Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

GS-Days : le CERTA, des PC en flagrant délit et le RSSI métier

auteur de l'article Jerome Saiz , dans la rubrique Carrière

Commentaires Commentaires fermés sur GS-Days : le CERTA, des PC en flagrant délit et le RSSI métier

Un tour d’horizon de la conférence d’ouverture de la première édition des GS-Days, l’événement sécurité organisé par Global Security Mag. Et vos avis sur les différentes sessions auxquelles vous avez assisté.

Pour la toute première édition de ces GS-Days, Global Security Mag a versé dans l’institutionnel, avec une introduction par Franck Veysset , patron du CERTA et membre de SecurityVibes. Il y a notamment décrit l’intervention de l’organisme lors d’une attaque de type DDoS contre une administration française, ce qui a été l’occasion de découvrir un point méconnu de la lutte anti-DDos. Si la police est impliquée à temps dans une telle affaire, les bots français peuvent être identifiés et les machines saisies selon une véritable procédure de « flagrant délit » ! Une rapide analyse du système peut alors mettre hors de cause le propriétaire de la machine, laquelle lui sera restituée dans un délais court. Cette analyse permettra de découvrir le ou les codes malveillants utilisés pour commettre le DDoS.

Pour le reste, la lutte contre le DDoS passe par l’habituel black holing du trafic international, afin de ne permettre l’accès au site visé que depuis le territoire national, jusqu’à ce que l’attaquant se lasse ou que son « crédit » de location du botnet expire (dans le cas présent, l’attaque aura duré précisément 24h).

L’intervention de Franck Veysset a d’ailleurs suscité une réaction intéressante de Lazaro Pejsachowicz , RSSI de la Caisse Nationale d’Assurance Maladie (CNAMTS) et membre de SecurityVibes : outre son rôle dans la résolution de telle affaires, le CERTA ne pourrait-il pas étendre son action à leur démystification (« debunking »), afin de jouer le rôle d’une source de confiance face à la sur-enchère médiatique que de telles attaques peuvent provoquer dans les médias ? Lazaro Pejsachowicz cite l’exemple d’informations non-vérifiées publiées régulièrement dans la presse à l’occasion d’attaques DDoS ou de phishing sur des cibles très en vue, et de la difficulté à en valider la véracité auprès d’une source officielle.

Finalement, c’est un « Hoaxbuster.com officiel » que Lazaro Pejsachowicz appelle de ses voeux. Voilà peut-être un besoin qui pourrait très bien rejoindre les préoccupations de l’ANSSI, laquelle souhaite désormais se rapprocher des entreprises. N’hésitez d’ailleurs pas à livrer vos réflexions quant à comment l’ANSSI peut aider les entreprises française dans le fil de discussion que nous avons créé à cet effet.

Pour un RSSI au plus près des métiers

Enfin, l’intervention de Richard Guidoux , RSSI de Carrefour Hypermarchés, et lui aussi membre de SecurityVibes, a tenté de replacer le RSSI au coeur des métiers. Lui-même rattaché à la direction sécurité / sureté et sécurité au travail, Richard Guidoux a souhaité démontrer comment une telle position permet de placer les préoccupations des métiers au coeur de la SSI, au lieu de tenter de forcer ces derniers à « faire avec » les contraintes de la sécurité, selon une vision purement IT.

« Ce n’est pas toujours facile de dépendre d’une direction non-informatique, car il faut expliquer la culture SI à une direction qui est axée sur les hommes. Mais l’indépendance que cela offre vis-à-vis de la DSI, ainsi que la proximité avec les métiers, est très appréciable », explique Richard Guidoux.

Concrètement, Guidoux peut ainsi mettre les besoins métier au coeur de projets qui pourraient, sinon, n’être que de belles réalisations techniques (IAM, par exemple, où le workflow d’habilitation pour les intervenants métier est finalement plus important que la technologie sous-jacente).

« Je me retrouve aussi à être le VRP de services offerts par la DSI, mais que les métiers ignorent ou n’utilisent guère, tels que le VPN ou la PKI », poursuit Richard Guidoux. A cette occasion, il ne touche pas vraiment à la technique mais exploite plutôt sa connaissance des métiers afin de « vendre » l’utilisation de ces technologies aux équipes en leur démontrant l’intérêt qu’elles peuvent en tirer.

Macaron et Ethical Hacking

Mais les GS-Days, c’était aussi une série de présentations, parfois techniques (les Webshells, les outils Webshag et MiniMysqlat0r, ou Macaron – sur lequel nous reviendrons) et parfois plus organisationnelles (« Sensibilisation à la française » par Céline Vercruysse, d’Advens, ou encore « Dépérimétrisons et réjouissons-nous », par Bruno Kerouanton , RSSI du Canton du Jura et membre de SecurityVibes, un concours de « Ethical Hacking » organisé par l’ARCSI, etc…).

Vous avez manifestement étés nombreux parmi les membres de SecurityVibes à suivre ces conférences : n’hésitez pas à nous faire part de vos impressions dans les commentaires à cette actualité, afin d’offrir un « compte-rendu collaboratif » de cette première édition des GS-Days.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.