[Newsletter HSC] N°127 - Mars 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Lun 30 Mar 10:43:00 CEST 2015


========================================================================
              HSC Newsletter  --  N°127 --  mars 2015
========================================================================



           « Les hommes construisent trop de murs et pas assez de ponts »

                                        [ Isaac Newton  ]





--[ Sommaire ]----------------------------------------------------------

      1. Editorial
      2. Compte-rendu de la conférence JSSI de l'OSSIR du 10 mars
      3. Programme de la conférence annuelle du Club 27001 du 24 mars
      4. Programme des GS-DAYS du 24 mars (code de réduction HSC)
      5. Offres d'emploi HSC by Deloitte : consultants débutants et séniors
      6. HSC by Deloitte partenaire des GS-DAYS 2015
      7. HSC by Deloitte partenaire des Information Security Days à Luxembourg
      8. Agenda des interventions publiques
      9. Prochaines formations HSC
     10. Actualité des associations : Club 27001, OSSIR et Clusif



--[ 1. Editorial - Mikael Smaha  ]--------------------------------------

     Vous connaissez Raymond [1]. Il prend parfois un autre nom comme Georges
 ou Robert, mais incarne le même danger pour votre entreprise et il erre sans
 doute déjà dans vos corridors.

 Pourtant Raymond n'est pas malveillant. Au contraire, il est toujours prêt à
 rendre service. D'ailleurs, n'est-ce pas grâce à lui que le dernier incident a
 été résolu aussi vite ?  Employé modèle depuis des années, Raymond a toujours
 fait preuve d'une capacité d'adaptation hors du commun et est capable
 d'assimiler des technologies en évolution constante !

 Aujourd'hui ou demain, sous son air affable, vénérable et légèrement mystique,
 Raymond saura vous conter les méandres de votre système d'information, son
 histoire et les origines des choix et aberrations techniques qui encombrent
 votre quotidien.

 Oui, tout le monde connaît Raymond. Celui qui : (au choix)
  * a le schéma réseau en cache dans le cerveau ;
  * connaît intimement le fonctionnement de votre application de coeur de
    métier programmée en Cobol, Fortran ou Smalltalk ;
  * maîtrise l'utilisation du système en mode analogique a développé ces hacks
    certes horribles, qui permettent à ces protocoles ou applications
    incompatibles de fonctionner ensemble ;
  * se rappelle de ces vieux protocoles qui animent toujours votre système
    d'information.

 Heureusement pour vous, le syndrome Raymond ne se cache pas : les audités se
 feront une joie de vous renvoyer vers cette bible de l'entreprise, sitôt
 qu'une question trop précise sera abordée.

 Car Raymond n'est pas seulement votre meilleur ami, c'est également votre pire
 ennemi !  Raymond parait inamovible, mais Raymond n'est pas incrusté dans le
 marbre de la société. Demain, la fortune l'emportera peut-être ailleurs, vers
 la retraite ou l'au-delà. Poussée par une tendance croissante à la réduction
 du personnel, votre société s'en séparera peut-être, pour le remplacer par un
 prestataire de SSII.

 A ce moment-là, toute sa connaissance s'en ira avec lui, et votre système
 d'information deviendra une boîte noire.

 En fait Raymond est rarement seul et c'est toute la génération qui a connu
 l'informatisation des entreprises qui quitte progressivement le monde du
 travail.

 Dans peu de temps plus personne n'aura connu votre entreprise sans
 informatique, plus personne ne se souviendra de la justification des choix
 techniques. À la prochaine crise, pendant que Raymond profitera de sa
 retraite, votre prestataire devra apprendre, découvrir, improviser dans
 l'urgence.

 Il importe donc de prendre vos dispositions dès maintenant pour que son départ
 ne soit pas synonyme de perte d'information durable pour l'entreprise
 Adjoignez-lui quelqu'un pour organiser le transfert des compétences, et
 surtout documentez !


