OWASP Quebec City
Événement à venir
« Secure-By-Design » et « DEVSECOPS », des concepts aux expériences réelles
Inscription sur EventBrite
L’équipe de sécurité de Promutuel Assurance nous invite dans leurs bureaux du 2000, boulevard Lebourgneuf pour la prochaine conférence OWASP Québec, le jeudi 17 octobre 2024, de 18h à 19h. À l’agenda, deux conférences!
Présentation #1: Évoluer avec l’approche Secure by design
Synopsis : L’approche Secure by Design, pour le développement de produits et services numériques, se structure à l’échelle internationale et devient une pièce maîtresse de plusieurs organismes de sécurité, dont ceux du Royaume-Uni, de l’Australie et des États-Unis. Nous aborderons l’évolution du concept, notamment dans la gouvernance des organisations, préciserons les principes directeurs importants et une approche d’intégration possible à l’échelle d’une organisation. Le tout sera accompagné d’exemples de pratiques à adopter, dont certaines de l’OWASP et du CIS (benchmark).
Serge Drolet, MBA CISA CBCP PMP
vCISO, CyberSéQurité inc.
Serge possède plus de 25 ans d’expérience en TI dans plusieurs organisations telles que Statistique Canada, Revenu Québec et l’Autorité des marchés financiers (AMF). Il a été successivement responsable de la cybersécurité (CISO), de la continuité des affaires et de la gestion intégrée des risques. Il est actuellement vCISO à son compte pour diverses organisations et possède plusieurs certifications professionnelles reconnues. Il est très impliqué dans le développement des compétences en TI et agit à titre de conférencier, notamment via ISACA, lesAffaires, SeQCure, Réseau Action TI et maintenant l’OWASP.
Présentation #2: Introduction DevSecOps : Bénéfices et retours d’expérience
Synopsis : “Cette présentation permettra de vous familiariser avec les concepts fondamentaux de la DevSecOps, la philosophie derrière cette approche et les avantages de son adoption. À travers des retours d’expérience auprès de plusieurs ministères et organismes du Gouvernement du Québec, nous préparerons les participants pour la transition vers un modèle où la sécurité fait partie intégrante du cycle de développement.”
Vincent Goulet
Président-Fondateur, Sonder Sécurité
“Je m’investis depuis 2010 pour combler le fossé entre les équipes de développement et de sécurité. Je suis convaincu que l’aspect humain est la clé pour réussir la transition vers un modèle où la sécurité fait partie intégrante du cycle de développement.”
Philippe Marcoux
Architecte principal & Responsable de la livraison, Sonder Sécurité
“La découverte de la DevSecOps a été une véritable révélation pour moi. Cette approche propose de nouvelles pratiques, totalement alignées sur les réalités du développement moderne.”
Participez en grand nombre!
2 Juillet 2024: Conference: ChatGPT comme assistant de programmation: atout ou risque?
Raphaël Khoury, Ph.D., P. Eng
Professeur
Université du Québec à Gatineau
Description:
Les LLMs, tel que ChatGPT, sont de plus en plus utilisés par les programmeurs pour générer des fragments de code, et même des programmes entiers. Cependant, le niveau de sécurité du code ainsi généré est imparfait. Dans cette présentation, nous passerons en revue les recherches initiales effectuées pour évaluer la capacité des LLMs à générer du code sécuritaire, ainsi qu’à effectuer d’autres tâches de sécurité telles que détecter et classer les vulnérabilités dans le code, de même que corriger des vulnérabilités qui sont subséquemment identifiées.
Bio:
M. Khoury a obtenu son doctorat en sécurité informatique de l’Université Laval et a été chercheur postdoctoral au centre de Recherche et développement pour la défense Canada (RDDC-RDDC) à Valcartier, au Canada. Il est actuellement professeur à l’université du Québec à Gatineau. Ses recherches portent sur tous les aspects de la sécurité des logiciels, et est l’auteur du livre « La Sécurité Logicielle : une approche défensive ». Il est récipiendaire de subventions de recherche du FQRNT et du CRSNG. Ses recherches ont également été financées par l’industrie.
Détails de l’événement:
Date | Time | Activity |
---|---|---|
2024-07-02 | 17:30 - 17:50 | Accueil / enregistrement |
17:50 - 18:00 | Annonces de chapitre | |
18:00 - 19:00 | Conférence | |
19:00 | Discussions libres |
Lieux:
Pacini Québec Sainte-Foy
999, avenue de Bourgogne
Québec (Québec) G1W 4S6
Commanditaire:
Merci à Beneva, fière commanditaire de l’événement!
Bouchées et breuvages seront servis, et des prix de présence seront distribués aux personnes présentes, gracieuseté de notre commanditaire.
RSVP! Places limitées!
Inscription gratuite et obligatoire!
Annonces!
