[Newsletter HSC] N°68 - Avril 2010
Newsletter d'information de HSC
newsletter at hsc-news.com
Jeu 1 Avr 11:51:34 CEST 2010
========================================================================
HSC Newsletter -- N°068 -- avril 2010
========================================================================
"Nous aurons plus de transparence que la plupart des pays de l'Union
européenne."
[ Georges Papandréou, 11 février 2010, interview dans Le Monde ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial : transparence ou confiance ?
2. Le saviez vous ? La question
3. Compte-rendu de la JSSI de l'OSSIR
4. Nouvelle formation : Correspondant Informatique et Libertés
5. Nouvelle formation : ISO 27034 Lead Penetrator, avec TP
6. Nouvelle formation : Information Security Foundations, certif. EXIN
7. HSC certifié ISO 9001 sur le périmètre des formations certifiantes
8. LSTI approuvé membre à part entière d'IPC
9. Prix de l'Innovation des Assises de la Sécurité
9. Offres de stages techniques et organisationnels en sécurité
10. Agenda des interventions publiques
11. Prochaines formations HSC
12. Actualité des associations : Club 27001 et OSSIR
13. Le saviez vous ? La réponse
--[ 1. Editorial - Raphael Marichez ]-----------------------------------
Transparence ou confiance ?
Les systèmes de management prétendent apporter la confiance aux "parties
intéressées" (ISO 27001 §1.1) par l'application d'un modèle PDCA auditable.
Ainsi, savoir qu'un fournisseur ou partenaire met en oeuvre un système de
management (de l'environnement, de la sécurité de l'information, de la sûreté
du personnel, de la qualité...) devrait nous donner la confiance que les
objectifs poursuivis par le système de management sont en train d'être
atteints et ce de manière efficace.
Pourtant, à y regarder de plus près, les bénéfices d'une certification ISO
27001 me semblent plus terre à terre : réduction de la pression des audits le
cas échéant, et fourniture des documents (Plan) qui décrivent les "mesures de
sécurité adéquates et proportionnées". Autrement dit, la partie intéressée
peut demander ou exiger, selon le rapport des forces en présence, la
*transparence* de l'organisme à l'égard duquel il a un intérêt, en matière de
sécurité de l'information prétendument (à ce stade) mise en oeuvre.
L'auditabilité (permettre de tout voir, tout montrer) est la transparence.
Pas la confiance.
Si, comme le prétend le paragraphe 1.1 de l'ISO 27001, le SMSI donne
confiance, alors pourquoi cette exigence permanente de contrôle interne
(Check) voire externe ? La confiance n'exclut certes pas le contrôle mais ne
saurait davantage l'imposer.
C'est une certification indépendante qui apportera la confiance que ce qui
est montré (Plan) correspond à la réalité (Do). Encore faut-il que j'aie
confiance en l'organisme de certification, sinon il ne me reste qu'à
réaliser moi-même l'audit, ce que l'on souhaite justement éviter via l'audit
par un tiers indépendant.
Cette période actuelle et récente où tout doit être publié, des comptes
publics des états aux photos du petit dernier sur Facebook, sans oublier les
atteintes aux données personnelles et les images en temps-réel de la voie
publique londonienne, consacre le règne de la transparence.
"Les données ne prouvent rien."
Lawrence Lessig, juriste défenseur des libertés, primé par la FSF, fondateur
des Creative Commons, auteur de "Against Transparency", sans nier les
intérêts de la transparence, pose les limites de celles-ci vis-à-vis de la
confiance qu'elle prétend fournir. Les données publiées "suggèrent",
"insinuent". L'antipode de la confiance. Ce qui nuirait, à terme, aux
objectifs démocratiques de nos sociétés.
http://www.correspondants.org/news/la-transparence-a-t-elle-des-limites
Une comptabilité publique est susceptible d'interprétations divergentes, et
n'apporte pas la confiance en soi. La transparence est requise pour l'entrée
d'un état dans la zone euro, mais n'est pas suffisante pour mériter notre
confiance. La transparence échoue à son objectif de confiance, sinon pourquoi
demander l'intervention de tant d'autorités de contrôle sur le secteur
financier ?
Or, c'est bien la confiance qui est nécessaire aux relations humaines,
notamment au commerce.
