[Newsletter HSC] N°142 - Octobre 2016 mars 2017

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 21 Mar 10:56:52 CET 2017


========================================================================
              HSC Newsletter  --  N°142 --  octobre 2016 - mars 2017
========================================================================





  « La sécurité informatique consiste à montrer qu'un truc marche contre un
    ennemi dont on ne connaît pas les armes. C'est donc un problème
    scientifiquement impossible, parce qu'on ne peut pas le poser correctement »


                 [ Gérard Berry ]



--[ Sommaire ]----------------------------------------------------------

      1. Éditorial Microsoft Azure - Hervé Schauer
      2. Le saviez-vous ? La question
      3. Nouveau programme de formations techniques certifiantes remplaçant
         les formations du SANS Institute
      4. Nouvelle formation "Réaliser un PIA (Privacy Impact Assesment)"
      5. Nouvelle formation "Sécurité des données de santé et protection de la
         vie privée"
      6. Programme de la conférence 2017 du Club 27001
      7. Compte-rendu du FIC 2017
      8. Compte-rendu de l'Université 2017 de l'AFCDP
      9. Compte-rendu de la JSSI 2017 de l'OSSIR
     10. HSC by Deloitte partenaire des GS-DAYS à Paris (code de réduction HSC)
     11. HSC by Deloitte partenaire des Information Security Days à Luxembourg
     12. Prochaines formations HSC
     13. Actualité des associations : Club 27001, OSSIR, Clusif et ISSA
     14. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer]---------------------------------------

     Les objectifs de l'informatique en nuage sont toujours les mêmes, entre
 autres : flexibilité et accès facilité aux ressources. Et les objections
 aussi : dépendance et confidentialité des données, notamment.
 Pour ce qui est de la confidentialité, c'est un sujet entendu : mettre
 ses données dans le nuage équivaut à les livrer sur un plateau au
 fournisseur infonuagique en question, et surtout à son gouvernement
 (seulement en cas de force majeure, cela va sans dire). C'est un choix à
 faire en toute connaissance de cause.
 Ce qui plus gênant, c'est quand les entreprises sont prises au piège
 parce qu'elles ne sont pas parvenues à deviner ce qui n'était pas écrit
 dans le contrat.
 Comme les principales solutions d'informatique en nuage, Office 365 apparaît
 comme une sorte de compromis pour bénéficier des possibilités de travail
 collaboratif sans pour autant vendre son âme (et sa base d'authentification)
 à Microsoft. Une des forces de cette solution est l'accès aux données depuis
 n'importe quelle machine, n'importe où dans le monde. Cela permet à vos
 utilisateurs de travailler de chez eux. Et aussi, de bénéficier d'une
 licence Office offerte pour leur poste personnel. Ce qui en découle, c'est
 que vos documents professionnels confidentiels se retrouvent sur le PC
 personnel des employés.
 Est-ce vraiment ce que vous souhaitez ? Les joyaux de l'entreprise qui se
 retrouvent disséminés ici et là, sur des postes à la sécurité douteuse
 voire inexistante ?
 Heureusement, Microsoft permet d'activer une fonctionnalité d'accès
 conditionnel visant à contrôler finement depuis quelles machines les
 utilisateurs peuvent accéder à vos très chères données. Fonctionnalité qui
 nécessite Microsoft Intune ou l'utilisation d'Azure AD. Et bien entendu,
 le comportement par défaut si aucune politique d'accès conditionnel ne
 s'applique est : "autoriser l'accès"[1].

 Outre le fait que cet accès "open bar" par défaut soit contraire aux
 règles de sécurité les plus élémentaires, c'est surtout un moyen pour
 Microsoft pour nous pousser tous un à un dans 'son' nuage et, à terme,
 dans son AD monde.

 Que vous soyez CAC40 comme ETI, il convient d'apprécier explicitement les
 risques, et faire volontairement ce choix d'infogérer son AD chez Microsoft.
 Il apparaît qu'une majorité d'entre vous ne s'était pas aperçus que
 Microsoft interrogeait votre AD, infogérez-le volontairement en toute
 connaissance de cause.

[1]
https://docs.microsoft.com/fr-fr/intune/deploy-use/restrict-access-to-email-and-o365-services-with-microsoft-intune



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Un Le Saviez-Vous sur une vulnérabilité commune, cependant trop
 souvent oubliée :
 Il est préconisé de bien encadrer par des guillemets (") les chemins vers
 les exécutables des services sous Windows.
 Quelle est la vulnérabilité associée, et comment peut-elle être exploitée par
 un attaquant ?

     Réponse au paragraphe 14.



--[ 3. Nouveau programme de formations techniques certifiantes ]-----------

     Pour 2017, HSC propose un nouveau programme, de formations techniques
 avec travaux pratiques.
 HSC remplace les 13 formations américaines du SANS Institute que nous
 revendions depuis 6 ans, par 9 nouvelles formations techniques, conçues
 et dispensées par les mêmes instructeurs HSC et externes auxquels vous êtes
 habitués, avec la qualité qu'HSC s'efforce d'atteindre depuis 28 ans.
 Ce programme n'a pas de redites entre formations. Toutes les formations
 sont en 5 jours, sans cours le samedi. Les transparents et les exercices
 sont en français. Le tarif des formations et de la certification sont
 raisonnables. Les travaux pratiques sont conçus par HSC qui fournit les
 ordinateurs. Les certifications pour remplacer les certifications GIAC
 sont des QCM conçus par HSC, sur le mode des certifications RSSI et RPCA,
 l'examen se passant sur place le dernier jour de la formation.


