septembre, 2017

Assises de la SĂ©curitĂ© 2017 : Alsid, Grand Prix de l’innovation

Posté on 29 Sep 2017 at 5:06

ALSID est une jeune pousse Ă  la française crĂ©Ă©e par Luc Delsalle et Emmanuel Gras, ingĂ©nieurs de formation et tous deux, anciens de l’ANSSI (Agence Nationale de la SĂ©curitĂ© du SystĂšme d’Information). C’est Ă  cette Ă©poque, ils travaillent ensemble au sein de la mĂȘme Ă©quipe et ce, pendant 6 ou 7 ans. « Etant au centre opĂ©rationnel, nous sommes intervenus sur un certain nombre de crises cyberdĂ©fense du type Wannacry, Petya .. auprĂšs des entreprises » nous explique Emmanuel Gras. Leurs objectifs sont d’aider les grandes entreprises Ă  reprendre le contrĂŽle de leur systĂšme d’information et Ă  reconstruire quelque chose de solide pour pouvoir reprendre et continuer leurs activitĂ©s. « Avec quelques annĂ©es de recul, en travaillant sur des cas du mĂȘme type, on se rend compte que, dans tous les problĂšmes dont nous avons Ă©tĂ© tĂ©moins, il se dĂ©roule toujours le mĂȘme scĂ©nario. Lequel est somme toute assez simple : tous les groupes d’attaquants qui ciblent un grand rĂ©seau d’entreprise procĂšdent en deux Ă©tapes. La premiĂšre consiste Ă  pĂ©nĂ©trer dans le rĂ©seau interne. Dans ce cas, la mĂ©thode utilisĂ©e est des plus classiques : l’envoie de mail piĂ©gĂ©, la clĂ© USB qui traĂźne sur le sol du parking… L’attaquant casse ainsi les dĂ©fenses pĂ©rimĂ©triques. A ce stade, il est difficile et compliquĂ© d’empĂȘcher l’attaque car les entreprises sont aujourd’hui hyper connectĂ©es. Sans oublier le fait qu’elles travaillent la plupart du temps avec de nombreux prestataires externes. Arrive alors la seconde Ă©tape qui ne dĂ©bute qu’une fois l’intrus Ă  l’intĂ©rieur du S.I.. LĂ , ce dernier cherche tout particuliĂšrement les donnĂ©es sensibles telles que propriĂ©tĂ©s intellectuelles, mails du PDG, documents du service comptabilitĂ© 
 Ici encore, on retrouve toujours le mĂȘme schĂ©ma avec notamment un passage obligĂ© vers l’infrastructure d’annuaire, la plupart du temps l’Active Directory de Microsoft. Et c’est ce systĂšme que l’attaquant cherche Ă  compromettre avant d’aller plus loin.»

SpĂ©cialisĂ©s sur ces technologies, vĂ©ritable passage obligĂ© lors d’attaques sur les entreprises, les deux ingĂ©nieurs s’attĂšlent Ă  trouver une solution Ă  ce problĂšme d’infrastructures d’annuaires. Le sujet est d’ailleurs bien connu au sein de l’ANSSI, et les publications, guides, « white papers », outils gratuits d’aide Ă  la configuration ne manquent pas 
 mais cela ne suffit pas. C’est donc dans ce contexte et Ă  partir de ce constat que la sociĂ©tĂ© Alsid a Ă©tĂ© crĂ©Ă©e, il y a de cela un peu plus d’un an, en juin 2016 pour traiter un problĂšme rĂ©current. Le lancement officiel a Ă©tĂ© dĂ©but 2017 accompagnĂ© d’une couverture mĂ©diatique Ă  l’occasion de plusieurs salons.

Alsid est donc composĂ©e d’experts en cyber sĂ©curitĂ© dotĂ©s d’une trĂšs bonne connaissance terrain sur les infrastructures d’annuaires. La recherche et le dĂ©veloppement sont au centre de leurs activitĂ©s, ce que prouvent de nombreuses publications sur le sujet depuis quelques annĂ©es. La solution qu’ils ont imaginĂ© devait ĂȘtre la plus simple possible en termes de dĂ©ploiement, littĂ©ralement du type « plug & play », en partant du principe que l’utilisateur n’ait nul besoin d’ĂȘtre un expert en annuaire.

