[Newsletter HSC] N°67 - Mars 2010
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 1 Mar 15:38:26 CET 2010
========================================================================
HSC Newsletter -- N°067 -- mars 2010
========================================================================
"Pour bien gérer, il faut partager les sacrifices avec tout le monde,
et les bénéfices avec personne !"
[ Georges Wolinski ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. Compte-rendu du Fosdem 2010
4. Compte-rendu des Microsoft Techdays 2010
5. Nouvelle formation : Correspondant Informatique et Libertés
6. Prix de l'Innovation des Assises de la Sécurité
7. Offres de stages techniques et organisationnels en sécurité
8. Agenda des interventions publiques
9. JSSI de l'OSSIR le 16 mars 2010
10. Prochaines formations HSC
11. Actualité des associations : Club 27001 et OSSIR
12. Le saviez vous ? La réponse
--[ 1. Editorial - Elisabeth Manca ]------------------------------------
La Commission des marchés de l'ASIP Santé [1] s'est réunie le 11
février 2010 pour décider de l'attribution du marché de l'hébergement
du Dossier Médical Personnel (DMP).
Ceux qui ont lu l'annonce officielle [2] du choix du consortium retenu,
ont pu découvrir que HSC est associée à ATOS Wordline, Santeos, Extelia,
Softway Medical Services, Evalab dans le groupement ATOS Origin et La Poste.
Cet appel d'offre pour l'hébergement du DMP n'est pas le premier auquel
participait HSC ; les premiers audits de sécurité dans les grands
établissements hospitaliers datent de 1997. Plus récemment HSC accompagne
des hébergeurs de données de santé à caractère personnel dans leur démarche
de mise en conformité et de dépôt d'agrément [3].
C'est donc un sujet ancien mais aujourd'hui HSC constate une réelle maturité
et une prise de conscience qui permet de parler concrètement de la sécurité
dans le monde de la santé. Associer les termes "santé", "patient" et
"sécurité de l'information" n'est plus tabou. Plusieurs actions au niveau
des instances ministérielles nous le prouvent régulièrement tant au niveau
de la mise en oeuvre d'opérations comme le DMP que dans la fourniture d'un
cadre réglementaire efficace.
Comme nous l'avions constaté lors des dernières Assises de la Sécurité, les
acteurs de la sécurité des systèmes d'information ont su faire un pas vers
les professionnels de santé pour comprendre leurs enjeux.
Il est souvent reproché à chaque profession de parler son langage plein de
codes et de mystères pour les autres et donc de rendre la communication
inter-domaines compliquée voire impossible. Mais la force des consultants
en sécurité de l'information est justement de savoir aujourd'hui se mettre
au niveau de chacun et de proposer une vision transverse et structurante.
Dans un projet comme le DMP, le rôle des experts HSC est de discuter avec
des médecins, des chefs de projets informatiques, des juristes, des
responsables qualité ou des gestionnaires de production pour les aider à
se coordonner autour d'une démarche organisée pour la prise en compte des
risques.
L'intérêt de notre travail fût d'être présents dès le départ de la réflexion
de ces professionnels et donc de voir la sécurité réellement intégrée à
la solution proposée aussi bien fonctionnellement que techniquement.
Comme à chaque fois que nous intervenons sur un projet avec des acteurs de
la santé, nous nous rendons compte que ce domaine a vraiment besoin de
la sécurité de l'information. Car qui dit informatisation, pense amélioration
des soins et donc réel bénéfice pour les patients.
Notre déontologie est bien de travailler dans cette philosophie pour
atteindre cette cible. Donc, identifier les risques réels et proposer les
solutions adaptées et efficaces pour les réduire n'est pas un sous projet
indépendant du DMP, mais réellement un enjeu de santé publique.
[1] ASIP Santé : Agence des Systèmes d'Information Partagés de Santé.
[2] http://www.asipsante.fr/docs/CP_notification_hebergeur18022010.pdf
[3] http://www.asipsante.fr/index.php?option=com_content&task=view&id=513&Itemid=360
--[ 2. Le saviez vous ? La question ]-----------------------------------
Comment synchroniser le temps d'une machine qui n'est pas connectée à
Internet ?
Réponse au paragraphe 12.
