[Newsletter HSC] N°16 - Decembre 2005
newsletter at hsc-news.com
newsletter at hsc-news.com
Ven 2 Déc 15:29:10 CET 2005
========================================================================
HSC Newsletter -- N°016 -- Décembre 2005
========================================================================
"La variété, c'est de l'organisation ; l'uniformité, c'est du mécanisme.
La variété, c'est la vie ; l'uniformité, c'est la mort."
[Benjamin Constant]
--[ Sommaire ]----------------------------------------------------------
1. Formation certifiante ISO 27001 Lead Auditor
2. Prix de l'Innovation des Assises de la Sécurité 2006
3. Tutoriels à Alger
4. Formations HSC
5. Formations certifiantes "SecurityCertified"
6. Nouveautés du web HSC
7. Agenda des interventions publiques
8. Veille en vulnérabilités HSC
9. Conférence "ISO 1779 et ISO 27001 : Expériences et Perspectives"
Compte-rendu complet
10. La sécurité "au jour d'aujourd'hui" - H. Schauer
Le Salon de la Sécurité 2005
--[ 1. Formation certifiante ISO 27001 Lead Auditor ]--------------------
Les prochaines sessions de formation et d'examen ISO 27001 Lead Auditor
sont :
- 5 au 9 décembre 2005
- 16 au 20 janvier 2006
- 20 au 24 mars 2006
La formation certifiante ISO 27001 Lead Auditor (anciennement BS7799
Lead Auditor) vous permet de devenir auditeur pour les Systèmes de
Management de la Sécurité de l'Information et d'obtenir un diplome
reconnu. HSC travaille en partenariat avec LSTI (http://www.lsti.fr/)
qui réalise la certification.
La formation ISO27001 Lead Auditor est dispensée par Alexandre
Fernandez et Hervé Schauer.
En savoir plus sur la formation certifiante ISO27001 Lead Auditor :
http://www.hsc.fr/services/formations/formations_lsti.html.fr
Public visé, pré-requis et plan de la formation ISO27001 Lead Auditor
: http://www.hsc.fr/services/formations/certification_iso27001.html.fr
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 2. Prix de l'Innovation des Assises de la Sécurité 2006 ]-----------
Les Assises de la Sécurité
(http://www.lesassisesdelasecurite.com/) se dérouleront du 11 au 14
octobre 2006 à Monaco. Pour la première fois sera décerné le "Prix de
l'Innovation des Assises de la Sécurité" en séance plénière le jeudi
12 octobre à une jeune entreprise innovante dans les secteurs
d'activités concernés par le public des Assises de la Sécurité.
L'entreprise se verra également offert l'accès sans frais aux Assises
avec un module et un atelier afin d'y présenter son innovation.
Les entreprises candidates doivent être issus de l'Union
Européenne, crées en 2004, 2005 ou 2006, et peuvent d'ores et déjà
déclarer leur intérêt pour une candidature auprès d'Hervé Schauer et
Didier Gras, responsables du projet : Herve.Schauer at hsc.fr.
--[ 3. Tutoriels à Alger ]----------------------------------------------
NT2S (www.nt2s.com) organise des tutoriels assurés par HSC à l'hôtel
Sofitel d'Alger (Algérie).
