[Newsletter HSC] N°52 - Décembre 2008
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 1 Déc 16:49:17 CET 2008
========================================================================
HSC Newsletter -- N°052 -- Décembre 2008
========================================================================
"Un robot n'est pas tout à fait une machine. Un robot est une machine
fabriquée pour imiter de son mieux l'être humain"
[Isaac Asimov, préface à Prodige, La cité des robots]
--[ Sommaire ]----------------------------------------------------------
1. Editorial - Raphaël Marichez
2. Le saviez-vous ? La question
3. Compte-rendu de la conférence du Club 27001 "SMSI et normes 27001"
4. Nouveautés du web HSC
5. Agenda des interventions publiques
6. Veille en vulnérabilités HSC
7. Nouvelles formations
Développement sécurisé en PHP par la pratique
L'essentiel de PCI-DSS
Gestion des identités et des accès
ISO 27005 Risk Manager (Information Security Risk Manager)
8. Nouveau partenaire au Luxembourg
9. Prochaines formations HSC
10. Offres d'emploi : consultants techniques et organisationnels
11. Actualité des associations : Club 27001, CCA et OSSIR
12. Le saviez vous ? La réponse
--[ 1. Editorial - Raphaël Marichez ]-----------------------------------
Ce mois de novembre a vu se dérouler la version 2008 du salon de la
sécurité informatique. Exceptionnellement cette année situé Porte de
Versailles, entre les salons de l'hôtellerie, de la photo, de l'éducation,
et des vignerons, il était l'occasion pour les chineurs de la sécurité
de venir y faire leur marché de produits sur étagères collection hiver 2009
"prêt-à-brancher".
Mais fonder sa sécurité sur des boîtiers à tout faire aux noms bizarres
(IPS, IDS, appliances, ...), c'est oublier que ces outils ne remplacement
pas, et ne remplaceront jamais, l'intelligence humaine. Cette intelligence,
source des menaces d'origine humaine, doit également être utilisée et
développée pour sécuriser nos systèmes. Isaac Asimov n'avait pas attendu
l'avènement de l'informatique moderne pour, dès 1980, alerter ses lecteurs
sur les conséquences prévisibles de l'automatisme à outrance.
Ces derniers mois, différentes anecdotes ont encore une fois montré les
limites et surtout les travers de l'automatisation de la sécurité. Un
administrateur en université interrogea la communauté du CRU afin de
comprendre pourquoi les transferts DNS ne fonctionnaient plus : le serveur
maître interrompait sans raison apparente la connexion TCP par un RST
arbitraire au milieu d'un transfert de zone parfaitement licite. En réalité,
un boîtier IPS tout nouveau usurpait l'adresse IP de serveurs légitimes pour
fermer une communication supposée, à tort, receler une attaque portant sur
DNSSEC, extension protocolaire qui n'était même pas activée dans notre cas.
Si vous n'avez pas reçu la dernière lettre mensuelle HSC et que votre
messagerie entrante est protégée par FortiGuard (encore faut il le
découvrir), ne cherchez pas : la présence d'une URL relative à une
vulnérabilité PHP (CVE-2008-4096) a été considérée comme une attaque par le
boîtier suscité. Ainsi, vous n'avez pas non plus reçu les avis de sécurité
de Secunia, IBM IIS, et des différents CERT ou services de veille auxquels
vous auriez été abonnés, et qui vous mettaient en garde contre cette
vulnérabilité. De même, vérifiez bien que les messages d'alertes de
sécurité (IDS, denyhosts, nagios, snort, etc.), comportant des adresses IP
ou des noms de domaines généralement peu recommandables, évitent
soigneusement de passer par votre anti-spam...
Enfin, la simple présence sur un réseau d'entreprise d'une sonde totalement
passive dans une configuration standard (login et password inchangés) a
permis aux consultants HSC, via l'écoute du trafic "sondé", de découvrir
sans effort les mots de passe du domaine Windows qui transitaient en clair
et toutes les 5 minutes grâce à la messagerie non-SSL... Ne négligez jamais
un équipement IP, quel qu'il soit, sur un réseau.
Ces quelques faits doivent ainsi nous rappeler que, au-delà du problème des
faux positifs, l'intégration non suffisamment réfléchie dans un réseau d'une
solution automatisée de sécurité risque de diminuer le niveau de sécurité
global : comportement évasif, perte de traçabilité, interception
d'informations de sécurité, ou, pire, trou béant dans un réseau exemplaire.
La technique est un outil. En faire usage requiert des hommes et des femmes.
--[ 2. Le saviez vous ? La question ]-----------------------------------
Comment étendre les fonctionnalités de nmap, et réaliser un scan au
niveau applicatif ?
Réponse à la rubrique 12.
--[ 3. Compte-rendu de la conférence "SMSI et normes 27001" ]-----------
par Benjamin Arnault et Emeric Laroche
Le 20 novembre dernier s'est déroulé au Salon de la sécurité la
seconde journée de conférences sur le thème "SMSI et normes ISO 27001"
organisée par le Club 27001 (www.club-27001.fr).
