[Newsletter HSC] N°132 - Aout 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 7 Aou 14:01:51 CEST 2015


========================================================================
              HSC Newsletter  --  N°132 --  aout 2015
========================================================================



       « La civilisation avance en étendant le nombre d'opérations importantes
         que nous pouvons accomplir sans y penser. »


                                   [ Alfred North Whitehead ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial - "Plus ça change, plus c'est la même chose"
      2. Le saviez-vous ? La question
      3. HSC by Deloitte aux Assises de la Sécurité / Atelier formation
      4. Offre d'emploi continuité d'activité
      5. Offres d'emploi HSC pour consultants en sécurité & continuité
      6. Agenda des interventions publiques
      7. Prochaines formations HSC
      8. Actualité des associations : Club 27001, OSSIR et Clusif
      9. Le saviez-vous ? La réponse



--[ 1. Editorial - Hervé Schauer ]--------------------------------------

     Via le blog de Gene Spafford [1], dont j'ai suivi l'enseignement en
 1989, j'ai repéré cet article de Corey Schou intitulé, en français dans le
 texte anglais "Plus ça change, plus c'est la même chose" [2] publié
 à l'occasion d'une conférence scientifique.

     Il rappelle les différentes fonctions qu'il a occupées durant sa carrière
 comme notament enseignant et expert en sécurité informatique. A travers cet
 article, il revient sur l'enseignement de la sécurité et plus particulièrement
 sur la manière dont il doit-être dispensé. Doit-on proposer des formations
 abordant l'ensemble des problématiques liées à la sécurité des systèmes
 d'information au risque de rester trop générique ? Au contraire, doit-on
 proposer des formations sur des thématiques spécifiques et qui seront, par
 conséquent, plus détaillées ? En résumé, quel modèle choisir entre
 généralisation et spécialisation ?

     Au début des années 1980, Corey Schou fut amené à consulter les travaux de
 Terry Mayfield et son équipe de l'IDA (Institute for Defense Analyse) [3]
 sur le programme relatif à la sécurité informatique. Ce programme prévoyait
 notamment des modules dont une introduction à la sécurité de l'information,
 la sécurité des systèmes d'exploitation et des réseaux, etc. Devant
 l'étonnement de Corey de voir apparaître des matières traitant du glossaire
 relatif à la sécurité ou encore de la législation, un de ses collègues lui
 rappela que la sécurité informatique est une sous-catégorie de l'informatique
 et qu'elle doit-être considéré comme telle, sous-entendu intelligible par tous.

     Le rapport du NRC (National Reseach Council) de 1990 [4] portant sur la 
 compétitivité des entreprises américaines du secteur de l'informatique présente
 l'éducation de la masse salariale comme un levier de réussite des entreprises.
 Le NRC précise qu'il ne suffit pas de se reposer sur des personnes dont les
 connaissances sont suffisantes pour accomplir leurs tâches mais qu'il est
 important que ces personnes soient capables et veuillent étendre leurs
 connaissances. Ce constat est d'autant plus vrai que le domaine de
 l'informatique évolue constamment. Il est nécessaire d'apporter une éducation
 en matière de sécurité adéquate pour qu'elle puisse suivre cette évolution.
 
    Corey Schou aborde également la question du marketing autour de
 l'enseignement à la sécurité de l'information. Au regard du marché de la
 sécurité, le domaine de la défense s'avère plus demandeur que le domaine de
 l'attaque, exception faite du domaine militaire. Pour autant, et selon les
 propos de Corey, les formations en sécurité fleurissent mais traitent
 essentiellement le point de vue de l'attaquant. De plus l'auteur met en avant
 l'attractivité des formations dédiées à l'attaque par rapport à celles dédiées
 à la défense. Cette attractivité passe principalement par la dénomination des
 modules de formations. Quand nous trouvons "APT Tactics", "Computer viruses and
 malware development" dans la première catégorie de formations nous retrouvons "
 Secure software developpement" ou "access control" dans la seconde. Vers quelle
 catégorie vous dirigeriez-vous ?

