[Newsletter HSC] N°60 - Août 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 4 Aou 12:20:16 CEST 2009
========================================================================
HSC Newsletter -- N°060 -- août 2009
========================================================================
"De temps en temps, il faut se reposer de ne rien faire."
[Jean Cocteau]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. Nouveau service "Plan de continuité et de maintien Grippe A"
4. Nouvelle formation : "Juridique de la SSI"
5. Nouvelle formation : "Gérer la sécurité du SI avec les tiers"
6. Nouveautés du web HSC
7. Agenda des interventions publiques
8. Veille en vulnérabilités HSC
9. Nouveau web "www.hsc-formation.fr"
10. Nouveau : E-Learning ISO27001 et PHP
11. Prochaines formations HSC
12. HSC aux Assises de la Sécurité à Monaco
13. Actualité des associations : Club 27001, Club PCA et OSSIR
14. Le saviez vous ? La réponse
--[ 1. Editorial - Elisabeth Manca ]------------------------------------
Les locaux d'HSC sont souvent plus calmes l'été. Les formations prennent
leur pause. Les consultants vont s'informer de l'avenir de la sécurité
dans les grands rendez-vous internationaux, de l'autre coté de l'Atlantique.
Certains suivent le tour de France. Une bonne odeur de vacances flotte dans
le couloir.
Mais cette année, cela ne se passe pas ainsi. Nonobstant les odeurs de
peinture fraîche de ce fameux couloir bien connu de nos clients, HSC mène
un grand projet : définir et mettre en place son plan de continuité pour
gérer le risque de la pandémie grippale.
Début juillet, Hervé Schauer comme tout bon dirigeant d'entreprise a été
sensibilisé par la circulaire de la Direction Générale du travail et demande
donc à ses collaborateurs d'étudier les conséquences et de lui proposer une
démarche globale.
Raphaël Marichez qui traversait le couloir en évitant les pots de peinture
à ce moment là, a été désigné responsable du projet. Et tout a donc commencé.
Consultant expérimenté, il a recueilli les informations nécessaires à la
réalisation de sa mission. Ce fût un travail peu aisé dans la cacophonie
des annonces grand public, de l'expérience sans conclusion de la précédente
pandémie (pour rappel : aviaire). Finalement, il a décidé de retenir le bon
sens comme référentiel principal.
Il a présenté sa démarche à la direction qui l'a validée tout en émettant
quelques demandes complémentaires : « il faut trouver ce fameux masque,
je veux le tester pour voir si on peut travailler avec ! ».
Le chef de projet a de façon diligente vérifié la possibilité de cet
approvisionnement et sa démarche auprès de la pharmacie de proximité a
été efficace.
Les prémices se déroulant aussi bien, les étapes traditionnelles peuvent
suivre. La première fut de réaliser une analyse d'impacts.
Pour maintenir le sujet sur le périmètre usuel de la newsletter d'HSC,
nous ne parlerons que des mesures de sécurité ayant trait au système
d'information.
Après réflexion collégiale, le risque majeur va être l'indisponibilité des
acteurs de l'entreprise de façon simultanée et sur une période non
prévisible. Les statistiques du faible taux de mortalité nous mettent à
l'abri d'une perte définitive.
« - C'est pas si grave, c'est normal d'avoir des gens malades. »
Mais si l'on traduit les informations fournies par la circulaire, cela
donnera quand même un taux d'absentéisme élevé ; voire même de nombreux
consultants malades en même temps, ou avec la contrainte de rester chez
soi et de plus avec des limitations de déplacement pour les utilisateurs
des transports collectifs... soit 70% du personnel de l'entreprise.
L'estimation du taux de contamination est de 35% de la population française.
Réponse de bon sens : il va falloir envisager que les responsables des
processus n'aient pas un seul remplaçant comme aujourd'hui, mais plusieurs
et formés, de préférence n'ayant pas les mêmes risques de contamination.
