[Newsletter HSC] N°98 - Octobre 2012
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 2 Oct 10:17:26 CEST 2012
========================================================================
HSC Newsletter -- N°098 -- octobre 2012
========================================================================
« Parodies et caricatures sont les plus pénétrantes des critiques. »
[ Aldous Huxley ]
--[ Sommaire ]----------------------------------------------------------
1. Éditorial - Hervé Schauer
2. Le saviez-vous ? La question
3. HSC sponsor de la conférence "Gestion des Risques et PCA"
4. Nouvelles formations : PKI, continuité ISO22301, CISSP, SCADA
5. Appel à communication : Conférence annuelle du Club 27001
6. Appel à communication : Conférence GS-Days
7. Nouveautés du site web HSC
8. Offres d'emploi
9. Agenda des interventions publiques
10. Prochaines formations HSC
11. Actualité des associations : Club 27001 et OSSIR
12. Le saviez-vous ? La réponse
--[ 1. Éditorial - Hervé Schauer ]--------------------------------------
Durant de nombreuses années j'ai participé activement au Salon
Infosecurity organisé par Reed (de 2000 à 2008) et à la conférence Eurosec
organisée par XP-Conseil puis par Devoteam (de 1994 à 2006) dont j'ai
accompagné le développement.
Ces événements étaient un habile mélange de commercial et de conférences ou
tutoriels aux contenus pragmatiques et utiles, faisant la part belle aux
consultants en sécurité. Malheureusement ils ont disparu, à mon grand
regret.
Le grand événement du moment en sécurité, où nous allons tous ou presque,
est les Assises à Monaco. Encore ce week-end je reçois des demandes de ceux
qui n'ont pas d'entrée - étant consultants, ils ne devraient pas en trouver
- et des messages pour savoir si je serai ou non aux Assises. En effet HSC
n'y apparaît plus. Je serai présent en tant que responsable du prix de
l'innovation et je remercie Gérard Rio et le comité de programme pour cette
responsabilité qui nécessite de l'impartialité.
Je n'aime pas prendre l'avion et je n'aime pas le bus, ne serait-ce que
parce que je suis plus large que les sièges, d'où ma préférence pour les
Assises de Deauville auxquelles je me rendais en train aux sièges adaptés et
à pied de chez moi. J'ai surtout adhéré au format des Assises alors qu'il
était plus artisanal et moins grand. HSC a poursuivi sa participation à Monaco
en profitant d'une offre adaptée aux PME, ce qui permit à certains RSSI de
rencontrer une partie de mon équipe. Mais il semble que les événements
tendent tous à grossir et à s'étendre et par-là finissent par donner une
image impersonnelle et mégalomane. Les ateliers des sponsors ne servent pas
tous au quotidien des RSSI, surtout comparés à de véritables tutoriels.
La formation aux Assises était un des projets de Gérard Rio. Aujourd'hui,
certains participants viennent parfois davantage étancher leur soif tout
court que leur soif de connaissances. Reste le réseautage qui demeure très
utile aux RSSI et peut aussi servir de mercato d'automne.
L'approche tarifaire élitiste pour les exposants attirera ceux qui doivent
se faire un nom à tout prix, et des vendeurs de boîtes sans grand rapport
avec la SSI. Mais à terme, elle finira par supprimer les petits acteurs
souvent à forte valeur ajoutée et par livrer aux visiteurs une offre
appauvrie centrée sur les produits contrairement à la volonté affichée lors
du discours de clôture des Assises en 2011.
Avec le prix du stand aux Assises au tarif de 2012, j'envoie des consultants
aux Etats-Unis plusieurs fois, à BlackHat, Defcon, au CCC, et plus d'une
vingtaine à SANS. Ils s'y nourrissent de connaissances qui serviront à faire
progresser nos prestations en qualité.
Ne boudons pas notre plaisir d'être à Monaco, mais n'oublions pas les
bases : l'alcool se consomme avec modération, et la sécurité de
l'information est un ensemble de processus (pilotage, gestion des risques,
gestions des incidents liés à la sécurité, etc) et pas un éventail de
produits.
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Windows fournit un mécanisme de Single-Sign-On (SSO) à ses utilisateurs
afin de faciliter leur authentification vers d'autres systèmes ou
applications. Cependant, cette fonctionnalité utile au quotidien pour les
utilisateurs peut drastiquement impacter la sécurité d'un système
d'information. Savez-vous comment ?
