Seconde partie de mon échange avec Cédric LEJAULT, RSSI chez Securitas Technology France.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:59) - Les conflits managériaux. Ce qui fait qu’un compromis soit bon. Faire son propre calcul d’emm*rdes

(06:26) - Un exemple réel de Cédric, dans lequel il a dû licencier une personne qui pensait être performante, mais qui ne l'était pas. Ses conseils dans ce genre de situations

(11:30) - Second exemple. Les RH qui lui ont demandé d'intervenir dans un cadre non hiérarchique (d'une personne du service informatique d’un autre site)

(15:27) - Prendre des décisions difficiles, dans la nuance, ce sont surtout des choix stratégiques

(17:17) - La gestion de la politique interne. La proximité avec le siège ou du décideur général

(19:54) - Tout le monde ne peut pas monter. Certains n'ont pas d'avenir, car trop impliqués, d'autres car trop honnêtes

(26:06) - Savoir plébisciter les personnes qui le méritent (et savoir soi-même se mettre parfois en avant de temps en temps)

(30:01) - "La récompense ce n'est vraiment pas facile à mesurer quand on manage"

(31:20) - Comment Cédric gère la pression, la gestion des conflits, etc

✴️ Retrouver Cédric LEJAULT

LinkedIn : https://bit.ly/4qH6VPc

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Cédric LEJAULT, RSSI chez Securitas Technology France.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:18) - Cédric se présente. Pourquoi son expérience est pertinente par rapport au sujet du jour

(06:51) - Penser à l’image que l’on laisse. Gérer les collaborateurs en tant que RSSI, ce sont toutes des relations différentes, relations hiérarchiques vs fonctionnelles, son expérience d’avoir dû licencier des personnes, et d'autres exemples

(13:20) - L’importance du partage des indicateurs (dans la mesure du possible). Que tout le monde sache dans une équipe, pourquoi un tel va favoriser ce projet par rapport à l'autre

(14:31) - Développer son intelligence émotionnelle pour "lire les situations", “read the room”

(21:21) - Susciter les émotions, les leviers émotionnels. Comprendre le réseau d’influence / de confiance sur le pilotage d’une équipe

(26:14) - “Savoir diviser pour mieux régner, car manager c’est de prendre des décisions difficiles au quotidien”. Manager ce n’est pas tout beau tout rose

(28:30) - Sa vision, depuis le point de vue d’un RSSI en particulier. Donnant / Donnant ? Donner du temps, pour le court terme (transactionnel), ou sur la durée (du ‘développement, de la capitalisation”)

✴️ Retrouver Cédric LEJAULT

LinkedIn : https://bit.ly/4qH6VPc

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:24) - Tips variés (paiements en physique, comptes jetables, identités fictives numériques, et plus)

(06:08) - On donne une partie de notre identité en ligne à chaque fois. Dans le futur, il serait possible de cartographier un pays

(07:21) - Exemple d’une différence culturelle entre la France (donner ses infos pour acheter une carte SIM) et l'Angleterre (achat d'une carte SIM dans un supermarché et payer à la caisse comme pour achat normal)

(10:36) - Comment créer un alter ego : pour recevoir du courrier + l’une des techniques que les fraudeurs utilisent avec des adresses de livraison. À propos des numéros de téléphone et des comptes bancaires.

(15:12) - Les tickets commerçants et des informations qui sont parfois visibles sur ceux-ci, si leur TPE n’est pas à jour

(19:06) - Hunter Cat (détecteur de cartes à puce / détecteur de skimmers)

(21:50) - Avoir un second numéro de téléphone, service On/Off, carte SIM différente

(23:12) - Comment créer un alter ego : dans quel niveau de détail, les sites de type fake person generator ou fakexy, l'outil Epieos

(27:13) - Comment se lancer pour faire un audit de son identité numérique

(31:04) - Comment créer un alter ego : “lui” créer une vie, l’exemple d’une identité fictive “Madame Michu”