La première conférence, présentée par Alain de Greve, décrivait le
travail de l'ISO sur les normes 270nn. Les contributeurs sont des
volontaires issus de différents pays et professions dont l'objectif est
de trouver un consensus pour rédiger ou réviser les normes. La
conception d'une norme suit plusieurs étapes, cette dernière passant par
plusieurs phases de développement. La phase Draft International Standard
est la dernière avant la soumission de la norme aux pays membres.
Ce dernier vote adopte le document en tant que norme internationale.
Elle est révisée après 5 ans ou lorsqu'elle est jugée obsolète ('defect
report'). C'est le SC (subcommittee) 27 qui conçoit les normes de la
série 270nn. Il est composé de cinq groupes de travail, dont le WG1
traitant de sécurité organisationnelle et le WG4 traitant de sécurité
technique. Alain de Greve à présenté l'état de ces normes au sein du
WG1 et du WG4. Ainsi l'ISO 27001 est en début de révision, l'ISO 27003
est en retard et devrait être publiée sous peu mais, mais ne satisfait pas
complètement. Elle sera probablement révisée rapidement après sa sortie.
L'ISO 27000 qui intègre le vocabulaire employé par le WG1 sera bientôt
finalisée mais sera révisée rapidement pour intégrer le vocabulaire du
WG4. Grande nouveauté, à sa publication la norme ISO 27000 sera disponible
gratuitement.
François Jolivet présente la démarche sécurité de la Société Générale.
Il est rattaché au RSSI groupe, qui est lui même rattaché à la DSI.
C'est une activité séparée de la gestion des risques qui est rattachée à
la direction générale. Quatre normes sont principalement utilisées dans
le domaine de la sécurité : ISO 27001, ISO 27002, ISO 27004 et ISO 27005.
Différentes méthodes ont été identifiées pour gérer les risques. Pour des
risques peu fréquents ayant un impact fort, des scénarios sont analysés
et les mesures nécessaires sont mises en oeuvre, généralement dans le
PCA. En ce qui concerne les risques ayant une fréquence moyenne à forte,
les risques dont l'impact est faible sont traités par la gestion des
incidents et l'amélioration continue, les risques dont l'impact est
moyen sont traités par le RCSA (Risk Control Self Assessment) et les
risques dont l'impact est important sont traités par la mise en place
d'indicateurs. Les risques très importants sont contrôlés par des
tableaux de bord. Le RCSA est une évaluation des risques opérationnels
qui aboutit à une cartographie des risques intrinsèques (risques métier
ou processus sensibles et critiques) évalués selon la perte d'activité.
Chaque filière évalue les dispositifs pour contrer les risques majeurs
en répondant à un questionnaire. Celui-ci est fondé sur l'ISO 27002 et
Cobit. Les réponses permettent de mettre en oeuvre un plan d'action
spécifique. Les métiers peuvent aussi ajouter des actions qui ne
seraient pas inclues dans le plan. Une échelle de maturité de 4 niveaux
est définie pour chacune des mesures. Ces points permettent la création
d'un tableau de bord selon les 11 points de l'ISO 27002.
La troisième présentation traitant d'une méthode d'appréciation de
risque était effectuée par Alain Huet, Conseiller en chef de la sécurité
de l'information au Fedict (ministère chargé de la mise en oeuvre de
l'e-government Belge). Le besoin d'harmonisation de la sécurité des
projets est rapidement apparu après la création du ministère. Une
méthode de gestion des risques utilisable par les responsables
fonctionnels -- non experts en sécurité -- était nécessaire. Une méthode
simplifiée, conforme avec l'ISO 27005, a donc été déployée. Dans un
premier temps, une appréciation des risques est conduite à partir des 10 à
20 actifs identifiés par projet. Elle est effectuée selon les critères de
disponibilité, intégrité, confidentialité et preuve et suivant les
impacts : sociaux et humains, juridiques, judiciaires, financiers, sur la
classification de l'information, sur l'image du service public et enfin
sur l'ordre public. Pour chaque nature d'impact, des niveaux de gravité
sont définis selon une échelle logarithmique. Les vulnérabilités en
annexe D de l'ISO 27005 sont sélectionnées en fonction des impacts sur
les actifs. Le plan de traitement inclut les actions à mener afin de
maîtriser ces vulnérabilités. Les mesures de sécurité à implémenter
proviennent soit de l'ISO 27002, soit des métiers. Elles sont
sélectionnées en fonction de leur mode d'action : réduction de la
probabilité, réduction de l'impact, coût initial et récurrent... La
méthode est réutilisée en prenant en compte les mesures de sécurité afin
de déterminer le risque résiduel. Celui-ci est alors accepté par le
propriétaire fonctionnel. Cette méthode permet un démarrage très court
et un effort global faible pour spécifier la sécurité des projets mais
suppose en contrepartie que les bonnes pratiques de bases soient déjà
en oeuvre.