Réponse au paragraphe 12.
--[ 3. HSC sponsor de la conférence "Gestion des Risques et PCA" ]------
HSC est sponsor de la conférence "Gestion Stratégique des Risques et
Plans de Continuité d'Activité" organisée par Marcus Evans à Paris du 21
au 23 novembre 2012.
Thomas le Poetvin et Hervé Schauer assureront l'atelier du vendredi
23 novembre : "Introduction pratique à l'ISO 22301 et son usage". Ils
traiteront également de l'ISO 31000
La gestion des risques et la continuité d'activité représentent des
fonctions fortement stratégiques au sein des entreprises. Dans un contexte
de forte instabilité économique, croissante interdépendance, diversification
des risques (technologiques, terroristes, naturels) et de pressions
réglementaires accrues, il devient de plus en plus crucial d'être en mesure de
réagir vite face aux perturbations et d'assurer la continuité des activités
du business. Les entreprises se doivent donc de mettre en place des stratégies
efficaces de gestion des risques de façon à pouvoir minimiser les impacts
négatifs d'un sinistre grave et assurer une reprise rapide des fonctions
vitales afin de maintenir la qualité et la performance de leurs services en
toutes circonstances. A travers des études de cas concrets la conférence
Marcus Evans est l'occasion d'échanger autour de témoignages d'experts et
de nombreux retours d'expérience d'entreprises parmi les plus avancées en
gestion des risques et continuité et de faire un état des lieux des meilleures
pratiques des stratégies de continuité les plus efficaces.
Programme détaillé :
http://www.marcusevans-conferences-french.com/language-marcusevans-conferences-event-details.asp?EventID=19472&SectorID=44
Pour vous inscrire contactez Christian Mpome basé à Barcelone :
christianm at marcusevanses.com -- Tel direct : +34 933 934 663
Tel standard +34 933 934 600
--[ 4. Nouvelles formations : PKI, continuité avec l'ISO 22301, CISSP, SCADA ]
Rappel : pour la rentrée 2012 HSC propose six nouvelles formations !
* PKI : principes et mise en oeuvre
* Essentiel de l'ISO22301
* ISO22301 Lead Implementer
* ISO22301 Lead Auditor
* Préparation au CISSP
* Sécurité SCADA
* PKI : principes et mise en oeuvre
Les PKI sont au coeur de toutes les solutions de gestion d'identité, de
contrôle d'accès et de sécurisation des communications. HSC propose une
formation pragmatique, pratique et complète des PKI : technologies et normes ;
implémentation : architectures, problématiques d'intégration ; aspects
organisationnels et certifications ; et aspects de droit.
Durée : 3 jours, première session à Paris du 12 au 14 novembre 2012,
pré-requis, formateurs, programme détaillé :
http://www.hsc-formation.fr/formations/pki.html.fr
* "Essentiels de l'ISO22301"
La Continuité d'Activité a pour objectif de se préparer à réagir face à
une crise majeure et à préserver ses activités métier en cas de survenance.
La norme ISO22301, publiée le 15 mai 2012, fournit un cadre de référence
en matière de Systèmes de Management de la Continuité d'Activité (SMCA) et
du maintien en conditions opérationnelles. Elle s'adresse à tout type
d'organisation. La formation "Essentiels de l'ISO22301" permet d'acquérir
une compréhension globale du SMCA et d'assimiler les principes conformément
à l'ISO 22301.
Durée : 1 jour, première session à Paris le 14 février 2013,
pré-requis, formateurs, programme détaillé :
http://www.hsc-formation.fr/formations/essentiel_iso22301.html
* "ISO22301 Lead Implementer"
Formation certifiante en 5 jours, pour comprendre la mise en oeuvre
d'un SMCA suivant l'ISO 22301, apprendre les concepts, approches, méthodes
et techniques requises pour gérer un SMCA. Cette formation dispense à la
fois les fondamentaux de la continuité d'activité et leur mise en oeuvre
dans le cadre d'un SMCA conformément à l'ISO 22301, en s'appuyant sur les
techniques d'analyse d'impacts métier (BIA / Business Impact Analysis), de
gestion des risques selon l'ISO 31000, et les guides ISO 22313 et ISO 27031
pour les plans de réponse et les dispositifs propres à la continuité
d'activité et au maintien en conditions opérationnelles. Elle permet de
devenir implémenteur certifié.