     Puis Corey Schou s'intéresse aux certifications relatives à la sécurité de
 l'information et à la valeur à leur accorder. En effet, la mise en place d'un
 éventail complet de certifications pour permettre aux individus d'attester de
 leurs compétences en matière de sécurité. Cet éventail comprend des
 certifications délivrées sur des technologies spécifiques ou, au contraire,
 sur un vaste champ de concepts généraux à la sécurité. Mais quelle valeur
 accorder à une certification ? Pour cela, Corey et un de ses collègues [5][6],
 Ryan, se sont posés les questions suivantes pour qualifier les certifications :
    1°) Depuis quand la certification existe-t-elle ?
    2°) L'organisation de la certification est-elle conforme à des normes
        en vigueur ?
    3°) La certification est-elle adaptée aux besoins de l'organisation ?
    4°) Combien de personnes ont obtenu la certification ?
    5°) La certification est-elle reconnue ?
    6°) La certification couvre-t-elle les besoins du secteur ?
    7°) La certification aborde-t-elle suffisamment en profondeur le produit
        ou le concept visé ?
    8°) La certification sera-t-elle pertinente dans les 5 à 10 ans à venir ?
    9°) La certification est-elle géographiquement pertinente ?

     Finalement, Corey revient sur la question de fond, la généralisation ou la
 spécialisation de l'éducation, quelle est la bonne solution ? Pour lui, les
 deux solutions sont à retenir. Par analogie avec la Grèce Antique et la
 bataille des Thermopyles [7] qui vit s'affronter grecs et perses, la victoire
 des grecs se reposent sur la spécialisation des soldats (notamment les
 spartiates, hommes d'élite entraînés depuis leur plus jeune âge pour la guerre
 et formant un corps de bataille unique et coordonné) mais aussi sur la
 diversité (notamment les grecs qui avait mobilisés des artisans pour
 participer à l'effort de guerre).
 Une seconde analogie est donné avec la Loi de variété requise [8] de William
 Ross Ashby. Cette loi expose les conditions requises pour qu'un système
 atteigne et maintienne sa stabilité dans un environnement soumis à des
 perturbations. En bref, le système considéré doit posséder un nombre d'état au
 minimum égal au nombre d'état des systèmes auxquels il est soumis. Dans le
 cadre de notre article, un responsable sécurité doit avoir pleinement 
 connaissance de la diversité des attaques auxquelles son système est soumis
 pour pouvoir en maintenir la sécurité.
 
     Rendez-vous le 1er octobre aux Assises de la Sécurité dans l'atelier
 Deloitte pour échanger sur l'intérêt de la formation continue pour faire
 assimiler la sécurité de l'information ! [9]


 [1] https://www.cerias.purdue.edu/site/blog/post/teaching_information_security/
 [2] http://inroads.acm.org/article.cfm?aid=2766455
 [3] https://www.ida.org/
 [4] Computer Science and Telecommunications Board. National Research Council. 
     "Keeping the U.S. Computer Industry Competitive: Defining the Agenda."
     (Washington, DC: National Academies Press, 1990).
 [5] Ryan, J. J. C. H., and Schou, Corey D. "On Security Education, Training 
     and Certifications." Information Systems Control Journal 6 (2004): 27???30
 [6] Schou, Corey D. "Standards, Standards, Standards???Who has the Standards?>
     Enhancing Trust PROCEEDINGS 4th Australian Information Warfare & IT
     Security Conference (2003): 303.
 [7] https://fr.wikipedia.org/wiki/Bataille_des_Thermopyles
 [8] https://en.wikipedia.org/wiki/Variety_%28cybernetics%29
 [9] https://backoffice.lesassisesdelasecurite.com/registration/atelier_topic.asp?f_id_atelier=1240



--[ 2. Le saviez-vous ? La question ]------------------------------------

     L'opérateur Free mobile propose une API permettant l'envoi de SMS à ses
 clients. Comment peut-on utiliser cette fonctionalité afin d'améliorer la
 sécurité de nos serveurs ?