Le produit propose un ensemble de tableaux de bord et d’indicateurs faciles Ă  apprĂ©hender visuellement. Le RSSI, DSI ou la personne en charge de la sĂ©curitĂ© au sein de l’entreprise a d’emblĂ©e, au travers de ces informations, une connaissance de son niveau de sĂ©curitĂ© et des actions qui sont Ă  mener pour l’augmenter ou le maintenir. L’utilisateur du produit peut Ă©galement effectuer le suivi dans le temps de l’avancĂ©e des actions menĂ©es. Finie l’époque oĂč il fallait avaler des rapports Ă©pais comme des annuaires pour avoir une idĂ©e du niveau de sĂ©curitĂ© ou dĂ©cider des tĂąches Ă  lancer pour sĂ©curiser le systĂšme. DorĂ©navant, il suffit au travers de l’interface visuelle de prioriser les actions Ă  mener et les planifier suite aux informations fournies sur le niveau de protection du systĂšme.

Et pour les plus curieux de nos lecteurs, nous avons demandĂ© aux auteurs de cette plateforme de nous en dĂ©voiler un peu plus sur le « backstage » afin de mieux comprendre la magie d’une plateforme qui fournit en bout de course Ă  son utilisateur une vision globale de son niveau de sĂ©curitĂ© et lui permet rapidement d’entĂ©riner le plan et les actions Ă  rĂ©aliser pour en Ă©lever le niveau de sĂ©curitĂ© si nĂ©cessaire et le maintenir dans le temps.

Tout d’abord, il est nĂ©cessaire de bĂ©nĂ©ficier d’un compte utilisateur, sans privilĂšge particulier, sur le systĂšme Ă  superviser. C’est lĂ  un point important car le privilĂšge attire indĂ©niablement l’attaquant qui les cherche spĂ©cifiquement pour mieux attaquer le systĂšme cible. Un outil qui n’exige pas de droits extraordinaires permet d’établir une relation de confiance avec le client par le respect des bonnes pratiques.

Le compte une fois activĂ©, le travail dĂ©bute par l’extraction des informations nĂ©cessaires, autrement dit les donnĂ©es techniques de configuration : les suites cryptographiques (les protocoles de sĂ©curitĂ© utilisĂ©s comme kerberos 
), la liste des privilĂšges, les relations entre objets et groupes techniques 
 Vient ensuite l’analyse, soit la vĂ©rification de l’utilisation qui est faite de ces configurations et de leur conformitĂ© par rapport aux recommandations. DĂ©bute alors une phase de calcul, de corrĂ©lation, de mise en base de donnĂ©es qui permettra d’extraire les donnĂ©es pertinentes : les indicateurs pertinents pour les utilisateurs du produit qui permettent d’avoir une vue instantanĂ©e de son niveau de sĂ©curitĂ© en se basant sur des critĂšres et en y insĂ©rant diffĂ©rents niveaux de criticitĂ© notamment sur les erreurs de configurations.
On obtient avec toutes ces informations aussi des vues temporelles qui permettent d’observer les variations du niveau de sĂ©curitĂ© ce qui indique une tendance (va vers l’amĂ©lioration du niveau de sĂ©curitĂ© ou la dĂ©gradation dans le temps) et en fait d’ailleurs une des spĂ©cificitĂ©s de ce produit.

A partir des tableaux de bord, le produit indique non seulement les points noirs, mais donne Ă©galement des indications sur la façon d’élever rapidement le niveau gĂ©nĂ©ral de sĂ©curitĂ© Ă  moindre frais. « Un des constats qu’on a fait en discutant avec des RSSI, c’est que la plupart du temps ils savent qu’il y a beaucoup de choses Ă  faire, ils savent qu’ils doivent amĂ©liorer leur niveau de sĂ©curitĂ© mais ils ne savent pas par quel bout attaquer le problĂšme. Notre rĂŽle est de leur fournir le Top 5 ou le Top 10 des actions Ă  conduire en prioritĂ© qui permettront de d’augmenter rapidement le niveau de sĂ©curitĂ© tout en dĂ©calant les derniers raffinements Ă  plus tard. On leur donne une hiĂ©rarchisation des tĂąches Ă  mener pour avoir une utilisation la plus rentable possible d’un point de vue du RSSI. »

On souscrit Ă  ce produit via un abonnement annuel. Les attaques de sĂ©curitĂ© progressent dans le temps et depuis le dĂ©but de l’annĂ©e, 3 nouvelles attaques sur l’AD ont vu le jour jusque juin 2017. Il faut donc suivre les Ă©volutions pour ĂȘtre capables de proposer des mesures de dĂ©tection et de remĂ©diation et donc pouvoir implĂ©menter des contre-mesures. Chaque entreprise Ă  son web dĂ©diĂ©, uniquement visible que depuis le systĂšme d’information de cette derniĂšre et il est naturellement possible d’interconnecter ce systĂšme et de consolider ses alertes avec les SIEM, SOC ou autres systĂšmes de sĂ©curitĂ© de l’entreprise.