« - Si les transports collectifs sont interdits, que les écoles sont fermées
et obligent les parents à garder les enfants à la maison, ceux qui resteront
chez eux feront du télétravail ! »
Mais tous les employés n'ont pas un accès distant au système d'information
de l'entreprise ! Et cela ne permet pas de réaliser les missions qui
nécessitent d'être face au client !
Réponse de bon sens : il faut élargir les moyens d'accès à distance à la
population qui n'en est pas munis et proposer dans nos offres commerciales
des solutions pour aménager au mieux les interventions sur site liées aux
contrats.
« Si les personnes, qui ont l'autorisation pour les accès administrateur
sur les composants du SI, sont tous malades en même temps, certaines
opérations vont être bloquées, d'ailleurs on n'appliquera plus les mises
à jour sur les serveurs ! »
Réponse de bon sens : il faut vérifier que les procédures soient toutes à
jour et qu'en cas de situation critique, un intervenant inhabituel ait
l'autorisation de les utiliser pour réaliser l'opération.
« Toutes ces mesures, cela va demander des autorisations exceptionnelles
du RSSI et de la direction avec une réponse rapide et s'ils ne sont pas
là, eux aussi ? Il faudra contrôler toutes ces exceptions. »
Réponse de bon sens : il faut préparer des circuits rapides avec une liste
d'interlocuteurs exceptionnellement autorisés à valider par téléphone ou
messagerie les prises de décisions. Et après la situation de crise, il
faudra faire quelques audits et analyser les résultats des moyens de
contrôle pour valider un retour arrière maîtrisé.
« Ça va être la panique, les gens vont être perdus, ils ne sauront plus quoi
faire ! »
Réponse de bon sens : il faut communiquer aux personnes concernées toutes
ces mesures exceptionnelles, d'ailleurs elles vont s'accompagner des
règles d'hygiène proposées par la médecine du travail et la direction du
personnel.
« Nos clients vont être déstabilisés, on va perdre du chiffre d'affaire »
Réponse de bon sens : bien sûr que les affaires vont être ralenties,
surtout si nos clients n'ont plus le droit de venir assister à nos
formations, le passage en phase 6 prévoit la possibilité de fermer les
centres de formation. Mais en leur communiquant que nos activités seront
maintenues, sur des dates de report déjà prévues, et qu'il n'y aura
pas de conséquences majeures pour l'entreprise, nous garderons leur confiance.
La direction d'HSC s'est rendue compte que les risques majeurs allaient
être couverts par des mesures de bons sens accessibles à son budget. La
direction peut se consacrer à gérer les affaires et le maintien de
l'activité. Elle a validé les plans d'actions portant sur la réorganisation
des responsabilités des activités et la gestion des exceptions.
Depuis, nous les mettons en oeuvre calmement. Les consultants ont mûri de
cette expérience. Nous avons repris notre rythme d'avant vacances et
admirons notre beau couloir.
En lecteur attentif, qu'allez vous donc retenir de ces quelques lignes ?
Que HSC va avoir un couloir tout neuf pour vous accueillir lors de votre
prochaine formation ?
Que les acteurs de la sécurité du SI doivent toujours être au coeur de la
gouvernance de leur entreprise ?
Qu'un RSSI, exerçant seul sa mission et ses responsabilités, a aussi besoin
de(s) remplaçant(s) et de pouvoir déléguer en cas d'absence ?
Qu'après la crise internationale, les activités vont subir un nouveau
ralentissement de par la pandémie grippale ?
Qu'il faut bien se laver les mains ?
Que les RSSI seront réquisitionnés sur la grippe A et devront laisser
de coté la SSI ?
Un peu tout cela sûrement et HSC espère que vous passerez quand même de
bonnes vacances reposantes.
--[ 2. Le saviez vous ? La question ]-----------------------------------
Comment exécuter des commandes sur un serveur MSSQL à l'aide de la procédure
sotckée xp_cmdshell sans utiliser les caractères ' ou " ?
