HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu du troisième atelier international "Recent Advances in Intrusion Detection" (RAID 2000), qui s'est tenu à Toulouse du 2 au 4 octobre 2000.  
> Contexte & Dates Reproduction du compte-rendu réalisé par Richard Blanchet et Wassim Soubra de Renault et présenté à l'OSSIR.
5-13 novembre 2000 - Rédaction du compte-rendu
14 novembre 2000 - Présentation de Richard Blanchet au Groupe SUR de l'OSSIR
18 février 2002 - Publication sur le site web d'HSC  
> Auteur Richard Blanchet (Richard.Blanchet@ipercom.com) et Wassim Soubra (Wassim.Soubra@renault.fr) 
> Langue et Nature  
> Résumé &
Table des matières
Synthèse rapide des présentations  
> Documents liés
> Droits d'auteur Rapport publié avec autorisation des auteurs et de Renault. Les droits d'auteur restent la propriété des auteurs originaux.

 

Ce RAID 2000 a été organisé à Toulouse avec le soutien l'ONERA et de nombreux partenaires entreprises et organismes de la région Midi-Pyrénées du 2 au 4 octobre. Le RAID est l'occasion de rencontrer des sociétés et chercheurs présentant des solutions ou approches potentiellement disponibles et de mieux apprécier les lacunes des systèmes IDS existants. La quasi totalité des travaux présentés sont rassemblés dans une publication disponible auprès de l'éditeur Springer ou des organisateurs du RAID 2000 (herve.debar@francetelecom.fr, Ludovic.Me@supelec.fr ou wu@cs.ucdavis.edu), et on pourra retrouver les supports de présentation sur le site web du RAID.

L'audience de RAID 2000 a atteint environ 137 personnes dont 36% originaires des USA (47) et 58% d'Europe (80), parmi lesquels 41% de français (33) et environ 34% répartis entre anglais, allemands et suisses. Les industriels ou les providers représentaient moins de 5% chacun tandis que le monde de la recherche représentait 48%, les sociétés en informatique ou sécurité 30% et les agences d'états ou militaires 12%.

Cette troisième édition a permis de découvrir :

  • des travaux qui ont conduit à l'implémentation de solutions presque directement utilisables par l'administrateur sécurité qu'il soit orienté réseau ou système (cf. S1.1/analyse de données BSM, S3.3/suivi d'activité de processus via BSM, S5.3/Ntop),
  • d'autres travaux pouvant améliorer son approche de l'investigation ou de la réaction face à des intrusions (cf. P1/déploiement d'IDS, S4.3/Evaluation d'IDS, S6.1/veille technique, S6.2/investigation sur incident, P2/Attaques par déni de service, S7.1/admin d'IDS et fausses alarmes, S7.2/recherche de traces d'attaques),
  • puis d'autres travaux pouvant conduire à des essais intéressants en laboratoire (cf. S1.2/analyse formelle de données BSM, S2.1/architecture CIDF, S3.4/IDS Corba),
  • et enfin tous les autres travaux beaucoup plus théoriques.

Des différents panels ou présentations de ce RAID 2000, il ressort que trop peu de gens connectés à Internet ou non protègent correctement leurs systèmes ou réseaux même lorsque cela ne leur coûterait pas très cher. Il apparaît clairement que la gestion d'IDS relève encore d'équipes spécialisées devant faire face à de nombreuses fausses alarmes dont le réglage requiert expertise et connaissance de l'environnement. Enfin, les outils d'investigations commencent à voir le jour, tandis que les IDS deviennent parties intégrantes des solutions de sécurité.

Vous trouverez ci-dessous une synthèse des présentations de ce RAID 2000, mais n'hésitez pas à consulter le site web officiel. Évidemment toute formulation ou avis exprimé dans celles-ci ne représente que celle des auteurs de ce compte-rendu et nullement celle de leur entreprise ou de l'OSSIR.