     Nouveau programme :

 * Sécurisation et défense
     SECU1 "Fondamentaux techniques de la SSI" du 20 au 24 mars
     Remplace la formation SEC401
     http://www.hsc-formation.fr/formations/secu1.html.fr

     SECWEB "Sécurité des serveurs et applications web" du 15 au 19 mai
     Remplace la formation DEV522 et en partie SEC542
     http://www.hsc-formation.fr/formations/sec_web.html.fr

     SECWIN "Sécurisation des infrastructures Windows" du 18 au 22 décembre
     Remplace la formation SEC505
     http://www.hsc-formation.fr/formations/sec_win.html.fr

     SECDRIS "Surveillance, détection et réponse aux incidents SSI" du 19
     au 23 juin
     Remplace les formations SEC504, SEC511, et une partie de FOR572
     http://www.hsc-formation.fr/formations/sec_dris.html.fr

 * Intrusion
     INTRU1 "Tests d'intrusion et sécurité offensive" du 24 au 28 avril
     Remplace les formations SEC542 et SEC560
     http://www.hsc-formation.fr/formations/intru1.html.fr

     INTRU2 "Tests d'intrusion avancés et développement d'exploits" du 4 au
     9 décembre
     Remplace les formations SEC642 et SEC660
     http://www.hsc-formation.fr/formations/intru2.html.fr

 * Investigation numérique / Inforensique
     INFO1 "Inforensique : les bases d'une analyse post-mortem" du 26 au 30 juin
     Remplace FOR408 et une partie de FOR508
     http://www.hsc-formation.fr/formations/info1.html.fr

     INFO2 "Inforensique avancée : industrialisez les enquêtes sur vos
     infrastructures" du 13 au 17 novembre
     Remplace les formations FOR508 et FOR572
     http://www.hsc-formation.fr/formations/info2.html.fr

     INFO3 "Rétro-ingéniérie de logiciels malfaisants" du 12 au 16 juin
     Remplace la formation FOR610
     http://www.hsc-formation.fr/formations/info3.html.fr


 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 4. Nouvelle formation "Réaliser un PIA (Privacy Impact Assesment)" ]---

     Depuis 8 ans HSC vous accompagne sur les sujets Informatique et Liberté,
 et HSC est qualifié OPQCM depuis 2010 nous permettant de vous proposer du
 conseil juridique à titre accessoire. Afin de répondre à votre demande
 HSC propose une nouvelle formation "Réaliser son PIA", c'est-à-dire comment
 faire une étude d'impact sur la vie privée, tel que cela est imposé dans le
 RGPD/GDPR (règlement européen sur la protection des données). L'étude
 d'impact sur la vie privée doit être menée pour tout projet d'envergure
 impliquant des données à caractère personnel.
 La formation "Réaliser un PIA" propose en 2 jours une approche pragmatique
 de l'étude d'impact sur la vie privée, issue à la fois de l'expérience des
 consultants dans leurs missions chez de nombreux clients, leur expérience
 en gestion des risques ISO27005, mais aussi en reprenant la future norme
 de PIA ISO29134.
 Après une présentation théorique, une après-midi est entièrement consacrée
 à la réalisation d'un cas pratique.

 Public visé : CIL/DPO, relais I&L, RSSI, Directeurs juridiques, responsable
 MOA, etc. La formation s'adresse à toute personne susceptible de mener un PIA.
 Il est nécessaire de connaître les principes de la protection des données,
 donc, avoir par exemple suivi une des formations "Privacy Implementer",
 "CIL/DPO" "Essenciels I&L", "Se préparer au RGPD" ou "Sécurité des données
 de santé".

 Première session à Paris les 6 et 7 avril 2017.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 5. Nouvelle formation "Sécurité des données de santé et protection de la
       vie privée" ]

     Depuis 22 ans HSC accompagne les établissements de santé, plus
 récemment les éditeurs et les hébergeurs de données santé, pour sécuriser
 leurs systèmes d'information et préparer leurs dossiers d'agrément. Fort
 de cette expérience, HSC propose une nouvelle formation "Sécurité des données
 de santé et protection de la vie privée", d'une durée de 2 jours.

   - Traitons-nous les données personnelles, notamment celles des Patients,
     dans le respect des réglementations en vigueur (Loi Informatique et
     Libertés, Code de la santé publique, etc.) ?
   - Comment nous conformer aux évolutions légales récentes (Loi de
     modernisation de notre système de santé et Règlement européen pour la
     protection des données) ?
   - Comment informer et recueillir le consentement des Patients pour
     collecter leurs données ?
   - Dans quelles conditions et à qui pouvons-nous transmettre les données
     Patients ?
   - De quels droits les patients disposent-ils sur leurs données ? Comment
     gérer ces droits ?
   - À quelles obligations de sécurité des données sommes-nous tenus ?
     Quelles mesures opérationnelles déployer pour s'y conformer ?
   - Qui peut accéder aux données de santé ? Comment gérer ces accès ?
   - Sommes-nous soumis au RGS ?
   - Sommes-nous un opérateur d'importance vital soumis à la Loi de
     programmation militaire ?
   - Devons-nous être agréés Hébergeur de données de santé ? Devons-nous
     recourir à un hébergeur agréé ?
   - Quelles autorités peuvent accéder aux données des patients (CNIL, ARS,
     perquisitions judiciaires, etc) ?
   - Comment nous préparer à un contrôle de la CNIL ?
   - Quelles traces et documentations devons-nous conserver pour être en
     mesure de démontrer notre conformité ?