Durée : 5 jours, première session à Paris du 17 au 21 décembre 2012,
pré-requis, formateurs, programme détaillé :
http://www.hsc-formation.fr/formations/iso22li.html
* "ISO22301 Lead Auditor"
Formation certifiante en 5 jours, pour savoir auditer un SMCA selon
l'ISO 22301, comprendre le déroulement, les spécificités et les exigences
d'un audit ISO 22301, c'est-à-dire de l'organisation de la continuité
d'activité et de maintien en conditions opérationnelles d'un organisme.
Cette formation permet d'acquérir les compétences pour réaliser un audit
interne ou un audit de certification ISO 22301, en suivant la norme d'audit
ISO 19011, et en s'aidant des guides ISO 22313 et ISO 27031. Elle permet de
gérer une équipe d'auditeurs de SMCA et de devenir auditeur ISO 22301
certifié.
Durée : 5 jours, première session à Paris du 28 janvier au 1 février 2013,
pré-requis, formateurs, programme détaillé :
http://www.hsc-formation.fr/formations/iso22la.html
* Préparation au CISSP
HSC propose une formation de préparation à la certification CISSP d'ISC².
Le CISSP (Certified Information Systems Security Professional) est la
certification professionnelle internationale la plus connue dans le monde
de la sécurité des systèmes d'information. Le programme de certification
géré par ISC² (International Information Systems Security Certification
Consortium) couvre tous les aspects de la SSI dans un référentiel appelé
CBK (Common Body of Knowledge), disponible dans le livre "Official 'ISC² Guide
to the CISSP Exam ((ISC)2 Press)" que les stagiaires doivent acquérir et lire.
http://isc2education.org/shop/featured-products/official-isc-r-guide-to-the-cisspr-cbkr-2nd-ed.html
Disponible en format Kindle :
http://www.amazon.fr/Official-Guide-Second-Edition-ebook/dp/B003H8QWPE/ref=sr_1_1?ie=UTF8&qid=1344333414&sr=8-1
La méthode pédagogique utilise des questions dans un thème donné et les
stagiaires répondent avec un boîtier électronique. Chaque question est alors
discutée et particulièrement lorsqu'un stagiaire a donné une mauvaise réponse.
Les animateurs sont les consultants HSC spécialistes du thème traité.
Durée : 5 jours, première session à Paris du 5 au9 novembre 2012, ou
alors formation en 18 sessions en cours du soir d'octobre 2012 à mai 2013 les
jeudis de 18h00 à 20h00 chez HSC les semaines n° 48 à 51, 3 à 7, 12 à 15, et
20 à 24 (ni vacances scolaires ni jours fériés), soit à partir du 29 novembre.
Pré-requis, formateurs, programme détaillé :
http://www.hsc-formation.fr/formations/cissp.html.fr
* Sécurité SCADA
Les réseaux de contrôle de processus propres au monde industriel, appelés
génériquement SCADA, contrôlent les infrastructures vitales de la société.
Avec la généralisation des interconnexions de réseaux, entre réseaux
industriels et bureautiques, les télémaintenances et l'utilisation d'internet,
et avec la migration de protocoles et de systèmes propriétaires vers TCP/IP
et Windows, les risques sont devenus très élevés et les enjeux immenses.
La formation "Sécurité SCADA" d'HSC profite de plus dix ans d'expérience
dans l'audit de sécurité de systèmes SCADA et propose une approche
pragmatique, pratique et complète du sujet. Elle vous permettra d'une part
d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer
votre politique de cyber-sécurité SCADA.
Durée : 1 jour, première session à Paris le 15 novembre 2012,
pré-requis, formateurs, programme détaillé :
http://www.hsc-formation.fr/formations/securite_scada.html
Pour tout renseignement sur nos formations, et pour vous inscrire,
contactez Lynda Benchikh : formations at hsc.fr -- +33 141 409 704
--[ 5. Appel à communication : Conférence annuelle du Club 27001 ]------
Le Club 27001 (http://www.club-27001.fr/), association à but non
lucratif, organise à Paris le jeudi 4 avril 2013 sa sixième conférence
annuelle autour des usages des normes ISO 2700X. Cette conférence se
déroulera à Paris à l'hôtel Marriott Paris Rive Gauche dans le cadre des
GS-DAYS (www.gsdays.fr).
