[Newsletter HSC] N°51 - Novembre 2008
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 3 Nov 16:03:55 CET 2008
========================================================================
HSC Newsletter -- N°051 -- Novembre 2008
========================================================================
"Les économistes sont présentement au volant de notre société, alors
qu'ils devraient être sur la banquette arrière."
[John Maynard Keynes]
--[ Sommaire ]----------------------------------------------------------
1. Editorial - Hervé Schauer
2. Le saviez-vous ? La question
3. Calcul du risque dans l'ISO 27005 - Raphaël Marichez
4. Nouveau partenaire au Luxembourg
5. Seconde conférence du Club 27001 "SMSI et normes 27001"
6. Nouveautés du web HSC
7. Agenda des interventions publiques
8. Veille en vulnérabilités HSC
9. Offres d'emploi : consultants techniques et organisationnels
10. Nouvelles formations
L'essentiel de PCI-DSS
Gestion des identités et des accès
ISO 27005 Risk Manager (Information Security Risk Manager)
11. Prochaines formations HSC
12. Tutoriels HSC et stand HSC à Infosecurity
13. Actualité des associations : Club 27001 et OSSIR
14. Le saviez-vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
Le RFID, quel bonheur. Depuis un an ou deux les consultants en sécurité
se sont mis à l'électronique. Avec un peu d'électronique, le BIOS est
contourné, la mémoire se dévoile, le bus firewire est un trou d'entrée, ...,
et les RFID sont devenus le terrain de jeu des consultants en sécurité. Il
y a encore peu les utilisateurs de RFID ayant découvert la faiblesse et la
mauvaise conception de ces dispositifs sans fil et sans alimentation,
imposaient le secret sur ces faiblesses. Les fabricants ne semblaient pas
du tout inquiets. Désormais l'obscurité imposée est levée, et tout est publié
sur Internet, Mifare Classic est cassé, tout le monde le sait, et tout le
monde sait le faire.
Une fois de plus la sécurité par l'obscurité n'aura servi à rien. Avec
1200 euros de matériel, HSC comme ses confrères était à même de reproduire
sans difficultés les clés d'entrée à des salles et des bâtiments dits
"sécurisés". Mais voilà, il ne semble pas qu'un incident majeur ait
fait la une des journaux, nous sommes sauvés une fois de plus parce que nous
sommes dans un monde de Bisounours, aucun voleur ne semble avoir profité de
ces trous béants. A moins que nous ne nous en soyons pas aperçus...
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Quelle(s) fonction(s) permet(tent) d'exécuter du code PHP en PHP ?
Réponse à la rubrique 14.
--[ 3. Calcul du risque dans l'ISO 27005 ]------------------------------
Ou rétroaction d'une mesure de sécurité, par Raphaël Marichez
La norme ISO 27005 décrit une méthodologie de gestion des risques en SSI.
Il s'agit d'un guide de méthodologie qui fournit des lignes directrices,
des référentiels de vocabulaire, et surtout des annexes très fournies afin
de ne rien oublier lors des différentes phases. Par contre, cette norme ne
décrit pas en détail toute la gestion de risques. En particulier, l'effet
de la mise en oeuvre d'une mesure de sécurité sur l'évaluation du risque
reste sujette à une grande variété de méthodologies.
Pour rappel, un risque est évalué en tenant compte de :
- l'évaluation de l'impact qu'aurait une perte d'un critère de sécurité sur
l'actif ;
- l'évaluation de la vulnérabilité ;
- et l'évaluation de la menace.
Ces évaluations sont données selon une méthodologie décrite dans les
"critères de base" (chapitre 7.2 de la norme). Souvent, HSC constate des
échelles de valorisation numériques sur 3 à 5 niveau, de 0 à 3, de 1 à 5, etc.
Le risque est évalué selon un modèle mathématique simple, mais adapté à
l'organisme visé : souvent, une combinaison d'un maximum et d'une
multiplication. ( impact = max (D,I,C) , risque = impact*vuln*menace ) Il
s'agit alors de choisir correctement ses échelles : si vous démarrez à zéro,
un risque ayant une très faible probabilité d'occurrence mais un impact
vital peut avoir une valeur nulle alors qu'en réalité, il devrait être
traité (et il l'est déjà, en pratique) : assurances contre les inondations,
destruction de l'immeuble, risque terroriste, etc. Il convient donc déjà
d'avoir l'expérience et le recul nécessaire dans ce genre de démarche pour
être à même de choisir ses critères de base tout en aboutissant à des
évaluations globales pertinentes.
