[Newsletter HSC] N°128 - Avril 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 3 Avr 15:10:22 CEST 2015


========================================================================
              HSC Newsletter  --  N°128 --  avril 2015
========================================================================



           « Personne n'a le monopole des bonnes idées »

                                        [ Inconnu ]





--[ Sommaire ]----------------------------------------------------------

      1. Editorial
      2. Le saviez-vous ? La question
      3. Formation CIL d'HSC en 3 jours labellisée par la CNIL
      4. Compte-rendu de la séance plénière GS-DAYS / Club 27001 du 24 mars
      5. Compte-rendu de la conférence du Club 27001 du 24 mars
      6. Compte-rendu des GS-DAYS du 24 mars
      7. Offre d'emploi continuité d'activité
      8. Offres d'emploi HSC pour consultants en sécurité & continuité
      9. HSC by Deloitte partenaire des Information Security Days à Luxembourg
     10. Agenda des interventions publiques
     11. Prochaines formations HSC
     12. Actualité des associations : Club 27001, OSSIR et Clusif
     13. Le saviez-vous ? La réponse



--[ 1. Editorial - Mikael Smaha  ]--------------------------------------

     Comment transformer l'utilisateur, le faire passer de maillon faible à
 maillon fort de la sécurité ? C'est la croisade de nombreux RSSI, en quête
 d'une chimérique pierre philosophale.
 Chimérique car il n'y a ni solution sur étagère, ni balle d'argent [1] pour
 atteindre cet objectif.
 Philosophique car la question des limites se pose quand on traite de la
 transformation des individus et des moyens pour y parvenir [2].

 Ici, l'objet de la transformation n'est pas le contrôle total de
 l'utilisateur comme certains pourraient le croire [3]. Il s'agit
 davantage d'inculquer une discipline à nos utilisateurs.

 Heureusement pour notre libre arbitre, une telle transformation impose
 d'établir un cadre spatio-temporel minutieux où les mesures sont
 subtiles mais omniprésentes [4]. Ce cadre doit également s'accompagner
 d'un panoptisme réel ou apparent [5]. L'important étant davantage le
 sentiment d'être surveillé que l'acte de surveillance en lui-même.

 C'est pour cela que le meilleur moyen d'assurer la mise en veille des
 ordinateurs se produit quand les utilisateurs se surveillent entre
 eux et que le fautif paie les croissants au service !

 C'est également pour ces raisons que cette discipline est particulièrement
 difficile à mettre en oeuvre dans le monde informatique :
    * sentiment de liberté/impunité/anonymat sur son poste et Internet ;
    * messages d'alerte incohérents (une réaction différente étant attendue
      pour un même signal) ;
    * variabilité des règles à appliquer ;
    * mesures en opposition frontales avec le métier ;
    * etc.
 Avec la mobilité croissante des utilisateurs et l'incorporation d'outils
 privés dans le domaine professionnel, les moyens à disposition des RSSI
 vont s'étioler. Le RSSI de demain devra faire preuve d'imagination pour
 trouver les mesures adéquates.

 Enfin quel prix l'entreprise est-elle prête à payer pour cette
 discipline ?
   * Est-ce que discipliner les individus, c'est également formater les
     esprits et réduire la créativité [7] ? À priori, non [8],
     mais malheureusement, cette créativité préservée bénéficiera assez peu
     à l'entreprise ;
   * Est-ce que discipliner les individus, c'est également les dévaloriser,
     et risquer de perdre les meilleurs ? C'est possible.

 Alors existe-il une alternative à la discipline ? La réponse est oui :
 Sous la dénomination d'"entreprise libérée" [9] et l'apparence du
 renoncement, elle replace les utilisateurs au centre de l'entreprise
 en mettant en avant responsabilité et confiance.
 Dans cette forme nébuleuse d'entreprises, le RSSI a encore un rôle à
 jouer : celui d'accompagner et de construire la sécurité AVEC les
 utilisateurs.

 Une personne avisée sait qu'il faut prôner l'équilibre et combiner
 différentes approches. Ici toutefois, cela revient à équilibrer une
 approche responsabilisante et une autre, dé-responsabilisante. Bref, à
 faire le grand écart tout en assurant la cohérence du message.

 Face à la complexité de ces questions philosophiques, juridiques et
 pratiques, que cet édito effleure, le RSSI doit avant tout :
  * comprendre et intégrer les valeurs de la société dans sa démarche de
    transformation des utilisateurs,
  * intégrer d'autres disciplines/métiers dans sa démarche, notamment
    la communication et la psychologie.

 Bonne lecture !

 [1] No Silver bullet, Frederick Brooks
 [2] http://www.cnil.fr/
 [3] 1984, George Orwell
 [4] Surveiller et punir, Michel Foucault
 [5] La Zone du dehors, Alain Damasio
 [6] http://www.cnil.fr/nuage/tag/surveillance-des-salaries/
 [7] Le Meilleur des mondes, Aldous Huxley
 [8] L'invention du quotidien, Michel de Certeau
 [9] Liberté & Cie, Isaac Getz et Brian M. Carney



--[ 2. Le saviez-vous ? La question ]------------------------------------

     En test d'intrusion après une compromission réussie, il est parfois
 nécessaire de faire appel à des fonctions des bibliothèques Windows ou à des
 bibliothèques d'un programme tiers présent sur le système afin d'effectuer des
 actions particulières ou obtenir des informations.

 Savez vous comment effectuer ces appels à l'aide du Meterpreter de
 Metasploit ?

     Réponse au paragraphe 13.