(34:15) - Ne pas partager ses vraies informations si ce n’est pas nécessaire ou pas important (au contraire des impôts ou de sa banque par exemple, avec qui c’est important de le faire) + d'autres tips

(39:04) - En quoi l’Espagne est-elle beaucoup plus avancée dans la lutte contre la fraude

(44:22) - L’idée à retenir

✴️ Retrouver Jonathan SPEDALE

LinkedIn : https://bit.ly/4lsyvw1

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Jonathan SPEDALE, Analyste fraude et fondateur de Cyber Moustache. Depuis 2016, il teste le parcours des fraudeurs, en veille constante et passionné, il est toujours prêt à accepter le défi de trouver une faille dans tout ce qui peut se détourner et qui peut impliquer des pertes.

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:52) - Jonathan se présente

(04:38) - Personne ne fait de la veille sur les sujets de fraude

(06:00) - L’ubérisation de la fraude, la fraude à la TVA, la fraude au retour / au refund, à propos des dataleaks

(08:37) - Frauder est devenu plus accessible. Des "catalogues" de données volées

(10:58) - On entends peu parler ce dont à quoi les données qui ont fuitées ont servies. La partie “submergée” de la fraude dont on entend peu parler. L'exemple de la fuite de données de Free.

(14:38) - N’importe quelle information peut servir. L’exemple de la composition famille et des arbres généalogiques

(18:22) - L’aspect temporel de certaines données qui ont fuitées

(20:58) - La fraude ne concerne pas que des petits montants + Beaucoup de sociétés n’ont pas évolué, l’exemple de la fraude d’un bon d’achat dans un Drive, les bons de parrainage

(24:50) - Ce qui m'a attiré sur le profil de Jonathan, c'est la partie pratique. En effet, il teste le parcours des fraudeurs + explications de son process.

(29:28) - L’exemple du premier contrat qu’il a eu, tester un outil de lutte contre la fraude documentaire

(30:49) - Des données inutilisables aujourd’hui, pourraient être utiles dans des nouvelles méthodes de fraude

Les fraudeurs recyclent. L’humain est trop souvent impressionnable.

(33:16) - Il faut comparer un fraudeur à un magicien

(37:40) - Le mot de la fin

✴️ Retrouver Jonathan SPEDALE

LinkedIn : https://bit.ly/4lsyvw1

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Troisième et dernière partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:51) - Le règlement d'exécution relatif aux entités et réseaux

(02:05) - Le problème des attaques de supply chain - Exemple de l’affaire SolarWinds

(04:00) - “REX NIS2”, qui est concerné ?

(07:49) - 10 mesures opérationnelles + le premier exemple

(11:10) - Deuxième exemple : Politique de gestion des risques

(14:01) - L'obligation de notifier

(16:35) - La mise en conformité des prestataires critiques + Sanctions et responsabilités

(19:57) - Le discours de l’ANSSI vs ce que les entreprises ont entendues (la stratégie du contournement)

(22:48) - Une petite conclusion

(26:00) - ”Faut-il diluer NIS2 dans du vin blanc?” La réalité du discours. Nos dirigeants, sont-ils préparés à ce chantier ?

(31:26) - À propos de la documentation

(33:57) - Liens utiles

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:30) - NIS2, c’est pour quand ? + Est-ce aux entités régulées de mettre leurs prestataires au carré ?

(05:45) - Quel calendrier de transposition en France ?

(07:21) - Le projet de décret ANSSI, 42 pages, 20 mesures techniques très détaillés + résumé de ces mesures + Mesures 1 à 10

(18:23) - Mesures 11 à 20

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Première partie de mon échange avec Marc-Antoine LEDIEU, Avocat au Barreau de Paris depuis 1993. Qui avec son cabinet d’Avocats est spécialisé en droit de la cyber-sécurité et en contrats du numérique BtoB.

