L’édition 2009 du Forum CERT-IST s’est ouverte, comme le veut la tradition, sur une présentation du CERT, qui profite de l’occasion pour dresser les tendances observées au cours de l’année. Ce sont les « Nouvelles Frontières de la Sécurité » que le CERT a exploré pour cette édition : le réseau étant toujours plus ouvert, il devient difficile de  » tout  » contrôler. Le Cloud et le SAAS, notamment, diluent le périmètre applicatif à travers Internet.

Bien entendu, si l’on parle de périmètre flou, la fuite des données n’est guère loin, et c’est justement le sujet abordé ensuite par Atheos dans la présentation suivante : 285 millions d’informations auraient ainsi « fuit » en 2008 (des enregistrements personnels, numéros de cartes bancaires, etc… ndlr). Le CERT-IST constate que la fuite est essentiellement d’origine interne (78%) et malveillante (85%, dont près de la moitié le font par motivation financière).

Qui dit fuite de données dit DLP (Data Leak Prevention). Et à ce sujet le CERT-IST, après avoir présenté différentes approches techniques en la matière, insiste sur le fait qu’il ne faut pas tant contraindre les utilisateurs par une solution technique que les mettre au centre de la réflexion au sujet de la fuite des données et surtout ne pas compliquer leur travail quotidien.

Pascal Lointier (Président du CLUSIF et conseiller en SSI pour AIG Europe) a ensuite abordé le thème de SCADA sous un angle original : il ne faut pas limiter SCADA uniquement aux infrastructures critiques nationales habituelles, mais penser aussi à tous ces outils industriels qui sont aujourd’hui au coeur du métier de nombreuses PME. En effet, l’arrêt d’une production sur une ligne d’emballage quelconque peut causer d’énormes soucis à une PME. La conclusion de Pascal Lointier est qu’il est nécessaire d’instaurer un dialogue entre le RSSI et le responsable de la production, afin que ce dernier puisse bénéficier de connaissances et de support en matière de SSI, notamment en ce qui concerne les postes qui pilotent les automates (d’ailleurs souvent sous Windows 98…)

La conférence a ensuite pris un tour plus technique avec les deux dernières présentations. La première, par votre serviteur (OWASP France Leader), a offert une aide à la sélection d’un WAF (Web Application Firewall) et détaillé les bonnes pratiques pour mettre en oeuvre ce type de solution. Cette présentation s’appuyait sur le projet WAFEC de l’OWASP, ainsi que sur la section « Best Practices : Use of Web Application Firewalls » disponible sur le site de l’OWASP .

Enfin, l'[OPPIDA | http://www.oppida.fr/] (un CESTI) a présenté deux retours d’expérience sur les systèmes de virtualisation VMWare (un projet du CNES et celui d’une grande banque française). Les deux projets ont étés détaillés, et il ressort en guise de conclusion que :

Les failles des machines virtuelles sont connues mais très rarement patchées.

Trop d’options dans la console de VMWare sont trop permissives dans la configuration par défaut. Il est donc nécessaire de procéder à un  » hardening  » post-installation.

Il existe de nombreuses fonctions  » mal/pas  » documentées, ce qui peut poser des soucis de sécurité.