Synthèse rapide des présentations

Session 1: Logging - Chair: Deborah Frincke (University of Idaho, USA)

Better Logging Through Formality: Applying Formal Specification Techniques to Improve Audit Logs and Log Consumers by Chapman Flack and Mikhail J. Atallah (CERIAS/Purdue University, USA)

Méthode d'analyse grammatical pour reformater des logs avec la mise en oeuvre d'un outil Java SUN Solaris/BSM pour détecter les "anomalies". C'est encore un outil de recherche à finaliser notamment du fait de la documentation incomplète de BSM et des jeux de tests limités effectués.

A Pattern Matching Based Filter for Audit Reduction and Fast Detection of Potential Intrusions by Josué Kuri (ENST, France), Gonzalo Navarro (University of Santiago, Chile), Ludovic Mé and Laurent Heye (Supelec, France)

Cette approche qui semble prometteuse repose sur le fait qu'il est difficile de déterminer s'il y a une attaque, tandis qu'il serait plus facile de dire que sur un certain volume de log il n'y a pas eu d'attaque (cf. http://www.enst.fr/~kuri/docs/spire2000.pdf). Mais l'auteur ne mets aucune implémentation d'outil à disposition.

Transaction-Based Pseudonyms in Audit Data for Privacy Respecting Intrusion Detection by Ulrich Flegel, Joachim Biskup (University of Dortmund, Germany)

Il s'agit de l'implémentation (autour de SUN Solaris BSM) d'une solution pour répondre à la directive européenne 95/46/EC obligeant à l'anonymisation des journaux utilisateurs sur la base de pseudonymes ayant pour durée de vie les sessions utilisateurs tout en assurant la restitution en cas de besoin. Cela semble vraiment difficilement implémentable ou utilisable dans la réalité notamment du fait de la complexité rajoutée.

Session 2: Data Mining - Chair: S. Felix Wu (University of California Davis, USA)

A Data Mining and CIDF Based Approach for Detecting Novel and Distributed Intrusions by Wenke Lee, Rahul A. Nimbalkar, Kam K. Yee, Sunil B. Patil, Pragneshkumar H. Desai (North Carolina State University, USA), Salvatore Stolfo (Columbia University, USA)

Cela présente l'implémentation de l'architecture de communication entre les capteurs d'un IDS distribué basé sur CIDF (projet financé par le DARPA) tirant aussi profit du projet EMERALD. Les données des attaques ou observations servent à construire un model (modeling engine) qui est ensuite ré-injecté dans les capteurs ou règles de reconnaissance. Aucune implémentation concrète n'est mise à disposition, cela relève encore de l'expérimentation même si celle-ci utilisant Bro et NFR comme capteur semble prometteuse.

Using Finite Automata to Mine Execution Data for Intrusion Detection: a Preliminary Report by C. C. Michael and Anup K. Ghosh (Reliable Software Technologies, USA)

Cette approche vise à détecter des programmes malicieux en inspectant leurs traces d'exécution. L'automate implémenté ne sait reconnaître que les programmes connus (apprentissage)... et il n'y pas de feedback de plus intégré dans leur algorithme, qu'ils ont du reprendre 3 fois ! Leur jeu de test permet de travailler sur un simple navigateur web. C'est encore du travail de recherche...

Review and Outlook of the Detection of Viruses using Intrusion Detection Systems by Morton Swimmer (IBM T.J. Watson Research Laboratory, USA)

Pour l'auteur les anti-virus et les IDS (systèmes) ont le même but, et il a implémenté un IDS qui semble prometteur pour en faire un produit commercial. Ceci dit il a quelques inconvénients et il adresse essentiellement les postes clients tandis que pour les serveurs l'auteur suggère de prendre tripwire !?

Session 3: Modeling process behavior - Chair: Ludovic Mé (Supelec, France)

Adaptive, Model-based Monitoring for Cyber Attack Detection (Slides) by Alfonso Valdes (SRI International, USA)

C'est une approche statistique avec inférence du suivi de trafic TCP qui complémente judicieusement l'approche d'IDS par signature ou par détection d'anomalie. Leur module (Ebayes TCP) s'interconnecte avec l'architecture plus complète liée au projet EMERALD et permet de traiter du trafic temps réel ou copié via tcpdump. Cela leur permet notamment de détecter des attaques réparties dont les évènements pris individuellement sembleraient innocents. Toutefois en cas d'attaque par déni de service réussie l'outil peut générer un certain nombre de fausses alarmes. L'auteur utilise cela en opérationnel en complément de leur outil de suivi des sessions TCP.

