[Newsletter HSC] N°114 - février 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 4 Fév 17:36:34 CET 2014


========================================================================
              HSC Newsletter  --  N°114 --  février 2014
========================================================================





     « Pour savoir qui vous dirige vraiment il suffit de regarder ceux que 
      vous ne pouvez pas critiquer »


                                             [ Voltaire ]




--[ Sommaire ]----------------------------------------------------------

      1. Éditorial : Quand la Chine s'éveillera ...
      2. Le saviez-vous ? La question
      3. Nouveaux tarifs des formations HSC
      4. Nouvelle formation : "Gestion de crise IT/SSI"
      5. Compte-rendu du FIC 2014
      6. Programme de la conférence JSSI de l'OSSIR du 17 mars
      7. Programme de la conférence annuelle du Club-27001 du 18 mars
      8. Programme des GS-DAYS du 18 mars (code de réduction HSC)
      9. Offres d'emploi pour consultants
     10. HSC partenaire des GS-DAYS à Paris (code de réduction HSC)
     11. Agenda des interventions publiques
     12. Prochaines formations HSC
     13. Actualité des associations : Club 27001, OSSIR et Clusif
     14. Le saviez-vous ? La réponse



--[ 1. Éditorial - Quand la Chine s'éveillera ... - Matthieu Schipman ]-

     Avec sa culture millénaire, sa croissance économique à deux chiffres
 et son milliard et demi d'habitants "intra-muros", la Chine ne laisse pas 
 indifférent. Elle fascine, agace ou fait peur, parfois les trois à la 
 fois. Les hordes de hackers chinois surentraînés sont coupables de tout :
 espionnage économique massif, implémentation de portes dérobées dans les 
 composants, infiltration de tous les gouvernements, et j'en passe... Je 
 ne vais pas tenter de démêler aujourd'hui le vrai du faux, laissons ça 
 pour un autre édito. J'aimerais plutôt savoir : au final, que 
 pensent-ils de tout ça, nos amis chinois ?

 Nous avons tendance à imaginer les chinois tous bien alignés derrière leurs 
 dirigeants et leur régime bien-aimé, prêt à conquérir le monde à grands 
 coups de 0days. Rien n'est moins vrai.

 D'abord parce qu'ils sont les premières victimes de l'insécurité 
 informatique ambiante. Contrairement à d'autres, qui attaquent en 
 priorité les pays riches et évitent le hacking domestique, les criminels 
 chinois s'en prennent volontiers à leurs compatriotes. Il faut les 
 comprendre : entre l'explosion du commerce en ligne et autres business 
 juteux, les trous dans la législation et l'absence de réelle volonté 
 politique, ils ont de quoi faire.

 Ensuite, parce que contrairement aux idées reçues, la main-mise du 
 gouvernement sur l'internet chinois n'est pas si absolue. Le filtrage 
 multi-niveaux en place est, j'en conviens, assez efficace : une première 
 couche pour l'accès au réseau, qui nécessite la présentation d'une pièce 
 d'identité pour l'acquisition d'une ligne ou l'accès à un cybercafé (du 
 moins en théorie) ; une deuxième par les FAI, qui appliquent un filtrage 
 par mots clefs et interrompent temporairement la connexion si un terme 
 "inadéquat" est détecté ; une autre par les moteurs de recherche, qui 
 coopèrent "à l'insu de leur plein gré" en éliminant certains résultats 
 de recherche (business is business... on se souvient du pseudo bras de 
 fer Google versus Chine il y a quelques années) ; et enfin le fameux 
 "Great Firewall" qui bloque l'accès à certains sites au gré des tensions 
 politiques ou économiques du moment.

 Mais canaliser 600 millions d'internautes n'est pas si simple : les 
 "Netizens" chinois, de plus en plus nombreux, ont montré à plusieurs 
 reprises le pouvoir de la masse. Si leurs motivations sont parfois 
 discutables, voire ridicules (harcèlement de conjoint(e)s supposés 
 infidèles), leurs actions contre la chaîne de télévision officielle ou 
 contre des responsables politiques corrompus ont de quoi faire 
 réfléchir. On peut sans aucun doute dire que ces internautes chinois 
 représentent aujourd'hui un énorme contre-pouvoir potentiel qu'il vaut 
 mieux ménager.

