HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu de la conférence Eurosec 2002, qui s'est déroulée à Paris du 18 au 20 Mars 2002 .  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
22 mars 2002 - Rédaction du compte-rendu
22 mars 2002 - Envoi aux abonnés de la veille en actualité
14 janvier 2003 - Publication sur le site web d'HSC  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
> Droits d'auteur © 2002, Hervé Schauer Consultants, tous droits réservés.

 

Yves Randoux du GIE Cartes Bancaire introduit la conférence en dénonçant les "hackers" comme les méchants à la source de ses soucis, dans un exposé qualifié de technico-philosophique par Jean-Claude Tapia, président d'XP Conseil. La politique du GIE Cartes Bancaires est basée sur le contrôle de l'information et de la presse, afin d'occulter les erreurs conceptuelles dans ses systèmes. Ainsi il est désormais interdit de publier sur Internet comment faire une Yescard grâce à la Loi sur la Sécurité Quotidienne. Une Yescard est une fausse carte bancaire donnant toujours le code comme valide dans les terminaux de payement qui ne sont pas en ligne.
La salle, notamment par l'intermédiaire de Lazaro Pejsachowicz (France Telecom E-Business), a fait remarquer que la confiance reposait sur la vérité et la transparence, et pas sur l'autoritarisme.

Lors de la session sur la Cybercriminalité, Daniel Bertinet, commissaire de Police à l'OCLCTIC, et Pascal Bertin, au BEFTI, ont brièvement exposé leur travail de policier. Eric Barbry du cabinet Alain Bensoussan a listé les lois concernées. Virginie Prat du même cabinet a donné quelques conseils pratiques pour maîtriser l'enquête lors d'une intrusion informatique : la préservation des traces techniques pouvant aider à la preuve, l'intérêt du constat d'huissier, ne pas oublier de prévenir les prestataires concernés par lettre recommandée, déclarer à l'assureur, et penser à assurer ensuite une veille technologique. Il faut aussi connaître les autorités compétentes (BEFTI, OCLCTIC), à noter que la plainte simple permet de garder la confidentialité du dossier, mais dans tous les cas, l'appel aux autorités imposent ensuite une collaboration entière avec la police lors des auditions, saisies, etc, avec le personnel de l'entreprise à disposition des enquêteurs et de la justice. Enfin, il ne faut pas se contenter de faire un dossier de preuve, il faut aussi constituer un dossier de préjudice solide pour aller devant le tribunal.

Ses conseils pratiques oublient l'importance de l'assistance d'un expert qui outre réaliser l'enquête technique sans délai, expliquera par exemple à l'huissier quoi constater.

La session dédiée à la vie privée à débuté avec une présentation des moyens de surveillance par l'employeur de ses employés, et les moyens de ces derniers de contourner cette surveillance, par Cyril Leclerc (pseudo KALI) d'XP Conseil. Les avocats Yves Bismuth et Eric Caprioli ont tenté de distinguer les différents cas, mais la limite entre vie privée et professionnelle devient de plus en plus floue, et les obligations des fournisseurs de services restent aussi floues. Enfin Michael Corby de QinetiQ (USA) a parlé du respect de la vie privée aux USA.

Cette session n'a pas reflété la réalité américaine où le respect de la vie privée n'existe quasiment plus, voir le compte-rendu de RSA 2002 pour ce sujet.

Detlef Eckert de la commission Européenne a présidé la session sur les démarches d'évaluation en Europe.
Face au processus d'évaluation, actuellement très coûteux, très long et trop consommateur de ressources, Armelle Trotin du CESTI, a annoncé un label de sécurité qui ne sera pas un certificat, avec une évaluation mixte entre des tests spécifiques EAL1 ou EAL2 et des tests normatifs avec une utilisation allégée des Critères Communs. Son collègue anglais Robin Pizer du CESG a présenté son processus d'évaluation "fast-track". Ces idées similaires permettraient de reconnaître que le développeur est un développeur de confiance qui programme proprement avec une processus plus simple et plus rapide.
Lors des questions, sur le manque de popularisation de l'intérêt du certificat d'évaluation, Armelle Trotin a rappelé que le processus de certification devait apporter une transparence, mais en même temps qu'il fallait donner une protection à l'information, ne pas divulguer les informations sensibles et tout ce que l'on découvre sur un produit. Sur la question de l'évaluation des logiciels libres, le panel n'a pas su répondre.

Pour les participants avec lesquels j'ai discuté et moi-même, cette session a été vue comme un constat d'échec de l'évaluation. L'évaluation n'a pas encore trouvé sa place dans le marché de la sécurité, et demeure un processus obscur où la cible d'évaluation peut se fabriquer au fur et à mesure de l'échec des tests, où le produit est évalué lorsque la version suivante est déjà celle déployée, etc.
En conséquence l'évaluation tente de redescendre vers un processus moins formel avec une place plus grande à l'expertise : il en va de la survie des organismes impliqués dans l'évaluation.
A mon avis, les audits qui exploitent l'expertise, l'expérience et le savoir faire d'individus qualifiés, avec une méthodologie d'audit pragmatique et un rapport exhaustif sur les tests réalisés, apporte une transparence et une qualité à un coût qui en fait la solution idéale pour auditer la sécurité des très nombreuses applications qui sont la principale source des problèmes de sécurité dans les systèmes d'information.
En conséquence, il faudra se décider un jour à commencer par certifier les individus comme beaucoup d'autre professions l'ont choisi.