Seulement, un élément important de l'appréciation du risque consiste à
revaloriser un risque en prenant en compte la mise en oeuvre de mesures de
sécurité. Et ici, les raccourcis sont nombreux.
Parfois, nous voyons des évaluations de risque qui attribuent un poids à une
mesure de sécurité (0, 1, 2 ou 3, par exemple). Et le risk manager retire
simplement cette valeur à la valeur du risque initial :
risque résiduel = risque initial - mesure de sécurité
Cette modélisation permet au risk manager de terminer rapidement la
description d'une méthodologie souvent rébarbative, surtout lorsqu'il
manipule des concepts mathématiques sans avoir une conscience précise de
leurs effets directs sur les choix de traitements du risque qui vont en
découler in fine.
Par contre, cette modélisation simple constitue une erreur qui ne peut pas
aboutir à des résultats comparables et reproductibles comme l'exige
l'ISO 27001 en 4.2.1.c). Cette démarche est adaptée pour certains risques
particuliers, mais ne conviendra pas à l'ensemble des risques présents dans
une appréciation de risque. L'erreur du risk manager a été de prendre un
unique exemple pour décrire sa méthodologie, mais sans avoir le recul
suffisant pour prendre en compte la réalité, variée, du terrain.
En effet, la mesure de sécurité n'agit pas directement sur le risque. Elle
agit sur des vulnérabilités, des menaces ou des impacts, en réduisant l'un
ou l'autre.
La norme ISO 27005 (8.1) admet en effet que les mesures de sécurité
existantes ont un effet sur les risques identifiés. Mais ce serait un
raccourci trop brutal que de modéliser cela par une simple formule figée ne
tenant pas compte des vulnérabilités, des menaces, des impacts et surtout
des autres mesures de sécurité portant sur le même risque.
Le chapitre 8.2.2.3 de l'ISO 27005 admet cependant que les mesures
existantes réduisent les vulnérabilités. Il faut donc voir leur effet sur le
risque par l'intermédiaire des composantes du risque, et non directement sur
la valeur du risque.
En particulier, le chapitre 9.1 dit que les mesures peuvent s'influencer
mutuellement. Et l'annexe B3 dit que l'impact sera différent (normalement
plus faible) en présence d'une mesure de sécurité efficace.
Mais que dit la réalité du terrain sur ce discours ? Est-ce que cela change
vraiment quelque chose ?
Avec trois exemples de terrain, nous allons supposer qu'il existe une
fonction RR = f(RI, Mesure), qui décrit le risque résiduel (RR) en fonction
uniquement du risque initial (RI) et de la valorisation d'une mesure de
sécurité (Mesure). Nous recherchons les caractéristiques que devrait
posséder une telle fonction sur ses variables. Pour aboutir à notre
conclusion, nous utiliserons largement le fait que des mesures de sécurité
interagissent entre elles. Or cette fonction mathématique devrait convenir
quel que soit l'ordre dans lequel on applique les mesures.
RR_AB = f( RR_A, MesureB ) = f( RR_B, MesureA )
= f( f(RI, MesureA ), Mesure B )
= f( f(RI, MesureB ), Mesure A )
Cela exprime que les mesures A et B sont indépendantes entre elles.
Nous donnons ici des exemples de mesures de sécurité qui ne sont pas
indépendantes, ce qui signifie que cette modélisation n'est pas possible :
nous en concluons qu'on ne peut pas faire intervenir l'effet d'une mesure de
sécurité par une simple fonction portant sur le risque initial.
Exemple 1 : le risque d'exploitation d'une vulnérabilité MSSQL sur un
serveur sans protection d'un firewall, par un individu malveillant.
Une mesure A moyennement efficace : restreindre d'accès au service MSSQL par
une restriction d'accès IP limitée au LAN interne. Cela protège des attaques
externes mais pas des attaques internes ou des attaques via une machine
interne compromise depuis l'extérieur.
Une mesure B moyennement efficace : Appliquer sur le serveur MSSQL les
correctifs de sécurité publiés. Il peut subsister des exploitations de
vulnérabilités non publiées, et il subsistera toujours un décalage de
plusieurs jours (voire plusieurs mois) entre la publication des correctifs
et leur application sur la production.