     Cette formation vous offre une présentation structurée et synthétique
 des exigences légales nationales et européennes ainsi que des bonnes
 pratiques de sécurité des données et des systèmes d'information de santé :
   - Protection des données personnelles de santé (Loi Informatique et Libertés,
     Règlement européen général pour la protection des données, Code de la santé
     publique, loi de modernisation de notre système de santé)
   - Interopérabilité des systèmes d'information de santé (CI-SIS)
   - Sécurité des systèmes d'information de santé (PGSSI-S, CPS, RGS, LPM)
   - Hébergement des données de santé (agrément HDS)

     Le cours est dispensé par des consultants expérimentés dans le domaine
 de la santé, permettant ainsi un discours pragmatique et opérationnel,
 enrichi de cas concrets. À l'issue de la formation, les supports de cours
 et des outils pratiques conçus par les consultants HSC seront remis aux
 stagiaires :
   - exemple de mentions d'information et de recueil du consentement patient ;
   - modèle de fiche de traitement composant le registre des traitements du CIL;
   - exemple de plan détaillé d'une PSSI adaptée Santé ;
   - extrait d'appréciation des risques-

 Public visé : RSSI, Juristes, CIL/DPO, Médecins DIM, Directeurs juridiques,
 Chef de projet e-santé et toute personne confrontée à la gestion d'un
 système d'information de santé.
 Aucun pré-requis n'est nécessaire mais avoir une culture générale en sécurité
 des systèmes d'information ou en droit est un plus.

 Première session à Paris du 22 au 23 mai 2017.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 6. Programme de la conférence 2017 du Club 27001 ]---------------------

     Le Club 27001 (http://www.club-27001.fr/) organise sa dixième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le mardi 28 mars 2016 à l'espace Saint-Martin, dans le cadre des GS-DAYS.

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière : "Quelle protection des données en Europe et
         ailleurs ? Et quelle confiance doit-on accorder à ces données ?"
         Table ronde avec Henri d'Agrain (secrétaire général du CIGREF)
         Gwendal Le Grand (directeur technologies et innovation, CNIL)
         et Patricia Le Large (CIL/DPO du groupe Orange), animée par
	 Hervé Schauer (HSC)
 10h30 : Pause café
 10h50 : "Panorama des normes ISO27001", Paul Richy, membre des comités
         de normalisation AFNOR en sécurité et continuité (Orange)
 11h30 : "Bilan à 4 ans d'une certification ISO 27001", par Silvio Morandi,
         RSSI (Gendarmerie Nationale)
 12h15 : Déjeuner assis
 14h00 : Retour d'expérience : "Démarche de construction d'une certification
         autour d'un processus de gestion des risques", Philippe Tourron,
	 RSSI (Assistance Publique - Hôpitaux de Marseille)
 14h45 : "La gestion de la conformité aux référentiels sécurité grâce au
         SMSI", par Julien Levrard, chef de projet conformité (OVH),
	 Frédéric Dujardin, expert qualité (OVH) et Thibaud Saudrais,
	 directeur qualité (OVH)
 15h30 : Pause
 16h00 : Retour d'expérience: "Démarche intégrée et certification 27001
         maintenue depuis 2008", Paul Steiner, Ingénieur Sécurité (FDJ),
	 Nicolas Pellegrin, RSSI (FDJ), et Patricia Erny, Responsable
	 contrôle interne et qualité (FDJ)
 16h40 : Table-ronde "Retour d'expérience des auditeurs de certification",
         avec Luc Chausson (LNE), Dimitri Druelle et François Lorek, animée par
	 Florence Michallon et Thomas Bousson
 17h15 : "Conclusion de la journée"
         par Emmanuel Garnier, RSSI et président du Club 27001
 17h30 : Cloture de la conférence du club 27001
 18h00 : Cocktail de cloture

 Inscription à la conférence : 190 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclut les pauses café et le déjeuner).

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/204/club27001_conference_2017.pdf

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros
        - pour une entreprise : 270 euros, permettant l'adhésion de 5
	  personnes de l'entreprise et donnant droit pour ces personnes à
	  une inscription à tarif réduit pour la conférence annuelle

 Bulletin d'adhésion :
 http://www.club-27001.fr/attachments/article/204/club27001_adhesion_2017.pdf

 Lieu : Espace Saint-Martin au 199 bis, rue Saint-Martin, 75003 Paris
        http://www.gsdays.fr/infos-pratiques/
 Plan : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Envoyez votre bulletin d'inscription et d'adhésion complété au trésorier
 du Club 27001 Carl Roller : tresorier at club-27001.fr



--[ 7. Compte-rendu du FIC 2017 ]------------------------------------------
    par Tony Belot, Jean-Jacques Cayet et Béatrice Joucreau


     Le FIC 2017 s'est déroulé les 24 et 25 janvier derniers à Lille, avec
 son lot habituel de visiteurs prestigieux, ses milliers de visiteurs,
 sa capacité unique à accueillir sur ses stands de nombreux petits acteurs
 en sécurité invisibles ailleurs, mais aussi des ateliers ou conférences
 auxquels nous avons pu participer.