 [1] Les prénoms ont été changés



--[ 2. Compte-rendu de la conférence JSSI de l'OSSIR du 10 mars ]----
    par Danil Bazin, Jean-Jacques Cayet, Pierre d'Huy, Alexandre Magloire

 Discours d'ouverture de la journée par le président de l'OSSIR, Jean-Philippe
 Gaulier. Thème : "Quel avenir pour la souveraineté française en SSI"

 ========================================================================
 Vincent Strubel (ANSSI) - Les enjeux SSI de la souveraineté

     Vincent Strubel rappelle que les fondements de cette souveraineté sont
 issus du Livre blanc sur la défense et la sécurité nationale de 2008,
 actualisé en 2013. Dans ce domaine, il fait le constat de la dépendance accrue
 envers des acteurs qui ne sont pas français ni européens.
 Il y voit 2 enjeux : à court terme les attaques sur des cibles critiques, à
 plus long terme la perte de souveraineté dans le domaine des TIC (cf notamment
 le livre de Pierre Bellanger : La souveraineté numérique).  Il fait bien le
 distinguo entre souveraineté & protectionnisme, certains secteurs sont soumis
 à un fort besoin de confiance, en matière de technologies : cryptographie,
 hardware, OS, supervision... ou pour certaines activités : services de SSI,
 hébergement...
 Le bilan actuel est mitigé, les données critiques de l'Etat sont bien
 protégées, la protection des OIV présente quelques lacunes, il espère que la
 LPM permettra de les combler. Les autres entreprises, en particulier les PME,
 et les particuliers sont délaissés. Cela tient à deux raisons principales :
 une offre de services peu lisible et une demande insuffisante de la part des
 entreprises et des administrations.
 Enfin, quelques tendances sont inquiétantes : la dérégulation (nouveaux
 traités TTIP et TISA), l'externalisation croissante, la consolidation
 d'entreprises dominantes.
 Les chantiers à venir seront déterminants : réussite de le LPM, développement
 d'offres de produits et de services liés à la SSI, mais surtout le
 développement de la coopération européenne.

 ========================================================================
 Vincent Strubel (ANSSI) - Présentation de l'OS sécurisé CLIP

     CLIP est un projet initié par la DCSSI. C'est Un OS Linux durci
 multi-niveau utilisé actuellement au sein des administrations et en essai chez
 certain OIV.
 Il s'agit d'une distribution Linux complète durcie : la configuration est
 minimale, la mémoire est durcie (W XOR X, randomisation), les périphériques
 amovibles sont gérés (en lecture seule au montage, pas d'exécution de binaires
 possibles).
 Il est doté d'une cryptographie à l'état de l'art, d'une séparation stricte
 des rôles (administration, audit, mise à jour, utilisateurs, utilisation des
 «capabilities»), doté de cloisonnement via un système de container (1 noyau
 mais plusieurs compartiments utilisateurs) pour les logiciels/services.  Les
 mises à jour en sont assurées par l'ANSSI, téléchargées via IPSec, doublement
 signées, et résistantes aux pannes (au mieux, avec mécanisme de retour en
 arrière), automatisées et non interactives. Le déploiement de CLIP nécessite
 une IGC et des passerelles, il est assuré par quelques industriels et
 intégrateurs.
 La finalité de CLIP est de complexifier l'intrusion d'un attaquant dans le
 système : même si l'intrusion a lieu, il permet d'en limiter le champ
 d'action.  Bien que développé en Open Source, la distribution de CLIP n'est
 pas ouverte, l'ANSSI voulant garder le contrôle afin d'éviter des variantes
 non sécurisées, certaines parties des sources sont classifiées.
 CLIP se retrouve pour des usages standards de type bureautique, mais surtout
 quand le même poste de travail est utilisé pour des tâches d'administration
 (cloisonnement, ...), aussi pour des usages très spécifiques de type station
 blanche, de type "dépollution de fichiers" (antivirus + diode
 unidirectionnelle) ou chiffreur léger.
 L'utilisation dans un contexte "serveur" est pour l'instant très limitée.