--[ 3. Compte-rendu du Fosdem 2010 ]------------------------------------
par Christophe Alladoum et Raphael Marichez
Une année de plus, la conférence "Free and Open Source Developer European
Meeting" (FOSDEM) a eu lieu à Bruxelles, sur le week-end du 6 et 7 février
2010. Plus de 5000 développeurs et passionnés du monde de l'Open-Source ont pu
partager leurs expériences autour de 200 conférences abordant des thématiques
diverses. Cependant, malgré le nombre conséquent de conférences, on regrettera
d'y trouver de moins en moins de conférences orientées réseau et sécurité,
laissant leur place à des conférences plus logicielles (Java, Ruby On Rails,
NoSQL, etc.).
Jour 1 :
Evil on Internet :
Richard Clayton (University of Cambridge) a effectué une conférence sur le
phénomène du phishing sur Internet, prenant une proportion grandissante. Son
objectif a consisté à exposer tout au long de la présentation la réalité des
arnaques montées en série, des faux sites Internet (scam) imitant les grands
sites Web populaires. Le phishing est un véritable marché noir basé sur le vol
d'accréditations et de revente de machines compromises via des malwares. L'un
des domaines dédié à cette contrebande est uijghy.cz qui possède des sites
contrefaits de Facebook, ou Western Union. Clayton a présenté d'autres sites
corrompus, tels que millenium-groupinc.ws, site qui offre un poste à pourvoir
littéralement pour le blanchiment d'argent provenant "du commerce parallèle".
Il a également démontré que de simples recherches, via Google notamment,
faisaient perdre toute crédibilité à cette fausse société. Un point
intéressant soulevé est le manque de pertinence entre les différents
systèmes de détection de scams, certains comme McAfee ne détectant pas
certaines pages comme contrefaites.
Maemo 6 platform security framework :
Elena Reshetova (Nokia) a présenté brièvement les fonctionnalités de Maemo 6,
la plate-forme de sécurité embarquée sur les Nokia. Maemo est un ensemble de
mécanismes et de techniques visant à protéger le software (le hardware étant
estimé inviolable). Maemo peut fonctionner en 2 modes, Device et DRM. Le
premier mode permet de charger un noyau ouvert, que l'on a compilé soi-même
par exemple, alors que le second permettra d'implémenter des DRM, empêchant
l'exécution de code arbitraire (non controllé par Nokia ou l'opérateur).
Maemo se situe aussi dans chacune des étapes du processus de démarrage, en
vérifiant l'intégrité (par signature avec des clés asymétriques codées en dur)
du chargeur et du noyau. Maemo crée une gestion des droits pour chaque
nouveau paquet installé en fonction des droits spécifiés par ce-dit paquet
dans un Manifest. Ces droits, stockés en base, seront utilisés pour définir
le contexte d'exécution de binaires, ainsi que le chargement (ou non) de
bibliothèques partagées, de façon à prévenir une injection de biblothèque
quelconque.
NSE - Nmap Scripting Engine :
David Fifield a présenté l'utilisation de Nmap Scripting Engine, en Lua.
Malgré des qualités d'orateur, Fifield n'a pas exposé de nouveautés, mais
s'est limité à développer l'utilisation dans un premier temps, et le
développement dans un second temps, des scripts pour NSE. Le but de ces
scripts est d'effectuer une action ciblée, à un comportement découvert sur
un hôte scanné. De nombreux articles ont été écrits sur le sujet, HSC y a
également contribué par une brève
(http://www.hsc.fr/ressources/breves/nmap-script.html.fr).
Jour 2 :
Minix 3 :
Andrew Tanenbaum est venu pour la première fois au FOSDEM, pour présenter son
nouveau système d'exploitation, Minix 3. 21 ans après Minix, Tanenbaum se voit
attribuer une bourse d'un montant non négligeable pour imaginer un nouvel OS,
simple, modulaire, rapide et évolutif. Invoquant l'échec des Linux modernes
il crée Minix 3 autour d'un micro-noyau, qui gère le minimum (interruption
et ordonnancement par exemple) et délègue le reste dans le mode utilisateur
(pilotes, services, interpréteurs, X, etc.).
L'architecture fonctionne autour du "least authority" : tout est fait en
mode utilisateur, les appels systèmes autorisés sont définis dans un bitmap,
pas de code "étranger" dans le noyau (qui compte aujourd'hui 6000 lignes de
code). Pour surveiller les services, un composant, le "Reincarnation Server",
sonde les services pour détecter leur activité : si un service est mort, il
peut le relancer. Lui-même lancé en plusieurs instances se surveillant
mutuellement, il ne peut en théorie pas mourir. D'autres mécanismes ont été
ajoutés (en mode utilisateur) dans cette optique de stabilité, tel que le
"Disk Driver Recovery", gérant la disponibilité du pilote de disque. Pour
valider la stabilité, il a injecté 800 000 fautes dans trois pilotes
différents : même si les pilotes ont planté, le noyau est lui resté stable.
