[Newsletter HSC] N°138 - avril 2016

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 1 Avr 19:16:29 CEST 2016


========================================================================
              HSC Newsletter  --  N°138 --  avril 2016
========================================================================





       « Être libre c'est savoir dire non »


                                           [Jean-Paul Sartre]


--[ Sommaire ]----------------------------------------------------------

      1. Éditorial - RSSI : connaissez-vous le DPO ?
      2. Le saviez-vous ? La question
      3. Compte-rendu de la JSSI de l'OSSIR
      4. Compte-rendu de la conférence DPO par HSC by Deloitte et Taj
      5. Nouvelle formation "Se préparer au règlement européen sur la protection des données"
      6. HSC by Deloitte partenaire des GS-DAYS (Code de réduction HSC)
      7. HSC by Deloitte partenaire des Information Security Days Luxembourg
      8. Programme de la conférence du Club 27001 du 7 avril
      9. Programme des GS-DAYS du 7 avril (Code de réduction HSC)
     10. Offres d'emploi HSC by Deloitte pour consultants en sécurité
     11. Prochaines formations HSC
     12. Actualité des associations : Club 27001, OSSIR, Clusif et ISSA
     13. Le saviez-vous ? La réponse


--[ 1. Éditorial - Hervé Schauer ]---------------------------------------

     Le règlement européen impose d'ici 2 ans d'avoir nommé un DPO (Data
 Privacy Officer) [1], qui sera par force de loi indépendant, responsable,
 et disposera de moyens financiers, humains, techniques, logistiques,
 incluant l'accès aux données et aux traitements, mais aussi la formation
 continue pour maintenir ses connaissances spécialisées...
 Le CIL français était une fonction, le DPO européen est une nouvelle
 profession, un nouveau métier, qui inclut de la sensibilisation, de
 l'analyse d'impact [2], de la gestion d'incident et de crise, de la relation
 avec les autorités... ce qui rappelle les missions du RSSI. Attention,
 sécurité et vie privée ont de fortes similitudes et beaucoup
 d'interpénétrations, ce sont des métiers qui peuvent être portés par la même
 personne, ils demeurent cependant deux rôles distincts avec des tâches
 et des objectifs complémentaires, le RSSI protège l'organisme, le DPO
 protège les individus. Avec le règlement européen la différence est que la
 profession de RSSI ne bénéficie de la force de la loi qu'indirectement,
 dans des cas spécifiques et dans des domaines d'application spécifiques
 (LMP/OIV/SIIV, ARJEL, PCI-DSS, HDS, etc). La profession de RSSI n'est pas
 réglementée, elle n'est pas dans la loi, elle n'a ni les responsabilités ni
 les moyens que le règlement européen impose de fournir au DPO.
     Alors, est-ce que les RSSI en mal de budgets ne devraient-ils pas
 s'intéresser au DPO ? Le DPO viendra-t-il plus des juristes ou des
 informaticiens ? A chacun d'y réfléchir.
     Notez aussi la création d'une nouvelle association à destination des
 DPO : ADPO ou DPOA [3], et pour en savoir plus, le compte-rendu de la
 conférence HSC by Deloitte et TAJ du 17 mars dernier est au paragraphe 4.

 [1] Pour une majorité d'organismes, se référer au compte-rendu paragraphe 4.
 [2] PIA : Privacy Impact Assessment
 [3] http://www.data-protection-officer-association.eu/



--[ 2. Le saviez-vous ? La question ]------------------------------------

    Comment effectuer une élévation de privilège sur tous les noyaux Linux de
  version >= 3.19 et <= 4.4.6 ?

     Réponse au paragraphe 13.


--[ 3. Compte-rendu de la JSSI de l'OSSIR ]-------------------------------
    par Jean Cherin et Alphonsine Yacoubou-Djima

     Le 8 Mars 174 participants étaient à la JSSI de l'OSSIR, sur le thème
 "Bienvenue en 1984, retour vers le futur".
 Ceux qui ont déjà eu l'occasion de lire l'excellent roman de Georges Orwell,
 « 1984 » ont certainement compris l'allusion.

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "Life of PII ??? Une journée dans la vie de nos données personnelles",
      par Damien Desfontaines, Google

     Damien nous a décrit les processus de validation d'utilisation des données
 à caractère personnel dans les applications conçues et publiées par Google.
 L'idée est de s'insérer le plus tôt possible -i.e. dès que les ingénieurs ont
 une idée de l'outil qu'ils comptent implémenter- dans le cycle de vie du
 projet pour prendre en compte les règles et contraintes liées à l'utilisation
 de données à caractère personnel.
 Ceci se fait par le biais du Privacy Design Doc que l'équipe d'ingénieurs doit
 créer, et faire évoluer avec le produit en continu.

 Le Privacy Reviewer challenge les équipes d'ingénieurs afin d'avoir la
 garantie que les données sont maîtrisées, qu'elles sont nécessaires pour
 l'usage de l'application, que l'interface de l'application est suffisamment
 intuitive pour faciliter la suppression par les utilisateurs de leurs données.
 Les fonctions critiques -authentification, chiffrement- sont auditées via des
 audits de code. Une fois l'application publiée et mise à disposition des
 utilisateurs, le maître mot de protection des données personnelles reçues est
 le chiffrement, sans exception. Les données sont chiffrées en transit et en
 stockage. Les données supprimées (à la demande de l'utilisateur) le sont
 définitivement au bout d'un certain temps que ce soit sur les bandes
 magnétiques ou les serveurs de sauvegarde, via une suppression de la clé de
 chiffrement de la sauvegarde de l'utilisateur. Le temps de latence a pour but
 de permettre la récupération dans le cas où l'utilisateur reviendrait sur sa
 décision ou en cas d'erreur.
 A noter qu'alors que la règle est que nul -en dehors des personnes légitimes-
 n'a le droit d'accéder aux données des utilisateurs, il arrive que certaines
 investigations nécessitent leur accès par des employés. Ce type d'accès est
 alors audité.