Recherche de leaders ou de volontaires
Après plusieurs années comme co-leader du chapitre OWASP Ville de Québec, Louis Nadeau songe à passer le flambeau très prochainement. Joignez-vous à moi pour le remercier de ses précieux et loyaux services pour notre communauté! Si vous désirez vous investir dans votre chapitre local en tant que membre du leadership ou tout simplement comme volontaire, ou que vous avez des idées pour bonifier notre offre, [écrivez-moi](mailto:[email protected]). Entre autres nous avons des besoins suivants: - Trouver des présentateurs de contenu liés à la sécurité applicative - Organiser conférences, activités, formations, partenariats académiques - Participer à la logistique du site web, liste de distributon, plateformes de diffusion et des médias sociaux - Faire rayonner le domaine de la sécurité applicative et l'organisation OWASP en donnant des conférences
Appel de conférenciers pour 2024
Voici à titre indicatif quelques idées de présentations en lien avec la sécurité applicative, vos sujets nous intéressent également, alors faites-nous en part!: - Démonstration d’utilisation d'outils de sécurité disponibles gratuitement ou open source - Couverture d'un élément du Top 10 OWASP (ex : XXE, Insecure deserialization, Insufficient logging and monitoring) - Méthodes, processus et outils de vérifications du code - Exploitations de vulnérabilités, contournements de mécanismes de sécurité, comment les prévenir - Sécurité des applications dans les architectures micro-service - Enjeux et sécurité des API - Retour sur expériences dans la résolution et/ou l'implantation de fonctions de sécurité - Retours d'expérience, projets de recherches, discussions ouvertes, workshops, brainstorming, Etc. Logistique : - Les présentations ont généralement une durée de 40 minutes à 75 minutes. - Elles ont lieu préférablement un mardi ou mercredi dès 19h (toutefois nous sommes ouverts à prendre d'autres arrangements si nécessaire). - Nous pouvons fournir la plateforme de diffusion, ou si vous préférez utiliser la vôtre du moment qu’elle est facilement accessible à tous. - Le contenu de la présentation devrait nous être soumis au moins 2 semaines à l'avance afin que nous puissions vérifier qu'elle respecte les valeurs de neutralité et d'impartialité d’OWASP. Notes : - La neutralité et l'impartialité sont de mise, vos opinions sont bienvenues en autant qu'elles soient exprimées dans le respect. - Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers. - La vente de produits est strictement interdite.
Nos réunions sont ouvertes au public et vous n’avez pas besoin d’être membre pour y assister.
Merci d’envisager de devenir membre OWASP et parrainer notre chapitre.
OWASP Ville de Québec est à la recherche de conférenciers!
Si vous souhaiteriez présenter, pour l’avancement de la science et de la connaissance en sécurité applicative, un sujet lors d’une prochaine rencontre OWASP, SVP communiquez avec nous!
Toute intervention orale (présentation, formation) lors d’un meeting OWASP est soumise à l’acceptation préalable du règlement des conférenciers.
Voici à titre indicatif quelques idées de présentations en lien avec la sécurité applicative, vos sujets nous intéressent également, alors faites-nous en part! :
- Démonstration d’utilisation d’outils de sécurité disponibles gratuitement ou open source
- Couverture d’un élément du Top 10 OWASP 2021 (ex : Software and Data integrity failure, Server-side Request Forgery, Security Logging and Monitoring Failures)
- Méthodes, processus et outils de vérifications du code
- Exploitations de vulnérabilités, contournements de mécanismes de sécurité, comment les prévenir
- Sécurité des applications dans les architectures Web n-tiers et micro-service
- Enjeux et sécurité des API
- Retour sur expériences dans la résolution et/ou l’implantation de fonctions de sécurité
- Les pièges à éviter dans les configurations CORS
- L’usage sécuritaire des JWT
- Intégration de la sécurité dans un mode DevOps et CI/CD i.e. SecDevOps
- Retours d’expérience, projets de recherches, discussions ouvertes, workshops, brainstorming, Etc.
Logistique :
- Étant donné le contexte de la pandémie les présentations doivent encore se tenir en virtuel, toutefois dès que nous pourrons nous désirons reprendre nos activités de chapitre en présentiel.
- Les présentations ont généralement une durée de 40 minutes à 75 minutes.
- Elles ont lieu préférablement un mardi ou mercredi dès 19h (toutefois nous sommes ouverts à prendre d’autres arrangements si nécessaire).
- Nous pouvons fournir la plateforme de diffusion, ou si vous préférez utiliser la vôtre du moment qu’elle est facilement accessible à tous.
- Le contenu de la présentation devrait nous être soumis au moins une semaine à l’avance afin que nous puissions vérifier qu’elle respecte les valeurs de neutralité et d’impartialité d’OWASP.
Notes :
- La neutralité et l’impartialité sont de mise, vos opinions sont bienvenues en autant qu’elles soient exprimées dans le respect
- Toute intervention orale (présentation, formation) lors d’un meeting OWASP est soumise à l’acceptation préalable du règlement des conférenciers
- La vente de produits est strictement interdite.
2023
2021
2020
2019
-
2019/02/19 - Concevoir et implémenter un plan de formation et de sensibilisation à la sécurité
-
2019/03/19 - Portrait de la sécurité applicative et outils OWASP
2018
-
2018/03/20 - Explication des nouveaux risques “OWASP Top 10 2017”
-
2018/04/24 - La sécurité dans un environnement docker/kubernetes/cloud avec micro-services
-
2018/09/12 - Pourquoi le SPA (Single Page Application) est faillible?
2017
-
2017/03/07 - Les logiciels malveillants sur les objets connectés
-
2017/05/09 - Comment éviter que votre frigo Internet ne se retourne contre vous?
-
2017/11/21 - Comment intégrer la sécurité dans un cycle de développement logiciel rapide
-
2017/11/29 - Journée de 6 conférences sur la sécurité applicative à L’Université Laval
2016
-
2016/02/02 - Comprendre l’usage de la crypto pour les développeurs
-
2016/03/16 - Stratégies pour développer et exploiter des applications sécuritaires à [l’ASIQ]
-
2016/09/06 - Attaques et techniques de défense des sessions Web
-
2016/10/04 - Cybercrime, nos données personnelles sont à risque
-
2016/11/29 - Retour sur les conférences OWASP AppSecUSA 2016
2015
2014
-
2014/04/15 - La sécurité applicative et le cycle de développement
-
2014/09/30 - Ce que vous devriez savoir sur le Cloud computing