Dans ce cas, on peut "ajouter" ces deux mesures de sécurité qui sont
relativement indépendantes : le risque décroît régulièrement avec
l'application de ces deux mesures.
Risque initial = 10
Risque résiduel A = RI - 4 = 6
Risque résiduel B = RI - 4 = 6
Risque résiduel total = RI - 4 - 4 = 2 (risque acceptable)
Le terme "mesure" est donc de la même dimension (mathématique) que le
risque. Les mesures s'ajoutent. Une formule du type suivant convient :
f (RI, Mesure) = RI - coefficient * Mesure
Exemple 2 : le risque d'accès frauduleux "tomcat/tomcat" au manager d'un
Tomcat.
Une mesure A efficace : mettre un bon mot de passe. Le risque résiduel
existe mais est faible avec une bonne politique de mot de passe.
Une mesure B efficace : désactiver l'accès au /manager/ pour les clients
venant d'internet.
La mise en place de ces deux mesures ne peut pas se traduire par une
addition des valeurs de ces mesures. Une seule des deux mesures a une
efficacité proche de 90% de l'efficacité des deux mesures ensembles. La mise
en place de la seconde mesure de sécurité réduit très peu le risque.
On peut comparer cela par une mesure "signal sur bruit" exactement comme
dans la lutte anti-spam : le premier filtre bloque 90% des attaques, le
second bloque 90% des attaques restantes. Les efficacités des deux mesures
se multiplient entre elles : -10dB et -10dB font -20dB. Le filtre a une
grandeur sans dimension. Le dB exprime le logarithme du rapport de deux
grandeurs, le filtre a donc un effet multiplicatif (ici, par 0.1) sur la
grandeur.
Risque initial = 10
Risque résiduel A = 1 (risque acceptable)
Risque résiduel B = 1 (risque acceptable)
Risque résiduel total = 0.1
RR = f(RI, Mesure) = RI * g(Mesure)
où g est décroissante selon l'efficacité de la Mesure, et est de dimension
1, par exemple g(x)=1/x.
RR = RI * 1/Mesure
Exemple 3 : risque d'accès frauduleux au tn5250 (sur telnet) d'un AS/400 par
un poste de travail stagiaire sur un réseau à plat.
Une mesure A insuffisante : mettre une ACL IP sur l'AS/400 (tcpwrapper)
Une mesure B insuffisante : cloisonner le réseau en LAN distincts, séparant
le stagiaire du back-office.
Aucune de ces deux mesures de sécurité n'est suffisante :
- la première n'empêche pas l'usurpation triviale d'une adresse IP par
le stagiaire malveillant.
- la seconde seule ne filtre rien.
Cependant, les deux mesures sont efficaces entre elles.
Risque initial = 8.5
Risque résiduel A = 6.5
Risque résiduel B = 6.5
Risque RR_total = 3 (risque acceptable)
Un peu de réflexion conduit à une fonction possible qui est :
f(RI, Mesure) = 1 / ( 1 - RI/10 )
Mais il est impossible d'exprimer cela avec une formule additive (RI-Mesure)
ou multiplicative (RI/Mesure).
Conclusion
Il convient ainsi de ne pas restreindre l'effet d'une mesure de sécurité
à sa seule action sur la valeur du risque initial. L'effet d'une mesure de
sécurité dépend des facteurs de risque, et de l'existence éventuelle
d'autres mesures de sécurité. En faisant en sorte que les mesures de
sécurité agissent sur les facteurs de risque, nous pouvons :
- prendre en considération que l'effet d'une mesure peut fortement dépendre
de l'effet qu'a eu une mesure précédente sur les facteurs de risque ;
- considérer des combinaisons de mesures qui ont des effets de réduction du
risque additifs, multiplicatifs, redondants, ou de toute autre nature
La démarche de gestion du risque n'est efficace et ne peut être comprise que
si son résultat est conforme à ce qu'un expert technique perçoit de la
réalité du terrain. Il est certes plus fastidieux et plus long de faire agir
les mesures de sécurité sur les facteurs de risque et non sur un simple
chiffre, mais c'est la seule solution qui permette de tenir compte des
spécificités de chaque élément impliqué dans la sécurité, sans que la
gestion de risque ne soit plus qu'un jeu de vases communicants.
--[ 4. Nouveau partenaire au Luxembourg ]-------------------------------
Après deux ans de partenariat avec P&T Consulting, HSC change de
partenaire pour travailler avec Verizon en 2009. Les formations Verizon
au Luxembourg sont commercialisées par Dimension Data Luxembourg.