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "Retour sur 10 ans d'audit sécurité", par Renaud Feil (Synaktiv)
      et Jérémy Lebourdais (ON-X)

      Jérémy et Renaud ont fait une rétrospective sur 10 ans de tests
 d'intrusion. Il y a 10 ans, les pentesteurs s'en donnaient à coeur joie.  Le
 niveau de sécurité des applications Web était désastreux.
 Le constat fait aujourd'hui est que les moyens de protection ont évolué.  Les
 grands acteurs tels que Microsoft, Google, Apple mettent en place des
 initiatives plutôt efficaces, comme l'initiative Trustworthing Computing de
 Microsoft, ou la Sandbox avec Google Chrome. Apple fait de la sécurité un
 outil marketing : le feuilleton à rebondissements Apple versus FBI en est
 l'illustration.
 Cependant comme le soulignent les intervenants, il y a encore des défauts de
 conception conduisant à des failles. Pour Windows, celles découvertes dans
 SMBv2 par Laurent Gaffié ou le contournement de Applocker reporté par Synaktiv
 à Microsoft. Sans oublier le poids de l'héritage. Malgré les nombreux guides
 de sécurisation qui existent, de vieilles attaques sont encore possibles
 (algorithmes de hash faibles ou attaques de type pass-the-hash), et chez
 Apple, les failles du type Gotofail.
 Le modèle du logiciel libre longtemps considéré comme un garant de l'édition
 de logiciels sécurisés a montré ses limites (vulnérabilité heartbleed
 découverte dans OpenSSL en 2014). Enfin la sécurisation des réseaux internes
 reste compliquée avec des motifs divers : difficulté de se tenir à jour, les
 données sensibles ne sont pas identifiées, les fichiers vérolés (macro,
 rançongiciels) transmis aux utilisateurs pas forcément avertis, les impératifs
 liés aux applications métiers.
 Pour finir les intervenants ont évoqué leur vision de l'évolution des menaces
 et du métier d'auditeur sécurité dans 10 ans.
 Côté menaces, la compromission provenant des tiers se fera plus prégnante (les
 SI s'appuyant sur les clouds, les systèmes virtualisés, les multiplications de
 bibliothèques et plugins tiers, etc.). Les hackers, mieux payés se
 professionnalisent (hacking team, menaces étatiques). De l'autre côté, les
 sociétés étant de plus en plus conscientes des enjeux sécurité haussent leurs
 budgets, le métier d'auditeur sécurité est de plus en plus encadré et il y a
 des candidats à ces postes. Enfin la notion de Redteam se popularise et les
 bugs bounty aussi [1].

 [1] NDLR : voir éditorial de la newsletter de Mars 2016

 Transparents :
https://www.ossir.org/jssi/jssi2016/JSSI_2016_1B_Retour_sur_10_ans_d_audit_securite.pdf


 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "Retour d'expérience sur la lutte contre le cyberespionnage étatique",
      par Laurent Oudot (Thethri-Security)

     Laurent, précédemment à la DGSE, fait un retour d'expérience sur la
 lutte contre le cyberespionnage instructif et illustré d'exemples.  Selon lui,
 il n'est pas évident d'indiquer clairement si une action de cyberespionnage
 est d'ordre étatique ou pas, et en résumé, il abonde dans le sens de cette
 affirmation : « la sécurité est un échec © ».  Entre autres raisons, la menace
 qui augmente alors que les moyens de défense vont en sens inverse.
 A travers différents exemples, Laurent Oudot, a fait ressortir notamment le
 fait que :
  - face à des périls tels que des attaques physiques frontales (exemple de
    l'attaque de haches dans un pays en pleine révolution), les mesures de
    sécurité physiques peuvent ne pas être d'une grande aide.  La réaction
    naturelle -et somme toute logique- est de chercher à protéger l'humain en
    premier.
  - les visites en milieux sensibles (usines techniques complexes avec du SCADA
    par exemple) sont de vraies opportunités pour des vols d'informations
    critiques.
  - les actions de cyberespionnage simples sont menées à distance. Il est
    toutefois plus simple pour certains acteurs (ou pays?) de se rendre sur
    site pour mener à bien son attaque au travers d'une visite dans le cadre
    d'une collaboration commerciale par exemple.
  - dans les environnements geeks, les mesures de sécurité logiques sont
    parfois minimalistes. Se sentir en environnement de confiance (sécurité
    physique de bon niveau) ne devrait pas dispenser d'implémenter une sécurité
    logique rigoureuse.

 Afin de se prémunir des différentes attaques très motivées et plus complexes
 les unes que les autres, Laurent Oudot fait des recommandations classiques :
  - ne pas laisser sur le SI des failles de sécurité connues
  - arrêter l'achat d'équipements connus sans les éprouver techniquement
  - connaître son infrastructure, l'auditer régulièrement
  - le cloud n'est pas une solution, c'est juste déporter le problème
  - faire de la surveillance des réseaux : suivre et enregistrer les activités,
    et si possible interagir avec les pirates via des pots de miel (honeypots)
  - faire de la veille et se former continuellement
  - faire de l'attrition.