 ========================================================================
 Nicolas Ruff - Les produits de sécurité français vus des tranchées.

     Nicolas Ruff partage un regard factuel et désabusé sur certains produits
 (OS, utilitaires, ...) du marché historiques (pas tous d'origine française à
 l'instar de Windows NT4).  Il pointe les défaillances de ces produits (défauts
 de qualité, vulnérabilités, correctifs inefficaces, ...). Parmi ces produits,
 l'un d'eux est labellisé par l'ANSSI.
 Il passe aussi en revue les défaillances de sécurité de produits plus récents,
 tels certains portail Wifi et téléphones sécurisés.  Ces insuffisances ont
 leur origine dans l'absence de prise en compte des résultats des tests
 d'intrusion, même lorsque les failles identifiées sont remontées au CERTA,
 l'absence de transparence sur les failles de sécurité (il n'existe pas de CVE
 pour ces produits), enfin le simple label "Bleu Blanc Rouge" ne suffit pas à
 garantir la qualité de produits de sécurité. Il pense qu'un bon produit de
 sécurité doit dès le départ s'appuyer sur des éléments ouverts, être soutenu
 par une équipe de sécurité dédiée et être éprouvé (il remarque qu'un produit
 exposé plus d'un an sur Internet et qui n'est pas intrusé présente sans doute
 de bonnes qualités de sécurité).

 ========================================================================
 Laurent Bloch - Révolution cyber-industrielle et facteurs de cyber-puissance

     Ce sujet est déjà l'objet de réflexions avancées, cf. les ouvrages de
 Pierre Béllanger (opus déjà cité) et Laure Belot (La déconnexion des élites).
 Il est peu pris en compte par nos dirigeants, et conduit à l'absence de
 Maitrise de l'industrie sous-jacente aux usages (cf le livre du conférencier :
 Révolution Cyberindustrielle en France).
 Dans une révolution industrielle les hiérarchies s'inversent et les
 institutions sociales et judiciaires sont chamboulées.  Nous vivons
 actuellement la 3éme révolution industrielle, celle de de l'informatisation,
 caractérisée par de lourds besoins en investissements en phase de recherche et
 développement, un faible besoin de main-d'oeuvre pour la production, ayant
 pour conséquence un modèle de concurrence monopolistique.
 Les mesures à prendre pour ne pas être exclu de cette révolution sont de
 nature éducative : enseignement de l'informatique et de la programmation dès
 le plus jeune âge (école primaire).

 ========================================================================
 Alain Bensoussan - Les nouvelles atteintes à la SSI

     Depuis la fin 2014 la législation a changée, elle conduit à la mise en
 danger des délinquants et des victimes, nous passons de la protection des
 données personnelles à la protection des données (personnelles ou pas). Deux
 législations convergent, celle concernant le vol et l'abus de confiance et
 celle sur l'utilisation d'un STAD (Système de Traitement Automatique de
 Données).
 Avant cette nouvelle loi on parlait de vol de données, avec toutes les
 contraintes (comment voler quelque chose d'immatériel). De nouvelles
 infractions apparaissent celles de l'extraction (une simple copie par
 exemple), de la détention des éléments extraits (on avait déjà pour le recel)
 et celle de la transmission.
 Le fait de réaliser ces infractions en bande organisée, accroit la sanction La
 loi admet une seule exception : celle de la recherche en sécurité.  En
 conséquence, il est recommandé de prendre tous les moyens pour assurer
 protection des données, en particulier de précéder à des audits réguliers, de
 prendre des mesures de sécurité techniques et  juridiques (chartes), de
 rédiger des guides des opérations de contrôle interne, de disposer de
 procédures de gestion de crise et des failles de sécurité et d'être attentif à
 l'égard de ses prestataires (audit et négociation des contrats) : le donneur
 d'ordre reste responsable de ses sous-traitants.


