Archives de Catégorie: Uncategorized

Revue de presse Décembre 2014

Bonjour,

Voici la dernière revue de presse de l’année 2014. Avant lecture, tout mes vœux pour la nouvelle année.

Voici ma synthèse de la sélection ci-dessous.
La CNIL a effectué des contrôles sur les Wifi en libre-accès. Cela ne nous concerne pas directement puisque notre Wifi nécessite une authentification mais cet article pourrait être le fil conducteur pour un chantier de mise en conformité de notre wifi invité. Travaux que nous suivrons dans le cadre du GT CNIL.

Faille de sécurité, la faille Poodle touche également la version 1 du protocole TLS. Affaire à suivre …

Menace, le kit de DDOS utilisé juste après Noêl contre le réseau des éditeurs de consoles (Xbox et Playstation) coûte environ 130$/mois pour effectuer des attaques de 8h.
Attaque ciblé, La première concerne le régulateur mondiale de l’Internet. Il s’agit de l’ICANN qui s’est fait pirater son SI mais également les serveur DNS racine. Cette intrusion pourrait avoir de grave conséquence sur le fonctionnement du réseau de réseau et aussi remettre en cause la légitimité de certains services. Je trouve cela vraiment inquiétant à l’heure du Tout as a service. La seconde parle d’une banque Américain victime d’un piratage par manque de sécurité sur une partie sous-estimée du SI exposé sur Internet.
L’article de fond est présent pour souligner que la sensibilisation des utilisateurs est un axe important de la sécurité qui ne doit pas être lésiné.
Le complément choisi est plus à destination des juristes. Le vol de données numériques est officiellement pénalement considéré et cela pourra faire partie de notre arsenal juridique le jour où nous serons capable de les détecter.

CNIL :

Internet et wi-fi en libre accès : bilan des contrôles de la CNIL
Dans le cadre de son programme des contrôles, la CNIL s’est intéressée aux services de libre accès à internet. La plupart de ces services ne satisfont pas aux exigences de la loi  » Informatique et Libertés « . La CNIL propose 5 mesures à adopter pour se mettre en conformité.
http://www.cnil.fr/nc/linstitution/actualite/article/article/internet-et-wi-fi-en-libre-acces-bilan-des-controles-de-la-cnil/

Failles de sécurité :

La faille Poodle touche cette fois le protocole TLS
Décrite en octobre par des ingénieurs de Google, la faille Poodle découverte dans l’ancien protocole SSL 3.0 s’étend en fait au nouveau protocole TLS. Les webmasters doivent effectuer des vérifications sur leurs sites HTTPS Secure (HTTPS).
http://www.lemondeinformatique.fr/actualites/lire-la-faille-poodle-touche-cette-fois-le-protocole-tls-59544.html

Menaces :

La plate-forme de DDoS qui a fait tomber le Xbox Live et le PSN accessible à tous
Finalement, tout s’explique. Après avoir mis à genoux les réseaux Xbox Live et Playstation Network pendant la fête de Noël, les pirates de Lizard Squad viennent de lancer « Lizard Stresser », un service DDoS payant basé sur un gigantesque botnet. Gonflés, les « hackers » reptiliens précisent que c’est bien avec cet « outil » qu’ils ont engorgé les serveurs de jeu de Microsoft et de Sony. En somme, cette attaque de fin d’année n’était, ni plus ni moins, une action publicitaire en période de forte affluence. Ces ovipares sont des petits malins !
http://www.01net.com/editorial/638911/vous-aussi-piratez-xbox-live-et-psn-a-partir-de-5-99-dollars-mois/#?xtor=RSS-16

Attaques ciblées :

ICANN : Régulateur mondiale d’Internet a été piraté (Serveur DNS Racines inclus)
http://www.darknet.org.uk/2014/12/icann-hacked-including-root-dns-systems/

L’absence d’authentification à 2 niveaux au coeur du piratage de JPMorgan
Selon le New York Times, pour s’introduire dans les systèmes informatiques de la banque JPMorgan en août dernier, les attaquants ont volé les identifiants d’un employé et les ont utilisés pour accéder à l’un des serveurs de JPMorgan non protégé par un système d’authentification à deux facteurs.
http://www.lemondeinformatique.fr/actualites/lire-l-absence-d-authentification-a-2-niveaux-au-coeur-du-piratage-de-jpmorgan-59713.html

Articles de fond :

Les Français choisissent très mal leurs mots de passe
Selon Dashlane qui a réalisé une étude statistique basée sur 70 000 utilisateurs dans le monde, les Français seraient en Europe ceux qui choisissent le moins bien leur mot de passe, du point de vue des recommandations sur la sécurité.
http://www.numerama.com/magazine/31636-les-francais-choisissent-tres-mal-leurs-mots-de-passe.html