Le Docteur Othar Zourabichvili, Président et CEO de Quanta Medical
présente l'enjeu ISO 27001. Quanta Medical est une entreprise
travaillant dans la sphère du médicament et de la santé. Elle interagit
avec de nombreux partenaires dans le domaine de l'organisation de
questionnaires de santé, d'essais thérapeutiques ou épidémiologiques.
Dans ce cadre, les données personnelles et médicales sont soumises à un
fort contexte réglementaire. La protection des patients participant aux
essais, la confidentialité des données de santé et personnelles, la
conformité au FDA 21 CFR Part 11 (Food and Drug Administration) ainsi que
des considérations éthiques entrent ainsi en jeu dans les considérations
de sécurité de Quanta Medical. Le non respect du caractère confidentiel
des informations de santé implique une responsabilité sur le plan pénal.
Quanta Medical est la première organisation de recherche sous contrat
d'Europe à avoir été certifié ISO 9001. Les processus, contrôles, audits,
etc., mis en place par l'ISO 9001 ont mis en lumière les enjeux et
insuffisances en terme de sécurité sur les données et leur cycle de vie.
De plus, dans un contexte concurrentiel, la direction voulait jouer un
"coup d'avance" en étant la première entreprise en santé humaine
certifiée. Enfin, l'ISO 27001 permettait de combler un vide juridique.
La sécurité des informations vis à vis des tiers n'était presque pas
abordée dans les contrats. Elle a aussi permis de clarifier la
définition du risque avec les assurances. Afin d'atteindre ces
objectifs, Quanta Medical a dans un premier temps effectué un travail
sans assistance. Les tâtonnements successifs les ont convaincu de
prendre un prestataire qui, faute d'expérience, de dimensionnement de
son équipe et de distance, n'a pas atteint l'objectif. Le deuxième
prestataire a réussi ce travail en précisant le périmètre et la
stratégie à appliquer. Du côté du prestataire, jusqu'à 4 personnes ont
travaillé sur ce projet et en interne une personne à temps plein pendant
4 mois. Les conclusions de ce projet montrent l'importance de l'apport
d'un prestataire lorsqu'il est compétent. Enfin, le choix de la
certification permet de distinguer un objectif visible et
matérialisable.
L'après midi débute par une présentation de Patrick Bosch de la Loterie
Nationale du Luxembourg. L'activité de loterie implique des contraintes
sur la sécurité aussi bien en termes d'intégrité (transmission et
sauvegarde des données, détermination des gagnants, tirage...), de
confidentialité (identité des gagnants) que de disponibilité (une heure
de black-out un vendredi soir de grande dotation équivaut à une perte de
6% du chiffre d'affaires de l'année). Ainsi, la Loterie Nationale a
engagé une démarche de certification au standard de la World Lottery
Association WLA-SCS:2003, basée sur la norme BS-7799-2:2002. Patrick
Bosch insiste sur l'importance cruciale du choix du partenaire
d'accompagnement à la mise en conformité. Un atout important est la
connaissance du métier du client par le consultant. Une des
caractéristiques de la norme WLA-SCS est l'obligation de désigner un
Security Manager. En amont de la certification, l'accent a été mis sur
la formation concernant les thèmes de la sécurité de l'information pour
les collaborateurs de la Loterie Nationale. Le point essentiel qui est
apparu dans la démarche de certification est la nécessité de
l'implication de la direction. Par ailleurs, la certification pousse les
principaux fournisseurs de la Loterie Nationale à appliquer les
principes de la norme, voire à se certifier. Lors de l'utilisation
de la norme BS-7799 comme référence, des difficultés d'interprétation ont
posé problème. En effet, une place trop importante est donnée à
l'arbitraire en particulier au niveau des règles d'audit. Une attention
a du être portée sur le dimensionnement (périmètre et actifs) ainsi qu'à
la séparation des tâches. Au final, Patrick Bosh affirme que la
certification a été un grand bénéfice pour la Loterie Nationale,
même en termes financiers.
La présentation suivante est menée par Nicolas Bunoust du Conseil
Général de Loire-Atlantique qui expose son expérience de mise en place
de SMSI. L'objectif principal de cette mise en place était de développer
un système de confiance auprès de tous les acteurs qui interagissent
directement avec le Conseil Général. Deux leviers d'action ont été
identifiés : l'ISO27001 pour améliorer l'organisation et l'ISO27002 pour
agir sur les vulnérabilités. Plusieurs constatations ont été moteur pour
le projet : une conscience hétérogène de la sécurité en fonction des
populations, un événement de sécurité concernant la confidentialité des
données et une difficulté de définition des objectifs sécurité.