Finalement, la confiance recherchée ne peut être apportée que par un procédé
subjectif : je connais mon fournisseur et j'ai confiance en sa fiabilité. En
réalité, très souvent, je connais certaines personnes et j'ai confiance en
certaines personnes.
Le principe de l'audit indépendant (systèmes de management, critères communs,
CSPN, tests d'intrusion, audits techniques de sécurité, etc.) vise à apporter
une des briques qui construisent cette confiance. Encore faut-il avoir
confiance en la capacité de l'organisme de certification à délivrer des
certificats de confiance, ou en la capacité de l'auditeur de sécurité
indépendant à formuler des conclusions d'audit de confiance.
Il est donc primordial, pour un acteur économique qui recherche la confiance
dans un secteur tellement complexe et mouvant qu'il ne peut plus se fier à
ses seules connaissances, de ne négliger aucun des moyens disponibles afin
d'évaluer la confiance à laquelle prétend son fournisseur :
- un peu de transparence (auditabilité du système), juste assez pour
connaître objectivement le niveau d'engagement affiché ;
- une certification après un audit indépendant (ou réalisé par ses propres
soins), selon un référentiel d'audit, une démarche d'audit (exemple : ISO
19011), et une démarche de certification (exemple : ISO 17021) tous trois
devant être à leur tour dignes de confiance ;
- une évaluation de la confiance que mérite l'organisme de certification, en
prenant en compte l'historique de l'organisme, le respect de l'ISO 17021
(ou 17024), l'autorité d'accréditation le cas échéant.
Trop souvent dans la SSI, seul le deuxième point est pris en compte (la seule
certification), et sont oubliés les objectifs de sécurité affichés, qui
peuvent être dérisoires, ou le sérieux de l'organisme de certification, qui
peut être entaché de conflit d'intérêt commercial ou de volonté de capter un
marché en vendant à perte. Ce constat s'applique aussi bien aux tests de
vulnérabilité à bas coûts pour un prétendu label de sécurité, qu'aux audits
de SMSI complaisants pour acquérir agressivement un marché naissant.
Espérons que la remise en cause de la transparence par Lawrence
Lessig et les marchés financiers sera entendue par le secteur SSI.
Parions que le nouveau schéma d'agrément ARJEL (jeux en ligne) apportera la
confiance aux citoyens et aux pouvoirs publics par un juste engagement des
différents acteurs économiques. Si tous les acteurs (ARJEL, opérateurs de
jeux en ligne, consultants, auditeurs) jouent le jeu (hors ligne) sans
dérive, alors le secteur des jeux en ligne pourra prétendre à donner
confiance.
--[ 2. Le saviez vous ? La question ]-----------------------------------
Comment restreindre les fonctions d'exécutions de commandes
arbitraires disponibles dans certains programmes sous Unix ?
Réponse au paragraphe 13
--[ 3. Compte-rendu de la JSSI de l'OSSIR ]-----------------------------
Olivier Dembour & Frédéric Connes
Le thème choisi pour la JSSI 2010 était "Attaque / Défense : score 2.0"
* Juste une imprimante ? - Thibault Koechlin, Jean Baron (NBS system)
La première conférence a débuté sur la sécurité des "MFD" (Multiple
Function Devices), ces équipements tels que les imprimantes qui sont
devenus aujourd'hui des systèmes à part entière avec leurs lots de
vulnérabilités. Les deux consultants ont présenté comment, à l'aide
d'attaques traditionnelles, il ont pu obtenir et modifier le
firmware de l'imprimante pour en prendre le contrôle. Les consultants
ont également démontré qu'il était possible d'ajouter un système
GNU/Linux embarqué dans une carte Armadillo à l'intérieur de
l'imprimante. Cette carte est alors alimentée par des connectiques
prévues pour les modules complémentaires. Ceci permet d'installer une
porte dérobée difficilement détectable au sein de l'entreprise.
Ces vulnérabilités, présentes également en théorie sur des caméras ou
des téléphones, montrent que la sécurité de ces équipements est souvent
mal prise en compte voire inexistante dans certains cas.
* La mémoire de MacOSX - Matthieu Suiche (MoonSols)
La deuxième conférence présentait les travaux de Matthieu Suiche
sur l'analyse de la mémoire physique des systèmes MacOS X.
