[Newsletter HSC] N°4 - Décembre 2004
newsletter at hsc-news.com
newsletter at hsc-news.com
Ven 3 Déc 18:00:37 CET 2004
========================================================================
HSC Newsletter -- N°004 -- Décembre 2004
========================================================================
"Personne ne croit aux experts, mais tout le monde les écoute."
[ Auguste Detoeuf ]
--[ Sommaire ]----------------------------------------------------------
1. HSC annonce ses services d'accompagnement BS7799
2. HSC présent dans le guide de la sécurité "Security 2005"
3. Publication ROSI (Return On Security Investment)
4. Tutoriel sécurité des serveurs web à Alger
5. Séminaire sécurité Linux à Solutions Linux 2005
6. Formations HSC
7. Agenda des interventions publiques
8. Nouveautés sur le web HSC
9. Veille en vulnérabilités HSC
10. La sécurité "au jour d'aujourd'hui"
Le Salon de la Sécurité - Hervé Schauer & Matthieu Hentzien
--[ 1. HSC annonce ses services d'accompagnement BS7799 ]---------------
HSC (Hervé Schauer Consultants), société de conseil et d'expertise en
sécurité, leader depuis 16 ans des audits de sécurité techniques, annonce
ses services d'accompagnement BS7799.
Quelles sont les raisons de cette orientation stratégique ?
Les nombreux audits techniques menés par les consultants HSC conduisent
généralement aux deux constatations suivantes :
1) Nécessité d'avoir une vision de la sécurité sur le long terme : les
audits techniques produisent une photo instantanée de l'état de la
sécurité des plates-formes et infrastructures. Ils ont l'avantage de
donner un point de vue factuel et indépendant de la situation. Ils
permettent déjà de nombreuses recommandations sur le plan
organisationnel. Alexandre Fernandez précise "La BS7799 nous apporte
une approche plus « physiologique » que radiologique et nous permet
d'apporter à nos clients comment assurer la sécurité dans la durée".
2) Fossé entre la direction et l'exploitation : HSC constate un écart
chronique entre la direction et l'exploitation. Il n'est pas rare que
les directions disposent de documents répartissant de façon formelle
les responsabilités des uns et des autres en matière de sécurité ou
définissant les politiques à respecter. Tout en bas de la pyramide,
force est de constater que la sécurité repose essentiellement sur la
conscience professionnelle des exploitants. Les procédures relatives à
la sécurité étant souvent transmises oralement plutôt que formalisées
dans des documents, avec tous les risques que cela comporte en cas de
problème. Il y a donc un lien rompu entre le haut et le bas de la
pyramide.
La norme BS7799 est une réponse satisfaisante à ces deux problèmes
constatés lors des audits techniques. Nicolas Jombart : "Notre
certification BS7799 Lead Auditor apporte la respectabilité de nos
interlocuteurs". Alexandre Fernandez complète "Lors d'audits de sécurité
à l'international avec des infrastructures en infogérance et de nombreux
sous-traitants cela nous a aussi aidé par une approche commune de la
sécurité".
La norme BS7799
La norme BS7799 a été publié pour la première fois par le British
Standard Institute en 1995. Son objectif est de permettre la mise en place
dans l'entreprise d'un système de management de la sécurité de
l'information ou SMSI (ISMS ou Information Security Management System).
Pour cela, la BS7799 impose le modèle PDCA (Plan, Do, Check, Act) qui
oblige tous les processus relatifs à la sécurité à être cycliquement :
planifiés, mis en place, vérifiés puis améliorés.
L'atout principal de la BS7799 selon les consultants techniques du cabinet
HSC : "est sa simplicité et son pragmatisme". En effet, la norme n'impose
pas de formalisme particulier et laisse libre du choix des méthodes
utilisées pour l'analyse de risques et le contrôle.
C'est probablement ce pragmatisme qui a permis à la norme de connaître un
essor rapide. L'ISO en a tiré l'ISO17799, en cours de révision, qui se
limite pour le moment à donner une liste de bonnes pratiques en matière
de sécurité.
Les apports de la BS7799 dans la vie quotidienne du système d'information
1) Certification BS7799 : Les sociétés peuvent vouloir se lancer dans un
processus de certification BS7799. Ce processus peut couvrir l'ensemble
du SI. Cependant, le coût économique et humain d'un tel projet à
l'échelle globale du SI est tel que seuls quelques processus
stratégiques bien ciblés sont retenus pour la certification. La
certification BS7799 entraîne l'entreprise dans un cycle de contrôles
récurrents sur trois ans. "La plupart de nos clients ne sont pas encore
concernés dans l'immédiat par cette démarche" complète Hervé Schauer.