- "Sécurité TCP/IP" : 30 et 31 janvier et 1er février 2006
Formateur : Thomas Seyrat
- "Sécurité Windows" : 20 et 21 mars 2006
Formateur : Benjamin Arnault
- "Sécurité des Serveurs Web" : 17 et 18 avril 2006
Formateur : Cédric Le May
- "Implémentation des normes ISO17799 / ISO27001" : 22 et 23 mai 2006
Formateur : Hervé Schauer
Organisateur : NT2S (http://www.nt2s.com/)
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
Retrouvez l'agenda de tous nos tutoriels sur
http://www.hsc.fr/conferences/index.html.fr
--[ 4. Formations HSC ]-------------------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
ISO27001 Lead Auditor : 5 au 9 decembre 2005
Fonctionnement des PKI : 10 au 11 janvier 2006
Sécurité Internet/Intranet : 12 au 13 janvier
ISO27001 Lead Auditor : 16 au 20 janvier
Sécurité des réseaux et des transmissions
: 23 au 25 janvier
Sécurité des serveurs web : 26 au 27 janvier
Sécurité Unix : 30 au 31 janvier
Sécurité Windows : 1er au 2 février
Sécurité des réseaux sans fil : 3 février
DNS : 21 février
Postfix : 22 février
Implémentation des normes ISO17799 et ISO27001
: 23 au 24 février
- Strasbourg
Sécurité des réseaux et des transmissions
: 27 au 29 mars 2006
Sécurité des serveurs web : 30 au 31 mars
Sécurité Unix : 3 au 4 avril
Sécurité Windows : 5 au 6 avril
Sécurité des réseaux sans fil : 7 avril
- Toulouse
Implémentation des normes ISO17799 et ISO27001 :
14 et 15 décembre 2005
Rappel : pour 4 jours de formation consécutifs commandés simultanément
par la même personne, le 5ème jour est offert (sauf formations
certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) sur
http://www.hsc.fr/services/formations/index.html.fr
Retrouvez les tarifs et modalités d'inscription aux formations HSC
dans la newsletter n°8 :
http://www.hsc-news.com/archives/2005/000021.html
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 5. Formations certifiantes "SecurityCertified" ]-------------------
HSC propose des formations techniques certifiantes en sécurité.
Ces formations couvrent tous les domaines de la sécurité, sont
indépendantes de tout fournisseur et vous permettent de tenter la
certification SCNP : Security Certified Network Professional.
Pour cela il convient de suivre deux formations d'une durée de 5 jours :
- SCP Hardening The Infrastructure (HTI) du 13 au 17 mars 2006
- SCP Network Defense and Countermesures (NDC) du 27 au 31 mars 2006
Les cours incluent des travaux pratiques : PC avec 3 systèmes
d'exploitation (Windows et Linux), routeurs Cisco, etc. En conséquence
le nombre de places est limité à 10 participants.
Pour en savoir plus sur les formations certifiantes SecurityCertified :
http://www.hsc.fr/services/formations/formations_scp.html.fr
Plan détaillé du cours SCP Hardening The Infrastructure (HTI) :
http://www.hsc.fr/services/formations/scp_hti.html.fr
Plan détaillé du cours SCP Network Defense and Countermesures (NDC) :
http://www.hsc.fr/services/formations/scp_ndc.html.fr
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 6. Nouveautés du web HSC ]------------------------------------------
- Le catalogue des formations 2006 est paru. Téléchargez-le sur :
http://www.hsc.fr/services/formations/cataloguehsc.pdf
- Interview télévisée de Guillaume Lehembre par ZDNet France
La sécurité des réseaux sans fil
http://www.zdnet.fr/actualites/videos/0,39051288,39288939,00.htm
- La sécurité des données
Présentation a destination des commerciaux et avant-ventes des
partenaires effectuée lors du tour de France Logix, afin de leur
permettre de connaître et vendre la sécurité.
