[Newsletter HSC] N°70 - Juin 2010
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 1 Juin 16:38:50 CEST 2010
========================================================================
HSC Newsletter -- N°070 -- juin 2010
========================================================================
"Je vous parie 1000 balles que je peux m'arrêter de parier quand je veux."
[ Régis Hauser ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial : RGS
2. Le saviez vous ? La question
3. E-Learning HSC : ouverture de l'achat en ligne
4. Nouvelle formation : Correspondant Informatique et Libertés
5. Nouvelle formation : Information Security Foundations, certif. EXIN
6. Appel à communication pour la conférence "SMSI et normes ISO 27001"
7. Appel à communication des GS-Days 2010
8. Agenda des interventions publiques
9. Prochaines formations HSC
10. Actualité des associations : Club 27001 et OSSIR
11. Le saviez vous ? La réponse
--[ 1. Editorial ]------------------------------------------------------
par Emeric Laroche
Dans le cadre de la Révision Générale des Politiques Publiques (RGPP),
l'accès aux services publics par des moyens numériques est une tendance
forte que doivent mettre en oeuvre les Autorités Administratives (AA). Ceci
fait naître de nouveaux risques aux systèmes d'information. L'objectif du
Référentiel Général de Sécurité [RGS], approuvé par un arrêté du Premier
Ministre en date du 6 mai 2010 et publié au journal officiel du 18 mai 2010,
est de fournir un cadre pour la protection de ces autorités contre les
risques informatiques via la sécurisation de leurs interfaces avec
l'extérieur. Techniquement, ces interfaces sont généralement composées de
téléservices à disposition des usagers ou à d'autres Autorités
Administratives.
Le RGS a été rédigé et son suivi sera assuré par l'Agence Nationale de
la Sécurité des Systèmes d'Information [ANSSI], organisme sous la tutelle
du Premier Ministre.
Le RGS s'applique plus particulièrement aux Autorités Administratives
qui sont (RGS 1.4) :
* les administrations de l'État ;
* les collectivités territoriales ;
* les établissements publics à caractère administratif ;
* les organismes gérant des régimes de protection sociale relevant du
code de la sécurité sociale et du code rural ou mentionnés aux
articles L. 223-16 et L. 351-21 du code du travail ;
* les autres organismes chargés de la gestion d'un service public
administratif ;
ainsi que les organisations et personnel ayant une responsabilité dans
le système d'information de ces AA.
Ainsi, un téléservice, sous-traité par une Autorité Administrative à un
prestataire, est aussi soumis au RGS. Il touche à un moindre niveau leurs
fournisseurs et éditeurs et leurs prestataires de services de confiance
(PSCo) (fourniture de certificat/horodatage/...).
Qu'impose le RGS ?
* De manière générale, appliquer la sécurité de manière globale. Ne pas
se focaliser uniquement sur la technologie mise en oeuvre mais prendre
en compte les aspects humains, organisationnels et environnementaux.
Il faut par ailleurs mener une appréciation des risques et définir
une politique de sécurité permettant de couvrir les risques
identifiés. Les méthodes d'appréciation des risques préconisées
sont EBIOS et ISO 27005. Enfin, il est recommandé de mettre en oeuvre
une amélioration continue de la sécurité via la mise en place d'un SMSI.
* De manière plus spécifique, les acteurs des services doivent intégrer
la sécurité dans la conception de leur service. Ils doivent pour cela
utiliser -- ou doivent "préférer" utiliser, suivant la disponibilité --
les produits et prestataires qualifiés par l'ANSSI et les certifications
en sécurité des personnes et des organismes (ISO 27001 par exemple).
Enfin, ils doivent faire prononcer l'homologation de leur service. Cette
homologation attestera "que le projet a bien pris en compte les
contraintes opérationnelles établies au départ, que les exigences de
sécurité sont bien déterminées et satisfaites, et que les risques
résiduels sont maîtrisés et acceptés, et que le système d'information
est donc apte à entrer en service" (RGS 2.3.2).
