Arnaud AUCHER’s blog

Ce jeudi s’est tenue la conférence annuelle du groupe Devoteam sur le thème de la sécurité. Cet évènement a rassemblé un grand nombre de professionnels du secteur avec une ouverture sur l’international. Les grands thèmes abordés furent :

• La gestion du risque
• Le contrôle et la conformité
• Le Web 2.0 et ses impacts sur la sécurité

L’introduction a mis l’accent sur la récente création du ministre de l’internet et du numérique incarné par Eric Besson. Ce dernier étant d’ailleurs sur le point de rendre publique son rapport dont la finalité est de ramener la confiance au numérique. Les mesures concerneront les domaines suivants :

• La carte nationale d’identité
• Les certificats
• Les échanges & les accusés réception
• Les signatures électroniques
• La CNIL
• La lutte contre la cybercriminalité
• La prévention

La principale préoccupation de l’état est de garantir l’équilibre entre Libertés & Sécurité. Pour ma part j’attends vivement de pouvoir consulter le rapport.

Sur le thème : “Gouvernance des entreprises & Sécurité”, l’accent a été mis sur la nécessité de faire communiquer les différentes entités de l’entreprise qui sont responsables de la sécurité (Transversalité de la sécurité dans l’entreprise). Il est beaucoup plus efficace de rendre au comité directeur un unique tableau récapitulatif intégrant l’ensemble des objectifs et des risques associés.

Il faut aussi concentrer les ressources sur les risques liés à notre propre business. Il y a encore trop d’offres fourre-tout sur le marché, qui ne prennent pas en compte l’environnement de l’entreprise.

Le Business implique de faire du profit et donc de prendre des risques afin de permettre la croissance de l’entreprise. Le rôle de la Sécurité est d’apporter des solutions maîtrisant ces risques.

En conclusion, l’EUROSEC 2007 mis l’accent sur la nécessité d’intégrer la sécurité au sein des centre décisionnels et du business. En 2008 le bilan est plutôt positif, mais il reste encore à améliorer les échanges entre les entités. L’important n’étant pas de garantir une sécurité à 100%, mais plutôt d’évaluer, couvrir et maîtriser les risques encourus.

Ce mardi s’est tenue à Paris la 3ème édition de CSO Interchange France. Il s’agit d’une rencontre entre les professionnels du secteur afin de débattre sur des sujets d’actualité, au cours de tables rondes. Nous avons pu bénéficier du retour d’expérience de chacun : difficultés et solutions apportées lors de la réalisation de projets professionnels. Voici ce que j’ai retenu de cette journée…

Le marché

Malgré une période de froid due à la crise des subprimes, du prix de l’essence et des matières premières, le marché est toujours en croissance même si celle-ci n’est pas aussi prononcée que prévu.

Les raisons sont nombreuses :

• le nombre d’ordinateurs portables a dépassé celui des fixes;
• la menace est plus agile, plus experte et plus déterminée;
• la banalisation de l’outil informatique;
• les nouvelles lois et règlements;
• le nombre croissant de désastres informatiques.

La nouvelle tendance qui se dégage est le développement des Services ou Appliances : Security As A Service. Ses avantages sont nombreux : délocalisation, complexité minimale, coût prévisible, et mise à disposition des meilleures technologies. En général, il faut prévoir un budget plus cher de 15%, mais les résultats obtenus sont de bien meilleure qualité. Dans un futur proche, on peut espérer que la concurrence permette la compétitivité des prix.

Les projets de mise en place de gestion des identités : Identity Access Management, sont en forte croissance dans les entreprises. Le marché des suites de sécurité est stable, mais les ventes d’antivirus et autres logiciels indépendants accusent une baisse des ventes.

En ce qui concerne l’analyse des journaux de sécurité, les experts estiment que les solutions proposées par les industriels externes à l’entreprise sont de très bonne qualité. Ici encore, la sécurité en tant que service gagne du terrain.