La conférence annuelle du Club 27001 privilégie les retours d'expérience
dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
mise en oeuvre d'une des normes, leur usage y compris sans certification,
les difficultés rencontrées et les intérêts perçus.
Voici les thèmes sur lesquels nous attendons des propositions, sans
que ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. Reprise de l'existant
. Comment engager sa direction générale
. Comment surmonter la peur du SMSI
- Gestion des risques liés à la sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Techniques d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc.
. Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
. Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
- Audits internes
. Mise en place d'audits internes pour le SMSI
. Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc.)
. Utilisation de l'ISO 19011 et ISO 27006
- Gestion des incidents liés à la sécurité
. Retours d'expérience
. Usage de l'ISO 27035
. Liens avec d'autres référentiels (NIST SP800-61rev1, etc.)
- Indicateurs, métriques et tableaux de bord
. Retours d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc.)
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc.
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc.)
. Complémentarité avec le référentiel métier (WLA, etc.)
- Formations et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
. A quoi servent les certifications individuelles ?
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
ISO 27001
. Mutualisation, opposition, complémentarité, déclencheur, etc.
. Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques),
ISO 27013
. Coordination entre la SSI (ISO 27001) et la continuité d'activité :
ISO 22301 (SMCA), ISO 27031 et ISO 22313 (ex-BS25599)
. CobiT (audit informatique, contrôle interne)
. Utilisations d'ISO 27001 dans le cadre ou concomitamment à d'autres
référentiels de sécurité : RGS, PCI-DSS, SoX, Bâle II/Solvency II,
hébergeur de données de santé, ARJEL, etc.
- Certification ISO27001 et audits de SMSI :
. Retours d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités
. Contrôle de l'appréciation des risques
. Interprétations de la Déclaration d'Applicabilité
. Mise à jour des normes d'audit et de certification (ISO 19011,
ISO 17021, ISO 27006)
Les propositions doivent faire part d'un retour d'expérience pratique,
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions. Cependant, les
propositions présentant une analyse ou un comparatif fondé sur des tests
scientifiques pourraient être acceptées.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
- Format libre
Calendrier
- 15 janvier 2013 : date limite de réception des soumissions
- 15 janvier 2013 : notification aux auteurs et
publication du pré-programme
- 15 février 2013 : publication du programme définitif
- 22 mars 2013 : réception des présentations
- 4 avril 2013 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Guillaume Corbillé, Laser, trésorier-adjoint
- Claire Cossard, CNAM-TS, secrétaire-adjointe
- Dominique Ciupa, Mag-Securs
- Francis Delbos, ID Nouvelles
- Eric Doyen, Humanis, président
- Emmanuel Garnier, Systalians, vice-président
- Loic Guézo, IBM
- Anne Mur, On'X
- Carl Roller, Akamai
- Hervé Schauer, HSC, secrétaire
--[ 6. Appel à communication : Conférence GS-Days ]---------------------
La 5ème édition des GS Days se déroulera le 4 avril 2013 à l'Hôtel
Marriott Paris Rive Gauche, 17, boulevard Saint-Jacques, 75014 Paris.
L'objectif des GS-Days, Journées francophones de la sécurité, est d'établir
le dialogue entre le monde de la technique (administrateurs, experts
sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en
français, propose dans un même espace plusieurs cycles de conférences et
de démonstrations d'exploitation de faille informatique, sous un angle
technique, organisationnel et juridique.
Quelques exemples de thèmes sur lesquels nous attendons des soumissions :
* Thèmes techniques :
o Attaques :
- Attaques ciblées
- Logiciels malfaisants, y compris réalisés par des états
- 'botnets"
- Mythes et réalités de la sécurité du 'Cloud Computing'
- Nouvelles tendances d'attaque : HTML5, systèmes embarqués,
attaques matérielles, etc.
- Industrialisation des attaques
o Évolution des moyens de protection :
- WAF, outils de lutte anti-DDoS...
- Quels outils et quels paramétrages adaptés : IDS/IPS, firewall, etc.
- Protection de l'information, récupération de données, effacement
sécurisé, etc.
