[Newsletter HSC] N°21 - Mai 2006
newsletter at hsc-news.com
newsletter at hsc-news.com
Mar 2 Mai 18:01:41 CEST 2006
========================================================================
HSC Newsletter -- N°021 -- Mai 2006
========================================================================
"Ce ne sont pas les murs qui protègent la citadelle mais l'esprit de ses
habitants."
[ Thucydide ]
--[ Sommaire ]----------------------------------------------------------
1. Prochaines formations HSC
2. Agenda des interventions publiques
3. Prix de l'Innovation des Assises de la Sécurité 2006
4. Matinales sécurité informatique
5. Conférence Annuelle JSSI 2006
6. Tutoriels à Ouagadougou
7. Tutoriels à Alger
8. Nouveautés du web HSC
9. Veille en vulnérabilités HSC
10. La sécurité "au jour d'aujourd'hui" - Hervé Schauer
La conférence Eurosec 2006
--[ 1. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
Fonctionnement des PKI ............ : 7 juin
Implémentation des normes ISO 27001/17799 : 12 et 13 juin
ISO27001 Lead Auditor ............. : 19 au 23 juin
(formation certifiante)
ISO27001 Lead Auditor ............. : 3 au 7 juillet
(formation certifiante)
ISO27001 Lead Auditor pour qualiticiens : 4 au 8 septembre
(formation certifiante)
Sécurité Internet/Intranet ........ : 7 et 8 septembre
Sécurité des réseaux et des transmissions : 11 au 13 septembre
Sécurité des serveurs web ......... : 14 et 15 septembre
Sécurité Unix ..................... : 18 et 19 septembre
Sécurité Windows .................. : 20 et 21 septembre
ISO27001 Lead Auditor ............. : 16 au 20 octobre
(formation certifiante)
Implémentation des normes ISO 27001/17799 : 9 et 10 novembre
- Genève
ISO27001 Lead Auditor ............. : 8 au 12 mai
(formation certifiante)
- Toulouse
ISO27001 Lead Auditor ............. : 5 au 9 juin
(formation certifiante)
Implémentation des normes ISO 27001/17799 : 13 au 14 septembre
Sécurité des réseaux et des transmissions : 13 au 15 novembre
Sécurité des serveurs web ......... : 16 et 17 novembre
Sécurité Windows .................. : 20 et 21 novembre
Sécurité Unix ..................... : 22 et 23 novembre
Sécurité des réseaux sans fil ..... : 24 novembre
Rappel : pour 4 jours de formation consécutifs commandés simultanément
par la même personne, le 5ème jour est offert (sauf formations
certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda)
sur http://www.hsc.fr/services/formations/index.html.fr
Téléchargez le Catalogue des formations 2006 en PDF sur
http://www.hsc.fr/services/formations/formations_hsc.html.fr
Retrouvez les tarifs des formations non certifiantes et modalités
d'inscription aux formations HSC dans la newsletter n°8 :
http://www.hsc-news.com/archives/2005/000021.html
et les tarifs des formations certifiantes dans la newsletter n°20 :
http://www.hsc-news.com/archives/2006/000033.html
Vous pensez que nous devrions organiser des formations dans votre ville ?
Dites le nous ! Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 2. Agenda des interventions publiques ]-----------------------------
- 17 mai 2006 : Mercredi du chef d'entreprise organisé par l'INSEEC
"Quelle sécurité informatique pour le patron de PME ?"
Participation au débat - Hervé Schauer
http://mercrediduchefdentreprise.com/
- 18 mai 2006 : Les matinales sécurité informatique à Paris
"Menaces et sécurité préventive" - Hervé Schauer
http://www.publi-news.fr/conference/presconf.html?&numconf=28
- 22 mai 2006 : JSSI à Paris
Animation de la première session par Hervé Schauer
http://www.ossir.org/jssi/jssi2006/programme-jssi2006.html
- 2 juin 2006 : Symposium SSTIC à Rennes
"Détection de tunnels en périphérie du réseau" - Alain Thivillon
et Guillaume Lehembre
http://www.sstic.org/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 3. Prix de l'Innovation des Assises de la Sécurité 2006 ]-----------
Lors des prochaines Assises de la Sécurité et des Systèmes
d'Information (http://www.lesassisesdelasecurite.com/) à Monaco du 11
au 14 octobre 2006, sera décerné pour la première fois le "Prix de
l'Innovation des Assises de la Sécurité".
