[Newsletter HSC] N°69 - Mai 2010
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 4 Mai 10:59:18 CEST 2010
========================================================================
HSC Newsletter -- N°069 -- mai 2010
========================================================================
"Le sexe masculin est ce qu'il y a de plus léger au monde, une simple
pensée le soulève."
[ Frédéric Dard ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial : jeux en ligne
2. Le saviez vous ? La question
3. Compte-rendu du FIC 2010
4. Nouvelle formation : Correspondant Informatique et Libertés
5. Nouvelle formation : Information Security Foundations, certif. EXIN
6. Appel à communication pour la conférence "SMSI et normes ISO 27001"
7. Appel à communication des GS-Days 2010
8. Offres de stages techniques et organisationnels en sécurité
9. Nouveautés du site web HSC
10. Agenda des interventions publiques
11. Prochaines formations HSC
12. Actualité des associations : Club 27001 et OSSIR
13. Le saviez vous ? La réponse
--[ 0. Poisson d'Avril]-------------------------------------------------
La formation ISO 27034 Lead Penetrator annoncée dans la Newsletter
envoyée le 1er avril était un poisson d'avril. Cette formation
n'existe pas.
--[ 1. Editorial ]------------------------------------------------------
Le 6 Avril 2010, l'Assemblée Nationale a voté en seconde lecture le
projet de loi « relatif à l'ouverture à la concurrence et à la régulation
du secteur des jeux d'argent et de hasard en ligne » . L'ensemble
du dossier, de ses péripéties est disponible sur le site de l'Assemblée
Nationale : http://www.assemblee-nationale.fr/13/dossiers/jeux_argent.asp
Le projet est actuellement en cours d'examen au Conseil Constitutionnel
saisi par le groupe Socialiste, il doit statuer avant le 13 Mai. Il restera
encore l'aval de la Commission Européenne (actuellement saisie d'une demande
d'information de la part de l'Île de Malte) et la publication des décrets
pour que l'ARJEL (http://www.pre-arjel.fr/) puisse commencer à distribuer
des licences.
Elle le fera dans des conditions probablement difficiles, le but étant
que les licences de paris sportifs soient délivrées avant le début de la
Coupe du Monde de Football. Elle a pour cela mis au point un cahier des
charges techniques très intéressant, imposant des contraintes fortes sur
la traçabilité et la sécurité des jeux. On peut saluer le travail effectué,
suffisamment précis et détaillé pour ne pas être détourné vers le slide-audit
habituel des certifications.
La licence impose notamment que les codes des applications (Web ou
lourdes, pour les jeux de poker notamment) aient été audités, que les
générateurs aléatoires soient vérifiés et que les sites aient subi un test
intrusif.
Ces demandes ont généré un rush des candidats à la licence vers les
sociétés spécialisées dans la sécurité, leur demandant toutes en même
temps d'auditer parfois plusieurs centaines de milliers de ligne de code,
parfois dans des langages improbables. Ces demandes ont généré un
assèchement des ressources (parfois rares) inédit dans le monde finalement
restreint des sociétés de conseil en sécurité françaises. On peut se
demander d'ailleurs pourquoi ces applications là n'ont pas été revues
précédemment, l'offre légale étant dans la plupart des cas une copie de
l'offre illégale précédente...
La sécurité et la précipitation ne faisant pas forcément bon ménage, le
challenge pour nous est donc de répondre au mieux aux demandes, en cadrant
les projets, et en refusant quand les délais, les conditions ou l'intérêt
de l'audit sont trop difficiles ou faibles (il faudra me prouver qu'auditer
du code COBOL dans un back-office protégé par 5 tiers applicatifs a un
intérêt pour la sécurité).
Les prestations avancent, troublées évidemment par la disponibilité des
plates-formes en cours de montage, ou de code "disponible mais qui ne
marche pas encore !". Cahin-caha, HSC (et ses concurrents évidemment)
essayent de répondre au mieux à un cahier des charges encore non officiel
d'une autorité de régulation pas installée d'une loi qui peut encore être
retoquée.
Les premiers résultats sont néanmoins encourageants et les futurs joueurs
doivent être rassurés : l'argent qui n'est plus à eux sera en sécurité.
-- Alain Thivillon, Directeur Technique HSC
--[ 2. Le saviez vous ? La question ]-----------------------------------
Il est simple de calculer le nombre de combinaisons d'un mot de passe en
connaissant l'alphabet et le nombre de caractères utilisé. Mais savez-vous
calculer le nombre de combinaisons possibles d'une clé RSA ?
Réponse au paragraphe 13
--[ 3. Compte-rendu du FIC 2010 ]---------------------------------------
Raphaël Marichez
Le Forum International sur la Cybercriminalité (FIC) s'est tenu à Lille
les 31 mars et 1er avril 2010. Un événement majeur et original associant
conférences plénières et ateliers d'experts. Des plénières avec de hautes
personnalités, du Préfet Jounot (DPSN) au sénateur Türk (CNIL), mais aussi
MM. Henry (directeur de la sûreté SNCF) et Wainwright (directeur d'Europol).
Des ateliers faisant intervenir l'ANSSI, le CLUSIF, l'Ordre des médecins...
HSC a assisté au FIC 2010 et propose une synthèse choisie.