* Thèmes organisationnels :
o Rôle de l'état dans la SSI
- Qu'est-ce qui est régalien et ne l'est pas en SSI
- La qualification des prestataires en SSI
o Gouvernance de l'information
- Ingénierie sociale et aspects humains
- Centralisation de l'information, le 'Big Data'
- Nouveaux usages du SI
- Réseaux sociaux et sécurité
- Sécurité du SaaS et des applications en ligne
- PCA/PRA, norme ISO 22301
- Gestion de la réputation en ligne
o Guerre de l'information
- Hacktivisme
- Cyberguerre : implication des états, attribution
- Outils d'attaque et de détection
- Quid des composants électroniques
* Thèmes juridiques :
- Le SI : Droit, devoir et obligations
- M-Payment et M-Banking
- Réputation en ligne : quel recours juridique ?
- Le droit peut-il quelque chose en cas de fuite d'informations ?
Les présentations attendues devront proposer une vision technique ou
scientifique. Les présentations à fin commerciale ou la présentation
d'un produit ne seront pas acceptées. Cependant, les propositions
présentant une analyse technique de la sécurité d'un produit, un
comparatif fondé sur des tests scientifiques, et les retours
d'expérience avec un aspect technologique, seront examinées avec attention.
Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de
questions.
Le comité de Programme qui sélectionnera les conférenciers et le contenu
du colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Eric Doyen (Humanis),
Emmanuel Garnier (Systalians), Olivier Guérin (CLUSIF), Philippe Humeau (NBS),
Diane Mullenex (Cabinet Ichay et Mullenex), Olivier Revenu (EdelWeb), Hervé
Schauer (HSC) et Paul Such (SCRT).
Contenu des soumissions à envoyer à Marc.Jacob at globalsecuritymag.com :
- Nom de l'auteur, biographie et affiliation
- Catégorie de la soumission (technique/organisationelle/juridique)
- Synopsis d'une à 2 pages de l'intervention avec un plan de celle-ci
- Format PDF préféré.
Calendrier
- 15 janvier 2013 : date limite de réception des soumissions
- 28 janvier 2013 : notification aux auteurs
- 22 mars 2013 : réception des présentations définitives
- 4 avril 2013 de 8h30 à 18h30 : conférence
--[ 7. Nouveautés du site web HSC ]-------------------------------------
- Présentation "Compte-rendu des conférences BlackHat/DEFCON 2012" par
Johann Broudin et Thibaut Leveslin le 11 septembre 2012 à l'OSSIR Paris
http://www.hsc.fr/ressources/presentations/ossir-bh2012/
- Présentation "Les processus d'un SMSI - Modèle de processus et retours
d'expériences" par Julien Levrard le 20 septembre 2012 au Club 27001 Paris
http://www.hsc.fr/ressources/presentations/club27001-ProcessusSMSI12/
--[ 8. Offres d'emploi pour consultants en sécurité ]-------------------
HSC recrute des consultants en sécurité des systèmes d'information.
+-------------------------------------------------------------------------+
| HSC recherche des consultants expérimentés ayant 3 à 6 ans d'expérience.|
| Vous vous lassez des régies et des missions longues ? |
| Profitez de votre expérience pour postuler et faire de l'expertise. |
+-------------------------------------------------------------------------+
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
aussi bien sur les normes ISO 27001 (sécurité), ISO 22301 (continuité) et
ISO 27005 (gestion des risques), ou le juridique de la SSI, qu'aux tests
d'intrusion, à l'inforensique, la sécurité Windows, la sécurité des
applications web et la sécurité SCADA. Cela représente, pour chaque nouveau
consultant, 2 à 6 semaines de formations suivies dans le cadre de sa
prise de fonction.
HSC prend régulièrement des stagiaires en fin d'études pour des stages
de pré-embauche pour des postes de consultants.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
par courrier électronique à cv at hsc.fr.
--[ 9. Agenda des interventions publiques ]-----------------------------
- 26 octobre 2012 - journée commune Club 27001 / AFCDP, Toulouse
"L'intérêt de la 27001 pour le CIL" par Frédéric Connes.