L'utilisation de l'hibernation intégrée dans le système permet
d'obtenir une image de la mémoire physique de la machine lorsque
celle-ci est encore en marche. En s'aidant de la table des symboles
disponible dans le noyau ainsi que de l'image mémoire, le conférencier
a montré qu'il était possible de reconstruire l'espace d'adressage
virtuel du noyau. Cette étape permet de retrouver toutes les
informations du système avant hibernation, mais surtout toutes les
informations volatiles telles que les processus en exécution, les
connexions en cours, les fichiers ouverts ou les extensions du noyau
chargées (pilotes).
* Aspects juridiques du scan et des tests intrusifs - Yoann Garot
(Itrust)
La troisième conférence abordait le thème de plus en plus présent
du droit de la sécurité de l'information. Yoann Garot a expliqué que les
cabinets de conseil en sécurité informatique devaient prendre en
considération les problématiques juridiques, et avaient donc besoin
de juristes spécialisés. Après avoir rappelé les concepts fondamentaux
et les textes applicables tant en France qu'à l'échelle internationale,
le conférencier a dressé un rapide historique de la cyberdélinquance,
et s'est ensuite concentré sur une question qui intéresse les experts
en sécurité, à savoir la légalité du scan de ports et des tests
intrusifs. Le scan de ports peut être comparé à faire le tour d'une
maison, et, même s'il n'y a pas encore de décision de justice claire
en la matière, il peut être assimilable à une entrave au fonctionnement
du système, voire à une tentative d'intrusion. Quant aux tests
intrusifs, il importe que la société réalisant l'étude obtienne
toutes les autorisations nécessaires de la part de son client avant le
début de la prestation, et s'assure que ses employés ne pourront pas se
maintenir sur les systèmes audités une fois celle-ci terminée.
Des comparaions internationales ont, pour finir, illustré le propos
de l'intervenant.
* Se préparer à la réponse judiciaire contre les attaques
informatiques - Eric Freyssinet (DGGN)
Eric Freyssinet a commencé sa conférence en évoquant le chiffre
noir des attaques contre les systèmes d'information, de nombreuses
entreprises et administrations n'osant souvent pas porter plainte
à la suite d'une attaque, de peur de porter atteinte à leur
image. Or, il est important que des décisions de justice
viennent condamner les auteurs d'infractions informatiques, afin
d'opérer une véritable dissuasion à destination des délinquants
potentiels. L'intervenant a notamment évoqué la proposition de loi
Détraigne-Escoffier, qui va dans ce sens. Il a expliqué ensuite
que les services de police sont maintenant prêts à poursuivre les
infractions informatiques, car ils disposent des moyens
nécessaires et ont acquis les compétences indispensables grâce
à de nombreuses sessions de formations organisées tant auprès des
services français que d'Interpol ou d'Europol, les poursuites
étant souvent transnationales. Eric Freyssinet a alors expliqué
qu'il est important de préserver les preuves de façon à les
rendre admissibles en justice, et d'utiliser des formats ouverts,
que les services de police et les experts pourront exploiter
directement. L'important ici est de ne pas vouloir régler le
problème soi-même, de faire confiance aux autorités et de prévoir
un plan de communication, insistant notamment sur la qualité de
la préparation de l'organisme à une attaque.
* "Les PME françaises contre la mafia russe et les hackers chinois -
retour d'expérience" - Nicolas Ruff (EADS IW)
Nicolas Ruff nous a fait part de son retour d'expérience de la
sécurisation d'une TPE/PME dont il s'occupe de manière
bénévole. D'après Secunia, un poste devrait être patché tous les 4
jours pour conserver un niveau de sécurité suffisant. Néanmoins
celui-ci doit également faire face à de nombreuses attaques de virus
ou autres logiciels malveillants toujours aussi évolués, parfois
diffusés par mégarde dans des CD-ROM d'installation (chargeur de piles
USB Energizer). Cette évolution rend leur détection de plus en plus
difficile pour les antivirus (30% d'après Cyveillance). Le
conférencier rappelle qu'une machine compromise avec un compte
administrateur devient pratiquement impossible à désinfecter et que
les utilisateurs continueront toujours à cliquer sur "OUI".