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "De la cyber-surveillance du salarié à la cyber-protection de
      l'employeur : 15 ans d'évolution de jurisprudence. Et maintenant ?"
      par François Coupez (ATIPIC)

     "La vie de l'entreprise n'est pas un long fleuve tranquille"
 énonce François Coupez, qui explique qu'en matière de cybersécurité, les
 employeurs doivent composer avec un large spectre de textes juridiques,
 portant par exemple sur les atteintes aux systèmes de traitement automatisés
 de données, aux données à caractère personnel ou au droit d'auteur, en passant
 par la sécurisation de l'accès à l'Internet.
 Ces textes constituent autant de risques juridiques, car y sont associés de
 multiples sanctions (financières, administratives, pénales ...).

 Afin de pouvoir répondre à ces risques, François Coupez indique que les
 employeurs doivent se doter de règles d'utilisation de leurs SI, matérialisées
 par la PSSI ou la charte informatique.

 Ces documents permettent d'une part de responsabiliser les salariés et d'autre
 part de pouvoir effectuer des contrôles et recueillir des preuves utilisables
 devant les tribunaux, à condition toutefois de respecter le formalisme
 nécessaire.

 Pour la rédaction de ces documents, la prise en compte des évolutions de la
 jurisprudence est nécessaire, celle-ci ayant depuis 2001 délimité les contours
 de la vie privée des salariés dans le cadre de leur utilisation du SI
 professionnel. Des difficultés subsistent, notamment pour articuler ces règles
 avec d'autres documents internes (plan de continuité d'activité, contrats de
 travail, etc.) ainsi que pour apprécier le caractère abusif ou non des
 pratiques des salariés.

 Francois Coupez s'est également arrêté sur le cas des administrateurs système,
 qui, au regard de leurs pouvoirs étendus, sont soumis à des sanctions plus
 vastes, mais n'en restent pas moins des salariés concernés par ces règles
 d'utilisation. Il a enfin mentionné le cas des réseaux sociaux, où la
 frontière entre sphère privée et publique n'a pas encore été clairement
 dessinée par les tribunaux.

 Transparents :
https://www.ossir.org/jssi/jssi2016/20160308-JSSI_2016-cybersurv_cyberprotec_15_ans_JP-ATIPIC-low_def.pdf

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "Surveillance en bande organisée", par Jeremy Zimmerman

      Jérémie Zimmermann aborde la question théorique des modèles de sécurité.
 Pour lui, le modèle de l'hyper-sécurité, en fournissant des budgets colossaux
 aux institutions de surveillance, a atteint son paroxysme avec le programme
 "Bullrun" mis en oeuvre par la NSA, permettant à cette dernière d'aller
 corrompre jusqu'au matériel des systèmes de sécurité. Il souligne le paradoxe
 ainsi créé, où le système censé garantir la sécurité des citoyens décide
 d'affaiblir cette même sécurité.
 Parmi les divers modes d'actions connus, il cite l'infiltration d'équipes de
 développement, la participation à des élaborations de normalisation afin de
 les affaiblir, ou encore la corruption.

 En conséquence, estime-t-il, il est impossible de vendre de la sécurité
 absolue lorsque tout individu et organisme est susceptible d'être concerné par
 de l'espionnage industriel.
 Face à ce problème, il propose une alternative : un modèle reposant sur du
 logiciel libre, exécuté sur du matériel contrôlable et compréhensible et
 fonctionnant au travers de services décentralisés.

     La clé de la véritable sécurité réside dans le partage de l'information
 et de la connaissance, conclut-il.


 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "Sécurité et AS400" par Sylvain Leconte (Cogiceo)

     Sylvain Leconte présente les tests d'intrusions sur des serveurs AS 400.
 Certaines entreprises continuent d'utiliser ces serveurs d'une autre
 génération pour des raisons, on le devine, historiques. L'AS 400 est un
 serveur conçu par IBM. Renommé i-series, la dernière version est la v7R2. Et
 comme Sylvain Leconte de Cogiceo « aime bien les antiquités » [sic], il a
 voulu éprouver ses compétences de pentesteur sur cet appareil.

 La base de la sécurité est la gestion précise des droits.  Un utilisateur est
 affecté à une classe qui représente un assemblage de droits spéciaux. La
 classe *secadmin par exemple est la classe des droits root.  L'utilisateur
 hérite donc des droits définis dans cette classe.  Un autre verrou est la
 limitation des capacités de l'utilisateur.  C'est un bon moyen d'empêcher les
 utilisateurs de faire des modifications par eux-mêmes.
 L'objet du pentest étant de trouver un utilisateur disposant de tous les
 droits, Sylvain nous a présenté sa démarche :
  - reconnaissance : identification des services disponibles sur l'ordinateur
    (tcp 5250, smtp, ftp, ldap et de nombreux autres)
  - listage des identifiants de connexion : accès à la liste des utilisateurs
    (logins) et via une attaque du singe intercepteur récupération des
    authentifiants car le SSL est rarement implémenté
  - attaque en force brute
  - exécution de commandes
  - élévation de privilèges

     Sylvain Leconte ne publie pas de transparents et indique s'être très
 fortement inspiré des transparents de la Blackhat 2006 :
http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Carmel/bh-eu-06-Carmel.pdf


 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "IOT et sécurité Sigfox", par Renaud Lifchitz (Digital Security)

