août, 2011

Mobilité, Consumérisation des équipements (PDAs et Tablettes), réseaux sociaux :

Nouveaux dangers, nouvelles politiques de sécurité et évolution des protections

Intervention de Vincent Hinderer, Expert Sécurité du cabinet Lexsi

Nouvelles technologies, nouvelles habitudes : nouveaux dangers ? Panorama des nouvelles vulnérabilités et risques

Télécharger les slides : présentation de Vincent Hinderer

Intervention de Michel Lanaspèze, marketing & communication Manager, Sophos Western Europe

Mobilité, consumérisation, réseaux sociaux : Impact sur l’évolution des solutions

Télécharger les slides : présentation de Michel Lanaspèze

Intervention de Chadi HANTOUCHE, expert sécurité chez Solucom

Quelles modifications des politiques et protections doit-on envisager ?

Télécharger les slides : présentation de Chadi HANTOUCHE

Maîtres Garance Mathias et Firas Mamoun, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : mobilité et consumérisation des équipements, web 2.0 … Quelles responsabilités pour l’entreprise ?

Edouard Jeanson, Directeur du Centre de recherche et sécurité Sogeti

Retour Expérience Terrain

Panel sur les nouveaux dangers et solutions du SI moderne

Eric Caprioli, avocat pour les aspects légaux, Louis Jouanny, PDG Endeavor, présentation d’une vision du marché et du business effectif en entreprise notamment avec les Tablettes, initiateur de TiE, Monsieur Christophe Monget, Responsable des processus, Service Assistance et Conseil à l’ANSSI, Philippe CONCHONNET, Orange Business Services qui expliquera comment rester sécuriser dans un tel contexte, Chadi HANTOUCHE, expert sécurité chez Solucom. Animé par Bertrand Garé, Analyste

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Vulnérabilités aujourd’hui et demain :

Panorama des menaces & Solutions

Intervention de David Bizeul, CERT SG

Ouverture sur un panorama des menaces actuelles et futures

Télécharger les slides : présentation de David Bizeul, CERT SG

Intervention de JM Doan, expert du Cert LEXSI

Stuxnet, Découverte d’un programme malveillant hors norme

Télécharger les slides : présentation de JM Doan

Intervention de Nicolas Ruff, chercheur à EADS, membre de l’OSSIR, du Forum Atena et de l’ARCSI

Les APT, nouvelles menaces ? Quelle dangerosité ? Le rapport avec le cyber-espionnage

Télécharger les slides : présentation de Nicolas Ruff

Maîtres Garance Mathias et Olivier Itéanu

Minute Juridique : deux avocats débattent et répondent aux questions de l’assemblée sur les obligations de l’entreprise en termes de protection du SI, Cloud et Sécurité

Intervention de Philippe Langlois, CEO de P1 Security

Retour expertise terrain : lutter contre les vulnérabilités, réalité au quotidien

Télécharger les slides : présentation de Philippe Langlois

Panel sur les vulnérabilités d’aujourd’hui et de demain, menaces et solutions

Eric Caprioli, avocat, Edouard Jeanson, Directeur du centre de compétences sécurité Sogeti pour la réalité terrain, Hervé Schauer, HSC Consulting, Philippe Langlois, CEO de P1 Security. Animé par Solange Belkhayat-Fuchs, CNIS Mag

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Conformité, réglementation et normalisation :

Quelles obligations pour l’entreprise ? Combien ça coûte ?

Intervention de Pascal Lointier, Président du Clusif

Conformité : quelle convergence avec la sécurité et la continuité d’activité ?

Télécharger les slides : présentation de Pascal Lointier

Intervention de Bernard Montel, Directeur Tchnique RSA

Solutions pour une gouvernance efficace

Télécharger les slides : présentation Bernard Montel

Intervention de Hervé Schauer, fondateur de Hervé Schauer Consultants, fondateur du Club 27001, et participant à la normalisation en sécurité depuis 1991

La conformité et sa dérive par rapport à la gestion des risques

Télécharger les slides : présentation de Hervé Schauer

Intervention de Luc Delpha, Provadys

Combien ça coûte ? Des coûts cachés ? Est-ce abordable par tout le monde ?