La conférence s'est achevée sur l'état actuel des portages d'applications sur
Minix 3, qui supporte aujourd'hui les shells courants (sh, bash, zsh), les
langages majeurs (C, C++, Perl, Python, PHP), le serveur X ; de nombreux
autres portages étant en cours. Pleins de choses restent encore à faire mais
ce système paraît tout de même intéressant à tester.
Graphic Driver stack :
Cet atelier fut mené par Luc Verhaegen, hacker X.org notamment connu pour le
projet Unichrome, un portage unifié pour toute la gamme des chipsets S3, de
VIA. Globalement, il s'agissait davantage de faire un point sur la gestion du
pilote graphique sous Linux, "always buggy, never stable" (toujours bogué,
jamais stable), 7 ans après la séparation de X.org du projet XFree86. Selon
Verhaegen, X.org est devenu beaucoup trop volatile, chacun faisant ses propres
modifications. La création d'un pilote faisant intervenir trois tiers
(vendeurs de matériel, distributeurs, et utilisateurs), ainsi que la difficulté
d'accès à certaines documentations disperse les efforts des développeurs
travaillant à un système homogène et stable, à tel point que Verhaegen
considère que Linux n'est pas prêt pour les stations de travail, du moins au
même titre que Microsoft Windows ou Apple MacOS X.
Submitting your first Linux kernel patch :
Pour le mot de la fin, un développeur du noyau Linux de longue date, Greg
Kroah-Hartman (Suse/Novell) est venu clôturer cette dixième session du FOSDEM
pour nous parler de la démarche à adopter pour soumettre un correctif. Une
fois encore, rien de nouveau, mais quelques bons conseils de développement pour
des projets de toute taille, basé sur son retour d'expérience dans son
implication dans le noyau Linux. La création de règles de styles de codage ou
l'utilisation d'un SCM (au hasard, git) n'étant pas des sujets nouveaux,
Kroah-Hartman a aussi parlé de l'état actuel du noyau, des améliorations à
venir, notamment sur Btrfs, ou bien la récente exclusion de la branche Android
de l'arbre Linux sur Git (manque d'implication).
--[ 4. Compte-rendu des Microsoft Techdays 2010 ]-----------------------
par Benjamin Arnault
Les Microsoft Techdays 2010 se sont déroulés les 8, 9 et 10 février au
Palais des Congrès de Paris. C'est une fois de plus la possibilité pour
Microsoft de proposer des conférences abordant un large panel de thèmes IT :
développement, administration, virtualisation, cloud et sécurité. L'édition
2010 de l'événement a été l'occasion de revenir sur les nouveaux systèmes
d'exploitation Windows (7, 2008 R2 et en particulier Azure) ainsi que les
innovations tel le système Surface pour écrans tactiles mais aussi les
infrastructures logicielles de virtualisation Hyper-V. HSC était présent pour
couvrir l'événement et a porté son attention sur les problématiques sécurité
du cloud computing.
Le cloud computing a connu une très forte couverture médiatique depuis
plusieurs mois. Cependant, les informations exposées démontrent que cette
notion n'est pas toujours bien maîtrisée. Ainsi, il est essentiel de définir
le cloud computing avant de parler de sa sécurité. Le cloud computing est
défini par le Burton group comme "l'ensemble des disciplines, technologies et
modèles commerciaux utilisés pour délivrer des capacités informatiques". D'un
point de vue concret, un système peut être considéré comme cloud computing si
c'est un service à la demande, si l'accès réseau est ubiquitaire, s'il se
base sur une mise en commun de ressources, s'il fait preuve de célérité pour
répercuter les changements des besoins des clients et si le service fourni
est surveillé en permanence. De plus, trois modèles différencient les offres
de cloud computing : Software As A Service (SaaS) qui est la fourniture de
service tel un courrielweb (webmail) ou une GED (Gestion Electronique de
Documents), Platform As A Service (PaaS) qui fournit un système au client à
même de déployer ses propres applications et Infrastructure As A Service
(IaaS) qui est une location de capacités de traitement, stockage, réseau et
tout type de ressources. Par ailleurs, quatre modèles de déploiement
existent : Cloud privé (interne à l'entreprise), cloud de communauté (cloud
partagé au sein d'une communauté en interne ou externe), cloud public
(infrastructure propriété du fournisseur, proposée à n'importe quel client)
et enfin les cloud hybrides (cloud composé de deux ou plus des modèles
précédents). Une conception classique associe le datacenter virtualisé au
cloud computing. Mais il n'en est rien, le datacenter virtualisé ne fournit
pas la possibilité de mise à l'échelle du cloud computing.