Après un discours de M. Hortefeux lu par le Préfet du Nord, de région et de
la zone de Défense Nord M. Bérard, la première session plénière est
consacrée à la coopération européenne. Europol et Eurojust présentent leurs
missions : pour Europol, opérations transfrontalières contre la
cybercriminalité en Europe (traffic humain, exploitation sexuelle, fraude,
terrorisme), tandis que les magistrats d'Eurojust facilitent les exécutions
des procédures judiciaires trans-frontières. M. Loubens, son représentant
français, développe deux affaires (Rimonabant et opération "Koala"),
concernant respectivement une contrefaçon de médicaments suite à un vol chez
Sanofi et un réseau de pornographie infantile étendu sur 19 pays. Alexandre
Seger (Conseil de l'Europe) présente les intérêts de la convention
internationale de Budapest qui a largement dépassé les frontières de
l'Union, et met l'accent sur le besoin actuel de coopération public-privé.
L'atelier sur les systèmes d'informatique industrielle (SII) associant
l'ANSSI, le CLUSIF, l'ISA France, Michelin, le ministère de l'industrie et
la gendarmerie, fait le constat de l'extrême vulnérabilité des systèmes de
contrôles industriels aggravée par trois facteurs : très long cycle de vie
des équipements (jusqu'à 30 ans) avec une absence d'évolutivité, non prise
en compte de la SSI par l'ensemble des équipementiers lors de la conception,
et banalisation entraînant l'homogénéisation des vulnérabilités par
l'irruption du tout-IP et du logiciel. De plus, l'isolation des réseaux
industriels se révèle être un échec face aux besoin de télé-maintenance ou
de pilotage depuis les bureaux, et la ressource humaine experte à la fois en
SSI et en SII est trop rare par manque de formations adaptées en France. Les
intervenants regrettent également que les incidents réels, dont de nombreux
exemples sont fournis par M. Lointier grâce aux Panocrims du CLUSIF, soient
si peu connus des industriels, et généralement masqués. Ils constatent
également que le modèle de la sûreté de fonctionnement et de la redondance
des machines-outils se trouve inefficace face à une vulnérabilité logicielle
permettant une intrusion. Il est vrai que l'exigence traditionnelle de
l'industriel sur son système d'information est la disponibilité, au
détriment de la confidentialité. Cependant : les formations professionnelles
adaptées proposées dorénavant par les Etats-Unis sont considérées par
l'Europe avec intérêt ; l'ISA (International Society of Automation) anime un
projet très large de normalisation de la SSI dans le milieu de
l'informatique industrielle ; le Ministère de l'industrie et la gendarmerie
animent les sensibilisations en entreprises ; la réglementation des secteurs
d'importance vitale commence à être appliquée par les industriels ; les
britanniques animent un forum d'échange entre les mondes de la SSI et de la
SII, qui sera ouvert aux pays d'Europe. On regrettera juste l'absence de
juristes à cet atelier.
Le mois d'avril démarre par la session plénière consacrée à l'OSCE. C'est
ici la lutte anti-terroriste qui est avant-tout considérée. Le criminologue
Marco Gercke (Cybercrime Research Institute) rappelle que les sources
ouvertes d'internet servent au ciblage des attaques conventionnelles.
L'inspecteur de New Scotland Yard Keith Verralls détaille trois cas de
"cyber-jihadisme". Leurs points communs sont : l'utilisation des forums
permettant la communication rapide entre les organisations, ainsi que le
recrutement et la propagande ; la répartition des rôles entre webmestres,
fournisseurs de contenu et financiers (grâce à la fraude conventionnelle sur
les cartes bancaires) ; le profil des cyber-jihadistes ("lone actors in
suburban basements"), jeunes et bien éduqués, au sein même des métropoles
européennes.
L'atelier sur la coopération public/privé rassemble le collège inter-armée
de défense (CID), l'ANSSI, le CGIET, et les sociétés CEIS, EADS et Thalès.
M. Tissier de CEIS constate la fin de la vision traditionnelle d'un internet
gouverné par la logique commerciale et privée : avec la dépendance des
secteurs d'activité d'importance vitale au monde privé et à internet, une
"reprise en main" politique est une tendance inévitable, opposant régulation
et laxisme des paradis numériques émergents. De plus, si l'arme informatique
proliférante est aujourd'hui utilisée pour exprimer son mécontentement
(hacktivisme), elle peut également s'attaquer à la souveraineté des états.
La coopération entre pouvoirs publics, FAI et citoyens doit être recherchée
en comprenant les intérêts de chacun, ce qui ne signifie pas une absence
totale de frictions. Les intervenants mettent tous en avant le facteur
humain dans la sensibilisation d'abord, mais aussi la gestion de la crise,
la répartition des rôles entre public et privé, la conduite d'exercices pour
l'instant marginale en SSI, l'anticipation des attaques et la compréhension
de la menace (savoir qui nous attaque est primordial pour agir en réponse),
ainsi que la recherche d'une normalisation des bonnes pratiques du secteur.
En ce sens, l'ANSSI annonce la publication proche de son guide sur
l'externalisation. Philippe Wolf (ANSSI) et Stanislas de Maupeou (Thalès)
s'accordent pour regretter l'absence de coopération européenne réellement
effective et donc de "souveraineté numérique" européenne. En attendant,
certains acteurs privés et étrangers deviennent de véritables états et sont
capables de couper des accès majeurs au réseau, ou bien, deviennent des
fournisseurs stratégiques comme sur les anti-virus. La sous-traitance de 80%
des activités vitales au monde du privé (selon CEIS) fait partie des données
du problème. Un cadre juridique commun fait défaut, la convention de
Budapest étant centrée sur d'autres aspects. Encore faut-il être en mesure
de détecter et de remonter les attaques.