 Réponse au paragraphe 9.



--[ 3. HSC by Deloitte aux Assises de la Sécurité 2015 ]-----------------
     
     HSC sera de retour aux Assises de la sécurité du 30 septembre au 3 octobre
 prochain sur le stand de Deloitte, partenaire de l'évènement.

 Lynda Benchikh sera à votre disposition pour vos projets de formation les
 jeudi 1er et vendredi 2 octobre.

 Hervé Schauer animera l'atelier Deloitte le 1er octobre de 12h00 à 12h45
 sur "La promotion de la sécurité des SI dans l'entreprise par la formation",
 avec trois clients des formations HSC représentants différents secteurs
 d'activtés :
   - Brigitte Declerck, RSSI de l'AGIRC-ARRCO
   - Pierre Gachon, RSSI de Renault
   - André Gras, RSSI de la Coface
 Profitez de cet atelier pour comprendre l'importance de la formation dans
 la prise en compte de la sécurité de l'information par tous et à tous les
 niveaux. Pensez à vous y inscrire :
 https://backoffice.lesassisesdelasecurite.com/registration/atelier_topic.asp?f_id_atelier=1240

     Le stand Deloitte est le n°139, situé tout à droite tout au fond à partir
 de l'entrée, en face du bar. Retrouvez-nous à Monaco !



--[ 4. Offre d'emploi consultant en continuité d'activité ]--------------

     HSC by Deloitte recherche un consultant senior en continuité d'activité
 afin de développer l'offre et répondre aux demandes croissantes des clients
 sur l'ISO 22301.
 Les notions d'indépendance et de travail en équipe sont fondamentales chez
 HSC by Deloitte. Le candidat doit être passionné, aimer partager son
 expérience et être capable de faire progresser ses collègues sur son sujet
 de prédilection. Le consultant sélectionné pourra bénéficier de l'expérience
 d'HSC by Deloitte, considéré comme leader d'opinion sur l'ISO 27001 et la
 gestion des risques en sécurité.

 Avec le développement de l'offre « Continuité d'activité », le consultant
 sera en charge d'animer les formations ISO 22301 Lead Implementer, ISO 22301
 Lead Auditor et gestion de crise IT/SSI.

 Dans le cadre sa prise de fonction, il suivra les formations ci-dessus et
 d'autres comme ISO 27005 Risk manager et/ou des formations ISO27001.


     Le candidat devra justifier entre 5 et 10 ans d'expérience sur le sujet :
 BIA, stratégies de continuité, DRP, gestion de crise, plan de repli
 utilisateurs (PRU), exercices-tests, etc. Des connaissances avancées en
 sécurité des systèmes d'informations et/ou sur les systèmes de management
 constituent un avantage, mais ne sont pas indispensables.

 Le poste est basé à Neuilly-sur-Seine (Paris), au pied du métro Pont de
 Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature, nous
 vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx) par
 courrier électronique à cv at hsc.fr.



--[ 5. Offres d'emploi HSC pour consultants en sécurité ]----------------

     HSC by Deloitte recherche des consultants brillants, débutants ou
 expérimentés, avides de partager et de s'épanouir dans une équipe
 indépendante, pluridisciplinaire, qui couvre tous les aspects liés à la
 sécurité et continuité, des tests d'intrusion à l'expertise judiciaire, de
 la rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués
 à la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc., pour des missions d'expertise
 variées et haut de gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC by Deloitte recherche également des stagiaires pour des stages de
 pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 6. Agenda des interventions publiques ]--------------------------------

 - 15 septembre - AFCDP - Paris
   Conférence "Du CIL au DPO : de la théorie à la pratique"
   "Projet de règlement européen, comparaison du DPO avec le CIL"
   par Frédéric Connes et Amélie Paget

 - 17 septembre - CDSE - Paris
   "Sécurité des SCADA et contexte LPM/OIV"
   par Hervé Schauer et Christophe Renard