--[ 3. Formation CIL d'HSC en 3 jours labellisée par la CNIL ]-----------

     Le Correspondant Informatique et Libertés (CIL), est une fonction clé
 au sein des entreprises, à la fois juridique et informatique, de plus en
 plus critique, au coeur de la gouvernance d'entreprise, des métiers et de
 la direction, qui impose un niveau d'expertise de plus de en plus fort.
 Les enjeux informatique et libertés sont aujourd'hui majeurs pour les
 entreprises, notamment en raison de la multiplication des contrôles de la
 CNIL (désormais réalisables à distance via Internet), et de l'arrivée
 prochaine du règlement européen sur les données personnelles, qui devrait
 considérablement renforcer les sanctions (100 millions d'euros ou 5% du
 chiffre d'affaires mondial au maximum) et imposer une vraie gouvernance de
 la conformité des données personnelles (études d'impact, privacy by design,
 etc.). Dans ce contexte, le CIL est aujourd'hui devenu un élément clé de
 la réduction du risque juridique et du développement de l'entreprise
 responsable.


     La formation "Correspondant Informatique et Libertés" conçue par HSC
 donne aux personnes exerçant ou devant exercer les fonctions de CIL les
 connaissances indispensables à l'accomplissement de leurs missions,
 en adoptant, ce qui fait sa spécificité, une approche résolument pratique
 et focalisée sur les aspects pragmatiques de l'exercice des fonctions
 (optimisation du recensement des traitements, tenue du registre, relations
 avec les tiers en interne et en externe, réactions à tenir face aux
 non-conformités et aux contrôles, etc.). Elle comporte de très nombreux
 exercices et cas pratiques, particulièrement appréciés des stagiaires car
 correspondant précisément aux situations concrètes auxquelles ils sont ou
 seront confrontés dans leurs missions.

     La formation est conçue et dispensée par Frédéric Connes, docteur en
 droit et ingénieur en informatique, spécialisé depuis 6 ans en droit
 "Informatique & Libertés", et CIL lui-même.

     Depuis 2010, 113 personnes ont suivi la formation CIL inter-entreprises
 d'HSC avec un taux de satisfaction de 100%. La formation d'HSC a été la
 première formation CIL labellisée par la CNIL lors de la toute première
 session de labellisation tenue par la commission, en juin 2012, et elle
 vient d'être à nouveau labellisée pour sa version en 3 jours :
 http://www.cnil.fr/linstitution/labels-cnil/formations/
 La formation est également certifiée ISO9001 par Intertek et qualifiée OPQF
 (www.opqf.com).


     Prochaines sessions à Lyon du 5 au 7 mai et à Paris du 1er au 3 juillet.

 Objectifs, Pré-Requis, méthode pédagogique, plan détaillé et dates des
 formations en province disponibles sur :
 http://www.hsc-formation.fr/formations/cil.html.fr

     Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
 formations at hsc.fr  --  +33 141 409 704



--[ 4. Compte-rendu de la plénière GS-DAYS / Club 27001 du 24 mars ]-----
    Isabelle Bloise, Julier Levrard, Alexandre Magloire, Frederic Connes,
    Thomas Le Poetvin, Mikael Smaha, Pierre D'Huy

     Table ronde sur le sujet "structuration du marché de la sécurité
 informatique". Participants :
    - Guillaume Poupard, directeur général de l'ANSSI ;
    - Michel Van Den Berghe, président d'Orange Cyberdefense ;
    - Philippe Dewost, président d'honneur de Centre de Hautes Etudes du
        Cyberespace (CHECy) ;
    - Alain Establier, rédacteur pour Security Defense Business Review,
        animateur.

     Guillaume Poupard revient sur les difficultés liées à la confiance
 des produits et services de sécurité des systèmes d'information d'une part,
 et la problématique de la souveraineté d'autre part. Pour y remédier, le
 gouvernement met en place de nombreuses solutions :
    - PID : pépinière d'entreprises cyber financée par la DGA et l'ANSSI
        axée sur la R&D ;
    - Investissement d'avenir ;
    - Grand Emprunt : aide cadrée au consortium et aux thématiques de R&D ;
    - Plan de la France Industrielle : prévoit l'allocation de fonds
        consacrés aux PME (dépendant du ministère de l'économie).

 Malgré cela, l'ANSSI constate que les marchés publiques ont du mal à
 s'orienter vers les PME. Pour cela, l'ANSSI a rédigé un guide à destination
 des acteurs du domaine public listant les produits et services de sécurité
 des systèmes d'information de confiance. De plus, le Plan de la France
 Industrielle doit permettre de faciliter l'exportation de ces produits et
 services.

     Philippe Dewost, en sa qualité de Directeur Adjoint, sur la mission
 "Programme d'Investissment d'Avenir" rappelle que cette dernière a pour
 but de contrebalancer le ralentissement des investissements privés grâce
 à différentes aides telles que les subventions, les investissements ou
 encore les entrées en capitale. Lancée en 2010, cette mission présente
 comme bilan orienté "cyber" :
    - 2012 - 2013 : thème sur la sécurité des résidences qui a vu 13
        projets bénéficier de subvention pour un montant total de 16
        millions d'euros ;
    - Depuis 2014 : thème sur la sécurité du numérique qui voit actuellement
        7 projets bénéficier de 10 millions d'euros.

 En parallèle, M. Dewost s'interroge sur le rachat d'entreprises de la
 sécurité des systèmes d'information par des capitaux étrangers. Comment
 garantir la souveraineté dans ce contexte quand les affaires imposent un
 rayonnement international ? Comment endiguer la fuite de compétences face
 à la volonté des entreprises de s'aligner sur une stratégie internationale ?


