Symposium sur la sécurité des technologies de l'information et des communications

Journal du comité d'organisation

Vous n’avez jamais osé soumettre un article au SSTIC ? Rassurez-vous n’êtes pas seul : en 2016, 71% des participants ayant répondu à notre sondage affirment ne s’être jamais lancé dans l’aventure.

Ce billet sera l’occasion de vous donner de bonnes raisons de soumettre vos idées, et de tordre le cou à quelques idées reçues.

État des lieux

À la question «Avez-vous déjà soumis un article ?», voici les réponses obtenues en 2016 :

Participants 2016 Non participants 2016 Total
Oui 64 (28,6%) 19 (17,4%) 83 (24,9%)
Non 160 (71,4%) 90 (82,6%) 250 (75,1%)
Total 224 109 333

En soi, ce n’est pas très surprenant et montre même qu’un quart des sondés a tenté sa chance, ce qui est relativement élevé.

Les statistiques les plus intéressantes viennent avec la question suivante :

Pourquoi n'avoir jamais soumis un article (sondage 2016)

Pourquoi n'avoir jamais soumis un article (sondage 2016)

Sur 245 réponses on constate que :

  • 35% (84 réponses) des sondés estiment n’avoir rien à dire ou une autre bonne raison ;
  • 24% (60 réponses) ont la flemme ou pas le temps de se consacrer à une soumission ;
  • 39% (96 réponses) ont peur de ne pas être au niveau !

Près de deux tiers de ceux qui avouent n’avoir jamais osé soumettre auraient potentiellement quelque chose à dire !

Si vous avez répondu quelque chose de similaire, ce billet s’adresse à vous.

Seules trois réponses commentées expliquent une préférence pour la soumission à une conférence académique. Notons qu’une personne explique être plombier, même si la tuyauterie d’internet ne serait pas nécessairement hors-sujet.

Idées reçues (ou pas)

La sécurité des systèmes d’information prenant de plus en plus d’importance, il est rare de n’avoir strictement rien à dire. Certes, parfois, il est préférable que certains se taisent. Mais pour l’immense majorité inaudible, il reste des travaux intéressants, des analyses ou prises de recul intéressantes, ou des sujets connexes qui méritent d’être discutés.

«Mon sujet n’intéresse personne»

Le SSTIC fut déjà l’occasion d’aborder des thèmes variés, que ce soit des rétrospectives, des tutoriaux, des sujets juridiques ou médiatiques.

Les participants aiment les sujets divers et variés, comme l’atteste le sondage 2016 :

Thématiques préférées du public (sondage 2016, 317 réponses au total)

Thématiques préférées du public (sondage 2016, 317 réponses au total)

Les sujets mentionnés dans la catégorie Other (25 réponses) couvrent pour la plupart la réponse à incidents / le forensics, un peu de web, des systèmes d’exploitation et des architectures sécurisées.

Enfin, même les sujets peu représentés ou appréciés ont leur chance. La conférence se veut généraliste, il ne s’agit pas de faire une édition orientée sur une seule et unique thématique.

Pourquoi soumettre ?

Principalement, si l’on met de côté le besoin de reconnaissance académique, il faut toujours se dire que si on se creuse la tête sur un problème, il s’est très probablement déjà posé pour d’autres.

Mais comme vous, ces autres personnes :

  • n’ont même pas commencé à le résoudre ;
  • ont autant la flemme que vous de publier leur solution ;
  • ont des compétences lacunaires pour résoudre leur problème ;
  • ont abordé le problème sous un autre angle et ne sont pas encore arrivés à une solution.

Présenter ses travaux permet donc :

  • de recueillir les avis et impressions d’autres personnes compétentes dans des domaines proches, lors du processus de sélection comme lors de la présentation ;
  • de réorienter ses travaux si besoin, soit pour cette publication, soit pour des travaux futurs ;
  • de donner des idées aux autres personnes confrontées aux mêmes problèmes ;
  • d’éviter à d’autres des axes de recherche infructueux (on ne parlera jamais assez de l’importance d’expliquer ce qui n’a pas fonctionné) ;
  • de laisser une référence sur son sujet ;
  • de suciter des collaborations ou des opportunités…

La liste pourrait s’allonger, mais on y retrouve déjà les principaux retours sur investissements vécus par une proportion non négligeable d’auteurs ayant présenté au SSTIC.

Pourquoi ne pas s’en faire ?

Premièrement, parce que vous n’avez rien à perdre et beaucoup à gagner :)

Le nombre de soumissions à SSTIC n’est pas si élevé et une part importante n’est pas impeccablement rédigée, au contraire. La chance d’être accepté est donc clairement non nulle :)

Par exemple, voici les statistiques des 5 dernières années :

2016 2015 2014 2013 2012
Soumissions (premier appel) 37 30 36 21 32
Acceptées (hors invités) 19 19 23 14 14

De plus, la sélection se fait notamment sur le potentiel de l’article et de la présentation et les conseils des relecteurs vous permettront de parfaire votre article. Votre sujet doit simplement avoir une certaine utilité dans les domaines couverts par la conférence, et être suffisamment abouti pour avoir de la matière à présenter.