2) Clarification des procédures relatives à la sécurité : l'intérêt
principal de cette norme est de permettre la mise en place effective
de procédures relatives à la sécurité. La réflexion BS7799 oblige à
faire le point sur ce qui est important et sur ce qui l'est moins, sur
ce qu'il faut protéger, et comment. Elle oblige surtout à mettre en
application le fruit de cette réflexion. Elle contribue par là à une
amélioration notable de la sécurité du système d'information. Hervé
Schauer commente "La BS7799 demande de formaliser comme nous l'avons
fait pour nos clients depuis 15 ans, c'est pourquoi je recommande aux
entreprises de se lancer dans une telle démarche".
3) Passer à la tradition écrite : La norme BS7799 contraint toutes les
parties prenantes de la sécurité, de la direction jusqu'à la production,
à passer d'une société de tradition orale à une société de tradition
écrite, sans pour autant sombrer dans une bureaucratie contre
productive. Alexandre Fernandez explique "Le formalisme écrit augmente
la crédibilité de l'entreprise vis-à-vis de ses partenaires et lui
permet de passer sans encombre, le moment venu, vers une certification
BS7799".
Ce que HSC apporte à ses clients
Fort de son expérience en matière de sécurité technique, HSC apporte
une approche originale de BS7799, en évitant les écueils dus à la
méconnaissance du terrain. À ce titre, HSC aide à la mise en oeuvre d'une
telle organisation, réalise des études de distance par rapport à la BS7799
sur des processus donnés, et propose des audits techniques cohérents avec
la BS7799.
Communiqué en ligne sur http://www.hsc.fr/presse/communiques.html.fr
--[ 2. HSC présent dans le guide de la sécurité "Security 2005" ]-------
HSC est présent dans le Guide de la sécurité 2005 publié par
Tarsus-Groupe MM, dans la catégorie Conseil / Audit / Expertise (page 72)
et dans les Sociétés de Formation. Le Guide de la sécurité 2005 a été
distribué gratuitement aux visiteurs du Salon de la Sécurité.
Le Guide liste l'ensemble des acteurs du marché de la sécurité
informatique. Il est distribué aux stagiaires des formations se déroulant
chez HSC à Paris et disponible auprès de Tarsus-Groupe MM :
http://www.groupemm.com/V1/presse3.html
--[ 3. Publication ROSI (Return On Security Investment) ]---------------
Le CLUSIF (Club de la Sécurité Informatique Français),
http://www.clusif.asso.fr/ publie le document "Retour sur investissement
en sécurité des systèmes d'information : quelques clés pour argumenter",
auquel Hervé Schauer a participé. Ce document est librement téléchargeable
sur : https://www.clusif.asso.fr/fr/production/ouvrages/pdf/RoSI.pdf
Retrouvez l'ensemble des ouvrages auxquels HSC a participé sur :
http://www.hsc.fr/presse/publications.html.fr#ouvrages
--[ 4. Tutoriel sécurité des serveurs web à Alger ]---------------------
Les tutoriels sont des formations techniques exceptionnelles à grande
échelle données dans le cadre d'événements spécifiques organisés par
nos partenaires. Le rythme soutenu des cours permet de proposer un
contenu très riche à un prix attractif.
-> "Sécurité des Serveurs Web et des transmissions"
les 7 et 8 décembre 2004 à l'hôtel Sofitel d'Alger (Algérie)
Formateur : Franck Davy (HSC)
Organisateur : NT2S (http://www.nt2s.com/)
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
Retrouvez l'agenda de tous nos tutoriels sur
http://www.hsc.fr/conferences/index.html.fr
--[ 5. Séminaire Sécurité Linux à Solutions Linux 2005]-----------------
Infopromotions organise dans le cadre du Salon "Solutions Linux" un
séminaire exceptionnel (360 euros HT) animé par HSC au CNIT Paris
La-Defense le 3 février 2005 sur la Sécurité Linux, à destination des
administrateurs Linux & Internet.
Dans le cadre d'une architecture réseau sécurisée il est important
que les serveurs impliqués soient tous sécurisés. Il est aujourd'hui
possible d'utiliser Linux et les logiciels libres dans de nombreux cas.
Ce séminaire propose de voir l'ensemble des notions et fonctionnalités
nécessaires pour mettre au point sa sécurité aux niveaux système,
applicatif et réseau. Sont traités l'installation, le durcissement,
l'administration et la surveillance du système d'exploitation, des
applications et du réseau.