Compléments :

Vol de données numériques
L’infraction relative au vol de données numériques a jusqu’à présent représenté une difficulté en matière pénale. En effet, l’infraction de vol, à savoir la soustraction frauduleuse du bien d’autrui, pouvait s’adapter en matière données numériques, sans être expressément prévue. Dorénavant, et depuis la loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, le fait de dérober des données numériques à leur légitime détenteur est défini et pénalement répréhensible.
http://securitetic.fr/2014/12/14/vol-de-donnees-numeriques/

A bientôt

Revue de presse Novembre 2014

Bonjour,

Il y a fort fort longtemps que je n’ai publié d’actualité ici. Je dois avouer que ce projet titanesque ne me laisse guère le temps de partager ici mes (pré)occupations. Par contre, je publie tous les mois pour mon DSI préféré une revue de presse lié à la sécurité information.

Je me propose donc de copier/coller/censurer adapter cette revue de presse que nous puissions en débattre dans les commentaires.

Voici la revue de presse du mois de novembre et avant voici ma synthèse sur cette sélection d’article que j’ai rapproché au plus près de l’actualité de mon entreprise ou mis en corrélation avec son activité.

Dans la quantité impressionnante de failles annoncées, j’ai retenu une veille faille WordPress enfin corrigée qui était soupçonnée de nous avoir impacté courant du mois.

Dans la catégorie menace, plutôt que de me focaliser sur une ou plusieurs menaces précises, je mets en avant ce site qui synthétise les attaques afin de mettre l’accent sur ces menaces qui planent au-dessus de nos têtes.

Dans les attaques ciblées, j’ai retenu 2 actualités. La première concerne nos nomades qui séjournent régulièrement dans les hôtels et qui utilisent des réseaux wifi. Ce sujet m’a d’autant plus parlé que j’ai récemment vu une démo de wifi corrompu.
La seconde concerne ce blocage de Sony Pictures par des cyber-maitres chanteurs. Nous n’avons certainement pas la notoriété de cette compagnie mais ce risque n’est pas à prendre à la légère. Imaginons un scénario catastrophe de déni de services sur nos espaces publiques en ligne orchestrée par des vilains. Quel serait notre parade ?

Ma sélection pour les articles de fond se focalise sur nos tentatives subie de fraude au président et plus généralement sur l’usurpation d’identité. Sous un aspect ludique, cette thématique est sensible et touche à nos données personnelles mais également aux informations personnelles que nous confie les client.

Dans la catégorie Complément, je me suis focalisé sur le piratage d’un club de foot réalisé avec beaucoup d’humour. Derrière cet aspect comique se cache une réelle menace. Cette situation ne pourrait-elle pas se reproduire chez nous et exécuté par un client insatisfait ?

Failles de sécurité :

WordPress 4.0/4.0.1 – Un vulnérabilité de 4 ans corrigée
La dernière mise à jour de WordPress corrige plusieurs failles de sécurité, dont l’une critique permettant l’injection de code malveillant, et datant de près de 4 ans, depuis WordPress 3.0.
http://www.undernews.fr/reseau-securite/wordpress-4-04-0-1-un-vulnerabilite-de-4-ans-corrigee.html

Menaces :

Un site pour rester sensible à la menace permanente que représente le cyber-espace
Le site Hackmageddon.com publie 2 fois par mois, une frise chronologique des attaques pubiques. Voici les liens vers les quinzaine du mois. A la vue de ces informations, on constate qu’il n’y a pas de pays épargné et que des compagnies de toutes tailles sont prises pour cible.
http://hackmageddon.com/2014/11/17/1-15-november-2014-cyber-attacks-timeline/
http://hackmageddon.com/2014/12/02/16-30-november-2014-cyber-attacks-timeline/

Attaques ciblées :

DarkHotel : Piratage dans les hotel, les PDG visé
Selon un rapport de la société Kaspersky Lab, la campagne de piratage baptisée Darkhotel « est tapie dans l’ombre depuis au moins quatre ans, volant des données sensibles à un certain nombre de dirigeants d’entreprise voyageant à l’étranger.
http://www.undernews.fr/hacking-hacktivisme/darkhotel-piratage-dans-les-hotels-de-luxe-les-pdg-vises.html

Un groupe de pirates s’attaque à Sony Pictures
Un hack spectaculaire a mis au chômage technique l’ensemble des salariés. Les pirates ont également mis la main sur des données confidentielles, pour de faire chanter la filiale cinéma du groupe nippon.
http://www.01net.com/editorial/633693/un-groupe-de-pirates-s-attaque-a-sony-pictures/#?xtor=RSS-16
Voici un complément à l’article précédent.
Les pirates affirment avoir bénéficié du soutien de collaborateurs complices pour accéder directement à l’infrastructure. Des téraoctets de données pourraient ainsi avoir été subtilisés.
http://www.01net.com/editorial/634135/les-pirates-de-sony-pictures-auraient-recu-une-aide-de-l-interieur/#?xtor=RSS-16

