que l'on a créé pour identifier chaque clé, ce qui nous a permis de savoir où les clés sont déposées et au bout de combien de temps elles sont signées.
D'accord.
donc un peu la même technique qu'on utilise quand on fait des tests de phishing pour voir qui a cliqué sur le lien et ainsi de suite un peu mourant on n'est pas capable de savoir si quelqu'un branche la clé pour ne pas être intrusif et ne pas être détecté par les antivirus aucune action, aucun auto-start en revanche, si une personne a ouvert le fichier HTML c'est ce que l'on a quantifié Au total, je vais laisser parler Lean sur la partie chiffres. On a droppé 240 clés au total et ça s'est plutôt bien passé. Il y a eu quelques petits cas assez drôles, des pauses de clés pouvant manquer légèrement de discrétion dû au matériau utilisé, la clé étant recouverte d'un... couverture métal, ça rebondit plutôt bien au sol.
D'accord. Alors, juste pour la petite histoire, vous en avez dispersé un peu partout dans Luxembourg. Donc, vous avez fait un test grandeur nature à l'échelle du pays. Et alors, justement, à propos des résultats, est-ce que vous pourriez nous parler des résultats et ce que vous avez observé ?
Oui, alors, effectivement, on a dispersé 200 clarins. 40 clés au total dans tout le Luxembourg. Alors, on a essayé d'agir avec méthode. On a fait au départ une sorte d'analyse pour voir un peu la densité de la population de Luxembourg dans chacune des parties de Luxembourg, donc chacun des cantons. et on a fait en sorte de disperser à peu près la même quantité. de clés relativement par rapport à la densité de la population. Donc ça, c'est une première chose. Et ce que l'on voulait voir aussi à travers ça, c'était de voir s'il y avait une différence de comportement entre des zones, des cantons, par exemple Luxembourg-Ville, qui était beaucoup plus dense en population, qui était plus animée. Une différence de comportement lorsqu'on avait ces lieux-là où les clés étaient dispersées par rapport à des clés qui se trouvaient dans les villages. Et finalement, les résultats n'ont pas permis d'indiquer une différence flagrante de comportement. Mais on a essayé de disperser ça tout autour de Luxembourg.
En termes de réaction, est-ce que les gens se sont précipités sur les clés ? Alors déjà une question de base, est-ce que ces clés avaient une marque significative ? Est-ce que c'était marqué dossier confidentiel, fiche de paye du Grand-Duc, ou quelque chose qui aurait pu... Ah, elle était rouge.
C'était flashing.
Je vais passer trois minutes à vous dire que ça allait envoyer du bois, il n'y en a pas un qui met cru, alors maintenant... Je suis au milieu, il y en a encore pour 30 secondes.
D'accord, ok. Donc il n'y avait pas de différence flagrante entre une clé USB qu'on aurait vraiment égarée et une clé USB qui contiendrait des informations confidentielles ou autre.
Non, on a fait en sorte de les distribuer, ou plutôt de les disséminer dans des endroits très accessibles où il y avait beaucoup de fréquentation, et on a fait aussi en sorte que ces clés soient clairement visibles. C'est la raison pour laquelle on a choisi la couleur rouge, mais finalement, toutes les clés qui ont été disposées étaient toutes identiques. On n'a pas mis de signe distinctif sur chacune des clés, aussi parce qu'on s'inspirait. On a aussi lu une étude qui a été faite il y a dix ans de ça, qui là, dans cette étude, les personnes avaient regardé s'il y avait une différence de comportement suivant le design de la clé ou la forme ou l'apparence de la clé, et ils avaient détecté que non, ça n'était pas le cas. Donc voilà. On n'a pas souhaité recommencer cette étude-là et on a pris des clés totalement identiques.
D'accord. Et alors, en termes de résultats, quels sont les éléments significatifs que vous avez pu retirer de cette étude ? Typiquement, la rapidité avec laquelle les gens ont voulu lire les fichiers ? Est-ce qu'il y a certaines clés qui n'ont jamais été activées ? Est-ce que certaines clés ont été renvoyées ou ont été déposées dans un commissariat ? Par rapport aux résultats, qu'est-ce qui vous a semblé être significatif par rapport à ça ?
Par rapport aux résultats, sur la totalité des 240 clés qui ont été disséminées, il y a eu au total 16% des clés, donc 39. 16% des clés qui ont été récupérées et pour lesquelles le traceur, donc le tracker qu'on avait mis dans le fichier HTML, donc 16% des clés qui ont émis un hit en fait. Alors ça ne veut pas forcément dire qu'il n'y a eu que 39, donc 16% des clés qui ont été consultées, parce qu'on a simplement mis... le tracker sur un des différents fichiers qui étaient dans la clé et comme le disait aussi Mathieu tout à l'heure, on ne s'est pas autorisé ou on n'a pas été autorisé non plus à tracer toutes les clés qui ont été simplement plugées sur un ordinateur sans pour autant que le fichier HTML soit consulté. Donc, ça veut dire qu'il y en a potentiellement peut-être plus que 39 qui ont été consultés. Mais voilà, donc 16% des clés ont été, enfin, il y a eu 16% des clés pour lesquelles le fichier HTML a été consulté. Donc, ça, c'est un premier point. Un deuxième point qu'on avait, c'est qu'on a distribué dans différents lieux publics. Par contre, il y avait des lieux standards, un peu dans les rues, dans les espaces publics. Il y avait aussi un autre type de lieu qui était plus au niveau des établissements scolaires, là où potentiellement on a une population étudiante. Et on a constaté effectivement des différences. assez remarquable entre les lieux, on va dire classiques, et les clés qui ont été distribuées aux abords des établissements étudiants. Donc, ce qui avait été constaté, c'est qu'au niveau des établissements scolaires, On a eu justement… en toute proportion gardée, plus de ramasses de clés et aussi plus de consultations. Pour une clé donnée, lorsqu'on consulte une première fois le fichier HTML, on a un premier hit et plus on le consulte, plus le nombre de hits que nous récoltons par la suite augmente. Et on a effectivement constaté que pour les clés qui étaient distribuées aux abords des établissements scolaires, non seulement il y a eu plus de consultations, mais aussi une fréquence plus grande de consultations de la même clé.
