[Newsletter HSC] N°120 - Août 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 5 Aou 13:52:37 CEST 2014


========================================================================
              HSC Newsletter  --  N°120 --  aout 2014
========================================================================





     « Quand je vois le nombre de gens qui sont partis en vacances
       avec leur sans-fil, je me dis que s'il y avait eu des fils,
       on n'aurait pas fini de défaire les noeuds »



                                        [ Philippe Geluck ]






--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. HSC sponsor de la conférence SecureParis 2014 le 16 octobre
      3. Offres d'emploi HSC : consultants débutants et séniors
      4. Agenda des interventions publiques
      5. Prochaines formations HSC
      6. Actualité des associations : Club 27001, OSSIR et Clusif



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

     Le Plan 33 Cybersécurité, le COFIS [1] [2], la LPM, se lisent ensembles,
 et alors procèdent ouvertement d'une volonté cohérente de produits de
 préférence nationaux, au moins partiellement validés par le ministre du 
 redressement productif.

     Dans le cas du Plan 33 et du Fond d'investissement numérique, il n'y a
 pas de "mise en concurrence" formelle au sens du code des marchés publics.
 Le fonctionnement par appels à projets pour financement est le marqueur fort
 d'une politique par l'innovation mais les critères de décisions qui menottent
 la main invisible de la concurrence restent flous. L'histoire est marquée
 par de nombreux exemples malheureux d'interventionnisme et la SSI
 n'y échappe pas.

     Dans les années 2000, j'ai vécu les projets Oppidum. Des centaines de
 millions de francs puis d'euros distribués à l'industrie. Qu'en reste-t-il ? 
 Un des projets existe toujours, la PKI ex-IDX-PKI, de ex-Ideal'X, devenu 
 OpenTrust, repris par Keynectis en 2011. Que sont devenus les autres ?

     Je constate actuellement le même engouement dans la distribution de fonds
 publics [2] dans la SSI. Je ne suis pas certain que les bénéficiaires,
 toujours des fabricants de produits (tel qu'Arkoon-Netasq par exemple, dont
 la feuille de route peine encore à sortir 2 ans après leur fusion), sont les
 les acteurs qui créeront de la richesse et de l'emploi, contribueront 
 au développement de la SSI en France, ou à son exportation dans le monde.

     Si, comme le rappelle Guillaume Poupard, nouveau directeur de
 l'ANSSI, la cybersécurité est réellement une question de souveraineté [3],
 il ne faut cependant pas transformer cette question en offre nationale ou
 franco-allemande [2] de produits de sécurité. Ce ne sont pas des produits
 de sécurité qui sauveront la France de ce qu'E. Snowden a révélé,
 ni du marasme économique. Sans compter que les allemands ont parfois
 une stratégie qui nous échappe (voir, notamment, l'allemand Secusmart 
 racheté par BlackBerry, ex-RIM [4]).

     Est-ce qu'un jour quelqu'un rendra des comptes pour ces millions versés
 aux acteurs nationaux ? L'expérience tend à prouver que non...

     Dans notre intérêt commun, il ne faut pas que le Cyber tue la SSI, ni
 que la mission de l'ANSSI ne passe de la protection de l'information à la
 création d'une filière franco-française de produits dits "de confiance",
 sur le modèle de la filière de l'armement. La composition du comité du
 Plan 33 par Patrick Pailloux avait déjà montré cette orientation produit.
 Nous avons besoin d'un nombre très limité de produits maîtrisés, par exemple 
 dans les produits en coupure qui pourraient faire de l'interception.
 
     Mais ce ne sont pas les produits qui font la sécurité, ce
 sont les hommes et les processus. Ce n'est pas la compromission du produit
 le problème, mais la manière de l'intégrer et de l'utiliser ou encore le
 traitement défectueux de l'alerte par l'opérateur. De plus, dans un marché
 mondial, rien ne sert de donner aux éditeurs comme le voudraient certains
 lobbys [5][6] et certains acteurs. Ils oublient que les produits de sécurité
 informatique des petits marchés (tels que la France mais aussi tous les
 pays européens, la Taiwan, la Corée, le Japon) n'existent que grâce aux
 mesures protectionnistes, et ces produits resteront éternellement minoritaires
 au niveau mondial. Ils oublient aussi qu'une déferlante de produits chinois,
 le jour où ils exporteront, finira de les achever. Dans un marché mondial
 où le local n'a ni atout ni spécificité, le produit doit naître dans un
 grand marché comme les USA ou la Chine et l'Europe n'est pas encore
 un marché d'ampleur.