 ========================================================================
 Pascal Sitbon - (SECLAB) : solutions de sécurité françaises et européennes

     Une jeune société française ayant développé plusieurs produits de
 sécurité, explique comment elle s'insère dans le paysage industriel français
 et international. Ayant réussi à convaincre un 1er client aux USA, il lui a
 été plus facile de convaincre des clients sur le marché français.  Aujourd'hui
 elle recherche des intégrateurs, afin de combiner ses produits avec des
 prestations et construire ainsi des solutions métiers.


 ========================================================================
 Béatrice Joucreau & Christophe Renard (HSC by Deloitte) :
 La LPM pour un petit OIV

     La prise en compte de la SSI par les Instituions est récente, elle s'est
 traduite par le livre blanc de la défense en 2008, la création de l'ANSSI en
 2009 et enfin, en 2013 par le vote de la LPM dont l'article 22 traite de la
 protection des systèmes critiques. Une partie de ces systèmes sont couverts
 par des systèmes informatiques dits industriels, dont la sécurité est donc
 critique.
 La SSI dans ce domaine a déjà une longue histoire, faite de modèles de
 menaces, d'attaques plus ou moins réussies ou médiatisées.
 En parallèle l'Etat s'est attaché à définir et répertorier ces systèmes
 sensibles dont sa survie dépend. Ils ont fait l'objet de définitions et
 classifications (SAIV, OIV, PIV, ZIV) qui ont conduit à des listes
 d'opérateurs et d'établissements publics ou privés soumis à des obligations
 particulières en matière de SSI. Ces listes sont confidentielles.
 Ces opérateurs sont soumis aux contraintes techniques propres à ces
 environnements industriels (ancienneté des installations, technologies
 hétérogènes, nombreux tiers intervenants, besoins de validation, ...)
 La prise en compte des exigences de la LPM est complexe, notamment pour les
 plus petits opérateurs concernés.
 Il existe dores et déjà différents outils et guides méthodologiques permettant
 d'amorcer les  démarches demandées par le LPM (inventaire, appréciation des
 risques), en attendant que son décret d'application ainsi que les arrêtés
 sectoriels paraissent.


 ========================================================================
 Stéphane Bortzmeyer (AFNIC) - La souveraineté

     Stéphane redonne une définition rapide de la souveraineté et en donne une
 illustration concrète au travers du Cloud.
 Dans ce domaine il rappelle les offres qu'il a connues, en particulier celles
 d'OVH et Gandi qu'il a pu expérimenter à leur début, puis l'apparition du
 projet Andromède, sa scission qui donne naissance à Numergy et CloudWatt et
 l'avenir incertain de ces 2 projets.
 Cela illustre selon lui la problématique de la neutralité et met sur le devant
 de la scène la question de la concurrence déloyale.  Il rappelle que la
 souveraineté peut s'exercer en jouant un rôle plus actif au sein des instances
 internationales de normalisation, il cite le contexte qu'il connait bien de
 l'IETF où la représentation Française (et européenne) est faible comparée à
 celles de l'Amérique et de l'Asie Il termine par des réflexions sur la
 confiance que l'on peut avoir dans un système d'informations et notamment du
 contrôle possible de la qualité des produits dits ouverts.


--[ 3. Programme de la conférence annuelle du Club 27001 du 24 mars ]----

     Le Club 27001 (http://www.club-27001.fr/) organise sa huitième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le mardi 24 mars 2015 à l'espace Saint-Martin, entièrement rénové, dans
 le cadre des GS-DAYS.