Nicolas Ruff partage ses techniques de sécurisation "maison" qui,
tant qu'elles restent isolées, et donc inconnues des virus, permettent
de contrer la majorité des attaques actuelles. En plus des
recommandations techniques, la lecture des journaux (connexions
refusées, plantages de logiciels) peut aider à détecter l'infection
des machines. Il rappelle également que Firefox n'est toujours pas une
alternative acceptable à Internet Explorer dans les entreprises car
celui-ci ne peut toujours pas être configuré par GPO.
* Livre blanc sur les logs, restitution - Eric Barbry (Cabinet
Bensoussan), Christophe Labourdette (CNRS / ENS-CACHAN)
Eric Barbry et Christophe Labourdette ont ensuite exposé le
résultat du groupe de travail qu'ils ont animé sur les logs au sein
de l'OSSIR. Encore une fois, l'intérêt d'une mise en perspective
juridique des problèmes des experts en sécurité informatique est
apparu manifeste, la collaboration de juristes et d'informaticiens
s'étant révélée très féconde. Le livre blanc sur les logs, résultat
de ce travail, s'intéresse notamment aux différences de vocabulaire
entre juristes et techniciens, aux obligations de conservation des
journaux de connexion, qui sont variables, et à l'utilisation des
logs lors d'un procès. De fait, de nombreuses affaires pénales
liées à l'informatique se traitent aujourd'hui sur la base de logs,
et le livre blanc insiste sur la nécessité, pour les entreprises,
de formaliser une véritable politique de gestion et de conservation
des traces qui soit à même de permettre de faire valoir ces données
lors d'une action en justice.
* Les Webshells - Renaud Dubourgais (HSC)
Renaud Dubourguais a effectué une présentation sur l'utilisation
des Webshells. Dans le cadre de ses travaux de recherche, l'orateur
a développé un ensemble de composants permettant la mise en place
d'une porte dérobée au sein d'une application Web. Les démonstrations
ont rappelé que l'intrusion d'un serveur Web permet à l'attaquant
d'effectuer de nombreuses actions en exploitant les flux autorisés
par le pare-feu. Le téléchargement de fichiers, l'exécution de
commandes ou le balayage de ports TCP deviennent alors possibles
depuis la machine compromise. La dernière démonstration s'est terminée
par la mise en place d'un relais TCP encapsulé dans le protocole
HTTP. Ceci permet à l'attaquant de relayer ses connexions TCP au
travers du serveur compromis - comme si l'attaquant était connecté
dans la DMZ.
Le Webshell est fonctionnel sur les environnement PHP, .NET et J2EE,
mais seul le dernier permet le déploiement de politiques de sécurité
limitant réellement ce type de backdoor.
--[ 4. Nouvelle formation : Correspondant Informatique et Libertés ]----
Le poste de CIL, Correspondant Informatique et Libertés, est
désormais une fonction clé au sein des entreprises, qu'il soit ou pas
déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
et informatique de plus en plus sensible, au coeur de la gouvernance
d'entreprise qui impose un haut niveau d'expertise.
La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
exerçant ou devant exercer les fonctions de Correspondant Informatique et
Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
missions. La formation est conçue par Frédéric Connes, docteur en droit,
également ingénieur en informatique et spécialisé en sécurité des systèmes
et réseaux, avec la contribution de l'équipe des consultants en sécurité
d'HSC.
La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
dont ils auront besoin pour mener à bien leurs missions, par une approche
se voulant résolument pratique et proche des problèmes concrets auxquels
un CIL est confronté quotidiennement. La formation traite notamment des
notions indispensables de sécurité de l'information.
Au-delà des personnes exerçant les attributions ou ayant vocation à
exercer dans un avenir proche les fonctions de correspondant informatique
et libertés, la "Formation CIL" d'HSC concerne les responsables informatique
confrontés aux problématiques informatique et libertés, qui pourront
approfondir leurs connaissances juridiques, tandis que les profils
juridiques ou juridico-techniques pourront compléter leurs connaissances
en informatique et sécurité de l'information.
La "Formation CIL" d'HSC ne demande aucune connaissance préalable en
droit et en informatique, et commence par exposer les bases de ces domaines
avant de traiter du coeur du sujet.
Le cours alterne les phases d'exposé magistral et d'exercices pratiques
invitant les participants à se mettre en situation et à réfléchir aux
possibilités de réponses juridiques et techniques aux problèmes concrets
qui leur sont posés.
Durée : 2 jours.