Elle est prononcée par une personne (ou groupe de personnes)
appelée "autorité d'homologation" et désignée au sein de l'autorité
administrative. Le RGS ne précise pas qui prend cette responsabilité
mais précise que celui-ci pourra être conseillé par le RSSI.
Pour finir, il est important de noter que :
* les services existants doivent être mis en conformité dans un délai
de 3 ans ;
* les services ouverts d'ici le 18 novembre n'auront que 12 mois pour
se mettre en conformité ;
* les services ouverts après cette date devront être conformes dès leur
ouverture.
Ce nouveau référentiel a un impact très large en terme de sécurité,
puisqu'il s'applique au domaine public mais aussi privé.
Pourtant, pour le domaine public, son adoption n'impliquera pas forcément
une montée du niveau de sécurité. En effet, les autorités administratives,
pour assurer leur rôle de service public, poussent à fournir le plus de
fonctionnalités possibles via leurs téléservices. L'arrivée du RGS impose
la mise en place d'une appréciation des risques. Celle-ci conduit à
déterminer des objectifs de sécurité spécifiques, ce qui pourrait avoir
comme conséquence la suppression d'un certain nombre de fonctionnalités
non-sûres.
Que feront ces autorités administratives ? Je penche pour la réduction des
objectifs de sécurité. L'autorité d'homologation, elle, ne se prononce pas
sur les objectifs de sécurité et l'homologation sera acquise sans
modification du niveau de sécurité.
Par ailleurs, il faut considérer la portée politique de nombreux projets
informatiques portés par les autorités administratives. Ceux-ci, souvent
réalisés dans des plannings contraints pourront-t-ils être bloqués par la
non-homologation du système ? L'autorité d'homologation préférera-t-elle
être montrée du doigt pour les retards qu'elle impose ? Encore une fois,
je pense que celle-ci acceptera la situation.
Pour le domaine privé, le RGS introduit un avantage concurrentiel pour
les entreprises certifiées ISO 27001 et celles ayant démontré, via la
qualification, leur capacité à apporter la sécurité vendue.
Cette publication sera peut-être le point de départ d'une dynamique de
réflexion sur la sécurité et de certification ISO 27001. Cependant, il
sera très important que les autorités administratives se posent les
questions usuelles face à un certificat ISO 27001 : Quel est le périmètre ?
Quelle est la politique ? Répondent-ils à mes besoins de sécurité ?
[RGS] http://www.ssi.gouv.fr/rgs
[ANSSI] http://www.ssi.gouv.fr
--[ 2. Le saviez vous ? La question ]-----------------------------------
Lors de tests d'intrusion sur des applicatifs Web, il arrive de détecter
des injections SQL dont le résultat ne s'affiche pas dans la réponse obtenue.
Il est alors certaines fois possible de les exploiter "en aveugle" en
provoquant plusieurs affichages distincts en fonction du résultat de
l'injection SQL.
Malheureusement, il n'est parfois pas possible de provoquer différents états.
Nous passons alors à une exploitation dite en "délai" en jouant sur les temps
de réponse, ce qui permet de retrouver nos différents états des injections en
aveugle. Certaines bases de données proposent des fonctionnalités permettant
de mettre en pause une requête SQL (par exemple, le "waitfor delay" de SQL
Server), mais d'autres n'ont rien en natif. Comment exploiter tout de même une
injection en jouant sur les délais, quelle que soit la base de données ?
Réponse au paragraphe 11
--[ 3. E-Learning HSC : ouverture de l'achat en ligne ]-----------------
Après le lancement de son offre e-learning et de son site
www.hsc-formation.fr, HSC est heureux d'annoncer le lancement de sa
boutique e-learning en ligne !
Particulier ou professionnel, il vous est dorénavant possible de
souscrire à nos formations e-learning en quelques clics en vous rendant
sur www.hsc-formation.fr.