HSC continuera avec ce nouveau partenaire à vous proposer ses formations
dispensées par deux consultants, et en premier lieu Alexandre Fernandez-Toro
et Hervé Schauer, et toujours par des consultants expérimentés qui partagent
avec les stagiaires leur retour d'expérience dans la mise en oeuvre de
SMSI et dans l'audit de certification.
Les dates des formations à Luxembourg sont les suivantes :
ISO 27001 Lead Auditor .............. : 25 au 29 mai 2009
ISO 27005 Information Security Risk Manager : 22 au 24 juin 2009
ISO 27001 Lead Implementer .......... : 12 au 16 octobre 2009
Les prix sont identiques aux prix pratiqués à Paris et la certification
demeure celle délivrée par LSTI (www.lsti.fr).
Pour vous inscrire contactez Sylvie Favaut -- Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
--[ 5. Seconde conférence du Club 27001 "SMSI et normes 27001" ]--------
Le Club 27001 (http://www.club-27001.fr/) organise sa seconde
conférence annuelle sur l'ensemble de la série des normes ISO 27001
le jeudi 20 novembre 2008 au Parc des Expositions de la Porte de
Versailles dans le cadre du salon Infosecurity :
8h30 : Accueil
9h00 : Introduction aux normes ISO 27000
. Alain de Greve, Coordinateur du groupe belge de
normalisation en SSI pour les normes ISO 27000
9H45 : Retour d'expérience : mise en place de référentiels d'auto-évaluation
. Francois Jolivet, Responsable de l'évaluation de la sécurité
groupe, Société Générale
10h30 : Pause
11h00 : Une méthode pratique de gestion du risque informatique
. Alain Huet, conseiller en chef de la sécurité de l'information au
Service public fédéral belge "Technologie de l'Information et de
la Communication" (Fedict)
11h45 : Enjeux de la certification ISO 27001 pour une direction générale
. Docteur Othar Zourabichvili, President & CEO, Quanta Medical
12h30 : Repas
14h00 : Retour d'expérience d'une certification ISO 27001
. Patrick Bosch, RSSI, Loterie Luxembourgeoise
14h45 : Retour d'expérience sur une mise en oeuvre pragmatique d'un SMSI
. Nicolas Bunoust, RSSI, Conseil Général de Loire Atlantique
15h30 : Pause
16h00 : Retour d'expérience sur les parties sécurité de ISO 20000 et liens
entre ISO 20000 et ISO 27001
. Stéphane Sciacco, direction de la sécurité, Orange-France Telecom
16h45 : Fiches de recommandation sur la mutualisation ITIL/ISO 20000 avec
l'ISO 27001
. Eric Doyen, Alexandre Fernandez-Toro, Philippe Humeau, et Liliane
Tonon, membres du groupe de travail ITIL/ISO 2000 du Club 27001
17h30 : Débat sur les Systèmes de Management Intégrés
Inscription : 300 euros HT, au lieu de 650 euros HT, en s'inscrivant
auprès d'Infosecurity avec le bulletin d'inscription disponible sur :
http://www.club-27001.fr/supports/BulletinInscriptionInfosecurity.pdf
Seul ce bulletin dédié pour le Club 27001 permet de vous inscire à 300 euros.
Contact : conference at club-27001.fr
--[ 6. Nouveautés du web HSC ]------------------------------------------
- Presentation "Sécurité des applications" par Louis Nyffenegger
Présentation effectuée à Rouen lors de la JSSI 2008, le 23 octobre 2008.
http://www.hsc.fr/ressources/presentations/jssi-rouen2008/index.html.fr
--[ 7. Agenda des interventions publiques ]-----------------------------
- 20 novembre 2008 : Conférence "SMSI et normes ISO 27001" du Club 27001
"Fiches de recommandation sur la mutualisation ITIL/ISO 20000 avec
l'ISO 27001" - Alexandre Fernandez-Toro
http://www.club-27001.fr/
- 10 décembre 2008 : Conférence "Sécurité et SI" organisée par DPM
"Politiques de sécurité" - Hervé Schauer
[Voir le site web de DPM Services]/Journee-Securite-et-SI.html
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 8. Veille en vulnérabilités HSC ]-----------------------------------
1386 10-10-2008 Multiples vulnérabilités dans CA ARCserve Backup
1387 15-10-2008 Multiples vulnérabilités dans les produits Oracle
1388 15-10-2008 Multiples vulnérabilités dans les produits Microsoft
1389 23-10-2008 Vulnérabilité critique dans le service Server de
Microsoft Windows (MS08-067)
--[ 9. Offre d'emploi : consultants débutants et expérimentés ]---------
HSC recherche des consultants en sécurité, débutants ou expérimentés,
techniques ou organisationnels. Les postes sont basés à Levallois-Perret,
à 5 minutes de la gare de Paris Saint-Lazare.
