[Newsletter HSC] N°86 - Octobre 2011
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 4 Oct 11:38:46 CEST 2011
========================================================================
HSC Newsletter -- N°086 -- octobre 2011
========================================================================
« Celui qui se perd dans sa passion a moins perdu que celui qui perd
sa passion. »
[Saint Augustin]
--[ Sommaire ]----------------------------------------------------------
1. Éditorial : Vive Areva !
2. Le saviez-vous ? La question
3. Formation DNSSEC dispensée par Stéphane Bortzmeyer (AFNIC)
4. Nouvelle formation : "Référentiel Général de Sécurité (RGS)"
5. HSC partenaire des Assises de la Sécurité à Monaco
6. Appel à communication JSSI 2012
7. Appel à communication 5ème conférence "SMSI et normes ISO 27001"
8. Appel à communication GS DAYS 2012
9. Nouveautés du site web HSC
10. Offres d'emploi : consultants & stagiaires techniques & orga
11. Agenda des interventions publiques
12. Prochaines formations HSC
13. Actualité des associations : Club 27001 et OSSIR
14. Le saviez-vous ? La réponse
--[ 1. Éditorial - Hervé Schauer ]-------------------------------------
Vive Areva !
Comme Patrick Pailloux avait magnifiquement retourné à son avantage
l'intrusion de Bercy, le Figaro a annoncé que Areva renforce sa sécurité [1].
Pourtant Areva a été intrusé sur l'ensemble de ses réseaux depuis au moins
deux ans d'après la propre communication d'Areva, voir la dépêche AFP reprise
par exemple dans Le Monde [2].
Bel échec de la sécurité des systèmes d'information.
Magnifique démonstration de l'inadéquation des dispositifs de sécurité.
Le modèle de sécurité actuel appliqué partout est complètement dépassé.
Nous avons plus de 20 ans d'échecs à déployer des dispositifs coûteux :
SIEM, supervision de la sécurité, IAM, firewalls personnels, anti-virus, etc.
Vendre ces grands projets est souvent du mensonge et de l'escroquerie par des
intégrateurs avides de bénéfices et pour le patron d'un nouveau yacht.
Chez Areva ils avaient fait mieux puisque Euriware (filiale à 100%
d'Areva) nous dit le 4 novembre 2010 qu'ils protègent même Areva des
0days [3].
Pour l'organisation de la sécurité Areva avait pourtant fait ce qui se fait
de mieux : la mise en oeuvre de l'ISO 27001 jusqu'à la certification.
La communication [4] d'avril 2009 nous dit que la certification par
Bureau Veritas assure que le groupe suit les bonnes pratiques en matière
de sécurité des systèmes d'information, mais un peu plus loin ce n'est pas
le groupe qui a mit en oeuvre l'ISO 27001, c'est juste... la DSI, une DSI
(Areva IT Ops) qui sous-traite ses services avec des contrats de service à
Euriware pour qui la certification ISO 27001 n'a pas été requise.
Excellentes explications détaillées lors du retour d'expérience présenté
au Club 27001 le 11 juin 2009 [5].
La SSI concerne l'entreprise, pas la DSI, et nous avons là une
démonstration de l'absurdité d'un périmètre de management de la sécurité
de l'information, réduit à... une DSI, avec un audit dont la durée est
proportionnelle à la petite taille de cette DSI. C'est l'ensemble du groupe,
ses métiers, et en premier la direction, qui sont le coeur d'une entreprise,
pas uniquement un service support comme la DSI.
La gestion de la sécurité de l'information n'a de sens qu'au niveau global
de l'organisme, et si l'informatique se regarde le nombril, cela mène à
l'échec. Une certification ISO 27001 n'a de valeur que lorsqu'elle couvre à
la fois des activités métiers et la DSI qui les supporte, et que cette
certification n'est pas délivrée par un organisme de certification de
complaisance.
Il faut réduire les coûts, mettre les données de valeur et les
applications métier sensibles dans des bastions limités, quitte à les
mettre dans le cloud avec contrats et audits adaptés.
Chaque utilisateur fait ce qu'il veut avec son PC et son ordiphone
et n'y met que la sécurité qu'il veut quand il veut comme il veut et
apporte son appareil dans l'entreprise (BYOD). Bien sûr le réseau
d'entreprise devient une poubelle comme internet, et alors ?
Il ne faut y faire que la surveillance légale.
Un grand réseau est un plat de spaghettis innommable, aux limites qui
resteront mal maîtrisées et indéfinies, les clés USB ou les télémaintenances
nous le démontrent tous les jours.
