[Newsletter HSC] N°3 - Novembre 2004
newsletter at hsc-news.com
newsletter at hsc-news.com
Mar 2 Nov 14:16:35 CET 2004
========================================================================
HSC Newsletter -- N°003 -- Novembre 2004
========================================================================
"Quand la vérité n'est pas libre, la liberté n'est pas vraie."
[ Jacques Prévert ]
--[ Sommaire ]----------------------------------------------------------
1. Livre blanc des Assises de la Sécurité
2. Tutoriels au Salon de la Sécurité
3. Tutoriel à Alger
4. Formations HSC
5. Agenda des interventions publiques
6. Nouveautés sur le web HSC
7. Veille en vulnérabilités HSC
8. La sécurité "au jour d'aujourd'hui" - Hervé Schauer
--[ 1. Livre blanc des Assises de la sécurité ]--------------------------
Le livre blanc des Assises de la Sécurité, "Pour un management
stratégique des cyber-risques", est paru. Il a été distribué lors des
Assises de la Sécurité et réunit les réponses à une enquête réalisée à
l'été 2004 auprès de 82 professionnels de la sécurité en entreprise.
Hervé Schauer a participé à la relecture des analyses issues du
questionnaire.
Parmi les chiffres publiés, les professionnels jugent modérément leurs
fournisseurs, un sur 2 étant "correct" et un sur 10 "médiocre", le
reste étant jugé de qualité.
Le principal enseignement de l'enquête est le rôle à géométrie variable
du professionnel de la sécurité en entreprise, même si les rôles qui se
dégagent le plus sont "contrôleur", "régulateur", "architecte" et
"analyste".
L'auteur, Pierre-Luc Refalo, Comprendre & Réussir (revendeur des
formations HSC), estime que le marché évolue selon 3 axes qu'il nomme
"qualité des infrastructures", "confiance des services dématérialisés"
et "sécurité des informations". Il conclue en estimant à 8000 le nombre
de professionnels en sécurité en France.
Le livre blanc des Assises de la Sécurité sera disponible prochainement
en téléchargement sur www.les-assises-de-la-securite.com.
--[ 2. Tutoriels au Salon de la Sécurité ]------------------------------
Comme les années précédentes, HSC sera présent au Salon de la Sécurité
Informatique (http://www.infosecurity.com.fr/) au CNIT Paris La
Défense. Plusieurs nouveaux sujets sont proposés cette année :
-> "Sécurité des réseaux sans fil" le 24 novembre 2004
-> "Sécurité des applications Web" le 24 novembre 2004
-> "La norme BS7799" le 25 novembre 2004
-> "Incidents de sécurité : Détection et Analyse" le 25 novembre 2004
Organisateur : Reed Exhibitions
Contact : Mathieu.Pepin at reedexpo.fr -- Tel : +33 (0) 141 904 754
Téléchargez le bulletin d'inscription PDF en ligne :
http://www.hsc.fr/conferences/programme_infosec2004.pdf
--[ 3. Tutoriel à Alger]-----------------------------------------------
Les tutoriels sont des formations techniques exceptionnelles à grande
échelle données dans le cadre d'événements spécifiques organisés par
nos partenaires. Le rythme soutenu des cours permet de proposer un
contenu très riche à un prix attractif. À la demande des participants,
le tutoriel a été décalé au mois de décembre.
-> "Sécurité des Serveurs Web et des transmissions"
les 7 et 8 décembre 2004 à l'hôtel Sofitel d'Alger (Algérie)
Formateur : Franck Davy (HSC)
Organisateur : NT2S
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
Retrouvez l'agenda de tous nos tutoriels sur
http://www.hsc.fr/conferences/index.html.fr
--[ 4. Formations HSC ]-------------------------------------------------
Des places sont encore disponibles sur les modules suivants :
- HSC Paris
Programmation sécurisée : 8 Décembre
Sécurité des serveurs web : 13 & 14 Décembre
- HSC Toulouse
Sécurité Unix et Linux : 1 & 2 Décembre
Sécurité Windows : 15 & 16 Décembre
Rappel : pour 4 jours de formation commandés simultanément par la même
personne, le 5ème jour est offert.
Retrouvez le détail de nos formations (plan pédagogique, agenda) sur
http://www.hsc.fr/services/formations/index.html.fr
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 (0) 141 409 704
--[ 5. Agenda des interventions publiques ]-----------------------------
- 3 au 5 novembre 2004 : Networld+Interop
Organisation et animation des table-rondes en sécurité
Intervenant : Hervé Schauer
Lieu : Paris-Expo Porte de Versailles, Salle 2
Avec notamment :
- le 4 novembre 2004
. A 9h30 : "802.1X et 802.11i" par Alexandre Fernandez
. A 12h00 : Interview d'Alexandre Fernandez par Philippe Leroy sur ZDnet
TV en direct sur www.zdnet.fr
. A 16h00 : "Vulnérabilités : de la découverte à l'exploitation"
par Jean Baptiste Marchand
Lieu : Paris-Expo Porte de Versailles, Salle 2
http://www.interop2004.com/index.php?page=programme2
- le 5 novembre 2004
. A 14h00 : "Le rôle des associations en sécurité"
Table-ronde animée par Hervé Schauer avec la participation de :
* Jean Saphores, FNTC, président
* Frédéric Huynh, AFAI, animateur du comité sécurité
* Gilles Berthelot, Cercle Européen de la Sécurité, membre du comité de pilotage
* Paul Grassart, Clusif
* Patrick Morrissey, ISSA, président du chapitre français
* Mauro Israel, Netfocus, président du chapitre français
* Christophe Labourdette, OSSIR, président
* Bernard de La Renaudie, Forum des Compétences, président
* Stephane Rouhier, Cigref
- 4 novembre 2004 : Réunion Technique CNEJITA
Réseaux sans fils: risques, solutions, questions pour l'expert.