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière : la structuration du marché de la sécurité
         Table ronde avec Philippe Dewost (en charge du numérique à la CDC),
         Guillaume Poupard (Directeur de l'ANSSI), et Michel Van Den Berghe
         (Directeur d'Orange Cyberdéfense), animée par Alain Establier,
         rédacteur en Chef de la revue Security Defense
 10h30 : Pause café
 10h50 : "ISO 27001:2013, une réponse aux enjeux de sécurité de l'information",
         retour d'expérience d'un fournisseur de service Cloud, Laurent Seror,
         PDG, Outscale
 11h30 : "Evaluation de la sécurité de nos fournisseurs IT dans le cadre du
         référencement sourcing Groupe", par Jean-Philippe Gaulier, RSSI de
         la DSI Groupe, Orange
 12h15 : Déjeuner assis
 14h00 : "Retour d'expérience d'un RSSI d'une collectivité territoriale
         avec les normes", Gilles Trouessin, ancien RSSI d'un Conseil Général
 14h45 : "Evaluer les processus de votre SMSI grâce à la future
         norme ISO 33070-4", par Stéphane Cortina , ingénieur R&D au
         Luxembourg Institute of Science and Technology
 15h30 : Pause
 16h00 : Retour d'expérience : "Mise en oeuvre pratique de l'ISO 27001"
         par Patrice Renaudineau, RSSI de Nantes-Metropole
 16h30 : Retour d'expérience : "Sécurité et ISO27001 pour un fournisseur IT"
         par Dimitri Druelle, RSSI de GFI
 17h00 : Retour sur le travaux du livre blanc version 2015
         par Thomas Lebouc
 17h15 : "Conclusion de la journée"
         par Emmanuel Garnier, RSSI et président du Club 27001
 17h30 : Cloture de la conférence du club 27001
 18h00 : Cocktail de cloture

 Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclut les pauses café et le déjeuner).

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros (donnant droit à 5 entrées à la
          conférence au prix remisé), soit une économie jusqu'à 1500 euros

 Lieu : Espace Saint-Martin au 199 bis, rue Saint-Martin, 75003 Paris
        http://www.gsdays.fr/infos-pratiques/
 Plan : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/153/club27001_conference_2015.pdf

 Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
 Carl Roller : tresorier at club-27001.fr



--[ 4. Programme des GS-DAYS du 24 mars (code de réduction HSC) ]--------

     La 7ème Edition des GS Days, Journées Francophones de la Sécurite de
 l'Information, se tiendra le 24 mars de 8h30 à 18h30, à l'Espace Saint-Martin
 entièrement rénové (http://www.gsdays.fr/infos-pratiques/).  Voici le
 programme prévisionnel de la journée :

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière: la structuration du marché de la sécurité
         Table ronde avec Philippe Dewost (Vice-président de la Caisse des
         Dépots et Consignations, président du CHECy), Guillaume Poupard
         (Directeur de l'ANSSI), et Michel Van Den Berghe (Directeur d'Orange
         Cyberdéfense), animé par Alain Establier, rédacteur en Chef de
         la revue Security Defense
 10h30 : pause café
 11h00 : "CARA : les 4 dimensions de la sécurité des objets connectés"
         . Gérôme Billois et Chadi Hantouche (Solucom)
 11h00 : "Attaque de type "Man-In-The-Middle" sur réseau "dual stack""
         . Karim Sudki (SCRT)
 11h55 : "Usages de la mobilité au sein de l'entreprise (du BYOD au COPE)
         . Diane Mullenex et Guillaume Morat (Pinsent Masons LLP)
 11h55 : "Comment le Big Data améliore la sécurité sur le Web ?"
         . Emmanuel Macé (Akamai)
 12h45 : Déjeuner
 14h15 : "Comprendre et détecter une intrusion physique de haut vol"
         . Alexandre Triffault (OFC)
 14h15 : "Objets connectés et protection de vie privée : l'impossible accord ?"
          . Rose-Marie Borges, Université d'Auvergne
 15h10 : "La gestion de crise IT/SSI"
          . Thomas Le Poetvin et Mikaël Smaha (HSC by Deloitte)
 15h10 : "La quête du code source maintenable, fiable et sécurisé"
          . Sébastien Gioria (Advens)
 16h00 : pause café
 16h30 : "Exploitation de failles de sécurité : démonstrations pratiques"
          . Laurent Chouraki et Renaud Lifchitz (ARCSI)
 16h30 : "Le visuel au service de plus de clarté en cybersecurité"
          . Hadi El-Khoury (ISSA France)
 17h25 : "Mobilité et Sécurité, peut-on encore espérer faire coexister ces
          deux concepts ?
          . Jean-Marc Grémy (Cabestan Consultants)
 17h25 : "Touch-ID, authentification mobile et OAuth, quelle confiance
          vis-à-vis de ces nouveaux mécanismes ?"
          . Guillaume Coindet (Harmonie Technologie)
 18h15 : Cocktail de cloture