     En dehors de toute considération politique ou idéologique : non,
 les Chinois ne sont pas des moutons qui suivent aveuglément leurs leaders
 machiavéliques assoiffés de pouvoir en appliquant une stratégie sur 20 ans
 pour pwner le monde. Je vois plutôt la Chine comme un supertanker qui
 naviguerait à la vitesse d'un TGV. Piloter un tel engin demande du tact,
 du bon sens et quelques concessions. En résumé, ils sont comme nous tous :
 ils font ce qu'ils peuvent.



--[ 2. Le saviez-vous ? La question ]-----------------------------------


     Quelle fonction de python3 est source de vulnérabilités lorsqu'elle est
 executée avec un interpréteur python2 ?

     Réponse au paragraphe 14.



--[ 3. Nouveaux tarifs des formations HSC ]-----------------------------
      
     HSC est et demeure depuis 25 ans le n°1 de la formation francophone
 en SSI, avec le programme le plus complet avec plus de 40 formations,
 plus de 700 stagiaires reçus chaque année, soit 20 000 heures de formation
 reçues, et plus de 90% de clients satisfaits et très satisfaits.
 HSC est partenaire de l'institut américain SANS en France qui dispense
 les formations techniques les plus reconnues au monde, et HSC est partenaire
 français d'ISC2 dont la certification CISSP est le must have de la profession.

     Après de nombreuses années de stabilité, les tarifs de nos formations
 à partir de 2014 sont les suivants, hors taxes, à chaque fois tout inclus :
 les repas de midi, les pauses, le café d'accueil, les fournitures
 éventuelles de clé USB, livres, etc, en plus du support de cours, support
 d'exercices et correction des exercices.

 Pour les formations permettant de tenter une certification ISC2, LPI ou LSTI,
 les prix sont indiqués avec le prix de l'examen de certification inclus,
 cependant les examens de certification sont optionnels.
 Pour les formations SANS permettant de tenter une certification GIAC, les
 prix sont indiqués sans examen.

 - Toutes les formations non certifiantes par jour de formation : 640 ¤
   Par exemple pour une formation CIL de 3 jours : 3 x 640 ¤ = 1920 ¤
   Par exemple pour une formation RSSI de 5 jours : 5 x 640 ¤ = 3200 ¤
 - Formations ISO27001 ou ISO22301 Lead Auditor ou Implementer : 3390 ¤
   examen de certification LSTI de 504 ¤ inclus
 - Formations ISO27005 ou EBIOS Risk Manager : 1970 ¤
   examen de certification LSTI de 399 ¤ inclus
 - Préparation au CISSP : 3720 ¤
   examen de certification CISSP de 520 ¤ inclus
 - Expert Sécurité Linux : 4000 ¤
   examen de certification LPIC-3 de 140 ¤ inclus
 - Formation SANS DEV522 : 3595 ¤
   examen de certification GWEB en plus : 519 ¤
 - Formations SANS SEC504, SEC542, SEC560, SEC660 ou FOR610 : 3625 ¤
   examen de certification GCIH, GWAPT, GPEN, GXPN, GREM en plus : 519 ¤
 - Formation SANS FOR508 : 3750 ¤
   examen de certification GCFA en plus : 519 ¤
 - Formation SANS FOR408 : 3885 ¤
   examen de certification GCFE en plus : 519 ¤
 - Formation SANS SEC401 : 4099 ¤
   examen de certification GSEC en plus : 519 ¤

    Nous vous rappelons que de nombreuses formations SANS dispensées en 6
 jours habituellement sont dispensées en 5 jours en France avec des horaires
 soutenus (9h10 - 18h30), le prix correspond donc à 6 jours de formation.