http://www.club-27001.fr/conferences/138-journee-26-oct-2012.html
- 13 novembre 2012 - OSSIR, Paris
"Retour sur la formation SCADA de BlackHat" par Rémi Chauchat
http://www.ossir.org/
- 23 Novembre 2012
Workshop "Introduction pratique à l'ISO22301 et son usage" par Thomas
Le Poetvin et Hervé Schauer, dans le cadre Conférence "Gestion Stratégique
des Risques et Plans de Continuité d'Activité" organisée par Marcus Evans,
Paris
http://www.marcusevans-conferences-french.com/language-marcusevans-conferences-event-details.asp?EventID=19472&SectorID=44
- 5 décembre 2012, CNSSIS, Le Mans
"De la qualification des prestataires d'audit SSI", Hervé Schauer
http://www.apssis.com/congres-2012/3973217
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 10. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Correspondant Informatique et Libertés : 4 et 5 octobre (@)
Tests d'intrusion applicatifs (SEC542/GWAPT): 8 au 12 octobre (*)(#)
ISO 27005 Risk Manager .............. : 8 au 10 octobre (#)
Risk Manager Avancé ................. : 11 et 12 octobre
Formation RSSI ...................... : 15 au 19 octobre
ISO 27001 Lead Implementer .......... : 15 au 19 octobre (#)
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 22 au 26 octobre (*)(#)
ISO 27001 Lead Auditor .............. : 22 au 26 octobre (#)
Sécurité du WiFi .................... : 29 et 30 octobre (*)
Inforensique Windows (SANS FOR408/GIAC GCFE): 5 au 9 novembre (*)(#)
Formation CISSP ..................... : 5 au 9 novembre (#)
Juridique de la SSI ................. : 8 et 9 novembre
PKI : principes et mise en oeuvre ... : 12 au 14 novembre (*)
Sécurité SCADA ........................ : 15 novembre
Essentiel du RGS .................... : 15 novembre
Essentiel de PCI-DSS ................ : 16 novembre
ISO 27005 Risk Manager .............. : 19 au 21 novembre (#)
Formation DNSSEC ..................... : 26 et 27 novembre (*)
ISO 27001 Lead Implementer .......... : 26 au 30 novembre (#)
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 3 au 7 décembre (*)(#)
ISO 27001 Lead Auditor .............. : 3 au 7 décembre (#)
Sécuriser Unix&Linux (SANS SEC506/GIAC GCUX): 10 au 14 décembre (*)(#)
Essentiels de l'ISO27001 ............ : 10 décembre
Mesures de sécurité ISO 27002 ........ : 11 et 12 décembre
Gestion des incidents de sécurité/ISO27035 : 13 décembre
Indicateurs & tableaux de bord SSI/ISO27004 : 14 décembre
ISO 22301 Lead Implementer .......... : 17 au 21 décembre (#)
ISO 27005 Risk Manager .............. : 17 au 19 décembre (#)
Risk Manager Avancé ................. : 20 et 21 décembre
Inforensique réseau & infrastruct. (FOR558) : 21 au 25 janvier 2013 (*)
Advanced Penetration Testing (SANS SEC660) : 14 au 19 janvier (*)(#)
ISO 22301 Lead Auditor .............. : 28 janvier au 1 fév (#)
Inforensique téléphones/ordiphones (FOR563) : 4 au 8 février (*)(#)
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 11 au 15 février (*)(#)
Essentiels de l'ISO22301 ............ : 14 février
ISO 22301 Lead Implementer .......... : 18 au 22 mars (#)
Sécurité du Cloud Computing ......... : 10 au 12 avril
Fondamentaux & principes de la SSI (SEC401) : 22 au 27 avril (*)(#)
Défense applications web (DEV522/GIAC CWAD) : 17 au 21 juin (*)(#)
Analyse inforensique (SANS FOR508/GIAC GCFA): 18 au 22 novembre (*)(#)
(*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
(#) : formations certifiantes par LSTI, ISC2 ou GIAC
(@) : formation labellisée par la CNIL (www.cnil.fr)
- Luxembourg
ISO 27001 Lead Auditor .............. : 5 au 9 novembre (#)
ISO 27005 Risk Manager .............. : 13 au 15 mai 2013 (#)
ISO 27001 Lead Implementer .......... : 14 au 18 octobre 2013 (#)
- Bordeaux
Correspondant Informatique et Libertés : 11 et 12 octobre (@)
- Lille
Correspondant Informatique et Libertés : 7 et 8 février 2013 (@)
- Limoges
Correspondant Informatique et Libertés : 7 et 8 mars 2013 (@)
- Lyon
ISO 27001 Lead Implementer .......... : 11 au 15 mars 2013 (#)
ISO 27005 Risk Manager .............. : 2 au 4 octobre 2013 (#)
Correspondant Informatique et Libertés : septembre 2013 (@)
- Marseille
Correspondant Informatique et Libertés : 14 et 15 mars 2013 (@)
- Montpellier
Correspondant Informatique et Libertés : 16 et 17 mai 2013 (@)
- Nantes
Correspondant Informatique et Libertés : 30 et 31 mai 2013 (@)
- Nice
Correspondant Informatique et Libertés : 22 et 23 novembre (@)
ISO 27005 Risk Manager .............. : 26 au 28 juin 2013 (#)
- Poitiers
Correspondant Informatique et Libertés : 14 et 15 novembre (@)
- Rennes
Correspondant Informatique et Libertés : 20 et 21 juin 2013 (@)
- Strasbourg
Correspondant Informatique et Libertés . : 6 et 7 juin 2013 (@)
- Toulouse
Correspondant Informatique et Libertés . : 18 et 19 avril 2013 (@)
ISO 27005 Risk Manager .............. : 22 au 24 mai 2013 (#)
ISO 27001 Lead Auditor .............. : 24 au 28 juin 2013 (#)
Juridique de la SSI ................. : 24 et 25 octobre 2013
ISO 27001 Lead Implementer .......... : juin 2014 (#)
(#) : formations certifiantes
(@) : formation labellisée par la CNIL (www.cnil.fr)
HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
ses formations.