Seul le déport d'écran permet de gérer la sécurité. Les applicatifs y
compris les clients doivent tourner dans une machine virtuelle
administrée, contrôlée et surveillée. Ils accèdent aux bastions avec
les données de valeur.
SIEM et supervision ne doivent se concentrer que de tous petits espaces
maîtrisables et ne peuvent produire des résultats que dans ces bastions
très limités.
Seuls les réseaux de supervision et d'administration doivent et peuvent être
sécurisés et maîtrisés.
Les anciens diront que c'est le modèle du mainframe et du terminal 3274.
Et alors ? C'est le seul qui marche.
Pour les faibles d'esprit en matière de protection du secret je leur
rappelle qu'aucune information non-publique n'a été révélée dans cet
éditorial ni dans aucun autre ni dans aucune de mes conférences,
interviews, etc.
[1] http://www.lefigaro.fr/flash-actu/2011/09/29/97001-20110929FILWWW00784-areva-renforce-sa-securite-informatique.php
[2] http://www.lemonde.fr/technologies/article/2011/09/30/areva-victime-d-une-intrusion-informatique_1580355_651865.html
[3] http://euriware.areva.com/FR/euriware-756/euriware-met-en-place-chez-areva-un-service-de-supervision-des-points-sensibles-des-systemes-d-information.html
[4] http://securite.reseaux-telecoms.net/actualites/lire-areva-certifie-iso-27001-pour-ses-systemes-d-information-francais-19920.html
[5] http://www.club-27001.fr/supports/2009-06-11_AREVA.pdf
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Les récentes compromissions de serveurs du domaine kernel.org ainsi que de
la Linux Foundation ont fait comprendre que même les projets libres pouvaient
être attaqués. Vient ensuite l'investigation inforensique qui vise à
déterminer comment l'intrusion a eu lieu et pendant laquelle les outils
laissés par l'attaquant sont analysés. Mais que faire si l'attaquant a pris
les devants et que ses outils sont protégés contre l'analyse dynamique ?
Réponse au paragraphe 14.
--[ 3. Formation DNSSEC dispensée par Stéphane Bortzmeyer (AFNIC) ]-----
L'AFNIC (www.afnic.fr) a signé avec Hervé Schauer Consultants (HSC)
un partenariat, permettant à HSC de proposer sa formation DNSSEC avec
des formateurs AFNIC.
L'AFNIC est le registre des noms de domaine .fr et .re notamment.
L'AFNIC est également fournisseur de solutions techniques et de services
de registre. L'AFNIC (Association Française pour le Nommage Internet en
Coopération) est composée d'acteurs publics et privés : représentants des
pouvoirs publics, utilisateurs et prestataires de services Internet
(bureaux d'enregistrement). Elle est à but non lucratif. Afin de toujours
mieux répondre aux attentes des professionnels, la formation DNSSEC
proposée par HSC sera désormais dispensée par Stéphane Bortzmeyer,
architecte système et réseau à l'AFNIC.
Bien que disponible depuis 2003 et déployé depuis 2005, DNSSEC ne
commence que seulement à se populariser, suite à son intégration dans
plusieurs domaines de premier niveau puis dans les serveurs racines en 2010,
élément clé de la chaîne de confiance.
Le DNS est le maillon faible des services sur internet, puisque rien ou
presque ne peut fonctionner sans lui : web, messagerie, téléphonie,
authentification, etc. Il est donc indispensable que le DNS soit résistant
aux dénis de services, aux usurpations d'identité d'un serveur, aux
altérations des données servies. DNSSEC apporte une solution à ce dernier
problème, tout en assurant la compatibilité avec l'infrastructure existante.
Cependant, DNSSEC est une technologie complexe, faisant appel à des
mécanismes de gestion des clés cryptographiques, demandant une configuration
délicate, une mise à jour et une surveillance régulières. La gestion d'un
service DNSSEC devient une tâche active et récurrente, des effets de bords
se sont manifestés grâce aux premiers retours d'expérience, et quelques
surprises se sont invitées, telles que des passages en TCP défaillants à
cause de pare-feux non adaptés. Deux questions se posent : DNSSEC est-il
vraiment utile dans son propre contexte ? Comment passer soi-même à DNSSEC
ou s'adapter au déploiement progressif de DNSSEC sur internet ?
Il convient donc de former les exploitants et administrateurs système et
réseau, ainsi que leurs responsables, de manière approfondie, pour comprendre
DNSSEC, tester DNSSEC par la pratique avec le logiciel ISC BIND, choisir de
le déployer ou pas, anticiper les risques liés au déploiement, ou vérifier
que son infrastructure est prête à accepter le déploiement de DNSSEC autour
de soi.