    Téléchargement du catalogue PDF des formations :
 http://www.hsc-formation.fr/formulaire/

    Pour les tarifs dégressifs en cas d'inscription de plusieurs stagiaires,
 pour des tarifs incluant vos frais de déplacements, contactez-nous :
 Lynda Benchikh -- formations at hsc.fr -- +33 141 409 704



--[ 4. Nouvelle formation : "Gestion de crise IT/SSI" ]-----------------

     Malgré tous nos principes de sécurité comme la défense en profondeur, les
 méthodes proactives demeurent limitées et tout un chacun est confronté un
 jour à une crise due à des incidents informatiques ou un problème de sécurité.
 Il faut donc maîtriser cette réaction d'urgence et s'y préparer. Afin de
 répondre à ce besoin exprimé par nos clients, HSC propose une nouvelle
 formation, spécifique sur la gestion de crise autour d'un sinistre SSI, qui
 complète notamment les formations d'une semaine SANS SEC 504 "Techniques de
 hacking, exploitation de failles et gestion des incidents", ISO22301 Lead
 Implementer (continuité d'activité), et la formation d'une journée "Gestion
 des incidents de sécuritéISO27035".

 Première session à Paris le vendredi 27 juin.

 Plan détaillé, pré-requis :
 http://www.hsc-formation.fr/formations/gestion_crise.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 5. Compte-rendu du FIC 2014 ]---------------------------------------

     Le Forum International de la Cybersécurité a réuni à Lille près de
 3000 visiteurs d'après les organisateurs - la police, elle, n'a pas compté -
 venus voir les 83 exposants et assister aux ateliers.

     Les grandes tendances sont le traitement automatisé des logiciels
 malfaisants dans des bacs à sable, le SOC (Security Operation Center),
 et la gestion et le traitement d'incidents. La gestion des incidents et
 des crises est tellement à la mode que tout le monde a acheté la marque
 américaine "CERT" (Computer Emergency Response Team), devenue plus
 populaire en France que dans n'importe quel autre pays, au lieu de CSIRT
 (Computer Security Incident Response Team) utilisé dans les normes.
 HSC n'échappe pas à cette mode avec ses nombreuses formations sur le sujet
 du traitement d'incident [1] [2] [3], revendues au FIC sur le stand de ses
 confrères et concurrents NBS (www.nbs.fr) et Itrust (www.itrust.fr).
 
     Les célébrités ayant fait le déplacement, comme les ministres, n'ont
 rien dit qui puisse être retenu. Le niveau des ateliers était variable,
 beaucoup de publicité, et difficile d'échapper aux platitudes sur certains
 sujets marronniers des conférences sécurité. Mais certains ateliers ont été
 l'occasion d'échanges fructueux ou d'originalité, bravo à Guillaume Arcas
 (Sekoia) dont la machine virtuelle de démonstration d'investigation numérique
 en direct s'était fait infecter par un botnet pas du tout prévu.

     Palo Alto, qui présentait des produits s'incrivant dans la tendance à 
 remonter dans la pile les fonctions des firewalls : intégration avec la 
 gestion d'identité, règles utilisant des critères de niveau applicatif,
 a profité du forum pour annoncer la certification CSPN[4] de ses boitiers  
 pare-feu PA Series. C'est une évolution intéressante qui peut être vue comme
 une reconnaissance du marché français que de voir un acteur américain 
 soumettre ses équipements à une certification de sécurité de portée purement
 hexagonale. Le communiqué de presse soulignant l'intérêt du fabriquant 
 américain pour le marché de défense français vient reposer de façon 
 intéressante après une année 2013 riche en événements la question entre
 certification et souveraineté.

     La table ronde sur la "cyber-défense proactive" aura été l'occasion
 d'une passe d'arme entre le LCL William Dupuydu CALID et Lazaro Pejsachowicz
 qui est assez significative. Ce dernier reprochait au militaire de se 
 positionner dans une logique d'opposition entre une vision issue du monde des
 armées dynamique et stratégique contre une vision supposée propre au civil 
 statique et tactique, niant un particularisme français en matière de pensée 
 de la sécurité de l'information remontant à plus de 30 ans. De façon générale,
 la table ronde reflétait bien l'influence lourde de l'investissement 
 américain sur le domaine où le monde du renseignement et de la défense 
 finance réflexion et recherche technique de façon massive depuis quelques 
 années. Il ressortait tout de même un consensus vers une réflexion qui 
 aille au dela de la gestion d'incident isolé et posait les problèmes ouverts
 d'identification d'une menace à partir d'attaques ou incidents épars et les
 limites de son traitement dans un cadre international souvent limitant.