     Michel Van Den Berghe intervient avec une double étiquette. Celle d'un
 ancien dirigeant d'une PME (Atheos) puis celle de directeur d'une filiale
 d'un grand groupe (Orange Cyberdefense). En tant que directeur de PME,
 M. Van Den Berghe s'est heurté à des problématiques de financement que
 l'Etat, malgré ce qui vient d'être présenté, n'a pu résoudre. Puis la
 problématique de la souveraineté qui, toujours selon M. Van Den Berghe,
 est en dehors du périmètre des affaires. Sa conception de la souveraineté
 n'implique pas forcément la sélection de prestataires ou fournisseurs
 français. En effet on peut choisir des prestataires/fournisseurs étrangers
 qui garantissent une certaine transparence dans les produits et/ou services
 qu'ils offrent puis rajouter une surcouche souveraine.


     Guillaume Poupard revient sur la "fuite des cerveaux" qui a tendance à
 assécher les acteurs français de la sécurité. Pour M. Poupard, cette fuite
 s'explique par la qualité de l'enseignement français, très prisée à
 l'étranger. Il revient aussi sur les limites que rencontre l'Etat dans
 ses actions de renforcement des acteurs de la sécurité :
    - Qualification de prestataires et fournisseurs de produits et
        services de sécurité. En effet cette qualification ne doit pas
        rendre l'Etat vulnérable d'un point de vue juridique ;
    - Distorsion de concurrence ;
    - La question du processus d'évaluation : quel(s) référentiel(s) ?
        * Les critères communs ;
        * Le CSPN ;
        * Le "label France cybersécurité" : Déjà mis en place pour certains
            produits et services. Ce label a pour but de faciliter l'export
            de ces produits et services.

 Les discours ont été suivis d'échanges avec la salle.

 1°) Problématique du coût de la certification ?

 Guillaume Poupard explique le coût de la certification par la
 rémunération du laboratoire en charge du test du produit, ... De plus,
 devant les problèmes que pourraient rencontrer les entreprises vis-à-vis
 de la certification, Guillaume Poupard rappelle que l'ANSSI peut, dans
 certains cas, aider au financement mais aussi qu'il existe des sponsoring
 avec certains grands comptes.


 2°) Problématique liée à l'obsolescence de certains produits qualifiés par
 l'ANSSI (truecrypt par exemple) ?

 Guillaume Poupard répond par la volonté de l'ANSSI de surveiller et de
 procéder à la revue régulière des certifications émises par l'ANSSI
 notamment par la mise en place d'un laboratoire technique. M. Poupard
 insiste aussi sur le renouvellement du processus de classification avec
 adoption d'un code de couleur relatif à la confiance à accorder aux
 produits.


 3°) La position de la France en matière de cryptologie à l'international ?

 Guillaume Poupard présente la France comme un leader en matière de
 cryptologie et notamment celle appliquée au domaine de la carte à puce
 (Gemalto) et la téléphonie sécurisée. M. Poupard met l'accent sur la
 qualité des enseignements français dans ce domaine et des
 laboratoires français.


 4°) Qu'en est il de la qualité/sécurité dans les systèmes et développement ?

 Michel Van Den Berghe prend le cas Orange pour illustrer son système de
 recrutement sur des profils adéquats aux missions qu'Orange est
 susceptible d'entreprendre. M. Van Den Berghe parle aussi du processus de
 référencement qu'à entrepris Orange dans le cadre de la gestion de ses
 prestataires et fournisseurs afin de garantir un niveau correct de
 sécurité et de qualité (cf. présentation M. Jean-Philippe Gaulier).


     Conclusion :

 Philippe Dewost revient sur l'échec relatif d'Andromède, le projet de
 cloud souverain qui donna finalement naissance à Numergie et Cloudwatt,
 aujourd'hui sous le giron d'Orange. De cette expérience, il rappelle
 l'émergence d'OpenStack [1] et Guillaume Poupard retient la technicité du
 projet et des profils qui ont émergés lors de ce projet.

 Michel Van Den Berghe identifie les données à caractère personnel comme
 le principal enjeu de la CNIL qui selon lui représente un frein au
 business (problématique de l'avertissement d'un client de la présence
 d'un malware sur son postes de travail).

 Guillaume Poupard concède que les données à caractère personnel sont un
 point d'attention de l'ANSSI et que des évolutions dans la loi doivent
 être réalisées. De plus M. Poupard nous introduit un guide sur les bonnes
 pratiques de sécurité des PME.

 [1] https://www.openstack.org/



--[ 5. Compte-rendu de la conférence du Club 27001 du 24 mars ]----------
    Isabelle Bloise, Julien Levrard, Alexandre Magloire


 ========================================================================
 Laurent Seror - Outscale : retour d'expérience sur l'implémentation de
 l'ISO/IEC 27001:2013.

 Rapelle de qui est Outscale (fournisseur de capacité de stockage/calcul
 en mode cloud).

 Les raisons de la certification ISO/IEC 27001:2013 :
    - Une prise de conscience sur la sécurité ;
    - Se baser sur un référentiel pour un traitement "professionnel" de la
        sécurité ;
    - Fournir de la confiance aux clients.