La formation DNS d'HSC se passe donc en deux jours et intègre désormais
un peu plus d'une journée sur DNSSEC avec des séances de travaux pratiques.
Prochaine session à Paris les 30 novembre et 1 décembre 2011.
Objectifs, formateur, public visé et pré-requis, pédagogie et plan du
cours : http://www.hsc-formation.fr/formations/dnssec.html.fr
--[ 4. Nouvelle formation : "Référentiel Général de Sécurité (RGS)" ]---
Le référentiel général de sécurité (RGS) s'impose aux autorités
administratives comme défini dans l'ordonnance 2005-1516 [1]. Il impose la
mise en place d'un niveau de sécurité des systèmes d'information adapté à
l'autorité administrative. Pour cela plusieurs étapes sont nécessaires comme
la définition d'une politique de sécurité, la réalisation de l'appréciation
des risques et l'homologation des systèmes.
La formation "RGS" d'HSC présente en un jour le RGS et les obligations ou
recommandations issues du référentiel, ainsi que les moyens de les mettre en
oeuvre. Cette formation s'adresse à toute personne ayant la nécessité de
connaître et comprendre le RGS et plus particulièrement, les responsables de
mise en conformité au RGS au sein des autorités administratives ainsi que des
fournisseurs de services à une autorité administrative.
Première session à Paris le 28 mars 2012.
Objectifs, formateurs, public visé et pré-requis, pédagogie et plan du cours :
http://www.hsc-formation.fr/formations/rgs.html.fr
[1] : http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=EEAC0AD8BB6FDBA496016604250C6039.tpdjo02v_2?idArticle=LEGIARTI000006317133&cidTexte=LEGITEXT000006052816&dateTexte=20110803).
--[ 5. HSC partenaire des Assises de la Sécurité à Monaco ]---------------
HSC sera à nouveau présent aux Assises de la sécurité 2011 du 5 au 8
octobre prochains à Monaco. Matthieu Hentzien, Thomas Seyrat, Lynda Benchikh
et Kaouther Naoua seront à votre disposition pour vos projets de prestations
d'audit, conseil et formation.
Pour prendre rendez-vous en tête à tête avec Matthieu Hentzien, contactez
Elodie Helvin-Bourhfella : Elodie.Helvin at hsc.fr -- +33 141 409 700
Le stand HSC situé dans l'espace 'Pôle Collectivités Territoriales'
(http://www.les-assises-de-la-securite.com/Accueil/Collectivites.aspx)
un nouvel espace créé pour la première fois aux Assises.
Hervé Schauer sera présent à l'atelier du Club 27001 mercredi 5
octobre à 17h00 "Normes 27000, 20000, 22000, 31000, 9000, certification
ou approche opérationnelle d'intégration de la sécurité dans la
gouvernance de l'entreprise".
Retrouvez-nous à Monaco !
http://www.les-assises-de-la-securite.com/Portals/4/secured/partner.asp?f_id_comp=413
--[ 6. Appel à communication pour la JSSI 2012" ]-------------------------
L'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et
des Réseaux), association à but non lucratif, organise sa 11ème JSSI (Journée
de la Sécurité des Systèmes d'Information) annuelle le mardi 13 mars 2012 à
Paris, de 8h30 à 17h30 sur le thème "L'intrusion, outil essentiel de la SSI ?"
La Journée de la Sécurité des Systèmes d'Information (JSSI) s'articulera
autour de conférences et de retours d'expériences dans le domaine de la
sécurité des systèmes et des réseaux. La durée des interventions sera de
45 minutes (questions incluses).
Seront privilégiées les propositions techniques et juridiques, issues
d'une expérience concrète et/ou provenant de technologies innovantes.
Les sujets suivants pourront être abordés:
* Test d'intrusion
* Audit de systèmes ou de produits
* Retours d'expérience sur des cas d'intrusions réelles
* Autopsie, inforensique et reprise après incident ('forensics')
* Analyse de logiciels malfaisants ('malwares')
* Lutte contre les intrusions (prévention, protection des données,
détection)
* Outils de tests d'intrusion
* Cadre juridique et réglementaire autour de l'intrusion et des tests
d'intrusion
Des propositions d'intervention portant sur ces différents aspects de la
sécurité sont sollicitées pour la JSSI 2012. Les interventions pourront
inclure la présentation d'une démarche, d'une technique ou d'une
solution de sécurité répondant à une problématique d'entreprise et être
illustrées d'une expérience pratique de mise en oeuvre. Toute
présentation strictement commerciale sera refusée.