Le produit peut discuter avec d’autres types d’annuaires via des APIs et donc ce produit s’applique Ă  tous les annuaires du marchĂ© (AD, LDAP, kerbero 
). La mĂ©thode est particuliĂšrement adaptĂ©e au mode de fonctionnement des AD ce qui correspond aujourd’hui Ă  l’écrasante majoritĂ© du marchĂ© et qui explique la mise en avant de cette plateforme.

Yogosha lùve 1,2 million d’Euros

Posté on 14 Sep 2017 at 8:19

Yogosha, l’un des spĂ©cialistes Français du Bug Bounty, vient de rĂ©aliser une levĂ©e de fond de 1,2 million d’Euros auprĂšs d’Axeleo, Starquest Capital et ZTP. LancĂ©e il y a deux ans par Yassir Kazar, consultant chez CGI dans une vie antĂ©rieure, et Fabrice Epelboin, ancien confrĂšre de Reflets.info, cette entreprise suit la « mode Française » pour conduire une campagne de pentesting externalisĂ©e et rĂ©tribuĂ©e Ă  la criticitĂ© de la faille dĂ©couverte : choix des partenaires-testeurs, confidentialitĂ© des campagnes
 un travail Ă  mi-chemin entre les grandes chasses Ă  la faille publiques sauce USA et le pentest ciblĂ©, travail Ă  façon facturĂ© Ă  l’heure, limitĂ© dans le temps et dans l’espace.

Citons également sur ce marché les précurseurs du genre YesWeHack/BountyFactory (enfant de Guillaume Vassault-HouliÚre et du blogueur Korben), ou BugbountyZone.

Cette levĂ©e de fond dĂ©note l’intĂ©rĂȘt certain des milieux financiers pour cette nouvelle forme de « mise en conformitĂ© sĂ©curitaire », Ă  la veille de la mise en application de la RĂšglementation EuropĂ©enne GĂ©nĂ©rale sur la Protection des DonnĂ©es.

Google fait la guerre Ă  http

Posté on 14 Sep 2017 at 7:32

Jusqu’à prĂ©sent simplement signalĂ©s par une mention « not secure » dans la barre de lien, les sites web « non https » affichĂ©s avec le navigateur Google Chrome auront un message d’alerte inscrit directement sur la page Ă  partir du 1er octobre de cette annĂ©e.

Comme la sĂ©curitĂ© par l’autoritarisme fonctionne rarement, il y a fort Ă  parier que bon nombre d’internautes refuseront d’installer la version de Chrome 62 et conserveront leur ancienne « 56 »  ou changeront de navigateur.

Si le protocole SSL amĂ©liore sensiblement la protection des Ă©changes de donnĂ©es, notamment dans le cadre des applications d’e-commerce, aucun « https », cadenas ou barre d’url verdĂątre n’a constituĂ© une certitude d’inviolabilitĂ©, ou l’assurance d’un meilleur fonctionnement, particuliĂšrement dans le cadre d’un rĂ©seau interne …

Gros patch non-fumeux

Posté on 14 Sep 2017 at 6:57

81 trous, pas un de moins. 38 d’entre eux concernent directement Windows, 27 sont classĂ©s « critiques », 39 entre dans la catĂ©gorie des « remote code »  le correctif Microsoft d’aoĂ»t est un poids lourd. Un de ceux qui renouent avec la tradition (CVE-2017-0161, vulnĂ©rabilitĂ© RCE dans NetBIOS, CVE-2017-8686 vulnĂ©rabilitĂ© DHCP) mais surtout qui colmate un zero day dans .Net (CVE-2017-8686). A ceci s’ajoute une faille « mĂ©diatique », celle qui Ă©limine BlueBorne alias CVE-2017-8628, la tout premiĂšre faille bluetooth publiĂ©e avec son propre logo (c’est probablement l’aspect le plus terrorisant de cette vulnĂ©rabilitĂ©). A voir au cinĂ©ma le plus proche.

Adobe,pour sa part, publie deux rustines Flash estampillées « critique ».

Les rĂ©seaux neuronaux : let’s talk about sex tonite


Posté on 14 Sep 2017 at 6:43

BĂ©ni par les instances universitaires de la trĂšs sĂ©rieuse universitĂ© de Stanford, un groupe de chercheurs en sciences humaines semble penser que les rĂ©seaux neuronaux de nouvelle gĂ©nĂ©ration sont plus compĂ©tents que les ĂȘtres humains pour dĂ©tecter les orientations sexuelles Ă  partir de l’image d’un visage. Avec 81% de certitude pour les hommes, 71% pour les femmes assurent les chercheurs, un tel moteur d’analyse dĂ©terminerait l’homo ou hĂ©tĂ©rosexualitĂ© d’une personne. Les levĂ©es de boucliers et protestations indignĂ©es dans les milieux scientifiques ne se comptent plus : que l’étude soit un « fake » ou le fruit d’un travail rĂ©el, que ses motivations soient d’ordre moral (pour sensibiliser la population arguent les « pro-Ă©tude ») ou purement Ă©gotiste, l’existence mĂȘme de ce mĂ©moire est considĂ©rĂ©e comme scabreuse.