 Explication du processus de certification appliqué à Outscale :
    - Choix du périmètre ;
    - Le processus d'appréciation des risques (basé la méthode EBIOS) ;
        * L'analyse des risques ;
        * L'attribution des propriétés des risques ;

 L'implémentation de la norme :
    - Transition de la version 2005 à 2013 ;
    - Des difficultés liées à la nouveauté du Cloud Computing (certains
        concept de la 27001 sont mal adaptés au Cloud Computing) ;
    - Audit externe qui entraîne la correction des non-conformité relevées ;
    - Audit de certification.

 Retour sur le processus de certification par le BSI (pré-audit, ...).

 Perception interne et impacts du processus.

 Les chiffres du projet ISO/IEC 27001 :
    - 3 ans de travail ;
    - 3000 heure de travail ;
    - 400 000 euros ;
    - Quotidiennement 4 personnes et 150 000 euros par an pour
        l'amélioration.

 Questions :

 1°) Retour sur investissement ?
 Cas particulier du processus de gestion des incidents : réduction dans le
 temps (15 par semaine à 2-3 par mois). Gain de 200-300 U.O. par an.

 2°) Formation et sensibilisation ?
 Un consultant en régie ainsi qu'un outil de sensibilisation à l'ISO/IEC
 27001 pour un équivalent de 5 jours par an.

 ========================================================================
 Jean-Philippe Gaulier - Orange : Evaluation de la sécurité de nos
 fournisseurs IT dans le cadre du référencement Orange.

 Méthodologie partagée avec l'ANSSI et d'autres grands comptes.

 Evaluation vs audit : c'est une auto-évaluation avec analyse des preuves.

 Constats :
    - Orange sous-traite une majorité de ses applications ;
    - De nombreuses failles populaires (OWASP) présente dans ces applications ;
    - La correction de ces failles est payante.

 Un électrochoc : 7 aout 2014 - condamnation par la CNIL - Les actions :
    - 2009 : Renforcement de la sécurité dans les livrables exigé dans les
        contrats ;
    - 2012 : Evaluation de la maturité sécurité des fournisseurs ;
    - 2013 : Consigne sur le choix des fournisseurs selon la sensibilité du
        projet ;
    - 2014 :
        * La sécurité devient un critère prédominant dans le choix des
        fournisseurs ;
        * Mise en place des revues de sécurité annuelle des fournisseurs ;

 Un livrable de qualité = sans vulnérabilités
    - Formation & sensibilisation des collaborateurs ;
    - Tests des livrables avant remises.

 Les points clés :
    - Assistance technique (régie) :
        * Respects des consigne de sécurité en interne ;
        * Communication en cas de difficultés (incident) ;
        * Formation et sensibilisation plus test de vérification de
            compréhension ;
        * Gestion des actifs Orange (inventaire, suivi, ...) ;
        * Matrice de contacts ;
    - Forfait (Chez le fournisseur) :
        * Correction des vulnérabilités de l'OWASP sans surcoût/délais ;
        * Documentation + tests des livrables ;
        * Classification calquée sur classification Orange ;
        * Interconnexion ;
        * Contrôle d'accès (physique + logique) ;
        * Protection des données personnelles ;
        * Communication sur les incidents ;
        * Indicateurs ;

 Evaluation de la maturité :
    - Réponse à un questionnaire avec fourniture de preuves ;
    - Analyse du questionnaire par Orange (30 min <= t <= 20 heures) ;
    - Entretien (3 heures) ;
    - Scoring avec recommandation sur les améliorations (basé sur la norme
        ISO/IEC 21827).

 Bilan au 31 décembre 2014 (80 entreprises évaluées) :
    - 63% retenus ;
    - 21% non-retenus pour des questions de sécurité ;
    - 10% probation :
        - pas le niveau mais en cours de contrat ;
        - amélioration dans les 6 mois requises ;

 Choix des fournisseurs pour les projets :
    - Analyse de risques pour en déduire la sensibilité du projet ;
    - Choix du prestataire en fonction de sa note ;
    - Exceptions ;

 Audit de recette à venir ainsi que les audits physiques (à partir d'avril).

 Ressources humaines :
    - Pour le fournisseur :
        * 1,5 mois pour répondre à l'auto-évaluation ;
        * 3 heures d'entretien ;
        * 2 semaines pour compléter les preuves.
    - Pour Orange :
        * 4 ingénieurs SSI ;
        * ~ 2000 heures de travail.

 ========================================================================
 Gilles Trouessin - Retour d'expérience d'un RSSI d'une collectivité
 territoriale avec les normes.


 Gilles Trouessin nous présente les principaux enseignements tirés de son
 expérience de RSSI au sein d'un Conseil Général :
    - Les enjeux et les leviers politiques sont parfois compliqués à
        décrypter ;
    - Les besoins pédagogiques sont permanents et la formation sur les
        notions de base en sécurité des systèmes d'informations est
        incontournable. La sensibilisation a d'ailleurs pris une part
        importante dans l'activité de Gilles Trouessin ;
    - La gestion des relations et interactions avec les correspondants
        CIL, les responsables d'exploitation et les différentes directions
        est un facteur déterminant de réussite ou d'échec du RSSI ;
    - Une démarche mixte ISO 27001/27002/27005 éloignée de l'état de l'art
        a été utilisée pour parer au plus pressé et pour s'adapter aux
        acteurs impliqués dans la démarche ;
    - La méthodologie RGS employée a par exemple été simplifiée. Une
        appréciation des risques conforme à la norme ISO27005 mais très
        allégée a notamment été utilisée.

 ========================================================================
 Stéphane Cortina - LIST : Evaluation des processus de votre SMSI grâce à
 la future norme ISO/IEC 33070-4.