Articles de fond :

Un illustre inconnu avec Mathieu Kassovitz : l’usurpation d’identité, un réel sujet de société
Le nouveau film de Mathieu Kassovitz, Un illustre inconnu, qui sort dans les salles ce 19 novembre, traite du problème de l’usurpation d’identité. Reputation VIP qui gère des problématiques d’usurpation d’identité pour ses clients au quotidien nous livre sa vision du sujet.
http://www.infodsi.com/articles/152078/illustre-inconnu-mathieu-kassovitz-usurpation-identite-reel-sujet-societe.html

Compléments :

Le «Yéti» pirate le site du Toulouse Football Club pour réclamer de la tartiflette
Le site internet du Toulouse Football Club (TFC) a été piraté jeudi par un hacker se faisant appeler Yetinonymous et réclamant que l’on serve de la tartiflette au Stadium, avant d’être rétabli quelques heures plus tard, a constaté l’AFP.
http://www.01net.com/editorial/634272/le-yeti-pirate-le-site-du-toulouse-football-club-pour-reclamer-de-la-tartiflette/#?xtor=RSS-16

Bonne lecture
A bientôt

RSSI ? kesako ?

Bonjour,

Le voyage n’est pas fini, il ne fait que débuter.

Pendant la période estivale, j’ai débuté mes premières missions de RSSI. Je travaille entres autres sur la refonte des habilitations des utilisateurs. Cette mission nécessite une prise de contact avec les différents responsables. Sauf qu’aucune communication n’a été faite quant à mon changement de poste. Ce choix bien que contraire à mes recommandation et aux bonnes pratiques m’est imposé par la hiérarchie. Je vais donc devoir me présenter et présenter mes nouvelles habilitations. D’où l’idée de poser mes idée et d’écrire cet article sur le blog. Ceci me servira à produire un PowerPoint à présenter aux managers que je vais devoir interviewer.

Qu’est-ce qu’un RSSI ?
Vous avez 4 heures !

Comme indiqué dans l’article d’introduction, un RSSI est un Responsable de la Sécurité du Système d’information mais que cache se titre à rallonge ?

Je vais procéder comme il y a quelques mois lorsque l’on m’a proposé le poste. Je vais googliser ! Et également me baser sur le livre « La fonction RSSI de Bernard Foray chez Dunod (ISBN : 978-2-10-055693-9). Il s’agit du livre qui me semblais le plus pertinent lorsque j’étudiais la question. Il s’avère que j’ai fait un bon choix.

Bernard Foray y indique que les RSSI ont la responsabilité de veiller à la sécurisation des données et au patrimoine informationnel de l’entreprise. Cette phrase se décline en plusieurs sous-parties. Il s’agit de l’intégrité, la confidentialité, la traçabilité, la disponibilité, la conformité et l’information.

L’intégrité du patrimoine informationnel défini les actions à mener pour diminuer les risques d’altérations des données et des systèmes de l’entreprise. Il faut ainsi veiller à ce que seuls les traitements autorisés puissent modifié les informations stocké dans le SI en veillant à ce que les transferts soient automatisés ou en utilisant du chiffrement. Nous pouvons en complément nous assurer que la ségrégation des environnements soit respectée afin que seuls les gestionnaires puissent modifier les données de production. Notre solution de sauvegarde doit être pleinement opérationnelle pour nous pouvoir récupérer les données le cas échéant. Il ne faut pas négliger les bugs et les failles de sécurité qui peuvent permettre des modifications non souhaitées.

La confidentialité se focalise sur 3 aspects critiques. Veiller à ce que les utilisateurs aient les droits nécessaires et suffisants pour effectuer leurs missions. Cela s’effectue par la mise en place de profils. Surveiller le système pour s’assurer que personne ne tente ou ne parvienne à dérober des informations sensibles tel que les informations personnelles chères à la CNIL ou des données vitales pour l’entreprise tel que des secrets de fabrications. Un aspect de la confidentialité est également de fureter sur la toile pour dénicher des sites publiant de fausses informations qui seraient préjudiciable en termes d’image pour notre compagnie. Cela regroupe les faux sites web, les canulars et les usurpations d’identité.

La traçabilité est une partie importante du travail. Plusieurs actions doivent être mise en place pour fournir les éléments nécessaires à l’investigation suite à un incident de sécurité qui pourrait servir de preuve en cas de besoin. Ces éléments doivent être intègres.