Attention, cela ne veut pas dire que n’importe quoi soit acceptable : les soumissions sont évaluées par des relecteurs compétents dans les domaines que vous soumettez. Ainsi, proposer un algorithme cryptographique asymétrique révolutionnaire apporterait certes énormément au domaine, mais a plus de chances d’être accueilli avec scepticisme et beaucoup plus de critique que l’explication d’une méthode de cryptanalyse.

N’oubliez pas : «extraordinary claims require extraordinary evidence». Plus vous visez le sensationnel, plus vous serez jugé sévèrement. Le meilleur conseil est de rester humble et de rester dans son sujet.

Morituri te salutant : la peur du grand oral

Il y a également la peur du grand oral. Effectivement, cela reste intimidant de prendre la parole face à un public de 450 personnes (même bientôt plus…), qui comporte une bonne proportion de tatillons.

Cependant, si vous aimez la conférence, c’est aussi que vous avez une certaine admiration ou plus modestement un certain respect des orateurs et de leurs travaux. Ce sera toujours le cas, et soyez assurés que le comité de programme ne vous laissera pas venir vous ridiculiser. Certes, certaines présentation peuvent faire débat, mais rares sont celles qui n’ont trouvé aucun écho.

Il ne tient qu’à vous de vous armer pour affronter le public depuis l’estrade. Gardez à l’esprit que vous restez le maitre d’orchestre, vous rythmez la présentation avec vos explications, les démonstrations, les vidéos, votre rhétorique… ces petits enchainements vous permettent de maitriser les moments de détente du public et ceux où il doit être concentré. Vous êtes bien plus aux commandes qu’on ne peut le croire, et passé les 5 premières minutes de parole, le public disparait.

Enfin, n’hésitez jamais à demander conseil : les comités de programme et d’organisation peuvent vous aider à faire de votre présentation une réussite.

Les 3 éléments d’une présentation

Au SSTIC, il y a :

  • ce qu’on soumet ;
  • ce qu’on publie, généralement comme article dans les actes ou comme outil ;
  • ce qu’on présente le jour de l’évènement.

La sélection des conférences se fait uniquement sur le premier élément. Certains auteurs aiment soumettre des articles presque achevés, d’autres laissent plus de place à l’imaginaire des relecteurs. Sachez qu’il n’y a pas de règle générale, et si l’on regarde les présentations des années précédentes, aucune préférence ne semble émerger.

Mais une chose est sûre : vous devez convaincre ! Rassurez-vous, c’est moins difficile qu’il n’y parait, et nous allons vous y aider.

Avant de se lancer

Vous êtes prêt ? Avant de commencer à rédiger et d’envoyer votre article, prenez le temps de revoir quelques conseils.

Avoir revu l’état de l’art est primordial

C’est la première chose à faire avant de rédiger. C’est à dire, cherchez ce que d’autres ont déjà fait comme travail sur votre sujet, même partiellement, de manière approximative ou erronée. Cela va donc commencer par regarder ce qui a déjà été publié au SSTIC les années précédentes, de même qu’à d’autres conférences, académiques ou non.

En effet, plus ce que vous faites est proche de travaux existant, plus vous devrez vous en démarquer dès la soumission : les relecteurs feront ou connaîtront déjà cet état de l’art et vous serez jugés en conséquence. Faire ce travail vous donnera une idée des avantages ou différences à mettre en valeur, en première place de votre soumission, voire dans son résumé.

Avoir fait un travail de synthèse

Un article doit pouvoir servir de référence à vos travaux. Cela passe par l’état de l’art, mais également résumer votre contribution et la placer parmi l’existant.

En effet, un lecteur déteste devoir lire énormément de papiers. Si vous lui fournissez un résumé de l’état de l’art et où se situe votre contribution, votre propos semble être plus posé et prendre du recul. Votre contribution sera plus apparente, et surtout, cela vous donnera à vous même des idées pour les évolutions ou directions utiles pour traiter votre sujet.

C’est également la meilleure manière de présenter un plan. Vide, il ne sert à rien. Alors qu’un article synthétisé, dont les idées générales sont ventilées dans un plan permet d’en voir plus facilement la cohérence. De plus, cela permet également d’imaginer plus facilement ce que seront l’article et la présentation finaux.

Comment ne pas y perdre des mois ?

La clé réside en un travail pénible : expliquer clairement et rapidement son sujet. Faites-le comme s’il devait être présenté à un inconnu, ce sera le cas le jour J !

Exposer vos idées clairement vous permettra de vous situer par rapport à une feuille de route : «où dois-je aller ? quels sont les idées clé à expliquer ? qu’est-ce que doit retenir le lecteur ?»

Vous ne devez pas vous adresser à votre grand mère : considérez que le public connait les problèmes de sécurité basiques et leurs attaques telles que les débordements de tampons, injections SQL, etc., mais vous devez tout de même expliquer votre domaine.