Formateur : Frédéric Connes, docteur en droit.
Premières sessions à Paris les 1er et 2 juillet, et les 21 et 22
octobre 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/cil.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 5. Nouvelle formation : ISO 27034 Lead Penetrator ]-----------------
La norme ISO 27034 qui va être publiée courant 2010 définit une
méthodologie de sécurisation des applications, et particulièrement des
applications web et des webservices. Cette norme précise tous les
points qui doivent faire l'objet d'un test avant la mise en production
d'une application en ligne. HSC propose désormais une formation
technique et pratique, avec un ordinateur par stagiaire, pour apprendre
à mettre en oeuvre l'intrusion des serveurs et applications web
conformément à la norme ISO 27034. Plusieurs organismes de certification
préparent une certification, qu'HSC proposera dès qu'elle sera prête.
Cela permettra aux stagiaires d'obtenir la reconnaissance de leur compétence
technique en obtenant la certification ISO 27034 Lead Penetrator.
Première session à Paris du 5 au 9 juillet 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/lead_penetrator.html
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 6. Nouvelle formation : Information Security Foundations ]----------
Avec Certification EXIN.
La société néerlandaise EXIN est le pionnier et n°1 mondial devant
le britannique ISEB des certifications de compétences dans la production
informatique, telles que la certification "ITIL Foundations".
EXIN propose désormais des certifications en sécurité des systèmes
d'informations, dont la première est une certification pour débutants,
accessible à tous, intitulée "Information Security Foundations", basée sur
le référentiel téléchargeable en ligne sur le web d'EXIN :
http://www.exin.org/Exams/Exam%20program/ISO%20IEC%2027000/~/media/Documents/ISFS%20book%20%20%20English%20%20%20Final%20incl%20index%20pdf.ashx
HSC vous propose une formation de deux jours, incluant la certification,
vous permettant de vous former aux principes de base de la SSI.
Première session le 10 et 11 mai 2010.
Session suivante les 12 et 13 juillet 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/isf.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 7. HSC certifié ISO 9001 sur le périmètre des formations certifiantes ]
HSC a été certifié ISO 9001:2008 par Moody International
(http://www.moodyint.com/) sur le périmètre des formations certifiantes
(ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, ISO 27005 Risk Manager
et Information Security Foundations). Cela atteste que nous avons un système
de management de la qualité qui fonctionne et vous garantit la prise en compte
effective de vos remarques à l'issue de nos formations.
--[ 8. LSTI approuvé membre à part entière d'IPC ]----------------------
C'est une nouvelle reconnaissance internationale pour LSTI qui a
été approuvé membre à part entière ("full member") d'IPC pour ses
certifications ISO 27001 Lead Auditor et ISO 27001 Lead Implementer.
IPC, International Personnel Certification Association (www.ipcaweb.org),
anciennement IATCA (International Auditor and Training Certification
Association), est l'association internationale des certifications de
personnes, et membre de l'IAF, International Accreditation Forum,
(www.iaf.nu).
LSTI (www.lsti-certification.fr) est l'organisme de certification
choisi par HSC pour ses formations ISO 27001 Lead Auditor, ISO 27001 Lead
Implementer et ISO 27001 Risk Manager.
LSTI est le seul organisme à être accrédité par le COFRAC (www.cofrac.fr)
pour ses certifications de compétences ISO 27001, et très rares sont les
organismes accrédités, comme CEPAS en Italie. Notamment, aucun organisme
anglo-saxon n'est accrédité. LSTI est le premier au monde approuvé à part
entière par l'IPC pour des certifications de compétences ISO 27001, ses
prédécesseurs l'ont été pour des certifications de compétences ISO 9001 ou
sur des référentiels métiers.
LSTI est le seul et unique organisme de certification de compétence
présent sur le marché français à apporter l'indépendance entre formation
et certification, et le seul à permettre la reconnaissance internationale
de ses certifications.
Le communiqué de presse complet :
http://www.hsc.fr/presse/communiques.html.fr#100310
--[ 9. Prix de l'Innovation des Assises de la Sécurité ]----------------
Pour la 5ème année consécutive sera décerné le Prix de l'Innovation
des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
6 au 9 octobre 2010. Vous y retrouverez HSC qui est partenaire des
Assises 2010.