Une entreprise innovante dans les secteurs d'activité concernés par le
public des Assises de la Sécurité se verra offrir l'accès sans frais
aux Assises avec un module (stand sur le salon), un atelier afin d'y
présenter son produit et la remise de son trophée en séance plénière
le 12 octobre 2006.
Le comité de sélection animé par Hervé Schauer est composé des
personnalités suivantes :
Stéphane Aubert, RSSI, Banque Sofinco
Ian Cooper, Intel Capital
Olivier Darrason, PDG CEIS, ancien député
Didier Gras, Alcatel
Bernard Jaurett, actionnaire de DG Consultants (organisateur)
Patrick Leleu, ancien DG de Bouygues Telecom, ancien PDG de NOOS
Hervé Schauer, consultant en sécurité, HSC
Maricela Pelegrin-Bomel, Responsable sécurité des biens, Bouygues Telecom
Eric Vyncke, Distinguished Engineer, Cisco
Le comité sélectionnera le lauréat sur le caractère innovant et
nouveau de la solution présentée, et l'intérêt de la solution pour le
public de RSSI et de DSI des Assises de la Sécurité. Les entreprises
candidates doivent être issues de l'Union Européenne ou de la Suisse,
et créées en 2004, 2005 ou 2006. Leur innovation peut être un produit
(matériel ou logiciel par exemple) ou un service.
Le dossier de candidature doit contenir la présentation de la
société et de son équipe, et la description de l'innovation sur le plan
technique, ainsi que les aspects marketing et commerciaux. Un plan
d'affaire sera apprécié, mais afin d'ouvrir le concours aux sociétés
n'ayant pas déjà fait de dossiers auprès d'investisseurs, cela n'est
pas obligatoire. Le comité s'engage à garder confidentiel le contenu du
dossier de candidature. Le comité se réserve la possibilité de demander
à se faire démontrer ou tester l'innovation présentée.
Les dossiers doivent être envoyés à l'adresse électronique :
prixinnovation at lesassisesdelasecurite.com
avant le 30 mai 2006.
Plus d'information : http://www.lesassisesdelasecurite.com/prix.asp
--[ 4. Matinales sécurité informatique ]-------------------------------
Publi-News lance une nouvelle série de manifestations avec les
matinales sécurité informatique, animés par Gilles Prodhomme de la
lettre Sécurité Informatique. La première édition est sur le thème
"Sécurité «préemptive» : mythe technologique ou réalité opérationnelle ?"
8h30 : "Quelle gestion du Risk Management pour une stratégie efficace
de sécurité préventive ?", par Renaud Lafay, Trend Micro
9h10 : "Chiffrez vos données mobiles et optimisez votre sécurité",
par Mikaël Taillepied, Pointsec
9h50 : "Menaces et sécurité préventive", par Hervé Schauer, HSC
Entrée gratuite en s'inscrivant sur :
http://www.publi-news.fr/conference/presconf.html?&numconf=28
--[ 5. Conférence Annuelle JSSI 2006 ]---------------------------------
L'OSSIR (http://www.ossir.org/) organise le 22 mai prochain comme
chaque année la JSSI (Journée de la Sécurité des Systèmes d'Information),
à la FIAP JEAN MONNET, 30 rue Cabanis, 75014 Paris
http://www.fiap.asso.fr/guide/plan_acces.htm
sur le thème "Sécurité et dépendance aux nouvelles technologies".
Le programme est le suivant :
9h00 : Ouverture de la journée
9h10 : "P2P et dépendance", par Franck Capello, INRIA
9h50 : "Voix sur IP chez un opérateur", par Nicolas Fischbach,
COLT Telecom
11h00 : "Déploiement d'une solution de téléphonie sur IP sécurisée dans
un campus de 4200 postes", par Loic Pasquiet, Ecole Polytechnique
11h40 : "Les nouvelles technologies de l'information : y aller ou non ?"
Table ronde, animée par Michel Miqueu du CNES, avec :
. Raphaël Amadelli, RSSI du Museum National d'Histoire Naturelle
. Didier Bertana, RSSI de Total Exploration-Production
. Franck Capello, directeur de recherche à l'INRIA
. Imad Lahoud, directeur scientifique du Centre de Recherche EADS
14h00 : "Stratégies de gestion du/des nomadisme(s) et de la
délocalisation, en terme de coûts, de risques et de services",
par Jean-Luc Parouty, ingénieur de recherche au CNRS
14h40 : "Sécurité des réseaux : le défi du P2P", par Nicolas Ruff, EADS CCR
15h50 : "Qui veut gagner des clés privées ?", par Aurélien Bordes et
Eric Detoisien
16h30 : "La Gendarmerie Nationale, un acteur à double titre de la
sécurité des systèmes et des réseaux", par le Capitaine
Nicolas Duvinage, chef du département informatique-électronique
de l'Institut de recherche criminelle de la Gendarmerie Nationale
17h10 : Clôture de la journée et discussions
Inscription : 15 euros pour les adhérents de l'OSSIR et 75 euros pour
les non adhérents, auprès de l'OSSIR, par courriel à jssi at ossir.org
ou par courrier postal : OSSIR, 45 rue d'Ulm, 75230 Paris Cedex 05.