 - 1er octobre à 10h00 - Assises de la sécurité è Monaco
   Participation à la table-ronde Wallix "Gestion des Comptes à Privilèges :
   Cybersécurité ou Contribution aux réglementations" par Hervé Schauer

 - 1er octobre à 12h00 - Assises de la sécurité à Monaco
   Animation de la table-ronde Deloitte "La promotion de la sécurité des
   SI dans l'entreprise par la formation" par Hervé Schauer
   https://backoffice.lesassisesdelasecurite.com/registration/atelier_topic.asp?f_id_atelier=1240

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 7. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 9 au 11 septembre (#)
        Essentiels de l'ISO22301    ............    : 14 septembre
        ISO 27001 Lead Auditor    ..............    : 14 au 18 septembre (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 14 au 18 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 21 au 25 septembre (#)
        Sécurité du Cloud Computing    .........    : 21 au 22 septembre
        Essentiels techniques de la SSI    .....    : 24 et 25 septembre
        Correspondant Informatique et Libertés      : 28 au 30 septembre (@)
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        ISO 22301 Lead Implementer    ..........    : 28 sep au 2 octobre (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 5 au 9 octobre (#)
        ISO 27005 Risk Manager    ..............    : 7 au 9 octobre (#)
        Formation CISSP    .....................    : 12 au 16 octobre (#)(C)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 19 au 23 octobre (*)(#)
        ISO 22301 Lead Auditor    ..............    : 26 au 30 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 26 au 31 octobre (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        EBIOS Risk Manager    ..................    : 3 au 5 novembre (#)
        PSSIE & RGS v2   .......................    : 6 novembre
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        DNSSEC    ..............................    : 12 et 13 novembre (*)
        Essentiels Informatique et Liberté   ...    : 13 novembre
        ISO 27001 Lead Implementer    ..........    : 16 au 20 novembre (#)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Sécurité SCADA    ......................    : 16 au 18 novembre (*)
        ISO 27005 Risk Manager    ..............    : 23 au 25 novembre (#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Droit de la sécurité informatique    ...    : 26 et 27 novembre
        ISO 27001 Lead Auditor    ..............    : 30 nov au 4 décembre (#)
        Correspondant Informatique et Libertés      : 2 au 4 décembre (@)
        Mesures de sécurité ISO 27002:2013   ...    : 7 et 8 décembre
        Formation CISSP    .....................    : 7 au 11 décembre (#)
        Indicateurs & tableaux de bord SSI/ISO27004 : 9 décembre
        Gestion des incidents de sécurité/ISO27035  : 10 décembre
        Gestion de crise IT/SSI    .............    : 11 décembre
        ISO 27005 Risk Manager    ..............    : 14 au 16 décembre (#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)
        Risk Manager Avancé    .................    : 17 et 18 décembre
        ISO 27005 Risk Manager    ..............    : 20 au 22 janvier 2016 (#)
        PKI : principes et mise en oeuvre    ...    : 18 au 20 mai 2016 (*)
        Essentiel de PCI-DSS    ................    : 30 mai 2016
        Inforensique réseau avancée (SANS FOR572)   : 3 au 7 octobre 2016 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 27001 Lead Implementer    ..........    : 19 au 23 octobre (#)
        ISO 27005 Risk Manager    ..............    : 18 au 20 mai 2016 (#)
        Formation CISSP    .....................    : second semestre 2016 (#)
        ISO 22301 Lead Implementer    ..........    : second semestre 2016 (#)

 - Toulouse
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 mai 2016 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : formation complète

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704 ou standard +33 141 409 700

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 17 septembre 2015 chez AG2R La Mondiale
         - "La gouvernance du SMSI au défi de la complexité" par Dominique
           Castan, Atos
         - "Retour d'expérience sur la mise en oeuvre de SMSI dans un
           contexte étranger" par Ramesh Pavadepoulle, Dell Secureworks
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.
     . Conférence annuelle le 7 avril 2016, réservez votre date !