Les propositions d'intervention, en français ou en anglais, précisant le
sujet et le plan sur une page, doivent être accompagnées de quelques
transparents et d'une brève biographie de l'auteur. Envoyez vos
propositions dans l'un des formats : texte simple, PDF ou HTML, par
courriel à l'adresse : jssi12 at ossir.org
Calendrier :
- 05/12/2011 : Proposition d'intervention
- 23/01/2012 : Notification aux conférenciers des interventions retenues
- 13/03/2012 : Conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, cf http://www.ossir.org/association/
Cet appel à communications peut être consulté en ligne :
http://www.ossir.org/jssi
--[ 7. Appel à communication 5ème conférence "SMSI et normes ISO 27001" ]
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif,
organise à Paris le mardi 3 avril 2012 sa cinquième conférence annuelle autour
des usages des normes ISO 2700X. Cette conférence se déroulera à l'espace
Saint-Martin dans le cadre des GS-DAYS (www.gsdays.fr).
La conférence annuelle du Club 27001 privilégie les retours d'expérience dans
l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la mise en
oeuvre d'une des normes, leur usage y compris sans certification, les
difficultés rencontrées et les intérêts perçus.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. Reprise de l'existant
. Comment engager sa direction générale
. Comment surmonter la peur du SMSI
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc
. Cohabitation d'ISO27005 avec EBIOS, Mehari et RiskIT
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
ISO 27001
. Mutualisation, opposition, complémentarité, déclencheur, etc
. Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques)
. Coordination entre SSI (ISO 27001) et continuité d'activité
(ISO 22301 / ISO 27031 / ISO 27013 / BS25599)
. CobiT (audit informatique, contrôle interne)
. Utilisations d'ISO 27001 dans le cadre d'autres référentiels :
RGS, PCI-DSS, SoX, Bâle II/Solvency II, hébergeur données de santé,
ARJEL, etc
- Audits internes
. Mise en place d'audits internes pour le SMSI
. Mutilisation des audits internes ISO 27001 (avec ISO 9001, etc)
. Utilisation de l'ISO 19011 et ISO 27006
- Indicateurs, métriques et tableaux de bord
. Retours d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels (TBSSI, etc)
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités
. Contrôle de l'appréciation des risques
. Interprétations de la Déclaration d'Applicabilité
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
. A quoi servent les certifications individuelles ?
Les propositions doivent faire part d'un retour d'expérience pratique, et
ne doivent pas être la présentation d'une offre de service, d'un produit ou
plus généralement d'une solution commerciale. Le comité de programme sera
sensible à l'aspect pratique des propositions. Cependant, les
propositions présentant une analyse ou un comparatif fondé sur des tests
scientifiques pourraient être acceptées.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 15 novembre 2011 : date limite de réception des soumissions
- 15 janvier 2012 : notification aux auteurs et
publication du pré-programme
- 15 février 2012 : publication du programme définitif
- 15 mars 2012 : réception des présentations
- 3 avril 2012 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Claire Albouy-Cossard, CNAMTS
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Edelweb
- Guillaume Corbillé, Laser, trésorier-adjoint
- Eric Doyen, Générali, président
- Emmanuel Garnier, Systalians, vice-président
- Loic Guézo, IBM
- Freddy Milesi, Sekoia
- Anne Mur, Edelweb, secrétaire-adjointe
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, SNCF
--[ 8. Appel à communication GS DAYS 2012 ]-----------------------------
La 4ème édition des GS Days se déroulera le 3 avril 2012 à l'espace
Saint-Partin à Paris. L'objectif des GS Days, Journées francophones de la
sécurité, est d'établir le dialogue entre le monde de la technique
(administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Ce
colloque, exclusivement en français, propose, dans un même espace, plusieurs
cycles de conférences et de démonstrations d'attaque informatique, sous un
angle technique, organisationnel et juridique.
Quelques exemples de thèmes sur lesquels nous attendons des soumissions :
o Les attaques aujourd'hui sur :
- Les Web Services et les navigateurs : XSS, CSRF, etc.
- Les technologies sans-fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Les bases de données?
o L'évolution des moyens de protection :
- Sur le Web : WAF, etc.
- Test d'intrusion : les bonnes pratiques?
- Quels outils et quels paramétrages adaptés : IDS/IPS, firewall?
o Les aspects organisationnels et humains
- Les hommes (ingénierie sociale)
- La guerre de l'information et l'hacktivisme
- Les nouveaux usages du SI : réseaux sociaux, applications en ligne...