http://www.hsc.fr/ressources/presentations/logix05/
Retrouvez les supports de toutes nos interventions publiques sur
http://www.hsc.fr/ressources/presentations/
--[ 7. Agenda des interventions publiques ]-----------------------------
- 31 janvier 2006 : Solutions Linux 2006 - CNIT La Défense
"Outils d'audit et d'intrusion libres pour les réseaux Wi-Fi"
Guillaume Lehembre
http://www.solutionslinux.fr/
- 31 janvier et 1 février 2006 : Solutions Linux 2006
Animation des sessions "Lutte contre le SPAM" et "Sécurité"
Hervé Schauer
http://www.solutionslinux.fr/
- 7 mars 2006 : Journée ISO 17799 et ISO 27001 de l'ISSA
Animation de session - Hervé Schauer
http://www.issafrance.org/
- 4 avril 2006 : Forum Eurosec 2006
"Comment choisir les indicateurs ISO 27001"
Alexandre Fernandez
http://www.xpconseil.com/eurosec2006/
- 5 avril 2006 : Forum Eurosec 2006
"Gérer l'insécurité des infrastructures spontanées"
Hervé Schauer
http://www.xpconseil.com/eurosec2006/
- 6 avril 2006 : Rencontres Sécurité 2006 - CNIT La Défense
Animation de la journée - Hervé Schauer
http://www.rencontresecurite.com/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 8. Veille en vulnérabilités HSC ]-----------------------------------
02-11-2005 Débordement de tas au niveau des timers internes sur Cisco IOS
04-11-2005 Possibilité d'injection de trafic non chiffré sur les
contrôleurs Airespace Wireless LAN Cisco en mode LWAPP
09-11-2005 Débordement de mémoire dans VERITAS NetBackup 5.x
09-11-2005 Vulnérabilité dans IBM Tivoli Directory Server
14-11-2005 Nombreuses vulnérabilités dans ISAKMP affectant différents
constructeurs
22-11-2005 Déni de service distant sur IBM WebSphere Application
Server V5.0 sous z/OS
--[ 9. Conférence "ISO 17799 et 27001 : Expériences et Perspectives" ]
Pour la première fois en lieu et place d'un tutoriel s'est tenue une
conférence lors du Salon de la Sécurité le 24 novembre dernier :
la conférence "ISO 17799 et ISO 27001 : Expériences et Perspectives",
conçue et animée par Hervé Schauer. La norme ISO 27001 remplace
la norme britannique BS7799-2.
Les intervenants de la conférence étaient :
- Ted Humphreys, XISEC - Consultant et éditeur des normes ISO 2700x (UK)
- Armelle Trotin, LSTI - Fondatrice et Présidente (FR)
- Walter Däpp, T-Systems Schweiz - Country Security Officer (CH)
- Joyce Leggett, Orange Uk - Responsable du Projet BS7799 (UK)
- Odile Bouchy, Axalto - Security Management Group (FR)
- François-Xavier Vincent, SGDN/DCSSI - Membre du Bureau Conseil DCSSI (FR)
- Philippe De Araujo, ADP ES - CSO Europe (FR)
-= [ Ted Humphreys - ISMS 27000 Series & ISMS Certification ] =-
L'ISO/IEC JTC 1/SC27 se décompose en 3 groupes de travail:
- WG1 : Security Management
- WG2 : Security Techniques : algorithmes cryptographiques
- WG3 : Security Evaluation : critères communs pour l'évaluation des produits
Ted Humphreys participe au WG1 qui a deux parties, celle où sont
normalisés les aspects SMSI (Système de Management de la Sécurité de
l'Information) ou ISMS, et celle où sont faites les normes liées à
la sécurité. C'est dans cette première partie que sont développées
les normes de la famille ISO 27000:
- 27000 : Principes et vocabulaire
- 27001 : Exigences d'un SMSI (ISMS) publiée le 15 Octobre 2005
- 27002 : Renommage en Avril 2007 de l'ISO 17799:2005 du 15 Juin 2005
- 27003 : Guide d'implémentation pour le SMSI
- 27004 : Mesures et "métriques" pour le SMSI
- 27005 : Gestion du risque pour le SMSI
L'historique ISO 13335 pour ses parties 1 à 4 sera réintégrée dans
la série ISO 27000.
La croissance des certificats rendus publics est très forte,
notamment au Japon et en Inde, mais c'est aux USA qu'elle est la
plus forte car très récente, notamment car de nouveaux organismes
certificateurs ont été accrédités récemment. Les certificats sont
répartis dans tous les secteurs d'activité. Le SMSI certifié ayant
le plus gros périmètre est Ricoh au Japon.