     Hervé Schauer a participé à la table-ronde RSSI et CIL amis ou ennemis
 afin de rappeler que le CIL devait allier compétences juridiques mais aussi
 compétences techniques et bonne connaissance du SI de son organisme, c'est
 l'une des raisons pour lesquelles ce couple revient régulièrement.
 La CNIL s'intéresse de plus en plus à l'obligation de sécurité des données
 érigée par l'article 34 de la loi informatique et libertés : guide de
 gestion des risques s'inspirant d'EBIOS, recommandations sur les
 coffre-forts électroniques, guides pratiques sur la sécurité, etc [5]
 et le CIL doit connaître le concept de sécurité. Le CIL est un appui pour
 le RSSI, par exemple pour les budgets de certaines mesures de sécurité, ou
 pour réduire le nombre de comptes ayant des privilèges.

     Le prix de la PME innovante a récompensé CybelAngel (www.cybelangel.com),
 avec le soutien remarqué de Cassidian, créateur du prix de la PME innovante,
 qui a intégré la technologie CybelAngel dans son logiciel Cymerius [6]
 CybelAngel a développé un logiciel qui prévient des attaques en détectant
 ceux qui s'apprêtent à vous attaquer. Pour cela leur logiciel récupère
 un million de documents par semaine avec un robot haute fréquence,
 qui récupère le contenu du darkweb, des parties inconnues des réseaux
 sociaux, en y espionnant les discussions. Puis CybelAngel analyse avec
 des mots-clés, des filtres bayésiens et des algorithmes secrets de
 data-mining construits dans un garage pendant 2 ans, et a ainsi retrouvé la
 facturation d'une société du CAC40 évadée via un fournisseur, des pirates
 s'apprêtant à lancer des dénis de service répartis, des injections SQL, la
 listes des véhicules diplomatiques avec plaque d'immatriculation et adresse
 dans un pays étranger, etc. Sur le marché noir de la carte bleue CybelAngel
 a détecté que certaines personnes cherchaient à acheter des n° de cartes
 spécifiques de leur client.
     Le client cible des attaquants est prévenu dans la minute et il n'y a
 pas de faux-positifs. Les clients actuels sont le principal acteur du
 secteur aérien au sol, et la première banque française, pour laquelle ont
 été remontées 62 alertes dont 10 critiques, et 2 ou 3 ayant peut-être fait
 l'objet d'investigations policières, et des tests sont en cours avec 6 
 grandes sociétés. Une limite actuelle est que CybelAngel ne supporte que 
 l'anglais et le français.
     CybelAngel a promis de présenter prochainement sa solution à l'OSSIR
 Paris afin d'expliquer le fonctionnement de l'outil.

 [1] SANS SEC504 Techniques de hacking, exploitation de failles et gestion
     des incidents
     http://www.hsc-formation.fr/formations/sec504_hacker_techniques.html.fr
 [2] Gestion des incidents de sécurité & norme ISO27035
     http://www.hsc-formation.fr/formations/iso27035-gestion-incidents.html.fr
 [3] Gestion des crises IT/SSI
     http://www.hsc-formation.fr/formations/gestion_crise.html.fr

 [4] http://www.ssi.gouv.fr/IMG/cspn/anssi-cspn-cible_2013-10fr.pdf
 [5] http://www.cnil.fr/les-themes/securite/ 
 [6] http://www.cassidian.com/fr_FR/cybersecurity/security-management-tool



--[ 6. Programme de la conférence JSSI de l'OSSIR du 17 mars ]----------

     La journée de la Sécurité des Systèmes d'Information, organisée par
 l'OSSIR, se déroulera le lundi 17 mars 2014 à Paris à la Maison des
 Associations, 10/18, rue des terres au curé 75013 Paris
 (http://www.mas-paris.fr/plan.html) de 8h30 à 17h30.