La disponibilité est peut-être l’aspect qui est le moins flagrant lorsque l’on discute de SSI avec différentes personnes. La sécurité est souvent réduite aux failles, firewall et autre anti-virus mais jamais la disponibilité. J’ai également découvert cet aspect en lisant le livre. Cela inclus le Plan de secours qui dans mon cas dépasse le cadre de l’informatique et englobe l’intégralité de l’entreprise incluant également les sites distants. La protection physique du matériel fait partie cet aspect ainsi que les saturations accidentel ou non du système tel que le SPAM et des dénis de services. Les nouveaux usages sont a également pris en compte (cloud et mobilité).

La facette juridique de ma mission fut la plus grosse surprise pour moi le technicien. Comme personne n’est sensé ignoré la loi, nous devons nous mettre en conformité avec les différentes législations tels que la loi informatique et liberté ou la loi pour la confiance dans l’économie numérique et d’autres autorités de tutelle (ANSSI par exemple). La conformité peut également être poussé sous l’impulsion d’audit réglementaires tels que ceux effectué par les commissaires aux comptes ou simplement ceux commandité par le conseil d’administration.

Le dernier pan de ma mission est le plus social. Il faut informer ! C’est primordial car étant seul représentant de la sécurité de l’entreprise, je ne peux pas tout faire. Il faut donc tel un chef d’orchestre accorder les partitions des différentes équipes informatiques mais également sensibiliser toute l’entreprise à la sécurité. Il faut communiquer et selon le niveau hiérarchique, le message doit être adapté. Il faut impliquer toutes les populations à être vigilant sans devenir paranoïaque, il faut effectuer des retours au comité de direction sur les incidents et sur les améliorations apportées. Il faut également tenir à jour les différents tableaux de bords qui mesurent l’efficacité de la mission.

Si mes explications sont claires, vous vous rendez compte que je suis face à l’Everest et que plusieurs versants s’offrent à moi. Avant la création de ce poste, la sécurité était assurée par le DSI et indirectement par l’équipe infrastructure déjà sensible au sujet. Je vais devoir gravir cette montagne en partant d’un niveau proche de la mer en changeant de versant en fonction des difficultés ou des facilités que cela apporte. Dans ce genre de situation la méthode Kaizen me semble la plus adapté. Petit pas par petit pas, nous gravirons la montagne même si aujourd’hui l’envie est plus à courir et  à attaquer tous les versants en même temps

Merci pour votre lecture, bien sûr je suis preneur de retours si possibles constructifs.
A bientôt pour d’autres aventures.

 

 

Fin de 3e semaine

Bonjour,

La troisième semaine se termine. Le transfert de compétence avec mon successeur est bien avancé. Ce nouveau capitaine à maintenant les cartes et la boussole, il est seul à la barre. Et moi depuis ma vigie, je resterai joignable par radio s’il devait avoir besoin de mes conseils. Même s’il s’agit d’un capitaine expérimenté, il ne connait pas le navire comme moi puisque je l’ai construit. J’en connais les moindres recoins.

Dans mes nouvelles fonction, je me sens comme un cueilleur de fleurs face à un immense pré un jour de printemps. Le soleil brille, les oiseau chante ! Les projets sont comme ces fleurs présentent à foison. J’en ai déjà touché certaine du bout des doigts. Nous avons discuté des espèces nommées CNIL, PCA et  PKI, … Pour moi, le travail ne manque pas !

Avant de me lancer dans la cueillette, un peu de repos pour faire une nouvelle coupure de transition. A mon retour, nous établirons une feuille de route pour déterminé quelles espèces seront choisies en priorité.

A bientôt

1er jour, Embarquement immédiat, destination inconnue !

Bonjour,

Nous sommes le 5 mai 2014, il s’agit de mon premier jour en tant que responsable de la sécurité du système d’information de mon entreprise.

Il y a quelques mois, j’étais responsable infrastructure. Je menais une équipe de quelques personnes et nous maintenions les serveurs et le réseau du groupe.

Seulement, mon bateau prenait l’eau de partout.  Pour ne pas qu’il coule, un nouveau capitaine fut recruté. Je n’ai pas subi le supplice de la planche dans des eau infestée de requin mais affecté à cette nouvelle fonction.

Je ne suis pas un expert dans le domaine de la sécurité mais j’aime apprendre et les nouveaux challenges. Me voici embarqué dans cette barque que je mène seul …

Ce site, je l’espère sera le témoin de ma progression. Je pense y écrire sur des sujets divers et variés en rapport avec mon poste et avec l’actualité.

Bienvenu à bord et à bientôt pour de nouvelles aventures.