Nous vous rappelons que deux formations sont actuellement disponibles :
- La programmation sécurisée en PHP
- Les fondamentaux de la norme ISO
L'accès à ces formations e-learning se fait grâce à des licences
individuelles de 1 ou 3 mois et permettant à l'apprenant d'accéder à
la formation de manière illimitée depuis n'importe quel poste connecté à
Internet sur la période choisie. Le paiement s'effectue par carte
bancaire et la facture vous permet de demander une prise en charge par
votre OPCA (Organisme Paritaire Collecteur Agréé).
Pour en savoir plus rendez vous sur http://www.hsc-formation.fr/
Pour tout renseignement contactez Kaouther Naoua :
elearning at hsc.fr -- +33 141 404 767
--[ 4. Nouvelle formation : Correspondant Informatique et Libertés ]----
Le poste de CIL, Correspondant Informatique et Libertés, est
désormais une fonction clé au sein des entreprises, qu'il soit ou pas
déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
et informatique de plus en plus sensible, au coeur de la gouvernance
d'entreprise qui impose un haut niveau d'expertise.
La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
exerçant ou devant exercer les fonctions de Correspondant Informatique et
Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
missions. La formation est conçue par Frédéric Connes, docteur en droit,
également ingénieur en informatique et spécialisé en sécurité des systèmes
et réseaux, avec la contribution de l'équipe des consultants en sécurité
d'HSC.
La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
dont ils auront besoin pour mener à bien leurs missions, par une approche
se voulant résolument pratique et proche des problèmes concrets auxquels
un CIL est confronté quotidiennement. La formation traite notamment des
notions indispensables de sécurité de l'information.
Au-delà des personnes exerçant les attributions ou ayant vocation à
exercer dans un avenir proche les fonctions de correspondant informatique
et libertés, la "Formation CIL" d'HSC concerne les responsables informatique
confrontés aux problématiques informatique et libertés, qui pourront
approfondir leurs connaissances juridiques, tandis que les profils
juridiques ou juridico-techniques pourront compléter leurs connaissances
en informatique et sécurité de l'information.
La "Formation CIL" d'HSC ne demande aucune connaissance préalable en
droit et en informatique, et commence par exposer les bases de ces domaines
avant de traiter du coeur du sujet.
Le cours alterne les phases d'exposé magistral et d'exercices pratiques
invitant les participants à se mettre en situation et à réfléchir aux
possibilités de réponses juridiques et techniques aux problèmes concrets
qui leur sont posés.
Durée : 2 jours.
Formateur : Frédéric Connes, docteur en droit.
Premières sessions à Paris les 1er et 2 juillet, et les 21 et 22
octobre 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/cil.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 5. Nouvelle formation : Information Security Foundations ]----------
Avec Certification EXIN.
La société néerlandaise EXIN est le pionnier et n°1 mondial devant
le britannique ISEB des certifications de compétences dans la production
informatique, telles que la certification "ITIL Foundations".
EXIN propose désormais des certifications en sécurité des systèmes
d'information, dont la première est une certification accessible à tous,
intitulée "Information Security Foundations". Cette certification est basée
sur le référentiel téléchargeable en ligne sur le web d'EXIN :
http://www.exin.org/Exams/Exam%20program/ISO%20IEC%2027000/~/media/Documents/ISFS%20book%20%20%20English%20%20%20Final%20incl%20index%20pdf.ashx
HSC vous propose une formation de deux jours, animée par Hervé Schauer,
incluant la certification, vous permettant de vous former aux principes de
base de la SSI.
Prochaine session les 12 et 13 juillet 2010.
Session suivante les 21 et 22 septembre 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/isf.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 6. Appel à communication 4ème conférence "SMSI et normes ISO 27001" ]--
Le Club 27001 (http://www.club-27001.fr/), association à but non
lucratif, organise à Paris fin novembre 2010 (date en cours de confirmation)
sa quatrième conférence annuelle autour des normes ISO 27001.
La conférence annuelle du Club 27001 privilégie les retours d'expérience
dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
mise en oeuvre d'une des normes, leur usage, y compris sans certification.