  8h30 : Accueil des participants et café offert
  9h00 : Ouverture de la journée
  9h05 : "Advanced Protection Techniques ou comment utiliser
         des APT contre les APT (Advanced Persistent Threat)"
          . Vasileios Friligkos et Florian Guilbert, Intrinsec
  9h50 : "La sécurité de TLS, un voeu pieu ?"
          . Christophe Renard, Hervé Schauer Consultants (HSC)
  10h35 : pause café
  11h05 : "Est-il possible de sécuriser un domaine Windows ?"
          . Arnaud Soullié, Florent Daquet et Ary Kokos, Solucom
  11h50 : Conférence invitée
          . Eric Barby, Alain Bensoussan Avocats
  12h40 : Buffet déjeunatoire
  14h00 : "Outils et techniques pour attaques ciblées"
          . Renaud Feil, Synacktiv
  14h40 : "Implementation and Implications of a Stealth
          Hard-Drive Backdoor" (conférence en français)
          . Aurélien Francillon, Eurecom
  15h20 : pause café
  15h50 : "L'environnement radio, de plus en plus difficile à protéger"
          . Renaud Lifchitz, Oppida
  16h30 : "La sécurité : d'une contrainte à un levier business : retour
          d'expérience"
          . Bernard Olivier, Orange
  17h10 : clôture de la journée, discussions

     Inscription à la journée, déjeuner et trois pauses incluses :
        - 15 euros pour les adhérents de l'OSSIR
        - 30 euros pour les étudiants (copie carte d'étudiant)
        - 75 euros pour les non-adhérents

 L'inscription est validée après réception du règlement ou du bon de
 commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
 cedex 05, en prévenant de votre envoi à jssi14 at ossir.org
 Payement par paypal disponible :
 http://www.ossir.org/association/index/reglement-paypal.shtml
 L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
 Programme détaillé : http://www.ossir.org/jssi/jssi2014/



--[ 7. Programme de la conférence annuelle du Club-27001 du 18 mars ]---


     Le Club 27001 (http://www.club-27001.fr/) organise sa septième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le mardi 18 mars 2014 à l'espace Saint-Martin, dans le cadre des GS-DAYS.

  9h30 : "Introduction de la journée"
          . Eric Doyen, RSSI d'Humanis et président du Club 27001
          . Alain De Greve président du groupe de coordination belge de la
             normalisation en SSI pour les normes ISO 27000
 10h15 : "Coulisses des nouvelles versions 2013 des ISO27001 et ISO27002"
          . Matthieu Grall, CNIL
 11h00 : Pause
 11h30 : "Retour d'expérience sur le projet de certification ISO 27001 de
          ELFE : de l'importance des fondamentaux". 
          . Sophie de Visme, RSSI, ELFE
          . Ando Rakotonirina, responsable SI, ELFE
          . Rainer Kugel, responsable d'exploitation, ELFE
 12h15 : Déjeuner assis
 14h00 : "Retour d'expérience : "ISO 27001 : moteur de l'externalisation"
          . David Coomes, IATA
 14h45 : "Implémentation d'un SMSI dans un cadre de multi-conformité
         normative et règlementaire"
          . Nicolas Mayer, Centre de Recherche Public Henri Tudor
 15h30 : Pause
 15h45 : "Benchmark des outils SMSI"
 16h15 : Retour d'expérience en cours de confirmation
 17h00 : Table ronde "Migration vers l'ISO27001:2013"
          . LSTI / Afnor certification / BVQI


 Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclut les pauses café et le déjeuner).

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros (donnant droit à 5 entrées à la
          conférence au prix remisé), soit une économie jusqu'à 1500 euros

 Lieu : Espace Saint-Martin au 199 bis, rue Saint-Martin, 75003 Paris
        http://www.gsdays.fr/infos-pratiques/
 Plan : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/145/2014-club27001_inscription_conf.pdf

 Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
 Bertrand Augé : tresorier at club-27001.fr



--[ 8. Programme des GS-DAYS du 18 mars ]-------------------------------

     La 6ème édition des GS Days, Journées Francophones de la Sécurité de
 l'Information, se tiendra le 18 mars de 8h30 à 18h30, à l'Espace 
 Saint-Martin (http://www.gsdays.fr/infos-pratiques/).
 Voici le programme prévisionnel de la journée :