Télécharger les slides : présentation de Luc Delpha

Intervention de Vincent DI GIAMBATTISTA, Responsable Sécurité des Systèmes d’Information, ST€T

Reportage cas client d’une entreprise, interview du DSI qui détaille son passage à PCI DSS, pourquoi, comment, combien de temps, pour quel ROI …

Télécharger les slides : présentation de Vincent DI GIAMBATTISTA

Panel sur conformité et normes, pour qui, pour quoi, à quel prix

Olivier Itéanu, avocat, déterminera les risques légaux pour une entreprise de ne pas être conforme, (2) Gérome Billois, Solucom, consultant expert terrain, (3) Vincent DI GIAMBATTISTA, Responsable Sécurité des Systèmes d’Information, ST€T, (4) Laurent Treillard, auditeur sécurité SI, (5) Luc Delpha, Provadys… Animé par Solange Belkhayat-Fuchs

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Mobilité, Consumérisation des équipements (PDAs et Tablettes), réseaux sociaux :

Nouveaux dangers, nouvelles politiques de sécurité et évolution des protections

Intervention de Vincent Hinderer, Expert Sécurité du cabinet Lexsi

Nouvelles technologies, nouvelles habitudes : nouveaux dangers ? Panorama des nouvelles vulnérabilités et risques

Télécharger les slides : présentation de Vincent Hinderer

Intervention de Michel Lanaspèze, marketing & communication Manager, Sophos Western Europe

Mobilité, consumérisation, réseaux sociaux : Impact sur l’évolution des solutions

Télécharger les slides : présentation de Michel Lanaspèze

Intervention de Chadi HANTOUCHE, expert sécurité chez Solucom

Quelles modifications des politiques et protections doit-on envisager ?

Télécharger les slides : présentation de Chadi HANTOUCHE

Maîtres Garance Mathias et Firas Mamoun, deux avocats débattent et répondent aux questions des entreprises

Minute Juridique : mobilité et consumérisation des équipements, web 2.0 … Quelles responsabilités pour l’entreprise ?

Panel sur les nouveaux dangers et solutions du SI moderne

Eric Caprioli, avocat pour les aspects légaux, Louis Jouanny, PDG Endeavor, présentation d’une vision du marché et du business effectif en entreprise notamment avec les Tablettes, initiateur de TiE, Monsieur Christophe Monget, Responsable des processus, Service Assistance et Conseil à l’ANSSI, Philippe CONCHONNET, Orange Business Services qui expliquera comment rester sécuriser dans un tel contexte, Chadi HANTOUCHE, expert sécurité chez Solucom. Animé par Bertrand Garé, Analyste

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Vulnérabilités aujourd’hui et demain :

Panorama des menaces & Solutions

Intervention de David Bizeul, CERT SG

Ouverture sur un panorama des menaces actuelles et futures

Télécharger les slides : présentation de David Bizeul, CERT SG

Intervention de JM Doan, expert du Cert LEXSI

Stuxnet, Découverte d’un programme malveillant hors norme

Télécharger les slides : présentation de JM Doan

Intervention de Nicolas Ruff, chercheur à EADS, membre de l’OSSIR, du Forum Atena et de l’ARCSI

Les APT, nouvelles menaces ? Quelle dangerosité ? Le rapport avec le cyber-espionnage

Télécharger les slides : présentation de Nicolas Ruff

Maîtres Garance Mathias et Olivier Itéanu

Minute Juridique : deux avocats débattent et répondent aux questions de l’assemblée sur les obligations de l’entreprise en termes de protection du SI, Cloud et Sécurité

Intervention de Philippe Langlois, CEO de P1 Security

Retour expertise terrain : lutter contre les vulnérabilités, réalité au quotidien

Télécharger les slides : présentation de Philippe Langlois

Panel sur les vulnérabilités d’aujourd’hui et de demain, menaces et solutions

Eric Caprioli, avocat, Edouard Jeanson, Directeur du centre de compétences sécurité Sogeti pour la réalité terrain, Hervé Schauer, HSC Consulting, Philippe Langlois, CEO de P1 Security. Animé par Solange Belkhayat-Fuchs, CNIS Mag

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Conformité, réglementation et normalisation :

Quelles obligations pour l’entreprise ? Combien ça coûte ?