--[ 3. Nouveau service "Plan de continuité et de maintien Grippe A" ]---
Nouvelle offre de services : Plan de Continuité et du Maintien des
Capacités Opérationnelles Grippe A : PCMCO.
Les autorités, les assurances et les clients, demandent à chaque
entreprise d'intégrer dans son plan de continuité "pandémie grippale",
un volet portant sur le périmètre du système d'information.
Habitués de la mise en place des plans de reprise et de continuité, les
acteurs de la sécurité des systèmes d'information sont donc en première ligne.
HSC a développé une offre pour accompagner ses clients dans le contexte
particulier de la grippe A prévue cet automne. Le besoin identifié avec nos
clients est d'ajouter un volet maintien des capacités opérationnelles à un plan
de continuité des activités traditionnel. La démarche HSC intègre les quatre
étapes du plan de continuité : Plan, Do, Check, Act.
PLAN :
Objectif : organiser les opérations ainsi que le plan de continuité
et de maintien des capacités opérationnelles spécial grippe A.
Dans un contexte où un plan de continuité des activités existe déjà, HSC
propose la mission d'assistance suivante :
- Revoir le plan de continuité pour vérifier son applicabilité dans un
contexte de pandémie grippale A, en effet les risques sont spécifiques :
fort absentéisme, déplacements limités, désorganisation de la vie
économique mais d'une manière différente du cas de la grippe aviaire.
- Ajout du volet maintien des capacités opérationnelles.
Dans un contexte client où aucun plan de continuité n'existe, HSC propose
la mission d'assistance suivante :
- Définir rapidement le plan de continuité et du maintien des capacités
opérationnelles en prenant en compte les spécificités de l'entreprise
concernée, et en créant une organisation simple et cohérente avec les
risques et conséquences business envisageables.
DO :
Objectif : Mettre en place le plan de continuité et de maintien
des capacités opérationnelles spécial grippe A dans un délai rapide.
HSC propose les missions d'assistance suivantes :
- Définir le plan d'actions pour la mise en place des projets spécifiques
découlant du PCMCO.
- Mettre en place les actions suivantes :
- Mise à jour de la documentation.
Dans un contexte ou les interlocuteurs habituels pourront être absents
brutalement, il est nécessaire pour les intervenants de remplacement
d'avoir des documents et procédures à jour et immédiatement
opérationnels. Ce sera le facteur primordial de la réussite du
déroulement des opérations du PCMCO.
- Formation des intervenants du PCMCO sous la forme d'un e-learning
personnalisé selon les règles et procédures de l'organisme.
Le plan national de prévention et lutte "Pandémie Grippale" pourra
maintenir les employés des entreprises à leur domicile. Il sera
nécessaire de pouvoir les former, informer et contrôler leur maîtrise
des processus exceptionnels par un moyen adapté à ce contexte. HSC,
expert de la formation, a conçu des modules d'apprentissage adaptables
à chaque entreprise de type e-learning, intégrant une étape de
validation des acquis.
Exemples sur http://www.hsc.fr/services/pcmco.html.fr
CHECK :
Objectif : Vérifier que l'organisme est prêt, vérifier que les
procédures exceptionnelles n'ont pas de conséquences en terme de
sécurité de l'information.
HSC propose les missions d'assistance suivantes sous la forme de tests
d'intrusion et d'audits :
- A l'issue de la mise en oeuvre des projets découlant du PCMCO, vérifier
par la réalisation d'exercices si les procédures fonctionnent, si les
utilisateurs maîtrisent les actions de secours, si le niveau de sécurité
est maintenu. Les résultats sont accompagnés de préconisations pour
améliorer le déclenchement du PCMCO et son déroulement.
- Après le déclenchement du PCMCO, HSC propose de vérifier que les
activités exceptionnelles sont réalisées en toute sécurité particulièrement
sur les plate-formes d'accès pour le télétravail. De même il sera
nécessaire d'identifier rapidement que les administrateurs de remplacement
n'ont pas créé de failles sur les éléments de l'infrastructure serveurs
et réseaux du fait de leur non expérience.