L'inventaire des actifs a été réalisé en plusieurs passes afin d'avoir
une vision claire des priorités. La direction générale a été présente
à certaines étapes du projet pour arbitrer, en particulier pour définir
les objectifs. Un plan d'action a été défini avec trois axes : réagir,
agir et renforcer. Les indicateurs apparaissent comme indispensables
pour un SMSI, mais doivent être adaptés à son contexte pour être
pertinents. L'amélioration continue s'est intéressée particulièrement au
processus de gestion des incidents. Enfin, le partage d'information
s'est révélé primordial pour que l'ensemble des acteurs portent la
démarche. Nicolas Bunoust conclut en affirmant que la sécurité induit une
démarche créatrice de valeur ; elle tend à devenir un levier pour
impulser de nouvelles dynamiques.
"La sécurité et l'ISO 20000-1 chez Orange Business Services" est
présenté par Stéphane Sciacco. OBS s'est intéressé à la norme ISO20000-1
pour développer la confiance du client. Cette norme comporte un volet
d'exigences sur la sécurité de l'information. Plusieurs services ont été
identifiés : Backbone, Service client, Accès client par Internet et
l'attention a été portée en particulier sur le service Backbone. Une
fusion de deux directions de la sécurité Orange a généré une réflexion
sur les possibilités d'amélioration de l'organisation de la sécurité.
Quatre axes ont été définis pour la gestion de la sécurité :
stratégique, tactique, "renseignement" et opérationnel (associés aux
étapes du cycle PDCA). Ces axes ont été employés pour la gestion des
politiques de sécurité, des tableaux de bord, de la sensibilisation, de
la détection, du contrôle interne et audit. Les appréciations de risques
sont menées au début des phases de création d'offre de service. Elles
s'appuient sur une méthode dérivée d'EBIOS. Deux scénarios sont possibles
pour la responsabilité associée aux risques. Si les MOA prennent en compte
le risque, alors la direction sécurité traite le risque, sinon il est
transféré. La difficulté est de convaincre les équipes de la MOA
d'adopter la démarche. Une grande importance a été donnée à la
sensibilisation en sécurité des acteurs qui interviennent dans la
fourniture de service. Les résultats de tests d'intrusion sont présentés
sous forme de vidéo pour marquer les esprits. Une démarche IAM a été
engagée pour la gestion des accès externes. En conclusion, la norme
ISO20000-1 a imposé des modifications à différents niveaux (comme les
indicateurs) et a facilité la fédération de l'organisation de la
sécurité.
Le groupe de Travail ITIL/ISO20000 - ISO27001 du Club 27001 représenté
par Eric Doyen du Crédit Immobilier, Liliane Tonon d'Alcatel Lucent et
Alexandre Fernandez-Toro du cabinet HSC, a présenté le travail effectué
sur les possibilités de mutualisation entre ITIL/ISO20000 et ISO27001.
Neuf thèmes de mutualisation ont été identifiés. Le premier thème étudié
est l'inventaire des actifs. Le groupe de travail souhaite réaliser des
fiches présentant les activités mutualisables, les faux amis, les
solutions de contournement et les opportunités de mutualisation. Afin de
mener une réflexion pragmatique, un cas fictif a été construit. Il
permet de voir concrètement, par l'exemple, les points de convergence
des deux normes. La distinction entre inventaire des actifs au sens
ISO27001 avec les actifs primordiaux et les actifs secondaires et la
notion de CMDB d'ITIL/ISO20000 a montré une différence d'approche. La
norme ISO27001 s'intéresse aux actifs sensibles alors qu'ITIL/ISO20000
considère les actifs constituant l'infrastructure informatique et de
production. Ainsi, ITIL est intéressant pour identifier les actifs
secondaires. La mutualisation permet de ne faire l'analyse du contexte
qu'une seule fois.
La journée se conclut par un débat lancé par Hervé Schauer, secrétaire
du Club 27001, sur le thème des systèmes de management intégrés. Thierry
Jardin de Logica est partisan du système de management intégré. Il affirme
que plusieurs opportunités de mutualisation sont possibles en particulier
la mise en place de la gestion des documents et enregistrements qui est
facilitée si une démarche qualité ISO9001 est déjà engagée. Si le
périmètre des deux systèmes de management est le même alors une revue de
direction commune a du sens. Stéphane Siacco, quant à lui, considère que
l'intégration des systèmes de management est prématurée et qu'il est
nécessaire de laisser du temps aux acteurs pour s'approprier les normes
ISO 20000 et ISO 27001. Paul Grassart d'Ageris appuie les arguments de
Thierry Jardin et soutient que le véritable enjeu est d'aller vers un
management des risques intégré. Une opportunité de rapprochement est
évoquée par Thierry Jardin : le RSSI doit travailler avec le contrôle
interne. Gérôme Billois de Solucom tempère en ajoutant que les
directions du contrôle interne ne sont pas toutes sensibilisées à la
norme ISO27001. Hervé Schauer d'HSC est lui partisan de systèmes de
management distincts et autonomes parce que très spécifiques chacun à
un métier (DSI, RSSI, direction qualité), mais où la mutualisation est
faite dans un programme d'audit interne unique coordonné, des revues de
direction lors du même comité de direction, ou la réutilisation du travail
d'un système de management par l'autre.