     Renaud Lifchitz a présenté les résultats des tests de sécurité qu'il
 a mené sur le protocole Sigfox.
 Le réseau Sigfox est un réseau propriétaire utilisant un protocole longue
 portée et à bas débit qui permet la communication de données de taille réduite
 entre les appareils connectés et avec d'autres plateformes. Il couvre une
 trentaine de villes en Europe, et compte déjà plus de 7 millions d'objets
 connectés. Aucune information n'est disponible sur les mécanismes de sécurité
 de Sigfox.
 Quelques caractéristiques de Sigfox :
  - protocole bas débit : cela est fait à dessein car plus les données sont
    envoyées de façon lente, plus le réseau est résilient
  - différentes bandes de fréquences dont la 24Ghz
  - portée typique : 20 km (jusqu'à 300 km en conditions idéales)
  - basse consommation
  - usage standard moyen : 1 message maximum toutes les 10 minutes
  - abonnement d'envion 10 euros par mois
  - message constitué de 3 trames successives sur 3 bandes de fréquence
    différentes
 Du point de vue sécurité, Renaud a identifié quelques points forts :
  - résilience de trame
  - détection de corruption d'intégrité
  - mécanisme anti-rejeu implémenté (compteur de trames sur 12 bits et
    code d'authentification  qui permet de signer le message)
 En points d'amélioration, il cite :
  - l'absence de chiffrement transparent ou accessible aux développeurs
  - le périphérique émetteur facilement identifiable : le numéro de
    périphérique  est envoyé en clair dans la trame
  - la possibilité d'usurper le périphérique de façon durable en cas d'accès
    physique
  - le rejeu qui reste possible : le périphérique est identifiable, la
    signature et le message sont réutilisables toutes les 2^12 trames, ce qui
    implique qu'au bout d'un mois on peut renvoyer le même message et il sera
    considéré comme valide.

     En conclusion, Renaud a donné quelques recommandations comme adapter le
 niveau de sécurité selon l'usage, utiliser des périphériques avec des Secure
 Elements pour les clés, implémenter un chiffrement avec XOR avec par exemple
 une clé unique dérivée par PBKDF2.


 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     "La cryptographie de Bitcoin, de la confiance à la preuve" par Jean-Luc
      Parouty (CNRS / IBS)

     Pour la dernière intervention, Jean-Luc Parouty a présenté docproof.org,
 un service de notariat électronique basé sur la technologie des chaines de
 blocs (blockchain). Il a présenté le fonctionnement de cette dernière, qui
 repose sur l'interconnexion des "blocs" de la chaîne, de sorte que toute
 modification unitaire serait impossible.
 La particularité de cette technologie est qu'elle ne repose sur aucun tiers de
 confiance et permet de garantir des transactions indélébiles, infalsifiables
 et horodatées.
 Jean-Luc Parouty a ensuite effectué une démonstration du fonctionnement de
 docproof : d'abord, l'empreinte du document déposé est calculée par le
 navigateur de l'internaute. Celle-ci est ensuite remontée au serveur,
 enregistrée au sein de la blockchain et le déposant conserve un numéro de
 transaction qui permet de localiser le document au sein de la chaîne.  Ce
 système permet notamment de créer des preuves d'antériorité, qui peuvent être
 utilisées dans le cadre du droit d'auteur : elles permettront d'identifier le
 créateur original et de prouver l'existence de l'œuvre à une certaine date.
 En perspective, docproof pourrait permettre le développement de nouveaux
 usages et services relatifs à la consignation et la preuve de dépôt de
 documents, ou encore à l'authentification dans le processus de signature
 électronique.



--[ 4. Compte-rendu de la conférence DPO par HSC by Deloitte et Taj ]----------
    par Jean Cherin et Amélie Paget

     Le 17 mars 2016, HSC by Deloitte et le cabinet d'avocats Taj ont
 organisé dans leurs locaux de Neuilly-sur-Seine un petit-déjeuner sur le thème
 « Anticiper le règlement européen : le délégué à la protection des données ».

 Les intervenants étaient Hervé Schauer, associé Deloitte et directeur général
 d'HSC by Deloitte, Pascal Seguin, associé Taj, et Frédéric Connes, senior
 manager et directeur juridique d'HSC by Deloitte.

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Pourquoi un nouveau règlement européen sur la protection des données
 personnelles ?

     Vingt ans après la directive du 24 octobre 1995 relative aux traitements
 de données à caractère personnel, il devenait indispensable de revoir le cadre
 juridique européen en matière de protection des données personnelles.
 D'une part, le contexte a fortement changé : l'usage d'Internet s'est
 généralisé, les données personnelles sont devenues omniprésentes, et elles
 représentent désormais un patrimoine disposant d'une valeur marchande, que les
 citoyens désirent protéger, alors que certains dirigeants vont parfois jusqu'à
 remettre en question l'intérêt même de l'existence de la notion de vie privée.
 D'autre part, la transposition de la directive par les différents États
 membres a mené à des disparités entre les législations nationales.

 Le règlement européen a pour objectif d'harmoniser et de moderniser le cadre
 législatif européen applicable aux traitements de données à caractère
 personnel.

 Le texte, dont l'adoption devrait en principe intervenir au printemps 2016,
 prévoit un délai de deux ans avant sa mise en application effective. Ce délai
 a été prévu en raison des changements majeurs introduits dans les législations
 nationales, et il importe donc de le mettre à profit pour se préparer au futur
 cadre applicable. Parmi les évolutions prévues, le « délégué à la protection
 des données » (DPO - data protection officer), qui vient prendre la suite du «
 détaché à la protection des données à caractère personnel » (transposé en
 France sous la forme du correspondant informatique et libertés), revêt un
 intérêt majeur pour les entreprises et le marché de la protection des données,
 puisque d'une fonction l'on pourrait rapidement passer à une véritable
 profession, exerçable tant en interne qu'en externe.