     Il convient donc de consacrer beaucoup plus aux hommes, aux processus,
 à l'organisation, à la manière et au savoir-faire. De cette démarche, naîtrons
 alors parfois, dans nos centres de surveillance et d'analyse, des produits.
 Ce sont les qualités de l'architecte, de l'auditeur, de l'analyste en
 sécurité, etc. qui font la différence, et non la marque des boites. Nous avons
 plus de  20 ans d'échecs derrière nous dans le domaine des produits et des
 boîtiers de sécurité. Sachons faire rupture avec notre héritage produit,
 reverser les travaux  de recherche de l'ANSSI sur le secteur privé, et passer
 au-delà dans nos investissements pour créer de la richesse et assurer notre
 souveraineté en cybersécurité.


 [1] COFIS : Comité de la Filière Industrielle de Sécurité
 http://www.infosdefense.com/eurosatory-mieux-connaitre-les-pme-francaises-de-la-defense-securite-et-surete-43896/
 http://www.agence-nationale-recherche.fr/fileadmin/documents/2014/wisg/3_filiere_nationale_securite.pdf
 [2] http://cache.media.education.gouv.fr/file/Securite/71/9/PresentationGTN05032014_307719.pdf
 [3] http://www.usine-digitale.fr/article/la-cybersecurite-est-une-question-de-souverainete-selon-guillaume-poupard.N264163
 [4] La solution Secusmart (logiciel et composant chiffrant) sécurise les
     téléphones pour les administrations et les officiels en Allemagne.
http://www.marketwired.com/press-release/blackberry-reinforces-mobile-security-leadership-with-acquisition-of-secusmart-nasdaq-bbry-1933487.htm
https://www.secusmart.com/en/press/press-releases/press-release-detail/artikel/secusmart-strengthens-the-secure-communication-of-blackberry/
https://www.secusmart.com/uploads/media/20140729_Secusmart_Strengthens_the_Secure_Communication_of_BlackBerry_EN.pdf
 [5] http://www.confiance-numerique.fr/wp-content/uploads/2014/05/ACN-Rapport-Activite-2013.pdf
 [6] http://www.afdel.fr/static/2014/06/12/livre-blanc-afdel-cyber-securite-hisser-les-acteurs-francais-au-niveau-de-la-competition-mondiale-bd.pdf



--[ 2. HSC sponsor de la conférence SecureParis 2014 le 16 octobre ]-----

    Venez rencontrer HSC lors de la conférence annuelle SecureParis
 organisée par ISC(2) à Paris au MEDEF IDF, 10 rue du Débarcadère,
 75017 Paris, métro/RER Porte Maillot.
 François Martinelli pour les formations, et Jean-Jacques Cayet pour les
 prestations, seront à votre disposition.

     Participation gratuite pour les titulaires du CISSP, programme et
 inscription en ligne : https://www.isc2.org/EventDetails.aspx?id=11941



--[ 3. Offres d'emploi HSC pour consultants en sécurité ]----------------

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la SSI, de la
 rétroingéniérie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale...

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc.),
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 4. Agenda des interventions publiques ]------------------------------

 - 9 septembre 2014 - Réunion de l'OSSIR - Paris
   "Compte-rendu des conférences BlackHat/DEFCON" par Steeve Barbeau
   et Inès Ribeiro
   http://www.ossir.org/paris/calendrier/index.shtml

 - 16 octobre 2014 - Conférence SecureParis - Paris
   Animation de la table-ronde par Hervé Schauer
   https://www.isc2.org/EventDetails.aspx?id=11941