     Le table ronde sur "Automatisation et orchestration de la réponse à
 incident" a montré que cette démarche permet de traiter un volume important
 de menaces, en laissant aux équipes la capacité de se concentrer sur les
 menaces les plus critiques, en déterminant en amont ce qui ressort de
 l'automate et ce qui ressort d'un traitement manuel. En définissant en amont
 les traitements (ou en les capturant au fil de l'eau) les risques d'erreur
 sont réduits et les temps de traitement sont raccourcis. Plusieurs démarches
 de mise en place sont envisageables de l'application structurante d'un
 système expert, jusqu'à la rédaction au fil du temps de scripts opportunistes.

      L'atelier "Bluecyforce" présente une démarche d'entraînement à la
 cybersécurité par la pratique. Une plate-forme hybride combinant un simulateur
 et des éléments réels (matériel et logiciel) d'un SI permet d'entraîner une
 équipe à réagir à divers scénarios d'incidents de sécurité.
 Plusieurs scénarios sont joués durant le salon : intrusion, détection,
 analyse post-incident, système industriel, gestion de crise, etc

     La table ronde "Comment mobiliser les métiers autour des enjeux de la
 Cybersécurité" est partie des constats qui poussent à cette mobilisation :
 l'ISO 27001 demande à ce qui les risques soient la propriété des responsables
 d'actifs métiers, la numérisation de l'économie rend floue la séparation
 entre responsable technique et métier, les organisations mondiales
 concentrent en quelques points les responsivités techniques, au profit des
 métiers.
 Plusieurs approches sont proposées : promouvoir les profils métiers vers les
 rôles de responsable de la sécurité, utiliser en sécurité les mêmes notions
 que les métiers, sortir le RSSI de la DSI, sensibiliser les métiers, etc

     OVH a fait un retour d'expérience sur son programme de bug bounty.
 Ce programme est en place depuis plus d'un an, et il a été étendu
 progressivement à toutes les offres. Les résultats en sont positifs, les
 vulnérabilités identifiées sont le plus souvent des failles XSS, mais pas
 seulement.  Il montre une bonne maturité de la part des participants qui,
 pour la plupart, appliquent des démarches systématiques.
 Il contribue activement aux programmes de communication d'OVH.
 Les difficultés ont porté essentiellement sur le caractère mondial du
 programme qui doit prendre en compte les cultures géographiques multiples et
 des coûts logistiques à forte amplitude selon les pays.

     La table ronde "La santé peut-elle être connectée en toute sécurité ?"
 a permis de rappeler que les données de santé ont davantage de valeur que
 celles des cartes bancaires, elles ont une durée de vie  bien plus longue.
 Mais leur protection ne doit pas se faire au détriment de la capacité à les
 accéder pour soigner efficacement, leur intégrité et leur disponibilité
 importe beaucoup plus que leur confidentialité.
 L'analyse de risques est donc le bon outil pour améliorer le rapport
 bénéfice / risque d'un dispositif, la sécurité ne sert que si elle améliore
 la santé d'un patient. Elle a conclu en rappelant qu'à partir du 1er
 octobre 2017, les établissements de santé (laboratoires, hôpitaux, etc)
 auront l'obligation de déclarer les incidents graves de sécurité des Systèmes
 d'information.



--[ 8. Compte-rendu de l'Université 2017 de l'AFCDP ]----------------------
    par Amélie Paget, Jean Chérin et Frédéric Connes

     Le 25 janvier dernier s'est tenue la 11e Université de l'AFCDP
 (Association Française des Correspondants à la protection des Données à
 caractère Personnel).

     Serge Tisseron, psychiatre & directeur de recherche à l'Université
 Paris VII a présenté sa vision de l'évolution de la société, marquée par
 le développement de la robotique, en observant une mutation de la notion
 d'intimité. Auparavant, l'intimité recouvrait la volonté de préserver
 secrète une sphère de vie privée. Aujourd'hui, la nouvelle génération
 cherche davantage à contrôler cette sphère, à décider ce qu'elle souhaite
 rendre public et à maîtriser ces diffusions. À cela s'ajoute le désir
 d'immédiateté, en échange duquel l'individu accepte de concéder une part
 toujours plus importante de sa vie privée. Il s'intéresse ensuite à
 l'origine des données en observant que le consentement explicite et conscient
 devient implicite. Avec les robots, un simple hochement de tête pourrait
 exprimer l'accord. Serge Tisseron exprime sa crainte d'une dépossession de
 notre déterministe, l'individu se reposant de plus en plus sur des robots.
 Par exemple, avec les voitures autonomes, la gestion instantanée des accidents
 de circulation repose sur un algorithme. Ainsi, le conducteur est dépossédé
 de ses choix, ils appartiennent au concepteur.
 Pour conclure, il propose une autre voie possible,celle du robot
 "socialisant", qui, plutôt que de proposer des occupations avec lui,
 isolant l'individu de mes semblables, l'encouragerait à participer à des
 activités près de chez lui et lui en faciliterait l'accès. Ainsi, le robot
 favorise les contacts humains.