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Qu'est-ce que le délégué à la protection des données (DPO) ?

     Le DPO prend la suite du CIL, avec néanmoins un renforcement sensible de
 ses missions. La première d'entre elles consiste toujours à veiller au respect
 des exigences juridiques en matière de protection des données personnelles.
 Cependant, au-delà des missions d'information, de sensibilisation et de
 conseil, qui sont désormais explicitement prévues, le DPO devra, en pratique,
 veiller à la réalisation des analyses d'impact sur la vie privée (PIA -
 privacy impact assessment), à l'intégration de la protection des données
 personnelles dès la phase projet (privacy by design), à la tenue et à la
 centralisation de la documentation et des preuves, et à la gestion des
 violations de données personnelles. Il devra être informé de tout projet
 impliquant des données personnelles.

 Pour mener efficacement ses missions, le DPO devra disposer de moyens
 importants, tant en termes de ressources que de temps consacré à l'étude des
 projets impliquant des données personnelles. La proportion de DPO à temps
 plein devrait ainsi naturellement augmenter. Le DPO disposera également un
 droit d'accès direct aux données, contrairement au CIL. En contrepartie, il
 sera explicitement soumis au secret professionnel.

 Le DPO pourra être désigné par un responsable de traitement, mais aussi par un
 sous-traitant, ce qui constitue une nouveauté par rapport à la situation
 actuelle. Le DPO d'un sous-traitant devra veiller à ce que ce dernier respecte
 les engagements contractuels liés aux données personnelles.

 Le DPO pourra être interne ou externe. En interne, son positionnement sera
 central, puisqu'il devra être rattaché directement au niveau le plus élevé du
 responsable du traitement ou du sous-traitant. Il pourra, comme le CIL, être
 mutualisé. En externe, la limite actuelle des 50 personnes disparaîtra, ce qui
 signifie que le recours à des prestataires devrait se développer, et sans
 doute conduire à terme à une véritable professionnalisation des DPO.
 L'évaluation de leurs compétences professionnelles sera alors déterminante
 pour leurs clients, en raison de l'impact potentiel de l'action du DPO sur
 l'image de l'organisme.

 Le DPO sera le point de contact, tant des personnes concernées que de la CNIL.
 En revanche, il ne sera soumis à aucune obligation de signaler les manquements
 à cette dernière. Il ne sera donc pas une sorte de « commissaire aux données
 », même si son statut sera relativement protecteur, notamment en termes
 d'indépendance.

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Comment se préparer à la mise en place du DPO ?

     Face à l'ampleur des évolutions à venir, il importe que les organismes
 et les futurs DPO se préparent dès aujourd'hui.

 Tout d'abord, il importe de déterminer si la désignation d'un DPO sera
 obligatoire ou pas au sein de l'organisme. Sa désignation sera en effet
 impérative dans trois cas : l'organisme relève du secteur public ; son
 activité principale implique un suivi régulier et systématique à grande
 échelle de personnes concernées ; il réalise un traitement à grande échelle de
 données sensibles ou judiciaires.

 Dans l'hypothèse d'un DPO obligatoire, il peut être judicieux, si ce n'est
 déjà fait, de désigner dès à présent un CIL au sein de l'organisme, afin qu'il
 acquière l'expérience nécessaire pour mener à bien ses futures missions.
 L'intérêt de recourir à un prestataire spécialisé, en externe, peut également
 être étudié dès aujourd'hui.

 Si les CIL actuels sont évidemment bien placés pour devenir DPO, aucune
 évolution automatique n'est actuellement prévue. L'AFCDP souhaite cependant la
 mise en place d'une « clause du grand-père », qui permettrait aux CIL
 répondant aux conditions, et le désirant, de devenir DPO.  Pour autant, il
 n'est pas certain qu'une telle automaticité soit souhaitable, dans la mesure
 où les missions et la responsabilité du DPO seront bien supérieures à ce
 qu'elles sont qu'aujourd'hui.

 Ensuite, le DPO devra justifier de « connaissances spécialisées de la
 législation et des pratiques en matière de protection des données », et de sa
 capacité à accomplir ses missions. Ces connaissances seront nécessairement
 transverses, mêlant à la fois des composantes juridiques, techniques et
 organisationnelles, sans négliger les compétences métier.  Les qualités de
 communication, la capacité à négocier et une excellente connaissance de
 l'organisme, de son fonctionnement et de ses spécificités constitueront
 évidemment des atouts indéniables. Tant les futurs DPO que les organismes qui
 les désigneront ont donc intérêt à ce que des validations de connaissances et
 de savoir-faire se développent, et ceci dès maintenant.

 Enfin, les organismes et les futurs DPO devraient profiter des deux années qui
 nous séparent de l'entrée en application du règlement pour étudier les outils
 documentaires pouvant apporter une véritable aide au DPO, et également pour se
 doter des méthodes et procédures qui seront nécessaires, notamment en matière
 d'analyses d'impact et de notification des violations de données personnelles.
 Un renforcement des outils de veille pourrait également être envisagé si les
 outils actuels n'apparaissent pas suffisants au regard des futures
 responsabilités du DPO.