Les sessions sur les PKI ont montré les avancées réalisées par la DCSSI et les services de l'état. Frédéric Tatout du Ministère de l'industrie a présenté le schéma d'accréditation français, et surtout Loic Bournon a présenté la PKI IGC/A réalisée par le bureau conseil de la DCSSI, avec une technologie propre développée en interne. Cette autorité de certification permet d'interfacer toutes les autorités de certification étatiques qui le souhaitent, soit en jouant le rôle d'autorité racine, soit en jouant le rôle d'autorité pivot, c'est-à-dire une interface sans revendication hiérarchique fonctionnelle entre les AC. L'IGC/A est opérationnelle mais n'a pas encore d'interopérabilité signée entre Ministères car les projets sont en cours de déploiement. Une autorité intermédiaire de ce type pourrait être aussi utilisée à l'OTAN pour permettre les communications entre les pays participants. Ce projet est important car la majorité des entreprises auront à gérer une telle autorité, car la PKI qui répond à tous les besoins et résout tous les problèmes n'existe pas du premier coup. Une entreprise aura plutôt plusieurs pilotes qu'il faudra intégrer avec des considérations politiques et économiques similaires à la problématique d'un état.
Chambersign a également montré comment ils avaient répondu pour les entreprises aux exigences étatiques qui imposent l'usage d'un certificat pour la TeleTVA.

Cette session a montré le rôle moteur de l'état dans le domaine des infrastructures de gestion de clés. Beaucoup d'acteurs du secteur n'auraient pas survécu sans les projets gouvernementaux.

Pour en savoir plus :
Les documents d'aides proposés par la DCSSI :
http://www.ssi.gouv.fr/documents/igc.html

La session plénière sur la gestion de crise et les plans de continuité d'activité a été dominée par le retour d'expérience très touchant du Crédit Agricole-Indosuez, qui a perdu 69 collaborateurs dans les attentats du 11 Septembre. Christian Houdebine a bien montré l'état de choc dans lequel sont plongés les USA et l'importance des facteurs humains : le centre secours ne peut pas fonctionner lorsqu'il n'y a personne pour le faire tourner. Les chocs psychologiques et le stress sont les points fondamentaux à prévoir dans son plan de continuité en cas d'une crise de ce type.

Dans la session sur les méthodes, Matthieu Grall de la DCSSI a rappelé que l'intérêt des outils méthodologiques est d'uniformiser les choses dans une démarche cohérente et un vocabulaire commun. Il a proposé une taxinomie des méthodes dans le monde de la sécurité des systèmes d'informations.

Plusieurs sessions ont abordé des aspects plus techniques. Ben Samman (Net2s) a évoqué les risques sur les assistants personnels et les téléphones mobiles.

Daniel Hardy de Fortis Bank a montré comment l'utilisation de relais HTTP en entrée dans une plate-forme de banque en ligne, permet d'assurer une présentation uniforme et la sécurité d'applications issues de sept banques différentes dont la fusion a créé Fortis Bank. Les technologies des serveurs WWW, serveurs applicatifs et surtout d'authentification étaient très hétérogènes. Tout est masqué à l'utilisateur final qui navigue d'une application à l'autre de manière transparente, avec une hiérarchie de méthodes d'authentification et de droits associés.

Stéphane Aubert, Denis Ducamp et Nicolas Jombart d'HSC ont proposé un atelier pratique sur la programmation sécurisée. À l'aide d'un serveur et un client d'exemple, ils ont mis en avant les erreurs de programmation courantes rencontrées dans les applications sur Internet. Les exemples en langage C et en Perl sont suivis des corrections, avec à chaque fois une démonstration de l'application vulnérable permettant une intrusion, puis de l'application corrigée.

Nicolas Fischbach et Sebastien Lacoste-Seris de Colt Telecom ont expliqué en détail la sécurité des réseaux IP utilisant des équipements Cisco.

Pour en savoir plus :
La présentation sur la programmation sécurisée :
http://www.hsc.fr/ressources/presentations/traps/
La présentation sur la sécurisation des réseaux IP :
http://www.securite.org/presentations/secip/

La session de clôture a traité des approches de gestion des risques en général, indépendamment de l'informatique, pour aussi bien les attentats, les accidents, la pollution, l'intelligence économique, l'information non fiable, le blanchiment, le risque de crédit, le risque réglementaire, etc. Jean-Claude Tapia a conclu en rappelant que la politique de SSI doit s'interfacer avec les autres politiques de gestion de risque.

      Hervé Schauer

Dernière modification le 7 novembre 2007 à 17:17:04 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants