[Newsletter HSC] N°53 - Janvier 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Mer 7 Jan 11:12:24 CET 2009
========================================================================
HSC Newsletter -- N°053 -- Janvier 2009
========================================================================
"Janvier 1989 - Janvier 2009 : HSC fête ses 20 ans.
Merci à tous ceux qui ont contribué à cette longévité.
Bonne année 2009 !"
[Hervé Schauer]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez-vous ? La question
3. Photos du rallye du Var
4. Prix de l'Innovation des Assises de la Sécurité
5. Nouveautés du web HSC
6. Agenda des interventions publiques
7. Veille en vulnérabilités HSC
8. Nouvelle formation : "Développement sécurisé en PHP par la pratique"
9. Dernières places à saisir : PCI-DSS et IAM
10. Nouveau partenaire au Luxembourg
11. Prochaines formations HSC
12. Offres d'emploi, 7 postes à pourvoir !
13. Actualité des associations : Club 27001 et OSSIR
14. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
L'évènement de cette année 2009 qui débute est la loi dite LME : Loi
pour la Modernisation de l'Economie. Certes pas seulement pour le secteur
de la sécurité de l'information, mais aucune loi n'aura autant d'influence
sur le marché de la sécurité de l'information que va avoir cette loi là.
L'article L446-1 du code du commerce interdit désormais un règlement
à plus de 60 jours nets (15000 euros d'amende). Cette loi s'attaque à un
mal exclusivement hexagonal et typique de notre économie. La mise en
vigueur de cette loi du 4 août 2008 au 1er janvier 2009 tombe à pic pour
assainir la trésorerie du tissu de PME-PMI qui fait la richesse du secteur
de la SSI, et punir au meilleur moment les grands comptes et industriels
français qui choisissaient leurs fournisseurs en sécurité sur la grosseur
de leur trésorerie. Si l'industrie française dépérit, nous n'oublierons
pas que ce sont les "acheteurs" les co-responsables avec leur direction
générale. Une fois n'est pas coutume : bravo pour ce texte qui permet
de démarrer l'année en beauté.
--[ 2. Le saviez vous ? La question ]-----------------------------------
Après le bug de l'an 2000 dû à la notation sur deux chiffres des
années, les informaticiens s'attaquent-ils déjà à prévenir le bug de
l'an 10000 dans les standards utilisés quotidiennement ?
Réponse à la rubrique 14.
--[ 3. Photos du rallye du Var ]-----------------------------------------
HSC sponsorise une Peugeot 106 16S qui participe à certains rallyes
du championnat de France. La voiture a pour copilote Olivier Dembour,
consultant HSC. Retrouvez les photos du rallye du Var sur le web :
http://www.hsc.fr/societe/sponsoring/
--[ 4. Prix de l'Innovation des Assises de la Sécurité ]----------------
Pour la 4ème année consécutive sera décerné le Prix de l'Innovation
des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
7 au 10 octobre 2009. Le comité de sélection du Prix 2009 est composé de :
Hervé Schauer, HSC, animateur du comité de sélection
Didier Gras, RSSI Groupe BNP Paribas, co-animateur
Jean Capron, RSSI France, Philips
David Crochemore, FSSI, Ministère de la Justice
Thierry Olivier, Responsable Sécurité du SI, SFR
Benoît Perrot, Directeur d'investissement, ACE Management
Sylvain Thiry, RSSI Groupe SNCF
Alexandre Zapolski, Président Directeur Général Linagora
Réda Zitouni, CEO Mobiquant (société lauréate en 2008)
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès aux Assises
de la Sécurité afin de démontrer son produit ou son service, avec la
remise du prix en séance plénière le vendredi 9 octobre 2009, un espace
d'exposition et un atelier.