 - "get-IncidentResponse", Julien Bachmann, SCRT
 - "Gestion des comptes à privilèges", Christophe Gueguen, Harmonie
   Technologie
 - "Proxy transparent pour l'interception et la modification de trafic TCP",
   Bertrand Mesot, Objectif Sécurité
 - "Atteintes à l'E-Réputation : quels recours ?", Amina Khaled, BEAM avocats
 - "XSS Reloaded", Renaud Bidou, Deny-All
 - "Du secret bancaire au secret médical", Didier Barzin, RSSI de l'Agence 
   Luxembourgeoise e-santé, et Michel Ackerman, EBRC
 - "Big Data : 10 risques et 8 familles de contre-mesures", Gérôme Billois
    et Chadi Hantouche, Solucom
 - "War Stories from the Cloud", Emmanuel Macé, Akamai
 - "Le Charte Informatique face aux nouveaux usages de l'entreprise", Frédéric
   Connes et Amélie Paget, Hervé Schauer Consultants
 - "La nouvelle loi en matière de divulgation d'informations stratégiques",
   Diane Mullenex, PinsentMasons
 - Démonstrations techniques de l'ARCSI

 Inscription en ligne :
     http://www.gsdays.fr/sinscrire/10-gsdays-2013.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf
 Utilisez le code d'HSC pour vous inscrire : 55a92Lz et bénéficiez d'un
 tarif réduit de 130 euros HT au lieu de 160 euros HT.



--[ 9. Offres d'emploi pour consultants en sécurité ]-------------------

  +-------------------------------------------------------------+
  | HSC recherche des consultants expérimentés 2 à 6 ans d'exp. |
  +-------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc.),
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 10. HSC partenaire des GS-DAYS à Paris ]----------------------------
     
     HSC sera présent aux GS-DAYS le 18 mars prochain de 8h30 à 18h30 à
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe sera à votre disposition sur
 notre stand.

     Conférence HSC : "La charte informatique face aux nouveaux usages de
 l'entreprise" pas Frédéric Connes et Amélie Paget, dans le cycle de
 conférences organisationelles et juridiques en sécurité.

 Inscription obligatoire.

 Utilisez le code d'HSC pour vous inscrire : 55a92Lz et bénéficiez d'un
 tarif réduit de 130 euros HT au lieu de 160 euros HT.

 Programme complet et inscription :
 http://www.gsdays.fr/



--[ 11. Agenda des interventions publiques ]----------------------------

 - 7 février 2014 - Club 27001 - Toulouse
   "Nouvelles normes ISO27001:2013 et ISO27002:2013"
   Béatrice Joucreau
   http://www.club-27001.fr/prochaines-reunions/toulouse.html

 - 17 mars 2014 - JSSI de l'OSSIR - Paris MAS
   "La sécurité par TLS en 2014, un voeu pieu ?"
   Christophe Renard
   http://www.ossir.org/jssi/jssi2014/

 - 18 mars 2014 - GS-DAYS - Paris Espace Saint-martin
   "La charte informatique face aux nouveaux usages de l'entreprise"
   Frédéric Connes et Amélie Paget
   http://www.gsdays.fr/a-propos/programme/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 12. Prochaines formations HSC ]-------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Essentiels de l'ISO27001:2013    .......    : 5 février (C)
        Essentiels de l'ISO22301    ............    : 7 février
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 10 au 14 mars (A)(*)(#)
        ISO 27001 Lead Implementer    ..........    : 10 au 14 mars (#)
        Essentiels juridiques pour gérer la SSI     : 13 et 14 mars
        Essentiels techniques de la SSI    .....    : 17 et 18 mars
        ISO 27005 Risk Manager    ..............    : 19 au 21 mars (#)
        Sécurité du WiFi    ....................    : 19 et 20 mars  (*)
        Essentiels Informatique et Liberté   ...    : 21 mars
        ISO 27001 Lead Auditor    ..............    : 24 au 28 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 24 au 28 mars (*)(#)
        Formation RSSI    ......................    : 31 mars au 4 avril
        EBIOS Risk Manager    ..................    : 1 au 3 avril (#)
        RGS : la SSI pour le secteur public    .    : 4 avril
        Inforensique Windows (SANS FOR408/GIAC GCFE): 7 au 11 avril (*)(#)
        ISO 22301 Lead Implementer    ..........    : 7 au 11 avril (#)
        Expert Sécurité Linux    ...............    : 7 au 11 avril (*)(#)
        Mesures de sécurité ISO 27002:2013   ...    : 7 et 8 avril
        Correspondant Informatique et Libertés      : 9 au 11 avril (@)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 14 au 19 avril (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 28 avril
        Formation CISSP    .....................    : 12 au 16 mai (#)
        PKI : principes et mise en oeuvre    ...    : 14 au 16 mai (*)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 19 au 23 mai (*)(#)
        ISO 27005 Risk Manager    ..............    : 19 au 21 mai (#)
        Risk Manager Avancé    .................    : 22 et 23 mai
        Essentiel de PCI-DSS    ................    : 2 juin
        Sécurité SCADA  ........................    : 16 at 17 juin
        Formation DNSSEC   .....................    : 18 et 19 juin (*)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 juin (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 23 juin
        Mesures de sécurité ISO 27002:2013   ...    : 24 et 25 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 25 juin
        Gestion des incidents de sécurité/ISO27035  : 26 juin
        Gestion de crise IT/SSI    .............    : 27 juin
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Inforensique réseau avancée (SANS FOR572)   : 2em semestre 2014 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 2em semestre 2014 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète
 (A) : session de formation en anglais