 Introduction sur M. Cortina ainsi que sur le LIST (Luxembourg institue of
 Science and Technology)

 Historique normatif sur l'évaluation des processus :
    - 1992 : SPICE : évaluation de l'aptitude des processus de développement
        informatique ;
    - 2003 : ISO/IEC 15504 : standard générique pour l'évaluation des
        processus de tous domaines ;
    - 2015 : ISO/IEC 330XX : évaluation de caractéristique pour des
        processus de tous domaines.

 La conception de la série ISO/IEC 330XX :
    - Modèle de référence des processus (périmètre, but, résultats) ;
    - Cadre de mesure (attribue permettant de mesurer les processus) ;
    - Méthode d'évaluation des processus ;
    - Processus d'évaluation de processus.

 L'évaluation d'un processus s'appuie sur (sur une échelle de 0 à 5):
    - L'évaluation de sa mise en oeuvre ; et
    - L'évaluation de sa maturité.

 Cas particulier de la norme ISO/IEC 33070-4 qui développe un modèle
 d'évaluation des processus relatif au SMSI selon la norme ISO/IEC
 27001:2013 qui est en cours de rédaction. Cette norme doit notamment
 permettre de mesurer l'avancement d'un projet d'implémentation d'un SMSI.

 Quels outillages pour y parvenir ?
 La méthode TIPA propose une démarche structurée d'évaluation de processus
 en adéquation avec la série ISO/IEC 330XX. Cette méthode est initialement
 prévue pour l'évaluation de processus ITIL mais peut s'appliquer à
 n'importe quel processus de n'importe quel domaine activité.

 ========================================================================
 Patrice Renaudineau - Métropole de Nantes : Mise en oeuvre pratique de la
 norme ISO/IEC 27001:2013.

 On débute par la présentation du contexte de la métropole de Nantes d'un
 point de vue générique dans un premier temps pour se focaliser sur son
 système d'information et le service qui en à la charge (Département des
 Ressources Numériques DRN).

 Historique du projet :
    - 2010 : Création du poste de RSSI ;
    - 2011 : Projet de mise en oeuvre d'une PSSI ;
    - 2012 : Validation de la PSSI par la direction générale. Mise en
        place des groupes de travail pour les directives et fixation
        des objectifs de certification ISO/IEC 9001/27001 ;
    - 2013-2014 : Implémentation du SMSI et préparation de la
        certification ;
    - 2015 : Passage de la certification.

 Présentation du SMSI tel qu'il est mise en place par la métropole de
 Nantes :
    - La structuration :
        - Le périmètre ;
        - La définition/description des processus ;
        - La gestion de la documentation ;
    - l'Organisation :
        - Les engagements de la direction ;
        - Les rôles et responsabilités ;
    - Le pilotage :
        - Le suivi (Revue de direction, suivi des NC/incidents, ...)
    - L'audit
        - contrôle des mesures ;
        - audit à blanc.

 Points fort de la 27001 :
    - La prise en comptes de tous les aspects de la SSI ;
    - La démarche structurée
    - La compatibilité avec les autres systèmes de management ;

 Difficultés liées à la norme :
    - Le parallélisme qui a été fait entre le SMSI et le SMQ
    - La complexité de l'analyse de risque nécessitant la participation
        d'un expert/consultant ;
    - Les contraintes liées aux ressources humaines (temps, compétences, ...).

 ========================================================================
 Dimitri Druelle - GFI : Démarches de certification ISO/IEC 27001:2013.

 Présentation de GFI, poussé à la certification par Orange dans le cadre
 de son référencement.

 Définition des objectifs de sécurité ainsi que les enjeux de GFI.

 Architecture documentaire chez GFI :
    - Une PSSI-G stratégique : définit les 10 principes de sécurité
        fondamentaux de GFI ;
    - Une déclinaison opérationnelle de cette PSSI-G s'appliquant aux
        prestations ainsi qu'aux collaborateurs GFI ;
    - A l'échelle des projets, un plan d'assurance sécurité est mis en
        place qui définit les règles de sécurité propre à chaque projet ;
    - Prise en compte des référentiel client (PSSI, contrat, ....).

 Exemple de réalisation : le développement sécurisé
    - Sensibilisation des collaborateurs ;
    - Aspect juridique ;
    - Formation et développement des compétences ;
    - Création de correspondant sécurité au sein des projets ;
    - Acquisition d'outil sécurité ;
    - Documentation sécurité (guide de bonne pratique) ;
    - Sécurité du SI ;
    - Contrôle et revue de la sécurité.

 Déroulement de la certification ISO27001 :
 GFI dispose de plusieurs sites. GFI concentre le périmètre de sa
 certification au site de Douai, site concentrant les prestations de
 développement proposées à Orange. L'objectif est d'obtenir la certification
 fin de l'année 2017.

 Définition du périmètre :
    - Physique : site de Douai ;
    - Activité : conception, réalisation et maintenance de SI
        (orientée sur les activités Orange) ;
    - Humain : 90 personnes comprenant les collaborateurs intervenant
        au sein des projets Orange ainsi que celles en interne assurant
        les fonctions support à ces projets.

 Pour finir, M. Druelle finit son intervention par la présentation des
 actions réalisées à ce jour (chiffrement des postes / de la messagerie,
 mise en place d'un bastion, ...).



