L’évolution de l’utilisation d’internet, oblige beaucoup d’organisations à mettre en place un système d’information très développé pour être viable. Desservir ainsi leurs employés de toutes les informations et outils technologiques nécessaires répond à ce besoin de viabilité et de pérennité qui passe au travers d’une communication régulière et accrue avec leurs partenaires, fournisseurs et clients.
Ces systèmes d’information, et donc internet, contiennent des informations très critiques pour le déroulement des activités organisationnelles. Il est donc essentiel de les protéger contre les intrusions et les accès non autorisés. Dans cette perspective, se munir d’un système de sécurité informatique est devenu une composante essentielle de l’infrastructure des entreprises. Mais avant tout définissons certains aspects de ce type de sécurité.
L’évolution de l’utilisation d’internet, oblige beaucoup d’organisations à mettre en place un système d’information très développé pour être viable. Desservir ainsi leurs employés de toutes les informations et outils technologiques nécessaires répond à ce besoin de viabilité et de pérennité qui passe au travers d’une communication régulière et accrue avec leurs partenaires, fournisseurs et clients.
Ces systèmes d’information, et donc internet, contiennent des informations très critiques pour le déroulement des activités organisationnelles. Il est donc essentiel de les protéger contre les intrusions et les accès non autorisés. Dans cette perspective, se munir d’un système de sécurité informatique est devenu une composante essentielle de l’infrastructure des entreprises. Mais avant tout définissons certains aspects de ce type de sécurité.
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.
Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication.
La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.
Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication.
La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
Cette présentation va nous montrer comment la communauté de hackers white hat a adapté son environnement pas toujours compréhensif avec sa démarche de remontée de vulnérabilités. Les différentes communautés de sécurité et open source autour du globe ont su adapter ou développer leurs outils à leur savoir-faire. Et inventer de nouveaux concepts tels que le Bug Bounty qui de nos jours fait beaucoup parler de lui tant pour son efficacité, que pour les relations qu’il crée entre les organisations et ces communautés.
Le Bug Bounty est, en quelque sorte, une réponse adaptée à toutes ces personnes ou organisations qui durant des années n’ont pas su fournir une réponse appropriée et un cadre non punitif à ces individus souhaitant simplement exprimer leurs talents de hackers en servant l’intérêt général, et ce, depuis les débuts du Hacking. C’est avec cette foi, mais sans loi que le Bug Bounty hunter est né. Grâce à l’émergence des plateformes qui offrent un cadre aux entreprises et aux hackers, le Bug Bounty a su se rendre accessible aux contraintes d’une approche organisationnelle qui sera évoquée lors de cette présentation.
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
L’authentification par simple identifiant et mot de passe est insuffisante pour protéger un compte utilisateur. Les campagnes de phishing pullulent sur le net et cela fait quelques années que l’on voit régulièrement dans l’actualité que les bases données de grandes entreprises ont fuité.
Face à cette insuffisance, il existe toutefois un procédé qui n’est pas réservé aux géants du net : l’authentification forte.
Dans cette conférence, je ferai un tour d’horizon de ce qu’est l’authentification forte et de différentes implémentations existantes.
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
Un grand nombre d’objets connectés utilisent la technologie Bluetooth Low Energy afin d’offrir une connectivité avec des smartphones. Afin d’évaluer la sécurité de ces derniers, il est nécessaire de pouvoir étudier les communications entre ces smartphones et leurs applications associées et les objets connectés, de façon fiable et pratique.
Jusqu’à peu de temps, la seule solution consistait à « sniffer » les communications à l’aide de matériel dédié, mais c’était laborieux et relativement aléatoire. Une alternative possible consiste à réaliser une interception active, avec une approche de l’homme du milieu, ou « man in the middle », mais cette approche était impossible à réaliser faute d’outil adéquat.
Cette présentation rappellera les bases du protocole Bluetooth Low Energy, les raisons des échecs rencontrés lors de l’utilisation de sniffers relativement populaires, pour enfin présenter le framework d’interception BtleJuice, permettant de mettre en œuvre une interception active reposant sur une approche man-in-the-middle. Des démonstrations live seront effectuées afin de démontrer l’efficacité et les possibilités offertes par cet outil, en les mettant en œuvre sur différents objets connectés.