-= [ Armelle Trotin - La Certification ISO 27001 ] =-
La confiance dans les relations avec ses partenaires et prestataires
se construit par les cahiers des charges et les contrats ; qu'il faut
entretenir. Ils fournissent la capacité à pouvoir se retourner contre l'autre
partie et apportent des preuves en cas de litige. La certification
constitue la solution économique au travers d'une norme. Elle est élaborée
et maintenue par des experts internationaux au sein de l'ISO.
L'organisme certificateur est celui qui va délivrer le certificat.
Il est indépendant et impartial, avec un comité de certification
indépendant, des auditeurs expérimentés et formés aux normes, et
une accréditation selon un processus strict et normalisé, en France
par le COFRAC.
Pour réduire les coûts supplémentaires d'une nouvelle certification, une
solution est l'audit combiné sur différentes normes de systèmes de
management : 9001, 14001 et 27001.
Il est également possible d'avoir des exigences particulières
sur la politique de sécurité ou des SoA particuliers (Statement of
Applicability ou Déclaration d'Applicabilité) avec, par exemple, une
certification par rapport à un SoA.
-= [ Walter Däpp - Certification BS7799 de T-Systems Suisse ] =-
T-System Suisse est une entreprise d'environ 1000 employés qui
déploie et gère les infrastructures informatiques de grandes et moyennes
entreprises. L'audit de certification a duré 12 jours avec en même temps
l'audit ISO 9001 et ISO 27001 (BS7799-2 à l'époque).
Le gros du travail a été l'analyse de risque qui a notamment demandé
40 jours de conception d'une méthode nouvelle.
La certification a divisé par deux "l'auditomanie" des clients de
T-Systems. Le nombre d'audits de sécurité est passé de 40 à 20 par an.
Ils monopolisent à chaque fois une à deux personnes. L'élément clé de
la réussite du projet est l'engagement du management.
-= [ Joyce Leggett - Certification BS7799 d'Orange UK ] =-
Orange Uk est la certification du périmètre le plus important en
Europe. Celle-ci a été engagée pour gagner la confiance des clients,
par le désir d'implémenter de bonnes pratiques SSI, et suite à la
demande du gouvernement. Un programme de deux ans a été mené, avec au
départ la difficulté de vendre le projet à la direction puis la
difficulté issue de la volonté de la direction de le faire pour toute
la société. Un des éléments clés de la réussite est l'organisation
pyramidale, une équipe de 22 personnes à la sécurité, puis des
correspondants locaux de sécurité et environ 200 "security champions"
(sur près de 13000 employés) qui ont sensibilisé dans tous les métiers,
avec l'adjonction de responsabilités sécurité dans les responsabilités
métier.
Les challenges ont été la difficulté de trouver les responsables
des actifs et le "middle management". Chez Orange Uk, 80 actifs ont
été identifiés. Le processus a été réalisé quasiment sans aide
extérieure.
-= [ Odile Bouchy - Certification BS7799 d'Axalto ] =-
L'activité d'Axalto étant la fabrication et la personnalisation
de cartes à puce, la certification a été décidée par la direction
pour compléter les certifications Visa ou Mastercard, faire entrer
le management de la sécurité dans un processus continu et pour
répondre aux demandes des clients. Les difficultés ont été dans
la consommation en ressources et temps et la motivation des
équipes.
-= [ François-Xavier Vincent - Analyse de risques basée sur EBIOS ] =-
La méthode d'analyse de risque EBIOS est un outil d'arbitrage, de
négociation et de sensibilisation qui apporte une méthode structurée
et un soutien de la démarche de choix des objectifs et mesures de sécurité
de l'ISO17799.
Le document complet de la DCSSI sera très prochainement publié sur
le site www.ssi.gouv.fr.