Pour 75% des décideurs, la préoccupation principale à l'égard du cloud
est la sécurité. Concrètement, les enjeux sécurité du cloud computing se
traduisent en problématiques clés : chiffrement, conformité, confiance et
multipropriété. La plus grande considération sécurité vis-à-vis du cloud
computing se résume en un mot : confidentialité. Le client se pose les
questions suivantes : Où sont mes données ? Qui y a accès ? Comment
sont-elles transférées ? Vont-elles être disponibles lorsque j'en aurai
besoin ? Que va-t-il se passer à la fin du contrat ? La difficulté réside
dans le chiffrement des données de bout en bout. Il est facile de chiffrer
des données entre un serveur de l'entreprise et un cloud public. Mais, le
chiffrement des données dans le cloud pose des problèmes fonctionnels comme
par exemple la recherche dans les données. Le chiffrement est donc un point
important à évoquer par le client avec le fournisseur de cloud.
Par ailleurs, avoir recours au cloud computing assure-t-il d'être
conforme aux lois et réglementations ? Le client n'a généralement pas
d'information précise quant à la localisation de ses données. De plus, si des
données personnelles sont traitées, il sera bientôt nécessaire de prévenir les
autorités d'une fuite de ce type de données. Qui sera chargé de le faire ?
Quel est le délai de rétention des données ? En cas d'enquête judiciaire,
comment les autorités seront en mesure d'accéder aux données ? Autant de
questions qui contribuent à la nébulosité de la conformité des offres de cloud
computing.
La séparation des responsabilités entre client et fournisseur est un
point essentiel. Elle s'approche de ce qui est déjà connu pour le cas où le
fournisseur propose une infrastructure matérielle ou un hébergement. Le client
est responsable de la gouvernance globale, de ses systèmes d'exploitation
et/ou de ses applications, de leur cycle de vie, des tests applicatifs... Le
fournisseur quant à lui gère l'infrastructure matérielle et logicielle, la
logistique, les ressources et assure la surveillance de base. Il est important
d'avoir à l'esprit ce qui est important pour le client lorsque l'on parle de
responsabilité. Ce qui compte pour le client est différent en fonction du
modèle de service fourni. Dans le cas du SaaS, le plus important est
l'ensemble des données. Pour un service PaaS, le client tient à la sécurité de
ses données mais aussi de son application. Enfin, avec le modèle IaaS, c'est
l'ensemble données, application et système d'exploitation qui importe. Il ne
faut pas oublier qu'en fonction du modèle de déploiement utilisé, les
responsabilités du fournisseur seront plus ou moins critiques pour le client.
Bien évidemment, le choix de migrer vers une infrastructure cloud apporte
des bénéfices en sécurité. La redondance et récupération simplifiée en cas de
désastre adresse les problématiques de disponibilité et intégrité des données.
L'uniformité des infrastructures permet de simplifier l'administration et la
gestion des serveurs et services pour le fournisseur. Cette uniformité peut
limiter la durée des audits de sécurité et tests d'intrusion.
Les composants de sécurité du cloud sont directement liés au service
fourni. D'un point de vue global, cinq éléments vont fournir différents
services de sécurité : les services de provisionnement, les services de
stockage des données, l'infrastructure de traitement, les services de support
et le réseau. Les services de provisionnement permettent la reconstruction
rapide de services et assurent ainsi la disponibilité. Mais, du fait de leur
importance, s'ils sont compromis les conséquences seront très importantes.
Les services de stockage des données, de par l'utilisation de la fragmentation
et de la dispersion des données, assurent une réplication automatique et
garantissent la possibilité de récupérer des données intègres. De plus, le
chiffrement permet d'assurer la confidentialité modulo la perte de
fonctionnalité si le chiffrement est réalisé de bout-en-bout. Néanmoins, le
fournisseur va être confronté à la problématique de gestion de l'isolation des
données entre clients et vis-à-vis des différents gouvernements. Comme vu
précédemment pour le service de provisionnement, ici le contrôleur de stockage
est fondamental et constitue un point individuel de défaillance.