--[ 6. Compte-rendu des GS-DAYS du 24 mars ]------------------------------
    Frédéric Connes, Thomas le Poetvin, Mikael Smaha, Pierre d'Huy


 ========================================================================
 Emmanuel Macé - Comment le Big Data améliore la sécurité sur le Web

     Vous êtes peut-être assis sur une mine d'or ? Tel est le message
 en substance qui ressort de la présentation d'Emmanuel Macé, à travers
 l'histoire et l'essor de l'offre sécurité de Akamaï.
    Ici l'histoire nait d'une demande client au sujet d'une attaque. De
 cette demande émerge une prise de conscience de la valeur ajoutée de ces
 données. Progressivement, l'offre s'étoffe puis s'industrialise. Il faut
 toutefois être vigilant sur ces dernières phases quand on traite du big
 data car les chiffres sont souvent vertigineux et la nécessité d'un
 dimensionnement correct est indispensable. Ici, chaque requête alimente
 une base de données où chaque IP est noté selon quelques axes simples,
 voire simplistes. Les résultats n'en sont pas moins pertinents et
 permettent aux abonnées de connaître voir bloquer les IPs malfaisantes.

 ========================================================================
 Alexandre Triffault - Détecter une intrusion physique de haut vol

     Les exposés sur le crochetage de serrures sont toujours impressionnants
 par la célérité et la facilité avec lesquelles on ouvre les serrures. La
 présentation d'Alexandre n'a pas dérogé à la règle : toutes les techniques
 anciennes et modernes ont fait l'objet d'une présentation voire d'une
 démonstration à faire rougir les RSSI :
 Oui, votre barillet à 80 euros pièce ne tient que 15 minutes...
 Oui, on peut utiliser une imprimante 3D pour créer un double de votre clef...
     Toutefois, cette présentation a également su sortir des sentiers battus
 (et du temps imparti :p ) en abordant également l'aspect inforensique.
 Armé de son microscope, Alexandre a montré des traces d'effraction sur
 différentes goupilles en narrant les attaques qui avaient pu les défigurer.
 Cette partie montre également toute la complexité de la démarche
 d'analyse où le retour arrière n'est pas permis, et où il faut s'efforcer
 de ne pas détruire les preuves en essayant de les récupérer.
    Bien sûr, cette présentation n'apporte pas de solution miracle à la
 détection des infractions : il faut initier une démarche pro active et
 coûteuse pour obtenir les preuves.

 ========================================================================
 Laurent Chouraki, Renaud Lifchitz - Démonstration et présentations pratiques
 de l'ARCSI

     Tout le monde a entendu parler de Heartbleed et Shellshock. Laurent
 a montré en pratique comment ces failles sont exploitées par les
 professionnels. Pour ceux qui n'auraient pas suivi ces affaires en détail,
 l'exploitation de ces failles est facile, rapide (Heartbleed est inclus
 dans Metasploit), et permet d'accéder à des informations vraiment
 sensibles.

     De son côté, Renaud a abordé un domaine qui est souvent occulté en
 sécurité des systèmes d'information : l'interception des communications
 sans-fils.
     La première démonstration s'est concentrée sur un cas d'alarme sans
 fil dite dual bande : en pratique, un simple capteur radio suffit à
 récupérer le signal de (dés)activation. Un signal répété, répétable et
 qu'un petit montage électronique de 40 euros suffit à enregistrer et
 reproduire. La conclusion insiste sur l'absence de réelle démarche
 sécurité des fabricants et la généralisation de ce type de
 vulnérabilités.
     La seconde démonstration aborde l'interception des communications
 claviers et la facilité / difficulté à intercepter celles-ci selon
 leur canal de communication (filaire ou Bluetooth). Dans le cadre de
 ces démonstrations, il a montré comment de petits objets du quotidien
 peuvent cacher de redoutables intercepteurs sans fil avec exfiltration
 des données par la 3G.

 ========================================================================
 Jean-Marc Grémy - Mobilité et Sécurité, peut-on encore faire coexister ces
 deux concepts

     Présentation très pertinente sur les évolutions des usages privés et
 professionnels des moyens de communication et les implications de ces
 évolutions sur la sécurité. Comment peut-on concilier maîtrise et
 dispersion des utilisateurs et des données ?
 Présentation également très étendu à laquelle l'édito répond en partie.



--[ 7. Offre d'emploi consultant en continuité d'activité ]--------------

     HSC by Deloitte recherche un consultant senior en continuité d'activité
 afin de développer l'offre et répondre aux demandes croissantes des clients
 sur l'ISO 22301.
 Les notions d'indépendance et de travail en équipe sont fondamentales chez
 HSC by Deloitte. Le candidat doit être passionné, aimer partager son
 expérience et être capable de faire progresser ses collègues sur son sujet
 de prédilection. Le consultant sélectionné pourra bénéficier de l'expérience
 d'HSC by Deloitte, considéré comme leader d'opinion sur l'ISO 27001 et la
 gestion des risques en sécurité.

 Avec le développement de l'offre « Continuité d'activité », le consultant
 sera en charge d'animer les formations ISO 22301 Lead Implementer, ISO 22301
 Lead Auditor et gestion de crise IT/SSI.

 Dans le cadre sa prise de fonction, il suivra les formations ci-dessus et
 d'autres comme ISO 27005 Risk manager et/ou des formations ISO27001.


     Le candidat devra justifier d'entre 5 et 10 ans d'expérience le sujet :
 BIA, stratégies de continuité, DRP, gestion de crise, plan de repli
 utilisateurs (PRU), exercices-tests, etc... Des connaissances avancées en
 sécurité des systèmes d'informations et/ou sur les systèmes de management
 constituent un avantage mais ne sont pas indispensables.

