Ymir Vigfusson
Au sein des grandes entreprises, la plupart des décisions en matière de cybersécurité sont encore prises par des personnes qui ne se sont jamais mises à la place d’un pirate informatique. C’est précisément dans cet écart, entre la liste de contrôle du défenseur et le mode opératoire réel du pirate, que les failles se produisent. Les conseils d’administration ont besoin d’un expert crédible capable d’expliquer le raisonnement des adversaires, et non d’un énième fournisseur se contentant de lire un diaporama.
Ymir Vigfusson est professeur d’informatique et fondateur de plusieurs start-ups spécialisées dans la cybersécurité ; il apprend aux cadres supérieurs à se mettre dans la peau des pirates qui ciblent leurs organisations.
Full Profile
Pourquoi les entreprises font appel à Ymir Vigfusson
- Il est informaticien titulaire à l’université Emory et entrepreneur actif dans le domaine de la sécurité offensive, avec trois entreprises fondées et deux acquisitions à son actif. Les conseils d’administration ont rarement l’occasion d’entendre un même intervenant aborder ces deux aspects.
- Sa conférence TEDxReykjavik sur l’enseignement du piratage informatique a dépassé les 1,8 million de vues, ce qui signifie que les dirigeants arrivent souvent déjà sensibilisés par son argumentaire et prêts à s’engager dans une discussion approfondie.
- Keystrike, sa troisième entreprise, a été créée spécifiquement pour résoudre le problème de l’accès distant sécurisé lorsque la machine de l’utilisateur est déjà compromise. Il possède une expérience concrète du modèle de menace précis auquel la plupart des entreprises sont aujourd’hui confrontées.
- Il est lauréat d’un prix NSF CAREER pour ses travaux fondamentaux sur la mise en cache et les systèmes distribués ; son expertise technique s’étend donc bien au-delà de la cybersécurité, jusqu’à la couche d’infrastructure sur laquelle reposent les charges de travail liées à l’IA.
- Son rôle de chercheur invité au CDC, dans le cadre de la surveillance des épidémies, lui fournit une analogie concrète sur la manière dont les organisations devraient modéliser la contagion et la propagation au sein de leurs propres réseaux.
Points forts de son parcours
- Doctorat en informatique, Université de Cornell ; licence en mathématiques, Université d’Islande.
- Professeur associé à l’université Emory et directeur du laboratoire SimBioSys.
- Lauréat du prix NSF CAREER pour le projet « Rethinking the Cache Abstraction ».
- Co-fondateur de Syndis (racheté par Origo en 2021), d’Adversary (racheté par Secure Code Warrior en 2020) et de Keystrike (où il occupe actuellement le poste de directeur technique).
- Conférence TEDxReykjavik intitulée « Pourquoi j’enseigne aux gens à pirater », qui a été visionnée plus de 1,8 million de fois.
- Chercheur invité aux Centres pour le contrôle et la prévention des maladies (CDC), où il applique la science des réseaux à la surveillance des épidémies.
Biographie
Le secteur de la cybersécurité est confronté à un problème de traduction. Les attaquants raisonnent en termes de flux de travail ; les défenseurs, en termes de cadres de conformité. La plupart des dirigeants n’entendent que ce second langage, ce qui explique pourquoi la plupart des investissements en sécurité sont guidés par une logique d’audit plutôt que par la manière dont un adversaire évolue réellement au sein d’un système.
Ymir Vigfusson maîtrise ces deux langages. Il est maître de conférences en informatique à l’université Emory et directeur du laboratoire SimBioSys, où ses recherches sur la mise en cache et les systèmes distribués, financées par la bourse NSF CAREER, ont donné lieu à des articles publiés lors des conférences USENIX ATC, VLDB et EuroSys. Ce même chercheur a cofondé Syndis, la société de cybersécurité de référence en Islande (rachetée par Origo en 2021), la plateforme de formation aux techniques de piratage Adversary (rachetée par Secure Code Warrior en 2020), ainsi que Keystrike, dont il est aujourd’hui le directeur technique et qui a remporté le prix de l’Innovation de l’année décerné par Emory pour un produit sécurisant l’accès à distance même lorsque le terminal est compromis.