Enfin, des contre-mesures adaptées seront évoquées afin de limiter ce type d’attaque et d’améliorer la sécurité des objets connectés utilisant ce protocole de communication.
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
L’informatique a envahi nos vies, au point qu’il est difficile d’envisager de vivre normalement sans Google ni Facebook ni smartphone aujourd’hui. Pourtant, nous savons depuis les révélations d’Edward Snowden que la centralisation de nos données personnelles rend économiquement possible la surveillance de masse. Pouvons-nous inventer un futur informatique nous permettra d’être libres en ayant la maîtrise de nos données ? A quoi ressemblerait un tel futur ?
Lancement de l'événement #NSD14 en présence de :
Me. Mélanie MAMMERI, Conseillère Régionale déléguée à l'accompagnement des entreprises et au numérique.
M. Fanch DANIEL, Responsable ORETIC et Conseiller en Technologies de l'Information et de la Communication à la CCI Normandie.
M. Clément MICHEL, Président et Co-Fondateur de l'association NetSecure Day
Plus d'informations à l'adresse suivante : http://www.netsecure-day.fr/nsd14-lancement-evenement
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" Olivier PANTALEO, Président et Christophe KICIAK, Directeur associé Offensive security, Provadys - Diaporama
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...ESI Technologies
Mobilité et sécurité : oui, c'est possible !
Conférence présentée par ESI et Gardien Virtuel lors du salon Telecom 2015.
Êtes-vous confrontés aux défis que représente la sécurisation des données à l'heure où les moyens de communication se démocratisent (sans-fil, BYOD, téléphones intelligents, tablette...) et où la popularité des appareils de stockage amovibles et de l'infonuagique ne cesse de croître?
Venez comprendre pourquoi il est important de bien choisir les outils de sécurité qui vous aideront à atteindre vos objectifs d'affaires en respectant vos politiques et pratiques corporatives.
Chasse aux menaces - Hackfest Decate (2018)Eric Gagnon
La créativité grandissante des acteurs malicieux nous oblige à être aussi plus originale dans nos moyens de détection. Même si le terme Threat Hunting est assé récent, ce procédé n’est pas nouveau. Il permet entre autre d’agir pro-activement pour détecter les menaces présentent dans votre infrastructure et de ne pas dépendre de la détection automatisé d’un outil de surveillance. La présentation vous expliquera les différentes méthodologies, approches et astuces afin d’effectuer une chasse efficace.
Ce que ce support aborde
- Des règles de bases d’hygiène numérique : coffre-fort numérique, mot de passe et autres (voir le support)
- Les principes d’hygiène numérique avec Internet : GAFAM, données personnelles, tracking publicitaire etc.
Les Annexes permettent de donner quelques règle supplémentaires, ainsi que d’aborder si nécessaire la surveillance en ligne.
Ce que ce support n’aborde pas
Ce ne sont pas des tutoriaux. J’évoque KeepassX, Veracrypt, mais je ne fais pas de démonstration. J’évoque l’usage de Firefox, d’extensions, des outils de Framasoft etc. dans le cadre de la Degooglisation. Mais là encore, pas de démonstration, juste une sensibilisation à l’existence de ces alternatives. Je ne parle pas de TOR (par exemple). Un support pour une conférence plus atelier dédié est disponible sur ce même dépôt.
La suite ?
Ce support reste une sensibilisation via une conférence, en une heure à deux heures et ne permet pas d’aller dans le détails.
Améliorez, modifiez et diffusez : il faut éviter les gastroinformatiques !
J’incite fortement les personnes sensibilisées suite à cette conférence à aller dans des Cafés vie privée, à rencontrer les personnes des LUGs (Groupes d’utilisateurs Linux), de la Brique Internet, de FDN, de la Quadrature, des Hackerspaces ou autres pour apprendre, mettre en pratique, découvrir les logiciels et techniques évoquées.