--[ 5. Nouvelle formation "Se préparer au règlement européen sur la protection des données" ]

     Le règlement européen sur la protection des données personnelles vient
 refondre le cadre juridique applicable en matière « informatique et
 libertés ». Il apporte de nombreuses évolutions par rapport au cadre actuel,
 en exigeant notamment une véritable gouvernance de la protection des données.

 Par conséquent, il importe d'anticiper dès à présent ses dispositions,
 d'autant que le délai de 2 ans laissé aux organismes pour se préparer, et qui
 amène à une application aux alentours du printemps 2018, est significatif de
 l'ampleur des tâches à mener.

 Vous allez apprendre :
   - Quelles sont les évolutions apportées par le règlement ?
   - Quelles sont leurs implications opérationnelles ?
   - Comment se préparer efficacement à l'application du règlement ?

 Public visé : CIL, Futurs DPO, Responsables « informatique et libertés » ou
 vie privée, Juristes, Directions et RSSI.

 Première session à Paris le 27 juin prochain.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 6. HSC by Deloitte partenaire des GS-DAYS à Paris ]-------------

     HSC sera présent aux GS-DAYS le 7 avril prochain de 8h30 à 18h30 à
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe avec Adrien Pasquier et
 Jean Jacques Cayet pour les prestations, Lynda Benchikh et Emilie Bozzolo
 pour les formations, sera à votre disposition sur notre stand.

     Ne ratez la conférence de Danil Bazin à 14h15 en salle Denderah :
 "Bénéfices de l'accès direct aux disques à l'aide du framework Metasploit".

 Programme détaillé : http://www.gsdays.fr/a-propos/programme
 Inscription obligatoire.
 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : G7s4Dw8è et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 7. HSC by Deloitte partenaire des Information Security Days à Luxembourg ]

     HSC sera présent aux Information Security Days les 12 et 13 avril
 prochains de 8h30 à 18h30 à l'hôtel Alvisse Parc Hôtel.

 Notre équipe sera à votre disposition sur notre stand. Adrien Pasquier
 pour les prestations et Cécile Schauer pour les formations seront à
 votre disposition.

     Frédéric Connes présentera la conférence "Anticiper le règlement européen
 sur les données personnelles : le Délégué à la Protection des Données (DPO)"
 le 12 avril de 11h45 à 12h30, en français.
 Le règlement européen sur les données personnelles devrait être adopté
 d'ici le printemps 2016. Une période transitoire de deux ans est prévue pour
 laisser le temps aux organismes de se préparer, et cela ne sera pas de trop.
 En effet, les implications de ce texte seront très importantes, et il importe
 dès lors de les anticiper.
 Nous traiterons notamment des sujets suivants:
  - Dans quels cas le DPO sera-t-il obligatoire ?
  - En quoi le statut du DPO diffèrera-t-il de la situation actuelle ?
  - Quelle seront les missions du DPO ?
  - Quelle sera l'étendue de la responsabilité du DPO ?
  - Le poste de DPO peut-il se transformer en métier exercé à plein temps ou
    comme prestataire ?

     Inscription obligatoire et gratuite pour les utilisateurs finaux et les
 RSSI, DSI, gestionnaires de risque et assimilés, inscription à 200 euros HT
 pour les fournisseurs pour les 2 jours, pauses et repas inclus.
 Programme détaillé : http://isdays.itone.lu/
 Inscription : http://isdays.itone.lu/invitations/herve-schauer-consultants/



--[ 8. Programme de la conférence du Club 27001 ]-------------

     Le Club 27001 (http://www.club-27001.fr/) organise sa neuvième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le jeudi 7 avril 2016 à l'espace Saint-Martin, dans le cadre des GS-DAYS.
 Le programme est le suivant :

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière : "Lutte défensive : de la détection à la
         réponse à incident"
         Table ronde avec Guillaume Poupard (directeur de l'ANSSI),
         et Jean-Luc Moliner (directeur sécurité du groupe Orange),
         Jean-Paul Mazoyer (DSI crédit Agricole et administrateur du CIGREF)
 10h30 : Pause café
 10h50 : "En quoi l'ISO 27001 aide à maintenir dans la durée la sécurité
         opérationnelle", par Alexandre Fernandez-Toro, RSSI
 11h30 : Table-ronde : "Et vous, comment appliquez-vous les normes ISO 27x ?"
         animée par Florence Michallon (Solucom) et Thomas Bousson (On'X)
 12h15 : Déjeuner assis
 14h00 : "ISO 27001 et PIA (Privacy Impact Assessment), quel rapport ?"
         Matthieu Grall, responsable de l'expertise technologique, CNIL
 14h45 : Retour d'expérience : "ISO 27001 est il soluble dans l'agilité ?"
         par Carole Tessier, RSMSI, Maxime Kurkdjian, directeur associé
         et Guillaume Leccese, directeur technique (Oxalide)
 15h30 : Pause
 16h00 : "Un SMSI dans un Système de Management Intégré des Risques (SMIR) :
         ISO 9001 /ISO 20000-1:2011 / ISO27001:2013", par Pierre Belin,
         RSI (APICIL)
 16h40 : Retour d'expérience : "Valorisation d'une offre d'hébergement
         Datacenter par la mise en oeuvre d'un SMSI certifié ISO 27001" par
         Sylvie Penou, responsable certification et développement durable (TDF)
 17h15 : "Conclusion de la journée"
         par Emmanuel Garnier, RSSI et président du Club 27001
 17h30 : Clôture de la conférence du club 27001
 18h00 : Cocktail de clôture

 Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclus les pauses café et le déjeuner).