La session plénière de 14H, consacrée aux enjeux de sécurité nationale,
accueille sous forme de table ronde le HFDS de l'Economie, l'adjoint du
Délégué interministériel à l'intelligence économique (DDIE), le directeur de
l'ANSSI, le directeur de la sûreté de la SNCF et le directeur de la
planification de sécurité nationale. L'étendue et le niveau des débats en
empêchent un rendu exhaustif. Simplement, citons d'abord le domaine des
pôles de compétitivité, au même titre que celui du monde de la recherche
avec des laboratoires appartenant à plusieurs entités juridiques : le
cloisonnement de l'information dans ce monde d'échanges et de coopérations
est très peu considéré, à tel point qu'une personne du public nous fait part
de l' "océan d'incompréhension" auquel elle est confrontée dans ses
conférences sur la sécurité économique auprès du monde de la recherche. M
Sartorius (ministère de l'économie) souligne le manque de préparation des
PME, qui au contraire des grands groupes ne participent pas aux réseaux de
réflexion comme le CLUSIF. M. Gray (DIIE) plaide pour une intégration de la
SSI dans les formations à l'IE. Bien que la France n'ait plus à rougir de sa
politique publique relative à l'IE, les relations entre les citoyens et le
monde de l'entreprise d'une part, et les rapports entre Etat et secteur
privé d'autre part, restent selon lui problématiques. M. Pailloux (ANSSI)
saisit l'occasion pour mettre en avant les rôles étendus de l'ANSSI, qui se
consacre dorénavant à l'ensemble de la société bien au-delà du seul secteur
classifié de défense. Il confirme les difficultés des partenariats
public/privé, selon lui conséquence de la culture historiquement régalienne
et centralisatrice française. Il met en avant la maturité en matière de
coopération, de gestion des incidents et des exercices, des secteurs
nucléaires et aériens, et plaide pour que la SSI se bâtisse en en tirant
parti. On notera également avec humour son ambition de "sécuriser et
nationaliser l'internet", sans oublier la date du jour (1er avril). Le
directeur de la sûreté de la SNCF quant à lui rappelle son statut d'OIV et
l'omniprésence de l'informatique : il cite deux anciennes attaques sérieuses
(phishing et DDoS) qui ont été traitées avec rapidité et avec l'aide de
l'Etat, et y oppose la récente et médiatisée fuite de donneés personnelles,
quant à elle, insignifiante du point de vue de l'OIV. Cependant, cette
médiatisation rappelle l'importance de se préparer à la communication de
crise. Les questions du public ont ensuite orienté les discussions sur le
CSPN, sur la mise en quarantaine des PC revenant de l'étranger, en terminant
par le constat que les systèmes d'information éprouvés sont rarissimes : on
ne peut pas écarter les systèmes en lesquels on n'a pas une confiance
entière, au risque de ne plus rien conserver.
L'atelier sur le secteur de la santé associait le FSSI-adjoint du ministère
de la santé, l'office de lutte contre les atteintes à l'environnement et à
la santé publique, l'ordre des médecins (CNOM), le collectif
inter-associatif de santé (CIS), et la "société française de catastrophe"
(SFC). Les intervenants s'accordent sur le caractère embryonnaire de la SSI
dans la santé, mais surtout s'alarment de l'inefficacité des textes
existants, qu'il s'agisse des règlements ou des normes de bonnes pratiques,
inapplicables sur le terrain. Pourtant, le vice-président du CNOM rappelle
l'urgence au moment où le DMP arrive, où l'information de l'Institut Curie
est 100% dématérialisée, où même un défibrilateur communiquant avec un site
berlinois vient d'être agréé. En parallèle, la désinformation médicale sur
internet est un risque de santé publique, de même que la vente illégale ou
la contrefaçon de médicaments, passibles selon le cas du délit d'"exercice
illégal de la pharmacie". Pour revenir aux soins en eux-mêmes, tout en ayant
conscience qu'une partie des risques provient de l'extérieur de la chaîne de
soin (à commencer par l'ordinateur du patient lui-même), le président du CIS
indique que les associations de patients mettent en avant les chances d'être
bien soigné au détriment de la SSI, vue comme un risque d'être mal soigné.
Ces mêmes associations ont accepté le DMP à condition d'y protéger
efficacement les données sur la vie privée. Finalement, les intervenants
déplorent l'inadéquation des textes existants et le manque de compétence
humaine SSI dans le monde de la santé.
La session plénière de clôture, sur le droit à l'oubli numérique, nous
gratifie encore de débats de haute volée dont ne suivent que quelques
échanges. S'y côtoient les sénateurs Alex Türk (CNIL) et Yves Détraigne, les
avocats Me Poidevin et Me Ricouart-Maillet, et le LCL Eric Freyssinet. Le
président de la CNIL débute avec pragmatisme : il ne croit pas les syndicats
professionnels lorsqu'ils annoncent leur engagement à ne jamais utiliser les
réseaux sociaux pour surveiller leurs salariés. Me Poidevin rebondit sur
l'absence effective de droit à l'oubli dans le monde professionnel, en
citant le cas d'un patron qui a réutilisé, avec succès, le mot de passe
professionnel d'un ex-salarié sur la messagerie personnelle Gmail de ce
dernier. D'après elle, les outils juridiques français permettent d'agir
contre les grands organismes comme Facebook, encore faut-il avoir une
société qui ose intenter une action. Alex Türk relève le refus permanent des
grands acteurs américains d'appliquer le droit européen sur le sol européen,
alors que dans d'autres domaines, comme la santé et la sûreté des personnes,
les états européens appliquent leur souveraineté. Le Safe Harbour fonctionne
mal alors que les enjeux économiques sont essentiels. Par ailleurs, dit-il,
Google bénéficie d'une bonne opinion des internautes, ce qui légitime les
actions de Google, alors que ces mêmes internautes admettent que leurs
données y sont activement exploitées. Le G29 se heurte aux désaccords de
certains pays, aussi M. Türk plaide pour que les pouvoirs publics portent
les propositions du G29 au niveau des organisations internationales.