Consultez le programme détaillé des interventions sur :
http://www.ossir.org/jssi/jssi2006/programme-jssi2006.html
--[ 6. Tutoriels à Ouagadougou ]----------------------------------------
REFLEX (www.reflex.bf) organise deux tutoriels assurés par HSC à
l'hôtel Splendid de Ouagadougou (Burkina Faso). Pour la première fois
des formations en sécurité des systèmes d'information sont accessibles
à l'ensemble des pays d'Afrique francophone sub-sahariens.
- "Implémentation des normes ISO17799 et ISO27001" - Hervé Schauer
26 et 27 juin 2006
coût : 265.000 FCFA HT
http://www.hsc.fr/conferences/Reflex06_iso17799.html.fr
- "Sécurité des réseaux TCP/IP" - Thomas Seyrat
28-30 juin 2006
coût : 395.000 FCFA HT
http://www.hsc.fr/conferences/Reflex06_securite_tcpip.html.fr
Organisateur et inscriptions : REFLEX (http://www.reflex.bf/)
Contact : Zeziman Millogo, reflex at fasonet.bf
Tel : +226 50 33 17 80 ou +226 33 52 33 -- Fax : +226 50 33 17 80
Inscription en ligne :
http://www.reflex.bf/index.php?page=Formulaire%20inscription
--[ 7. Tutoriels à Alger ]----------------------------------------------
NT2S (www.nt2s.com) organise des tutoriels assurés par HSC à
l'hôtel Sofitel d'Alger (Algérie).
- "Sécurité des serveurs web" - Olivier Dembour
23-24 mai 2006
http://www.hsc.fr/conferences/NT2S06_securite_web.html
- "Implémentation des normes ISO17799 / ISO27001" - Hervé Schauer
29-30 mai 2006
http://www.hsc.fr/conferences/NT2S06_iso17799.html
- "Sécurité Windows" - Benjamin Arnault
27-28 juin 2006
http://www.hsc.fr/conferences/NT2S06_securite_windows.html
Organisateur : NT2S (http://www.nt2s.com/)
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
Retrouvez l'agenda de nos tutoriels sur
http://www.hsc.fr/conferences/index.html.fr
--[ 8. Nouveautés du web HSC ]------------------------------------------
- "Gérer l'insécurité des infrastructures spontanées"
Présentation d'Hervé Schauer à Eurosec 2006
http://www.hsc.fr/ressources/presentations/eurosec06-is/
- "Comment choisir les indicateurs ISO 27001"
Présentation d'Alexandre Fernandez à Eurosec 2006
http://www.hsc.fr/ressources/presentations/eurosec06-indic/
- "VoIP et Sécurité : retour d'expérience d'audits de sécurité"
Présentation d'Hervé Schauer aux Rencontres Sécurité 2006
et au groupe SUR de l'OSSIR
http://www.hsc.fr/ressources/presentations/rs06-voip-sec/
- "Norme ISO 27004 sur le métrage et les métriques d'un SMSI"
Présentation d'Hervé Schauer au Clusif
http://www.hsc.fr/ressources/presentations/clusif-iso27004/
- "Les Local Shared Objects des plugins Flash commencent à remplacer
les 'cookies' traditionnels"
Brève de Frédéric Lavécot
http://www.hsc.fr/ressources/breves/LSO.html
Retrouvez les supports de toutes nos interventions publiques sur
http://www.hsc.fr/ressources/presentations/
Retrouvez toutes les brèves HSC, disponibles également en RSS, sur
http://www.hsc.fr/ressources/breves/
--[ 9. Veille en vulnérabilités HSC ]-----------------------------------
1104 04-04-2006 Vulnérabilité dans la passerelle SMTP Webshield McAfee
1105 06-04-2006 Multiples vulnérabilités dans l'antivirus ClamAV
1106 19-04-2006 Multiples vulnérabilités dans Oracle
--[ 10. La sécurité "au jour d'aujourd'hui" - H. Schauer ]--------------
De 3 au 5 avril 2006 le forum Eurosec a élu domicile cette année au CNIT.