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros, permettant l'adhésion de 5
    personnes de l'entreprise et donnant droit pour ces personnes à
    une inscription à tarif réduit pour la conférence annuelle

 Lieu : Espace Saint-Martin au 199 bis, rue Saint-Martin, 75003 Paris
        http://www.gsdays.fr/infos-pratiques/
 Plan : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/177/club27001_conference_2016.pdf

 Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
 Carl Roller : tresorier at club-27001.fr



--[ 9. Programme des GS-DAYS le 7 avril 2016 ]--------------------------

     HSC by Deloitte sera présent comme chaque année aux GS-DAYS 2016 le
 7 avril 2016, et Hervé Schauer est membre du comité de programme de la
 conférence.

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière : "Lutte défensive : de la détection à la
         réponse à incident"
         Table ronde avec Guillaume Poupard (directeur de l'ANSSI),
         et Jean-Luc Moliner (directeur sécurité du groupe Orange),
         Jean-Paul Mazoyer (DSI crédit Agricole et administrateur du CIGREF)
 10h30 : pause
 11h00 : "Brick my Ride (intrusion de véhicules)", par Florian Gaultier (SCRT)
 11h00 :  "La lutte défensive, pour répondre à quels nouveaux risques légaux
          et réglementaires ?", Lise Breteau, avocate
 11h55 : "Vers une lutte défensive intégrant des options offensives"
         par Laurent Oudot (Tehtri Security)
 11h55 : "L'usurpation d'identité numérique au coeur du social engineering"
         par Olivier Iteanu, avocat, (Iteanu)
 12h45 : Déjeuner assis
 14h15 : "Sensibilisation à la sécurité de l'information : où en sont les
         entreprises françaises ?" par Michel Gérard (Conscio Technologies)
 14h15 : "Identité et objets connectés" par Francis Grégoire (Arismore/Memority)
 14h15 : "Bénéfices de l'accès direct aux disques à l'aide du framework
         Metasploit" par Danil Bazin (HSC by Deloitte)
 15h10 : "Qui veut la peau de K2000 ?" par Diane Mullenex et Annabelle Richard
         avocates, (Pinsent Masons LLP)
 15h10 : "Techniques et outils pour la compromission des postes clients"
         par Renaud Feil et Clément Berthaux (Synactiv)
 16h00 : pause
 16h30 : "Démonstrations d'exploitations de failles" par Renaud Lifchitz (ARCSI)
 16h30 : "Stop aux politiques de sécurité inapplicables et inappliquées" par
         Cyril Corcos, Harmonie Technologie
 17h25 : "Détection des incidents de sécurité : vision d'un SOC efficace", par
         Matthieu Hentzien (ANSSI)
 17h25 : "Privacy By Design : anticiper pour mieux protéger" par Raphaël Brun
         et Gérôme Billois (Solucom)

 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : G7s4Dw8è et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 10. Offres d'emploi HSC pour consultants en sécurité ]--------------

     HSC by Deloitte recherche des consultants brillants, débutants ou
 expérimentés, avides de partager et de s'épanouir dans une équipe
 indépendante, pluridisciplinaire, qui couvre tous les aspects liés à la
 sécurité et continuité, des tests d'intrusion à l'expertise judiciaire, de
 la rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués
 à la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc., pour des missions d'expertise
 variées et haut de gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC by Deloitte recherche également des stagiaires pour des stages de
 pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 11. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Sécurité des nouveaux usages   .........    : 1er avril
        Essentiels techniques de la SSI    .....    : 4 et 5 avril
        EBIOS Risk Manager    ..................    : 6 au 8 avril (#)
        Formation RSSI    ......................    : 11 au 15 avril
        Sécurité SCADA    ......................    : 11 au 13 avril (*)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 18 au 22 avril (*)(#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 25 au 30 avril (*)(#)
        ISO 27005 Risk Manager    ..............    : 27 au 29 avril (#)
        PSSIE & RGS v2   .......................    : 2 mai
        Sécurité du Cloud Computing    .........    : 9 au 11 mai
        Formation CISSP    .....................    : 9 au 13 mai (#)
        PKI : principes et mise en oeuvre    ...    : 18 au 20 mai (*)
        Essentiels Informatique et Liberté   ...    : 20 mai
        ISO 27001 Lead Implementer    ..........    : 23 au 27 mai (#)
        Préparation au CISA    .................    : 23 au 27 mai (#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 23 au 28 mai (*)
        Essentiel de PCI-DSS    ................    : 30 mai
        Mesures de sécurité ISO 27002:2013   ...    : 30 et 31 mai
        Indicateurs & tableaux de bord SSI/ISO27004 : 1 juin
        Droit de la sécurité informatique    ...    : 2 et 3 juin
        Gestion des incidents de sécurité/ISO27035  : 2 juin
        Gestion de crise IT/SSI    .............    : 3 juin
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 6 au 10 juin (#)
        ISO 22301 Lead Implementer    ..........    : 6 au 10 juin (#)
        Formation RPCA    ......................    : 13 au 17 juin
        Correspondant Informatique et Libertés      : 13 au 15 juin (@)
        ISO 27005 Risk Manager    ..............    : 13 au 15 juin (#)
        Gestion des risques avancée    .........    : 16 et 17 juin
        ISO 27001 Lead Auditor    ..............    : 20 au 24 juin (#)
        Formation CIL 5 jours certifiante    ...    : 20 au 24 juin (#)
        Inforensique ordiphones/tablettes (FOR585)  : 20 au 24 juin (*)(#)
        Anticiper le règlement européen    .....	: 27 juin
        ISO 27001 Lead Implementer    ..........    : 27 juin au 1 juillet (#)
        Supervision, surveillance et détection
        d'intrusion (SANS SEC511 / GIAC GMON)       : 27 juin au 1 juillet(*)(#)
        Essentiels de l'ISO22301    ............    : 9 septembre
        Essentiels techniques de la SSI    .....    : 12 et 13 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 12 au 16 septembre (*)(#)
        Formation RPCA    ......................    : 12 au 16 septembre
        ISO 27005 Risk Manager    ..............    : 14 au 16 septembre (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 19 au 23 septembre (*)(#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 26 au 30 septembre (*)(#)
        Inforensique réseau avancée (SANS FOR572)   : 3 au 7 octobre (*)(#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 10 au 14 octobre (*)(#)
        Sécurité du WiFi    ....................    : 7 et 8 novembre (*)
        DNSSEC    ..............................    : 9 et 10 novembre (*)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 14 au 18 novembre (*)(#)
        Expert Sécurité Linux LPI 303   ........    : 21 au 25 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 21 au 25 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 28 novembre au 3 déc(*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 12 au 16 décembre (*)(#)
        ISO 22301 Lead Auditor    ..............    : 2017 (#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC, LPI ou ISACA
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 1 au 3 juin 2016 (#)
        Formation CISSP    .....................    : 27 juin au 1er juillet (#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 octobre (#)
        ISO 22301 Lead Implementer    ..........    : nous consulter (#)