 Le poste est basé à Neuilly-sur-Seine (Paris), au pied du métro Pont de
 Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature, nous
 vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx) par
 courrier électronique à  cv at hsc.fr.



--[ 8. Offres d'emploi HSC pour consultants en sécurité ]----------------

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétro-ingénierie à  la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     HSC recherche aussi un stagiaire pour porter ELM sur un Linux moderne,
 maintenir le générateur HTML WML et développer un add-on Firefox reproduisant
 les fonctions de Netscape 3.0 Gold.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 9. HSC by Deloitte partenaire des Information Security Days à Luxembourg ]

     HSC sera présent aux Information Security Days les 1 et 2 avril
 prochains de 8h30 à 18h30 à l'hôtel Alvisse Parc Hôtel.

 Notre équipe sera à votre disposition sur notre stand B4. Adrien Pasquier
 sera à disposition pour les prestations. Cécile Schauer et François
 Martinelli seront à votre disposition pour les formations.
 Baptiste Dolbeau présentera "How to be forensically more efficient in your
 next security breach" le 2 avril de 9h50 à 10h35.

 Inscription obligatoire et gratuite pour les utilisateurs finaux et les RSSI,
 DSI, gestionnaires de risque et assimilés, inscription à 200 ¤ HT pour les
 fournisseurs pour les 2 jours pauses et repas inclus.
 Programme détaillé : http://isdays.itone.lu/
 Inscription : http://isdays.itone.lu/invitations/herve-schauer-consultants/



--[ 10. Agenda des interventions publiques ]-------------------------------

 - 2 avril 2015 - Security Day Luxembourg - Luxembourg Hôtel Alvisse
   "How to be forensically more efficient in your next security breach"
   par Baptiste Dolbeau
   http://isdays.itone.lu/

 - 14 avril 2015 - Réunion OSSIR - Paris à l'INRIA Place d'Italie
   "Octopus le password breaker", logiciel libre de cassage de mots de passe
   distribué par un processus décisionnel markovien, par Danny Francis
   http://www.ossir.org/paris/calendrier/index.shtml

 - 15 avril 2015 - Clusir-Est - Strasbourg
   Rejeu du "Panorama de la cybercriminalité du CLUSIF" par Hervé Schauer
   http://www.clusir-est.org/public/Evenements/Evenements.html

 - 2 juin 2015 - Journée Technique ISO27001 du LNE - Paris
   "Conclusion de la journée" par Hervé Schauer
   http://www.lne.fr/campagnes/2015/JT1501.asp

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 11. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Essentiels techniques de la SSI    .....    : 2 et 3 avril
        EBIOS Risk Manager    ..................    : 8 au 10 avril (#)
        ISO 22301 Lead Auditor    ..............    : 13 au 17 avril (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 13 au 18 avril (*)(#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 20 au 24 avril (*)(#)
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        ISO 27005 Risk Manager    ..............    : 11 au 13 mai (#)
        Essentiels Informatique et Liberté   ...    : 18 mai
        ISO 27001 Lead Implementer    ..........    : 18 au 22 mai (#)
        Essentiels juridiques pour gérer la SSI     : 21 et 22 mai
        Sécurité du Cloud Computing    .........    : 26 au 28 mai
        Sécurité SCADA    ......................    : 27 au 29 mai
        Essentiel de PCI-DSS    ................    : 28 mai
        RGS v2 : la SSI pour le secteur public      : 29 mai
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 juin (#)
        Analyse et investigation numérique avancées
        dans les réseaux (SANS FOR 572)    .....    : 1 au 5 juin (#)
        ISO 22301 Lead Implementer    ..........    : 8 au 12 juin (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 8 au 12 juin (#)
        Formation CISSP    .....................    : 15 au 19 juin
        Mesures de sécurité ISO 27002:2013   ...    : 15 et 16 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 17 juin
        Gestion des incidents de sécurité/ISO27035  : 18 juin
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        ISO 27005 Risk Manager    ..............    : 22 au 24 juin (#)
        Risk Manager Avancé    .................    : 25 et 26 juin
        ISO 27001 Lead Implementer    ..........    : 29 juin au 3 juillet (#)
        Correspondant Informatique et Libertés      : 1 au 3 juillet (@)
        ISO 27005 Risk Manager    ..............    : 9 au 11 septembre (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        Formation CISSP    .....................    : 12 au 16 octobre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        Essentiels de l'ISO27001:2013    .......    : 24 avril
        Formation CISSP    .....................    : 18 au 22 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        ISO 27001 Lead Implementer    ..........    : 15 au 19 juin (#)
        ISO 22301 Lead Implementer    ..........    : 19 au 23 octobre (#)


 - Lille
        Correspondant Informatique et Libertés      : 16 au 18 mars 2015 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 5 au 7 mai 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 22 au 24 avril 2015 (@)

 - Rennes
        Correspondant Informatique et Libertés      : 8 au 10 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : 22 au 24 juin (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 21 au 23 janvier (@)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 12. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 21 mai 2015
         - Programme en cours de confirmation
     . Prochaine réunion à Toulouse en cours de confirmation
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 14 avril à l'INRIA
         - "Octopus le Password Breaker" par Danny Francis (HSC by Deloitte)
         - Compte-rendu de la conférence Rooted.Con par Thomas Debize (Solucom)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 12 mai à l'INRIA
         - Evaluation de la sécurité des fournisseurs IT dans le cadre du
           référencement par Jean-Philippe Gaulier  (Orange)
         - Les attaques de skimming par Thomas Souvignet (Gendarmerie)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 9 juin à l'INRIA
     . Afterworks à Paris le 29 avril
         - "Fastresponder" par Sébastien Larinier (Sekoia)
     . Prochaine réunion à Toulouse mardi 21 avril
         - "Mécanismes de sécurité des passeports biométriques"
           par Benoit Léger et Nicolas Chalanset (Stelau)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence le 16 avril sur le DarkWeb à 16h00 à la CCI place
       de la Bourse. A 15h00 assemblée générale extraordinaire pensez à
       envoyer vos pouvoirs.
       http://www.clusif.fr/
     . Conférence suivante le 17 juin, programme à paraître, réservez la date.
       http://www.clusif.fr/