La norme ISO27001 continue de se développer en France avec de plus en
plus d'organismes s'intéressant à la norme, adoptant la démarche ou
même se certifiant. La famille des normes ISO 27000 promet de
s'agrandir avec la publication de normes attendues (27000 et 27003 en
particulier) mais aussi avec l'arrivée de normes plus techniques.
L'année 2007 avait donné un avant goût de l'intérêt pour la
mutualisation des référentiels. 2008 porte l'ambition du développement
des mises en place concrètes de systèmes intégrés. Alors quid des années
à venir ? Les normes 27001 et 27002 vont subir une cure de jouvence avec
de nouvelles révisions. La norme 27005 sur la gestion de risque parue
mi-2008 connaît un intérêt croissant. Les tendances à suivre pour l'année
2009 sont le renouveau des fondamentaux et le développement des réflexions
sur la gestion du risque en sécurité de l'information et sur sa place au
sein d'un contexte global de risques métier.
--[ 4. Nouveautés du web HSC ]------------------------------------------
- Nouvelle formation " Programmation sécurisée en PHP par la pratique"
http://www.hsc.fr/services/formations/programmation_php.html.fr
- Présentation "Problémes rencontrés dans les application web des
entreprises" par Hervé Schauer le 27 novembre 2008
http://www.hsc.fr/ressources/presentations/pb-entr08/
- Présentation "Système de Management de la Sécurité de l'information"
par Alexandre Fernandez-Toro le 26 novembre 2008
http://www.hsc.fr/ressources/presentations/JRSSI08/
- Brève "Tomcat : malwares"
par Louis Nyffenegger le 26 novembre 2008
http://www.hsc.fr/ressources/breves/tomcat-malware.html.fr
- Article "Vulnérabilités des postes clients" par Guillaume Lehembre
Editorial du numéro 6/2008 (34) de Hakin9, publié en novembre-décembre 2008
http://www.hsc.fr/ressources/articles/hakin9_edito_vulnerabilites_clients/
- Article : "Google Hacking"
par Christophe Alladoum
Article publié dans le n°34 de Hakin9 de novembre 2008
http://www.hsc.fr/ressources/articles/hakin9_googlehacking/index.html.fr
- Nouvelle formation "L'essentiel de PCI-DSS"
http://www.hsc.fr/services/formations/essentiel_pcidss.html.fr
- Article : "Vulnerabilités : impacts & correctifs" par Gullaume Lehembre
Editorial du numéro 5/2008 (33) de Hakin9, publié en septembre-octobre 2008.
http://www.hsc.fr/ressources/articles/hakin9_edito_vulnerabilites/
- Article : "L'ISO27001" par Raphaël Marichez
Editorial du numéro 4/2008 (32) de Hakin9, publié en juillet-août 2008.
http://www.hsc.fr/ressources/articles/hakin9_edito_ISO27001/index.html.fr
- Outil : Nouvelle version de l'outil de tunnel sur DNS, dns2tcp v0.4.3.
http://www.hsc.fr/ressources/outils/dns2tcp/index.html.fr
--[ 5. Agenda des interventions publiques ]-----------------------------
- 1 avril 2009 : Conférence "Solutions Linux 2009"
Animation de la session sécurite - Hervé Schauer
http://www.solutionslinux.fr/
- 2 avril 2009 : Conférence "Sécurité et SI" organisée par DPM
"Politiques de sécurité" - Hervé Schauer
[Voir le site web de DPM Services]/Journee-Securite-et-SI.html
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 6. Veille en vulnérabilités HSC ]-----------------------------------
1390 06-11-2008 Déni de service VTP sur réseau local dans Cisco IOS
et CatOS
1391 12-11-2008 Multiples vulnérabilités dans les produits Microsoft
1392 14-11-2008 Elévation de privilèges dans les produits VMware
--[ 7. Nouvelles formations ]--------------------------------------------
* Développement sécurisé en PHP par la pratique
* L'essentiel de PCI-DSS
* Gestion des identités et des accès
* ISO 27005 Risk Manager (Information Security Risk Manager)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
PHP, langage à failles de sécurité ? Comment programmer correctement
en PHP ? Comment augmenter le niveau de sécurité des applications PHP ?
La formation proposée par HSC permet à chaque stagiaire de découvrir les
types de vulnérabilités rencontrées sur les applications PHP afin
d'apprendre à implémenter un code sécurisé.
Chaque type de vulnérabilité est abordé en 4 phases :
- explication théorique ;
- présentation des risques liés à l'exploitation de la vulnérabilité ;
- présentation des méthodes permettant d'implémenter un code sécurisé ;
- travaux pratiques permettant de s'assurer de la bonne compréhension.
Chaque apprenant dispose d'un PC portable et d'une machine virtuelle
comprenant un ensemble de sites Web vulnérables avec comme principal
objectif de corriger les vulnérabilités.
Cette formation est assurée par les consultants réalisant les audits de
sécurité d'applications PHP.
La première session est à Paris du 9 au 11 février 2009.