A Real-Time Intrusion Detection System Based on Learning Program Behavior by Anup K. Ghosh, Chris Michael, and Michael Schatz (Reliable Software Technologies, USA)

Cet IDS "host-based" utilise les traces BSM d'utilisation de programme comme input d'algorithmes ou systèmes d'états capables d'auto apprentissage pour détecter la déviance de comportement de programmes (état calculable, inférable ou prédictible statistiquement) ou pour reconnaître des anomalies de fonctionnement. Cela suppose notamment de faire l'apprentissage des automates sur des données fiables sécuritairement. Cette approche traite très bien les attaques de type User2Root ou Programme Misuse or Replacement (100% d'efficacité pour seulement 10 fausses alarmes par jour), mais pour celles de type réseaux Probe, Local2Remote ou DoS il faudrait tolérer jusqu'à 100 fausses alarmes par jour (?) pour atteindre 35% à 90% d'efficacité sur la détection selon l'algorithme utilisé. L'algorithme neuronal donne les meilleurs résultats et se montre implémentable en environnement temps réel en code C++. Ceci dit ce n'est pas une solution déployable facilement à large échelle du fait encore du besoin d'apprentissage, et des limites techniques rendant peu raisonnable de suivre plus de 20 à 25 processus. Les résultats détaillés sont disponibles sur ideval.ll.mit.edu.

Intrusion detection using variable-length audit trail patterns by Andreas Wespi, Marc Dacier, and Hervé Debar (IBM Zurich Research Laboratory, Switzerland)

Cette approche "host-based" repose aussi sur les données BSM qui une fois synthétisées sous forme de chaînes d'évènements sont matchées par rapport des chaînes identifiant des attaques communes ou dénotant un comportement normal. Même si elle semble plus courte, il y a là aussi besoin d'une phase d'apprentissage pour modéliser ce comportement normal. Le fait d'utiliser des patterns de longueur variable (Toresias) rend les calculs beaucoup plus efficaces et cela semble donc très prometteur. Toutefois cette technique comme d'autres n'implémente pas de pré-apprentissage et ne tire pas profit d'une éventuelle contre-réaction sur les traces observées.

Flexible intrusion detection using variable-length behavior modeling in distributed environment: application to CORBA objects by Zakia Marrakchi, Ludovic Mé, Bernard Vivinis and Benjamin Morin (Ecole Supérieure d'Electricité, France)

Grâce à un objet communicant CORBA (intercepteur) inséré coté serveur, on peut suivre le comportement de la session client et à partir d'un référentiel d'état (auto-apprentissage) détecter des anomalies, et mettre ensuite des seuils de remonté d'alarmes. Attention l'implémentation actuelle ne tient pas compte du temps. Cela semble très prometteur et à tester en environnement réel.

Panel 1: Deployment of IDSes - Chair: Marc Dacier (IBM Zurich Research Laboratory, Switzerland) with Richard Blanchet (Renault, France), Ming-Yuh Huang (The Boeing Company, USA), Peter Troxell (IBM Emergency Response Service, USA)

Pour Boeing, le principal problème est bien sûr les fausses alarmes, et ils ont des équipes qui analysent les journaux quotidiennement. Pour eux si la sous-traitance est envisageable pour certaines parties cela ne l'est évidemment pas pour la sécurité de leur réseau interne. Tous insistent sur l'aspect hautement éthique des profils des administrateurs sécurité.

ISS a fait une présentation générique de la problématique de déploiement d'IDS (où, quand, comment, pourquoi, avec quoi...), et une des difficultés qui peut exister est le manque d'interaction avec les équipes réseaux.