- Pourquoi et comment sécuriser l'information ?
o Les thèmes juridiques :
- Le SI : Droit, devoir et obligations
- Comment se protéger des risques liés à l'usage des réseaux sociaux
- La fraude et les transactions bancaires
- Le droit peut-il quelque chose en cas de fuite d'information ? ?
Les présentations attendues devront proposer une vision technique ou
scientifique. Les présentations à fin commerciale ou la présentation d'un
produit ne seront pas acceptées. Cependant, les propositions présentant une
analyse technique de la sécurité d'un produit, un comparatif fondé sur des
tests scientifiques, et les retours d'expérience avec un aspect technologique,
seront examinées avec attention.
Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
précisera le titre de la communication et sa catégorie, les noms et prénoms du
ou des auteurs et leur affiliation, une liste de mots clés et l'adresse de
courrier électronique d'au moins un des auteurs.
Le format des conférences sera de 50 minutes dont 5 à 10 minutes de questions.
Le comité de programme qui sélectionnera les conférenciers et le contenu du
colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Eric Doyen (Generali),
Emmanuel Garnier (Systalians), Olivier Guérin (CLUSIF), Philippe Humeau (NBS),
Diane Mullenex (Cabinet Ichay et Mullenex), Olivier Revenu (EdelWeb), Hervé
Schauer (HSC) et Paul Such (SCRT).
- Date limite de soumission : 15 décembre 2011
Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
- Notification aux auteurs : 10 janvier 2012
- Envoi des présentations définitives : 12 mars 2012
- Conférence : 3 avril 2012
Pour en savoir plus : http://www.gsdays.fr/
--[ 9. Nouveautés du site web HSC ]-------------------------------------
- Brève "Analyse du protocole Microsoft SSTP" par Christophe Alladoum le
12 juillet 2011
http://www.hsc.fr/ressources/breves/sstp.html.fr
- Nouvelle formation "Développement sécurisé en C et C++ - SANS DEV543 "
le 25 août 2011
http://www.hsc-formation.fr/formations/dev543_secure_coding_in_C.html.fr
- Nouvelle formation "Développement sécurisé en .NET - SANS DEV544"
le 25 août 2011
http://www.hsc-formation.fr/formations/dev544_secure_coding_in_NET.html.fr
- Nouvelle formation "Développement sécurisé en Java/JEE : Conception
d'application robuste - SANS DEV541" le 25 août 2011
http://www.hsc-formation.fr/formations/dev541_secure_coding_in_Java.html.fr
- Nouvelle formation "Investigations inforensiques - Windows - SANS FOR408"
le 25 août 2011
http://www.hsc-formation.fr/formations/for408_forensic_windows.html.fr
- Nouvelle formation "Investigations inforensiques réseau - SANS FOR558"
le 25 août 2011
http://www.hsc-formation.fr/formations/for558_network_forensics.html.fr
- Nouvelle formation "Investigations inforensiques sur équipements mobiles -
SANS FOR563" le 25 août 2011
http://www.hsc-formation.fr/formations/for563_mobile_device_forensics.html.fr
- Nouvelle formation "Fondamentaux et principes de la sécurité des systèmes
d'information - SANS SEC401" le 25 août 2011
http://www.hsc-formation.fr/formations/sec401_security_essentials.html.fr
- Nouvelle formation "Essentiel du RGS (Référentiel Général de Sécurité)"
le 25 août 2011
http://www.hsc-formation.fr/formations/rgs.html.fr
- Nouvelle formation "Sécurité Unix et Linux - SANS SEC506" le 30 août 2011
http://www.hsc-formation.fr/formations/sec506_securiser_linux_unix.html.fr
- Mise à jour de la formation "DNSSEC" avec Stephane Borzmeyer de l'AFNIC
comme formateur le 9 septembre 2011
http://www.hsc-formation.fr/formations/dnssec.html.fr
- Présentation "Normes en Sécurité - Focus sur la méthode ISO 27005",
par Hervé Schauer le 29 septembre 2011, à l'OzSSI Sud-Est.
http://www.hsc.fr/ressources/presentations/normesISO-SSI-11/
--[ 10. Offres d'emploi ]-----------------------------------------------
HSC recrute des stagiaires et des consultants en sécurité des systèmes
d'information, aussi bien en sécurité technique qu'en sécurité fonctionnelle
organisationnelle et juridique.