Les consultants réaliseront des prestations de conseil, d'expertise
et de formation en sécurité, aussi bien sur des aspects techniques que
des aspects management de la SSI.
Les consultants techniques réaliseront des audits et des tests d'intrusion.
Les consultants orientés management de la SSI participeront aux projets
ISO 27001 menés par HSC.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en Français, et une maîtrise de l'informatique et des technologies.
Les ingénieurs sélectionnés peuvent être débutants et seront formés à la
sécurité et sur l'ISO27001 par HSC, soit de 3 à 7 semaines de formation
prises en charge par HSC.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
--[ 10. Nouvelles formations ]-------------------------------------------
* L'essentiel de PCI-DSS
* Gestion des identités et des accès
* ISO 27005 Risk Manager (Information Security Risk Manager)
PCI-DSS, le standard sécurité imposé par l'industrie de la carte
de paiement : d'où vient ce standard ? Qui doit s'y conformer ? Comment s'y
conformer ? La formation "L'essentiel de PCI-DSS" répond en une journée
à vos questions, vous donne les principales obligations du standard et
vous propose un plan de mise en conformité. Quiconque gère, stocke ou
transmet des informations venant des cartes de crédit saura à l'issue de
la formation quelles mesures de sécurité il doit prendre pour pouvoir
continuer à le faire.
Cette formation est délivrée par Rodolphe Simonetti de la société
Verizon, consultant en sécurité et auditeur PCI-DSS (QSA) depuis plusieurs
années.
La première session est à Paris le 13 janvier 2009.
Objectifs, public visé, formateur et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/essentiel_pcidss.html.fr
Gestion des identités, annuaire partagé, IAM, role-based-management, etc.
Comment s'y prendre ? Comment convaincre sa direction ? Comment expliquer
l'utilité du projet aux métiers ? Comment architecturer, financer,
dimensionner, organiser, déployer ? Cette nouvelle formation "Gestion des
identités et des accès" vous permet de disposer de tout ce que vous devez
savoir pour vous mener vers un système opérationnel et optimal de gestion
des identités et des accès dans votre organisation.
Cette formation est délivrée par Thierry Durand de la société Phorcys,
ancien RSSI et responsable de la gestion des identités chez Peugeot, avec
un complément technique apporté par HSC.
La première session est à Paris du 14 au 16 janvier.
Objectifs, public visé, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/gestion_des_identites.html.fr
ISO 27005, la norme de gestion du risque, décrit une méthodologie
de gestion de risques en SSI pragmatique et complète. HSC propose la
première formation à la norme "Information Security Risk Manager", qui
vous apprend à dérouler par vous même et en toutes circonstances un
processus de gestion des risques. Cette formation permet aux consultants
en sécurité d'assister les entreprises dans la mise en oeuvre de leur
gestion des risques en SSI. La formation est sanctionnée par un examen et
une certification délivrés par LSTI (www.lsti.fr). Pour une introduction
à la norme ISO 27005, consultez l'article d'Hervé Schauer dans GSM :
http://www.hsc.fr/ressources/articles/globalsecuritymag_iso27005/
Les prochaines sessions de la formation certifiante ISO 27005
Information Security Risk Manager sont :
- à Paris du 15 au 17 décembre 2008 (session supplémentaire)
et du 4 au 6 février 2009
- à Lyon du 22 au 24 avril 2009
- à Luxembourg du 24 au 26 juin 2009
- à Genève du 18 au 20 février 2009
- à Toulouse du 12 au 14 novembre 2008 (complet)
une seconde session sera planifiée dans la semaine de 11 au 15 mai 2009
Objectifs, pré-requis, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/iso27005riskmanager.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 11. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
DNS ................................. : 12 novembre
Postfix ............................ : 13 novembre