D'accord. Et sur des adresses IP identiques ou différentes du coup ?
On a fait cette statistique pour justement limiter la collecte de données. Alors on a quand même, pendant un laps de temps, eu cette information. On ne l'a pas conservée. On l'a principalement conservée, on l'a principalement utilisée avant de la détruire pour localiser le code WIZ. Cela nous a permis de trouver la localité géographique potentielle, ainsi que potentiellement certaines entreprises.
Ligne, tu veux rajouter peut-être encore un mot sur cette étude, une conclusion à cette fameuse question ? Est-ce que c'est encore dangereux ?
Oui, alors en ce qui concerne le temps entre lequel la clé a été déposée et la clé... le moment où la clé a été récupérée. Alors, ce qui, moi, me semblait un peu étonnant, c'est que en fait, ce temps-là varie énormément. Donc, ça varie de 30 minutes à quand même 133 jours. Donc, il y a des personnes qui ont pris cette clé et qui ont attendu quand même plus de 100 jours avant de consulter le contenu. Donc, voilà, c'est vraiment très espacé. Et on s'est demandé pourquoi les personnes consultaient les clés. On s'est aussi inspiré un peu de l'étude, des études qu'on avait lues auparavant où ces études-là donnaient deux hypothèses. Soit finalement les personnes récupéraient les clés et consultaient les clés pour essayer de retrouver le propriétaire de la clé. soit c'était par simple curiosité. Et nous, au vu du laps de temps qui est quand même relativement long pour la plupart des captures, on est arrivé à la conclusion que c'était plutôt par curiosité que les personnes récupèrent une clé dans la rue et se mettent à la consulter.
Ah, la curiosité ! C'est le meilleur vecteur d'attaque qui existe. Mathieu, tu voulais rajouter quelque chose peut-être ?
Peut-être quelques anecdotes intéressantes. On a eu, par exemple, une clé qui a été droppée devant la voiture d'un cinquanté-liste. S'il se reconnaît, ce n'était pas volontaire. D'accord. Sinon on ne l'aurait pas mise là, on l'aurait sans doute déposée à une voiture un peu plus loin justement pour éviter que quelqu'un avec certaines compétences remarque la clé, la dépiaute, parce qu'on a aussi reçu cette photo où il informe son manager regarde ce que j'ai trouvé devant ma voiture ce n'était pas volontaire mais ça nous a beaucoup fait rire quand on l'a reçu
Au moins, il a fait son boulot sérieusement.
Complètement. Je ne suis pas sûr que ce soit en semaine. Je n'ai plus le souvenir. Mais en tout cas, ça nous a fait rire de partager ça.
Parfait. Très bien. Merci en tout cas pour ce feedback par rapport à cette étude qui est quand même assez intéressante parce que ce n'est pas des cas qu'on voit très souvent finalement. dans les tests qu'on peut faire, mais au moins ça répond à cette question. Est-ce que les clés USB sont encore dangereuses aujourd'hui ? Manifestement oui, en tout cas vous avez réussi à le démontrer. Et ça je pense que c'est quelque chose d'assez intéressant, ce n'est pas quelque chose de commun en tout cas. Au-delà de ça, vous avez quand même d'autres activités au niveau du Cluzil. Est-ce que vous voulez bien partager avec nous peut-être les prochains événements que vous avez préparés ? Je sais que... On risque d'avoir l'arrivée à Luxembourg de guest stars. Je ne vais pas spoiler le nom, parce que comme ça, les éditeurs seront obligés d'aller regarder votre site web et de regarder ce qui s'y passe. Mais vous pouvez nous en dire un peu plus, justement, sur ce que vous avez organisé pour cette année ?
Oui, alors 2026, 30 ans du Cluzil. On va avoir plusieurs événements. Le premier, justement, cette personnalité internationalement reconnue qui va venir au Luxembourg. pour discuter avec certaines administrations et certaines autorités. Vous saurez le nom, il ne va pas très longtemps,
mais je peux le faire en trois briques. Un petit jeune qui débute.
Un petit jeune qui débute. Je peux le faire en trois briques. Cryptograph. USA, libre penseur.
Voilà, donc vous verrez. Je ne vais pas lire un morceau de la notice Wikipédia, mais vous pourrez trouver et vous verrez. Donc, ce sera le 12 mai. C'est à travers ICT Luxembourg, où le Clusil est justement membre. On fait venir cette personne-là pour pouvoir échanger sur les problématiques actuelles, l'intelligence artificielle, la démocratie, la souveraineté, la cybersécurité. Donc, on va pouvoir discuter de tout ça. Et le 12 mai, en fin d'après-midi, il y aura un événement public où vous êtes... tous conviés. Ensuite, on va continuer de fêter nos 30 ans au cours du GRC Summit qui sera organisé par la Luxembourg House of Cyber Security les 3 et 4 juin. C'est exactement dans le thème du Cluzil, dans toutes les problématiques et toutes les discussions qu'on peut avoir sur la cyberdiplomatie, sur la gestion des risques, sur les technologies émergentes et les risques associés. Ça va être le sujet du Summit GRC 3 et 4 juin et il y aura la soirée d'anniversaire du Cluzil. Cluzil qui aura lieu le 3 juin justement, au soir. Et après, comme on avait dit aussi rapidement, il y a la stratégie nationale en cybersécurité qui est aussi un gros morceau sur lequel le Cluzil va contribuer. Et on soutient aussi d'autres initiatives comme B-Sides à Luxembourg qui aura lieu les 6 au 8 mai, où comme l'année dernière, on va avoir une traque Cluzil avec des speakers qui participent à B-Sides et avec le soutien du Cluzil justement pour d'autres initiatives. pour rassembler les gens, partager, échanger et même apprendre de ces PM.
Parfait. Et alors, comment on fait pour faire partie du Cluzil du coup ?