Note : si vous souhaitez un support visuel (absolument non nécessaire), les slides évoqués sont disponibles ici : https://bit.ly/3XhHNkU

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(01:19) - Marc-Antoine se présente (Avocat dans la cyber + Contributeur à NoLimitSecu)

(04:35) - Podcast différent aujourd’hui, le support visuel complémentaire + L'anecdote derrière les slides en dessin (et les images en général) utilisés par Marc-Antoine

(07:52) - Rapide retour sur NIS1, pourquoi ça échoué, et pourquoi NIS2 serait donc un succès sachant que le périmètre est beaucoup plus large

(11:16) - Pourquoi en sommes nous où nous sommes aujourd’hui ?

(14:58) - L’autre problème quand il y a une nouvelle loi obligatoire en France : le réflexe de la stratégie du contournement + le “Pipo Bingo” tenu par Marc-Antoine et sa collaboratrice

(17:15) - Le changement de stratégie de l’EU

(21:38) - Le concept de NIS2 + l’aspect de documentation

(26:56) - Les 3 piliers indissociables

(28:13) - (Slides 32 à 34) Qui sont les entreprises concernées par NIS2 ?

(29:47) - Pour comprendre le nombre d’entreprises concernées par NIS2 : les deux problèmes de NIS1

(32:28) - (Slide 36) Comprendre NIS2 - Les secteurs hautement critiques (annexe I), les autres secteurs critiques (annexe II)

(36:03) - Le principe de l’auto-désignation

✴️ Retrouver Marc-Antoine LEDIEU

LinkedIn : https://bit.ly/41HFOJz

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber

Seconde partie de mon échange avec Kévin DEJOUR, ancien RSSI et aujourd'hui auditeur PCI DSS qualifié (QSA).

👉 note: il y a un possible décalage de +/- 10 secondes du chapitrage selon la plateforme d'écoute

✅ CONTENU ✅

(00:51) - Mythe 1 : “J’utilise des partenaires certifiés PCI DSS, donc je suis certifié PCI DSS”

(03:04) - Quand un partenaire est certifié PCI DSS il faut comprendre sur quel périmètre

(05:45) - Il y a 2 types de partenaires : des prestataires certifiés PCI DSS, des prestataires qui ne le sont pas

(08:09) - Mythe 2 : “La PCI DSS ne se résume qu'à de la technique”

Parcours d’obtention de la certification :

(10:28) - 1/ Comment se mettre en conformité et les 2 questions à se poser à cette étape. Le CDE, etc

(12:19) - Un moyen de diminuer le périmètre de certification

(13:08) - Analyse d'écart (gap analysis)

(14:10) - 2 / Comment obtenir la certification, comment celle-ci se déroule

(16:38) - L’aspect du renouvellement et l’importance pour une entreprise de maintenir sa certification

(19:03) - La problématique de trouver un juste-milieu entre le niveau de sécurité requis par la norme et le niveau de sécurité cohérent en rapport à ses activités, sans que cela ne perturbe la productivité

(21:24) - Les aspects de l’assurance et des responsabilités en cas de compromission de cartes bancaires

(23:47) - Il est important d’avoir un vrai sponsor en interne pour mobiliser toutes les équipes, pour s’assurer d’obtenir le renouvellement de sa certification

(25:14) - La PCI DSS et sa relation avec les autres normes PCI

(28:46) - Le mot de la fin de Kévin

(30:26) - La PCI DSS n’est pas une exigence réglementaire, c’est une exigence contractuelle

✴️ Retrouver Kévin DEJOUR

LinkedIn : https://bit.ly/3CzUCj7

✴️ Me retrouver

LinkedIn : https://bit.ly/Michael-Virgone

Site web : https://www.cybersecuriteallday.fr/

Email: michael@cybersecuriteallday.fr

⏩ Si vous avez aimé le contenu de cet épisode :

👉 laissez votre avis via mon site, sur Spotify ou sur Apple Podcast

Merci

Michael VIRGONE

Créateur du Podcast & Commercial dans la cyber