Profile

Cover photo
Morgan Hotonnier
Works at ComptoirSécu
Attended EPITA
185 followers|660,583 views
AboutPosts
Work
Occupation
Professionnel de la sécurité des systèmes d'information
Skills
Podcast, Sensibilisation utilisateur, Sécurité de l'information
Employment
  • ComptoirSécu
    Co-fondadeur, 2013 - present
    Animé par 3 jeunes ingénieurs évoluant dans le domaine, ce podcast bimensuel traite des différentes problématiques de la sécurité informatique. Toujours dans la bonne humeur et si possible autour d'un verre, on échange sur l’actualité, réalise des dossiers sur des sujets techniques, partage les opinions de chacun lors de débats… Alors, n’hésitez pas, et venez nous rejoindre au Comptoir Sécu !
  • Exane
    Assistant RSSI / RPCA Groupe, 2013 - present
    Assistant du RSSI (Responsable de la Sécurité du Système d'Information) et RPCA (Responsable du Plan de Continuité d'Activité) groupe d'Exane. J'encadre des projets aussi bien techniques qu'organisationnels pour l'ensemble du groupe Exane, implanté dans 9 pays.
Basic Information
Gender
Male
Looking for
Networking
Story
Tagline
Passionné par la sécurité, laissez moi vous convaincre que vous n’avez pas “rien à cacher”.
Introduction
Ingénieur spécialisé en SSI (Sécurité des Systèmes d'Information), j'ai réalisé plusieurs prestations en sécurité et continuité d'activité en tant que consultant.

Je suis depuis mai 2013 l'assistant du RSSI (Responsable de la Sécurité du Système d'Information) et RPCA (Responsable du Plan de Continuité d'Activité) groupe d'Exane.

J'encadre des projets techniques et organisationnels relatifs à la sécurité du SI pour l'ensemble du groupe Exane, implanté dans 9 pays (France, Royaume-Unis, Etats Unis, Suisse, Suède, Italie, Allemagne, Singapour, Espagne).

Quelques exemples de projets : 
  • Solution DLP (prévention de la fuite des données)
  • Définition et entretien de la PGSSI (Politique Générale de la Sécurité du Système d'Information) et de la charte informatique
  • Programme de sensibilisation utilisateur à la sécurité du SI
  • Classification des données
  • Sécurité réseau et SIEM (Corrélation des événements et incidents de sécurité IT)
Formateur occasionnel, j'attache beaucoup d'importance à la sensibilisation utilisateur et une approche pédagogique de la sécurité. C'est pourquoi avec des confrères nous avons créé le Comptoir Sécu (http://www.comptoirsecu.fr).

Le Comptoir Sécu est un podcast audio bimensuel traitant des enjeux de la sécurité des systèmes d’information sous de nombreux aspects. Nous traitons de sujets très variés, du débat publique comme l’affaire Prism, du un peu plus technique comme le projet SSL ou le protocole DNSSec, ou encore de sujets plus généralistes comme le rôle du RSSI en entreprise. Le tout est traité sous différents formats (interviews, débats, dossiers avec un invité....) qui varie sur chaque émission, un épisode durant en moyenne un peu plus d’une heure.

Nous visons un public intéréssé par les thématiques de la sécurité et du respect de la vie privée, sans nous limiter à un collège d’experts. C’est pourquoi, même lorsque nous traitons de sujets un peu techniques, nous essayons au maximum de rendre le contenu compréhensible par tous et d’expliquer, par exemple, le vocabulaire associé. Nous cherchons également, dans la mesure du possible, à nous entourer d’un expert sur le sujet présenté lors de nos débats.
Education
  • EPITA
    Information Security, 2006 - 2011
    Créée en 1984, l'EPITA (Ecole Pour l'Informatique et les Techniques Avancées) est l'école d'ingénieurs qui forme celles et ceux qui conçoivent, développent et font progresser les technologies de l'information et de la communication (TIC). La pédagogie de l'école apporte à la fois aux étudiants les fondamentaux du métier d'ingénieur et une très haute compétence dans les domaines de l'informatique et des TIC. Le Titre d'Ingénieur Diplômé de l'EPITA est habilité par la CTI (Commission des Titres d'Ingénieur) et est également enregistré au RNCP (Répertoire national des certifications professionnelles) avec une certification par l'Etat de niveau I.
  • LSTI
    ISO 27001 Lead Auditor, 2013 - 2013
    Ce cours s'adresse aux personnes amenées à conduire des audits dans le domaine de la sécurité des systèmes d'information.
  • LSTI
    ISO 27001 Lead Implementer, 2013 - 2013
    La formation s'adresse à tous ceux qui doivent mettre en oeuvre un SMSI à tous les niveaux, du management à l'opérationnel, donc aux RSSI et à leurs équipes, ainsi qu'aux personnes responsables de services opérationnels, DSI et leurs équipes, responsables méthodes et qualité, etc.
  • LSTI
    ISO 27005 Risk Manager, 2013 - 2013
    La formation "ISO 27005 Risk Manager" s'adresse à toute personne souhaitant maîtriser la norme ISO 27005 ou visant la certification ISO 27005. Cette formation s'adresse à toute personne devant réaliser une appréciation des risques informatiques portant en particulier sur les risques de sécurité informatique. Cette formation s'inscrit parfaitement dans le cadre d'un processus d'implémentation de la norme ISO 27001. Cette formation convient parfaitement aux RSSI et aux consultants en SSI. Pour assister à cette formation, il est recommandé de posséder des connaissances en sécurité informatique.
  • LSTI
    ISO 22301 Lead Implementer, 2013 - 2013
    Cette formation s'adresse aux personnes qui doivent mettre en œuvre un SMCA, du management à l'opérationnel : responsables en charge de la Continuité d'Activité, secrétaires généraux, responsables de directions opérationnelles, gestionnaires de risque, chefs de projet, consultants.