Intervention de Pascal Lointier, Président du Clusif

Conformité : quelle convergence avec la sécurité et la continuité d’activité ?

Télécharger les slides : présentation de Pascal Lointier

Intervention de Bernard Montel, Directeur Tchnique RSA

Solutions pour une gouvernance efficace

Télécharger les slides : présentation Bernard Montel

Intervention de Hervé Schauer, fondateur de Hervé Schauer Consultants, fondateur du Club 27001, et participant à la normalisation en sécurité depuis 1991

La conformité et sa dérive par rapport à la gestion des risques

Télécharger les slides : présentation de Hervé Schauer

Intervention de Luc Delpha, Provadys

Combien ça coûte ? Des coûts cachés ? Est-ce abordable par tout le monde ?

Télécharger les slides : présentation de Luc Delpha

Intervention de Vincent DI GIAMBATTISTA, Responsable Sécurité des Systèmes d’Information, ST€T

Reportage cas client d’une entreprise, interview du DSI qui détaille son passage à PCI DSS, pourquoi, comment, combien de temps, pour quel ROI …

Télécharger les slides : présentation de Vincent DI GIAMBATTISTA

Panel sur conformité et normes, pour qui, pour quoi, à quel prix

Olivier Itéanu, avocat, déterminera les risques légaux pour une entreprise de ne pas être conforme, (2) Gérome Billois, Solucom, consultant expert terrain, (3) Vincent DI GIAMBATTISTA, Responsable Sécurité des Systèmes d’Information, ST€T, (4) Laurent Treillard, auditeur sécurité SI, (5) Luc Delpha, Provadys… Animé par Solange Belkhayat-Fuchs

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT … 

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Encore une joute à fleurets démouchetés entre experts, qui oppose cette fois Eugène Kaspersky, patron de la société d’édition d’antivirus du même métal, et le Docteur Phyllis Schneck, sur le blog de l’Avert (McAfee, un autre éditeur d’antivirus pas Russe celui-là). La pointe d’un fleuret n’est pas pointue, mais elle peut faire très mal quand même. Rappelons-nous.

Début août, McAfee publie une « révélation » : Les Chinois nous attaquent avec Shaddy Rat, le botnet spécialisé dans le vol d’information. Shaddy Rat, explique le rapport, c’est de l’APT en barre, de l’espionniciel industriel et économique de haut niveau technologique. Lesdits Chinois protestent de façon véhémente par le biais d’un grand quotidien national, tandis que, moins sensationnaliste mais plus technique, l’équipe Secureworks et celle du Cert-Lexsi laissent clairement entendre que, Chinois ou pas, Htran, une composante de Shaddy Rat est bel et bien un outil de vol massif d’informations sacrément efficace et retord.

C’est là qu’Eugène Kasperky entre en scène, et déclare que l’APT n’est pas si « advanced » que çà, et qu’une bonne protection périmétrique associée à une politique de sécurité intelligente peut fort bien tenir tête à une telle attaque. En outre, voir derrière telle ou telle écriture d’exploit la main gauche d’un Etat est une affirmation plutôt hasardeuse. Deux évidences, deux portes ouvertes enfoncées qui ont souvent fait la manchette des journaux. Particulièrement depuis que les attaques des Anonymous et confrères ont montré à quel point les S.I. de grandes entreprises ou des services d’Etats étaient parfois si poreux. Particulièrement aussi depuis la vague de psychose de cyberguerre aux lendemains des attaques contre l’Estonie, la Géorgie ou plus récemment lors de la supposée cyber-blitzkrieg contre les centrales nucléaires Iraniennes. Autant d’assauts pour lesquels il est difficile de désigner une origine formelle…donc officielle. Quand au côté hautement technique, Stuxnet lui-même, dans un premier temps, avait été présenté comme l’archétype de l’attaque sophistiquée, truffée de ZDE de la plus haute volée. Une estimation très vite revue à la baisse par les principaux spécialistes.