Objectifs, public visé, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/programmation_php.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
PCI-DSS, le standard sécurité imposé par l'industrie de la carte
de paiement : d'où vient ce standard ? Qui doit s'y conformer ? Comment s'y
conformer ? La formation "L'essentiel de PCI-DSS" répond en une journée
à vos questions, vous donne les principales obligations du standard et
vous propose un plan de mise en conformité. Quiconque gère, stocke ou
transmet des informations venant des cartes de crédit saura à l'issue de
la formation quelles mesures de sécurité il doit prendre pour pouvoir
continuer à le faire.
Cette formation est délivrée par Rodolphe Simonetti de la société
Verizon, consultant en sécurité et auditeur PCI-DSS (QSA) depuis plusieurs
années.
La première session est à Paris le 13 janvier 2009.
Objectifs, public visé, formateur et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/essentiel_pcidss.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Gestion des identités, annuaire partagé, IAM, role-based-management, etc.
Comment s'y préparer ? Quelle est l'utilité du projet aux métiers ? Comment
architecturer, financer, dimensionner, organiser, déployer ? Cette nouvelle
formation "Gestion des identités et des accès" vous permet de disposer de tout
ce que vous devez savoir pour vous mener vers un système opérationnel et
optimal de gestion des identités et des accès dans votre organisation.
Cette formation est délivrée par Thierry Durand de la société Phorcys,
ancien RSSI et responsable de la gestion des identités chez Peugeot, avec
un complément technique apporté par HSC.
La première session est à Paris du 14 au 16 janvier 2009.
Objectifs, public visé, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/gestion_des_identites.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ISO 27005, la norme de gestion du risque, décrit une méthodologie
de gestion de risques en SSI pragmatique et complète. HSC propose la
première formation à la norme "Information Security Risk Manager", qui
vous apprend à dérouler par vous même et en toutes circonstances un
processus de gestion des risques. Cette formation permet aux consultants
en sécurité d'assister les entreprises dans la mise en oeuvre de leur
gestion des risques en SSI. La formation est sanctionnée par un examen et
une certification délivrés par LSTI (www.lsti.fr). Pour une introduction
à la norme ISO 27005, consultez l'article d'Hervé Schauer dans GSM :
http://www.hsc.fr/ressources/articles/globalsecuritymag_iso27005/
Les prochaines sessions de la formation certifiante ISO 27005
Information Security Risk Manager sont :
- à Paris du 15 au 17 décembre 2008 et du 4 au 6 février 2009
- à Lyon du 22 au 24 avril 2009
- à Toulouse du 13 au 15 mai 2009
- à Luxembourg du 24 au 26 juin 2009
- à Genève du 18 au 20 février 2009
Objectifs, pré-requis, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/iso27005riskmanager.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 8. Nouveau partenaire au Luxembourg ]-------------------------------
HSC à un nouveau partenaire au Luxembourg : Verizon. Les formations
Verizon au Luxembourg sont commercialisées par Dimension Data Luxembourg.
HSC continuera avec ce nouveau partenaire à vous proposer ses formations
dispensées par deux consultants, et en premier lieu Alexandre Fernandez-Toro
et Hervé Schauer, et toujours par des consultants expérimentés qui partagent
avec les stagiaires leur retour d'expérience dans la mise en oeuvre de
SMSI et dans l'audit de certification.
Les dates des formations à Luxembourg sont les suivantes :
ISO 27001 Lead Auditor .............. : 25 au 29 mai 2009
ISO 27005 Information Security Risk Manager : 22 au 24 juin 2009
ISO 27001 Lead Implementer .......... : 12 au 16 octobre 2009
Les prix sont identiques aux prix pratiqués à Paris et la certification
demeure celle délivrée par LSTI (www.lsti.fr).