Est-il nĂ©cessaire d’évoquer tant les questions Ă©thiques qu’émotionnelles que soulĂšvent de tels travaux ? Ils font ressurgir les dĂ©rives racistes de l’eugĂ©nisme de l’Allemagne Nazi bien avant le dĂ©but de la seconde guerre mondiale. Ils rappellent Ă©galement que chaque nation ne traite pas de la mĂȘme maniĂšre la « sanctification scientifique » et les applications liĂ©es Ă  de telles Ă©tudes. ParticuliĂšrement Outre Atlantique, dans un pays ayant Ă  peine abrogĂ© les lois sĂ©grĂ©gationnistes et dont plusieurs personnages politiques, membres du Tea Party en tĂȘte mais Ă©galement pas mal de RĂ©publicains, considĂšrent encore l’homosexualitĂ© comme une perversion, une dĂ©viance ou un « choix personnel ». A tel point que mĂȘme l’équipe au pouvoir tente d’imposer une politique eugĂ©niste en envisageant de bannir de l’armĂ©e les personnes transgenre(in Le Monde). Or, avant de bannir, il faut bien commencer par « ficher », et pour « ficher », faut prĂ©alablement « dĂ©tecter ».

D’un point de vue « InfoSec » ce genre de publication soulĂšve une toute autre question : existe-t-il un quelconque contrĂŽle sur ce genre d’algorithmes et sur leur intĂ©gration dans les usines Big Data des GAFA et de leurs semblables ? Ce qui est inadmissible en deçà des frontiĂšres EuropĂ©ennes ne peut pas toujours ĂȘtre interdit au-delĂ .

Nouvelles Menaces & RGPD imminent : Nouvelles Technologies Ă  la rescousse (ML, IA, SdS, SaaS …), Mode d’emploi, Conseils & Solutions

Posté on 12 Sep 2017 at 12:36
3 octobre 2017, RV à l’Intercontinental Paris Avenue Marceau

 

 

 Entreprise Numérique & Cybersécurité : 

Nouvelles Menaces et RGPD imminent,

Nouvelles Technologies Ă  la rescousse

(Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … )

Mode d’emploi, Conseils & Solutions

 

 

Cliquer ici pour : S’inscrire en ligne Ă  la matinĂ©e SĂ©curitĂ©

 

Pas un seul jour ne passe sans une nouvelle attaque, qu’elle soit massive ou ciblĂ©e, Ă  l’aide de toutes sortes de malwares (ransomware, cryptoware …). L’entreprise doit constamment s’adapter aux toutes derniĂšres menaces alors que parallĂšlement l’heure du RGPD a sonnĂ©.

Comment faire pour que les entreprises numériques restent efficaces face aux toutes derniÚres menaces et demeurent conformes aux législations ? Conseil : se maintenir au courant des capacités des derniÚres technologies et les intégrer rapidement lorsque cela est nécessaire.

Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … Comment utiliser les nouvelles technologies pour protĂ©ger l’Entreprise NumĂ©rique ? A quel prix ? Comment combiner ses dĂ©fenses actuelles avec les nouveaux modes de protection ? Quelle Ă©conomie ? Pendant toute la confĂ©rence des experts de tout bord, spĂ©cialistes SĂ©curitĂ©Ì reconnus, Avocats, RSSI/DSI seront lĂ  pour guider les entreprises, donner des conseils, parler de solutions potentielles et rĂ©pondre Ă  toutes les questions.

 

OĂč ?

CNIS Event a choisi un endroit en plein cƓur de Paris, Ă  deux pas des champs ElysĂ©es et de l’Arc de Triomphe. A deux pas des endroits business les plus stratĂ©giques de Paris (Porte Maillot, Palais des congrĂšs, La DĂ©fense
) comme facile d’accĂšs pour ceux de l’extĂ©rieur qui viennent tout spĂ©cialement assister Ă  la matinĂ©e CNIS Event (aĂ©roports Orly et Roissy, accĂšs aisĂ© aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile Ă  proximitĂ©, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
TĂ©l : +33 (0)1 44 43 36 36
Pour s’y rendre : mĂ©tro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus ArrĂȘt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

 

Pour qui ?