Les critères utilisés par le comité de sélection sont notamment :
- Le caractère innovant et nouveau de la solution présentée
- Les innovations technologiques de la solution
- L'intérêt pour les RSSI et métiers associés
- L'état d'avancement du projet
Le règlement complet et le dossier de candidature seront disponibles
en téléchargement à partir du 1er février sur le site des Assises :
http://www.lesassisesdelasecurite.com/, rubrique Prix de l'Innovation.
Le dossier complet doit être envoyé sous format électronique avant le
30 mai 2009 à l'adresse prixinnovation at lesassisesdelasecurite.com.
N'hésitez pas à renvoyer cette annonce et à faire part de votre intérêt
à candidater auprès d'Hervé Schauer ou de Didier Gras.
--[ 5. Nouveautés du web HSC ]------------------------------------------
- Article "L'abécédaire de la norme ISO 27005" par Anne Lupfer, publié
dans Global Security Mag au mois de novembre 2008
http://www.hsc.fr/ressources/articles/globalsecuritymag_abecedaire_iso27005/index.html.fr
--[ 6. Agenda des interventions publiques ]-----------------------------
- 4 février 2009 : "Espace RSSI du CLUSIF" - Paris
"Virtualisation et sécurité"
Nicolas Collignon et/ou Julien Raeis
http://www.clusif.fr/
- 10 février 2009 : Microsoft TechDays 2009 - Paris
"Normes ISO 27001 / ISO 27002 : Principes de base et aspects techniques"
Benjamin Arnault et Alexandre Fernandez-Toro
http://galilee.microsoft.fr/TechDays2009/Parcours.aspx?DomID=45c57d36-0636-4d7e-815b-b9426ca5a245
- 17 mars 2009 : JSSI de l'OSSIR - Paris
Animation de la table-ronde - Hervé Schauer
http://www.ossir.org/
- 1 avril 2009 : Conférence "Solutions Linux 2009" - Paris
Animation de la session sécurite - Hervé Schauer
http://www.solutionslinux.fr/
- 2 avril 2009 : Conférence "Sécurité et SI" organisée par DPM - Paris
"Politiques de sécurité" - Hervé Schauer
[Voir le site web de DPM Services]/Journee-Securite-et-SI.html
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 7. Veille en vulnérabilités HSC ]-----------------------------------
1396 10-12-2008 Multiples vulnérabilités dans les produits Microsoft
1397 17-12-2008 Vulnérabilité critique dans Internet Explorer
--[ 8. Nouvelle formation : Développement sécurisé en PHP par la pratique ]
PHP, langage à failles de sécurité ? Comment programmer correctement
en PHP ? Comment augmenter le niveau de sécurité des applications PHP ?
La formation proposée par HSC permet à chaque stagiaire de découvrir les
types de vulnérabilités rencontrées sur les applications PHP afin
d'apprendre à implémenter un code sécurisé.
Chaque type de vulnérabilité est abordé en 4 phases :
- explication théorique ;
- présentation des risques liés à l'exploitation de la vulnérabilité ;
- présentation des méthodes permettant d'implémenter un code sécurisé ;
- travaux pratiques permettant de s'assurer de la bonne compréhension.
Chaque apprenant dispose d'un PC portable et d'une machine virtuelle
comprenant un ensemble de sites Web vulnérables avec comme principal
objectif de corriger les vulnérabilités.
Cette formation est assurée par les consultants réalisant les audits de
sécurité d'applications PHP.
La première session est à Paris du 9 au 11 février 2009.
Objectifs, public visé, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/programmation_php.html.fr
--[ 9. Dernières places à saisir : PCI-DSS et IAM ]----------------------
Il reste des places pour les formations en janvier :
* L'essentiel de PCI-DSS le 13 janvier 2009
* Gestion des identités et des accès du 14 au 16 janvier 2009
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
PCI-DSS, le standard sécurité imposé par l'industrie de la carte
de paiement : d'où vient ce standard ? Qui doit s'y conformer ? Comment s'y
conformer ? La formation "L'essentiel de PCI-DSS" répond en une journée
à vos questions, vous donne les principales obligations du standard et
vous propose un plan de mise en conformité. Quiconque gère, stocke ou
transmet des informations venant des cartes de crédit saura à l'issue de
la formation quelles mesures de sécurité il doit prendre pour pouvoir
continuer à le faire.
Cette formation est délivrée par Rodolphe Simonetti de la société
Verizon, consultant en sécurité et auditeur PCI-DSS (QSA) depuis plusieurs
années.
Objectifs, public visé, formateur et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/essentiel_pcidss.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Gestion des identités, annuaire partagé, IAM, role-based-management, etc.
Comment s'y préparer ? Quelle est l'utilité du projet aux métiers ? Comment
architecturer, financer, dimensionner, organiser, déployer ? Cette nouvelle
formation "Gestion des identités et des accès" vous permet de disposer de tout
ce que vous devez savoir pour vous mener vers un système opérationnel et
optimal de gestion des identités et des accès dans votre organisation.
Cette formation est délivrée par Thierry Durand de la société Phorcys,
ancien RSSI et responsable de la gestion des identités chez Peugeot, avec
un complément technique apporté par HSC.
La première session est à Paris du 14 au 16 janvier 2009.
Objectifs, public visé, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/gestion_des_identites.html.fr
--[ 10. Nouveau partenaire au Luxembourg ]------------------------------
HSC a un nouveau partenaire au Luxembourg : Verizon. Les formations
Verizon au Luxembourg sont commercialisées par Dimension Data Luxembourg.
HSC continuera avec ce nouveau partenaire à vous proposer ses formations
dispensées par deux consultants, en premier lieu Alexandre Fernandez-Toro
et Hervé Schauer, et toujours par des consultants expérimentés qui partagent
avec les stagiaires leur retour d'expérience dans la mise en oeuvre de
SMSI et dans l'audit de certification.
Les dates des formations à Luxembourg sont les suivantes :
ISO 27001 Lead Auditor .............. : 25 au 29 mai 2009
ISO 27005 Information Security Risk Manager : 22 au 24 juin 2009
ISO 27001 Lead Implementer .......... : 12 au 16 octobre 2009
Les prix sont identiques aux prix pratiqués à Paris et la certification
demeure celle délivrée par LSTI (www.lsti.fr).
Pour vous inscrire contactez Sylvie Favaut -- Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
--[ 11. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
PCI-DSS ............................. : 13 janvier 2009
Gestion des identités et des accès .. : 14 au 16 janvier 2009
ISO 27001 Lead Auditor .............. : 19 au 23 janvier 2009
ISO 27001 Lead Implementer .......... : 26 au 30 janvier 2009
ISO 27005 Risk Manager ............... : 4 au 6 février 2009
Développement sécurisé en PHP par la pratique: 9 au 11 février 2009
Sécurité Windows .................... : 2 et 3 mars 2009
Sécurité Unix et Linux .............. : 4 et 5 mars 2009
Fonctionnement des PKI .............. : 6 mars 2009
Réalisation pratique des Tests d'Intrusion : 9 au 13 mars 2009
ISO2000-1 Lead Auditor .............. : 16 au 20 mars 2009
Formation RSSI ...................... : 30 mars au 3 avril 2009
- Fort-de-France (Martinique)
ISO 27001 Lead Auditor .............. : 11 au 15 mai 2009
- Genève (Suisse)
ISO 27005 Information Security Risk Manager : 18 au 20 février 2009
ISO 27001 Lead Implementer .......... : 4 au 8 mai 2009
ISO 27001 Lead Auditor .............. : 9 au 13 novembre 2009
- Liège (Belgique)
Sécurité des réseaux et des transmissions : 16 au 18 mars 2009
Sécurité des serveurs et applications web : 19 et 20 mars 2009
- Luxembourg
ISO 27001 Lead Auditor .............. : 25 au 29 mai 2009
ISO 27005 Information Security Risk Manager : 24 au 26 juin 2009
ISO 27001 Lead Implementer .......... : 12 au 16 octobre 2009
- Lyon
ISO 27005 Information Security Risk Manager : 22 au 24 avril 2009
ISO 27001 Lead Auditor .............. : 7 au 11 décembre 2009
- Nice
ISO 27001 Lead Implementer .......... : 29 juin au 3 juillet 2009
- Papeete (Tahiti)
ISO 27001 Lead Auditor .............. : 16 au 20 février 2009
- Strasbourg
ISO 27001 Lead Auditor .............. : 9 au 13 février 2009
- Toulouse
ISO 27001 Lead Implementer .......... : 2 au 6 mars 2009
ISO 27005 Information Security Risk Manager : 13 au 15 mai 2009
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Genève contactez également Lynda Benchikh, HSC est
désormais l'organisateur des formations à Genève.