Vous nous envoyez un mail, on a un site web qui fonctionne maintenant. Donc, j'en suis assez fier, ça fait longtemps. Merci Mathieu. Et voilà, vous nous envoyez un mail sur le site web cluzil.lu. C'est aussi vous... Il y a un LinkedIn, on essaye d'être un tout petit peu actif sur LinkedIn pour partager justement les news sur les prochaines rencontres et les prochains événements. Si vous voyez passer sur LinkedIn, vous nous mettez un like et puis vous passez nous voir. On fait souvent les événements, les after-work, on les fait souvent à Luxembourg House of Cyber Security qui nous héberge et qui nous offre un grand support avec Margot. Et le site web, plusil.lu, il y a une partie Join Us et ce n'est pas grand-chose, c'est 100 euros par personne. par an et ça n'a pas bougé depuis peut-être 25 ans ou peut-être même depuis 30 ans on était toujours à 500 euros malgré l'inflation.
Il n'y a pas besoin d'être basé à Luxembourg en plus ? Non, c'est vraiment libre. D'ailleurs un certain Hervé, bien connu dans le monde de la cybersécurité, je crois qu'il fait partie du Cluzil. Oui,
ça fait très longtemps que je fais partie du Cluzil et je ne sais plus s'il y a encore donc je passe le message à Hervé s'il nous écoute. On va se parler dans pas très longtemps je pense mais il ne faut pas hésiter. Mais c'est vraiment ouvert à tout le monde. Le but, c'est d'échanger. Notre seul revenu, c'est les cotisations des membres. Donc, c'est sûr, on a besoin de ça pour faire un peu d'événements. Mais même si vous n'êtes pas membre, venez participer, échanger. C'est du try and buy. Discutez. Et tout ce que vous pouvez apporter et tout ce que vous allez pouvoir en ressortir, c'est ça qui est essentiel pour la communauté.
Bien sûr. C'est toujours très utile d'échanger avec les uns et les autres parce que, encore une fois, je pense que le métier de la cybersécurité, c'est un métier qui apprend à être humble et surtout à... qui remet sans cesse en question nos compétences et nos connaissances par ce qu'on apprend tous les jours. Peut-être que Mathieu ou Lynn, vous voulez rajouter quelque chose à ce qui vient d'être dit ?
De mon côté, c'est un plaisir d'échanger avec mes pairs au Clusil. C'est pas mal. Une bonne ouverture d'esprit des sujets à la pointe en ce moment, surtout en ce moment avec toute la presse. qui s'est officialisée. On ne lâchait que des petites brides jusqu'à présent. On a des discussions. C'est très intéressant. Les groupes de travail s'organisent plutôt bien. Et si vous avez des idées de projets, ce genre de choses, on est tout à fait ouvert au travail.
D'accord. C'est vrai que... La cybersécurité sur le plan national, eu égard au contexte géopolitique en ce moment, a un intérêt quand même assez fort. Lynn, je ne sais pas si tu veux rajouter quelque chose ?
Oui, alors la cybersécurité, effectivement, c'est un sujet dont on entend de plus en plus parler. Et il est nécessaire justement d'avoir toujours une sensibilisation. Ce que nous a appris cette étude, au vu des résultats qu'on a reçus, qui étaient sensiblement identiques. aux études qui ont été faites dix ans auparavant. Donc, on s'est posé la question si finalement la sensibilisation était suffisante, puisqu'on n'a pas vu forcément de progression dans les habitudes des personnes. Donc, il y a toujours ce risque-là et il est toujours nécessaire de sensibiliser et faire peut-être même plus pour... pour éviter que les personnes tombent dans le piège de la sécurité informatique ou de récupérer des virus ou ce genre de problème.
Parfait. Le mot de la fin, Cédric ?
Merci beaucoup pour l'invitation. Je tiens aussi à remercier tous nos membres, parce que c'est grâce à eux que le Cluzil existe. Je tiens à remercier les administrateurs et les membres du bureau du Cluzil, Yves, Raphaël, Werner, Maxime, Didier, Mathieu, Victor et Margot, pour le support que vous apportez. Et grâce à vous, l'association en tant qu'ASBL existe, et l'association en tant que club existe aussi. Et encore merci à tous les membres, et merci beaucoup Nicolas pour l'invitation.
De rien, c'était avec un grand plaisir. J'aime toujours parler de cybersécurité avec des gens d'horizons divers, parce qu'on apprend toujours. Je pense que c'est vraiment l'essence même de notre métier, déjà la communication entre nous et essayer d'approfondir nos connaissances et découvrir de nouvelles choses. C'est moi qui vous remercie pour avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Et comme je le dis très souvent, pour certains, la cybersécurité, c'est un objet de vie ou de mort, mais c'est bien plus sérieux que ça.
Description
Un épisode pour toit savoir sur le CLUSIL avec Line LAURET, Cédric MAUNY (Président) et Mathieu VAJOU.
Site web : https://clusil.lu
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Je sais que parmi... mes auditeurs, il y a des responsables de la sécurité du système d'information, les RSSI, comme on appelle ça en français ou les CISO en anglais, et on peut se sentir parfois bien seul, on mange parfois à la cantine tout seul, évidemment je dis ça un petit peu en rigolant, mais on a besoin quand même assez souvent de se rapprocher de sa communauté et d'échanger avec d'autres RSSI sur différents sujets, d'une part parce que ça fait du bien je pense d'échanger un peu ces problématiques et surtout parce que la cybersécurité c'est... avant tout des échanges de point de vue avec d'autres personnes sur des difficultés qu'on peut rencontrer. Je connais peu de personnes quand même qui arrivent tout seuls à résoudre des problèmes de cybersécurité. Et pour ça, il y a les clubs de RSSI qui existent. On en a déjà parlé dans ce podcast, on a fait une émission sur les saisins. Mais aujourd'hui, j'avais envie de passer un peu de temps pour vous expliquer un autre... un autre club de la cybersécurité, enfin de responsable de la cybersécurité, qui lui est basé à Luxembourg et qui s'appelle le Clusil. Et pour ça, j'ai l'honneur et l'avantage de discuter ce soir avec trois membres respectables de cette assemblée. Honneur aux dames, on va commencer par Lynn. Donc Lynn, déjà, est-ce que tu veux bien te présenter ?
Oui, alors bonsoir. Je m'appelle Lynn, je suis membre du Cluzil depuis deux années maintenant. Je suis dans la cybersécurité, je suis une formation. Je suis étudiante en informatique option cybersécurité, une formation que je fais en parallèle de mon activité professionnelle depuis quelques années déjà.