Pour vous inscrire contactez Sylvie Favaut -- Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
--[ 9. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Réalisation pratique des Tests d'Intrusion : 8 au 12 décembre (complet)
L'essentiel de la série ISO27001 .... : 8 et 9 décembre
Mutualisation ISO 27001, ITIL, Cobit : 10 décembre
ISO 27005 Risk Manager ............... : 15 au 17 décembre
Certification ISO 27001 ............. : 18 décembre
PCI-DSS ............................. : 13 janvier 2009
Gestion des identités et des accès .. : 14 au 16 janvier 2009
ISO 27001 Lead Auditor .............. : 19 au 23 janvier 2009
ISO 27001 Lead Implementer .......... : 26 au 30 janvier 2009
ISO 27005 Risk Manager ............... : 4 au 6 février 2009
Développement sécurisé en PHP par la pratique: 9 au 11 février 2009
Sécurité Windows .................... : 2 et 3 mars 2009
Sécurité Unix et Linux .............. : 4 et 5 mars 2009
Fonctionnement des PKI .............. : 6 mars 2009
Réalisation pratique des Tests d'Intrusion : 9 au 13 mars 2009
ISO2000-1 Lead Auditor .............. : 16 au 20 mars 2009
Formation RSSI ...................... : 30 mars au 3 avril 2009
- Fort-de-France (Martinique)
ISO 27001 Lead Auditor .............. : 11 au 15 mai 2009
- Genève (Suisse)
ISO 27005 Information Security Risk Manager : 18 au 20 février 2009
ISO 27001 Lead Implementer .......... : 4 au 8 mai 2009
ISO 27001 Lead Auditor .............. : 9 au 13 novembre 2009
- Liège (Belgique)
Sécurité des réseaux et des transmissions : 16 au 18 mars 2009
Sécurité des serveurs et applications web : 19 et 20 mars 2009
- Luxembourg
ISO 27001 Lead Auditor .............. : 25 au 29 mai 2009
ISO 27005 Information Security Risk Manager : 24 au 26 juin 2009
ISO 27001 Lead Implementer .......... : 12 au 16 octobre 2009
- Lyon
ISO 27005 Information Security Risk Manager : 22 au 24 avril 2009
ISO 27001 Lead Auditor .............. : 7 au 11 décembre 2009
- Nice
ISO 27001 Lead Implementer .......... : 29 juin au 3 juillet 2009
- Papeete (Tahiti)
ISO 27001 Lead Auditor .............. : 16 au 20 février 2009
ISO 27001 Lead Auditor .............. : 23 au 27 février 2009
- Strasbourg
ISO 27001 Lead Auditor .............. : 9 au 13 février 2009
- Toulouse
ISO 27001 Lead Implementer .......... : 2 au 6 mars 2009
ISO 27005 Information Security Risk Manager : 13 au 15 mai 2009
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 10. Offre d'emploi : consultants débutants et expérimentés ]--------
HSC recherche des consultants en sécurité, débutants ou expérimentés,
techniques ou organisationnels. Les postes sont basés à Levallois-Perret,
à 5 minutes de la gare de Paris Saint-Lazare.
Les consultants réaliseront des prestations de conseil, d'expertise
et de formation en sécurité, aussi bien sur des aspects techniques que
des aspects management de la SSI.
Les consultants techniques réaliseront des audits et des tests d'intrusion.
Les consultants orientés management de la SSI participeront aux projets
ISO 27001 menés par HSC.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en français, et une maîtrise de l'informatique et des technologies.
Les ingénieurs sélectionnés peuvent être débutants et seront formés à la
sécurité et sur l'ISO27001 par HSC, soit de 3 à 7 semaines de formation
prises en charge par HSC.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
--[ 11. Actualité des associations : Club 27001, CCA et OSSIR ]---------
o Club 27001 (http://www.club-27001.fr/)
. La conférence annuelle du 20 novembre a réuni 70 participants.
Cf le compte-rendu dans cette newsletter paragraphe 3.
. Prochaine réunion à Toulouse le vendredi 16 janvier après-midi chez
Alcatel-Lucent à Colomiers :
- Présentation des résultats des travaux du groupe de travail ITIL -
ISO 27001 par Liliane Tonon, Alcatel-Lucent
. Prochaine réunion à Paris le jeudi 22 janvier après-midi chez Devoteam
à Levallois-Perret :
- Gouvernance et pilotage de la sécurité de l'information par
Pierre De Thomasson, Hapsis
- PCI-DSS / ISO 27001 : une approche commune a t-elle du sens ?
par Rodolphe Simonetti, auditeur PCI-DSS chez Verizon
o CCA (Club de la Continuite d'Activite) (http://www.clubpca.eu/)
. Evènement d'automne le 11 décembre après-midi cau siège de France
Telecom à Paris :
- Impact de la crise financière sur le monde informatique, par
Donald Callahan, Duquesne Group
- Solution de repli utilisateurs interne externe, avantages et
inconvénients, présentation par IBM & Sungard suivi d'un débat
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 9 décembre après-midi au CNES
à Paris :
- Mobile NX de Mobiquant, par Frédéric Grasset, Mobiquant
- La clé IronKey par Alain Takahashi, Hermitage Solutions
. Prochaine réunion à Rennes le jeudi 18 décembre à l'IRISA
- Virtualisation et sécurité avec Hyper-V par Cyril Voisin, Microsoft
- Compte-rendu de la conférence C&ESAR 2008 par Olivier Heen, INRIA
- Stratégie de sécurité de Microsoft par Cyril Voisin, Microsoft
--[ 12. Le saviez-vous ? La réponse ]-----------------------------------
Nmap intègre, depuis la version 4.21 un moteur de script, appelé NSE
pour "Nmap Scripting Engine" et basé sur le langage LUA
(http://nmap.org/nse/). Il est ainsi possible, en fonction des ports ouverts
détectés par nmap, d'exécuter des scripts pour aller encore plus loin dans
la découverte d'informations.
Les scripts sont rangés dans une base de données, mise à jour par la
commande "nmap --script-updatedb" et peuvent être triés par catégorie.