Les Responsables sĂ©curitĂ©, DSI, DPO, les dĂ©cisionnaires d’une façon gĂ©nĂ©rale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernĂ©s par la question de SĂ©curitĂ© du SI
 Il faut connaĂźtre et comprendre Ă  qui, Ă  quoi on a Ă  faire pour pouvoir envisager et organiser la protection de son SystĂšme d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

 

Cliquer ici pour : S’inscrire en ligne Ă  la matinĂ©e SĂ©curité 

 

Agenda

    • 8H00 – Accueil des participants : petit-dĂ©jeuner et Networking
    • 8H30 – Analyse en dĂ©tail des attaques de cet Ă©tĂ©, quoi, qui et comment, par Adrien Coudert, SpĂ©cialiste SĂ©curitĂ© Alliacom,
    • 8H50 – Utilisation de l’intelligence artificielle pour attraper des cyberattaques en cours, Christophe Jolly, Directeur GĂ©nĂ©ral Vectra Networks
    • 9H10 – Comment intĂ©grer rapidement les nouvelles tehnologies dans un SI traditionnel / SĂ©curitĂ© des APIs, Guide et Conseils par Bertrand Carlier, senior manager SĂ©curitĂ© chez Wavestone,
    • 9H30 – Machine learning & Deep Learning, l’automatisation & l’IA pour sĂ©curiser, par Michel Lanaspeze, Sophos
    • 9H50 – Bug Bounty Series suite, prĂ©sentation d’une nouvelle plateforme française regroupant de nombreux hackers Ă©thiques permettant aux PME et grandes Entreprises de sĂ©curiser leurs applications avant la mises en oeuvre opĂ©rationnelle.
    • 10H10 – Darknet : fonctionnement et lien avec les nouvelles technologies/ DĂ©fense Ă  base d’IA, par FĂ©dĂ©rico Smith, Scalian, membre de Octopus Cybercrime Community (Conseil de l’Europe, International), CyberThreat Task Force et du ComitĂ© Innovation &Technologie/Syntec NumĂ©rique
    • 10H30 – PAUSE Networking
    • 10H50 – PrĂ©sentation d’une start-up spĂ©cialisĂ©e dans le domaine de la SĂ©curitĂ© en s’appuyant sur les nouvelles technologies
    • 11H10 – Panel sur « IntĂ©gration de nouvelles technologies pour contrer de nouvelles menaces : une nĂ©cessitĂ© ? Comment les intĂ©grer rapdiment au SI ?  DĂ©pense inĂ©vitable ou rĂ©elle Ă©conomie ? » avec 1) MaĂźtre François Coupez, avocat qui rĂ©pondra aux questions d’ordre juridique, 2) HervĂ© Schauer, spĂ©cialiste en cyber-sĂ©curitĂ©, 3) retour terrain avec El-Yamani Hamedi, RSSI ENGIE et membre du Clusif  et 4) point de vue du marchĂ© avec un acteur. AnimĂ© par Solange Belkhayat-Fuchs, RĂ©dactrice en Chef CNIS Mag
    • 11H50 – « La Minute Juridique », MaĂźtre Olivier ItĂ©anu et MaĂźtre Garance Mathias rĂ©pondront Ă  toutes les questions d’ordre lĂ©gal relatives au sujet aprĂšs un rappel des derniĂšres lĂ©gislations en vigueur
    • 12H10 – PAUSE Networking au champagne & ClĂŽture de la confĂ©rence

Nouvelles Menaces & RGPD imminent : Nouvelles Technologies Ă  la rescousse (ML, IA, SdS, SaaS …), Mode d’emploi, Conseils & Solutions

Posté on 12 Sep 2017 at 12:29
3 octobre 2017, RV à l’Intercontinental Paris Avenue Marceau

 

 

 Entreprise Numérique & Cybersécurité : 

Nouvelles Menaces et RGPD imminent,

Nouvelles Technologies Ă  la rescousse

(Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … )

Mode d’emploi, Conseils & Solutions

 

 

Cliquer ici pour : S’inscrire en ligne Ă  la matinĂ©e SĂ©curitĂ©

 

Pas un seul jour ne passe sans une nouvelle attaque, qu’elle soit massive ou ciblĂ©e, Ă  l’aide de toutes sortes de malwares (ransomware, cryptoware …). L’entreprise doit constamment s’adapter aux toutes derniĂšres menaces alors que parallĂšlement l’heure du RGPD a sonnĂ©.

Comment faire pour que les entreprises numériques restent efficaces face aux toutes derniÚres menaces et demeurent conformes aux législations ? Conseil : se maintenir au courant des capacités des derniÚres technologies et les intégrer rapidement lorsque cela est nécessaire.

Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … Comment utiliser les nouvelles technologies pour protĂ©ger l’Entreprise NumĂ©rique ? A quel prix ? Comment combiner ses dĂ©fenses actuelles avec les nouveaux modes de protection ? Quelle Ă©conomie ? Pendant toute la confĂ©rence des experts de tout bord, spĂ©cialistes SĂ©curitĂ©Ì reconnus, Avocats, RSSI/DSI seront lĂ  pour guider les entreprises, donner des conseils, parler de solutions potentielles et rĂ©pondre Ă  toutes les questions.

 

OĂč ?

CNIS Event a choisi un endroit en plein cƓur de Paris, Ă  deux pas des champs ElysĂ©es et de l’Arc de Triomphe. A deux pas des endroits business les plus stratĂ©giques de Paris (Porte Maillot, Palais des congrĂšs, La DĂ©fense
) comme facile d’accĂšs pour ceux de l’extĂ©rieur qui viennent tout spĂ©cialement assister Ă  la matinĂ©e CNIS Event (aĂ©roports Orly et Roissy, accĂšs aisĂ© aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile Ă  proximitĂ©, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
TĂ©l : +33 (0)1 44 43 36 36
Pour s’y rendre : mĂ©tro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus ArrĂȘt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

 

Pour qui ?

Les Responsables sĂ©curitĂ©, DSI, DPO, les dĂ©cisionnaires d’une façon gĂ©nĂ©rale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernĂ©s par la question de SĂ©curitĂ© du SI
 Il faut connaĂźtre et comprendre Ă  qui, Ă  quoi on a Ă  faire pour pouvoir envisager et organiser la protection de son SystĂšme d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

 

Cliquer ici pour : S’inscrire en ligne Ă  la matinĂ©e SĂ©curité 

 

Agenda

    • 8H00 – Accueil des participants : petit-dĂ©jeuner et Networking
    • 8H30 – Analyse en dĂ©tail des attaques de cet Ă©tĂ©, quoi, qui et comment, par Adrien Coudert, SpĂ©cialiste SĂ©curitĂ© Alliacom,
    • 8H50 – Utilisation de l’intelligence artificielle pour attraper des cyberattaques en cours, Christophe Jolly, Directeur GĂ©nĂ©ral Vectra Networks
    • 9H10 – Comment intĂ©grer rapidement les nouvelles tehnologies dans un SI traditionnel / SĂ©curitĂ© des APIs, Guide et Conseils par Bertrand Carlier, senior manager SĂ©curitĂ© chez Wavestone,
    • 9H30 – Machine learning & Deep Learning, l’automatisation & l’IA pour sĂ©curiser, par Michel Lanaspeze, Sophos
    • 9H50 – Bug Bounty Series suite, prĂ©sentation d’une nouvelle plateforme française regroupant de nombreux hackers Ă©thiques permettant aux PME et grandes Entreprises de sĂ©curiser leurs applications avant la mises en oeuvre opĂ©rationnelle.
    • 10H10 – Darknet : fonctionnement et lien avec les nouvelles technologies/ DĂ©fense Ă  base d’IA, par FĂ©dĂ©rico Smith, Scalian, membre de Octopus Cybercrime Community (Conseil de l’Europe, International), CyberThreat Task Force et du ComitĂ© Innovation &Technologie/Syntec NumĂ©rique
    • 10H30 – PAUSE Networking
    • 10H50 – PrĂ©sentation d’une start-up spĂ©cialisĂ©e dans le domaine de la SĂ©curitĂ© en s’appuyant sur les nouvelles technologies
    • 11H10 – Panel sur « IntĂ©gration de nouvelles technologies pour contrer de nouvelles menaces : une nĂ©cessitĂ© ? Comment les intĂ©grer rapdiment au SI ?  DĂ©pense inĂ©vitable ou rĂ©elle Ă©conomie ? » avec 1) MaĂźtre François Coupez, avocat qui rĂ©pondra aux questions d’ordre juridique, 2) HervĂ© Schauer, spĂ©cialiste en cyber-sĂ©curitĂ©, 3) retour terrain avec El-Yamani Hamedi, RSSI ENGIE et membre du Clusif  et 4) point de vue du marchĂ© avec un acteur. AnimĂ© par Solange Belkhayat-Fuchs, RĂ©dactrice en Chef CNIS Mag
    • 11H50 – « La Minute Juridique », MaĂźtre Olivier ItĂ©anu et MaĂźtre Garance Mathias rĂ©pondront Ă  toutes les questions d’ordre lĂ©gal relatives au sujet aprĂšs un rappel des derniĂšres lĂ©gislations en vigueur
    • 12H10 – PAUSE Networking au champagne & ClĂŽture de la confĂ©rence

Equifax, ni coupable, ni responsable

Posté on 11 Sep 2017 at 6:24

Une mauvaise politique de dĂ©ploiement de correctifs, plusieurs manquements en matiĂšre de sĂ©curitĂ© pĂ©rimĂ©trique et de dĂ©tection d’intrusion, une gestion de crise digne de figurer au « Guinness des records », l’affaire Equifax risque bien de faire les grands titres de la presse pendant au moins deux semaines, avant de retomber dans un oubli mĂ©diatique total. Seuls quelques avocats et juges chargĂ©s des « class actions » prĂ©visibles s’en souviendront.