L'infrastructure de traitement du cloud permet de mettre en place des masters
personnalisés, les conserver et pouvoir les déployer en cas de besoin. Mais
cette infrastructure basée sur une localisation multiple des applications
s'appuie fortement sur les hyperviseurs dont l'isolation fournie a connu des
faiblesses. Les services de support et le réseau fournissent des services de
sécurité classiques tels l'authentification, le filtrage réseau, la
journalisation... De nouveaux risques apparaissent néanmoins comme les
problématiques d'intégration de ces mesures avec les applications clientes ou
la gestion des zones virtuelles et la mobilité des applications.
Après avoir lancé ses deux nouveaux systèmes d'exploitation Windows 7 et
Windows Server 2008 R2 avec un certain succès, introduit de nouvelles versions
de ses applications SQL Server et bientôt Exchange et Office, Microsoft pousse
de plus en plus Windows Azure et ses différentes offres en cloud. L'approche
cloud computing n'est pas fondamentalement révolutionnaire. Elle apporte des
avantages en termes de reprise d'activité rapide, et ainsi une meilleure
tolérance à la panne. Mais le cloud est jeune et de nombreux défis sont à
relever pour les pionniers des nuages : la gestion des données
(confidentialité, localisation et isolation), la dépendance aux hyperviseurs
et aux contrôleurs de stockage et la menace de l'interruption massive de
service. Enfin, les technologies jeunes attirent les chercheurs en sécurité
mais aussi les attaquants, d'autant que les ressources disponibles sont de
plus en plus importantes. Allons-nous voir apparaître des botnet dans le
cloud ? L'avenir nous le dira...
--[ 5. Nouvelle formation : Correspondant Informatique et Libertés ]----
Le poste de CIL, Correspondant Informatique et Libertés, est
désormais une fonction clé au sein des entreprises, qu'il soit ou pas
déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
et informatique de plus en plus sensible, au coeur de la gouvernance
d'entreprise qui impose un haut niveau d'expertise.
La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
exerçant ou devant exercer les fonctions de Correspondant Informatique et
Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
missions. La formation est conçue par Frédéric Connes, docteur en droit,
également ingénieur en informatique et spécialisé en sécurité des systèmes
et réseaux, avec la contribution de l'équipe des consultants en sécurité d'HSC.
La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
dont ils auront besoin pour mener à bien leurs missions, par une approche
se voulant résolument pratique et proche des problèmes concrets auxquels
un CIL est confronté quotidiennement. La formation traite notamment des
notions indispensables de sécurité de l'information.
Au-delà des personnes exerçant les attributions ou ayant vocation à
exercer dans un avenir proche les fonctions de correspondant informatique
et libertés, la "Formation CIL" d'HSC concerne les responsables informatique
confrontés aux problématiques informatique et libertés, qui pourront
approfondir leurs connaissances juridiques, tandis que les profils
juridiques ou juridico-techniques pourront compléter leurs connaissances
en informatique et sécurité de l'information.
La "Formation CIL" d'HSC ne demande aucune connaissance préalable en
droit et en informatique, et commence par exposer les bases de ces domaines
avant de traiter du coeur du sujet.
Le cours alterne les phases d'exposé magistral et d'exercices pratiques
invitant les participants à se mettre en situation et à réfléchir aux
possibilités de réponses juridiques et techniques aux problèmes concrets
qui leur sont posés.
Durée : 2 jours.
Formateur : Frédéric Connes, docteur en droit.
Premières sessions à Paris sont les 1er et 2 juillet, et les 21 et 22
octobre 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/cil.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 6. Prix de l'Innovation des Assises de la Sécurité ]----------------
Pour la 5ème année consécutive sera décerné le Prix de l'Innovation
des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
6 au 9 octobre 2010. Vous y retrouverez HSC qui est partenaire des
Assises 2010.
Le comité de sélection du Prix 2010 est composé de :
Hervé Schauer, HSC, animateur du comité de sélection
Didier Gras, RSSI Groupe BNP Paribas, co-animateur
Charles Berdugo, CEO, ma-residence.fr
David Crochemore, FSSI, Ministère de la Justice
Yvon Klein, directeur technique, CERT-IST
Thierry Olivier, Responsable Sécurité du SI, SFR
Benoît Perrot, Directeur d'investissement, ACE Management
Marc Rambert, CEO Kalistick (société lauréate en 2009)
Sylvain Thiry, RSSI, Groupe SNCF
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès aux Assises
de la Sécurité afin de démontrer son produit ou son service, avec la
remise du prix en séance plénière le jeudi 7 octobre 2010, et un paquetage
d'une valeur de 24000 euros :
- un espace d'exposition pour démontrer sa solution et rencontrer
les invités, la presse, etc. ;
- un atelier pour présenter sa solution sous forme de conférence.