- A la fin de la période de crise, alors que le retour à la normale est
prononcé, il faut vérifier que les procédures de retour arrière sont
bien toutes exécutées : suppression des droits exceptionnels des
utilisateurs, retrait des accès VPN...
ACT :
Objectif : analyser le déroulement des opérations du PCMCO, en tirer
des enseignements pour l'améliorer
HSC propose les missions d'assistance suivantes :
- Etudier les activités qui auront eu lieu depuis le déclenchement et le
comportement du système d'information pour identifier les potentiels
incidents ou erreurs commises et leurs raisons.
- Consolider les résultats des audits après le retour arrière pour valider
le retour à la normale.
- Mettre à jour le PCMCO selon les résultats des analyses précédentes.
Pour en savoir plus : http://www.hsc.fr/services/pcmco.html.fr
ou contactez Matthieu Hentzien : sales at hsc.fr -- +33 141 409 705
--[ 4. Nouvelle formation : "Juridique de la SSI" ]-----------------------
Combien de temps conserver ses journaux et quelles sont les personnes
autorisées à les manipuler ? Quelle est la responsabilité pénale ou
civile du RSSI ou de l'administrateur système ? Comment réagir face à
une menace de plainte en diffamation et comment exonérer la
responsabilité du prestataire technique ? Comment caractériser et
prouver une intrusion dans son système d'information et le montant des
dommages ? Quelles sont les limites de la cybersurveillance ? Comment
déboguer la messagerie sans violer le secret des correspondances ?
Comment assurer la protection des secrets de l'organisation avec une
informatique mobile et concernée par le respect de la vie privée ?
Les questions juridiques que se posent la plupart des responsables
techniques ou organisationnels de la SSI tiennent en dix lignes, mais
les réponses dépendent du contexte de chacun. Or, après une période de
flou réel ayant donné lieu à plusieurs idées reçues, les dernières
années ont considérablement précisé et fiabilisé les cadres légaux et
juridiques autour de la SSI. Depuis plusieurs années, les consultants
HSC ont confronté les attentes de leurs clients aux textes légaux et aux
décisions juridiques dans ce domaine.
Cette formation de deux journées est à destination de toutes les
personnes du métier de la SSI qui sont amenées à prendre des décisions à
leur niveau : administrateurs systèmes et réseaux, astreintes
opérationnelles, maîtrises d'oeuvre de la SSI, RSSI, chefs de projet et
responsables de comptes. Conçue par des non-juristes pour être
directement applicable sur le terrain, cette formation s'appuie sur des
formations universitaires juridiques, une veille juridique permanente de
la SSI, et la participation à plusieurs groupes de travail et
associations juridico-techniques.
Elle décrit en langage concret les notions de "STAD", "données à
caractère personnel" ou de "création de contenu", et pointe du doigt les
idées reçues. Après le rappel des fondamentaux juridiques français et
des conditions de transferts de responsabilités, elle aborde des thèmes
tels que la vie privée sur le lieu de travail, le statut de l'adresse
IP, les bonnes pratiques de journalisation pour pouvoir constituer un
bon dossier de preuves dans le respect de la licéité, les régimes des
opérateurs, des hébergeurs et des éditeurs, la propriété intellectuelle
et les noms de domaines et les limites de la compétence territoriale des
juridictions françaises sur internet.
La formation est ponctuée d'exercices de réflexion incitant à la
recherche personnelle des possibilités de réponses juridiques et de jeux
de rôles inspirés de faits réels. Elle ne demande pas de préalable
juridique, mais une expérience opérationnelle de la SSI et de l'exercice
des responsabilités est souhaitée afin d'assurer la richesse et
l'efficacité des exercices.
Durée : 2 jours
Formateur : Raphaël Marichez
Première session à Paris les 30 novembre et 1er décembre 2009.
http://www.hsc-formation.fr/formations/juridique.html.fr
--[ 5. Nouvelle formation : "Gérer la sécurité du SI avec les tiers" ]--
Comment gérer les relations avec les tiers qui interagissent avec la
sécurité de l'information ?