Ce double parcours influence la manière dont il s’adresse aux dirigeants. Sa conférence TEDxReykjavik, intitulée « Pourquoi j’enseigne aux gens à pirater », a été visionnée plus de 1,8 million de fois et développe l’argument selon lequel une organisation ne peut se défendre contre un état d’esprit d’attaquant qu’elle refuse d’étudier. Il applique cette même logique aux discussions au sein des conseils d’administration : analyser comment un adversaire pourrait concrètement compromettre cette organisation, puis décider des projets à financer.
Un poste de chercheur invité au CDC, où il applique des méthodes issues de la science des réseaux à la surveillance des épidémies, lui fournit un modèle opérationnel illustrant comment les menaces se propagent au sein de tout réseau complexe. Concrètement, cela permet aux dirigeants de mieux cerner où se situe réellement leur surface d’attaque et quelles habitudes de défense peuvent changer la donne.
Principaux thèmes d’intervention
- La cybersécurité en tant que risque au niveau du conseil d’administration
- L’état d’esprit du pirate informatique comme capacité défensive
- L’accès à distance sécurisé et les terminaux compromis
- Les systèmes distribués et la couche d’infrastructure sous-jacente à l’IA
- La science des réseaux appliquée à la propagation des menaces
- La formation à la cybersécurité et les futurs professionnels de la sécurité
Idéal pour
- Les conseils d’administration, les comités d’audit et les RSSI souhaitant obtenir une vision plus précise du comportement des attaquants
- Les directeurs techniques et directeurs des systèmes d’information qui planifient des investissements en matière de résilience
- Les équipes de direction des secteurs bancaire, de la santé et des infrastructures critiques disposant de terminaux à forte valeur ajoutée
- Les responsables de l’innovation et de la R&D qui intègrent la sécurité dans leurs stratégies d’IA et de cloud
Résultats attendus pour le public
- Un modèle opérationnel illustrant comment les attaquants évoluent réellement au sein d’un réseau d’entreprise
- Une distinction plus nette entre les dépenses de sécurité qui modifient le comportement des attaquants et celles qui visent uniquement à satisfaire aux exigences d’audit
- Un vocabulaire permettant de discuter des cyberrisques avec des membres du conseil d’administration non spécialisés en informatique
- Une vision de la manière dont l’épidémiologie computationnelle et la science des réseaux éclairent la modélisation des menaces
Conférences
Une défense de l’état d’esprit « hacker » comme élément manquant dans la cybersécurité des entreprises.
Points clés à retenir :
- Pourquoi les défenseurs qui n’ont jamais pensé comme des attaquants les sous-estiment systématiquement
- Comment la formation à la sécurité offensive modifie la manière dont les équipes de sécurité établissent leurs priorités
- Ce que les conseils d’administration devraient demander aux responsables de la sécurité qui affirment que tout est « sous contrôle »
Une présentation des modèles de connectivité des réseaux et de leurs prévisions concernant la propagation des attaques, de l’information et de la contagion.
Points clés à retenir :
- Comment les propriétés de « chemins courts » des réseaux façonnent à la fois les opportunités et les risques
- Pourquoi la plupart des organisations sous-estiment les mouvements latéraux
- Ce que la science des réseaux nous apprend sur la conception de la résilience
Une étude de cas historique permettant de tirer des enseignements durables sur la cryptographie, la désinformation et le décryptage.
Points clés à retenir :
- Comment les hypothèses d’un adversaire deviennent sa faiblesse
- Pourquoi les mathématiques du secret continuent de façonner l’architecture de sécurité moderne
- En quoi l’équipe de Turing a vu juste en combinant l’intuition humaine et la puissance des machines