Tout le monde n’est pas expert en analyse concolique, en mécanismes de cloisonnement implémentés au sein des microprocesseurs ou dans l’architecture cryptographique d’un réseau mobile.

Expliquer clairement par des phrases courtes et simple ne peut que jouer en votre faveur : tout ce qui est confus pour le relecteur ne pourra que déboucher sur des débats interminables lors de la sélection, ou pire : l’unanimité dans le rejet. Faites-vous relire par quelqu’un qui connait le sujet, et surtout par quelqu’un qui n’y connait rien, mais qui possède les bases de sécurité informatique.

Enfin, apportez quelque chose de nouveau. Ce n’est pas une interdiction de revenir sur des sujets déjà présentés, de faire des présentations didactiques ou des états des lieux, mais il faut y apporter de nouveaux éléments : nouveaux résultats, nouvelle technique, nouvelle perspective.

La soumission ne doit pas juste annoncer ces nouveautés : ce n’est pas un teaser pour un film, c’est quelque chose qui doit être évalué. Les critiques de cinéma ne jugent pas sur la bande annonce, mais sur le film complet. De même, les relecteurs doivent donc avoir un maximum de données brutes et de description le permettant de juger de la substance de vos travaux. Tout doute jouera en votre défaveur.

Ce qu’il ne faut pas oublier dans sa soumission

Au delà d’y inclure l’état de l’art et une synthèse du contenu final attendu pour la conférence, vous devez donner une idée de ce que trouvera le public lors de la conférence :

  • outils publiés lors de la conférence (donnez des versions intermédiaires ou des vidéos) ;
  • résultats complémentaires en cours de finalisation (donnez des résultats partiels ou intermédiaire pour montrer que vous ne présentez pas du vent !) ;
  • démonstrations réelles ou filmées qui seront présentées ;
  • le contenu sur lequel vous comptez vous concentrer lors de la présentation.

Ne négligez pas le dernier point : le contenu d’un article est très différent du contenu d’une présentation. Vous aurez tout au plus 25 minutes, qui passeront très vite. Passées 5 minutes d’introduction, cela vous laisse au maximum un quart d’heure pour le gros de vos explications, le reste pour les démonstrations et les questions.

Le comité de programme connait ces contraintes et se pose systématiquement la question de comment votre sujet pourra rendre à l’oral. D’ailleurs, beaucoup de conseils donnés aux auteurs après la réunion du comité concernent la manière de présenter et le contenu qui devra impérativement être vu à l’oral.

Enfin, si vous voulez vous perfectionner, tâchez d’insister aussi sur :

  • les détails : le public aime un article complet, qui va au fond des choses. Avoir un article qui détaille précisément ce que vous avez compris de votre sujet, des concepts étudiés ou qui en explique toutes les subtilités est une qualité qui le rendra incontournable ;
  • la fiabilité ou reproductibilité de ce que vous proposez : le relecteur ou le public peut avoir envie de vérifier ce que vous avancez, voire même tout simplement de s’en servir ! Plus vous fournissez de moyens de reproduire vos résultats, plus les lecteurs futurs vous en seront reconnaissants.

Comment surmonter un refus

Un refus est toujours difficile à recevoir, mais contrairement à beaucoup d’autres conférences de sécurité, les relecteurs font des retours (anonymisés) à toutes les soumissions. Ceci permet à l’auteur de savoir pourquoi sa soumission a été rejetée et d’améliorer ses futures soumissions.

De plus, il restera privé. Votre soumission, même refusée, ne sera jamais publiée par le comité de programme. Toutefois, vous restez libre de le faire savoir…

Sachez aussi qu’un refus n’est pas une fin en soi : vous pourrez soumettre à nouveau, sur le même sujet ou un autre. Mais évidemment, vous devrez tenir compte des remarques faites par le comité de programme à votre égard.

Soumissions d’outils pour l’édition 2017…

N’oubliez pas qu’en 2017 un nouveau type de soumission vous permet de vous affranchir de la soumission d’un article complet : la proposition de présentation d’un outil.

Cependant, il convient de rappeler que le support de la soumission doit tout de même rappeler un minimum d’éléments, en plus de fournir un accès immédiat à l’outil en question, qui devra être public. Entre autres, il est bon de rappeler dans un court texte :

  • le problème rencontré ;
  • une synthèse des objectifs poursuivis par votre outil ;
  • l’état de l’art sommaire des outils existants pour le même thème, s’il y en a ;
  • une description aussi complète que possible de ce que donnera votre présentation : démonstrations prévues, plan, rythme…

Vous n’avez plus peur ?

Si vous sentez que vous avez ce qu’il faut pour proposer votre sujet, rendez-vous sur https://www.sstic.org avant la date limite de soumission, et n’oubliez pas le billet dédié à l’appel lancé il y a quelques mois !

Bon courage, et un immense merci à tous ceux qui tenteront l’aventure !