échanger avec ses pairs et avec des professionnels, ça fait aussi partie de la... la formation, donc bienvenue à toi. Un deuxième intervenant ce soir, Mathieu ?
Oui, bonsoir à Mathieu et à vous. On est en cyber depuis un peu de décennie. Effectivement, le cyber est quelque chose de très intéressant qui nous permet de travailler sur des projets plutôt que ça, avec communautaire dans les working group. Toujours intéressant.
Parfait. Et le dernier, pas le moindre, puisque c'est le président du Cluzil, que j'ai l'honneur et l'avantage d'avoir ce soir comme invité. Cédric, qu'est-ce que tu viens bien de te présenter ?
Bonsoir à tous et à toutes, à tous ceux qui vont écouter le podcast. Merci beaucoup Nicolas pour l'invitation. Moi, c'est Cédric Moni, je suis président du Cluzil, je suis le cinquième président du Cluzil depuis 2020, à peu près. Avec la période du Covid, je ne me souviens plus trop. Et en cybersécurité, depuis un peu plus de 20 ans, je travaille pour un opérateur telco, IT service provider, cloud et cybersécurité assez connu au Luxembourg.
D'accord, ok, parfait. Déjà une première question, vous êtes à peu près combien au Cluzil aujourd'hui ?
Alors le Cluzil, c'est une ASBL sous la nouvelle loi de 2023. Il y a 150 membres et les membres sont membres de l'association à titre personnel. C'est-à-dire ? qu'on recherche justement l'expertise, les connaissances et l'échange entre les personnes qui travaillent dans la cybersécurité ou qui s'intéressent au domaine. Donc c'est un peu plus de 150 membres, mais évidemment il y en a qui appartiennent à des sociétés et pour des raisons de simplification administrative, on va dire, les organisations peuvent soutenir aussi et contribuer aux cotisations des membres et donc c'est 30 organisations qui sont membres à travers leurs employés au sein du Clusier. Quand on regarde aussi les membres qui sont présents, ils appartiennent en tout à 30 organisations différentes de tous les secteurs d'activité. Donc le Luxembourg, on peut se dire que c'est vraiment beaucoup finance, mais ce n'est pas du tout la finance qui est le secteur majeur parmi les membres du Clusil. On a des PME, on a des offreurs de services, on a des sociétés de consulting, on a le secteur de la santé, on a de l'industrie, on a absolument tous les secteurs d'activité. C'est vraiment ça qui est intéressant dans la perspective de l'échange.
Effectivement, parce que de toute façon, la cybersécurité, ça concerne quand même tout le monde, pas seulement le secteur de la finance, évidemment, mais effectivement, tous les secteurs d'activité sont concernés. Je te remercie pour cette présentation, mais déjà, la première question que j'ai envie de vous poser, c'est, vous avez pas mal d'activités, puisqu'on en a discuté pour préparer cette émission. Est-ce que tu pourrais m'expliquer, en quelques mots, déjà, votre programme ? Et si vous avez réalisé récemment... un petit peu des événements ou des choses intéressantes. Je sais que vous avez fait une étude sur les clus USB, par exemple.
Oui, exactement. Ça, on va en parler plus en détail. Le Clusil, c'est aussi une plateforme. C'est un club d'échange. Il y a le Clusil au Luxembourg. Pour les auditeurs, je pense qu'ils connaissent aussi le Clusif en France et les Clusirs en région en France, et aussi le Clusis en Suisse. Donc, on fait partie un peu de cette communauté. Et le Clusil au Luxembourg... On cherche un peu notre voie. Il est là quand même, le Cluesil, depuis 30 ans. Elle a été créée en 1996. Et il y a toujours eu cette vocation d'avoir des groupes de travail. Donc il y a eu le groupe de travail ISO 27001, il y a eu un groupe de travail sur la fonction RSSI, des groupes de travail sur Information Security Management, ce qui permet d'apprendre et d'échanger avec les autres personnes. Et quand je suis arrivé au Luxembourg il y a un peu plus de 20 ans, je me suis inscrit justement au Cluesil pour cette... spécificité d'apprendre et de partager. Et c'est ce que j'essaye aujourd'hui, je suis le cinquième président, et c'est ce que j'essaye aujourd'hui de faire perdurer et on a nos activités qui s'organisent principalement, je vais dire, autour d'Afterwork qu'on organise fin d'après-midi, début de soirée, où on fait venir actuellement un speaker sur un thème. et la personne présente son thème. Parfois, ça peut être très intéressant parce que ça peut réviser certaines choses. Donc récemment, on a reçu la CNPD, et tout le monde sait la CNPD avec le RGPD, mais la CNPD a maintenant dans ses prérogatives la responsabilité de la mise en œuvre de l'AI Act sur l'intelligence artificielle. Donc c'est intéressant d'apprendre ça, et par exemple, la semaine prochaine, ou la semaine dernière, quand les auditeurs l'écouteront, donc le 4 février, on va recevoir l'INNAS. avec Jean-Lancrenon, qui va parler de normalisation et de Cyber Resilience Act. Cyber Resilience Act avait fait l'objet d'un de tes podcasts il y a quelques semaines, quelques mois.
Effectivement. Effectivement, avec Marc-Antoine Le Dieu, que je salue au passage. Un épisode marathon, il avait dû durer à trois heures, je pense.
Il y avait deux parties, je pense. Donc, groupe de travail. Un petit peu moins, mais on va réactiver les groupes de travail avec les travaux sur la stratégie nationale en cybersécurité. Parce que le CLUSIL fait partie aussi d'une fédération, c'est la ICT Luxembourg. Donc c'est une fédération pour l'ICT au Luxembourg, comme son nom l'indique, et qui regroupe des associations comme le CLUSIL, comme la PDL sur la protection des données, des associations plus sectorielles comme la BBL pour les banques ou la CAP pour les compagnies d'assurance. et des entreprises comme Post, comme Proximus, comme Insert. Et à travers cette fédération, justement, on va avoir l'opportunité d'être sollicité pour faire des propositions et faire des commentaires sur la stratégie nationale en cybersécurité pour le Luxembourg. Donc là, ça va être aussi un des gros sujets en termes de groupe de travail qui va donc au-delà des présentations qu'on peut avoir de temps en temps.