Chaque script déclare lui-même les catégories auxquelles il appartient au
moyen de la ligne suivante :
-- Extrait du fichier rpcinfo.nse
categories = {"default","safe","discovery"}
Le moteur de scripts est activé en passant l'option "-sC" à nmap, lançant
ceux marqués "intrusive" et "safe". Il est recommandé, dans le cadre d'un
réseau de production, de désactiver les scripts "intrusive", ceux-ci pouvant
aller jusqu'à tenter des injections SQL automatiquement. Pour activer
d'autres catégories, il suffit d'appeler nmap avec l'option "--script"
comme suit :
Pour les scripts "sans danger" :
$ sudo nmap --script safe 127.0.0.1
ou pour l'ensemble des scripts disponibles (attention, dangereux !)
$ sudo nmap --script all 127.0.0.1
Un script individuel peut également être appelé :
$ sudo nmap --script nom_du_script.nse 127.0.0.1
D'une manière générale, il est raisonnable de privilégier les scripts
marqués "safe" pour minimiser les risques de crash des applications cibles.
Par défaut, nmap propose une cinquantaine de scripts analysant notamment les
bannières des serveurs Apache et SSH, interrogeant les portmappers pour
obtenir la liste des services RPC ou encore réalisant des requêtes Whois
pour la découverte d'informations. Le script "netbios-smb-os-discovery.nse"
identifie la version d'un système Windows en se basant sur sa pile
NetBIOS/SMB :
$ sudo nmap -sU -sS --script netbios-smb-os-discovery.nse -p U:137,T:139 192.70.106.150
Starting Nmap 4.76 ( http://nmap.org ) at 2008-12-01 09:26 CET
Interesting ports on mado.hsc.fr (192.70.106.150):
PORT STATE SERVICE
139/tcp open netbios-ssn
137/udp open|filtered netbios-ns
Host script results:
| Discover OS Version over NetBIOS and SMB: Windows Server 2003 3790 Service Pack 2
|_ Discover system time over SMB: 2008-12-01 09:26:07 UTC+1
Nmap done: 1 IP address (1 host up) scanned in 0.90 seconds
Il est facilement envisageable de créer des plugins personnalisés, en
utilisant le langage LUA (http://www.lua.org/) ainsi que les bibliothèques
fournies par nmap (nselibs).
Par exemple, le code suivant effectue une requête sur un serveur SIP afin de
découvrir les méthodes que celui-ci propose :
-- -------------- Script NSE SIPOptions -------------- --
id = "SIPOptions"
description = "Attempts to extract SIP Options on SIP service"
author = "Jean-Baptiste Aviat <Jean-Baptiste.Aviat at hsc.fr>"
license = "See nmaps COPYING for licence"
categories = {"discovery", "safe"}
require "shortport"
portrule = shortport.portnumber(5060, "udp", {"open", "open|filtered"})
action = function(host, port)
local status, s, methods, socket, request
socket = nmap.new_socket()
socket:set_timeout(5000)
local catch = function()
socket:close()
end
local try = nmap.new_try(catch)
try(socket:connect(host.ip, port.number, "udp"))
request = "INFO sip:test at hsc.fr SIP/2.0"
request = request .. "Via: SIP/2.0/TCP hsc.fr:5060\r\n"
request = request .. "From: <sip:test at hsc.fr>;tag=d3f423d\r\n"
request = request .. "To: <sip:test at hsc.fr>;tag=8942\r\n"
request = request .. "Call-ID: 312352\r\n"
request = request .. "CSeq: 5 INFO\r\n"
request = request .. "Content-Length: 0\r\n\r\n"
socket:send(request)
while true do
status, s = socket:receive_lines(1)
methods = string.match(s, "Allow: *([ A-Z,]+)")
if not status or string.len(methods) > 0 then
break
end
end
socket:close()
-- on précise à nmap que le port SIP est ouvert
nmap.set_port_state(host, port, "open")
return methods
end
-- ------------------------------------------------------
Une session de nmap accompagnée de ce script fournit la sortie suivante (ici,
un serveur Asterisk) :
$ sudo nmap --script=./SIPOptions.nse localhost -sU -p 5060
Starting Nmap 4.76 ( http://insecure.org ) at 2008-12-01 09:32 CET
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
5060/udp open sip
|_ SIPOptions: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY
Nmap done: 1 IP address (1 host up) scanned in 2.108 seconds
Et ici, sur le softphone Ekiga :
$ sudo nmap --script=./SIPOptions.nse localhost -sU -p 5060
Starting Nmap 4.76 ( http://insecure.org ) at 2008-12-01 09:43 CET
Interesting ports on dhcp2.hsc.fr (192.70.106.122):
PORT STATE SERVICE
5060/udp open unknown
|_ SIPOptions: INVITE,ACK,OPTIONS,BYE,CANCEL,NOTIFY,REFER,MESSAGE
Références :
- Nmap : http://nmap.org/
- NSE : http://nmap.org/nse/
- SIP / INFO : http://www.ietf.org/rfc/rfc2976.txt
Plus d'informations sur la liste de diffusion newsletter