août 26th, 2011

Conformité, réglementation et normalisation :

Quelles obligations pour l’entreprise ? Combien ça coûte ?

Intervention de Pascal Lointier, Président du Clusif

Conformité : quelle convergence avec la sécurité et la continuité d’activité ?

Télécharger les slides : présentation de Pascal Lointier

Intervention de Bernard Montel, Directeur Tchnique RSA

Solutions pour une gouvernance efficace

Télécharger les slides : présentation Bernard Montel

Intervention de Hervé Schauer, fondateur de Hervé Schauer Consultants, fondateur du Club 27001, et participant à la normalisation en sécurité depuis 1991

La conformité et sa dérive par rapport à la gestion des risques

Télécharger les slides : présentation de Hervé Schauer

Intervention de Luc Delpha, Provadys

Combien ça coûte ? Des coûts cachés ? Est-ce abordable par tout le monde ?

Télécharger les slides : présentation de Luc Delpha

Intervention de Vincent DI GIAMBATTISTA, Responsable Sécurité des Systèmes d’Information, ST€T

Reportage cas client d’une entreprise, interview du DSI qui détaille son passage à PCI DSS, pourquoi, comment, combien de temps, pour quel ROI …

Télécharger les slides : présentation de Vincent DI GIAMBATTISTA

Panel sur conformité et normes, pour qui, pour quoi, à quel prix

Olivier Itéanu, avocat, déterminera les risques légaux pour une entreprise de ne pas être conforme, (2) Gérome Billois, Solucom, consultant expert terrain, (3) Vincent DI GIAMBATTISTA, Responsable Sécurité des Systèmes d’Information, ST€T, (4) Laurent Treillard, auditeur sécurité SI, (5) Luc Delpha, Provadys… Animé par Solange Belkhayat-Fuchs

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT … 

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Encore une joute à fleurets démouchetés entre experts, qui oppose cette fois Eugène Kaspersky, patron de la société d’édition d’antivirus du même métal, et le Docteur Phyllis Schneck, sur le blog de l’Avert (McAfee, un autre éditeur d’antivirus pas Russe celui-là). La pointe d’un fleuret n’est pas pointue, mais elle peut faire très mal quand même. Rappelons-nous.

Début août, McAfee publie une « révélation » : Les Chinois nous attaquent avec Shaddy Rat, le botnet spécialisé dans le vol d’information. Shaddy Rat, explique le rapport, c’est de l’APT en barre, de l’espionniciel industriel et économique de haut niveau technologique. Lesdits Chinois protestent de façon véhémente par le biais d’un grand quotidien national, tandis que, moins sensationnaliste mais plus technique, l’équipe Secureworks et celle du Cert-Lexsi laissent clairement entendre que, Chinois ou pas, Htran, une composante de Shaddy Rat est bel et bien un outil de vol massif d’informations sacrément efficace et retord.

C’est là qu’Eugène Kasperky entre en scène, et déclare que l’APT n’est pas si « advanced » que çà, et qu’une bonne protection périmétrique associée à une politique de sécurité intelligente peut fort bien tenir tête à une telle attaque. En outre, voir derrière telle ou telle écriture d’exploit la main gauche d’un Etat est une affirmation plutôt hasardeuse. Deux évidences, deux portes ouvertes enfoncées qui ont souvent fait la manchette des journaux. Particulièrement depuis que les attaques des Anonymous et confrères ont montré à quel point les S.I. de grandes entreprises ou des services d’Etats étaient parfois si poreux. Particulièrement aussi depuis la vague de psychose de cyberguerre aux lendemains des attaques contre l’Estonie, la Géorgie ou plus récemment lors de la supposée cyber-blitzkrieg contre les centrales nucléaires Iraniennes. Autant d’assauts pour lesquels il est difficile de désigner une origine formelle…donc officielle. Quand au côté hautement technique, Stuxnet lui-même, dans un premier temps, avait été présenté comme l’archétype de l’attaque sophistiquée, truffée de ZDE de la plus haute volée. Une estimation très vite revue à la baisse par les principaux spécialistes.

Le tout dernier rebondissement de l’affaire Shaddy Rat tient dans les quelques lignes de réponse faite à Eugène Kaspersky par Phyllis Schneck. Réponse contenant peu ou pas d’arguments techniques, mais qui nous donne l’occasion de découvrir un sigle nouveau : SPT, pour Successful Persistent Threat, autrement dit une APT encore plus APT puisqu’elle est parvenue à ses fins. Alors peu importe que Monsieur Kaspersky ergote sur la sophistication ou non de Shaddy Rat. Parce que le propre des experts sécurité, ce n’est pas seulement d’inventer des scénarii d’attaques rocambolesques. C’est aussi de pouvoir maîtriser l’art difficile de savoir, avec un aplomb remarquable, inventer des néologismes et des expressions capables de nous faire trembler et palpiter.

NdlC, Note de la Correctrice : L’auteur avait initialement achevé son titre par « coucou » …