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 12. Offres d'emplois ]----------------------------------------------
HSC recherche :
- Trois consultants débutants intéressés par la sécurité autour des normes
ISO 27001
- Deux consultants expérimentés sur l'organisation de la sécurité afin
de piloter des missions auprès de grands comptes
- Un administrateur système et réseau, webmestre et logisticien
- Un développeur Flash/XML
Au delà de ces recherches actives, tous les autres profils sont
invités à faire des candidatures spontanées. HSC recrute réellement.
Les postes sont basés à Levallois-Perret, à 5 minutes de la gare de
Paris Saint-Lazare, dans 400m2 de bureaux climatisés.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Les consultants ISO 27001 réaliseront des prestations de conseil,
d'expertise, d'audit, d'accompagnement et de formation en sécurité,
typiquement dans la mise en oeuvre et l'audit de SMSI, la gestion de
risque en sécurité de l'information, et de manière plus générale tout
ce qui touche à l'organisation de la SSI.
HSC propose un programme de 3 à 8 semaines de formations accessible à
tous les nouveaux embauchés, permettant un apprentissage sans équivalent
par des experts de chaque domaine.
L'équipe est jeune et dynamique mais aussi expérimentée, et se caractérise
également par son éthique et son indépendance qui lui donne une richesse
unique depuis 20 ans.
HSC propose des salaires très motivants, et permet des augmentations de
salaire rapides, fréquentes, et conséquentes. Diverses primes sont
également en usage. Chaque consultant qui fait ses preuves est réellement
reconnu rapidement.
Lorsqu'ils quittent HSC, en moyenne après 6 ans, les consultants ont une
très belle carrière qui s'ouvre à eux. Les anciens consultants passés chez
HSC depuis 20 ans sont là pour le démontrer sans exception.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en français, et une maîtrise de l'informatique et des technologies.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
HSC recherche un administrateur système et réseau, de formation BTS ou
IUT, qui soit autonome, capable de prendre des décisions rapidement en
fonction des besoins, qui sache analyser les journaux système et réseau,
ayant de bonnes compétences en système Linux, Solaris, AIX et Windows, et
routeurs CISCO. Une compétence dans les produits VMware et Asterisk (VoIP)
serait un plus.
Les tâches attribuées à ce poste seront de veiller au bon fonctionnement de
toute l'infrastructure (réseau, serveurs, sécurité périmétrique), de gérer
les sauvegardes, de veiller à la sécurité des équipements internes et
périmétriques, de gérer le web interne et le web externe. Cette dernière tâche
sera importante et une connaissance du langage WML (http://www.thewml.org/)
serait un plus. Il sera responsable de la logistique et des moyens généraux,
et préparera les salles de travaux pratiques (postes clients et
infrastructure).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv-admin at hsc.fr.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Dans le cadre du développement de son pôle e-learning, HSC recherche
un developpeur et animateur Flash et XML. Il sera intégré au pôle e-learning
et aura à charge la conception et la réalisation multimédia sur les
productions Flash (sites, applications dynamiques et animations) dont il
prendra en charge tout ou partie de l'intégration et du développement
fonctionnel. Outre un bon niveau en programmation ActionScript (POO, Flash
dynamique via XML et AMFPHP), un intérêt ou une connaissance du
e-learning serait un plus.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV accompagné de l'adresse de votre portfolio par courrier électronique
à cv-dvlp at hsc.fr.