     Jan Philipp Albrecht, député européen, a partagé sa critique du
 Privacy Shield, accord adopté par la Commission européenne le 12 juillet
 2016, qui constitue le nouveau cadre légal pour le transfert de données
 personnelles vers les Etats-Unis. Depuis sa première publication en mars
 2016, le G29 (groupement des autorités de protection des données à caractère
 personnel de l'Europe) a exprimé des réserves, et le Parlement européen a
 demandé une renégociation du texte, mais sans succès. Jan Philipp Albrech
 rappelle par exemple que l'accès des individus à leurs droits implique de
 saisir une juridiction américaine et de se faire représenter par un avocat
 américain... Il souhaiterait privilégier des BCR (Binding Corporate Rules)
 ou des clauses contractuelles types qui assurent une meilleure maîtrise de
 la protection des données.

     Maxime Jaillet (Devoteam) est revenu sur les enjeux de l'information
 claire et de recueil du consentement sur les sites de e-commerce.
 Le service marketing craint souvent une opposition de l'utilisateur. Ainsi,
 il propose de présenter aux opérationnels l'information et le consentement
 comme un moyen de regagner la confiance des internautes. Il reprend le
 concept de "permission marketing" : lorsque l'utilisateur souscrit à un
 service, il a un engagement minimal, puis progressivement, il concède
 davantage pour accéder à des services supplémentaires. Cela pourrait
 s'appliquer aux données personnelles. L'internaute cède d'abord ses données
 d'annuaire puis, pour bénéficier de l'ensemble des services, il délivre des
 informations de profil. Le consentement peut alors devenir un atout.
 À court terme, les études ont montré que le taux de réponses positives est
 bon pour l'adhésion à un service, l'envoi de courriel de prospection et
 l'installation d'une application. À moyen terme, le fait de solliciter
 une acceptation active de l'utilisateur permet de l'engager, de le fidéliser,
 de créer une relation avec la marque. En revanche, cela implique de
 travailler la pertinence des services proposés car l'utilisateur peut
 retirer aisément son consentement.

     Frédéric Connes (HSC by Deloitte) et Jean Cherin (HSC by Deloitte)
 ont mis en lumière les responsabilités du DPO, ce nouvel acteur de la
 protection des données personnelles introduit par le RGPD/GDPR.
 Le DPO devra être indépendant, ne subir aucune influence extérieure et ne
 pas entrer en situation de conflit d'intérêt. À ce titre, s'agissant des
 DPO internes, il convient de s'interroger sur l'éventuelle incompatibilité
 entre les missions de Directeur juridique, DSI ou toute fonction impliquant
 que le DPO soit amené à critiquer le travail qu'il mène par ailleurs. Cette
 question apparaît d'autant plus complexe que le RGPD exige que le DPO soit
 en mesure de faire son rapport direct au plus haut niveau de la hiérarchie.
 La responsabilité pénale et civile du DPO n'est pas encadrée par le GDPR.
 Il faut donc se tourner vers le régime général de la responsabilité.
 Pénalement, le DPO ne peut être tenu responsable que des infractions qu'il
 a commises lui-même, et non de celles réalisées par le responsable de
 traitement ou le sous-traitant. Seule une délégation de pouvoir de la
 Direction vers le DPO en matière de protection des données pourrait changer
 la donne. Pour autant, une telle délégation apparaît incompatible avec
 l'indépendance et l'absence de conflits d'intérêts. S'agissant de la
 complicité, elle est caractérisée par l'aide ou l'assistance, la provocation
 à une infraction ou le fait de donner des instructions pour la commettre. Or,
 le complice encourt les mêmes peines que l'auteur de l'infraction. Qu'en
 est-il de la responsabilité du DPO qui obéirait à un ordre de sa direction
 contrevenant aux dispositions du RGPD ? Le statut du DPO doit lui permettre
 de refuser d'obtempérer. En effet, la jurisprudence considère que "l'ordre
 reçu d'un supérieur hiérarchique ne constitue pas, pour l'auteur d'une
 infraction, une cause d'irresponsabilité pénale". Enfin, le DPO étant tenu
 au secret professionnel, une violation de ce secret peut caractériser une
 infraction pénale et engager sa responsabilité.
 Disciplinairement, lorsque le DPO est interne à l'organisme, le RGPD précise
 qu'il ne peut être sanctionné du fait de l'exercice de ses missions. Pour
 autant, le DPO n'est pas un salarié protégé. Certes, il ne peut être
 relevé de ses fonctions ou pénalisé par le responsable de traitement ou
 le sous-traitant pour l'exercice de ses missions, mais il n'est pas protégé
 au même titre qu'un représentant du personnel ou d'un conseiller prud'homal.
 Ainsi, en cas de désaccord entre le responsable de traitement et le DPO,
 ce dernier doit prendre soin de documenter les échanges. La décision finale
 doit revenir à la Direction et être formalisée. Le DPO ne pourra être
 sanctionné disciplinairement que s'il venait à commettre une faute lourde
 qui consisterait à nuire à son employeur.
 S'agissant de la responsabilité civile délictuelle, tout préjudice causé par
 le salarié dans l'exercice de ses fonctions engage la responsabilité civile
 de l'employeur. Dès lors, la responsabilité du DPO ne peut être engagée que
 s'il commet une faute et cause un dommage en dehors du cadre de l'exercice
 de ses fonctions.
 Enfin, pour les DPO externes, leur responsabilité devra être encadrée par
 le contrat de prestation qui les lie avec leurs clients, et apporter des
 précisions concernant l'obligation de résultat ou de moyens, l'existence
 d'éventuelles clauses limitatives de responsabilité ainsi que de clauses
 pénales.