Tout organisme a des relations de plus en plus étroites avec des tiers,
qu'ils soient fournisseurs, partenaires, clients, autorités de tutelle, etc.
Les tiers sont de plus en plus impliqués dans des applications critiques
ou des données vitales pour son organisme.
Cette formation explique comment mettre en oeuvre une démarche étape
par étape, pour formaliser les engagements et les échanges qui encadreront
la sécurité du SI durant le cycle de vie d'un projet ou d'un service
entre un organisme et ses tiers, en incluant notamment :
- Appréciation des risques afin de déterminer les impacts sécurité et
les mesures nécessaires pour autoriser l'accès aux informations ou
aux moyens de traitement à des tiers ;
- Rédaction du Plan d'Assurance Sécurité ;
- Rédaction des engagements de service (SLA) dédiés sécurité ;
- Moyens de contrôle par les audits et les indicateurs constituant
son tableau de bord.
Afin de fournir une méthodologie fondée sur des référentiels internationaux,
les aspects reliés à la problématique de la gestion de la sécurité du SI
avec les tiers des séries de normes ISO 27000 et ISO 20000 sont présentés.
La formation intègre des exercices pratiques, basés sur l'expérience
des consultants. Les exercices présentent des situations aussi bien du
côté client que fournisseur avec des plans de livrables et un catalogue
d'indicateurs sécurité pragmatiques.
Durée : 3 jours
Formateurs : Elisabeth Manca, responsable de la formation
Raphaël Marichez et Hervé Schauer
Première session à Paris du 26 au 28 octobre 2009.
http://www.hsc-formation.fr/formations/gestion_SSI_tiers.html.fr
--[ 6. Nouveautés du web HSC ]------------------------------------------
- Présentation "Sécurité et gouvernance du SI" par Hervé Schauer le 2
juillet 2009 à l'université du SI organisée par Octo Technology
http://www.hsc.fr/ressources/presentations/octo09/
- Présentation "RGS (Référentiel Général de Sécurité)" par Emeric Laroche
le 11 juin 2009 au Club 27001 à Paris
http://www.hsc.fr/ressources/presentations/club-27001-rgs/i
--[ 7. Agenda des interventions publiques ]-----------------------------
- 8 septembre 2009 : OSSIR Paris
"Compte-rendu de la conférence Blackhat USA 2009" - Christophe Alladoum
et Julien Raeis
http://www.ossir.org/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 8. Veille en vulnérabilités HSC ]-----------------------------------
1431 29-07-2009 Déni de service distant dans Bind
1430 15-07-2009 Exécution de code à distance dans Firefox 3.5
1429 15-07-2009 Multiples vulnérabilités dans Microsoft Windows
1428 15-07-2009 Débordement de buffer dans le client DHCP de l'ISC
--[ 9. Nouveau web "www.hsc-formation.fr" ]-----------------------------
HSC a lancé le 1er juillet son nouveau site web dédié à la formation :
http://www.hsc-formation.fr/
Plus de clarté et lisibilité ! Ce site regroupe les offres de
formation et de e-learning. Le site web d'HSC www.hsc.fr, demeure le
site principal et expose l'offre de conseil, d'audit technique et
organisationnel, de tests d'intrusions et d'accompagnement en SSI.
--[ 10. Nouveau : E-Learning ISO27001 et PHP ]--------------------------
HSC propose deux formations en e-learning :
* E-learning ISO 27001
Pour ceux impliqués dans la mise en oeuvre d'un SMSI.
Temps total : 8 heures
http://www.hsc-formation.fr/e-learning/iso_27001.html.fr
* E-learning Programmation sécurisée en PHP
Pour ceux impliqués dans le développement d'applications web en PHP
Temps total : 11 heures
http://www.hsc-formation.fr/e-learning/programmation_php.html.fr
Démonstration disponible sur :
http://www.hsc-formation.fr/e-learning/ordi_php.swf
Les e-learnings HSC sont entièrement développés en Flash. Ils incluent
pour chaque module des activités d'enseignement, d'apprentissage et de
validation des acquis.
Rendez-vous sur http://www.hsc-formation.fr/
Pour tout renseignement et pour vous inscrire, contactez Adrien Pasquier :
elearning at hsc.fr -- +33 141 409 703
--[ 11. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27005 Risk Manager .............. : 31 août au 2 septembre
Essentiels de l'ISO 27001 ............ : 3 et 4 septembre
ISO 27001 Lead Implementer .......... : 7 au 11 septembre (C)
ISO 20000-1 Lead Auditor ............. : 7 au 11 septembre
Fondamentaux techniques de la SSI ... : 14 et 15 septembre
Gestion des identités et des accès .. : 16 au 18 septembre
ISO 27001 Lead Auditor .............. : 21 au 25 septembre (G)
ISO 27005 Risk Manager .............. : 28 au 30 septembre (G)
Mesures de sécurité ISO 27002 ........ : 1 et 2 octobre
Formation RSSI ....................... : 5 au 9 octobre (G)
Réalisation pratique des Tests d'Intrusion : 12 au 16 octobre (*) (G)
ISO 27001 Lead Implementer .......... : 19 au 23 octobre (C) (G)
Gérer la sécurité du SI avec les tiers : 26 au 28 octobre
DNS par la pratique .................. : 26 octobre (*)
Postfix par la pratique ............. : 27 octobre (*)
Lutte contre le spam par la pratique . : 28 octobre (*)
Fonctionnement des PKI ............... : 29 octobre
Sécurité de la VoIP .................. : 30 octobre
Sécurité des réseaux et des transmissions : 2 au 4 novembre
Sécurité des serveurs et applications web : 5 et 6 novembre
Sécurité Unix et Linux ............... : 9 et 10 novembre
Sécurité Windows ..................... : 12 et 13 novembre
Réalisation pratique des Tests d'Intrusion : 16 au 20 novembre (*) (G)
Certification ISO 27001 .............. : 16 novembre
Mutualisation ISO 27001/autres référentiels : 17 novembre
Sécurité du WiFi et des réseaux sans fil : 18 novembre
Indicateurs et tableaux de bord SSI .. : 20 novembre
Juridique de la SSI ................. : 30 novembre & 1 décembre
Essentiels de PCI-DSS ................ : 1er décembre
(*) : formations pratiques avec un ordinateur par stagiaire
(C) : formations complètes au niveau des pré-inscriptions
(G) : information importante : en cas de déclenchement du niveau 5B ou 6
du plan national de pandémie grippale, certaines "mesures barrières de
freinage et de limitation d'extension de la maladie" risquent d'empêcher le
déroulement normal des formations (interruption des transports collectifs,
restriction des actvités professionnelles...). Dans ce cas, les personnes
inscrites ou pré-inscrites aux sessions de formation impactées se verront
proposer des places prioritaires sur des sessions de remplacement planifiées
aux mois de décembre et de janvier :
ISO 27001 Lead Auditor : surcharge du 14 au 18 décembre, puis en janvier
ISO 27001 Lead Implementer : surcharge 7 au 12 décembre, puis en janvier
ISO 27005 Risk Manager : 21 au 23 décembre
Formation RSSI : sur 4 jours du 21 au 24 décembre, ou en janvier
Réalisation pratique des Tests d'Intrusion : sur 4 jours, 21 au 24 décembre
- Genève (Suisse)
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
- Luxembourg
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
ISO 27001 Lead Auditor .............. : fin 2009
ISO 27005 Risk Manager .............. : 19 au 21 mai 2010
- Lyon
ISO 27001 Lead Implementer ........... : 21 au 25 juin 2010
- Marseille
ISO 27005 Risk Manager .............. : 29 au 31 mars 2010
- Nantes
ISO 27005 Risk Manager .............. : 16 au 18 septembre
- Strasbourg
ISO 27001 Lead Implementer .......... : 22 au 26 février 2010
- Toulouse
ISO 27005 Information Security Risk Manager : 16 au 18 novembre
ISO 27001 Lead Auditor .............. : 1 au 5 mars 2010
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc-formation.fr/
--[ 12. HSC aux Assises de la Sécurité à Monaco ]------------------------
HSC sera présent aux Assises de la sécurité 2009 les 7, 8 et 9 octobre
prochains à Monaco. Matthieu Hentzien et Lynda Benchikh seront à votre
disposition pour vos projets de prestations, de formation et de
e-learning. Retrouvez-nous sur le stand n° 67, situé dans l'espace
Pôle Santé.