Plusieurs cas concrets (DNS, messagerie, web) sont passés en revue pour
montrer comment assembler différentes briques pour optimiser la sécurité
tout en limitant les conséquences de problèmes éventuels.
Le séminaire sera animé notamment par Hervé Schauer, Denis Ducamp et
Guillaume Lehembre.
Pour tout renseignement et pour vous inscrire contactez Eric Gandy
e.gandy at infopromotions.fr -- +33 (0) 144 398 527
Télécopie : +33 (0) 144 398 537
Retrouvez le plan détaillé du séminaire Sécurité Linux sur
http://www.hsc.fr/conferences/solutionslinux_2005.html.fr
--[ 6. Formations HSC ]-------------------------------------------------
Des places sont encore disponibles sur les modules suivants :
- HSC Paris
Sécurité des serveurs web : 13 & 14 décembre 2004
Sécurité Unix et Linux : 6 & 7 janvier 2005
Sécurité des réseaux TCP/IP : 10 & 11 janvier
Filtrage IP : 12 janvier
Détection d'intrusion avancée : 13 janvier
Sécurité des transmissions : 14 janvier
Sécurité des réseaux sans fil : 17 janvier
Fonctionnement des PKI : 19 & 20 janvier
DNS : 24 janvier
Postfix et anti-spam : 25 janvier
Sécurité Windows : 26 et 27 janvier
Sécurité internet/intranet : 7 et 8 février
Gestion de la journalisation : 9 février
Normes BS 7799-2 et ISO 17799 : 10 février
- HSC Toulouse
Sécurité Windows : 15 & 16 décembre 2004
Rappel : pour 4 jours de formation commandés simultanément par la même
personne, le 5ème jour est offert.
Retrouvez le détail de nos formations (plan pédagogique, agenda) et notre
catalogue en PDF sur http://www.hsc.fr/services/formations/index.html.fr
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 (0) 141 409 704
--[ 7. Agenda des interventions publiques ]-----------------------------
- 8 Décembre 2004 : Forum 2005 de la Sécurité Bancaire
Où appliquer la sécurité logique ? Comment appliquer de manière
cohérente sa politique de sécurité à un système d'information dont
les frontières sont floues ?
Intervenant : Hervé Schauer
http://www.development-institute.com/
Les personnes qui s'inscrivent à cette conférence bénéficieront
d'une réduction de 50% en indiquant qu'elle viennent de la part
d'Hervé Schauer Consultants.
- 16 Décembre 2004 : Conférence SyScAN '04 à Singapour
Network flows: applications in security par Yann Berthier
http://www.syscan.org/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
Retrouvez les supports de toutes nos interventions publiques sur
http://www.hsc.fr/ressources/presentations/index.html.fr
--[ 8. Nouveautés sur le web HSC ]--------------------------------------
- "La sécurité Wi-Fi, depuis le WEP jusqu'au 802.11i"
Les différents moyens qui se sont succédés pour sécuriser les réseaux
sans fil, depuis le WEP jusqu'au 802.11i, par Alexandre Fernandez.
http://www.hsc.fr/ressources/presentations/ni04-WiFi/index.html.fr
- "SSH et la redirection X11"
Brève technique rédigée par Franck Davy
http://www.hsc.fr/ressources/breves/ssh-x11.html.fr
- "Vulnérabilités : de la découverte à l'exploitation"
Description du cycle de vie des vulnérabilités système par Jean-Baptiste
Marchand
http://www.hsc.fr/ressources/presentations/ni04-vuln/index.html.fr
- "Réseaux sans fils: risques, solutions, questions pour l'expert"
Présentation introduisant les risques amenés par les réseaux sans
fil et apportant des cas concrets, découvert sur le terrain, que
les experts judiciaires pourraient être amenés à rencontrer, par
Jérôme Poggi.
http://www.hsc.fr/ressources/presentations/cnejita2004/index.html.fr
--[ 9. Veille en vulnérabilités HSC ]-----------------------------------
[veille HSC] 985 : Vulnérabilité dans l'authentification EAP-TLS Cisco ACS
[veille HSC] 986 : Empoisonnement DNS dans MS Proxy 2.0 et MS Isa Server
[veille HSC] 987 : Déni de service dans Samba 3.0x
[veille HSC] 988 : Déni de service sévère sur certaines versions de Cisco IOS
[veille HSC] 989 : Élévation de privilèges avec sudo et bash
[veille HSC] 990 : Débordement de buffer dans Cyrus IMAP
[veille HSC] 991 : Vulnérabilité dans les serveurs WINS
Présentation du service de veille en vulnérabilités d'HSC
http://www.hsc.fr/services/veille.html.fr
Vous pouvez consulter librement les anciens rapports de veille
technologique sur http://www.hsc.fr/ressources/veille/index.html.fr
--[ 10. La sécurité "au jour d'aujourd'hui" - H. Schauer & M. Hentzien ]-
HSC était présent sur le salon de la Sécurité Informatique le 24 & 25
novembre au CNIT de la Défense dans le cadre des tutoriels. Nous avons
pu constater en parcourant les allées une reprise certaine de l'activité
sur ce marché :
- une centaine d'exposants
- des stands plus accueillants et le retour des "goodies"
- une affluence de visiteurs
Le bref compte rendu proposé ici est bien sûr non exhaustif, destiné à
donner un rapide aperçu à ceux qui n'ont pu se rendre sur place et réalisé
au gré des rencontres faites sur les stands et dans les allées.