 Programme détaillé : http://www.gsdays.fr/a-propos/programme
 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : 205Bax07 et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 5. Offres d'emploi HSC pour consultants en sécurité & continuité ]---

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués à la
 gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005, EBIOS,
 etc.), soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 6. HSC by Deloitte partenaire des GS-DAYS à Paris ]-------------

     HSC sera présent aux GS-DAYS le 24 mars prochain de 8h30 à 18h30 à
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe avec Adrien Pasquier pour les
 prestations et François Martinelli pour les formations sera à votre
 disposition sur notre stand.
 Thomas Le Poetvin et Mikael Smaha présenteront "La gestion de crise IT/SSI"

 Inscription obligatoire.

 Programme détaillé : http://www.gsdays.fr/a-propos/programme
 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : 205Bax07 et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 7. HSC by Deloitte partenaire des Information Security Days à Luxembourg ]

     HSC sera présent aux Information Security Days les 1 et 2 avril
 prochains de 8h30 à 18h30 à l'hôtel Alvisse Parc Hôtel.

 Notre équipe sera à votre disposition sur notre stand B4. Adrien Pasquier
 sera à disposition pour les prestations. Cécile Schauer et François
 Martinelli seront à votre disposition pour les formations.
 Baptiste Dolbeau présentera "How to be forensically more efficient in your
 next security breach" le 2 avril de 9h50 à 10h35.

 Inscription obligatoire et gratuite pour les utilisateurs finaux et les RSSI,
 DSI, gestionnaires de risque et assimilés, inscription à 200 ¤ HT pour les
 fournisseurs pour les 2 jours pauses et repas inclus.
 Programme détaillé : http://isdays.itone.lu/
 Inscription : http://isdays.itone.lu/invitations/herve-schauer-consultants/



--[ 8. Agenda des interventions publiques ]-------------------------------

 - 24 mars 2015 - GSDAYS - Paris
   "La gestion de crise IT/SSI" par Thomas Le Poetvin et Mikael Smaha
   http://www.gsdays.fr/

 - 2 avril 2015 - Security Day Luxembourg - Luxembourg Hôtel Alvisse
   "How to be forensically more efficient in your next security breach"
   par Baptiste Dolbeau
   http://isdays.itone.lu/

 - 14 avril 2015 - Réunion OSSIR - Paris à l'INRIA Place d'Italie
   "Octopus le password breaker", logiciel libre de cassage de mots de passe
   distribué par un processus décisionnel markovien, par Danny Francis
   http://www.ossir.org/paris/calendrier/index.shtml

 - 15 avril 2015 - Clusir-Est - Strasbourg
   Rejeu du "Panorama de la cybercriminalité du CLUSIF" par Hervé Schauer
   http://www.clusir-est.org/public/Evenements/Evenements.html

 - 2 juin 2015 - Journée Technique ISO27001 du LNE - Paris
   "Conclusion de la journée" par Hervé Schauer
   http://www.lne.fr/campagnes/2015/JT1501.asp