Juste alors pour nos éditeurs français. la CNPD à Luxembourg, c'est l'équivalent de la CNIL en France. Parce que c'est vrai que, comme on parle du Clusil qui est basé à Luxembourg, forcément, on va faire référence dans cet épisode à beaucoup de régulateurs ou d'acteurs luxembourgeois. Mais je vous donnerai l'équivalence en France pour que vous puissiez comprendre un peu mieux de quoi on parle. Alors justement, dans les workshops et dans toutes ces activités, vous organisez très régulièrement des workshops. Et justement, Mathieu, est-ce que tu peux nous en parler un peu plus ?
Je peux donner un exemple, c'est que nous avions un groupe de travail qui s'est terminé après des échanges avec la CSSF, la MF version luxembourgeoise, un événement un soir où un nomond a pu présenter ses travaux, les résultats des questions réponses et des échanges qui avaient eu lieu avec la CSSF, et juste après la CSSF a pu... présentait des points très intéressants, dont une partie qui concerne un des articles sur lequel on avait le moins de réponses, qui est sur les tests d'intrusion liés à Dora.
Ah, effectivement, un grand sujet de discussion. Alors, juste pour les éditeurs français qui ne connaissent peut-être pas forcément le Luxembourg, c'est un pays qui n'est pas, on va dire, très très grand, il faut rester honnête. Je suis allé pour prendre de l'essence,
pour prendre du tabac ou parce que t'es perdu, tout simplement. Mais pour aller en vacances au Luxembourg,
il faut vraiment que le fieste du monde ait disparu. Mais, là, tu ne peux pas dire ça. On va faire comme ça. Tu me contactes ? Moi je vais être ton guide touristique à travers le Luxembourg, je vais te montrer si il n'y a rien ici. Parce que moi je vais te montrer la Guelphra, je vais te montrer en bas la vieille ville, le Grund et tout ça, je vais te montrer le château de Viernden, je vais te montrer le Möllendal, et qu'est-ce qu'on va faire aussi pendant tout ça ? On va se knuppen des chottes de Hunnestrup, si tu veux on va faire des petites grilles, on va chez l'Allemagne, on va manger un petit bourgac et tout ça, on va chez le Portugais griller quelques sardines et je ne sais pas quoi, encore boire des sagres. Mais non, il ne faut pas dire qu'il n'y a rien ici.
Mais ça peut représenter certains avantages, c'est que du coup... les communautés se connaissent assez bien, c'est déjà la première chose. Et le contact avec les régulateurs, même si ça se fait de manière très formelle, se fait de manière assez sympathique et avec une très bonne collaboration. Donc ça, c'est quand même des éléments qui sont importants à retenir. Au-delà de ces workshops, vous avez fait une étude sur les clés USB et la possibilité de voir ce qui se passe avec les clés USB. parce que c'est un... Les clés USB, c'est quand même le cauchemar de la plupart des SSI. La première chose qu'on fait, c'est justement bloquer les clés USB. Mais le problème, c'est qu'une clé USB, ça peut être beaucoup de choses. Ça peut être du stockage, ça peut être aussi un clavier. Donc pour les plus férides techniques d'entre nous, il existe des clés USB qu'on peut programmer pour pouvoir taper du code très rapidement en imitant un clavier. Il y a aussi des clés USB qui sont malveillantes et qui vont détruire le port USB. Il y a beaucoup de choses possibles avec les clés USB. Vous avez mené une expérience qui est assez intéressante qui est de qu'est-ce qui se passe concrètement quand on laisse traîner une clé USB quelque part ? Justement, je suis assez impatient de vous entendre sur le sujet. Est-ce que vous pouvez nous expliquer, les auditeurs et moi, ce que vous avez fait et ce qu'il en est sorti ?
Le Clusil est là aussi pour échanger, c'est aussi une plateforme. Et ce qui est intéressant, c'est quand les membres ont des idées de projets et que le Clusil peut être un facilitateur pour la réalisation des projets. C'est vraiment un grand avantage pour la communauté et c'est comme ça que ça a commencé, où Didier Barzin, qui ne peut pas être là aujourd'hui, est venu avec l'idée de se dire, on a toujours parlé des clés USB comme une menace, c'est vrai que ça a toujours été une menace, quand je faisais mes analyses de risque il y a quelques années, on considérait ce risque-là, mais aujourd'hui avec les téléphones portables, on ne met plus de clés USB sur un téléphone portable, sauf exception, et donc est-ce que le risque des clés USB est toujours présent aujourd'hui en 2025-2026 ? Et c'est là le déclencheur de l'idée du projet.
C'est presque une question pour le bac de philo.
Probabilité et impact, on est exactement sur ça. Est-ce que c'est toujours un scénario et un vecteur de menace, un vecteur d'attaque qui est toujours utilisé aujourd'hui ? Et en fait, le but était d'avoir des indicateurs pour répondre à cette question. Et c'est justement là le projet. Là, je laisserai la parole à Aline et à Mathieu. beaucoup plus travaillé que moi sur le sujet et c'est vraiment intéressant, ça donne des résultats intéressants.
D'accord. Didier Barzin est l'auteur de Mercator, qui est un produit open source auquel je vous conseille. Je pense qu'on aura, j'espère, l'occasion de l'inviter dans ce podcast pour qu'il nous explique tout ça plus en détail. Alors Mathieu, Lynn, justement, est-ce que vous pouvez nous présenter un petit peu plus ce projet ? Pour répondre à cette fameuse question, est-ce qu'aujourd'hui les clés USB sont encore un vecteur d'attaque important ?