Le comité de sélection du Prix 2010 est composé de :
Hervé Schauer, HSC, animateur du comité de sélection
Didier Gras, RSSI Groupe BNP Paribas, co-animateur
Charles Berdugo, CEO, ma-residence.fr
David Crochemore, FSSI, Ministère de la Justice
Yvon Klein, directeur technique, CERT-IST
Thierry Olivier, Responsable Sécurité du SI, SFR
Benoît Perrot, Directeur d'investissement, ACE Management
Marc Rambert, CEO Kalistick (société lauréate en 2009)
Sylvain Thiry, RSSI, Groupe SNCF
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès aux Assises
de la Sécurité afin de démontrer son produit ou son service, avec la
remise du prix en séance plénière le jeudi 7 octobre 2010, et un paquetage
d'une valeur de 24000 euros :
- un espace d'exposition pour démontrer sa solution et rencontrer
les invités, la presse, etc. ;
- un atelier pour présenter sa solution sous forme de conférence.
Le prix est ouvert aux entreprises créées en 2008, 2009 ou 2010.
Les critères utilisés par le comité de sélection sont notamment :
- le caractère innovant et nouveau du produit ou service présenté ;
- l'intérêt pour les RSSI et les métiers associés ;
- les innovations technologiques dans la solution présentée ;
- l'état d'avancement du projet et sa pertinence sur la marché.
Le règlement complet et le dossier de candidature sont disponibles
en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
http://www.lesassisesdelasecurite.com/Accueil/prix.aspx
Le dossier complet doit être envoyé sous format électronique avant le
31 mai 2010 à l'adresse sophie at dgconsultants.fr
N'hésitez pas à renvoyer cette annonce et à faire part de votre intérêt
à candidater auprès d'Hervé Schauer ou de Didier Gras.
--[ 10. Offres de stages techniques et organisationnels en sécurité ]---
HSC recherche des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle. Voici quelques
exemples de sujets envisageables :
- Étude de la sécurité de Minix 3.
- Étude et développement d'un guide d'audit pour Microsoft Sharepoint 2007.
- Étude des nouveautés sécurité de Microsoft Exchange 2010, écriture d'outils
d'audit en PowerShell et évolution d'un guide de sécurisation Exchange
2007.
- Étude des technologies et de l'existant, puis développement d'un outil
maison permettant de récupérer à distance les empreintes de mots de passe
Windows, quelque soit la technologie distante (Windows Server 2008 R2,
Windows 7).
- Préparation d'une base de données de gestion des risques selon les
principes de la norme ISO 27005 afin de consolider le travail des
consultants et les assister : en dressant une liste d'actifs typiques
structurée, pour chaque risque identifié en formalisant des mesures de
sécurité types liées aux référentiels courants, et même travail sur des
processus métiers types, dans un premier temps IT (ex : développement,
hébergement, gestion des changements, etc.).
- Développement de questionnaires adaptés aux principes de la norme
ISO 27005, permettant d'identifier et de valoriser ou d'estimer les
actifs et les risques chez nos clients, et réduire la durée des phases
d'entretiens.
- Création d'un référentiel d'évaluation du niveau de maturité des mesures
de sécurité types liées aux référentiels courants (ISO 27002, CobIT,
PCI-DSS, RGS, Agrément à l'hébergement des données médicales personnelles,
ARJEL, etc.) et définition de plans d'actions associés à chaque niveau de
maturité.
- Réalisation d'outils permettant de faciliter la mise en oeuvre des
appréciation des risques selon les principes de l'ISO 27005.