Equifax,l’un des trois plus gros organismes US de crĂ©dit et de services de gestion financiĂšre (RH, salaires
), a laissĂ© fuiter prĂšs de 143 millions d’identitĂ©s, 210 000 numĂ©ros de cartes de crĂ©dit et un peu moins de 200 000 dossiers clients comportant nombre d’informations personnelles. Une paille, un rien comparĂ© Ă  l’hĂ©morragie Yahoo. Mais Yahoo n’est pas une banque et son business n’est pas la « vente de confiance ».

Il importe peu de savoir « comment » les donnĂ©es ont pu fuir. Il est mĂȘme trĂšs probable que personne ne parvienne Ă  le dĂ©couvrir. En revanche, expliquer Brian Krebs, journaliste et victime directe de ce sinistre, ce qui succĂšde aux fuites n’est qu’une sĂ©rie de sur-accidents.

A commencer par la vente d’actions par trois membres du conseil d’administration d’Equifax (dont le CFO) peu de temps aprĂšs la dĂ©couverte de l’intrusion mais bien avant la rĂ©vĂ©lation publique de l’affaire. Des dirigeants qui, cela va sans dire, n’étaient au courant de rien Ă  ce moment prĂ©cis.

Suit alors une sĂ©rie de bourdes difficilement explicables. Le premier bulletin public diffusĂ© sur le site Web principal de l’entreprise rassure la clientĂšle en affirmant qu’aucune information importante n’a pu sortir des serveurs. L’alerte des clients par SMS, en revanche Ă©voque sous conditionnel cette Ă©ventualitĂ©. Qui donc coordonne alors la communication de crise chez ces spĂ©cialistes de l’agio ? Edelman, sociĂ©tĂ© de relation presse (trĂšs prĂ©sente en France notamment). Pas de cellule spĂ©cialisĂ©e interne donc, et l’on s’interroge sur cette dĂ©cision visant Ă  externaliser Ă  des non-spĂ©cialistes l’aspect le plus dĂ©licat d’une situation d’urgence. La question est manifestement traitĂ©e par-dessus la jambe par une direction qui paraĂźt jouer la carte du « too big to fail ».

Il faudra attendre le 9 septembre pour apprendre la nomination de Mandiant, filiale de FireEye, au titre de cabinet d’audit et d’expertise. FondĂ©e par Kevin Mandia, cette entreprise de sĂ©curitĂ© s’y connaĂźt en matiĂšre d’intrusion et de fuite d’informations, puisque ses propres serveurs firent les frais des assauts des « Anonymous » il y a quelques annĂ©es. SpĂ©cialiste des APT et du cyber-pĂ©ril jaune, Mandiant sait tout, mais ne publie rien, jamais. Ou alors seulement aux autoritĂ©s FĂ©dĂ©rales. Par le plus grand des hasards, ces mĂȘmes Anonymous distillaient encore sur Pastebin des fichiers « internes » fin juillet de cette annĂ©e. Entre « trouĂ©s », il faut se serrer les coudes.

Perte de data : Hors la fuite, point de salut

Posté on 11 Sep 2017 at 9:26

Alors que des dizaines de geeks impĂ©tueux s’attaquaient aux machines Ă  voter durant toute la durĂ©e de la DefconXXV, c’est une fuite d’un tout autre genre (mais trouvant son origine prĂ©cisĂ©ment chez un fournisseur desdites machines) qui dĂ©fraye les chroniques de l’Illinois. 1,8 million de donnĂ©es personnelles Ă©taient accessibles sur un service Cloud Amazon mal configurĂ© : une fois n’est pas coutume, ce n’est pas l’urne Ă©lectronique qui Ă©tait en cause, mais le « backoffice » du systĂšme Ă©lectoral, explique Chris Vickery au fil de ses gazouillis sociaux. La presse locale ne pouvait trouver sujet plus croustillant. Nulle information n’aurait Ă©tĂ© divulguĂ©e de maniĂšre publique, le patron de la cellule de recherche d’Upguard ayant prĂ©venu Ă  temps le spĂ©cialiste du vote presse-bouton.