Pour tout renseignement, et pour vous inscrire contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/
--[ 11. Actualité des associations : Club 27001 et OSSIR ]----------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 22 novembre à 14h00
- Retour d'expérience par Cédric Cartau (CHU de Nantes)
- Présentation en cours de confirmation
- Point sur les normes
. Réunion suivante à Paris le jeudi 24 janvier 2013
. Conférence annuelle mercredi 4 avril. Réservez votre date.
Appel à communication ci-dessus.
. Réunion à Toulouse vendredi 26 octobre toute la journée en partenariat
avec l'AFCDP (www.afcdp.net) avec notamment les présenations suivantes :
- "Protection des fichiers clients et fournisseurs" par Sandrine
Estrade (Akerys)
- "Stratégie de mise en œuvre de la SSI et de la protection des
données personnelles en établissement de santé" par Thierry
Veauvy (CHU de Toulouse)
- "L'intérêt de la 27001 pour le CIL" par Frédéric Connes (HSC)
- "OZSSI et données personnelles" par Gil Jaspart (OZSSI Sud-Ouest)
- "Protection des Données Personnelles en Allemagne" par Sophie
Nicklaus
Inscription préalable obligatoire auprès des animateurs, voir :
http://www.club-27001.fr/conferences/138-journee-26-oct-2012.html
. Prochaines réunions à Toulouse, Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les listes de chaque ville sur www.club-27001.fr pour suivre
l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion mardi 9 octobre 2012 à 14h00 chez ESR à Meudon
- Protection contre les Attaques de Nouvelle Génération par Denis
Gadonnet et Yogi Chandiramani (FireEye)
- Traçabilité des administrateurs internes et externes : une
garantie pour la conformité par Marc Balasko (Wallix)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 13 novembre 2012
- Retour sur la formation SCADA de BlackHat par Rémi Chauchat (HSC)
- Présentation en cours de confirmation
. Réunion suivante à Paris le mardi 11 décembre 2012
- Programme en cours d'élaboration
. Prochain afterworks OSSIR à Paris en octobre à 19h00
Date, lieu et programme à confirmer, soit hack.lu, soit qualification
des prestataires d'audit en SSI.
Premier verre de bière et en-cas offerts par l'OSSIR. Inscription
obligatoire à secretariat at ossir.org
. Prochaine réunion à Rennes en novembre
. Prochaine réunion à Toulouse mardi 20 novembre à l'Université
- Programme en cours d'élaboration
. Réunion suivante à Toulouse mardi 22 janvier 2013
--[ 12. Le saviez-vous ? La réponse ]----------------------------
Afin de permettre aux utilisateurs de Windows de s'authentifier sur
différents systèmes ou applications sans avoir à ressaisir leurs identifiants,
le système d'exploitation de Microsoft va stocker en mémoire les données
authentifiantes dans des sessions d'authentification.