Plusieurs des intervenants considèrent que les outils juridiques existants
seraient efficaces à condition de revenir au modèle client-fournisseur
classique, au lieu du simple usage d'un service non réglementé : Me Poidevin
pense que le non-respect des législations nationales provient indirectement
de la gratuité de ces services, qui incite l'internaute à se considérer
comme simple usager et non comme client bénéficiant de droits. Pour Me
Ricouard-Mallet, bien que non explicites dans la loi française, l'existence
et l'applicabilité du droit à l'oubli sont consacrés par les tribunaux, du
moins en Europe.
En ce qui concerne les difficultés techniques avancées par les acteurs, M.
Türk comme Me Martine Ricouart-Maillet sont persuadés qu'il s'agit d'un faux
prétexte, et M. Türk ré-affirme la position ferme de la CNIL au sujet de
l'encadrement de l'usage des données d'élèves du primaire à 95% sur
Facebook. La pédagogie commence par celle des parents, et pour M. Détraigne
le brevet informatique et internet (B2i) en est une autre piste. La
Commission européenne réfléchit également à un éventuel standard d'exigences
permettant la maîtrise de ses données personnelles. Au niveau des lois,
outre la très proche pénalisation de l'usurpation d'identité numérique
promise au FIC 2009, Eric Freyssinet met en avant le signalement des
incidents sur les données personnelles : avec une gestion des incidents
"positive" et bien préparée, le signalement devient naturel et
l'amélioration du système est au rendez-vous. Cependant, il ne faut pas
oublier la nécessaire conservation de certaines données afin de protéger les
victimes, avec le soucis d'un certain équilibre. M. Détraigne mentionne le
retard de sensibilisation "informatique et liberté" qu'il constate dans les
collectivités locales par rapport aux entreprises. Quant à la CNIL, qui se
veut exemplaire, et aux équipes d'enquêtes judiciaires, Alex Türk et Eric
Freyssinet témoignent d'une grande transparence et d'une grande efficacité
des contrôles et des traçabilités lors des accès aux bases de données
judiciaires par les enquêteurs. Et, bien que les cadres juridiques
diffèrent, les coopérations judiciaires entre la gendarmerie française et
les Etats-Unis sont performantes, avec des exercices réguliers en matière de
lutte contre la cybercriminalité. En revanche, M. Freyssinet s'inquiète
davantage des masses de données stockées à l'étranger dans les grandes
sociétés extra-nationales. De plus, il mentionne des défaillances de
protection des données légalement conservées par les acteurs privés, ainsi
que l'absence d'intégration de la sécurité juridique lors de la croissance
d'une entreprise : par exemple, en ayant oublié, comme chez Google, la
nécessaire présence de compétence humaine pour traiter les demandes des
autorités.
Le forum se termine par un discours mémorable du Général d'armée Marc
Watin-Auguouard associant cyberdéfense et anticipation de la cyberguerre.
Les compte-rendus des ateliers et les supports sont attendus sur le site du
forum : http://www.fic2010.fr/ .
--[ 4. Nouvelle formation : Correspondant Informatique et Libertés ]----
Le poste de CIL, Correspondant Informatique et Libertés, est
désormais une fonction clé au sein des entreprises, qu'il soit ou pas
déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
et informatique de plus en plus sensible, au coeur de la gouvernance
d'entreprise qui impose un haut niveau d'expertise.
La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
exerçant ou devant exercer les fonctions de Correspondant Informatique et
Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
missions. La formation est conçue par Frédéric Connes, docteur en droit,
également ingénieur en informatique et spécialisé en sécurité des systèmes
et réseaux, avec la contribution de l'équipe des consultants en sécurité
d'HSC.
La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
dont ils auront besoin pour mener à bien leurs missions, par une approche
se voulant résolument pratique et proche des problèmes concrets auxquels
un CIL est confronté quotidiennement. La formation traite notamment des
notions indispensables de sécurité de l'information.
Au-delà des personnes exerçant les attributions ou ayant vocation à
exercer dans un avenir proche les fonctions de correspondant informatique
et libertés, la "Formation CIL" d'HSC concerne les responsables informatique
confrontés aux problématiques informatique et libertés, qui pourront
approfondir leurs connaissances juridiques, tandis que les profils
juridiques ou juridico-techniques pourront compléter leurs connaissances
en informatique et sécurité de l'information.
La "Formation CIL" d'HSC ne demande aucune connaissance préalable en
droit et en informatique, et commence par exposer les bases de ces domaines
avant de traiter du coeur du sujet.
Le cours alterne les phases d'exposé magistral et d'exercices pratiques
invitant les participants à se mettre en situation et à réfléchir aux
possibilités de réponses juridiques et techniques aux problèmes concrets
qui leur sont posés.
Durée : 2 jours.
Formateur : Frédéric Connes, docteur en droit.
Premières sessions à Paris les 1er et 2 juillet, et les 21 et 22
octobre 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/cil.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 5. Nouvelle formation : Information Security Foundations ]----------
Avec Certification EXIN.
La société néerlandaise EXIN est le pionnier et n°1 mondial devant
le britannique ISEB des certifications de compétences dans la production
informatique, telles que la certification "ITIL Foundations".