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages
(cloud computing) : vraie révolution ou pétard mouillé ? ». Avec Bruno Schroder, National Technology Officer, Microsoft, et Olivier Loncin, spécialiste Google Apps.
Le "Diagnostic Propriété Intellectuelle (PI)" est une méthodologie simple et pragmatique proposée par Picarré. Elle permet aux entreprises d'identifier ses actifs PI et de les exploiter pour renforcer ses avantages concurrentiels par une approche globale et transversale. Le Diagnostic PI aboutit à des constats objectivés et un plan de recommandations, qui permettent de changer de posture en considérant la PI non plus comme une contrainte mais comme un outil de croissance de l'entreprise.
Pour une société innovante ou technologique, les besoins de trésorerie et de développement sont importants. Et il est souvent compliqué d’obtenir des financements dont les montants sont suffisants et les délais compatibles avec les nécessités des projets. Il est pourtant possible de convaincre son banquier à condition de considérer sa demande dans une stratégie globale qui intègre les autres sources de financement.
Le programme européen Eurêka vise la mise au point de nouveaux produits, procédés ou services assez proches du marché, en permettant à des PME et des unités de recherche d'y collaborer. Contrairement à d'autres initiatives européennes, il est plus souple, moins contraignants avec un taux de succès relativement élevé. Le Service Public de Wallonie est le point de contact pour concrétiser l'introduction de ces projets. Et l'Interface Entreprises ULiège, via son intégration dans des réseaux tels qu'EEN, peut aider à identifier des partenaires européens. Ces services sont à la disposition des entreprises innovantes et des chercheurs wallons.
La réforme du code des sociétés qui sera bientôt d’application est une profonde révolution en termes de capitaux, de gouvernance, de responsabilité des fondateurs et dirigeants d’entreprise, … Elle impacte les sociétés existantes tout autant que celles en création et concerne donc les dirigeants, les porteurs de projet et les investisseurs.
L'analyse multicritère proposée par Innovatech est un outil méthodologique constructif qui consiste à dresser une cartographie des facteurs de risques d'un projet d'innovation technologique. Combinant interviews et analyses, il permet de challenger l'entreprise par rapport au projet, de mettre en évidence ses points forts et faibles et d'identifier les mesures correctrices susceptibles de le renforcer. Cette démarche de progrès ouvre donc la réflexion, non seulement pour situer le projet dans son environnement mais également pour amener les améliorations structurelles qui contribueront à appréhender les futurs projets de manière plus professionnelle.
Jongler avec la fiscalité et les incitants du gouvernement, qui visent à favoriser les entreprises innovantes, c’est dégager du cash pour l’affecter directement au développement de son activité. Comprendre la philosophie de la loi permet d'être éveillé aux opportunités qu'elle apporte à l'entreprise. Attention toutefois, que l'on parle de dispense de précompte professionnel scientifique, de déduction d'impôt sur revenus d'innovation ou de Young Innovative Company, il y lieu de n'oublier aucune étape administrative préalable pour en bénéficier pleinement.
Une conférence organisée par l'Interface Entreprises - Université de Liège, le 26 octobre 2018.
Orateur : MoneyOak
Parmi les défis que rencontre une entreprise innovante, les rapports humains, qu'ils soient internes (gestion d'équipe) ou externes (partenariats avec des organisations de cultures différentes), jouent un rôle central et l'implication des partenaires est un des éléments-clés de réussite. Le SISEM (Self Implication Strategy for Ethics in Management) est une approche qui propose de comprendre les complémentarités, plutôt que de se focaliser sur les différences.
Un atelier-conférence organisé par l'Interface Entreprises-Université de Liège, le 30 mars 2018. Orateur : réseau SISEM
Pour soutenir l'activité innovante des entreprises situées sur son territoire, la Région wallonne a mis en œuvre différentes aides à la recherche et à l'innovation technologique qui peuvent être sollicitées pour tout projet de recherche industrielle ou de développement expérimental, visant la mise au point de nouveaux produits, procédés ou services, l'acquisition de nouvelles technologies ou encore le renforcement du potentiel scientifique et technologique.