 - Lyon
        Droit de la sécurité informatique    ...    : 7 et 8 avril

 - Nice
        Correspondant Informatique et Libertés .    : nous consulter (@)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : 18 au 20 mai (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 mai (#)
        Correspondant Informatique et Libertés .    : nous consulter

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704 ou standard +33 141 409 700

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2016 en PDF sur http://www.hsc-formation.fr/



--[ 12. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 19 mai à 14h00
         - Programme en cours de confirmation
     . Reprise des réunions à Lyon !!
       Inscrivez-vous à la liste du club à Lyon
       http://www.club-27001.fr/mailman/listinfo/club-27001-lyon
     . Prochaine réunion à Toulouse le 27 mai
     . Autres prochaines réunions annoncées sur www.club-27001.fr et dans
       les listes électroniques.
       Inscrivez-vous sur les listes de chaque ville sur www.club-27001.fr
       pour suivre l'activité du Club 27001 en région.
     . Conférence annuelle le 7 avril 2016, programme au paragraphe 7

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 12 avril à l'EPITA
         - ****
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 10 mai à 14h00 chez Solucom
         - "SOC 2.0 avec plateforme EDR (Endpoint Detection & Response)"
	   par Francis Ia (Guidance Software)
         - Seconde présentation en cours de confirmation
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 14 juin chez Solucom
     . Afterworks le mardi 31 mai à La Kolok
     . Prochaine réunion à Toulouse mardi 12 avril à 14h à l'Université
         - "Sécurité des équipements grand public connectés à Internet :
           évaluation des liens de communication" par Yann Bachy (ISAE-Supaero)
         - Seconde présentation en cours de confirmation
     . Réunion suivante à Toulouse le mardi 7 juin
     . Prochaine réunion à Rennes le jeudi 24 mars 2016 à 14h chez Technicolor
         - "Présentation d'HardSploit" par Yann Allain et Julien Moinard
           (Opale Security)
         - "Threat Intelligence" par David Bizeul (inThreat)
         - Seconde présentation en cours de confirmation
     . Conférence annuelle JSSI le 8 mars 2016 au MAS, programme au paragraphe 6

 o Clusif (http://www.clusif.fr/)
     . Assemblée Générale annuelle lundi 21 mars à 14h00
     . Prochaine conférence mercredi 13 avril à 16h00 à la CCI place de la
       Bourse : "Applications mobiles et sécurité"
       Programme ****
       https://www.clusif.asso.fr/fr/infos/event/

 o ISSA France
     . Prochain afterorks mardi **** avril au ****
         - ****
       http://securitytuesday.com/


--[ 13. Le saviez-vous ? La réponse ]-------------------------------------

   Depuis la version 3.19 du noyau Linux, il est possible d'effectuer des
 opérations de cryptographie depuis un processus en userland en utilisant des
 fonctions de l'API Kernel de crypto[1]. En connaissant la clé privée du noyau
 Linux (qui est disponible depuis le code source puisque le code source de
 Linux est libre), il est donc possible de forger des blocks chiffrés à l'aide
 de la fonction ALG_OP_ENCRYPT, qui seront déchiffrés par le noyau et donc
 executés en espace noyau (kernelLand).

 Une preuve de concept de cette exploitation peut être généré à l'aide de
 openssl
   openssl enc -d -base64 <<<
   UG9pc3NvbiBkJ2F2cmlsICEhISAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIAoKCiAgICAgICAsLS4tLC0sCiAgICAgXy8gLyAvIC8gICAgIC8pCiAgICwnICAgICAgICAgYC4gICAgLCcnKQogXy8oQCkgYC4gICAgIGAuLyAsJykKKF9fX18sYCAgIFw6YC0uICAgICBcICwnKQogKF8gICAgICAgICAvOjo6On0gICAvIGAuKQogIFwgICAgICwnIDosLScgLClcIGAuKQogICAgYC4gICAgICAgICAgLCcpICBgLi4pCiAgICAgIFwtLi4uLi0

[1] https://www.kernel.org/doc/htmldocs/crypto-API/User.html




Plus d'informations sur la liste de diffusion newsletter