EXIN propose désormais des certifications en sécurité des systèmes
d'informations, dont la première est une certification accessible à tous,
intitulée "Information Security Foundations". Cette certification est basée
sur le référentiel téléchargeable en ligne sur le web d'EXIN :
http://www.exin.org/Exams/Exam%20program/ISO%20IEC%2027000/~/media/Documents/ISFS%20book%20%20%20English%20%20%20Final%20incl%20index%20pdf.ashx
HSC vous propose une formation de deux jours, animée par Hervé Schauer,
incluant la certification, vous permettant de vous former aux principes de
base de la SSI.
Première session les 10 et 11 mai 2010.
Session suivante les 12 et 13 juillet 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/isf.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 6. Appel à communication 4ième conférence "SMSI et normes ISO 27001"]--
Le Club 27001 (http://www.club-27001.fr/), association à but non
lucratif, organise à Paris fin novembre 2010 (date en cours de confirmation)
sa quatrième conférence annuelle autour des normes ISO 27001.
La conférence annuelle du Club 27001 privilégie les retours d'expérience
dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
mise en oeuvre d'une des normes, leur usage, y compris sans certification.
Voici les thèmes sur lesquels nous attendons des propositions, sans
que ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. ISO 27003 et reprise de l'existant
. Comment engager la direction générale
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
ISO 27001
. Mise en place d'audits internes
. Utilisation de l'ISO 19011 et ISO 27006
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc
. Migration d'EBIOS ou Mehari vers ISO 27005
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Mutualisation, opposition, complémentarité, déclencheur, etc
. ISO 20000-1 / ITIL (services informatiques)
. BS25599 ou ISO 22301 (continuité d'activité),
. CobiT (audit informatique, contrôle interne)
. PCI-DSS, SoX, Bâle II, Solvency II, RGS, hébergeur données de santé,
ARJEL, etc
- Indicateurs, métriques et tableaux de bord
. Retour d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités.
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 9 juillet 2010 : date limite de réception des soumissions
- 17 septembre 2010 : notification aux auteurs et
publication du pré-programme
- 15 octobre 2010 : publication du programme définitif
- 19 novembre 2010 : réception des présentations
- fin novembre 2010 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Nicolas Andreu, Devoteam
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Bull
- Eric Doyen, Crédit Immobilier, président
- Emmanuel Garnier, Systalians, vice-président
- Catherine Guelou, CRAM-Bretagne
- Loic Guézo, IBM
- Bruno Michaud, Trans-Z
- Anne Mur, Edelweb
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, Thales
--[ 7. Appel à communication pour le colloque des GS-Days 2010 ]-----------
Les GS Days se dérouleront le 30 novembre 2010 à l'espace Saint-Partin
à Paris 3ième. Les GS Days, organisés par le magazine GlobalSecurityMag, ont
l'objectif d'établir le dialogue entre le monde de la technique
(administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Le
colloque proposera plusieurs cycles de conférences et de démonstrations
d'attaques informatique, sous un angle technique, organisationnel et
juridique.
Les thèmes retenus sont les suivant :
o Les aspects techniques et les attaques sur :
- Les navigateurs : XSS, CSRF, etc.
- Les OS
- Les technologies sans fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Le matériel : mémoire, interface FireWire, ACPI, etc.
- Les systèmes SCADA et l'informatique embarquée
o L'évolution des moyens de protection techniques
- Sur le Web : WAF, etc.
- Sur les données (DLP)
- Avec l'ouverture des SI et la dépérimétrisation
o Les aspects organisationnels et humains
- Ingénierie sociale
- Les nouveaux usages du SI : les réseaux sociaux et les applications
en ligne
- La gestion des risques opérationnels
- La gestion des risques du télétravail
- Les PCA et PRA
- Pourquoi et comment sécuriser l'information ?
- La doctrine SSI ou comment convaincre son entreprise d'investir dans
un projet de sécurité
- Comment sécuriser une architecture complexe dans un environnement
hétérogène ?
o Les aspects juridiques
- Les réseaux sociaux
- Le télétravail
- Les transactions électronique
- Les aspects contractuels des PCA/PRA
Les présentations attendues devront proposer une vision technique,
scientifique ou organisationnelle. Les présentations à fin commerciale
ou la présentation d'un produit ne seront pas acceptées. Cependant, les
propositions présentant une analyse technique de la sécurité d'un produit,
un comparatif fondé sur des tests scientifiques, et les retours
d'expérience avec un aspect technologique, seront examinées avec attention.
Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
précisera le titre de la communication et sa catégorie (Attaque, Technique,
Organisationnel & Humain, Juridique), les noms et prénoms du ou des auteurs
et leur affiliation, et l'adresse de courrier électronique d'au moins un des
auteurs.
Les conférences seront d'un format de 35 minutes, plus 5 minutes réservées
à des questions.
Le comité de programme qui sélectionnera les conférenciers et le contenu
du colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Olivier Guérin
(CLUSIF), Philippe Humeau (NBS), Diane Mullenex (Cabinet Ichay et Mullenex),
Olivier Revenu (EdelWeb), Hervé Schauer (HSC) et Paul Such (SCRT).
- Date limite de soumission : 25 juillet 2010
Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
- Notification aux auteurs : 20 septembre 2010
- Envoi des présentations définitives : 30 octobre 2010
- Conférence : 30 novembre 2010
Pour en savoir plus : http://www.gsdays.fr/
--[ 8. Offres de stages techniques et organisationnels en sécurité ]---
HSC recherche des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle. Voici quelques
exemples de sujets envisageables :
- Développement d'un outil de travail collaboratif pour les tests d'intrusion,
permettant de collecter, partager et analyser simplement les résultats de
certains outils.