Le prix est ouvert aux entreprises créées en 2008, 2009 ou 2010.
Les critères utilisés par le comité de sélection sont notamment :
- le caractère innovant et nouveau du produit ou service présenté ;
- l'intérêt pour les RSSI et les métiers associés ;
- les innovations technologiques dans la solution présentée ;
- l'état d'avancement du projet et sa pertinence sur la marché.
Le règlement complet et le dossier de candidature sont disponibles
en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
http://www.lesassisesdelasecurite.com/Accueil/prix.aspx
Le dossier complet doit être envoyé sous format électronique avant le
31 mai 2010 à l'adresse sophie at dgconsultants.fr
N'hésitez pas à renvoyer cette annonce et à faire part de votre intérêt
à candidater auprès d'Hervé Schauer ou de Didier Gras.
--[ 7. Offres de stages techniques et organisationnels en sécurité ]----
HSC recherche des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle. Voici quelques
exemples de sujets envisageables :
- Étude de la sécurité de Minix 3.
- Étude et développement d'un guide d'audit pour Microsoft Sharepoint 2007.
- Étude des nouveautés sécurité de Microsoft Exchange 2010, écriture d'outils
d'audit en PowerShell et évolution d'un guide de sécurisation Exchange
2007.
- Étude des technologies et de l'existant, puis éveloppement d'un outil
maison permettant de récupérer à distance les empreintes de mots de passe
Windows, quelque soit la technologie distante (Windows 2008R2, Windows 7).
- Préparation d'une base de données de gestion des risques selon les
principes de la norme ISO 27005 afin de consolider le travail des
consultants et les assister : en dressant une liste d'actifs typiques
structurée, pour chaque risque identifié en formalisant des mesures de
sécurité types liées aux référentiels courants, et même travail sur des
processus métiers types, dans un premier temps IT (ex: développement,
hébergement, gestion des changements, etc).
- Développement de questionnaires adaptés aux principes de la norme
ISO 27005, permettant d'identifier et de valoriser ou d'estimer les
actifs et les risques chez nos clients, et réduire la durée des phases
d'entretiens.
- Création d'un référentiel d'évaluation du niveau de maturité des mesures
de sécurité types liées aux référentiels courants (ISO 27002, CobIT,
PCI-DSS, RGS, Agrément à l'hébergement des données médicales personnelles,
ARJEL, etc) et définition de plans d'actions associés à chaque niveau de
maturité.
- Réalisation d'outils permettant de faciliter la mise en oeuvre des
appréciation des risques selon les principes de l'ISO 27005
Les stagiaires HSC ont accès à toutes les formations nécessaires à
l'accomplissement de leur stage (Formation pratique aux tests d'intrusion,
ISO 27001 Lead Auditor, ISO 27005 Risk Manager), etc
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
--[ 8. Agenda des interventions publiques ]-----------------------------
- 5 mars 2010 : Club 27001 - Toulouse
"Comment mettre en oeuvre une politique de sécurité cohérente et
pragmatique" - Hervé Schauer
http://www.club-27001.fr/
- 16 mars 2010 : JSSI de l'OSSIR - Paris
Animation d'une des sessions de la journée
Hervé Schauer
http://www.ossir.org/jssi/
- 16 mars 2010 : JSSI de l'OSSIR - Paris
"Les webshells, ou comment ouvrir les portes de son réseau ?"