Pour conclure, 2008 voit le commencement d’une nouvelle ère : la sécurité n’est plus un problème technique, mais devient un problème d’entreprise en termes de survie, de continuité d’activité, de performance, de confiance, et de conformité. La sécurité 2008 est pro-active et non défensive.

Gestion des incidents

Le problème le plus courant provient du fait que les incidents ne sont pas tracés. Il n’y a donc pas d’élément de preuve pour se retourner, cela se ressent principalement chez les PME.

De plus les entreprises éprouvent une grande difficulté à détecter les incidents liés à la sécurité. Souvent c’est l’utilisateur qui avertit le service technique qui détecte alors une intrusion. Il est important de disposer d’outils de reporting des incidents liés à la sécurité, afin de cibler la recherche dans les journaux (Logs).

Il est ressorti qu’un outil commun de partage du retour sur les incidents de sécurité serait un plus pour les entreprises françaises. Ce type de rapport existe déjà en Suisse : le rapport Melani qui est produit pas la centrale d’enregistrement et d’analyse pour la sûreté de l’information (site officiel).

Une question se pose : “Qui doit-on contacter en cas d’incident lié à la sécurité ?”. Il est primordial de définir ces procédures et de les diffuser largement, afin de pouvoir réagir au plus vite.

Aussi, il est important de faire intervenir du personnel Métier avec le personnel Technique, afin de détecter les incidents liés à la problématique du secteur d’activité. On peut imaginer que des emails soient envoyés à la concurrence, dans le cadre d’une fuite d’information…

Conclusion

Il faut garder à l’esprit que les bénéfices de la cybercriminalité sont peu à peu entrain de dépasser ceux de la drogue. Il est donc indispensable pour les entreprises d’échanger leur expérience au cours de rencontres comme celle-ci.

Comme mon premier article sur les audits de sécurité des SGBD Oracle a suscité de nombreuses consultations, j’espère que vous réserverez le même engouement pour le second, consacré aux SGBD Sybase.

Voici le lien : Audit Sécurité Sybase.

Ces deux procédures ont été mises en place sur des serveurs de production. Conjuguées à une table de normalisation et de classification des évènements, j’ai ainsi pu générer cette semaine mes premières anomalies.

Au cours de mes nombreuses recherches sur le Net, j’ai fait la connaissance du site Polymorphe.org. Ce site met à disposition de nombreux cours d’informatique en téléchargement libre. Pour les fans de sécurité, je vous recommande les rubriques Réseaux, Sécurité et Système d’exploitation. La plupart des cours disponibles sont en français, mais je vous conseille de ne pas négliger les tutoriels en anglais qui sont souvent de bonne qualité.

BackTrack est l’une des distributions live les plus téléchargées, ciblant les test d’intrusion. Cette plateforme est donc entièrement chargée depuis le CD-Rom et accessible en quelques minutes.

Elle provient de la fusion des distributions Whax et Auditor Security Collection. Unissant leur forces et remplassant ces distributions, BackTrack a massivement accru sa popularité.

Voici la liste de quelques un des outils proposés :

• Bluebugger : une implémentation de la technique Bluebug découverte par Martin Herfurt de Trifinite Group;
• Wyd : un outil permettant d’établir le profile d’un mot de passe, à partir de l’analyse de différents types de fichiers et générant une liste de mots clés à des fins d’attaques de mots de passe par dictionnaire;
• SIPcrack : une suite d’outils pour sniffer et attaquer par force brute le hachage d’une authentification par mot de passe émise par des clients SIP s’enregistrant à un serveur SIP;
• Hotspotter : supervise passivement le réseau, le sondant les fenêtres de requêtes pour identifier les réseaux favoris des clients Windows XP. Il les compare à une liste de noms de réseaux de Hotspot. Si le nom de réseau sondé correspond à un nom de Hotspot, l’outil agira comme un point d’accès autorisant le client à s’authentifier;
• Wellenreiter : est un outil de découverte et d’audit de réseaux sans fil. Les cartes basiques de Prism2, Lucent, et Cisco sont supportées. Il s’agit de l’un des outils Linux permettant de scanner les réseaux sans fil les plus faciles à utiliser actuellement. Il n’y a plus à réaliser de configuration de carte réseau. Il peut découvrir les réseaux (BSS/IBSS) et détecter les réseaux diffusant ou non leur ESSID, aussi bien que leur clé WEP et les informations sur le fabriquant.