Il faut dire que Vickery s’est taillĂ© une certaine rĂ©putation dans le domaine de la recherche du SGBD bancale et du dĂ©pĂŽt Cloud poreux. Rob Pegoraro, de Yahoo Finance, dresse l’impressionnant palmarĂšs de ce chercheur : 13 millions d’identifiants accessibles sur un service Kromtech, 6 millions de profils dĂ©goulinants des banques de donnĂ©es Verizon , 87 millions de donnĂ©es personnelles provenant des registres de vote Mexicains. De quoi occuper les manchettes des journaux et rĂ©aliser de la publicitĂ© Ă  pas trop chĂšre pour le compte d’Upguard.

Pourtant, ce stakhanovisme de l’analyse des donnĂ©es Shodan et autres opĂ©rations de Google hacking peut inspirer des moins douĂ©s, avec les consĂ©quences dĂ©sastreuses que l’on devine. Ainsi cette fuite trĂšs hypothĂ©tique que prĂ©tend avoir dĂ©couvert l’équipe de Direct Defense en analysant les services d’une autre entreprise du secteur InfoSec, Carbon Black. De maniĂšre trĂšs schĂ©matique, le service d’analyse virale « Ă  la demande » de Carbon Black Response, qui utilise VirusTotal de Google, risquerait de dĂ©voiler le contenu des donnĂ©es soumises Ă  analyse. AccĂšs indiscret rĂ©servĂ© uniquement au personnel ayant un droit de regard sur les mĂ©canismes internes de l’application et aux transactions entre C.B. Response et VirusTotal
 agents FĂ©dĂ©raux, employĂ©s des entreprises, prestataires de services etc. Rien n’est en revanche exploitable depuis le rĂ©seau public.

Cette querelle d’experts provoque diverses rĂ©actions auprĂšs des confrĂšres et nĂ©anmoins concurrents de Carbon Black, certains rappelant que ce genre de pratique est assez courant et que bon nombre d’entreprises vont jusqu’à expĂ©dier non pas de simples condensats Ă  VirusTotal, mais des exĂ©cutables en entier.

Brian Krebs renchĂ©rit et publie un article assez mordant condamnant
 non pas cette guĂ©guerre stĂ©rile entre professionnels de la sĂ©curitĂ©, mais nos confrĂšres de Guizmodo qui ont jouĂ© les caisses de rĂ©sonance en faveur de Direct Defense, sans contre-enquĂȘte manifestement auprĂšs de l’entreprise concurrente visĂ©e. D’un point de vue dĂ©ontologique, l’ancien journaliste du Washington Post qu’est Krebs a entiĂšrement raison. Il est cependant Ă©vident que le « manque de sĂ©rieux » et le « sensationnalisme » de toute cette affaire a pour origine, une fois de plus, un professionnel de la sĂ©curitĂ© des S.I. .

Norton : une vie aprùs l’antivirus

Posté on 11 Sep 2017 at 7:57

La sĂ©curitĂ© logicielle rapporte moins qu’autrefois, la faute aux « gratuits » de renom. Pourquoi ne pas tenter de vendre la mĂȘme chose, mais livrĂ© dans du silicium ? Avec le Core, Norton rĂ©invente l’idĂ©e d’Appliance/UTM, mais Ă  destination du grand public cette fois. Un grand public plutĂŽt aisĂ©, puisque l’appareil en question est vendu prĂšs de 300 dollars et, passĂ© la premiĂšre annĂ©e d’utilisation, 120 $ de service et mise Ă  jour par tranche de 12 mois.

Hybride d’antivirus, de routeur Gigabit 3 ports plus Wan et Wifi, de gestionnaire de politique de sĂ©curitĂ© (notamment contrĂŽle de la politique de mots de passe), de contrĂŽle parental (qui classe les informations sur l’avortement au mĂȘme niveau que les sites pornographiques), le Core prĂ©tend mĂȘme pouvoir filtrer les « objets de l’Internet » pour lesquels aucune norme de transmission ou de supervision n’existe.

Lier un contrat Ă  une base matĂ©rielle pour en justifier le prix est une tactique courante dans le domaine des Ă©quipements ludiques (serveurs de contenus vidĂ©o par exemple). En revanche, les tentatives dans le domaine informatique sont trĂšs rarement couronnĂ©es de succĂšs si l’on en juge par les nombreux flops des offres de services NAS+cloud
 Surtout en des temps de cloudification Ă  outrance et de SaaS dĂ©bridĂ© destinĂ© au marchĂ© SoHo. Norton, seul contre Sophos, F-Secure, Microsoft (sans oublier une frange de l’offre Symantec, la « maison mĂšre »), le combat semble assez inĂ©gal.

Publicité

MORE_POSTS

Archives

septembre 2017
lun mar mer jeu ven sam dim
« AoĂ»t   Oct »
 123
45678910
11121314151617
18192021222324
252627282930