Le tout dernier rebondissement de l’affaire Shaddy Rat tient dans les quelques lignes de réponse faite à Eugène Kaspersky par Phyllis Schneck. Réponse contenant peu ou pas d’arguments techniques, mais qui nous donne l’occasion de découvrir un sigle nouveau : SPT, pour Successful Persistent Threat, autrement dit une APT encore plus APT puisqu’elle est parvenue à ses fins. Alors peu importe que Monsieur Kaspersky ergote sur la sophistication ou non de Shaddy Rat. Parce que le propre des experts sécurité, ce n’est pas seulement d’inventer des scénarii d’attaques rocambolesques. C’est aussi de pouvoir maîtriser l’art difficile de savoir, avec un aplomb remarquable, inventer des néologismes et des expressions capables de nous faire trembler et palpiter.

NdlC, Note de la Correctrice : L’auteur avait initialement achevé son titre par « coucou » …

Bon, parfois, il lui arrive, au gourou, de rédiger des choses qui frisent le « pas trop mûrement réfléchi ». A tout hasard, l’un des derniers « Advisories » de l’US-Cert qui revient sur les principaux défauts que l’on aurait dénombrés sur les automates programmables Siemens de la série Simatic (les points d’entrée de l’attaque Stuxnet). Une analyse qui subit un bombardement en règle de la part du Cert-ICS, lequel explique en quoi le bulletin du Cert-US est inapproprié, que ses erreurs d’interprétation peuvent conduire les lecteurs à commettre d’autres erreurs en voulant apporter des corrections… querelle d’experts qui ne risque pas de réconcilier les usagers avec le langage technoïde de bien des Cert. Cette querelle et cette littérature débordante de menaces potentielles apprendront au moins au lecteur quelques petites choses sur ce qu’est ISO-Tsap, couche de transport des réseaux dans le domaine de l’automatisation et du contrôle de processus (en plus court : TCP, mais rebaptisé par l’ISO peut-être pour faire oublier OSI). Rappelons qu’avant de se plonger dans les arcanes des protocoles, l’impétrant terroriste qui souhaitera rendre fou un processus industriel aura plutôt intérêt à se plonger dans des méthodes de transmission plus simples et pas toujours encapsulées. V24 par exemple, ou HPIB (et successeurs).

Des décennies durant, le monde de l’automatisme industriel a vécu, protégé par un environnement matériel totalement propriétaire. Ce qui n’a pas franchement incité ses fournisseurs à pratiquer régulièrement des audits de sécurité autres que les traditionnelles « évaluations internes » difficilement objectives. Il y a fort à parier que les défauts d’intégration (d’implémentation disent les spécialistes) constatés au niveau bas des protocoles de communication ne soient que le petit bout de ficelle qui sort d’une pelote de bugs. Problèmes d’autant plus lourds de conséquences que l’arrivée d’ordinateurs « standards », dotés de noyaux tout aussi « standards », a poussé pratiquement tous les équipementiers à rédiger dans l’urgence des passerelles protocolaires d’interopérabilité. Le PC et Windows ? « One to rule them all ». L’ennui, c’est que certains de ces processus industriels sont de classe Seveso.

America’s got Telnet. Un cri de désespoir poussé sur le blog du Sans. A lire, en rire… ou en pleurer.

Jurackerfest … ça commence. Le programme est rappelé sur le site de Bruno Kerouanton. La présence de certains « demo makers » est confirmée… les nostalgiques du C64 apprécieront.