Une conférence organisée par l'Interface Entreprises - Université de Liège, le 23 février 2018
Orateur : Service Public de Wallonie (SPW - DGO6)
Le Protocole de Nagoya et le Règlement européen 511/2014 qui le transpose régulent depuis octobre 2014 l'accès aux ressources biologiques utilisées comme objets de recherches et pourraient représenter un risque pour une entreprise ou un laboratoire de recherche qui les négligerait dans la gestion administrative et légale de son programme R&D.
Une conférence organisée par l'Interface Entreprises-Université de Liège, le 27 octobre 2017
Orateur : BELSPO
Les actifs immatériels représentent 85% de la valeur d'une entreprise. Les identifier, les évaluer et les valoriser dans une approche systémique, pour convaincre des investisseurs potentiels lors d'une levée de fonds, apporte une réelle plus-value.
Une conférence organisée par l'Interface Entreprises-Université de Liège, le 29 septembre 2017.
Orateur : WIZYOU S.A.
Les activités d'innovation technologique, d'un point de vue fiscal, nécessitent d'adopter une stratégie qui tienne compte des récents changements de la législation. Cette présentation fait un tour d'horizons des principaux incitants fiscaux en matière de R&D, au bénéfice des entreprises, qu'elles soient en phase de développement ou d'expansion.
L'environnement en matière de protection des données à caractère personnel est en pleine mutation et de nouvelles règles seront réalité à partir de mai 2018 (cf. General Data Protection Regulation - EU). Il convient donc de prendre la mesure de ces changements afin que les entreprises soient prêtes pour cette date fatidique.
Une conférence organisée par l'Interface Entreprises-Université de Liège, le 28 avril 2017.
Orateur : CRIDS - UNamur
Les technologies et applications de l'Intelligence Artificielle connaissent une évolution rapide et suscitent curiosité, enthousiasme et espoirs, aussi bien que méfiance, incrédulité ou oppositions. Mais leur utilisation soulève plusieurs interrogations sur le plan juridique, en particulier en matière de droit social, de vie privée, de propriété intellectuelle, de données personnelles, de discrimination et surtout de responsabilité.
Une conférence organisée par l'Interface Entreprises-Université de LIège, le 31 mars 2017.
Orateur : NAUTADUTILH
La réussite d'une négociation de la valeur d'une entreprise technologique face à un futur partenaire dépendra d'une bonne préparation, tant au niveau des données de l'entreprise et du modèle d'évaluation utilisé, que des attentes et de la stratégie des actionnaires. Outils, facteurs clés indispensables et bonnes pratiques sont ici parcourus.
Une conférence organisée par l'Interface Entreprises-Université de Liège, le 24 février 2017.
Orateur : DELOITTE
Cette brochure donne un aperçu non exhaustif des compétences de l’ULg sélectionnées selon les 6
axes du Pôle SKYWIN :
1. MATERIAUX COMPOSITES ET PROCESSUS INDUSTRIELS
2. ALLIAGES METALLIQUES ET PROCESSUS INDUSTRIELS
3. SYSTEMES EMBARQUES
4. SERVICES AEROPORTUAIRES
5. SYSTEMES ET APPLICATIONS A VOCATION SPATIALE ET DRONES
6. MODELISATION ET SIMULATION
Un point d’attention particulier a également été mis sur les compétences liées à l’Industrie 4.0 dont
les membres du Pôle sont en demande constante, notamment pour :
7. GESTION ET TRAITEMENT DES DONNEES (IOT, BIG DATA ANALYSIS, CLOUD COMPUTING, …)
8. ORGANISATION ET GESTION DES RESOURCES HUMAINES (ACCEPTABILITE, TYPES
D’ORGANISATION, …)
9. SIMULATION ET REALITE AUGMENTEE.
L'impression 3D ou Additive Manufacturing s'est imposée dans de nombreux secteurs industriels comme outil de prototypage voire de fabrication. Mais cette nouvelle technologie amène risques et enjeux pour les titulaires de droits intellectuels (e.a. droit des marques) et pour les différents acteurs du marché concernés.