+----------------------------------------------------------------------------+
| HSC recherche particulièrement des consultants expérimentés (3 à 6 ans) |
| sur l'ISO27001, la gestion des risques SSI et les aspects organisationnels |
| de la SSI. Vous vous lassez des régies et des missions longues ? N'hésitez |
| pas, profitez de votre expérience pour postuler et faire de l'expertise. |
+----------------------------------------------------------------------------+
Tous les consultants HSC deviennent avec l'expérience formateurs, et
partagent leur expérience acquise lors des prestations en participant
aux formations HSC.
Pour les consultant orientés sur les aspects techniques de la sécurité, afin :
- D'auditer la sécurité d'infrastructures et d'applications variées
- De faire des tests d'intrusion artisanaux qui intrusent
- De procéder à des enquêtes inforensiques et des analyses post-incident
- Plus généralement de participer aux projets techniques en sécurité
Pour les consultants orientés que les aspects fonctionnels, organisationnels
ou juridique de la sécurité, afin :
- D'accompagner aux démarches de gouvernance de la SSI, notamment lors de
la mise en place de SMSI suivant la norme ISO 27001
- De réaliser ou d'assister dans la gestion des risques de sécurité de
l'information (ISO 27005 et EBIOS)
- D'élaborer des procédures et documents synthétiques et pragmatiques
(politiques, chartes, etc)
- Plus généralement, de participer aux projets utilisant les normes de la
série ISO27K pour répondre aux attentes des clients.
Les qualités recherchées sont les suivantes :
- Bonne qualité de rédaction en français
- Bon contact humain
- Maîtrise de l'informatique et des technologies de l'information,
notamment la technique pour les candidats techniques et la compréhension
des enjeux du pilotage de la SSI par les risques pour les candidats
organisationnels
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Passion pour la sécurité
Les qualités suivantes seront un plus apprécié :
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
- Maîtrise de l'état d'esprit pour la fourniture de services à valeurs
ajoutées
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
tests d'intrusion, l'inforensique, ou la sécurité Windows et la sécurité des
applications web. Cela représente pour chaque nouveau consultant de 2 à 6
semaines de formations suivies dans le cadre de sa prise de fonction.
HSC recherche également des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle et juridique.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2). Si vous
souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
en texte ascii par courrier électronique à cv at hsc.fr.
--[ 11. Agenda des interventions publiques ]----------------------------
- 13 octobre 2011 - OzSSI Est - Metz
"Panorama des normes SSI" - Hervé Schauer
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 12. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Auditor .............. : 3 au 7 octobre (#)(C)
Information Security Foundations .... : 3 et 4 octobre (#)
Gestion des identités et des accès .. : 5 au 7 octobre
Sécurité des serveurs et applications web : 5 au 7 octobre (*)
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 10 au 14 octobre (*)(#)
Formation RSSI ...................... : 10 au 14 octobre
ISO 27001 Lead Implementer .......... : 17 au 21 octobre (#)(C)
ISO 27005 Risk Manager .............. : 19 au 21 octobre (#)
Analyse inforensique (SANS FOR508 / GCFA) : 24 au 28 octobre (*)(#)
Fondamentaux techniques de la SSI ... : 24 et 25 octobre
Correspondant Informatique et Libertés : 26 et 27 octobre
Essentiel de PCI-DSS ................ : 28 octobre
Sécurité Unix et Linux .............. : 7 et 8 novembre (*)
ISO 27005 Risk Manager .............. : 7 au 9 novembre (#)(C)
Indicateurs & tableaux de bord SSI/ISO27004 : 10 novembre
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 14 au 18 novembre (*)(#)
Formation DNSSEC ..................... : 30 nov et 1er déc (*)
Sécurité du WiFi .................... : 28 et 29 novembre (*)
Juridique de la SSI ................. : 1 et 2 décembre
Mesures de sécurité ISO 27002 ........ : 19 et 20 décembre
Tests d'intrusion applicatifs (SEC542/GWAPT): 12 au 16 mars 2012 (*)(#)
Fondamentaux & principes de la SSI (SEC401) : 6 au 10 février 2012 (*)
Essentiel du RGS .................... : 28 mars 2012