Le forum a été introduit pas le directeur de la DST Pierre de
Bousquet. Il a rappelé les risques de l'intelligence économique lors
d'une externalisation mais surtout exposé ses réflexions sur le
"cyberterrorisme".
Il pense que la menace cyberterroriste n'est pas techniquement réaliste
mais qu'Internet est un formidable réseau de propagande et de
revendication : les islamistes réalisent de fausses vidéos pour attirer
l'attention sur les horreurs de la guerre ; par exemple, sur la
Tchétchénie, beaucoup de fausses images ont été diffusées. Ils savent
aussi créer des attaques virtuelles ou médiatiques : à partir d'un
petit fait réel, un journaliste sympathisant sert de caution, les sites
islamistes reprennent l'information, puis les télévisions arabes
internationales - à partir de rien est fabriqué un faux événement qui
peut désorganiser politiquement un pays.
Internet est aussi un moyen de communication entre terroristes :
échanges de techniques entre eux, diffusion de manuels d'explication
des techniques de guérilla, repérages d'objectifs, etc. Ils utilisent
de plus en plus des boites aux lettres mortes comme cela se faisait
dans le monde réel : un message est préparé sur un courrielweb mais pas
envoyé, et le correspondant vient le lire dans la boite dans les
messages à envoyer. Ainsi ils restent difficilement repérables
puisqu'il n'y a pas d'envoi ni d'échange.
Pierre de Bousquet donne ses propositions : il faudra une meilleure
coordination entre services de l'état, un accroissement des moyens de
lutte de l'état, une recherche plus poussée d'architectures de
sécurité, des mesures législatives pour lutter contre l'anonymat sur
internet, un partenariat avec les acteurs non publics et enfin un
partenariat européen, en précisant que cette dernière proposition ne
relève pas de sa responsabilité.
Il conclue avec une citation de Victor Hugo : "Tout ce qui augmente la
liberté augmente la responsabilité".
La table ronde sur les certifications des individus, animée par
Marc Olanié du journal CSO, a permis d'avoir une clarification et un
panorama des complémentarités et utilités des certifications, tout en
ouvrant le débat sur certaines limites de ces certifications : l'usage
des CV détaillés récoltés à l'occasion, le débauchage des certifiés, le
possible bachotage pour obtenir certaines certifications et le prix de
celles-ci.
Didier Gras d'Alcatel a expliqué que la certification n'est pas un but
mais un moyen, en cela le ProCSSI est un savoir-être plus qu'un acquis
de connaissance - c'est pour ça qu'il l'a choisi : "Il faut passer un
entretien devant ses pairs : voila ce que j'ai fait ces dernières
années et les résultats que j'ai obtenu."
Alain Ceccatto d'ICBO, un cabinet de conseil genevois, a passé le CISSP
pour la sécurité puis ITIL pour avoir une vision plus large, puis
ISO27001 Lead Auditor qui positionne le certifié dans le métier de
l'audit dans un cadre normatif plutôt qu'une validation de
connaissance.
Youval Eched a expliqué l'échec de certains systèmes de sécurité
dans la dématérialisation par le "sentiment de risque résultant". Entre
une maison avec une pancarte "attention chien méchant" et aucune
alarme, et une maison sans pancarte et un système d'alarme performant,
il y a bien plus de tentatives d'effraction dans la seconde maison.
Nous avons donc selon lui mal perçu comment il fallait aborder la
sécurité dans la dématérialisation.
Les présentations techniques ont permis de faire le point sur les
systèmes de contournement de la sécurité périmétrique comme Skype,
Stun, Mipcom ou Teredo (Nicolas Ruff), les infrastructures spontanées
ou l'infogérance cachée comme avec Skype ou Webex (Hervé Schauer), les
défauts d'implémentation des systèmes Bluetooth (Pierre Betouin), ou de
conception dans les réseaux sans fil Wimax (Laurent Butti).
Les retours d'expériences utilisateurs comme Thierry Rivat, RSSI
du CHU de Strasbourg, ont montré l'amélioration de la prise en compte
de la sécurité au fil des années dans de plus en plus de secteurs
d'activités et l'orientation universelle vers les normes ISO 27001 /
ISO 17799.
Eurosec s'est démarqué cette année par le départ de son
organisateur historique : Isabelle Hachin-Mauranges, qui a quitté
Devoteam à l'issue de la manifestation. Je me joins à tous les
intervenants et membres du comité de programme qui rendent hommage à
son travail.
Plus d'informations sur la liste de diffusion newsletter