--[ 9. Compte-rendu de la JSSI 2017 ]--------------------------------------
    par Alexis d'Ussel

     La JSSI de l'OSSIR s'est tenue le mardi 14 mars 2017 au FIAP. Une journée
 de conférences amorcée par l'invité mystère, Jean-Philippe Gaulier (Orange),
 en revenant sur les fuites d'information majeures de ces dernières années.
 Avec de nombreux quizz à la clef, la journée commence de manière
 ludique, les experts présents auront reconnu Kim Dotcom et Clara Morgane.

     Le RGPD sera mis en application le 25 mai 2018. Dans cette optique, Eric
 Barbry (Bensoussan Avocats) est revenu sur le contenu de ce règlement ainsi
 que sur les risques associés pour les entreprises, notamment les risques
 financiers mais également les risques pénaux ou les risques d'image.
 Cette conférence a également été l'occasion de préciser le rôle du DPO
 et son devoir d'informer, conseiller, coopérer et exercer.

     Guillaume Vassault-Houlière a expliqué le phénomène Bug Bounty en
 rappelant que dans le temps, les chercheurs en sécurité n'avaient pas
 beaucoup de possibilités pour remonter les vulnérabilités. Les
 différents types de bug bounty ainsi que les modes de fonctionnement de
 ces derniers ont ainsi été éclaircis au cours de cette conférence avec
 notamment le principe de gamification des chercheurs en les faisant
 prendre part à un système de classement par points.

     Deux retours d'expérience de réponse à incident et de gestion de crise
 ont été faits au cours de cette journée. Stéphane Py est revenu sur la
 fuite de données de 800.000 abonnés Orange depuis l'espace client grand
 publique. Marc-Frédéric Gomez est quant à lui revenu sur une gestion de
 crise au CERT d'une grande banque. Après être revenus respectivement sur la
 chronologie des événements de ces différents incidents, ils ont dressé
 le bilan (technique, communication, relation fournisseur, organisation, ...)
 de ces interventions en soulignant par exemple qu'il est essentiel
 de capitaliser sur le bilan dressé et en rappelant l'importance d'être
 préparé à ce type d'événement en s'entrainant dans des conditions réelles.

     Enfin trois conférences techniques étaient au programme. Charles Fol est
 revenu sur la vulnérabilité XXE affectant les parseurs XML, il a présenté
 la vulnérabilité et détaillé les différentes possibilités offertes à un
 attaquant qui tenterait d'en exploiter. Il a eu l'occasion d'insister
 sur le fait que XML est très répandu et que les parseurs vulnérables sont
 par conséquent très nombreux. Afin de se prémunir des XXE le meilleur
 moyen reste de désactiver les DTD.

     Jean-Christophe Delaunay a présenté ses travaux sur la DPAPI de
 Microsoft. Il s'agit de l'API cryptographique sous Windows permettant aux
 utilisateurs de stocker des données chiffrées de manière transparente dans
 la mesure ou le secret est basé sur le mot de passe de l'utilisateur en cours.
 Cette conférence a expliqué en détail et techniquement le mode de
 fonctionnement de l'API et ses faiblesses. Jean-Christophe a également eu
 l'occasion de présenter ses travaux au travers d'une démonstration
 réussie ou il déchiffre des informations stockées par la DPAPI avec
 succès. Le code n'est pas publié pour le moment.

     Mahdi Braik a proposé une conférence sur la sécurité des environnements
 Hadoop. La version complète de cette conférence a été faite à la
 Hack.lu. Il a présenté rapidement les environnements Big Data ainsi que
 les principales implémentations d'Hadoop avant de passer à l'aspect
 sécurité. Par défaut ces environnements ne sont pas sécurisés,
 si Kerberos n'est pas activé (contraignant dans un environnement de
 production) le framework effectue de l'identification et non de
 l'authentification. Le chiffrement de données et des communications est
 inexistant par défaut, la surface d'attaque est importante... Mahdi a pu
 illustrer son propos avec une démonstration de plusieurs attaques possibles.

     Les transparents seront publiés sur le site de l'OSSIR :
 http://www.ossir.org


--[ 10. HSC by Deloitte partenaire des GS-DAYS à Paris ]-------------------

     HSC sera présent avec aux GS-DAYS le 28 mars prochain de 8h30 à 18h30
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe avec Adrien Pasquier pour
 prestations et Lynda Benchikh pour les formations sera à votre disposition
 sur notre stand.

 Programme détaillé : http://www.gsdays.fr/a-propos/programme
 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : 9X17dir et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 11. HSC partenaire des Information Security Days à Luxembourg ]--------

     HSC sera présent aux Information Security Days les 28 et 29 mars
 prochains de 8h30 à 18h30 à l'hôtel Alvisse Parc Hôtel.

 Cécile Schauer sera à votre disposition sur notre stand B2.

 Frédéric Connes présentera "RGPD/GDPR: il est (encore) temps d'agir" le
 28 mars de 14h00 à 14h30.