Stream

Morgan Hotonnier
moderator

Discussion  - 
 
 
Explain Bitcoin Like I’m 5 http://bit.ly/KG1e0u Superbe vulgarisation, hop ajouté dans Sécurité Bitcoin #1 : Intro http://bit.ly/KG1c8M
 ·  Translate
If you still can’t figure out what the heck a bitcoin is…
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
 
Sécurité et internet des objets : http://wrd.cm/1gc2dzf

Nous en parlons dans un prochain what's next, l'internet des objets est en pleine explosion et cela n'est pas prêt de s'arrêter en 2014 : montres, lunettes, bracelet intelligent en tout genre, télévisions, domotique.. Tout y passe !

Bruce Schneier le souligne très bien dans cet article, la sécurité n'est vraiment ipas la priorité des constructeurs de ce type d'appareil. Les systèmes d'exploitation qu'ils utilisent ne sont pas de première fraîcheur et peu voir pas mis à jour. Pire, mise a part le noyau la majorité des composants logiciels (drivers...) sont propriétaires et la sécurité par l'obscurité règne.

A quand le virus spécial Google glass, ou un briquage massif de télé connectées hors de prix par un petit plaisantin, avant que les choses n'évoluent ?

Une chose est sûre, NSA et consorts ne se feront pas prier pour en profiter ;).
 ·  Translate
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
 
Sécurité et Full Disclosure, doit-on tout dévoiler ? Un cas d'école avec l'affaire Snapchat : http://bit.ly/KqI12v
 ·  Translate
Avant propos : Qu’est-ce que Snapchat Ce billet a été motivé par les dernières actualités sur Snapchat. Pour ceux qui ne…
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
 
Superbe projet de "web décentralisé" dans les cartons chez PirateBay ! http://bit.ly/JDq6oE

Le principe est le suivant : Au lieu de résider sur un serveur, qui peut être bloqué (censuré), les données du site sont partagées en peer to peer auprès des visiteurs.

Selon les sites cela peut quand même représenter plusieurs Go de stockage... mais les mises à jours sont incrémentales donc seul la première visite demandera une forte attente.

Par contre, ils expliquent vouloir aussi créer leur propre système de DNS décentralisé en se basant sur Bitcoin...mais ils ne parlent pas de NameCoin, dommage non ?
 ·  Translate
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
#Snapchat, la boite qui a le culot de demander aux experts sécurité de leur communiquer la faille au lieu de l'exploiter la prochaine fois, alors que cela fait plus de quatre mois que #GibsonSec s'acharne à les prévenir...

Je vous prépare un billet sur le sujet.
 ·  Translate
Cible d'une fuite ayant touché 4,6 millions d'usagers, Snapchat annonce l'arrivée prochaine d'une nouvelle version de son application mobile. Une annonce
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
Bitcoin divise les foules, certains y voit la révolution du système monétaire, d'autres n'y voit qu'une bulle spéculative prête à éclater.

Une chose est sûr, le protocole aura apporté énormément au monde de la sécurité avec son mécanisme de "proof of work". Petit à petit de nouveaux projets arrivent bénéficiant de cet héritage. NameCoin était un exemple, voici maintenant Twister, la plateforme de microblogging peer to peer "incensurable".
 ·  Translate
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
 
Razer Nabu http://bit.ly/1gFd8lI je reste amoureux de la nouvelle Pebble steel mais le concept de la Nabu reste très intéressant pour un prix bien plus modeste.

Le double écran est une idée très astucieuse pour assurer un minimum de vie privé et éviter le "shoulder surfing" d'un entourage un peu trop curieux. Je suis par contre très dubitatif sur les fonctions sociales, je n'ai pas envie d'un bracelet qui envoie mes informations au moindre serrage de pince, ou pire, qui révèle ma présence avec mon nom et numéro de téléphone à 10 mètres à la ronde comme semble le suggérer la publicité dans la boite de nuit.

