RSA Conference, San Francisco : Il y a bientôt 4 ans, un quarteron de spécialistes sécurité décide de donner une « seconde chance » aux conférenciers recalés de la DefCon. C’est la première édition de Security B-Side, un cycle de conférence gratuit, sans le moindre droit de participation, qui se veut être la « face B » des grandes manifestations institutionnelles. Depuis cette première aventure, bien d’autres B-Side ont vu le jour, la majorité Outre Atlantique (San Francisco, Las Vegas, Boston notamment, simultanément aux RSA Conferences, Black Hat/Defcon, Source), quelques-unes visant résolument les Européens, notamment B-Side London, durant Infosec. La RSA Conference 2012 n’a pas échappé à la règle, offrant à ses participants un éventail d’intervenants réputés, talentueux… et ne se prenant pas nécessairement au sérieux. Voir pas du tout, ainsi Kellman Meghu de Check Point Canada, qui passé en revue les différentes étapes de conduite d’une attaque par intrusion, les outils et stratégies de défense, les ressources nécessaires et les erreurs à ne pas commettre, quel que soit le camp dans lequel l’on se trouve. Des règles de sécurité et des explications reposant sur l’analyse d’un cas d’école connu de tous : le vol des plans de l’Etoile Noire conçu par les forces impériales et dérobées par Han Solo, Chewbacca, Luke Skywalker et la princesse Leila.
Faut-il parler tristement pour parler d’analyse de risques ? C’est sur le thème The End of Security Stupidity que se sont réunis Amit Yoran ex gourou du DHS, Kevin Mandia CEO de Mendiant, Ron Gula co-fondateur de Tenable et Roland Cloutier CSO d’ADP (grand prestataire ressources humaines aux USA). Au même moment, Lenny Zeltser lançait un débat sur l’art de « bien » engager un contractant en sécurité, sur un ton pas franchement morose. Plus tard, dans la journée, Dan Hoffman revenait sur le débat « FUD ou danger » soulevé par la multiplication des appareils mobiles. La veille encore, Georgia Weidman se lançait dans un marathon de 5 heures de formation gratuite autour de Metasploit et des astuces destinées aux pratiquants du test de pénétration. Certes, reprochent certains, l’on perçoit parfois l’influence des « sponsors », sans qui il serait impossible que ces conférences soient ouvertes gratuitement au public. Mais ce ne sont pas pour autant des interventions au rabais. On y croise des Dan Hoffman, des Richard Bejtlich, des Chuvakin, qui souvent font quelques heures supplémentaires derrière une bière ou un sandwich, pressés par les questions d’un auditoire à la fois très geek et très attentif.