--[ 13. Le saviez-vous ? La réponse ]------------------------------------

     Railgun est une bibliothèque présente dans Metasploit qui peut être
 utilisée depuis une session Meterpreter et qui permet notamment :
 - de lire un endroit arbitraire en mémoire ;
 - d'écrire à un endroit arbitraire en mémoire ;
 - de charger une DLL et ses fonctions ;
 - d'appeler les différentes fonctions de cette DLL.

 L'accès aux fonctionnalités de railgun se fait en appellant l'objet
 "session.railgun" soit depuis un script de post exploitation dans Metasploit
 soit depuis le shell ruby (en tapant irb depuis le Meterpreter).

 Railgun est très utile et prédéfinit les appels à de nombreuses bibliothèques
 Windows. Par exemple, pour obtenir la fenêtre qui est en avant plan :
      >> session.railgun.user32.GetForegroundWindow()
      => {"GetLastError"=>0, "ErrorMessage"=>"The operation completed successfully.", "return"=>65792}
 Le "HWND" (handle window) correspondant à la fenêtre en avant plan est donc
 65792.

 L'un des problèmes de railgun est qu'il ne permet pas de simplement définir
 des structures pour des appels plus compliqués.
 Par exemple, la fonction GetWindowRect de l'API Windows est définie comme
 suit :
      BOOL WINAPI GetWindowRect(
        _In_   HWND hWnd,
        _Out_  LPRECT lpRect
      );
  Le premier paramètre est un HWND. Le second est un paramètre de sortie de
  type LPRECT, pointeur vers un RECT. RECT est défini de la façon suivante :
      typedef struct _RECT {
        LONG left;
        LONG top;
        LONG right;
        LONG bottom;
      } RECT, *PRECT;
  C'est donc une structure de 4 long.

  Pour faire appel à cette fonction, il faut passer en argument la taille de la
  structure attendue, ici 4*sizeof(long) = 16.
      >> res = session.railgun.user32.GetWindowRect(hwnd, 16)
      => {"GetLastError"=>0, "ErrorMessage"=>"The operation completed successfully.", "return"=>true, "lpRect"=>"6\x01\x00\x00h\x00\x00\x00\x1E\x05\x00\x00\xC0\x02\x00\x00"}
 La valeur de retour peut être récupérée dans res["lpRect"] mais n'est pas
 facilement exploitable : il faut décoder la structure RECT manuellement en
 ruby. Dans cet exemple, c'est simple :
     >> res["lpRect"].unpack("VVVV")
     => [310, 104, 1310, 704]
 Ainsi, left=310, top=104, right=1310 et bottom=704.

 Cependant, cette méthode pour créer ou décoder des structures devient très
 vite inutilisable quand les structures deviennent complexes.

 Pour faciliter cette tâche il est possible d'utiliser metasm. En effet, metasm
 permet (entre nombreuses autres choses) de compiler du code C depuis ruby et
 de convertir une chaîne de caractère ruby en structure exploitable.

 L'exemple précédent peut alors être réécrit à l'aide de metasm de la façon
 suivante :
      # On initialise metasm
      cpu = Metasm.const_get('Ia32').new
      exe = Metasm.const_get('Shellcode').new(cpu)
      cp = Metasm::C::Parser.new(exe)
      # On définit le code source C, ici, directement en lisant une chaîne de
      # caractères ruby
      src = <<-EOS
        typedef struct _RECT {
          long left;
          long top;
          long right;
          long bottom;
        } RECT, *PRECT;
      EOS
      cp.parse src
      # On peut ensuite définir notre structure
      myRECT = Metasm::C::AllocCStruct.new(cp, cp.find_c_struct("RECT"))
      res = session.railgun.user32.GetForegroundWindow()
      # Vérification des erreurs
      if res["GetLastError"] != 0
        raise "Error: #{res["ErrorMessage"]}"
      end
      hwnd = res["return"]
      # On obtient facilement la taille de la structure à l'aide de la méthode
      # sizeof
      res = session.railgun.user32.GetWindowRect(hwnd, myRECT.sizeof)
      # Vérication des erreurs
      if res["GetLastError"] != 0
        raise "Error: #{res["ErrorMessage"]}"
      end
      # On peut ensuite décoder la structure
      myRECT.str = res["lpRect"]
      # Et l'afficher en appelant les bons attributs
      puts "Rectangle: (#{myRECT.left}x#{myRECT.top})x(#{myRECT.right}x#{myRECT.bottom})"

 Nous obtenons alors le résultat suivant :
    Rectangle: (310x104)x(1310x704)

 Cette méthode avec metasm est beaucoup plus lisible et vous facilitera
 fortement vos futures post-exploitations.


  Quelques liens utiles :
  - https://github.com/rapid7/metasploit-framework/wiki/How-to-use-Railgun-for-Windows-post-exploitation
  - http://metasm.cr0.org/



Plus d'informations sur la liste de diffusion newsletter