Windows dispose de plusieurs bibliothèques dynamiques gérant différents
protocoles d'authentification. Ces bibliothèques sont des SSP/AP (Security
Support Provider / Authentication Package), et sont gérées par le processus
LSASS (Local Security Authority SubSystem), processus chargé de la gestion
des sessions d'authentification. Les SSP/AP disponibles par défaut sur
Windows XP sont Msv1_0, Wdigest, Kerberos et Schannel qui permettent
respectivement d'utiliser le protocole de défi-réponse NTLM,
l'authentification Digest, Kerberos v5 et l'authentification à base de
certificats SSL. D'autres SSP/AP sont apparus avec les versions ultérieures de
Windows (Tspkg, Pku2u, LiveSSP). Ce sont ces bibliothèques qui garderont en
mémoire les données authentifiantes dans des structures internes et non
documentées. L'accès au contenu de la mémoire de ces bibliothèques est
restreint aux processus disposant du droit SYSTEM.
Parmi les données authentifiantes stockées en mémoire, sont présentes les
empreintes des mots de passe stockées au format LM et au format NTLM ainsi que
les mots de passe des utilisateurs disposant d'une session d'authentification
sur le système. Les empreintes peuvent être extraites de la structure
NTLM_CREDS_BLOCK de la mémoire de la bibliothèque lsasrv.dll. Cette structure
peut être représentée de la sorte :
typedef struct _NTLM_CREDS_BLOCK {
DWORD_PTR DomainLength ;
DWORD_PTR DomainOffset ;
DWORD_PTR UserLength ;
DWORD_PTR UserOffset ;
BYTE NTLMHash[16] ;
BYTE LMHash[16] ;
// [...]
BYTE DomainName[] ;
BYTE UserName[] ;
} NTLM_CREDS_BLOCK ;
L'ensemble des données de la structure NTLM_CREDS_BLOCK est chiffré, dont les
empreintes LM et NTLM, stockées respectivement dans les champs LMHash et
NTLMHash. Les champs DomainName et UserName sont accessibles au sein de la
structure grâce aux offsets des variables DomainOffset et UserOffset.
En ce qui concerne les mots de passe, ils peuvent être extraits de la
structure WDIGEST_SESSION_ENTRY disponible dans la mémoire de la bibliothèque
wdigest.dll.
typedef struct _WDIGEST_SESSION_ENTRY {
struct _WDIGEST_SESSION_ENTRY *Flink;
struct _WDIGEST_SESSION_ENTRY *Blink;
DWORD_PTR usageCount;
struct _WDIGEST_SESSION_ENTRY *This;
LUID LocallyUniqueIdentifier;
DWORD_PTR unk1;
LSA_UNICODE_STRING Username;
LSA_UNICODE_STRING Domain;
LSA_UNICODE_STRING Password;
// [..]
} WDIGEST_SESSION_ENTRY;
Au sein de la structure WDIGEST_SESSION_ENTRY, seul le contenu du tampon de
données de la variable Password est chiffré.
Suite à la récupération des empreintes et des mots de passe (stockés
chiffrés), il sera nécessaire de les déchiffrer. Cependant, le chiffrement
diffère suivant la version du système. Les systèmes antérieurs à Windows Vista
SP1 utilisent l'algorithme DESX (une variante de l'algorithme DES avec deux
opérations de XOR supplémentaires). Depuis Windows Vista SP1, le
chiffrement utilisé est Triple-DES. Le déchiffrement de ces données
authentifiantes nécessitera au préalable de récupérer les clefs de
chiffrement, également stockées en mémoire, puis de réaliser l'opération de
déchiffrement grâce par exemple à la fonction interne (c'est-à-dire non
exportée) de lsasrv.dll LsaEncryptMemory() ou grâce à la bibliothèque
Bcrypt (via la fonction BCryptDecrypt()).
Cette technique a toute son importance au sein d'un réseau d'entreprise
disposant d'un domaine Windows. En effet, la compromission d'un serveur sur ce
type de réseau, pourra permettre de récupérer des identifiants d'autres
utilisateurs si ces derniers disposent de sessions d'authentification
présentes en mémoire. Ces identifiants pourront ensuite être utilisés pour
rebondir sur d'autres machines du réseau, tel que le contrôleur du domaine, si
le compte de l'administrateur a été compromis.
--
Steeve Barbeau
Références :
Blog de GentilKiwi / Mimikatz : http://blog.gentilkiwi.com/mimikatz/
Pass-The-Hash Toolkit : http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=publication&name=Pass-the-Hash_Toolkit_for_Windows
Plus d'informations sur la liste de diffusion newsletter