 - Luxembourg
        Formation CISSP    .....................    : 19 au 23 mai (#)
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 22301 Lead Implementer    ..........    : 16 au 20 juin (#)
        ISO 27001 Lead Implementer    ..........    : 27 au 31 octobre (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Correspondant Informatique et Libertés      : 26 au 28 mars (@)
        ISO 27005 Risk Manager    ..............    : 16 au 18 avril  (#)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre

 - Marseille
        Correspondant Informatique et Libertés      : 19 au 21 novembre (#)

 - Rennes
        Correspondant Informatique et Libertés      : 21 au 23 mai (@)
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre

 - Toulouse
        Essentiels de l'ISO27001:2013    .......    : 14 avril
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 27001 Lead Implementer    ..........    : 23 au 27 juin (#)
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 13. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Conférence annuelle du club le mardi 18 mars
     . Prochaine réunion à Paris le jeudi 22 mai
         - "Application de la version 2013 de l'ISO 27002 dans l'assurance"
            par Fabien Dupré (Harmonie Technologie)
     . Prochaine réunion à Toulouse le 7 février 2014
         - "Nouvelles normes ISO27001:2013 et ISO27002:2013" par Béatrice
           Joucreau (Hervé Schauer Consultants)
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 11 février
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Prochain AfterWorks OSSIR à Paris le mardi 28 janvier à 18h30 au Kolok
         - Retour de la conférence BotConf tenue à Nantes en décembre par
           Eric Freyssinet (Gendarmerie)
     . Réunion suivante à Paris le mardi 11 février
     . Conférence annuelle JSSI lundi 17 mars, les GS-DAYS suivront le 18 mars
     . Réunion suivante à Paris le mardi 8 avril
     . Prochaine réunion à Rennes courant du premier trimestre
     . Prochaine réunion à Toulouse mardi 21 janvier à l'université 1

 o Clusif (http://www.clusif.fr/)
     . Assemblée Générale le lundi 17 mars 2014



--[ 14. Le saviez-vous ? La réponse ]------------------------------------

  La fonction input est définie différemment sous python 2.x et python 3.x.
  Sous python 2.x, la fonction input est équivalente à 
  eval(raw_input(...)) et peut donc permettre l'évaluation de code arbitraire.
  Avec python3, la fonction input est équivalente à la fonction 
  python2 raw_input, qui se contente de lire l'entrée standard et de 
  retourner dans une chaîne de caractère le résultat lu.

  Par exemple, le code suivant est valide dans les deux versions de python:

  #!/usr/bin/env python

  pin = int(input("PIN CODE"))
  if (pin == 1234):
  [...]

  Il n'est toutefois pas possible d'exécuter directement n'importe quelle
  instruction python puisque la fonction eval n'évalue que des "expressions".
  Cette restriction peut trivialement être contournée à l'aide de la fonction
  execfile("/tmp/maliciouscode.py"), ou encore à l'aide d'un shell en écoute
  à l'aide de la commande
   __import__('os').execv('/bin/nc',['','-l', '-e /bin/sh', '-p 8000'])





Plus d'informations sur la liste de diffusion newsletter