Lutte contre le spam ................ : 14 novembre
ISO 27001 Lead Auditor .............. : 17 au 21 novembre
ISO 27001 Lead Implementer .......... : 24 au 28 novembre
ISO 27001 Lead Auditor .............. : 1 au 5 décembre
Réalisation pratique des Tests d'Intrusion : 8 au 12 décembre
L'essentiel de la série ISO27001 .... : 8 et 9 décembre
Mutualisation ISO 27001, ITIL, Cobit : 10 décembre
Mesures de sécurité ISO 27002 ....... : 11 et 12 décembre
ISO 27005 Risk Manager ............... : 15 au 17 décembre
Certification ISO 27001 ............. : 18 décembre
PCI-DSS ............................. : 13 janvier 2009
Gestion des identités et des accès .. : 14 au 16 janvier 2009
ISO 27001 Lead Auditor .............. : 19 au 23 janvier 2009
ISO 27001 Lead Implementer .......... : 26 au 30 janvier 2009
ISO 27005 Risk Manager ............... : 4 au 6 février 2009
Sécurité Windows .................... : 2 et 3 mars 2009
Sécurité Unix et Linux .............. : 4 et 5 mars 2009
Fonctionnement des PKI .............. : 6 mars 2009
ISO2000-1 Lead Auditor .............. : 16 au 20 mars 2009
Formation RSSI ...................... : 30 mars au 3 avril 2009
- Fort-de-France (Martinique)
ISO 27001 Lead Auditor .............. : 11 au 15 mai 2009
- Genève (Suisse)
ISO 27005 Information Security Risk Manager : 18 au 20 février 2009
ISO 27001 Lead Implementer .......... : 4 au 8 mai 2009
ISO 27001 Lead Auditor .............. : 9 au 13 novembre 2009
- Liège (Belgique)
Sécurité des réseaux et des transmissions : 16 au 18 mars 2009
Sécurité des serveurs et applications web : 19 et 20 mars 2009
- Luxembourg
ISO 27001 Lead Auditor .............. : 25 au 29 mai 2009
ISO 27005 Information Security Risk Manager : 24 au 26 juin 2009
ISO 27001 Lead Implementer .......... : 12 au 16 octobre 2009
- Lyon
ISO 27001 Lead Implementer .......... : 8 au 12 décembre
ISO 27005 Information Security Risk Manager : 22 au 24 avril 2009
ISO 27001 Lead Auditor .............. : 7 au 11 décembre 2009
- Nice
ISO 27001 Lead Implementer .......... : 29 juin au 3 juillet 2009
- Papeete (Tahiti)
ISO 27001 Lead Auditor .............. : 16 au 20 février 2009
ISO 27001 Lead Auditor .............. : 23 au 27 février 2009
- Strasbourg
ISO 27001 Lead Auditor .............. : 9 au 13 février 2009
- Toulouse
ISO 27005 Information Security Risk Manager : 12 au 14 nov. (complet)
Sécurité des réseaux et des transmissions : 24 au 26 novembre
Sécurité des serveurs et applications web : 27 et 28 novembre
Sécurité Windows .................... : 1 et 2 décembre
Sécurité de la VoIP/ToIP ............ : 3 décembre
Sécurité des réseaux sans fil ....... : 4 décembre
ISO 27001 Lead Implementer .......... : 2 au 6 mars 2009
ISO 27005 Information Security Risk Manager : entre 11 et 15 mai 2009
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 12. Tutoriels HSC et stand HSC à Infosecurity ]---------------------
HSC sera présent pour la troisième fois à l'exposition Infosecurity
à Paris les 19 et 20 novembre 2008 au Parc des expositions Porte de
Versailles à Paris : http://www.infosecurity.com.fr/. Venez nous rejoindre
sur notre stand B21 proche de l'entrée du salon :
- Présentez vos projets aux consultants HSC présents sur le stand
- Profitez d'une réduction exceptionnelle de 10% sur tout le catalogue 2009
des formations HSC (commande faite sur place sur le salon)
- Achetez sur le stand le best-seller "Management de la Sécurité de
l'Information" d'Alexandre Fernandez-Toro
Et comme depuis 8 ans au salon Infosecurity, HSC propose 2 tutoriels
en exclusivité sur les thèmes porteurs de la SSI :
-> "Gestion des risques SSI selon l'ISO 27005" le 19 novembre
http://www.hsc.fr/conferences/reed2008_gestionrisques_ISO27005.html.fr
Ce tutoriel vous apprend à mener un processus de gestion
du risque conformément à la norme ISO 27005. Par l'étude d'un
cas pratique, vous apprendrez à réaliser une appréciation
des risques (analyse de risque + évaluation des risques) en
utilisant les principes et l'ordonnancement de la méthode
normalisée dans l'ISO 27005.