Voici les thèmes sur lesquels nous attendons des propositions, sans
que ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. ISO 27003 et reprise de l'existant
. Comment engager la direction générale
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
ISO 27001
. Mise en place d'audits internes
. Utilisation de l'ISO 19011 et ISO 27006
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc.
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
. Migration d'EBIOS ou Mehari vers ISO 27005
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Mutualisation, opposition, complémentarité, déclencheur, etc.
. ISO 20000-1 / ITIL (services informatiques)
. BS25599 ou ISO 22301 (continuité d'activité),
. CobiT (audit informatique, contrôle interne)
. PCI-DSS, SoX, Bâle II, Solvency II, RGS, hébergeur données de santé,
ARJEL, etc.
- Indicateurs, métriques et tableaux de bord
. Retour d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités.
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc.
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc.)
. Complémentarité avec le référentiel métier (WLA, etc.)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 9 juillet 2010 : date limite de réception des soumissions
- 17 septembre 2010 : notification aux auteurs et
publication du pré-programme
- 15 octobre 2010 : publication du programme définitif
- 19 novembre 2010 : réception des présentations
- fin novembre 2010 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Nicolas Andreu, Devoteam
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Bull
- Eric Doyen, Crédit Immobilier, président
- Emmanuel Garnier, Systalians, vice-président
- Catherine Guelou, CRAM-Bretagne
- Loic Guézo, IBM
- Bruno Michaud, Trans-Z
- Anne Mur, Edelweb
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, Thales
--[ 7. Appel à communication pour le colloque des GS-Days 2010 ]-----------
Les GS Days se dérouleront le 30 novembre 2010 à l'espace Saint-Partin
à Paris 3ème. Les GS Days, organisés par le magazine GlobalSecurityMag, ont
l'objectif d'établir le dialogue entre le monde de la technique
(administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Le
colloque proposera plusieurs cycles de conférences et de démonstrations
d'attaques informatique, sous un angle technique, organisationnel et
juridique.
Les thèmes retenus sont les suivants :
o Les aspects techniques et les attaques sur :
- Les navigateurs : XSS, CSRF, etc.
- Les OS
- Les technologies sans fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Le matériel : mémoire, interface FireWire, ACPI, etc.
- Les systèmes SCADA et l'informatique embarquée
o L'évolution des moyens de protection techniques
- Sur le Web : WAF, etc.
- Sur les données (DLP)
- Avec l'ouverture des SI et la dépérimétrisation
o Les aspects organisationnels et humains
- Ingénierie sociale
- Les nouveaux usages du SI : les réseaux sociaux et les applications
en ligne
- La gestion des risques opérationnels
- La gestion des risques du télétravail
- Les PCA et PRA
- Pourquoi et comment sécuriser l'information ?
- La doctrine SSI ou comment convaincre son entreprise d'investir dans
un projet de sécurité
- Comment sécuriser une architecture complexe dans un environnement
hétérogène ?
o Les aspects juridiques
- Les réseaux sociaux
- Le télétravail
- Les transactions électroniques
- Les aspects contractuels des PCA/PRA
Les présentations attendues devront proposer une vision technique,
scientifique ou organisationnelle. Les présentations à fin commerciale
ou la présentation d'un produit ne seront pas acceptées. Cependant, les
propositions présentant une analyse technique de la sécurité d'un produit,
un comparatif fondé sur des tests scientifiques, et les retours
d'expérience avec un aspect technologique, seront examinées avec attention.
Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
précisera le titre de la communication et sa catégorie (Attaque, Technique,
Organisationnel & Humain, Juridique), les noms et prénoms du ou des auteurs
et leur affiliation, et l'adresse de courrier électronique d'au moins un des
auteurs.
Les conférences seront d'un format de 35 minutes, plus 5 minutes réservées
à des questions.
Le comité de programme qui sélectionnera les conférenciers et le contenu
du colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Olivier Guérin
(CLUSIF), Philippe Humeau (NBS), Diane Mullenex (Cabinet Ichay et Mullenex),
Olivier Revenu (EdelWeb), Hervé Schauer (HSC) et Paul Such (SCRT).