- Étude des technologies et de l'existant, et réalisation d'un outil de
cassage des mots de passe utilisant les technologies de type CUDA.
- Étude des technologies et de l'existant, puis développement d'un outil
maison permettant de récupérer à distance les empreintes de mots de passe
Windows, quelque soit la technologie distante (Windows 2008R2, Windows 7).
- Étude et développement d'un guide d'audit pour Microsoft Sharepoint 2007.
- Étude des nouveautés sécurité de Microsoft Exchange 2010, écriture d'outils
d'audit en PowerShell et évolution d'un guide de sécurisation Exchange
2007.
- Préparation d'une base de données de gestion des risques selon les
principes de la norme ISO 27005 afin de consolider le travail des
consultants et les assister : en dressant une liste d'actifs typiques
structurée, pour chaque risque identifié en formalisant des mesures de
sécurité types liées aux référentiels courants, et même travail sur des
processus métiers types, dans un premier temps IT (ex : développement,
hébergement, gestion des changements, etc.).
- Développement de questionnaires adaptés aux principes de la norme
ISO 27005, permettant d'identifier et de valoriser ou d'estimer les
actifs et les risques chez nos clients, et réduire la durée des phases
d'entretiens.
- Création d'un référentiel d'évaluation du niveau de maturité des mesures
de sécurité types liées aux référentiels courants (ISO 27002, CobIT,
PCI-DSS, RGS, Agrément à l'hébergement des données médicales personnelles,
ARJEL, etc.) et définition de plans d'actions associés à chaque niveau de
maturité.
- Réalisation d'outils permettant de faciliter la mise en oeuvre des
appréciation des risques selon les principes de l'ISO 27005.
Les stagiaires HSC ont accès à toutes les formations nécessaires à
l'accomplissement de leur stage (Formation pratique aux tests d'intrusion,
ISO 27001 Lead Auditor, ISO 27005 Risk Manager), etc
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
--[ 9. Nouveautés du site web HSC ]-------------------------------------
- Présentation "Sécurité et informatique industrielle" par Hervé Schauer
le 16 avril 2010 au groupe de travail Netfocus
http://www.hsc.fr/ressources/presentations/netfocus10-scada/
- Présentation "Méthode de management des risques ISO 27005" par Hervé
Schauer le 15 avril 2010 à un groupe de travail de RSSI
http://www.hsc.fr/ressources/presentations/pres27005-10/
- Publication de la version 0.5 de dns2tcp le 14 avril 2010
Cette nouvelle version majeure apporte de nombreuses fonctionnalités
supplémentaires telles que la détection automatique de DNS, un
nouveau mode d'encapsulation des données, la possibilité d'effectuer un
"reverse shell" ou encore l'authentification cliente.
http://www.hsc.fr/ressources/outils/dns2tcp/
- Présentation "Les webshells, ou comment ouvrir les portes de son réseau ? "
par Renaud Dubourguais le 16 mars 2010 à la JSSI de l'OSSIR
http://www.hsc.fr/ressources/presentations/jssi2010_webshells/
- Communiqué de presse "Nouvelle reconnaissance internationale pour LSTI :
LSTI rejoint l'IPC." le 10 mars 2010, LSTI devient membre à part entière
de l'IPC (http://www.ipcaweb.org/) et affirme la reconnaissance
internationale de ses certifications ISO 27001 LA et LI, et ISO 27005 RM.
http://www.hsc.fr/presse/communiques.html.fr#100310
- Présentation "Politique de sécurité cohérente et pragmatique et ISO 27001"
par Hervé Schauer le 5 mars 2010 au Club 27001 à Toulouse
http://www.hsc.fr/ressources/presentations/club27-tls-pol/
- Brève "Présentation des possibilités de scripting du scanner réseau nmap"
par Julien Raeis et Jean-Baptiste Aviat le 2 février 2010
http://www.hsc.fr/ressources/breves/nmap-script.html.fr
--[ 10. Agenda des interventions publiques ]----------------------------
- 6 mai 2010 : Solutions Cloud Computing + Solutions Data Center - Paris
Table-ronde "Contrôles d'accès physiques et logiques - Sécurité des
données" - Hervé Schauer
http://www.datacenter-cloud.com/
- 12 mai 2010 : Clusir Rhone-Alpes - Lyon
"Panorama de la cybercriminalité du Clusif : GSM + Services Généraux sur
IP" - Hervé Schauer
http://www.ene.fr/fr/eneinformer/clubs/enesecurited/panorama-cybercriminalite.html
- 1er juin 2010 : Clusir Est - Metz
"Panorama de la cybercriminalité du Clusif : GSM + Services Généraux sur
IP" - Hervé Schauer
http://www.clusir-est.org/public/Evenements/Entr%C3%A9es/2010/3/1_Panorama_de_la_cybercriminalit%C3%A9_2010_.html
- 10 juin 2010 : Symposium SSTIC 2010 - Rennes
"La sécurité des systèmes de vote" - Frédéric Connes
http://www.sstic.org/2010/presentation/Securite_des_systemes_de_vote/
- 11 juin 2010 : Symposium SSTIC 2010 - Rennes
"JBOSS Application Server : exploitation et sécurisation"
Renaud Dubourguais
http://www.sstic.org/2010/presentation/JBOSS_AS_Exploitation_et_Securisation/
- 25 juin 2010 : RSSI 2010 - Bordeaux