Le site officiel du projet est :
http://www.remote-exploit.org/backtrack.html.

Vous pouvez télécharger l’image ISO directement ici.

Aujourd’hui se tenait à l’ECE une conférence sur la méthodologie d’analyse et de gestion des risques des SI. Elle était animée par M. Serge Lebel, membre de la Direction Centrale de la Sécurité des SI.

L’exposé a débuté par une présentation de la DCSSI, de sa mission et de ses objectifs. Puis rapidement, nous sommes rentrés dans le vif du sujet, avec la présentation de la méthode d’évaluation et de gestion des risques : EBIOS.

Il s’agit d’une méthode employée pour penser le risque. Elle s’accompagne d’une suite de 5 guides et d’un logiciel libre open-sources (disponibles ici). Elle est mondialement reconnue et utilisée dans des administrations de notre état, dans l’Union Européenne, ainsi que dans l’OTAN et dans d’autres organismes du secteur privé.

Cette méthode permet de générer des Schémas directeurs, une politique de sécurité et des tableaux de bord. Tout cela est obtenu à partir de l’organisation et du croisement des informations recueillies par le consultant.

Le scénario du risque se découpe alors en 4 domaines à identifier : la source de la menace, la méthode d’attaque, les vulnérabilités du système et les impacts.

La présentation s’est poursuivie par l’étude d’un cas concret.

En conclusion, EBIOS permet une approche exhaustive de haut niveau sur les risques liés à la sécurité des SI. Il offre une vision globale et cohérente des décideurs. La plus value provient de l’automatisation des tâches et de la mise en forme des synthèse de l’information.

Enfin une mise en garde nous a été faite sur le danger que représente l’Intelligence Economique et de ses impacts sur la sécurité des SI.

Au cours de ma carrière, j’ai été amené à travailler sur l’audit des SGBD Oracle & Sybase. Ayant passé un temps considérable à trouver et assimiler les procédures de mise en place de l’audit, j’ai décidé de mettre à  votre disposition mon retour d’expérience.

Voici le premier article disponible : Audit Sécurité Oracle

What else ?

Bonjour,

Cette année, dans le cadre de mon stage de fin d’études, je suis chargé de mission sécurité pour HSBC Global Asset Management (France), département “Technology & Services”. Je suis sous la responsabilité d’un tuteur RSSI, avec qui je réalise un module d’analyse des journaux de sécurité.

Le périmètre initial s’attache aux logs des audits des SGBD Oracle et Sybase. J’ai donc dû activer les paramètres d’audits, sélectionner les actions à surveiller et par la suite je serai amené à générer des alertes avec des seuils à déterminer.

Le nouveau jet Boeing 787 “Dreamliner passenger jet” souffrirait d’une sérieuse faille de sécurité. Son réseau d’ordinateurs de bord pourrait autoriser les passagers à accéder aux systèmes de contrôle de l’avion. Cette annonce tirée du site “wired.com” proviendrait de l’administration d’aviation fédérale américaine.

Le réseau d’ordinateurs du compartiment passager, conçu pour donner l’accès à Internet aux passager, serait connecté au systèmes de contrôle, de navigation et de communications de l’avion, selon le rapport de cette même administration.

Une conception plus sécurisée séparerait physiquement les deux réseaux d’ordinateurs. Mais Boeing aurait répondu qu’il en était hors de question et a conçu une solution testée rapidemment.

“C’est du sérieux,” s’est exprimé Mark Loveless, un analyste en sécurité des réseaux d’Autonomic Networks. “Il ne s’agit pas d’un ordinateur de bureau. Il contrôle les systèmes qui garantissent notre sécurité. Nous espérons donc qu’ils solutionnent sérieusement cette faille.”