 Inscription obligatoire et gratuite pour les utilisateurs finaux et les RSSI,
 DSI, gestionnaires de risque et assimilés, inscription à 200euros HT pour les
 fournisseurs pour les 2 jours pauses et repas inclus.
 Programme détaillé : http://isdays.itone.lu/
 Inscription : http://isdays.itone.lu/invitations/herve-schauer-consultants/



--[ 12. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        SECU1 Fondamentaux techniques de la SSI     : 20 au 24 mars (#)
        Formation CISSP    .....................    : 27 au 31 mars (#)
        Essentiels de l'ISO27001    ............    : 31 mars
        ISO 27005 Risk Manager    ..............    : 3 au 5 avril (#)
        Gestion des risques avancée    .........    : 6 et 7 avril
        Réaliser un PIA    .....................    : 6 et 7 avril
        Formation RSSI    ......................    : 10 au 14 avril (#)
        Sécurité SCADA    ......................    : 19 au 21 avril (*)
        INTRU1 Tests d'intrusion/sécurité offensive : 24 au 28 avril (*) (#)
        ISO 22301 Lead Auditor    ..............    : 24 au 28 avril (#)
        Essentiels Informatique et Liberté   ...    : 2 mai
        Droit de la sécurité informatique    ...    : 3 au 5 mai
        Homologation de sécurité des systèmes
	    d'information (RGS,LPM,PSSIE,IGI1300)   : 9 mai
        Formation RGPD/GDPR - Anticiper le
	    règlement européen    ..............    : 9 et 10 mai
        Sécurité du Cloud Computing    .........    : 10 au 12 mai (*) (#)
        SECWEB Sécurité des serveurs et applic. web : 15 au 19 mai (*) (#)
        ISO 27001 Lead Implementer    ..........    : 15 au 19 mai (#)
        Préparation au CISA    .................    : 15 au 19 mai (#)
        Sécurité des données de santé et protection
	    de la vie privée 	    ............    : 22 et 23 mai
        PKI : principes et mise en oeuvre    ...    : 22 au 24 mai (*)
        Sécurité des nouveaux usages    ........    : 24 mai
        Privacy Implementer -
	    Exercer la fonction de CIL/DPO    ..    : 29 mai au 2 juin (#)
        Formation CISSP    .....................    : 29 mai au 2 juin (#)
        ISO 27005 Risk Manager    ..............    : 7 au 9 juin (#)
        Gestion des mesures de sécurité / ISO27002  : 12 et 13 juin
        Formation CIL/DPO (anciennement form. CIL)  : 12 au 14 juin (@)
        INFO3 Rétro-ingéniérie logiciels malfaisants: 12 au 16 juin (*) (#)
        Indicateurs & tableaux de bord SSI/ISO27004 : 14 juin
        Gestion des incidents de sécurité/ISO27035  : 15 juin
        Gestion de crise IT/SSI    .............    : 16 juin
        SECDRIS Surveillance, détection et réponse
            aux incidents SSI    ...............    : 19 au 23 juin (*) (#)
        ISO 27001 Lead Auditor    ..............    : 19 au 23 juin (#)
        INFO1 Bases d'une analyse post-mortem       : 26 au 30 juin (*) (#)
        Formation RGPD/GDPR - Anticiper le
	    règlement européen    ..............    : 3 et 4 juillet
        Essentiels techniques de la SSI    .....    : 12 et 13 septembre
        Formation CIL/DPO (anciennement form. CIL)  : 25 au 27 septembre (@)
        Privacy Implementer -
	    Exercer la fonction de CIL/DPO    ..    : 2 au 6 octobre (#)
        Réaliser un PIA    .....................    : 9 et 10 octobre
        Formation RSSI    ......................    : 9 au 13 octobre (#)
        Formation CIL/DPO (anciennement form. CIL)  : 16 au 18 octobre (@)
        DNSSEC    ..............................    : 23 et 24 octobre (*)
        ISO 22301 Lead Implementer    ..........    : 23 au 27 octobre (#)
        Sécurité SCADA    ......................    : 25 au 27 octobre (*)
        Sécurité des données de santé et protection
	    de la vie privée 	    ............    : 30 et 31 octobre
        Sécurité du WiFi    ....................    : 2 et 3 novembre (*)
        Formation RPCA    ......................    : 6 au 10 novembre (#)
        Essentiel de PCI-DSS 3.2   .............    : 7 novembre
        EBIOS Risk Manager    ..................    : 7 au 9 novembre (#)
        Formation RGPD/GDPR - Anticiper le
	    règlement européen    ..............    : 13 et 14 novembre
        INFO2 Inforensique avancée : industrialisez
        les enquêtes sur vos infrastructures        : 13 au 17 novembre (*) (#)
        Formation CIL/DPO (anciennement form. CIL)  : 20 au 22 novembre (@)
        Droit de la sécurité informatique    ...    : 4 au 6 décembre
        Anticiper le règlement européen    .....    : 5 décembre
        SECWIN Sécurisation des infrastruc. Windows : 18 au 22 décembre (*) (#)
        INTRU2 Tests d'intrusion avancés/dvlp exploit:4 au 9 décembre (*) (#)
        SECLIN Expert Sécurité Linux LPI 303   .    : 18 au 22 décembre (*)(#)
        Privacy Implementer -
	    Exercer la fonction de CIL/DPO    ..    : 18 au 22 décembre (#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, HSC, LPI ou ISACA
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        Formation RGPD/GDPR - Anticiper le
	    règlement européen    ..............    : 28 avril
        ISO 27005 Risk Manager    ..............    : 26 au 28 juin (#)
        ISO 27001 Lead Implementer    ..........    : nous consulter (#)
        ISO 22301 Lead Implementer    ..........    : nous consulter (#)
        Formation CISSP    .....................    : nous consulter (#)

 - Marseille
        Formation CIL/DPO    ...................    : 19 au 21 avril (@)