Participation à la table ronde : "Management des risques en sécurité de
l'information" - Hervé Schauer
http://www.clusir-aquitaine.fr/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 11. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 3 au 7 mai (#)
Information Security Foundations .... : 10 et 11 mai (#)
Sécurité des serveurs et applications web : 10 au 12 mai (*)
ISO 27001 Lead Auditor .............. : 17 au 21 mai (#)
Sécurité de la VoIP .................. : 25 mai
ISO 27005 Risk Manager .............. : 26 au 28 mai (#)
Juridique de la SSI ................. : 31 mai au 1 juin
Mesures de sécurité ISO 27002 ........ : 3 et 4 juin
ISO 27001 Lead Implementer .......... : 7 au 11 juin (#)
Réalisation pratique des Tests d'Intrusion : 14 au 18 juin (*)
Formation RSSI ...................... : 21 au 25 juin
Sécurité du Cloud Computing ......... : 23 au 25 juin
ISO 27005 Risk Manager .............. : 28 au 30 juin (#)
Correspondant Informatique et Libertés . : 1 et 2 juillet
ISO 27001 Lead Auditor .............. : 5 au 9 juillet (#)
Information Security Foundations .... : 12 et 13 juillet (#)
ISO 2000-1 Lead Auditor ............. : 13 au 17 septembre (#)
Fondamentaux techniques de la SSI ... : 23 et 24 septembre
Essentiel de la série ISO27001 ...... : 23 et 24 septembre
Gestion des identités et des accès .. : 27 au 29 septembre
Sécurité des serveurs et applications web : 27 au 29 septembre (*)
Indicateurs & tableaux de bord SSI/ISO27004 : 30 septembre
Sécurité du WiFi ..................... : 30 sept. et 1er oct. (*)
Mutualisation ISO 27001/autres référentiels : 1er octobre
Réalisation pratique des Tests d'Intrusion : 4 au 8 octobre (*)
Formation RSSI ...................... : 11 au 15 octobre
Essentiel de PCI-DSS ................ : 21 octobre 2010
Sécurité Windows .................... : 25 et 26 octobre (*)
Sécurité Unix et Linux .............. : 27 et 28 octobre (*)
Programmation sécurisée en PHP ...... : 3 au 5 novembre (*)
Juridique de la SSI ................. : 29 et 30 novembre
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
- Genève (Suisse)
ISO 27005 Risk Manager .............. : 2011 (#)
ISO 27001 Lead Implementer .......... : 2011 (#)
ISO 27001 Lead Auditor .............. : 2011 (#)
- Luxembourg
ISO 27005 Risk Manager .............. : 17 au 19 mai (#)
ISO 27001 Lead Implementer .......... : 14 au 18 juin (#)
ISO 27005 Risk Manager .............. : 20 au 22 septembre (#)
- Lyon
ISO 27005 Risk Manager ............... : 2 au 4 juin (#)
- Nantes
ISO 27005 Risk Manager .............. : 11 au 13 octobre (#)
- Nice
ISO 27001 Lead Implementer .......... : 28 juin au 2 juillet (#)
- Strasbourg
ISO 27005 Risk Manager .............. : 22 au 24 novembre (#)
- Toulouse
ISO 27005 Information Security Risk Manager : 3 au 5 mai (#)
ISO 27001 Lead Implementer .......... : mars 2011 (#)
ISO 27005 Information Security Risk Manager : mai 2011 (#)
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
HSC est allé donné des formations inter-entreprise à Marseille, Niort,
Papeete, Rennes, etc à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 12. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 24 juin chez IBM
- "Retour d'expérience de la certification Orange Business Services
à Rennes", Eric Wiatrowski, Orange-France Télécom
- "Retour d'expérience d'utilisation des normes chez Cofinoga",
Guillaume Corbille, Cofinoga
. Réunion suivante à Paris le jeudi 16 septembre puis conférence
fin novembre ou début décembre
. Prochaine réunion à Toulouse annoncée prochainement
. Prochaine réunion à Marseille vendredi 25 juin
Les animateurs recherchent des propositions de présentations
. Prochaine réunion à Rennes annoncée prochainement
Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris mardi 11 mai
- Nouveautés se Snort par Yann Le Borgne et Jean-Paul Kerouanton
(Sourcefire)
- Projet Suricata par Franck Debieve
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris mardi 8 juin 2010
. Prochaine réunion à Toulouse le 25 mai 2010 à 13h45
- "Vers une notification obligatoire des failles de sécurité
en entreprise ?", Bruno Rasle, AFCDP
. Prochaine réunion à Rennes annoncée prochainement
. Prochaine réunion à Lyon en juin ou à la rentrée
--[ 13. Le saviez vous ? La réponse ]------------------------------------
La suite cryptographique OpenSSL génère des nombres premiers de n bits
en positionnant les 2 bits de poids fort à 1 :
Fichier crypto/rsa/rsa_gen.c :
102 bitsp=(bits+1)/2;
103 bitsq=bits-bitsp;
[...]
120 if(!BN_generate_prime_ex(rsa->p, bitsp, 0, NULL, NULL, cb))
[...]
138 if(!BN_generate_prime_ex(rsa->q, bitsq, 0, NULL, NULL, cb))
Fichier crypto/bn/bn_prime.c :
159 int BN_generate_prime_ex(BIGNUM *ret, int bits, int safe,
[...]
177 if (!probable_prime(ret,bits)) goto err;
[...]
377 static int probable_prime(BIGNUM *rnd, int bits)
[...]