IBM explique qu'ils ont une offre de télégestion d'IDS qui s'appuie sur leur solution de console centralisée disponible commercialement théoriquement. Ils estiment qu'il faut environ deux semaines de travail pour tuner chaque capteur et que ce réglage est à suivre régulièrement surtout lors d'évolution d'architecture ou d'activité.

L'initiative de corrélation d'alarmes IDS sur la base d'identifiants uniques n'en est qu'à ses débuts.

Une approche d'IDS intéressante semble être celle de surveiller si des ports non normalement utilisés reçoivent des communications; seul ISS (et NTOP) offrent cette possibilité.

Aucun des deux fournisseurs ISS ou Cisco ne sont à même de dire qu'ils ont une solution Gbps disponible, des solutions à base de répartition de flux via des commutations d'ACL semblent être une direction, ainsi que celle d'intégrer la logique d'IDS directement dans l'équipement réseau et Cisco l'a déjà fait sur les routeurs.

Session 4: IDS Evaluation - Chair: Tim Grance (National Institute of Standards and Technology, USA)

The 1998 Lincoln Lab IDS Evaluation - a critique by John McHugh (CERT, USA)

L'auteur n'apporte pas de nouvelle approche ou solution pour les IDSs mais il présente une critique des travaux d'évaluation d'IDS conduits en 1998 par le Lincoln Lab dont les données de tests et les caractéristiques relevées relevaient plus de l'approche commerciale que scientifique.

The 1999 DARPA Off-Line Intrusion Detection Evaluation by Richard Lippmann, Joshua W. Haines, David J. Fried, Jonathan Korba, Kumar Das (MIT Lincoln Laboratory, USA)

Cela rend compte de tests d'évaluation conduits sur des IDS et au cours desquels nombre d'attaques n'ont pas été détectées du fait de la non analyse de protocoles, de sessions TCP, parce que l'audit n'était pas actif ou parce que les signatures d'anciennes attaques ne s'appliquaient pas aux nouvelles. Ceci dit aucun des IDS testés n'est nommé !

Using Rule-Based Activity Descriptions to Evaluate Intrusion-Detection Systems by Dominique Alessandri (IBM Zurich Research Laboratory, Switzerland)

Suite à la constatation que nombre d'IDS génèrent un grand nombre de fausses alarmes, ils proposent une méthode d'évaluation d'IDS. Ce travail reprend un intéressant descriptif du fonctionnement d'un IDS et de ses limites, par contre il ne conduit pas à un outil d'évaluation mais simplement à une méthode de description des fonctionnalités et failles d'un IDS :(

Benchmarking a distributed intrusion detection system based on ASAX: Preliminary results by Mireille Ducassé and Véronique Abily (IRISA/INSA de Rennes, France)

Ne connaissant rien aux IDS et attaques ils ont essayé de mettre en oeuvre ASAX (cf. RAID 1998) pour corréler des évènements netlog. Mais cela n'amène pas vraiment grand chose ;(

Session 5: Modeling - Chair: Vern Paxson (ACIRI/LBL, USA)

LAMBDA: A Language to Model a Database for Detection of Attacks by Frédéric Cuppens and Rodolphe Ortalo (ONERA Centre de Toulouse, France)

Langage permettant de décrire des attaques mais contrairement à CISL et au fruit du travail de l'IETF qui traitent la description d'un évènement ou alarme ici c'est la nature même de l'attaque dont il s'agit.

Target Naming and Service Apoptosis by James Riordan and Dominique Alessandri (IBM Zurich Research Laboratory, Switzerland)

Il propose une approche de la fourniture ou du suivi d'un service de veille technologique en sécurité lié à une base de donnée sécurité, des règles de filtrage d'informations et pouvant aller jusqu'à inclure du code d'auto-désactivation ou reconfiguration de services. Cela semble intéressant mais c'est surtout très théorique !

Improving Network Security Using Ntop (NTOP homepage) by Luca Deri and Stefano Suin (University of Pisa, Italy)

NTOP est un logiciel qui analyse le trafic réseau vu sur une ou plusieurs interfaces (libpcap) et le catégorise en flux, sessions, identifie les routeurs, les services observés par machines clients et serveurs, suit la bande passante, les domaines DNS impliqués, il intègre la notion de plugins permettant de suivre des flux spécifiques (nfs, icmp, arp...).