Ah oui, attendez, pardon, excusez-moi. Non, j'ai bien fait de m'arrêter parce que là c'est le moment du spectacle un peu fouillou, d'accord ? Là, pendant une minute, une minute quinze, ça va gratter un peu le bas des mollets, d'accord ? Hein ? Voilà, je ne sais pas comment vous le dire, mais ça va décoller du va-vivre, hein ? Ça va saigner les oreilles, on va dégronder du portail, je ne sais pas comment vous le dire, mais voilà, ça va. Hein ? Alors si jamais vous êtes un peu... Ça peut arriver, des fois il y a des publics un peu... Voilà, je vous le dis, vous tenez bien la manche du voisin, de la voisine, c'est comme ils faisaient dans Scooby-Doo, quand on était petit, ils traversaient la forêt en carré pour éviter les fantômes, la nuit ils avaient peur, etc. Ok, c'est un bon groupe, je vous le dis, là ça va. Tout le monde s'en branle, mais moi je sais ce qui suit, pas vous. Tout le monde s'en fout, tu n'as aucune autorité. C'est pas... Ça ne dure pas longtemps, 1 minute 30, 1 minute 40, pas très long. Et si vraiment vous ne vous sentez pas bien, vous me le dites et j'arrête tout, je suis un professionnel, je sais vous jauger.
c'est que la base, effectivement l'USB en sens général, ça peut être n'importe quoi, littéralement, d'où le plug-in prêt, cette fameuse sentence qu'on entend de façon régulière, c'est réaliste. Donc aujourd'hui, quelles sont les chances que quelqu'un branche une clé USB et la fouille ? C'est ce qu'on a tenté de... de répondre. Suite à l'idée originale de Didier, on a acheté des clés, disposé du contenu à l'intérieur. On a cherché une façon de savoir comment les gens interagissaient avec. Le problème, on ne voulait pas être intrusif. Donc on a juste choisi le poids le plus inoffensif possible. qui est la présence d'un fichier HTML parmi une grande quantité de fichiers PPT, des images, des PDF, des Word, et un fichier HTML qui contenait un lien avec un unique ID que l'on a créé pour identifier chaque clé, ce qui nous a permis de savoir où les clés sont déposées et au bout de combien de temps elles sont signées.
D'accord.
donc un peu la même technique qu'on utilise quand on fait des tests de phishing pour voir qui a cliqué sur le lien et ainsi de suite un peu mourant on n'est pas capable de savoir si quelqu'un branche la clé pour ne pas être intrusif et ne pas être détecté par les antivirus aucune action, aucun auto-start en revanche, si une personne a ouvert le fichier HTML c'est ce que l'on a quantifié Au total, je vais laisser parler Lean sur la partie chiffres. On a droppé 240 clés au total et ça s'est plutôt bien passé. Il y a eu quelques petits cas assez drôles, des pauses de clés pouvant manquer légèrement de discrétion dû au matériau utilisé, la clé étant recouverte d'un... couverture métal, ça rebondit plutôt bien au sol.
D'accord. Alors, juste pour la petite histoire, vous en avez dispersé un peu partout dans Luxembourg. Donc, vous avez fait un test grandeur nature à l'échelle du pays. Et alors, justement, à propos des résultats, est-ce que vous pourriez nous parler des résultats et ce que vous avez observé ?
Oui, alors, effectivement, on a dispersé 200 clarins. 40 clés au total dans tout le Luxembourg. Alors, on a essayé d'agir avec méthode. On a fait au départ une sorte d'analyse pour voir un peu la densité de la population de Luxembourg dans chacune des parties de Luxembourg, donc chacun des cantons. et on a fait en sorte de disperser à peu près la même quantité. de clés relativement par rapport à la densité de la population. Donc ça, c'est une première chose. Et ce que l'on voulait voir aussi à travers ça, c'était de voir s'il y avait une différence de comportement entre des zones, des cantons, par exemple Luxembourg-Ville, qui était beaucoup plus dense en population, qui était plus animée. Une différence de comportement lorsqu'on avait ces lieux-là où les clés étaient dispersées par rapport à des clés qui se trouvaient dans les villages. Et finalement, les résultats n'ont pas permis d'indiquer une différence flagrante de comportement. Mais on a essayé de disperser ça tout autour de Luxembourg.
En termes de réaction, est-ce que les gens se sont précipités sur les clés ? Alors déjà une question de base, est-ce que ces clés avaient une marque significative ? Est-ce que c'était marqué dossier confidentiel, fiche de paye du Grand-Duc, ou quelque chose qui aurait pu... Ah, elle était rouge.
C'était flashing.
Je vais passer trois minutes à vous dire que ça allait envoyer du bois, il n'y en a pas un qui met cru, alors maintenant... Je suis au milieu, il y en a encore pour 30 secondes.
D'accord, ok. Donc il n'y avait pas de différence flagrante entre une clé USB qu'on aurait vraiment égarée et une clé USB qui contiendrait des informations confidentielles ou autre.
Non, on a fait en sorte de les distribuer, ou plutôt de les disséminer dans des endroits très accessibles où il y avait beaucoup de fréquentation, et on a fait aussi en sorte que ces clés soient clairement visibles. C'est la raison pour laquelle on a choisi la couleur rouge, mais finalement, toutes les clés qui ont été disposées étaient toutes identiques. On n'a pas mis de signe distinctif sur chacune des clés, aussi parce qu'on s'inspirait. On a aussi lu une étude qui a été faite il y a dix ans de ça, qui là, dans cette étude, les personnes avaient regardé s'il y avait une différence de comportement suivant le design de la clé ou la forme ou l'apparence de la clé, et ils avaient détecté que non, ça n'était pas le cas. Donc voilà. On n'a pas souhaité recommencer cette étude-là et on a pris des clés totalement identiques.
D'accord. Et alors, en termes de résultats, quels sont les éléments significatifs que vous avez pu retirer de cette étude ? Typiquement, la rapidité avec laquelle les gens ont voulu lire les fichiers ? Est-ce qu'il y a certaines clés qui n'ont jamais été activées ? Est-ce que certaines clés ont été renvoyées ou ont été déposées dans un commissariat ? Par rapport aux résultats, qu'est-ce qui vous a semblé être significatif par rapport à ça ?
Par rapport aux résultats, sur la totalité des 240 clés qui ont été disséminées, il y a eu au total 16% des clés, donc 39. 16% des clés qui ont été récupérées et pour lesquelles le traceur, donc le tracker qu'on avait mis dans le fichier HTML, donc 16% des clés qui ont émis un hit en fait. Alors ça ne veut pas forcément dire qu'il n'y a eu que 39, donc 16% des clés qui ont été consultées, parce qu'on a simplement mis... le tracker sur un des différents fichiers qui étaient dans la clé et comme le disait aussi Mathieu tout à l'heure, on ne s'est pas autorisé ou on n'a pas été autorisé non plus à tracer toutes les clés qui ont été simplement plugées sur un ordinateur sans pour autant que le fichier HTML soit consulté. Donc, ça veut dire qu'il y en a potentiellement peut-être plus que 39 qui ont été consultés. Mais voilà, donc 16% des clés ont été, enfin, il y a eu 16% des clés pour lesquelles le fichier HTML a été consulté. Donc, ça, c'est un premier point. Un deuxième point qu'on avait, c'est qu'on a distribué dans différents lieux publics. Par contre, il y avait des lieux standards, un peu dans les rues, dans les espaces publics. Il y avait aussi un autre type de lieu qui était plus au niveau des établissements scolaires, là où potentiellement on a une population étudiante. Et on a constaté effectivement des différences. assez remarquable entre les lieux, on va dire classiques, et les clés qui ont été distribuées aux abords des établissements étudiants. Donc, ce qui avait été constaté, c'est qu'au niveau des établissements scolaires, On a eu justement… en toute proportion gardée, plus de ramasses de clés et aussi plus de consultations. Pour une clé donnée, lorsqu'on consulte une première fois le fichier HTML, on a un premier hit et plus on le consulte, plus le nombre de hits que nous récoltons par la suite augmente. Et on a effectivement constaté que pour les clés qui étaient distribuées aux abords des établissements scolaires, non seulement il y a eu plus de consultations, mais aussi une fréquence plus grande de consultations de la même clé.
D'accord. Et sur des adresses IP identiques ou différentes du coup ?
On a fait cette statistique pour justement limiter la collecte de données. Alors on a quand même, pendant un laps de temps, eu cette information. On ne l'a pas conservée. On l'a principalement conservée, on l'a principalement utilisée avant de la détruire pour localiser le code WIZ. Cela nous a permis de trouver la localité géographique potentielle, ainsi que potentiellement certaines entreprises.
Ligne, tu veux rajouter peut-être encore un mot sur cette étude, une conclusion à cette fameuse question ? Est-ce que c'est encore dangereux ?
Oui, alors en ce qui concerne le temps entre lequel la clé a été déposée et la clé... le moment où la clé a été récupérée. Alors, ce qui, moi, me semblait un peu étonnant, c'est que en fait, ce temps-là varie énormément. Donc, ça varie de 30 minutes à quand même 133 jours. Donc, il y a des personnes qui ont pris cette clé et qui ont attendu quand même plus de 100 jours avant de consulter le contenu. Donc, voilà, c'est vraiment très espacé. Et on s'est demandé pourquoi les personnes consultaient les clés. On s'est aussi inspiré un peu de l'étude, des études qu'on avait lues auparavant où ces études-là donnaient deux hypothèses. Soit finalement les personnes récupéraient les clés et consultaient les clés pour essayer de retrouver le propriétaire de la clé. soit c'était par simple curiosité. Et nous, au vu du laps de temps qui est quand même relativement long pour la plupart des captures, on est arrivé à la conclusion que c'était plutôt par curiosité que les personnes récupèrent une clé dans la rue et se mettent à la consulter.
Ah, la curiosité ! C'est le meilleur vecteur d'attaque qui existe. Mathieu, tu voulais rajouter quelque chose peut-être ?
Peut-être quelques anecdotes intéressantes. On a eu, par exemple, une clé qui a été droppée devant la voiture d'un cinquanté-liste. S'il se reconnaît, ce n'était pas volontaire. D'accord. Sinon on ne l'aurait pas mise là, on l'aurait sans doute déposée à une voiture un peu plus loin justement pour éviter que quelqu'un avec certaines compétences remarque la clé, la dépiaute, parce qu'on a aussi reçu cette photo où il informe son manager regarde ce que j'ai trouvé devant ma voiture ce n'était pas volontaire mais ça nous a beaucoup fait rire quand on l'a reçu
Au moins, il a fait son boulot sérieusement.
Complètement. Je ne suis pas sûr que ce soit en semaine. Je n'ai plus le souvenir. Mais en tout cas, ça nous a fait rire de partager ça.
Parfait. Très bien. Merci en tout cas pour ce feedback par rapport à cette étude qui est quand même assez intéressante parce que ce n'est pas des cas qu'on voit très souvent finalement. dans les tests qu'on peut faire, mais au moins ça répond à cette question. Est-ce que les clés USB sont encore dangereuses aujourd'hui ? Manifestement oui, en tout cas vous avez réussi à le démontrer. Et ça je pense que c'est quelque chose d'assez intéressant, ce n'est pas quelque chose de commun en tout cas. Au-delà de ça, vous avez quand même d'autres activités au niveau du Cluzil. Est-ce que vous voulez bien partager avec nous peut-être les prochains événements que vous avez préparés ? Je sais que... On risque d'avoir l'arrivée à Luxembourg de guest stars. Je ne vais pas spoiler le nom, parce que comme ça, les éditeurs seront obligés d'aller regarder votre site web et de regarder ce qui s'y passe. Mais vous pouvez nous en dire un peu plus, justement, sur ce que vous avez organisé pour cette année ?
Oui, alors 2026, 30 ans du Cluzil. On va avoir plusieurs événements. Le premier, justement, cette personnalité internationalement reconnue qui va venir au Luxembourg. pour discuter avec certaines administrations et certaines autorités. Vous saurez le nom, il ne va pas très longtemps,
mais je peux le faire en trois briques. Un petit jeune qui débute.
Un petit jeune qui débute. Je peux le faire en trois briques. Cryptograph. USA, libre penseur.