Les stagiaires HSC ont accès à toutes les formations nécessaires à
l'accomplissement de leur stage (Formation pratique aux tests d'intrusion,
ISO 27001 Lead Auditor, ISO 27005 Risk Manager), etc.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
--[ 11. Agenda des interventions publiques ]----------------------------
- 1er avril 2010 : Assemblée Générale Habsis - Paris
"Panorama de la cybercriminalité du Clusif : GSM + Services Généraux sur
IP" et "Cloud Computing, quels risques ?" - Hervé Schauer
http://www.habsis.org/hlm%5CHabsisWeb.nsf/W2CJR/B3D1E39769E446ACC12576DB0029C06C?opendocument
- 8 avril 2010 : Clusir Midi-Pyrénées - Toulouse
"Panorama de la cybercriminalité du Clusif : GSM + Services Généraux sur
IP" - Hervé Schauer
http://www.clusir-mp.asso.fr/pub/actualite.php?id=36#109
- 13 avril 2010 : Conférence Sécurité Management - Paris
"Cloud Computing, quels risques ?" - Elisabeth Manca
http://pro.01net.com/rub/01net-pro/10239/01net-pro/special-dsi/
- 6 mai 2010 : Solutions Cloud Computing + Solutions Data Center - Paris
Table-ronde "Contrôles d'accès physiques et logiques - Sécurité des
données" - Hervé Schauer
http://www.datacenter-cloud.com/
- 12 mai 2010 : Clusir Rhone-Alpes - Lyon
"Panorama de la cybercriminalité du Clusif : GSM + Services Généraux sur
IP" - Hervé Schauer
http://www.clusir-rha.fr/
- 10 juin 2010 : Symposium SSTIC 2010 - Rennes
"La sécurité des systèmes de vote" - Frédéric Connes
http://www.sstic.org/2010/presentation/Securite_des_systemes_de_vote/
- 11 juin 2010 : Symposium SSTIC 2010 - Rennes
"JBOSS Application Server : exploitation et sécurisation"
Renaud Dubourguais
http://www.sstic.org/2010/presentation/JBOSS_AS_Exploitation_et_Securisation/
- 25 juin 2010 : RSSI 2010 - Bordeaux
Participation à la table ronde : "Management des risques en sécurité de
l'information" - Hervé Schauer
http://www.clusir-aquitaine.fr/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 11. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Sécurité du WiFi ..................... : 1 et 2 avril (*)
Mutualisation ISO 27001/autres référentiels : 6 avril
Présentation de la certification ISO 27001 : 7 avril
Indicateurs & tableaux de bord SSI/ISO27004 : 8 avril
ISO 27001 Lead Implementer .......... : 12 au 16 avril (#)
Réalisation pratique des Tests d'Intrusion : 19 au 23 avril (*)
ISO 27005 Risk Manager .............. : 26 au 28 avril (#)
Fondamentaux techniques de la SSI ... : 29 et 30 avril
ISO 27001 Lead Implementer .......... : 3 au 7 mai
Sécurité Windows .................... : 10 et 11 mai
Information Security Foundations .... : 10 et 11 mai (#)
Sécurité des serveurs et applications web : 10 au 12 mai (*)
ISO 27001 Lead Auditor .............. : 17 au 21 mai (#)
Sécurité de la VoIP .................. : 25 mai
ISO 27005 Risk Manager .............. : 26 au 28 mai (#)
Juridique de la SSI ................. : 31 mai au 1 juin
Mesures de sécurité ISO 27002 ........ : 3 et 4 juin
ISO 27001 Lead Implementer .......... : 7 au 11 juin (#)
Réalisation pratique des Tests d'Intrusion : 14 au 18 juin (*)
Formation RSSI ...................... : 21 au 25 juin
Sécurité du Cloud Computing ......... : 23 au 25 juin
Correspondant Informatique et Libertés . : 1 et 2 juillet
ISO 27034 Lead Penetrator ........... : 5 au 9 juillet (*) (#)
ISO 27001 Lead Auditor .............. : 5 au 9 juillet (#)
ISO 2000-1 Lead Auditor ............. : 13 au 17 septembre
Gestion des identités et des accès .. : 27 au 29 septembre
Sécurité des serveurs et applications web : 27 au 29 septembre (*)
Programmation sécurisée en PHP ...... : 3 au 5 novembre
(*) : formations pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
- Genève (Suisse)
ISO 27005 Risk Manager .............. : juin (date en cours
de sélection)
- Luxembourg
ISO 27001 Lead Auditor .............. : 26 au 30 avril (#)
ISO 27005 Risk Manager .............. : 17 au 19 mai (#)
ISO 27001 Lead Implementer .......... : 14 au 18 juin (#)
- Lyon
ISO 27005 Risk Manager ............... : 2 au 4 juin (#)
- Nantes
ISO 27005 Risk Manager .............. : 11 au 13 octobre (#)
- Nice
ISO 27001 Lead Implementer .......... : 28 juin au 2 juillet (#)
- Strasbourg
ISO 27005 Risk Manager .............. : 22 au 24 novembre (#)
- Toulouse
ISO 27005 Information Security Risk Manager : 3 au 5 mai (#)
ISO 27001 Lead Implementer .......... : mars 2011 (#)
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et formations certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
HSC est allé donné des formations inter-entreprise à Marseille, Niort,
Papeete, Rennes, etc à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc-formation.fr/
--[ 12. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 24 juin chez IBM
- "Retour d'expérience de la certification Orange Business Services
à Rennes", Eric Wiatrowski, Orange-France Télécom
- "Retour d'expérience d'utilisation des normes chez Cofinoga",
Guillaume Corbille, Cofinoga
. Réunion suivante à Paris le jeudi 16 septembre puis conférence
fin novembre ou début décembre
. Prochaine réunion à Toulouse en mai
Le groupe de Toulouse a désigné de nouveau animateurs : Claire Albouy,
CNAM-TS, Laurent Piedbois, Airbus et Olivier Poussin, ASP, en
remplacement de Dominique Pourcellié.