- Date limite de soumission : 25 juillet 2010
Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
- Notification aux auteurs : 20 septembre 2010
- Envoi des présentations définitives : 30 octobre 2010
- Conférence : 30 novembre 2010
Pour en savoir plus : http://www.gsdays.fr/
--[ 8. Agenda des interventions publiques ]-----------------------------
- 1er juin 2010 : Clusir Est - Metz
"Panorama de la cybercriminalité du Clusif : GSM + Services Généraux sur
IP" - Hervé Schauer
http://www.clusir-est.org/public/Evenements/Entr%C3%A9es/2010/3/1_Panorama_de_la_cybercriminalit%C3%A9_2010_.html
- 10 juin 2010 : Symposium SSTIC 2010 - Rennes
"La sécurité des systèmes de vote" - Frédéric Connes
http://www.sstic.org/2010/presentation/Securite_des_systemes_de_vote/
- 11 juin 2010 : Symposium SSTIC 2010 - Rennes
"JBOSS Application Server : exploitation et sécurisation"
Renaud Dubourguais
http://www.sstic.org/2010/presentation/JBOSS_AS_Exploitation_et_Securisation/
- 16 juin 2010 : Réunion ANAJ-IHEDN - Paris
Animation de la table-ronde "Infrastructures vitales et informatique
industrielle : la catastrophe imminente ?" - Raphaël Marichez
http://conf-16juin.anaj-ihedn.org/
- 25 juin 2010 : RSSI 2010 - Bordeaux
Participation à la table ronde : "Management des risques en sécurité de
l'information", représentant la norme ISO 27005 - Hervé Schauer
http://www.clusir-aquitaine.fr/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 9. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 7 au 11 juin (#) (C)
Réalisation pratique des Tests d'Intrusion : 14 au 18 juin (*)
Formation RSSI ...................... : 21 au 25 juin
Sécurité du Cloud Computing ......... : 23 au 25 juin
ISO 27005 Risk Manager .............. : 28 au 30 juin (#)
Correspondant Informatique et Libertés . : 1 et 2 juillet
ISO 27001 Lead Auditor .............. : 5 au 9 juillet (#) (C)
Information Security Foundations .... : 12 et 13 juillet (#)
ISO 27001 Lead Implementer .......... : 6 au 10 septembre (#)
ISO 2000-1 Lead Auditor ............. : 13 au 17 septembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 septembre (#)
Information Security Foundations .... : 21 et 22 septembre (#)
Fondamentaux techniques de la SSI ... : 23 et 24 septembre
Essentiel de la série ISO27001 ...... : 23 et 24 septembre
Gestion des identités et des accès .. : 27 au 29 septembre
Sécurité des serveurs et applications web : 27 au 29 septembre (*)
Indicateurs & tableaux de bord SSI/ISO27004 : 30 septembre
Sécurité du WiFi ..................... : 30 sept. et 1er oct. (*)
Mutualisation ISO 27001/autres référentiels : 1er octobre
Réalisation pratique des Tests d'Intrusion : 4 au 8 octobre (*)
ISO 27001 Lead Implementer .......... : 4 au 8 octobre (#)
Formation RSSI ...................... : 11 au 15 octobre
Essentiel de PCI-DSS ................ : 21 octobre 2010
Sécurité Windows .................... : 25 et 26 octobre (*)
Sécurité Unix et Linux .............. : 27 et 28 octobre (*)
Programmation sécurisée en PHP ...... : 3 au 5 novembre (*)
Juridique de la SSI ................. : 29 et 30 novembre
Mesures de sécurité ISO 27002 ........ : 20 et 21 décembre
Sécurité de la VoIP .................. : 2011
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Genève (Suisse)
ISO 27005 Risk Manager .............. : 2011 (#)
ISO 27001 Lead Implementer .......... : 2011 (#)
ISO 27001 Lead Auditor .............. : 2011 (#)
- Luxembourg
ISO 27001 Lead Implementer .......... : 14 au 18 juin (#)
ISO 27005 Risk Manager .............. : 20 au 22 septembre (#)
- Lyon
ISO 27005 Risk Manager ............... : 2 au 4 juin (#)
- Nantes