--[ 13. Actualité des associations : Club 27001 et OSSIR ]--------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Toulouse le vendredi 16 janvier après-midi chez
Alcatel-Lucent à Colomiers :
- Présentation des résultats des travaux du groupe de travail ITIL -
ISO 27001 par Liliane Tonon, Alcatel-Lucent
- Retour sur la seconde conférence annuelle du Club 27001
. Prochaine réunion à Paris le jeudi 22 janvier après-midi chez Devoteam
à Levallois-Perret :
- Gouvernance et pilotage de la sécurité de l'information par
Pierre De Thomasson, Hapsis
- PCI-DSS / ISO 27001 : une approche commune a t-elle du sens ?
par Rodolphe Simonetti, auditeur PCI-DSS chez Verizon
o OSSIR (http://www.ossir.org/)
. L'assemblée générale ordinaire annuelle de l'OSSIR se tiendra le mardi
13 janvier de 9h30 à 12h30 à l'ENSAM à Paris.
Hervé Schauer, dont le mandat prenait fin en 2008, se représente au
poste d'administrateur.
. Prochaine réunion à Paris le mardi 13 décembre après-midi à l'ENSM
à Paris :
. Prochaines réunions à Rennes et Toulouse fin du premier trimestre
. Première réunion à Lyon prochainement !
--[ 14. Le saviez-vous ? La réponse ]-----------------------------------
Oui : la messagerie électronique est déjà prête à passer l'an 10000.
Depuis RFC 2822 "Internet Message Format", confirmé par sa mise à
jour RFC 5322 en octobre 2008, la codification de l'année du champ "Date: "
n'est pas limitée à quatre chiffres. Ainsi, après l'an 9999, nous ne
verrons pas arriver l'an 0 mais bien l'an 10000. La prévention du bug de
l'an 10000 est même explicitement mentionnée dans l'appendice B :
"Four or more digits allowed for year."
Du moins, dans la messagerie électronique.
Pour rappel, ce RFC décrit le format des messages électroniques, sans
s'intéresser au contenu (MIME), ni au protocole d'échange entre serveurs
intermédiaires (SMTP), pas plus que le POP ou l'IMAP. Ce RFC décrit donc
notamment les conventions relatives aux en-têtes ("From: ", "Date: ",
"User-Agent: ", "Message-ID: ", etc).
La publication de RFC 5322 en octobre dernier s'est accompagnée de la
publication de RFC 5321 (mettant à jour RFC 2821) sur le SMTP.
Par contre, qu'en sera-t-il du bug de l'an 2038, beaucoup plus proche de
nous ?
Pour rappel, ce bug vient du codage sur un entier signé de 32 bits dans les
architectures actuelles. Un rapide calcul :
$ echo "2^31/(3600*24*365) + 1970" | bc
2038
nous montre que la limite approche de l'an 2038. Le calcul exact montre que la
date fatidique est le 19 janvier 2038 à 03:14:07 UTC.
Lorsque l'on voit les bugs des little et big-endian aujourd'hui, les
integer overflows, et autres bugs intimement liés aux architectures
matérielles, qu'en est-il des nombreuses applications critiques, très
anciennes, métier ou middleware, SAP ou mainframes, que l'on rencontre
régulièrement dans les infrastructures à haute disponibilité ? Nous
espérons tous ne pas attendre 2038 pour découvrir la réponse.
Plus d'informations sur la liste de diffusion newsletter