Voilà, donc vous verrez. Je ne vais pas lire un morceau de la notice Wikipédia, mais vous pourrez trouver et vous verrez. Donc, ce sera le 12 mai. C'est à travers ICT Luxembourg, où le Clusil est justement membre. On fait venir cette personne-là pour pouvoir échanger sur les problématiques actuelles, l'intelligence artificielle, la démocratie, la souveraineté, la cybersécurité. Donc, on va pouvoir discuter de tout ça. Et le 12 mai, en fin d'après-midi, il y aura un événement public où vous êtes... tous conviés. Ensuite, on va continuer de fêter nos 30 ans au cours du GRC Summit qui sera organisé par la Luxembourg House of Cyber Security les 3 et 4 juin. C'est exactement dans le thème du Cluzil, dans toutes les problématiques et toutes les discussions qu'on peut avoir sur la cyberdiplomatie, sur la gestion des risques, sur les technologies émergentes et les risques associés. Ça va être le sujet du Summit GRC 3 et 4 juin et il y aura la soirée d'anniversaire du Cluzil. Cluzil qui aura lieu le 3 juin justement, au soir. Et après, comme on avait dit aussi rapidement, il y a la stratégie nationale en cybersécurité qui est aussi un gros morceau sur lequel le Cluzil va contribuer. Et on soutient aussi d'autres initiatives comme B-Sides à Luxembourg qui aura lieu les 6 au 8 mai, où comme l'année dernière, on va avoir une traque Cluzil avec des speakers qui participent à B-Sides et avec le soutien du Cluzil justement pour d'autres initiatives. pour rassembler les gens, partager, échanger et même apprendre de ces PM.
Parfait. Et alors, comment on fait pour faire partie du Cluzil du coup ?
Vous nous envoyez un mail, on a un site web qui fonctionne maintenant. Donc, j'en suis assez fier, ça fait longtemps. Merci Mathieu. Et voilà, vous nous envoyez un mail sur le site web cluzil.lu. C'est aussi vous... Il y a un LinkedIn, on essaye d'être un tout petit peu actif sur LinkedIn pour partager justement les news sur les prochaines rencontres et les prochains événements. Si vous voyez passer sur LinkedIn, vous nous mettez un like et puis vous passez nous voir. On fait souvent les événements, les after-work, on les fait souvent à Luxembourg House of Cyber Security qui nous héberge et qui nous offre un grand support avec Margot. Et le site web, plusil.lu, il y a une partie Join Us et ce n'est pas grand-chose, c'est 100 euros par personne. par an et ça n'a pas bougé depuis peut-être 25 ans ou peut-être même depuis 30 ans on était toujours à 500 euros malgré l'inflation.
Il n'y a pas besoin d'être basé à Luxembourg en plus ? Non, c'est vraiment libre. D'ailleurs un certain Hervé, bien connu dans le monde de la cybersécurité, je crois qu'il fait partie du Cluzil. Oui,
ça fait très longtemps que je fais partie du Cluzil et je ne sais plus s'il y a encore donc je passe le message à Hervé s'il nous écoute. On va se parler dans pas très longtemps je pense mais il ne faut pas hésiter. Mais c'est vraiment ouvert à tout le monde. Le but, c'est d'échanger. Notre seul revenu, c'est les cotisations des membres. Donc, c'est sûr, on a besoin de ça pour faire un peu d'événements. Mais même si vous n'êtes pas membre, venez participer, échanger. C'est du try and buy. Discutez. Et tout ce que vous pouvez apporter et tout ce que vous allez pouvoir en ressortir, c'est ça qui est essentiel pour la communauté.
Bien sûr. C'est toujours très utile d'échanger avec les uns et les autres parce que, encore une fois, je pense que le métier de la cybersécurité, c'est un métier qui apprend à être humble et surtout à... qui remet sans cesse en question nos compétences et nos connaissances par ce qu'on apprend tous les jours. Peut-être que Mathieu ou Lynn, vous voulez rajouter quelque chose à ce qui vient d'être dit ?
De mon côté, c'est un plaisir d'échanger avec mes pairs au Clusil. C'est pas mal. Une bonne ouverture d'esprit des sujets à la pointe en ce moment, surtout en ce moment avec toute la presse. qui s'est officialisée. On ne lâchait que des petites brides jusqu'à présent. On a des discussions. C'est très intéressant. Les groupes de travail s'organisent plutôt bien. Et si vous avez des idées de projets, ce genre de choses, on est tout à fait ouvert au travail.
D'accord. C'est vrai que... La cybersécurité sur le plan national, eu égard au contexte géopolitique en ce moment, a un intérêt quand même assez fort. Lynn, je ne sais pas si tu veux rajouter quelque chose ?
Oui, alors la cybersécurité, effectivement, c'est un sujet dont on entend de plus en plus parler. Et il est nécessaire justement d'avoir toujours une sensibilisation. Ce que nous a appris cette étude, au vu des résultats qu'on a reçus, qui étaient sensiblement identiques. aux études qui ont été faites dix ans auparavant. Donc, on s'est posé la question si finalement la sensibilisation était suffisante, puisqu'on n'a pas vu forcément de progression dans les habitudes des personnes. Donc, il y a toujours ce risque-là et il est toujours nécessaire de sensibiliser et faire peut-être même plus pour... pour éviter que les personnes tombent dans le piège de la sécurité informatique ou de récupérer des virus ou ce genre de problème.
Parfait. Le mot de la fin, Cédric ?
Merci beaucoup pour l'invitation. Je tiens aussi à remercier tous nos membres, parce que c'est grâce à eux que le Cluzil existe. Je tiens à remercier les administrateurs et les membres du bureau du Cluzil, Yves, Raphaël, Werner, Maxime, Didier, Mathieu, Victor et Margot, pour le support que vous apportez. Et grâce à vous, l'association en tant qu'ASBL existe, et l'association en tant que club existe aussi. Et encore merci à tous les membres, et merci beaucoup Nicolas pour l'invitation.
De rien, c'était avec un grand plaisir. J'aime toujours parler de cybersécurité avec des gens d'horizons divers, parce qu'on apprend toujours. Je pense que c'est vraiment l'essence même de notre métier, déjà la communication entre nous et essayer d'approfondir nos connaissances et découvrir de nouvelles choses. C'est moi qui vous remercie pour avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Et comme je le dis très souvent, pour certains, la cybersécurité, c'est un objet de vie ou de mort, mais c'est bien plus sérieux que ça.
Share
Embed
You may also like