Living Off the Pipeline / À l’Ombre du Pipeline

OWASP Montréal et Cybereco vous invitent à une conférence de François Proulx à propos de la la sécurité de la chaîne d’approvisionnement logicielle et l’analyse des vulnérabilités CI/CD.

La prochaine vague d’attaques sur la chaîne d’approvisionnement se prépare dans nos pipelines d’intégration continue et de déploiement (CI/CD), comme l’a démontré la compromission de la librairie XZ. Cette présentation explique comment les acteurs malveillants peuvent « vivre à même le pipeline » en abusant des outils de compilation légitimes, le nouveau point faible favori des « Red Teams », et comment prédire les TTPs (Tactiques, Techniques et Procédures) des prochaines attaques de type XZ en utilisant notre adaptation du cadre de référence ATT&CK de MITRE pour les environnements CI/CD. À travers des études de cas réels, cette session vous outillera pour identifier et contrer de manière proactive ces menaces avancées avant qu’elles n’aient un impact significatif.

Conférencier:

François est vice-président à la recherche en sécurité chez BoostSecurity, où il dirige l’équipe spécialisée dans la chaîne d’approvisionnement logicielle. Il possède plus de dix ans d’expérience dans le développement de programmes AppSec, tant au sein de grandes entreprises, telles qu’Intel, que dans des startups technologiques. Acteur de premier plan dans l’émergence du mouvement DevSecOps, il a su allier expertise technique et vision stratégique. François est également cofondateur de NorthSec et a contribué à la conception des défis du CTF associé.