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 8 septembre à l'INRIA
         - "Sentryo" par Laurent Hausermann et Thierry Rouquet (Sentryo)
         - "Gatewatcher" par Philippe Gillet (Gatewatcher)
         - Revue de vulnérabilités
         - Compte-rendu des conférences Blackhat & DEFCON 2015
     . Afterworks à Paris mardi 22 septembre à la Kolok
         - "Digital Forensics Framework" par Frédéric Baguelin et Solal
	    Jacob (Arxsys)
     . Réunion suivante à Paris le mardi 13 octobre à l'INRIA
         - "Sécurité SAN" par Pierre-Charles Wagrez (Solucom)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 10 novembre
     . Prochaine réunion à Toulouse mardi 20 octobre à l'Université
         - "Darktrace" par Emily Orlon (Darktrace)
         - Seconde présentation en cours de confirmation
     . Réunion suivante à Toulouse mardi 15 décembre
     . Prochaine réunion à Rennes à la rentrée.
     . Conférence annuelle JSSI le 8 mars 2016

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mercredi 14 octobre à 16h00 à la CCI
       "Le RSSI : Quelle valeur ajoutée et quel rôle dans l'organisation"
       http://www.clusif.asso.fr/fr/production/cfp/
     . Conférence suivante mardi 15 décembre à 16h00 à la CCI place de la
       Bourse.
       http://www.clusif.fr/



--[ 9. Le saviez-vous ? La réponse ]-------------------------------------

    Free propose une API d'envoi de SMS facile à utiliser. Il suffit en effet
 d'activer l'option dans votre interface et d'effectuer une requête sur l'URL
 suivante pour envoyer à votre propre numéro un SMS gratuit :
 https://smsapi.free-mobile.fr/sendmsg?user=<votreutilisateur>&pass=<votre clef d'API>&msg=Votre%20Message%20encodé
 
 Outre les aspects possibles d'utilisation pour la surveillance, il existe au
 moins deux cas pratiques pour améliorer la sécurité de votre serveur.
 
 Premièrement, lors de l'installation d'un serveur et notamment de serveurs
 dédiés chez un fournisseur de cloud, la première connexion SSH vous oblige à
 accepter l'empreinte du serveur sans aucun moyen de la vérifier. Vous êtes
 donc vulnérable à une attaque de type singe intercepteur lors de la première
 connexion.
 
 Pour limiter les risques, vous pouvez utiliser l'API Free pour vous faire
 envoyer l'empreinte par SMS en configurant un script de post-installation
 sur votre serveur dédié.
     RSAFINGERPRINT="`ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub`"
     curl -G -v 'https://smsapi.free-mobile.fr/sendmsg' -d 'user=12345678' -d 'pass=abcdefgh' --data-urlencode 'msg='"$RSAFINGERPRINT" -k -w '%{http_code}'
 
 
 Deuxièmement, il est aussi possible d'ajouter une authentification par SMS à
 votre serveur. HSC a ainsi développé un module PAM basé sur le code du module
 PAM Google Authenticator. Le code et un README décrivant les principales
 étapes de l'installation et les fonctionnalités du module sont disponibles à
 l'adresse http://www.hsc.fr/ressources/outils/pam_freesms/download/.
 
 Une fois le module configuré et à votre prochaine connexion il vous sera
 demandé un code de vérification envoyé par SMS en plus de votre mot de passe
 habituel.
     $ ssh user at server
     Password: 
     Verification code: 
 
 Faites cependant attention ! Si vous activez ce module et que vous n'avez plus
 accès à internet ou si Free coupe son service, vous pourrez plus vous
 connecter à votre serveur.
 Il faut donc avoir une solution de secours, l'idéal étant un accès console.


 NOTE : ce le saviez-vous n'est pas une publicité pour Free mobile mais c'est
 le seul opérateur qui dispose de cette fonctionnalité à notre connaissance.
 Si vous connaissez une API similaire pour d'autres opérateurs nous serions
 ravis de faire un module plus générique permettant de les supporter, ou
 d'accepter les correctifs.




Plus d'informations sur la liste de diffusion newsletter