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 5. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 8 au 10 septembre (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Gestion de crise IT/SSI    .............    : 12 septembre
        Inforensique Windows (SANS FOR408/GIAC GCFE): 15 au 19 septembre (*)(#)
        ISO 27001 Lead Auditor    ..............    : 15 au 19 septembre (#)
        Essentiel de PCI-DSS    ................    : 22 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 22 au 26 septembre (#)
        Correspondant Informatique et Libertés      : 24 au 26 septembre (@)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        ISO 22301 Lead Implementer    ..........    : 29 sept au 3 octobre (#)
        Essentiels de l'ISO27001:2013    .......    : 6 octobre
        Formation RSSI    ......................    : 6 au 10 octobre
        Essentiels juridiques pour gérer la SSI     : 13 et 14 octobre
        Formation CISSP    .....................    : 13 au 17 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 13 au 17 octobre (*)(#)
        ISO 27005 Risk Manager    ..............    : 20 au 22 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 20 au 25 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 20 au 25 octobre (*)(#)
        Mesures de sécurité ISO 27002:2013   ...    : 23 au 24 octobre
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        RGS : la SSI pour le secteur public    .    : 30 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 3 au 7 novembre (*)(#)
        Essentiels Informatique et Liberté   ...    : 12 novembre
        EBIOS Risk Manager    ..................    : 12 au 14 novembre (#)
        ISO 27005 Risk Manager    ..............    : 12 au 14 novembre (#)
        Sécurité SCADA  ........................    : 13 at 14 novembre
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 17 au 21 novembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 novembre (#)
        ISO 27005 Risk Manager    ..............    : 24 au 26 novembre (#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Formation DNSSEC   .....................    : 27 et 28 novembre (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 décembre (#)
        Correspondant Informatique et Libertés      : 3 au 5 décembre (@)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 8 décembre
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Indicateurs & tableaux de bord SSI/ISO27004 : 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Risk Manager Avancé    .................    : 18 et 19 décembre
        Sécurité du WiFi    ....................    : mars 2015  (*)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : avril 2015 (*)(#)
        PKI : principes et mise en oeuvre    ...    : mai 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 1er semestre 2015 (*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 1er semestre 2015 (*)(#)
        Inforensique réseau avancé (SANS FOR572)   : 1er semestre 2015 (*)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 2eme semestre 2014 (*)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 27001 Lead Implementer    ..........    : 29 sept au 4 octobre (#)
        ISO 27005 Risk Manager    ..............    : 8 au 10 octobre (#)
        ISO 22301 Lead Implementer    ..........    : 27 au 31 octobre (#)
        Formation CISSP    .....................    : juin 2015 (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        Correspondant Informatique et Libertés      : mars 2015 (@)
        ISO 27005 Risk Manager    ..............    : avril 2015 (#)

 - Marseille
        Essentiels juridiques pour gérer la SSI     : 15 au 16 septembre
        Correspondant Informatique et Libertés      : 19 au 21 novembre (#)

 - Rennes
        Essentiels de l'ISO27001:2013    .......    : 4 novembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : mai 2015 (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        Essentiels de l'ISO27001:2013    .......    : 17 octobre
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)
        ISO 27001 Lead Implementer    ..........    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez François Martinelli
 (remplaçant de Lynda Benchikh qui est en congé maternité du 1er juillet
 jusqu'au 29 octobre 2014) : formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 6. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 25 septembre
         - "La série des guides ISO 27034" par Sébastien Gioria (Advens)
         - seconde présentation en cours de confirmation
     . Réunion suivante à Paris jeudi 27 novembre
     . Prochaine réunion à Toulouse en fin d'année
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 9 septembre chez Solucom La Défense
         - Compte-rendu des conférences BlackHat/DEFCON par Steeve Barbeau
           et Inès Ribeiro (Hervé Schauer Consultants)
         - IRMA : Incident Response & Malware Analysis par Bruno Dorsemaine
           (Orange)
         - Revue de vulnérabilités
     . Prochain AfterWorks OSSIR à Paris le mardi 23 septembre à la Kolok
         Réservé aux membres OSSIR, chaque membre peut inviter un non-membre
     . Réunion suivante à Paris le mardi 14 octobre
         - "Qualification de prestataire de lutte contre l’intrusion" par
            Matthieu Hentien (ANSSI)
         - "Vulnerability assessment in cryptographic interfaces" par
            Graham Steel
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse mardi 21 octobre à l'Université Tls-1
         - Certifications sécuritaires sur le domaine bancaire" par
           Nathalie Feyt (CESTI Thalès)
         - "Analyse de sécurité des BOX ADSL" par Yann Bachy (LAAS/CNRS)
     . Réunion suivante à Toulouse mardi 16 décembre 2014
         - "Développement de moyens matériels pour la protection des couches
            basses du logiciel" par Benoît Morgan (LAAS/CNRS)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Le Clusif recrute son chargé de mission
       http://www.clusif.fr/ et pour postuler recrutement at hsc.fr






Plus d'informations sur la liste de diffusion newsletter