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27005 Risk Manager .............. : 28 au 30 novembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 février 2012 (#)
ISO 27005 Risk Manager .............. : 9 au 11 mai 2012 (#)
ISO 27001 Lead Implementer .......... : 24 au 28 sept. 2012 (#)
- Bordeaux
Correspondant Informatique et Libertés : 11 et 12 octobre 2012
- Clermont-Ferrand
Correspondant Informatique et Libertés : 8 et 9 décembre 2011
- Lille
Correspondant Informatique et Libertés : 13 et 14 février 2012
- Lyon
Correspondant Informatique et Libertés : 20 et 21 septembre 2012
- Marseille
Correspondant Informatique et Libertés : 20 et 21 mars 2012
- Montpellier
Correspondant Informatique et Libertés : 30 et 31 mai 2012
- Nantes
Correspondant Informatique et Libertés : 10 et 11 octobre 2011
- Nice
ISO 27005 Risk Manager .............. : 25 au 27 juin 2012 (#)
Risk Manager Avancé ................. : 28 et 29 juin 2012
Correspondant Informatique et Libertés : 22 et 23 novembre 2012
- Poitiers
Correspondant Informatique et Libertés : 17 et 18 novembre 2011
Correspondant Informatique et Libertés : 14 et 15 novembre 2012
- Rennes
Correspondant Informatique et Libertés : 11 et 12 juin 2012
- Strasbourg
Correspondant Informatique et Libertés . : 28 au 29 juin 2012
- Toulouse
ISO 27005 Risk Manager .............. : 27 au 29 mars 2012 (#)
Risk Manager Avancé ................. : 30 et 31 mars 2012
Correspondant Informatique et Libertés . : 26 et 27 avril 2012
ISO 27001 Lead Implementer .......... : 21 au 25 mai 2012 (#)
Juridique de la SSI ................. : 24 et 25 septembre 2012
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
contactez Lynda Benchikh : formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 13. Actualité des associations : Club 27001 et OSSIR ]----------------
o Club 27001 (http://www.club-27001.fr/)
. Mercredi 5 octobre à 17h00 à Monaco lors des Assises de la Sécurité
Atelier du Club 27001 : "Normes 27000, 20000, 22000, 31000, 9000,
certification ou approche opérationnelle d'intégration de la sécurité
dans la gouvernance de l'entreprise", animé par Eric Doyen (Generali)
et Emmanuel Garnier (Systalians), avec le témoiniage de Frédérique Dron
Pardo (Pôle-Emploi).
. Prochaine réunion à Paris jeudi 20 octobre chez Beijaflore (Paris 16)
- "Retour d'expérience des pratiques de certification ISO 27001"
par Philippe Bourdale et/ou Thierry Jagu, et/ou Marcel
Schipman (Afnor Certification), intervenants en cours de
confirmation
- Retour d'expérience de cartographie des risques (ISO 27005,
RiskIT, EBIOS) par Antoine Ancel et Maxime de Jabrun (Beijaflore)
- Point divers
. Réunion suivante à Paris le jeudi 19 janvier 2012 à 14h00 chez Thales
- Programme en cours d'élaboration
. Conférence annuelle du club le mardi 3 avril 2012 à Paris
Appel à communication publié au paragraphe 7.
. Prochaine réunion à Toulouse jeudi 10 novembre 2011 à 13h45 à la CNAMTS
- L'ouverture des données publiques : de l'Open Data à la
sécurisation, présenté par Cédric Favre (AEC Bordeaux)
- Présentation des travaux du Groupe de Travail ITIL-27001.
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les liste de Toulouse, Marseille, etc, sur www.club-27001.fr
pour avoir l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 11 octobre à 14h00 chez SII
- "Intégration de TLS-SRP (RFC 5054) dans mod_ssl" par Peter Sylvester
(EdelWeb)
- "Certifications de personnes et certifications d'entreprises" par
Thierry Chenu (Dassault Aviation)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 8 novembre
- Sentinelis par Ange Ferrari (SecuNeo)
- seconde présentation en cours de confirmation
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 13 décembre
. Prochaine réunion à Lyon annoncée prochainement
. Prochaine réunion à Rennes mardi 4 octobre à 14h15 à Telecom-Bretagne
- Compte-rendu de la conférence Hack.lu par Erwan Abgrall (Kereval)
- Compte-rendu de la conférence ESORICS 2011 par Olivier Heen
(Technicolor)
. Prochaine réunion à Toulouse le mardi 8 novembre
- Programme en cours d'élaboration
--[ 14. Le saviez-vous ? La réponse ]------------------------------------
Suite à la compromission d'un serveur UNIX, des outils de
post-exploitation sont souvent utilisés par l'attaquant pour rebondir sur
d'autres systèmes et les compromettre. Un administrateur système ou
investigateur inforensique désirant connaître le fonctionnement de tels outils