 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 9. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27001 Lead Implementer    ..........    : 9 au 13 mars (#)
        ISO 27001 Lead Auditor    ..............    : 16 au 20 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 16 au 20 mars (*)(#)
        ISO 27005 Risk Manager    ..............    : 23 au 25 mars (#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 mars 2015 (*)(#)
        Formation RSSI    ......................    : 30 mars au 3 avril
        Essentiels techniques de la SSI    .....    : 2 et 3 avril
        EBIOS Risk Manager    ..................    : 8 au 10 avril (#)
        Correspondant Informatique et Libertés      : 8 au 10 avril (@)
        ISO 22301 Lead Auditor    ..............    : 13 au 17 avril (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 13 au 18 avril (*)(#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 20 au 24 avril (*)(#)
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        ISO 27005 Risk Manager    ..............    : 11 au 13 mai (#)
        ISO 27001 Lead Implementer    ..........    : 18 au 22 mai (#)
        Essentiels Informatique et Liberté   ...    : 18 mai
        Essentiels juridiques pour gérer la SSI     : 21 et 22 mai
        Sécurité du Cloud Computing    .........    : 26 au 28 mai
        Sécurité SCADA    ......................    : 27 au 29 mai
        Essentiel de PCI-DSS    ................    : 28 mai
        RGS v2 : la SSI pour le secteur public      : 29 mai
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 juin (#)
        ISO 22301 Lead Implementer    ..........    : 8 au 12 juin (#)
        Formation CISSP    .....................    : 15 au 19 juin
        Mesures de sécurité ISO 27002:2013   ...    : 15 et 16 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 17 juin
        Gestion des incidents de sécurité/ISO27035  : 18 juin
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        ISO 27005 Risk Manager    ..............    : 22 au 24 juin (#)
        Risk Manager Avancé    .................    : 25 et 26 juin
        ISO 27001 Lead Implementer    ..........    : 29 juin au 3 juillet (#)
        Correspondant Informatique et Libertés      : 1 au 3 juillet (@)
        ISO 27005 Risk Manager    ..............    : 9 au 11 septembre (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        Formation CISSP    .....................    : 12 au 16 octobre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)(#)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        Essentiels de l'ISO27001:2013    .......    : 24 avril
        Formation CISSP    .....................    : 18 au 22 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        ISO 27001 Lead Implementer    ..........    : 15 au 19 juin (#)
        ISO 22301 Lead Implementer    ..........    : 19 au 23 octobre (#)


 - Lille
        Correspondant Informatique et Libertés      : 16 au 18 mars 2015 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 5 au 7 mai 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 22 au 24 avril 2015 (@)

 - Rennes
        Correspondant Informatique et Libertés      : 8 au 10 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : 22 au 24 juin (@)

 - Toulouse
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 10. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Conférence annuelle le 24 mars voir paragraphe
     . Prochaine réunion à Paris jeudi 21 mai 2015
         - Programme en cours de confirmation
     . Prochaine réunion à Toulouse le vendredi 27 février au Mipih
         - Programme en cours de confirmation
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 14 avril à l'INRIA
         - "Octopus le Password Breaker" par Danny Francis (HSC by Deloitte)
         - Compte-rendu de la conférence Rooted.Con par Thomas Debize (Solucom)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 12 mai à l'INRIA
     . Prochaine réunion à Toulouse mardi 21 avril
         - "Mécanismes de sécurité des passeports biométriques"
            par Benoit Léger et Nicolas Chalanset (Stelau)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence le 16 avril sur le DarkWeb à 16h00 à la CCI place
       de la Bourse. A 15h00 assemblée générale extraordinaire pensez à
       envoyer vos pouvoirs.
       http://www.clusif.fr/
     . Conférence suivante le 17 juin, programme à paraître, réservez la date.






Plus d'informations sur la liste de diffusion newsletter