La présentation faite par Hervé Schauer sur la politique de sécurité
est disponible :
http://www.hsc.fr/ressources/presentations/club27-tls-pol/
. Prochaine réunion à Marseille en mai
Les animateurs recherchent des propositions de présentations
. Prochaine réunion à Rennes prochainement
Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris mardi 13 avril
- Artica Linux, Florent Tougeron, Artica Technology
- Seconde conférence en cours de confirmation
- Revue d'actualité
. Réunion suivante à Paris mardi 11 mai 2010
- Sourcefire
. Réunion suivante à Paris mardi 8 juin 2010
. Prochaine réunion à Toulouse le 25 mai 2010 à 13h45
- "Vers une notification obligatoire des failles de sécurité
en entreprise ?", Bruno Rasle, AFCDP
. Prochaine réunion à Rennes le 29 avril
. Prochaine réunion à Lyon le 16 ou le 22 ou le 29 avril (date
définitive en cours de confirmation)
- Les PME françaises contre la mafia russe et les hackers chinois,
Nicolas Ruff, EADS IW
--[ 13. Le saviez vous ? La réponse ]------------------------------------
Les éditeurs de texte tels que vi, vim ou emacs proposent à l'utilisateur
de pouvoir exécuter des commandes arbitraires sur le système. En particulier,
sous vim, il suffit de taper :! suivi d'une commande (par exemple /bin/sh)
pour obtenir un shell. C'est ce qu'on appelle une "shell escape".
Pour des raisons de sécurité, il est possible d'interdire aux utilisateurs
ces exécution de commandes. Vim dispose en effet d'un mode restreint,
déclenché en appelant le programme ainsi :
$ vim -Z
ou
$ rvim
D'autres programmes proposent des mécanismes semblables, comme less par
exemple qui peut être restreint en plaçant la variable d'environnement
LESSSECURE à la valeur 1.
Le problème est d'autant plus important quand ces éditeurs sont appelés
avec la commande sudo, puisque les commandes ainsi exécutées le seront
souvent avec des droits privilégiés (root), faisant alors le jeu des
consultants en sécurité ou d'utilisateurs malveillants.
sudo propose deux solutions à l'exécution de commandes arbitraires :
- d'une part l'utilisation de la commande sudoedit (qu'un utilisateur peut
appeler par "sudo -e" également), qui va déclencher l'édition du fichier en
mode non-privilégié, après l'avoir copié dans un répertoire dédié.
Cette méthode nécessite que sudoedit fasse partie des commandes
autorisées pour l'utilisateur.
- d'autre part, sudo propose le mode "noexec", utilisable ainsi dans le
fichier sudoers :
utilisateur ALL = NOEXEC: /usr/bin/more, /usr/bin/vi, /usr/bin/less
Ceci nécessite que sudo soit compilé avec l'option --with-noexec :
--with-noexec=PATH chemin absolu vers sudo_noexec.so
sudo procédera alors au chargement de la bibliothèque sudo_noexec.so, qui
interceptera les appels des fonctions de type exec*() et interdira leur
usage.
Bien évidemment, ceci ne protège pas d'erreurs de configuration manifestes,
comme des fichiers /etc/sudoers modifiables par les utilisateurs, ou des
programmes ou scripts accessibles en écriture pour tous, mais également
exécutables par sudo...
-- JR
Plus d'informations sur la liste de diffusion newsletter