ISO 27005 Risk Manager .............. : 11 au 13 octobre (#)
- Nice
ISO 27001 Lead Implementer .......... : 28 juin au 2 juillet (#)
- Strasbourg
ISO 27005 Risk Manager .............. : 22 au 24 novembre (#)
- Toulouse
ISO 27001 Lead Implementer .......... : mars 2011 (#)
ISO 27005 Information Security Risk Manager : mai 2011 (#)
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Retrouvez les tarifs des formations dans la Newsletter n° 65 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
HSC est allé donner des formations inter-entreprise à Marseille, Niort,
Papeete, Rennes, etc. à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 10. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 24 juin chez IBM
- "Retour d'expérience de la certification Orange Business Services
à Rennes", Eric Wiatrowski, Orange-France Télécom
- "Retour d'expérience d'utilisation des normes chez Laser",
Guillaume Corbille, Laser
. Réunion suivante à Paris le jeudi 16 septembre puis conférence
fin novembre ou début décembre : pensez à soumettre des
propositions (voir paragraphe 6)
. Prochaine réunion à Toulouse à la rentrée
. Prochaine réunion à Marseille vendredi 25 juin
Les animateurs recherchent des propositions de présentations
contactez Marc Dovero : mdovero at gmail.com
. Prochaine réunion à Rennes annoncée prochainement
Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris mardi 15 juin
ATTENTION DATE DÉCALÉE D'UNE SEMAINE
par rapport à la date prévue initialement
- Outil VulnIT par son auteur Vincent Maury (VulnIT, www.vulnit.com)
- Compte-rendu du SSTIC 2010 par Nicolas Ruff et les autres
volontaires qui reviendront du SSTIC
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris mardi 13 juillet 2010
- Zscaler par Damien Charette et Frédéric Benichou (Zscaler)
. Les supports de la réunion à Toulouse du 25 mai 2010 sont en ligne :
http://www.ossir.org/resist/supports/liste-2010.shtml
Prochaine réunion à Toulouse la seconde quinzaine de septembre
. Prochaine réunion à Rennes à la rentrée
. Prochaine réunion à Lyon à la rentrée
--[ 11. Le saviez vous ? La réponse ]------------------------------------
Comme énoncé, certaines bases de données possèdent des fonctions permettant de
faire patienter la base de données : "waitfor delay '0:0:10'" dans SQL Server
va provoquer une attente de 10 secondes.
Sous MySql, la fonction benchmark() peut être détournée de sa fonction
initiale pour "ralentir" la requête. Cette fonction prend en argument une
requête SQL à exécuter ainsi qu'un paramètre permettant de définir le nombre
de fois où cette requête sera exécutée. Le choix d'une requête prenant
beaucoup de ressources permettra d'être plus optimal (une fonction
cryptographique par exemple) :
benchmark(10000000,md5(1))
Ces deux utilisations sont évidemment les plus connues, mais n'existent pas
sur d'autres bases de données comme Oracle.
Pour toutes les bases de données, il est alors possible de s'affranchir de
fonctions spécifiques en les remplaçant par une requête "lourde". Il suffit
de faire par exemple une opération mathématique sur un nombre suffisamment
important de jointures entre tables pour occuper significativement la base de
données.
Par exemple, sous Oracle, la fonction suivante prend plusieurs secondes sur
un PC actuel :
select 1 from dual where (select count(*) from user_objects,user_objects,
user_objects)=0;
Il suffira alors de monter son exploitation SQL de la même manière qu'avec une
fonction benchmark() ou delay, et de calculer les différents temps de
réponse.
-- Yves Le Provost
Plus d'informations sur la liste de diffusion newsletter