-= [ Philippe De Araujo - Intérêt de la BS7799 pour SAS-70 ] =-
ADP ES est certifié SoX (Sarbanes-Oxley) depuis 2004. Lorsqu'une
société n'est pas directement soumise à SoX mais qu'elle produit
des données financières pour des clients soumis à SoX alors ce
qui lui est demandé est une certification SAS-70.
Finalement, le coût d'une certification ISO27001 est insignifiant dans
une certification SAS-70, c'est plus complet et plus cohérent pour la
sécurité et répond à toutes les demandes des auditeurs SoX pour la
SSI. SoX est donc une opportunité d'aller vers l'ISO 27001 en même
temps.
-= [ Table Ronde ] =-
Intervenants:
- Eric Blanc, RSSI, Assistance Publique - Hôpitaux de Paris
- Eric Wiatrowski, Directeur délégué à la sécurité, France Telecom
- Yvon Klein, RSSI, CNES
- Fabrice Bru, RSSI, Danone
- Philippe de Araujo, RSSI, ADP Employer Services Europe
- Philippe Gros, Directeur de Projet Sécurité, La Poste Services Financiers
-= [ Eric Blanc, Hôpitaux de Paris ] =-
Il y a 4 ans un audit avait été mené pour estimer l'écart à
l'ISO 17799, mais aucune analyse de risque n'a été faite. L'adoption
de la BS7799-2 (aujourd'hui ISO 27001) apporte sans nul doute un
cadre, une structure pour bien aborder la sécurité et ses bonnes
pratiques. Le Club des RSSI du monde de la santé a créé un référentiel
commun pour identifier des indicateurs adaptés à la santé.
-= [ Eric Wiatrowski, France Telecom ] =-
L'idée de se faire certifier a été lancée en octobre 2001 et le
périmètre qui a été défini était l'ensemble de la société. L'analyse de risque
a été effectuée avec une version accommodée d'EBIOS en 2001 et 2002.
L'objectif de départ de certification fin 2002, début 2003 n'a pas encore
été atteint aujourd'hui. La principale raison était qu'il n'y avait pas
d'organismes certificateurs en France à cette époque. De plus, la fusion
de Transpac avec France Telecom a repoussé le projet. La démarche a
d'ores et déjà beaucoup apporté avant même la certification en terme de
sécurité tant au niveau de l'image que des meilleurs pratiques et
surtout une expérience irremplaçable. Les deux principaux actifs
identifiés sont le fichier client et le réseau.
-= [ Philippe de Araujo, ADP ES ] =-
La certification ISO 27001 d'ADP est planifiée. La norme permet
déjà d'avoir un langage commun et un outil de monitoring des pays avec
une feuille de tableur et des couleurs qui indiquent la criticité. Cela
a un effet psychologique puisque sur des problèmes communs, les
filiales se voient comparées aux autres donc elles tendent vers une
amélioration de la sécurité.
-= [ Fabrice Bru, Danone ] =-
La structure de Danone peut être assimilée à un ensemble de
filiales autonomes. L'ISO 27001 permet de les orienter dans la même
direction. Un système simple de comparaison de risques est visible sur
l'intranet. Les entités se sentent concernées, s'approprient la
sécurité au quotidien. Elles réagissent d'elles-mêmes lorsqu'elles sont
défaillantes par rapport aux autres. L'analyse de risques et la
détermination du SoA de l'ISO 27001 ont été réalisées sur un
périmètre restreint, et le travail va se poursuivre, sans objectif
de certification.
-= [ Philippe Gros, La Poste services financier & SANS ] =-
L'Institut SANS (http://www.sans.org/) a publié l'outil S.C.O.R.E.
qui aide à l'évaluation de sa conformité ISO 17799:2005. Au services
financiers de La Poste, le projet ISO 17799 n'avait pas été retenu, mais
l'objectif de conformité Bâle II est mis en oeuvre avec les mesures de
sécurité de l'ISO17799 afin d'être prêt pour une éventuelle demande de
certification ISO 27001. Un SoA propre au métier bancaire serait pratique.