 - Toulouse
        Anticiper le règlement européen    .....    : nous consulter (#)
        ISO 27005 Risk Manager    ..............    : 10 au 12 mai (#)
        ISO 27001 Lead Implementer    ..........    : 16 au 20 octobre (#)
        Formation CIL/DPO    ...................    : 20 au 22 novembre (@)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704 ou le standard +33 141 409 700

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2016 en PDF sur http://www.hsc-formation.fr/



--[ 13. Actualité des associations : Club 27001, OSSIR, Clusif et ISSA ]--

  o Club 27001 (http://www.club-27001.fr/)
     . Conférence annuelle à Paris le mardi 28 mars 2017 voir programme
       paragraphe 5
     . Prochaine réunion à Paris jeudi 18 mai à 14h00
         - Programme en cours de confirmation
         - Points divers
     . Réunion suivante à Paris jeudi 21 septembre à 14h00
     . Prochaine réunion à Lyon le 26 mai à 9h00 chez Ciril
         - Programme en cours de confirmation
         - Points divers
     . Réunion suivante à Lyon le 7 juillet à 9h00 chez Ciril
     . Inscrivez-vous à la liste du club à Lyon
       http://www.club-27001.fr/mailman/listinfo/club-27001-lyon
     . Prochaine réunion à Toulouse le 24 mars à 13h45 chez Cegedim-Activ
         - Point sur l'évolution des normes
         - Suite de la cartographie des risques pad Pierre Forget (Thales)
         - Retour sur l'audit de renouvellement par Pierre Darphin
	   (Cegedim-Activ)
         - Points divers
     . Autres prochaines réunions annoncées sur www.club-27001.fr et dans
       les listes électroniques.
       Inscrivez-vous sur les listes de chaque ville sur www.club-27001.fr
       pour suivre l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 11 avril à 14h
         - Programme en cours de confirmation
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 9 mai à 14h
         - "Générateur de traffic CyberRange" par Grégory Fresnais
	   (CyberTestSystems)
         - Seconde présentation en cours de confirmation
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse mardi 25 avril à 14h à l'Univertié Tls1
         - "Sécurité des infrastructures Active Directory" par Luc Delsalle
	   (Alsid)
         - Seconde présentation en cours de confirmation
     . Réunion suivante à Toulouse le mardi 20 juin à 14h à l'Université Tls1
	 - Programme en cours de confirmation
     . Prochaine réunion à Rennes le jeudi 20 octobre à 14h chez Neo-Soft
         - "Présentation du Bug Bounty et de la plateforme YesWeHack" par
	   Thomas Alix (YesWeHack)
         - "Retour d'expérience d'un 'Bug Hunter'" par @_SaxX_
     . Réunion suivante à Rennes le jeudi 8 décembre 2016 à 14h
         - "Utilisation du renseignement sur la menace au sein de la chaine
	   de cyberdéfense par Yann Le Borgne (ThreatQuotient)
         - "IoT en entreprise et sécurité back to basics" par Bruno Dorsemaine
	   (Orange)

 o Clusif (http://www.clusif.fr/)
     . Assemblée générale annuelle lund 20 mars à 15h00 à la CCI de Paris
     . Prochaine conférence jeudi 20 avril à 16h00 à la CCI place de la
       Bourse sur "Sécurité des Systèmes d'Information Industriels (SCADA)
       en 2017 : incidents, enjeux et parades"
       https://www.clusif.asso.fr/fr/infos/event/

 o ISSA France
     . Prochain afterworks mardi 21 mars
         - Travaux pratiques sur la sécurité des objets connectés
       http://securitytuesday.com/



--[ 14. Le saviez-vous ? La réponse ]-------------------------------------

     Sans guillemets, Windows ne sait pas comment interpréter les chemins qui
 contiennent des espaces.
 Par exemple, si l'exécutable du service est situé à "C:\Program Files\mon
 service\service.exe", et que son chemin est écrit sans guillemets, le système
 va tout d'abord essayer d'exécuter "Program" situé dans "C:\" et supposer que
 le reste de la chaîne (soit "Files\mon service\service.exe") constitue les
 arguments de cet exécutable :

 "C:\Program" Files\mon service\service.exe

 L'exécutable "Program" étant inexistant dans le répertoire "C:\", Windows
 teste la possibilité suivante :

 "C:\Program Files\mon" service\service.exe

 Il n'existe pas non plus d'exécutable "mon" dans le répertoire "C:\Program
 Files\". Windows tente alors la dernière possibilité :

 "C:\Program Files\mon service\service.exe"

 Ce chemin est correct et l'exécutable service.exe est exécuté avec les
 privilèges prédéfinis.

 Par conséquent, si les droits en écriture du dossier "C:\Program Files\" ne
 sont pas restreints, un attaquant peut installer l'exécutable malfaisant "mon"
 qui sera exécuté par le système au démarrage du service. Si ce service est
 configuré pour fonctionner avec des privilèges supérieurs à ceux de
 l'attaquant, cette exploitation peut permettre à ce dernier d'élever ses
 privilèges.

 Cette vulnérabilité, dénommée "unquoted service path vulnerability" est
 commune, très simple à exploiter, et effective. Il convient donc de s'en
 protéger de la façon suivante :
     - Utiliser des guillemets pour les chemins vers les exécutables ;
     - Restreindre au maximum les droits sur les dossiers du système ;
     - Restreindre au maximum les privilèges avec lesquels sont exécutés les
       services.



Plus d'informations sur la liste de diffusion newsletter