384 if (!BN_rand(rnd,bits,1,1)) return(0);
La fonction BN_rand est documentée dans la page de manuel BN_rand(3).
Si seul le premier bit était forcé à 1 (par exemple dans d'autres suites de
génération de clés RSA), la différence dans les calculs suivants serait
minime.
Pour une clé de N bits, les nombres générés p et q seront donc compris entre :
2^N/2 - 1 et 2^(N/2-1) + 2^(N/2-2)
En effet, la clé (le module) étant calculée comme le produit n = p*q, pour que n
ait N bits, il faut bien que p et q en aient N/2 (car 2^(N/2)*2^(N/2) = 2^N).
Le théorème dit des nombres premiers stipule que la quantité des nombres
premiers inférieurs à p est asymtoptiquement égale à :
p/ln(p)
où ln représente le logarithme népérien. Les calculs suivants sont donc à voir
comme des valeurs approchées de la réalité.
La quantité de nombres premiers compris entre a et b, a > b, serait donc :
a/ln(a) - b/ln(b)
Pour notre clé RSA de N bits, cette formule devient (en posant n = N/2) :
(2^n - 1)/ln(2^n - 1) - (2^(n-1) + 2^(n-2)) / ln(2^(n-1) + 2^(n-2))
Un simple script bc peut nous permettre de calculer ces grandeurs :
scale=2
print "Returns density of numbers 'around' 2^n\n"
print "Input n: "; n = read()
define pi(n) {
return n/l(n)
}
define between(n) {
p = 2^n - 1
q = 2^(n-1) + 2^(n-2)
return pi(p) - pi(q)
}
res = between(n);
print "Pi(n2) - Pi(n1) = ", res, "\n";
print "base 10 : ", l(res)/l(10), " digits\n";
print "base 2 : ", l(res)/l(2), " digits\n";
Calculons quelques valeurs pour n = 512 (clé de 1024 bits), 1024 (clé de 2048),
2048 (clé de 4096 bits) :
$ bc -ql count_prime2.bc
Returns density of prime numbers 'around' 2^n
Input n: 512
Pi(n2) - Pi(n1) = 94218717721614010280703580152886635787188\
93949992852478724879372248189274646503535369608094865812089285713089\
327699085044333464509776009229236586894488.83
base 10 : 151.14 digits
base 2 : 503.81 digits
$ bc -ql count_prime2.bc
Returns density of prime numbers 'around' 2^n
Input n: 1024
Pi(n2) - Pi(n1) = 632414098923076705240101380636941292209808\
35558465937103507162544487866949577090501324065567981299997407617467\
30208049316293394683811860302871600419202023192078980522721756167796\
10555376914277402157944914163089649448234315709854040025583963617401\
35799188043255826495485536272936675526131308551363331742258.62234212\
001366535773
base 10 : 304.80 digits
base 2 : 1012.52 digits
$ bc -ql count_prime2.bc
Returns density of prime numbers 'around' 2^n
Input n: 2048
Pi(n2) - Pi(n1) = 568789467021467081379709935995036837433952\
71391039359815973090975168214751627874312809975992411416082701815761\
04144384955895120660045518337892051393336845402131062757889770287837\
85794633953902462287557607221941948207939494519900642003748931531053\
91970891255858726325747607494052769967755755288698960171716956284867\
38499223403423224199227959782461243467204208153128910697053977847458\
99362816803851076593915342489361404619947128436351989563710734903177\
77448909485970216493829752997634086895770735318841886221547519218234\
00671822537848655462561970755225947246066395739516257540822888653565\
812024999234432719661822803.08507500994121723606
base 10 : 612.75 digits
base 2 : 2035.52 digits
En comparaison d'un mot de passe de n caractères, choisit dans l'intégralité de
l'alphabet ISO-8859-1 (256 caractères) :
$ bc -ql
scale=2
256^20
1461501637330902918203684832716283019655932542976
l(256^20)/l(2)
160.00
Ces complexités sont donc incomparables par leur taille. Leur sens est
également incomparable, car les attaques sur les mots de passe sont
fondamentalement différentes des attaques sur les clés cryptographiques.
En effet, à moins d'être en possession des empreintes, une attaque par mot de
passe (par force brute) nécessite l'interrogation d'un service pour qu'il
accepte ou rejette le mot de passe testé.
A contrario, l'attaque d'une clé RSA se fait systèmatiquement hors ligne, de
manière décoréllée du service que l'on attaque, après obtention de la clé
publique de la victime. Si cette clé n'est pas sujette à des vulnérabilités
particulières (ex : Debian et le CVE-2008-0166 [2]), il faut alors factoriser le
module, et c'est là que la taille du module devient corollaire de sécurité.
Les dernières attaques sur RSA (réalisées en partie par l'INRIA [3]) ont montré
la factorisation d'un module de 768 bits en 2 ans et demi.
HSC rappelle que l'ANSSI recommande d'utiliser des clés RSA de taille supérieure
ou égale à 2048 bits pour une utilisation ne devant pas dépasser 2020 [4].
[1] http://en.wikipedia.org/wiki/Prime_number_theorem
(démontré pour la première fois en 1896, indépendamment par Hadamard et La
Vallée-Poussin)
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166
[3] http://www.inria.fr/actualites/espace-presse/cp/pre210.fr.html
[4] http://www.ssi.gouv.fr/site_documents/politiqueproduit/Mecanismes_cryptographique_v1_10_standard.pdf
-- Jean-Baptiste Aviat.
Plus d'informations sur la liste de diffusion newsletter