-= [ Yvon Klein, CNES ] =-
Une politique de sécurité existe depuis 1992 au CNES. EBIOS est
utilisée pour l'analyse de risque dans tous les projets.
Historiquement, Yvon Klein était le représentant de l'AFNOR quand la
France a voté contre l'adoption de la BS7799 en tant que norme ISO
en 1995. Désormais, il s'agit d'une famille 27000 structurée. La
sécurité au CNES est mûre pour tendre vers l'ISO 27001 sans viser
la certification.
Dans la salle, Eric Doyen (Crédit Immobilier de France) pense que
ce n'est pas forcément au RSSI de porter la responsabilité de la
certification ISO 27001.
Cette journée a permis d'avoir la vision d'expériences notamment
à l'étranger et de comprendre les usages et atouts des normes ISO27001
et ISO17799.
--[ 10. La sécurité "au jour d'aujourd'hui" - ]------------------------
La Salon de la Sécurité 2005 - Hervé Schauer & Matthieu Hentzien
Pour la quatrième année consécutive, HSC était présent au Salon de
la Sécurité Informatique organisé par Reed. L'équipe HSC a animé sur
les deux jours 3 tutoriels et une conférence.
Nous avons donc profité de notre présence au CNIT pour faire un tour
d'horizon des exposants et des nouveautés.
Désormais, le Salon de la Sécurité est couplé avec Storage Expo,
exposition des solutions de stockage des données.
L'espace dédié à la sécurité informatique a regroupé plus de 80
exposants, principalement des habitués qui montraient la stabilité
acquise par le marché de la sécurité. Bien qu'il n'y ait pas de
nouveautés significatives ni d'innovation, quelques acteurs peuvent
être cités.
Arrivent des offres commerciales de lutte contre le spam qui imposent
à l'envoyeur d'un message d'être autorisé au préalable ou de revalider
manuellement par la suite son message avec la société Marseillaise
MailInBlack (http://www.mailinblack.com/). Les solutions équivalentes
en logiciel libre ont montré que cela était contraignant pour les
émetteurs mais efficace pour celui qui souhaite recevoir très peu de
messages.
De plus en plus de solutions de gestion de parc informatique et de
leur sécurité arrivent en concurrence à LanDesk
(http://www.landesk.com) ou SecureWave (http://www.securewave.com),
comme Criston (http://www.criston.com/) et Altiris
(http://www.altiris.com/) qui aident au déploiement global de
correctifs, aux tests de vulnérabilités, à la détection de
périphériques USB, etc. Le succès du tutoriel HSC sur la sécurité des
postes clients montrent que le sujet demeure d'actualité. Le
hollandais Safeboot (http://www.safeboot.com/) et le suédois Pointsec
(http://www.pointsec.com/) profitent de la dynamique du marché de la
protection des données du poste client (ordinateur, assistant
personnel, téléphone...).
Le salon n'a pas bénéficié d'une affluence exceptionnelle malgré
des efforts marketing : beaucoup de champagne et quelques "goodies"
comme les célébrissimes préservatifs de Bitdefender
(http://www.bitdefender.com/) et plus de commerciaux sur les stands
que l'an dernier.
Les thèmes d'actualité comme l'insécurité de la voix sur IP, la
problématique posée par les infrastructures spontanées ou la
certification ISO27001 étaient peu présents sur le salon, ce qui
laisse penser que l'offre de moins en moins variée ne rencontre pas
toujours une demande pourtant pressante et curieuse. Nous souhaitons
vivement que des projets et des solutions novatrices voient le jour en
2006 et sortent ce marché de cette douce torpeur.
Plus d'informations sur la liste de diffusion newsletter