Nous constatons une très forte présence des acteurs du filtrage de contenu
qui prouve que ce marché connaît une croissance soutenue, ainsi que dans
les firewalls HTTP avec des acteurs français comme NETSECUREONE
(http://www.netsecureone.com/) et DENY ALL qui présentait la fonction de
répartition de charge intégrée à rWeb (http://www.denyall.fr/).
APL propose ses audit et sécurisation des salles informatiques :
électricité, climatisation, incendie, gestion et organisation des flux
humains et localisation.
http://www.apl-france.com/
ARKOON a obtenu la certification EAL2+ pour son firewall. La cible de
sécurité ou le profil de protection utilisés n'étaient pas disponibles
sur le stand.
http://www.arkoon.net/fr/041129_certification_arkoon.pdf
L'éditeur BETA SYSTEMS Software présentait deux solutions :
- zSecurity Suite : gestion et administration de la sécurité mainframe
- SAM Jupiter : gestion des identités
http://www.betasystems.com/
La société anglaise BLACKSPIDER proposait son service anti virus et
anti-spam et contrôle de contenu en mode ASP destiné aux entreprises.
http://www.blackspider.com/index.fr.html
CYBERTRUST est le nouveau nom de la société Californienne TrueSecure,
anciennement ICSA. TrueSecure avait repris BeTrusted, c'est-à-dire la
PKI de l'éditeur irlandais Baltimore, utilisée notamment dans des
applications du secteur public en Europe. Peut-être une opportunité
manquée pour les groupes européens. Cybertrust regroupe également
l'éditeur et intégrateur belge Ubizen, également repris.
http://www.cybertrust.com/
La société parisienne DOLPHIAN délivre un filtrage dynamique des flux
Internet en mode ASP à destination des opérateurs et entreprises. Sur son
stand étaient présentés le couplage avec des annuaires LDAP et Active
Directory, la granularité dans la gestion des utilisateurs et le filtrage
anti-spam sans utiliser de listes noires.
http://www.dolphian.com
Société lyonnaise, EXAPROTECT commercialise une solution de corrélation
d'événements de sécurité en temps réel avec une interface d'exploitation
simple et ergonomique sur la base du logiciel libre Prelude.
http://www.exaprotect.com/
http://www.prelude-ids.org/
ILEX propose Sign&Go / Meibo pour le contrôle d'accès et la gestion des
identités et Certatoo / Applatoo de FT R&D comme solution PKI
opérationnelle.
http://www.ilex.fr/
ISC2 qui réalise et vend la certification CISSP, était présent pour la
première fois, et hébergeait sur son stand le chapitre français de
l'association ISSA (Information Systems Security Association).
http://www.isc2.org/
http://www.issafrance.org/
LANDESK permet avec LANDESK management suite la gestion et l'inventaire de
parc informatique avec :
- la gestion des correctifs de sécurité
- la découverte et l'analyse des biens informatiques
- la détection et la désactivation de cartes WiFi, bluetooth, ports USB
et Firewire
sur les environnements Windows, Macintosh, UNIX/Linux et assistants
personnels.
http://www.landesk.fr
PARTELEC, spécialiste de la distribution de matériels destinés à
l'informatique mobile présente "Secure Data", une clé USB à 3 niveaux de
chiffrement : enfoui, privé (3DES128) et public. Cette clé USB n'a pas de
résonnance magnétique ce qui la protége théoriquement du vol d'information.
http://www.partelec.fr/
La société de La Rochelle ZEFYR positionne à l'occasion du salon sa
solution d'authentification biométrique par empreinte digitale à
destination du grand public Yubee, à un prix compétitif (~ 50 euros), avec
un capteur par glissement et le stockage des empreintes dans une base de
données chiffrée en AES.
http://www.zefyr.com/
Plus d'informations sur la liste de diffusion newsletter