-> "Sécurité de la Voix sur IP" le 20 novembre
http://www.hsc.fr/conferences/reed2008_securite_voip.html
Ce tutoriel d'une journée présentera les aspects sécurité des
différents protocoles sans revenir sur les bases protocolaires. Il
abordera les risques de certains softphones très répandus. De bonnes
pratiques en vigueur seront détaillées afin d'implémenter des
architectures sécurisées, des attaques VoIP pratiques et réalisables
seront décrites tout comme les moyens de s'en protéger. Ces exemples
d'attaques s'appuieront sur l'expérience de tests d'intrusion
effectués par HSC.
Organisateur : Reed Exhibitions
Prix pour chaque tutoriel : 650 euros HT
Contact pour vous inscrire : Sandrine.Jean at reedexpo.fr
Tél : +33 147 566 545 -- Fax : +33 147 566 547
--[ 13. Actualité des associations : Club 27001 et OSSIR ]--------------
o Club 27001 (http://www.club-27001.fr/)
. Conférence du 20 novembre 2008 lors du salon Infosecurity
Programme détaillé à la rubrique 5 et sur http:///www.club-27001.fr/
Inscrivez-vous avec le bulletin spécial pour le Club 27001 à 300 euros :
http://www.club-27001.fr/supports/BulletinInscriptionInfosecurity.pdf
. Prochaine réunion à Paris le jeudi 22 janvier à 14h00 chez Devoteam
à Levallois-Perret
- "Gouvernance et pilotage de la sécurité de l'information" par Pierre
de Thomasson (Hapsis)
- "PCI-DSS / ISO 27001 : une approche commune a t-elle du sens ?"
par Rodolphe Simonetti (Verizon)
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 4 novembre à 14h00 :
- Détection d'intrusion dans les bases de données avec Sentrigo
par Slavik Markovitch (Sentrigo)
--[ 14. Le saviez-vous ? La réponse ]-----------------------------------
Cinq méthodes différentes permettent l'exécution de code PHP en PHP.
La fonction eval[1] permet très simplement d'exécuter du code PHP à
partir d'une chaîne de caractères.
Une autre fonction, moins connue, permet de réaliser la même chose :
create_function[2], c'est d'ailleurs celle-ci qui est à l'origine
de l'exécution de code découverte récemment dans PhpMyAdmin[3].
Il est possible de faire la même chose à l'aide de la commande
call_user_func[4] :
<?php
call_user_func($_GET["cmd"], $_GET["args"]);
?>
La fonction call_user_func_array [5] a un comportement identique.
Enfin à l'aide des fonctions variables[6] (encore une horreur de PHP),
il est possible d'exécuter du code PHP :
<?php
function blah($args)
{
echo "blah ".$args;
}
$func = $_GET['cmd'];
$func($_GET['args']);
?>
L'appel de la page http://<server>/var.php?cmd=blah&args=plop
donnera bien le résultat désiré : "blah plop"
Cependant, il est tout à fait possible de lancer une commande
système :
http://<server>/var.php?cmd=system&args=ls
Ainsi, la meilleure façon de se protéger est la mise en place d'une
défense en profondeur à l'aide de la configuration PHP et d'interdire
toutes les fonctions non nécessaires à l'aide de la variable
disable_functions du fichier php.ini :
disable_functions=exec,system,exec,system,shell_exec,pcntl_exec,popen,
proc_open,passthru,fsockopen,ftp_connect,ftp_ssl_connect,dl_open,
mail,eval,get_cfg_var,ini_get_all,ini_restore,ini_set,phpinfo,
create_function,call-user-func-array,call-user-func
Références :
[1] http://fr.php.net/manual/en/function.eval.php
[2] http://fr.php.net/manual/en/function.create-function.php
[3] http://fd.the-wildcat.de/pma_e36a091q11.php
[4] http://fr.php.net/manual/en/function.call-user-func.php
[5] http://fr.php.net/manual/en/function.call-user-func-array.php
[6] http://fr.php.net/manual/en/functions.variable-functions.php
Plus d'informations sur la liste de diffusion newsletter