Renaud Dubourguais
http://www.ossir.org/jssi/
- 17 mars 2010 : Salon Solutions Linux - Paris
Animation de la session sécurité du cycle de conférences
Hervé Schauer
http://www.solutionslinux.fr/Conf%C3%A9rences_168.html
- 19 mars 2010 : Forum Telecom - Paris
Participation à la table-ronde sur "La sécurité des périmètres étendus
'Cloud Computing'" - Hervé Schauer
http://www.premiercercle.com/index.php?item=event-details&ide=93
- 1er avril 2010 : Clusir Rhone-Alpes - Lyon
"Cloud Computing, quels risques ?" (sujet en cours de confirmation)
Hervé Schauer
http://www.clusir-rha.fr/
- 13 avril 2010 : Conférence Sécurité Management - Paris
"Cloud Computing, quels risques ?" - Elisabeth Manca
http://pro.01net.com/rub/01net-pro/10239/01net-pro/special-dsi/
- 10 juin 2010 : Symposium SSTIC 2010 - Rennes
"La sécurité des systèmes de vote" - Frédéric Connes
http://www.sstic.org/2010/presentation/Securite_des_systemes_de_vote/
- 11 juin 2010 : Symposium SSTIC 2010 - Rennes
"JBOSS Application Server : exploitation et sécurisation"
Renaud Dubourguais
http://www.sstic.org/2010/presentation/JBOSS_AS_Exploitation_et_Securisation/
- 25 juin 2010 : RSSI 2010 - Bordeaux
Participation à la table ronde : "Management des risques en sécurité de
l'information" - Hervé Schauer
http://www.clusir-aquitaine.fr/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 9. JSSI de l'OSSIR le 16 mars 2010 ]--------------------------------
La journée de la Sécurité des Systèmes d'Information organisée par
l'OSSIR, se déroulera le mardi 17 mars 2009 à Paris à la FIAP Jean Monnet,
30 rue Cabanis 75014 Paris (http://www.fiap.asso.fr/guide/plan_acces.htm)
sur le thème : "Attaque / Défense : score 2.0"
Le programme est le suivant :
8h30 : Accueil des participants et café offert
9h00 : Ouverture de la journée
9h05 : "Juste une imprimante ?" par Thibault Koechlin et Jean Baron (NBS)
9h50 : "Analyse avancée de la mémoire physique de Mac OS X" par Matthieu
Suiche (MoonSols)
11h05 : "Aspects juridiques du scan et des TI" par Yoann Garot (iTrust)
11h50 : "Se préparer à la réponse judiciaire contre les attaques
informatiques" par Eric Freyssinet (Gendarmerie)
12h40 : Déjeuner
14h00 : "Les PME françaises contre la mafia russe et les hackers chinois -
retour d'expérience" par Nicolas Ruff (EADS IW)
14h40 : "La livre blanc de l'OSSIR sur les logs" par Eric Barbry et Christophe
Labourdette (OSSIR)
15h50 : "Les webshells, ou comment ouvrir les portes de son réseau ?" par
Renaud Dubourguais (HSC)
16h30 : "OWASP ASVS - boite a outils pour améliorer la sécurité d'une
application Web" par Sébastien Gioria (OWASP)
17h10 : Clôture de la journée, discussions
Inscription à la journée, repas et trois pauses inclues :
- 15 euros pour les adhérents de l'OSSIR
- 30 euros pour les étudiants (copie carte d'étudiant)
- 75 euros sinon
L'inscription est validée après réception du règlement ou du bon de
commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
cedex 05, en prévenant de votre envoi à jssi at ossir.org
L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
Programme détaillé : http://www.ossir.org/jssi/jssi2010/index.shtml
--[ 10. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Gestion des identités et des accès .. : 1 au 3 mars
ISO 27005 Risk Manager .............. : 8 au 10 mars
DNS par la pratique .................. : 8 mars (*)
Postfix par la pratique ............. : 9 mars (*)
Lutte contre le spam par la pratique . : 10 et 11 mars (*)
Sécurité Unix et Linux ............... : 11 et 12 mars (*)
Essentiel de PCI-DSS ................. : 12 mars
ISO 27001 Lead Auditor .............. : 15 au 19 mars
Sécurité des serveurs et applications web : 29 au 31 mars (*)
Sécurité du WiFi ..................... : 1 et 2 avril (*)
Mutualisation ISO 27001/autres référentiels : 6 avril
Présentation de la certification ISO 27001 : 7 avril
Indicateurs & tableaux de bord SSI/ISO27004 : 8 avril
Programmation sécurisée en PHP ...... : 7 au 9 avril (*)
ISO 27001 Lead Implementer .......... : 12 au 16 avril
Réalisation pratique des Tests d'Intrusion : 19 au 23 avril (*)
Fondamentaux de la SSI .............. : 29 et 30 avril
Sécurité de la VoIP .................. : 25 mai
Juridique de la SSI ................. : 31 mai au 1 juin