utilise généralement un debugger pour procéder à une analyse dynamique. Dans
certains cas les binaires sont protégés contre une telle analyse. Prenons
l'exemple ci-dessous :
$ cat antidebug.c
#include <stdio.h>
#include <sys/ptrace.h>
int main()
{
if (ptrace(PTRACE_TRACEME, 0, 1, 0) < 0) {
printf("DEBUGGING... Bye\n");
return 1;
}
printf("Hello\n");
return 0;
}
$ gcc -o antidebug antidebug.c
$ ./antidebug
Hello
$ strace ./antidebug
execve("./antidebug", ["./antidebug"], [/* 27 vars */]) = 0
brk(0) = 0x1f29000
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f8a2fd53000
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=77160, ...}) = 0
mmap(NULL, 77160, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f8a2fd40000
close(3) = 0
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\300\357\1\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=1570832, ...}) = 0
mmap(NULL, 3684440, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7f8a2f7b2000
mprotect(0x7f8a2f92c000, 2097152, PROT_NONE) = 0
mmap(0x7f8a2fb2c000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x17a000) = 0x7f8a2fb2c000
mmap(0x7f8a2fb31000, 18520, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7f8a2fb31000
close(3) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f8a2fd3f000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f8a2fd3e000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f8a2fd3d000
arch_prctl(ARCH_SET_FS, 0x7f8a2fd3e700) = 0
mprotect(0x7f8a2fb2c000, 16384, PROT_READ) = 0
mprotect(0x7f8a2fd55000, 4096, PROT_READ) = 0
munmap(0x7f8a2fd40000, 77160) = 0
ptrace(PTRACE_TRACEME, 0, 0x1, 0) = -1 EPERM (Operation not permitted)
fstat(1, {st_mode=S_IFREG|0644, st_size=1806, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f8a2fd52000
write(1, "DEBUGGING... Bye\n", 17DEBUGGING... Bye
) = 17
exit_group(1) = ?
Cet exemple montre bien que le binaire est protégé de l'analyse dynamique,
rendant le travail d'inforensique beaucoup plus difficile, le debogueur étant
inopérant car la fonction ptrace retourne le code d'erreur EPERM.
Une solution facile d'accès est l'utilisation de SystemTap[1] qui permet
de contourner ces protections anti-débogage car l'interception des appels
système ne se fait pas via l'utilisation de ptrace(2) mais grâce à des sondes
situées au niveau du noyau Linux lui-même. Afin de reproduire le même résultat
qu'un strace(1), le script suivant est utilisé :
$ cat strace.stp
#! /usr/bin/env stap
probe syscall.* {
if (pid() == target())
printf("%s %s\n", name, argstr);
}
$ stap -v strace.stp -c ./antidebug
Hello
rt_sigaction SIGINT, {SIG_DFL}, 0x00000000, 8
rt_sigsuspend
sigreturn
rt_sigaction SIGUSR1, {SIG_DFL}, 0x00000000, 8
rt_sigprocmask SIG_SETMASK, [EMPTY], 0x00000000, 8
execve ./antidebug
close 3
brk 0x00000000
access "/etc/ld.so.nohwcap", F_OK
faccessat AT_FDCWD, "/etc/ld.so.nohwcap", F_OK
mmap2 0x00000000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0
access "/etc/ld.so.preload", R_OK
faccessat AT_FDCWD, "/etc/ld.so.preload", R_OK
open "/etc/ld.so.cache", O_RDONLY
fstat 3, 0xbf9b1014
mmap2 0x00000000, 26520, PROT_READ, MAP_PRIVATE, 3, 0
close 3
access "/etc/ld.so.nohwcap", F_OK
faccessat AT_FDCWD, "/etc/ld.so.nohwcap", F_OK
open "/lib/i686/cmov/libc.so.6", O_RDONLY
read 3, 0xbf9b1140, 512
fstat 3, 0xbf9b1060
mmap2 0x00000000, 1333608, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0
mmap2 0xb76e1000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 319
mmap2 0xb76e4000, 10600, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0
close 3
mmap2 0x00000000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0
set_thread_area 0xbf9b1500
mprotect 0xb76e1000, 8192, PROT_READ
mprotect 0xb770c000, 4096, PROT_READ
munmap 0xb76e7000, 26520
ptrace 0, 0, 0x00000001, 0x00000000
fstat 1, 0xbf9b1500
mmap2 0x00000000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0
write 1, "Hello\n", 6
exit_group 0
exit 0
L'analyse dynamique à l'aide de SystemTap est passée outre la protection
anti-ptrace, et le binaire peut être étudié de manière simple. Cette solution
ne nécessite pas de talents particuliers en analyse de malware et a le mérite
d'être disponible sur toutes les plates-formes Linux.
-- Julien Reveret <Julien.Reveret at hsc.fr>
[1] SystemTap : http://sourceware.org/systemtap
Plus d'informations sur la liste de diffusion newsletter