C'est définitivement un outil très puissant pour mettre à jours des anomalies et tout cela via une simple interface web. Tout administrateur réseau ou sécurité devrait l'avoir dans sa boite à outils. Nota : quelques bugs semblent encore présents : problème d'identification des sessions (ex : nfs), problème de suivi de la bande passante utilisée, plug-in rmon KO, localisation des plug-ins.

Supporting Intrusion Detection by Graph Clustering and Graph Drawing by Jens Toelle (University of Bonn, Germany) and Oliver Niggemann (University of Paderborn, Germany)

Une approche graphique de l'IDS qui semble prometteuse, où l'on fait apparaître sous forme de graphes étoilés arborescents en 2D les flux observés sur le réseau sur la base des adresses sources et destinations MAC ou IP. La technique du graph clustering permet de faire apparaître des structures caractéristiques (ex : étoile caractérise serveur entouré de clients).

Session 6: Legals & Standards - Chair: Kevin J. Ziese (Cisco Systems, USA)

Early Warning & Threat Assessment for Information Assurance (Slides powerpoint) by Dr. Andrew Rathmell, Mr Jim Dorschner, Mr Michael Knights & Mr Leon Watkins (King's College London, UK)

Deux personnes qui travaillent pour l'ICSA ont présenté leurs techniques de suivi ou veille d'information ou d'infiltration dans le milieu des pirates informatiques afin de prévenir ou débusquer des attaques ou problèmes à venir ou retrouver des coupables.

The Application of Intrusion Detection Systems in a Forensic Environment by Peter Stephenson (Netigy Corporation, USA and Oxford Brookes University, UK)

Ils discutent de ce que peut apporter l'utilisation d'IDS dans la formulation de preuves à posteriori suite à une intrusion... mais cela ne semble pas très clair à part quelques évidences !

IDWG: Progress towards an open IDS alert standard (txt) by Stuart Staniford-Chen (Silicon Defense, USA)

Ils travaillent sur le sujet depuis la création du WorkGroup IDS en 1996 à l'IETF. Ils ont fait une proposition d'architecture mais il reste à en voir l'implémentation. Ils utilisent XML comme format descriptif. Ils n'utilisent pas HTTP comme protocole car les communications doivent être bidirectionnelles, plutôt IAP et TLS. L'arrivé de produits supportant cela devrait être pour bientôt, déjà NFR l'a annoncé, NetForensics l'a implémenté, ISS compte l'intégrer mais ne sait pas quand.

IDS/A: An Interface between Intrusion Detection System and Application by Andrew Hutchison and Marc Welz (University of Capetown, South Africa)

L'auteur a développé une API IDS permettant d'intégrer directement des fonctionnalités IDS dans le code d'applications. Cela peut permettre de gérer des droits en fonction du comportement de l'utilisateur, de remplacer tcp_wrapper ou de le généraliser. Il nous a fait une impressionnante démonstration d'intégration de cette technique sur la surveillance d'un démon ftpd.

Panel 2: The DDoS Attacks - Chairman: Jon David (Lehman Brothers) with Robert Stone (UUNET Technologies, Inc), Vern Paxson (ACIRI/LBNL), Matt Blaze (AT&T Labs), John Ioannidis (AT&T Labs), Bob Gleichauf (Cisco)

Ils discutent de la mise en oeuvre de ce genre d'attaque ou compromettre quelques machine qui vont découvrir très facilement des esclaves qui une fois compromis feront ce que l'on veut. Pour ce protéger, il suffit de mettre en place du filtrage en sortie, de sécuriser les machines, de scanner régulièrement les intranets à la recherche de backdoors.