Formation RSSI ...................... : 21 au 25 juin
Sécurité du Cloud Computing ......... : 23 au 25 juin
Correspondant informatique et libertés . : 1 et 2 juillet
(*) : formations pratiques avec un ordinateur par stagiaire
- Genève (Suisse)
ISO 27005 Risk Manager .............. : 9 au 11 juin
- Luxembourg
ISO 27001 Lead Auditor .............. : 26 au 30 avril
ISO 27005 Risk Manager .............. : 17 au 19 mai
ISO 27001 Lead Implementer .......... : 14 au 18 juin
- Lyon
ISO 27005 Risk Manager ............... : 2 au 4 juin
- Marseille
ISO 27005 Risk Manager .............. : 29 au 31 mars
- Nantes
ISO 27005 Risk Manager .............. : septembre ou octobre
- Nice
ISO 27001 Lead Implementer .......... : 28 juin au 2 juillet
- Strasbourg
ISO 27005 Risk Manager .............. : 22 au 24 novembre
- Toulouse
ISO 27001 Lead Auditor .............. : 1 au 5 mars
ISO 27005 Information Security Risk Manager : 3 au 5 mai
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc-formation.fr/
--[ 11. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 25 mars au Crédit Immobilier
- "ISO 27004, métriques, indicateurs et tableaux de bord", par
Philippe Le Berre, Consulare
- "ISMS-PME - Le développement d'un outil de gestion des risques pour
les PMEs conforme à l'ISO 27005", par Nicolas Mayer, CRP Henri Tudor
. Réunion suivante à Paris le jeudi 24 juin
- Retour d'expérience de la certification Orange Business Services
. Réunion suivante à Paris le jeudi 16 septembre puis conférence
en novembre ou décembre
. Prochaine réunion à Toulouse vendredi 5 mars 2009 à 13h45
- "Comment mettre en oeuvre une politique de sécurité cohérente et
pragmatique" par Hervé Schauer, Hervé Schauer Consultants
- Point d'actualité : nouvelle version d'Ebios, parution du RGS,
normes, droits vis à vis de l'AFNOR
. Prochaine réunion à Marseille le 26 mars 2010
Les animateurs recherchent des propositions de présentations
Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o OSSIR (http://www.ossir.org/)
. Le groupe de réflexions Technico-Juridiques de l'OSSIR, auquel a
participé Raphael Marichez, publie son premier livre blanc sur les
logs sont en ligne sur le site de l'OSSIR :
http://www.ossir.org/actualites/2010/02/08/mise-en-ligne-du-livre-blanc-sur-les-logs.shtml
. JSSI de l'OSSIR le 16 mars, voir programme ci-dessus, venez nombreux !
. Prochaine réunion à Paris mardi 13 avril
- Conférences en cours de confirmation
- Revue d'actualité
. Réunions suivantes les mardis 11 mai 2010 et 8 juin 2010
. Prochaine réunion à Toulouse le 23 mars 2010 à 13h45
- "Comment améliorer la sécurité de son réseau en se piratant
soi-même", Denis Ducamp (ITrust)
- seconde présentation en cours de confirmation
. Prochaine réunion à Rennes programmée prochainement
. Prochaine réunion à Lyon programmée prochainement
--[ 12. Le saviez vous ? La réponse ]------------------------------------
Il est bien sûr possible de synchroniser le temps de cette machine
avec des satellites GPS, mais ce n'est pas la réponse attendue ici, réponse
trop facile ! Et puis lorsque l'on est dans le Cantal avec de la pluie,
des nuages et du brouillard, la réception peut ne pas être suffisante ;-)
L'autre possibilité, et à moindre coût, est d'utiliser des horloges
pilotées par signaux radio. C'est par exemple le cas pour le DCF77 (1)
situé à Mainflingen en Allemagne. Plus près de nous, l'émetteur TDF
d'Allouis (2) est situé dans le département du Cher. Cet émetteur diffuse
la radio France-Inter en grandes ondes mais transmet également, en plus
de leurs programmes, des informations horaires.
Ces deux émetteurs disposent chacun d'une horloge atomique. Celle de
l'émetteur d'Allouis est installée dans le bâtiment principal alors
que celle du DCF77 est fourni par l'Institut Physique et de Métrologie
de Brunswick.
L'émetteur DCF77 a une portée de 1500 km, voire de 2000 km la nuit, et
peut donc être utilisé sur la majeure partie des pays européens et même
sur quelques pays nord-africains. Les différents tests réalisés par HSC
ont toutefois donné des résultats plus ou moins fiables.
(1) http://www.ptb.de/en/org/4/44/442/dcf77_1_e.htm
(2) http://fr.wikipedia.org/wiki/Émetteur_d'Allouis
P.S. : je n'ai rien contre le Cantal.
-- Stéphane Milani
Plus d'informations sur la liste de diffusion newsletter