Intervenant : Jérôme Poggi
http://www.cnejita.org/
- 23 novembre 2004 : Conférence organisée par le
chapitre français de l'ISSA : "FORENSICS, Que faire en cas de délit
informatique ? Comment constituer les preuves ?"
Animation de la session "Investigation et recueil de preuves"
par Hervé Schauer
http://www.issafrance.org/
Bulletin d'inscription
http://www.issafrance.org/activites/Bul_Inscription_Forensics.pdf
- 8 Décembre 2004 : Forum 2005 de la Sécurité Bancaire
Où appliquer la sécurité logique ? Comment appliquer de manière
cohérente sa politique de sécurité à un système d'information dont
les frontières sont floues ?
Intervenant : Hervé Schauer
http://www.development-institute.com/modules.php?op=modload&name=News&file=article&sid=517
Les personnes qui s'inscrivent à cette conférence bénéficieront
d'une réduction de 50% en indiquant qu'elle viennent de la part
d'Hervé Schauer Consultants.
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
Retrouvez les supports de toutes nos interventions publiques sur
http://www.hsc.fr/ressources/presentations/index.html.fr
--[ 6. Nouveautés sur le web HSC ]--------------------------------------
- "La sécurité et la DSI"
Présentation effectuée lors du séminaire Enjeux DSI 2004 organisé
par Benchmark Group, le 6 octobre 2004.
http://www.hsc.fr/ressources/presentations/benchmark04/index.html.fr
- "Enjeux de la sécurité réseaux"
Présentation effectuée au séminaire Inkra Networks sur la
virtualisation des architectures sécurisées, le 14 octobre 2004.
http://www.hsc.fr/ressources/presentations/inkra04/index.html.fr
- "Archives Newsletter HSC"
Les anciens numéros de la Newsletter HSC sont disponibles en ligne,
retrouvez le n° 1 sur
http://www.hsc-news.com/archives/2004/000000.html
et le n° 2 sur
http://www.hsc-news.com/archives/2004/000001.html
--[ 7. Veille en vulnérabilités HSC ]-----------------------------------
979 01-10-2004 Accès potentiel à des fichiers arbitraires via
Samba 2.2.x et Samba 3.0.x
980 01-10-2004 Vulnérabilité dans le connecteur du serveur J2EE
JRUN pour Apache (mod_jrun)
981 07-10-2004 Vulnérabilité découverte dans ASP.NET
982 13-10-2004 Débordement de buffer dans le connecteur SMTP de
Exchange 2003
983 13-10-2004 Débordement de buffer dans le serveur NNTP de Windows
984 22-10-2004 Elévation de privilèges sur HP-UX
Présentation du service de veille technologique en sécurité d'HSC
http://www.hsc.fr/services/veille.html.fr
Vous pouvez consulter librement les rapports de veille technologique
sur http://www.hsc.fr/ressources/veille/index.html.fr
--[ 8. La sécurité "au jour d'aujourd'hui" - Hervé Schauer ]-----------
Les 4èmes Assises de la Sécurité se sont déroulées à Deauville du 21
au 23 octobre, avant de se déplacer à Monaco l'an prochain. Le nombre
de sponsors et donc de stands était plus important que lors des
éditions précédentes, sans que cela apporte de grande nouveauté en
terme de produits. Les sujets phares ont été la publication du livre
blanc des Assises (voir ci-dessus), les problèmes liés à la messagerie
et l'intelligence économique.
Au-delà des problèmes de spam et d'anti-virus, il a été rappelé que
l'outil mis à la disposition du salarié ne devait pas laisser place à
tous les abus. Le contrôle sur le contenu des messages est possible,
l'important est le principe de proportionnalité entre les objectifs de
sécurité visés et les moyens mis en oeuvre, tout en respectant
l'obligation de transparence en informant les salariés.
Lors de la session sur l'intelligence économique dirigée par Patrick
Langrand (RSSI de Natexis-Banques Populaires), Eric Martin a présenté
l'OLAF, Office Européen de Lutte Anti-Fraude. L'OLAF est une
institution européenne, totalement indépendante de toute autre, créée
en 1999, qui avec ses 340 membres fait notamment de l'intelligence
économique et des enquêtes pour traquer à l'échelle européenne toutes
formes de malversations, principalement les fraudes financières.
Enfin Bernard Carayon, député du Tarn, a clairement rappelé que les
anglo-saxons ne se posaient pas toutes les questions philosophiques
dont nous débattons en France avec notre vertu. Les USA affichent
leur objectif de "suprématie" sur leur sites web et ont agi avant
d'afficher. Si nous dépendons de produits pharmaceutiques étrangers,
c'est l'équilibre social en France qui est directement dépendant des
décisions des autres. Dans le même esprit, une entreprise a toujours
une nationalité, les critères sont subjectifs, et il faut privilégier
des technologies françaises en sécurité. Pour cela le législateur a
réformé en janvier dernier la procédure de commande publique. Bernard
Carayon recommande notamment la création d'un "CEA" des technologies
de l'information de la communication et de la sécurité, comme cela
avait été fait dans le nucléaire. Le débat qui a suivi l'intervention
de Bernard Carayon est disponible en ligne sur :
http://www.mag-securs.com/article.php3?id_article=1463
Plus d'informations sur la liste de diffusion newsletter