Ils discutent de la nécessité de remonter les traces d'attaques de travailler pour cela avec les providers et pour identifier le réseau concerné on peut par exemple utiliser la valeur du TTL du paquet attaquant et la connaissance de la topologie réseau. V. Paxton évoque la nécessité d'ajouter des données complémentaires dans le paquets IP ou son en-tête pour comptabiliser les sauts ou garde trace des routeurs traversés. Lors d'utilisation de Reflector ou machines miroir, celles-ci n'ont pas besoin d'être elles-même amplificatrices de trafic pour nuire aux autres ! Il est si simple d'éviter de jouer les reflector ICMP en filtrant les reply/unreachable/exceeded et en se protégeant via un réglage IP avec strong TCP sequence number. Sur le sujet l'IETF a lancé le projet ITRACE. Ceci dit le Source Routing continue d'être utilisable sur nombre de routeurs de l'Internet. R. Stone parle du problème de prise en compte des coûts sécurité qui ne rapporte rien aux providers et il doit donc régulièrement expliquer leur nécessité aux gens du Marketing (cf. http://www.us.uu.net/projects/security/).

Session 7: Handling intrusion-detection data - Chair: Hervé Debar (France Télécom R&D, France)

Dealing with False Positives in Intrusion Detection by Klaus Julisch (IBM Zurich Research Laboratory, Switzerland)

Il explique comment ils affinent leurs IDS afin de diminuer le nombre de fausses alarmes en cernant les alarmes les plus fréquentes et d'après le contexte @IP impliqué, dates et périodicité de l'évènement on peut trouver si ces alarmes sont de fausses alarmes et donc ensuite adapter la configuration de l'IDS. Ceci dit se baser parfois sur la périodicité de l'évènement semble dangereux (cf. attaquant qui frappe régulièrement aux même heures de pointe de trafic !).

Detecting Source Code of Attacks that Increase Privilege by Robert K. Cunningham and Antonio Rieser (MIT Lincoln Laboratory, USA)

Partant du fait que l'administrateur est root sur sa machine et que le code malveillant contient souvent des séquences identifiables en Shell ou C, ils ont utilisé des descriptions ou codes disponibles sur certains sites (cf. rootshell.com, anticode.com, www.oase-shareware.org). À partir de là ils ont identifié des séquences indépendantes du langage (comments, file parmission ops, content ops, ...) ou au contraire dépendantes de celui-ci (altering local security, comment sur les devices...). Bien que leurs résultats semblent positifs, ils n'ont pas tenu compte de l'existence de scripts d'administration système dans leurs jeux d'essais. Par ailleurs ils pourraient effectivement intégrer les include assembleur _asm_. Enfin cela relève de l'enquête post-mortem car ils ne découvrent que les traces laissées une fois l'attaque terminée.

Handling Generic Intrusion Signatures is not Trivial by Jean-Philippe Pouzol and Mireille Ducassé (IRISA/INSA de Rennes, France)

Ils disent ne "rien" connaître aux signatures et avoir donc cherché à mettre au point un langage de haut niveau (sutekh) pour décrire et générer des signatures avec les caractéristiques suivantes : multi-event specification, specification of temporal relations, declarative specification. Ils lancent un appel à fourniture de signatures d'attaque pour valider leur approche !

Visualization of Intrusion Detection Data (txt) by Tim Farley (Internet Security Systems, USA)

Le groupe de recherche d'ISS (X-Force) travaille sur la visualisation graphique des données d'attaque pour en faciliter l'analyse par l'administrateur sécurité. Tout le monde est d'accord pour décrire cette approche comme prometteuse (même si sa présentation relève plus du marketing sur son produit SafeSuite Decision et sur ISS).

Session 8: Advanced techniques for intrusion detection - Chair: Marc Dacier (IBM Zurich Research Laboratory, Switzerland)

Adaptation of Intrusion Detection Techniques to System Availability Monitoring (Slides) by Alfonso Valdes and Keith Skinner (SRI International, USA)

Design and implementation issues for embedded sensors in intrusion detection (txt) by Diego Zamboni and Eugene H. Spafford (CERIAS/Purdue University, USA)

Network Intrusion Location Using Markov Decision Processes by T. Darling and M. A. Shayman (University of Maryland, USA)

Dernière modification le 28 février 2002 à 14:02:39 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants