[Newsletter HSC] N°62 - Octobre 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 5 Oct 16:40:28 CEST 2009
========================================================================
HSC Newsletter -- N°062 -- octobre 2009
========================================================================
"Le secret pour avoir de la santé est que le corps soit agité et que
l'esprit se repose."
[Vincent Voiture]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. HSC partenaire des Assises de la Sécurité à Monaco
4. HSC sponsor du Forum PHP à Paris
5. Conférence annuelle du Club 27001 le 19 novembre
6. Agenda des interventions publiques
7. Veille en vulnérabilités HSC
8. Nouveau : E-Learning ISO27001 et PHP
9. Prochaines formations HSC
10. Actualité des associations : Club 27001 et OSSIR
11. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
L'éditorial est provisoirement suspendu pendant la pandémie grippale,
conformément au plan de maintien en conditions d'activités opérationnelles
d'HSC qui privilégie les autres rubriques de la Newsletter.
--[ 2. Le saviez vous ? La question ]-----------------------------------
Le serveur "BlackBerry Enterprise Server", installé dans de nombreuses
entreprises, connecté à Exchange ou à Lotus Notes, demande dans la
politique par défaut aux terminaux BlackBerry qu'il contrôle de lui
envoyer régulièrement un journal des appels voix effectués ou reçus,
avec les numéros des correspondants, et leurs noms s'ils ont été
enregistrés dans les contacts. Il peut également (mais ce n'est pas
la politique par défaut) récupérer les SMS envoyés et reçus (y compris
le contenu des SMS). Ces journaux ne sont jamais purgés et restent
(en format CSV) sur le disque du serveur BES.
Comment désactiver ces fonctions qui peuvent être gênantes pour la
vie privée et contrevenir à la législation si les journaux ne sont
pas déclarés à la CNIL ?
Réponse au paragraphe 11.
--[ 3. HSC partenaire des Assises de la Sécurité à Monaco ]-------------
HSC sera présent aux Assises de la sécurité 2009 les 7, 8 et 9 octobre
prochains à Monaco. Pour la première fois, HSC est partenaire des Assises.
Matthieu Hentzien, responsable commercial, et Lynda Benchikh, responsable
des formations, seront à votre disposition pour vos projets de prestations,
de formation et de e-learning.
Retrouvez-nous sur le stand n° 67, situé dans l'espace Pôle Santé, en
descendant vers le fond de l'exposition, dans la salle à droite.
HSC assiste les établissements de santé, leurs fournisseurs, les
institutions et les groupements professionnels dans l'initialisation et
l'accompagnement de leur SSI. HSC élabore des politiques de sécurité,
assiste à l'appréciation des risques, complète les procédures, sensibilise
les acteurs concernés, et audite la sécurité, pour des hôpitaux, la
télémédecine, le secteur de la recherche et les infogéreurs. Par exemple
HSC assiste les hébergeurs pour l'obtention de l'agrément des hébergeurs
des données de santé à caractère personnel (PAHDS).
Bien entendu, tous les secteurs d'activité et tous les RSSI seront
accueillis sur notre stand par Matthieu Hentzien et Lynda Benchikh.
Venez nombreux.
http://www.lesassisesdelasecurite.com/Accueil/Partenaire/hsc.aspx
--[ 4. HSC sponsor du Forum PHP à Paris ]-------------------------------
Le Forum PHP se déroulera les 12 et 13 novembre 2009 à la cité des
sciences et de l'industrie à Paris : http://www.afup.org/pages/forumphp2009/
En tant qu'acteur activement impliqué dans la diffusion des bonnes
pratiques de développement sécurisé dans le domaine du PHP et créateur
du e-learning "programmation sécurisée en PHP", HSC est fier de
sponsoriser pour la première fois le forum "PHP Paris 2009".
Nous vous invitons à rejoindre Adrien Pasquier, chef de projet e-learning
PHP, et Nicolas Collignon, auteur du e-learning. Venez nombreux.
E-learning : http://www.hsc-formation.fr/e-learning/programmation_php.html.fr
Forum PHP : http://www.afup.org/pages/forumphp2009/
--[ 5. Conférence annuelle du Club 27001 le 19 novembre ]---------------
Le Club 27001 (http://www.club-27001.fr/) organise sa troisième
conférence annuelle sur l'ensemble de la série des normes ISO 27001
le jeudi 19 novembre 2009 à Paris ("L'Usine" à Saint-Denis).
8h30 : Accueil
9h00 : Latest developments and trends in the 27000 family of standards
. Dr. Angelika Plate, redactrice de la norme ISO 27001
9H45 : Retour d'expérience : Certification du Call Center au Caire
. Eric Wiatrowski, directeur sécurité, Orange Business Services
10h30 : Pause
11h00 : Retour d'expérience : maintien de sa certification ISO 27001
dans le temps
. Sandrine Lanery, directeur des opérations, Easynet
11h45 : Enjeux de la certification ISO 27001 pour une direction générale
. Jean-Louis Coulon, directeur général du groupe Réunica
12h30 : Repas
14h00 : La SSI au CNRS, évolution vers un SMSI
. Francois Morris, RSSI du siège, CNRS
14h45 : Retour d'expérience en cours de confirmation
15h30 : Pause
16h00 : Adaptation de l'ISO 27001 aux PME
. Nicolas Mayer, Centre de Recherche Public Henri Tudor
16h45 : Table-ronde des organismes de certification
. Avec les principaux organismes de certification ISO 27001
17h30 : Débat sur la certification, avec les participants de la table-ronde
et la salle, animé par les responsables du Club 27001.
Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
590 euros pour les non-adhérents.
Rappel : l'adhésion au Club 27001 n'est que de :
- pour un particulier : 27 euros,
- pour une entreprise : 270 euros (donnant droit à 5 entrées à la
conférence au prix remisé), soit une économie jusqu'à 1500 euros
Le Club 27001 n'est pas soumis à la TVA.
Le bulletin d'inscription sera prochainement disponible sur le site du
Club 27001 http://www.club-27001.fr/ , ainsi que le programme détaillé.
Lieu : http://www.lusine-saintdenis.com/31-informations-pratiques
Contact : conference at club-27001.fr
--[ 6. Agenda des interventions publiques ]-----------------------------
- 8 octobre 2009 : Assises de la Sécurité - Monaco
Participation à la table-ronde "SSI dans la santé : le point de vue
des acteurs opérationnels" - Hervé Schauer
http://www.lesassisesdelasecurite.com/Accueil/atelier.aspx
- 3 décembre 2009 : Conférence JRES 2009 - Nantes
Participation à la table-ronde "D'EBIOS à la réalité du terrain, comment
mettre en oeuvre une politique de sécurité cohérente et pragmatique ?"
Hervé Schauer
https://2009.jres.org/planning?planning_aid=149
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 7. Veille en vulnérabilités HSC ]-----------------------------------
1435 09-09-2009 Vulnérabilités dans la pile SMBv2 de Microsoft Windows
1436 09-09-2009 Vulnérabilités multiples dans les produits Microsoft
--[ 8. Nouveau : e-learning ISO27001 et PHP ]---------------------------
HSC propose deux formations en e-learning :
* E-learning ISO 27001
Pour ceux impliqués dans la mise en oeuvre d'un SMSI.
Temps total : 8 heures
http://www.hsc-formation.fr/e-learning/iso_27001.html.fr
* E-learning Programmation sécurisée en PHP
Pour ceux impliqués dans le développement d'applications web en PHP
Temps total : 11 heures
http://www.hsc-formation.fr/e-learning/programmation_php.html.fr
Démonstration disponible sur :
http://www.hsc-formation.fr/e-learning/ordi_php.swf
Les e-learnings HSC sont entièrement développés en Flash. Ils incluent
pour chaque module des activités d'enseignement, d'apprentissage et de
validation des acquis. Ils sont adaptables à la demande pour chaque
client.
Rendez-vous sur http://www.hsc-formation.fr/
Pour tout renseignement et pour vous inscrire, contactez Adrien Pasquier :
elearning at hsc.fr -- +33 141 409 703
--[ 9. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Formation RSSI ....................... : 5 au 9 octobre
Réalisation pratique des Tests d'Intrusion : 12 au 16 octobre(*)(C)(G)
ISO 27001 Lead Implementer .......... : 19 au 23 octobre (C) (G)
ISO 27001 Lead Auditor ............... : 26 au 30 octobre (G)
Gérer la sécurité du SI avec les tiers : 26 au 28 octobre
DNS par la pratique .................. : 26 octobre (*)
Postfix par la pratique ............. : 27 octobre (*)
Lutte contre le spam par la pratique . : 28 octobre (*)
Fonctionnement des PKI ............... : 29 octobre
Sécurité de la VoIP .................. : 30 octobre
Sécurité des réseaux et des transmissions : 2 au 4 novembre
Sécurité des serveurs et applications web : 5 et 6 novembre
Sécurité Unix et Linux ............... : 9 et 10 novembre
Sécurité Windows ..................... : 12 et 13 novembre
Réalisation pratique des Tests d'Intrusion : 16 au 20 novembre (*) (G)
Certification ISO 27001 .............. : 16 novembre
Mutualisation ISO 27001/autres référentiels : 17 novembre
Sécurité du WiFi et des réseaux sans fil : 18 novembre
Indicateurs et tableaux de bord SSI .. : 20 novembre
Juridique de la SSI ................. : 30 novembre & 1 décembre
Essentiels de PCI-DSS ................ : 1er décembre
ISO 27005 Risk Manager .............. : 2 au 4 décembre (G)
ISO 27001 Lead Implementer .......... : 7 au 11 décembre (G)
(*) : formations pratiques avec un ordinateur par stagiaire
(C) : formations complètes au niveau des pré-inscriptions
(G) : information importante : en cas de déclenchement du niveau 5B ou 6
du plan national de pandémie grippale, certaines "mesures barrières de
freinage et de limitation d'extension de la maladie" risquent d'empêcher le
déroulement normal des formations (interruption des transports collectifs,
restriction des activités professionnelles...). Dans ce cas, les personnes
inscrites ou pré-inscrites aux sessions de formation impactées se verront
proposer des places prioritaires sur des sessions de remplacement planifiées
aux mois de décembre et de janvier :
ISO 27001 Lead Implementer : surcharge 7 au 11 décembre, puis en janvier
ISO 27001 Lead Auditor : surcharge du 14 au 18 décembre, puis en janvier
ISO 27005 Risk Manager : 21 au 23 décembre
Réalisation pratique des Tests d'Intrusion : sur 4 jours, 21 au 24 décembre
- Genève (Suisse)
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
- Luxembourg
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
ISO 27001 Lead Auditor .............. : 26 au 30 avril 2010
ISO 27005 Risk Manager .............. : 17 au 19 mai 2010
- Lyon
ISO 27001 Lead Auditor ............... : 2 au 4 juin 2010
- Marseille
ISO 27005 Risk Manager .............. : 29 au 31 mars 2010
- Niort
ISO 27005 Risk Manager .............. : février 2010
- Rennes
ISO 27005 Risk Manager .............. : 16 au 18 décembre
- Strasbourg
ISO 27001 Lead Implementer .......... : 22 au 26 février 2010
- Toulouse
ISO 27005 Information Security Risk Manager : 16 au 18 novembre
ISO 27001 Lead Auditor .............. : 1 au 5 mars 2010
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc-formation.fr/
--[ 10. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Conférence du Club 27001 au Assises de la Sécurité à Monaco le
mercredi 7 octobre 2009 à 18h00, avec :
- Jean-Jacques Riera, RSSI, Française des Jeux
- Luc Petitpré, RSSI, Crédit Mutuel Nord Europe
La table ronde sera animée par :
- Emmanuel Garnier, RSSI, GIE Systalians, vice-président du Club 27001
- Eric Doyen, RSSI Crédit Immobilier de France, président du Club 27001
. Conférence annuelle du Club le jeudi 19 novembre 2009
Cf. programme ci-dessus, inscrivez-vous en même temps que vous adhérez
au club.
. Prochaine réunion à Paris le jeudi 14 janvier 2009
Les animateurs sont en attente de propositions de présentations.
. Prochaine réunion à Toulouse début 2009
Les animateurs sont en attente de propositions de présentations.
........................................................................
. Création d'un club 27001 à Marseille, première réunion mardi 13
octobre, au palais de la bourse à Marseille (CCI Marseille Provence)
Présentation du Club 27001 par Marc Dovero, RSSI du CG13,
et Jean-Louis Brunel de l'académie d'Aix-Marseille
........................................................................
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 13 octobre à 14h00 à école des
Mines - salle Chevalier (V128)
- Protection des données par Pascal Beaulieu, Varonis
- Retour d'expérience sur le déploiement de biométrie à grande
échelle par Sylvain Maret, e-Xpert Solutions
. Réunion suivante le mardi 13 novembre
. Prochaine réunion à Toulouse en novembre
. Prochaine réunion à Rennes le jeudi 22 octobre chez OBS
Programme en cours de finalisation
. Prochaine réunion à Lyon annoncée bientôt
--[ 11. Le saviez vous ? La réponse ]------------------------------------
Les journaux sont stockés dans un répertoire créé chaque jour, de type
\Program Files\Research In Motion\BlackBerry Enterprise Server
\Logs\20090930\ .
Le fichier PhoneCallLog_YYYYMMDD.CSV contient les appels voix.
Le fichier SMSLog_YYYYMMDDC.CSV contient (si la fonction est activée)
les SMS émis et reçus (y compris le texte).
La procédure de désactivation dépend légèrement de la version installée
du BES.
Pour la version 4.1.x, elle est décrite page 147 du document
"BlackBerry Enterprise Server for Microsoft Exchange - 4.1.6 -
Administration Guide" disponible sur http://docs.blackberry.com/ .
Il faut éditer le domaine en allant dans l'onglet "Global" oui en
choisissant "Edit Properties" , puis "IT Policy", double cliquer sur
"IT Policies" éditer (celle par défaut ou celle appliquée aux terminaux
en cause), dans la section 'IT Policies/Pim Synchronisation Group' et
passer la case "Disable Phone Call Log Wireless Synchronisation" sur
"True" (la valeur par defaut est "False"). Les SMS ne sont journalisés
que si "Disable SMS Messages Wireless Synchronization" dans le même
écran à été placé sur "False", auquel cas il faut repasser sur "True".
Pour la version 5.0.x, elle est décrite page 316 du document
"BlackBerry Enterprise Server for Microsoft Exchange - 5.0 -
Administration Guide" accessible au même endroit, et la politique se
désactive de la même manière en allant dans le menu "Manage IT Policies".
Les valeurs par défaut sont respectivement de "False" pour le journal
des appels et "True" pour le journal des SMS. Là aussi cette valeur
une valeur à True _désactive_ la journalisation (c'est un informaticien
probablement pervers qui a codé ces menus).
HSC audite régulièrement des entreprises ayant une politique très précise
de conservation de journaux (messagerie, serveurs Web, accès) et dont les
serveurs BES conservent sans qu'elles le sachent et en toute illégalité
pendant des années les traces des appels voix effectués par leurs
collaborateurs, quand ce n'est pas le corps des SMS qu'ils ont envoyés.
Les terminaux BlackBerry étant en général destinés à des postes
managériaux, cette fonction méconnue, y compris de la plupart
des administrateurs et intégrateurs de cette solution, doit être bien
évidemment adaptée à la politique de l'entreprise.
Dans tous les cas, les journaux devraient être supprimés après un
délai raisonnable, ce que ne propose pas le BES.
Comme toujours en sécurité des SI, le diable est dans les détails.
-- AT.
Plus d'informations sur la liste de diffusion newsletter