Je suis sûr que ces fonctions seront optionnel, ce sera surement une des premières choses que je désactiverai !

Le bracelet m'intéresse, je reste sur l'idée qu'un objet de ce type servant de token authentifiant pour smartphone serait une petite perle.
 ·  Translate
Nabu is designed to be socially discreet, so you stay connected without being distracted.
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
 
Je ne comprends pas trop l'inquiétude que sucite le ransomware Powerlocker http://bit.ly/19bb70B . Qu'a t'il de plus dangereux que Cryptolocker ?

Ils parlent d'un chiffrement incassable... c'est déjà le cas de la plupart de ses prédécesseurs. Les ransomware ont repris le devant de la scène avec l'approche sadique de cryptolocker et son système de paiement utilisant bitcoin, mais le principe existe depuis plus de 20 ans (le premier ransomware référencé date de 89).

Je suis par contre étonné du très faible coût de license, à 100$ l'activation je doute que les créateurs fassent fortune par rapport au bénéfice estimé de Cryptolocker, plus de 300K$ au cours actuel du Bitcoin !

Les ransomware à base de chiffrement font peur car la désinfection de l'ordinateur ne suffit pas pour récupérer nos précieuses données. Une fois le chiffrement en place, il n'y a souvent rien d'autre à faire que de dire adieu à ses photos de vacances ou se résigner à payer les malfrats.

Une protection antivirus et quelques bons reflexes devraient vous mettre à l'abris, toutefois si vous voulez opter pour l'option "ceinture et bretelles", BrianKrebs a posté il y a peu un excellent article sur comment prévenir Cryptolocker : http://bit.ly/19bb4Ca les solutions proposées se basent sur un ensemble de configurations à appliquer sur l'ordinateur pour empêcher le ransomware de chiffrer comme bon lui semble le disque dur. Cela devrait donc fonctionner pour la plupart des malwares dans le domaine, dont PowerLocker.
 ·  Translate
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
 
Cette fraude est maline, visiblement cela existe depuis plusieurs années. Une personne créer une fausse société et réalise des transaction bancaires, avec des numéros de cartes récoltées on ne sait où, pour l'achat de biens numériques fantômes type ebook. Si le propriétaire de la carte ne dit rien ils gardent l'argent. Si il se plaint les fraudeurs le remboursent. Quelque chose me dit que les 9,84$ débités sont rarement réclamés...
 ·  Translate
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
Nous avons créé une page officielle pour Le comptoir sécu. Sous peu la communauté devrait être directement intégré à la page.

D'ici là je vais devoir user du partage pour communiquer sur les deux tableaux ;).
 ·  Translate
 
Mother, surveillez ce que la NSA ne peut pas...encore ! http://bit.ly/1lvKV3O Blague à part, j'aime beaucoup le concept. Réalisé par le papa des Nabaztag, Mother est une station wifi communiquant avec une multitude de capteurs.

Les capteurs détectent les mouvements, la température et signale leur présence sur le réseau. Avec ces 3 informations Sen.se à défini une multitude "d'applications" qui vont du podomètre au rappel des prises de médicament en passant par la notification quand les enfants rentre de l'école.

Toujours plus de données récoltées, consolidées et analysées dans notre quotidien. Il va falloir s'y faire, "l'internet des objets" sera en plein boom en 2014. Reste à voir si ces données sont correctement protégés des regards indiscrets. Une première bonne nouvelle est que l'entreprise à conscience du caractère "privé" de ces informations. Ils ont pris le soin de préciser que leur application ne disposera d'aucun outil de "partage sur les réseaux sociaux". Diffusez ces donnée devra être un acte manuel et volontaire.

Reste donc un point d'interrogation : Ces données sont elles stockées en ligne ou dans le Mother ? J'espère de tout coeur qu'ils ont optés pour la seconde solution. Après tout l'objet est en permanence allumé et connecté, comme le serait un serveur familial, pourquoi se risquer à envoyer ça sur internet ? Les "notifications push" proposées sur les smartphones me font malgré tout penser qu'au moins une partie des données transiteront sur la toile.
 ·  Translate
Your safety, fitness, comfort and joy... she takes care of what matters to you today.
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
Et non, la femme de chambre qui ouvre votre coffre fort et installe un keylogger materiel dans votre ordinateur portable pendant que vous barbotiez dans la piscine de l'hotel, ce n'est pas qu'au cinéma.
 ·  Translate
1
Add a comment...

Morgan Hotonnier
moderator

Discussion  - 
 
On a déjà parlé de faits similaires dans le ComptoirSécu, à ce rythme il va être plus rapide de lister les constructeurs qui n'ont pas "oublié" une backdoor dans leurs équipements...
 ·  Translate
Voilà qui pourrait faire mal à la réputation des deux constructeurs. Alors qu'il voulait s'amuser à accéder à son interface d'administration dont
1
Add a comment...