http://www.lesassisesdelasecurite.com/Accueil/Partenaire/hsc.aspx
--[ 13. Actualité des associations : Club 27001, Club PCA et OSSIR ]-----
o Club 27001 (http://www.club-27001.fr/)
. Le Club 27001 ouvre les adhésions avec les cotisations.
Prix par an, entreprises : 270 euros, individuels : 27 euros
Le bulletin d'adhésion est disponible sur le site du club :
http://www.club-27001.fr/ressources/Cotisation_Club-27001.pdf
. Prochaine réunion à Paris jeudi 17 septembre 2009
Les animateurs sont en attente de propositions de présentations.
. Prochaine réunion à Toulouse le 18 septembre 2009
. Conférence annualle du Club le jeudi 19 novembre 2009, inscrivez-vous
en même temps que vous adhérez au club.
. Création d'un club 27001 à Marseille, première réunion annoncée
prochainement.
o Club PCA (http://www.clubpca.eu/)
. Publication du « Lexique structuré de la Continuité d'Activité »
http://www.clubpca.eu/xoops/partage/LIVRE-BLANC-CCA.pdf
o OSSIR (http://www.ossir.org/)
. Nouveau site web ! Visitez le nouveau site web de l'OSSIR :
http://www.ossir.org/
. Prochaine réunion à Paris le mardi 8 septembre
- Stephan Mesguich, Verdasys
- Compte-rendu de la conférence Blakhat USA 2009 par Christophe
Alladoum et Julien Raeis, HSC
. Réunion suivante le mardi 13 octobre
- Protection des données par Pascal Beaulieu, Varonis
- Retour d'expérience sur le déploiement de biométrie à grande
échelle par Sylvain Maret, e-Xpert Solutions
. Prochaine réunion à Toulouse le 22 septembre
. Prochaines réunions à Lyon et Rennes annoncées bientôt
--[ 14. Le saviez vous ? La réponse ]------------------------------------
La forme intuitive suivante ne fonctionne pas :
EXEC master..xp_cmdshell CHAR(50)+CHAR(55)+CHAR(48)+CHAR(48)+CHAR(49)
Msg 102, Level 15, State 1, Line 1
Incorrect syntax near '100'.
Deux méthodes permettant cependant de passer malgré tout des arguments à la
procédure xp_cmdshell :
1. Les crochets
La procédure stockée xp_cmdshell accepte les crochets [] comme délimiteurs de
chaîne :
EXEC master..xp_cmdshell [dir c:\]
Dans certains cas, il est impossible d'utiliser sous cette forme des commandes
contenant des espaces. Il convient alors d'utiliser la méthode suivante.
2. Les variables temporaires
Il suffit de déclarer la commande à exécuter dans une variable temporaire, du
type CHAR, VARCHAR, TEXT ou SYSNAME. Ce dernier type ne peut cependant stocker
que des valeurs de moins de 128 octets.
DECLARE @a CHAR(256);
SET @a = CHAR(100)+CHAR(105)+CHAR(114)+CHAR(32)+CHAR(99)+CHAR(58)+CHAR(92);
EXEC master..xp_cmdshell @a;
Il devient ainsi facile de passer outre certains filtrages basiques ou du type
"magic_quotes_gpc".
Plus d'informations sur la liste de diffusion newsletter