Une conférence organisée par l'Interface Entreprises-Université de Liège, le 27 janvier 2017
Orateurs : SIRRIS, NAUTADUTILH
2. LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Geeks
Anonymes
« Le système d'information représente un patrimoine essentiel de
l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les ressources
matérielles ou logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu »
(http://www.clusif.asso.fr)
3. Responsable IT dans
une petite structure ... ?
(c) Pierre-Olivier Bourge 2013
users
parc machines
responsable
sécurité IT
admin système
admin réseau
m
aintenance
helpdesk
pc, mac, linux
brancher les PCs ...
OSes
scripts
et que sais-je encore ...
analyse de
risques
réseau
Geek needed ?
time
ressources
“chef de projet”
“développeur”
4. La
sécurité
?
pour
les
autres
?
Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
5. “ 60 % des cas sont liés à de l’espionnage industriel ! ”
Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013)
Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf
La
sécurité
informa3que
?
100% security is neither feasible nor the
appropriate goal
(Source : KPMG.nl)
Cyber security will never be “solved” but will be “managed”
(Source : Ravi Sandhu - UTSA Institute for Cyber Security)
(c) Pierre-Olivier Bourge 2013
6. La
sécurité
?
faut-‐il
être
parano
pour
autant
?
non
...
mais
ne
soyez
pas
naïf
!
véridique !
Van Eck phreaking
13. Types
de
risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Vulnerability = leaving your car unlocked
Exposure = thief identifies this and opens
the door.
Risk factor will increase if either factor is
changed
(e.g.. you left your car door unlocked,
with the keys inside, or you leave your
car unattended in a public parking lot vs.
your home garage.)
Risk = Vulnerability * Exposure - Security
14. Types
de
risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Décider :
1) ce qu’il y a à protéger
2) de quoi ?
3) comment ?
Mode : sécurité par
défaut
Risk = Vulnerability * Exposure - Security
17. Sécurité physique :
Chiffrement (“cryptage”)
• Mac OS X : FileVault 2
• Toutes plateformes :TrueCrypt
www.truecrypt.org
HD ou contenant ...
• Windows : No, No, No !
• Attention à la gestion de la clef !
(c) Pierre-Olivier Bourge 2013
Types
de
risques
:
“physique”
...
19. Sécurité physique :
Effacement sécurisé
• Mac OS X : intégré OS (cmd+empty trash)
• Linux : srm,Wipe, etc.
• Windows : utilitaires
Cf. Eraser, CCleaner, SDelete, Piriform,
etc.
(c) Pierre-Olivier Bourge 2013
Types
de
risques
:
“après”
...
22. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
(hardware, software)
Types
de
risques
• Connexions entrantes
s + sortantes,
• plusieurs routeurs / parefeux
en série (différentes configurations)
• plusieurs réseaux (services)
“déconnectés”
(compartmentalization, Cf. SCADA)
• connexion externe :“min”
• DMZ, IDS, etc.
23. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav,
VirusBarrier, Sophos,Avira,
McAfee,Avast!, ...
Types
de
risques
A5en6on
!
On
ne
joue
pas
!
24. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
access rights (users &
machines), security logs, ...
Types
de
risques
• No root !
• user is not admin
•“least privilege”
• BYOD = services, ports,
accès, ... : à fermer
• serveurs virtuels
• Security Onion
25. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
Vous !
Types
de
risques
humain = le plus difficile
car le plus imprévisible
26. Vous = humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
e.g. : 5 lettres ou 2 mots du
dictionnaire accolés
27. Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
28. Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
• informations sensibles
• apprendre à identifier
les risques communs
• que faire ? comment
gérer les informations
sensibles ?
• changement de
comportement
29. Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
• “a password is the first
gateway to security
breaches”
• types d’attaques
communes
• comment générer un
bon mot de passe
• comment retenir ses
mots de passe ?
• le BYOD = BYOD
30. Confidentialité
Mots de passe
Complexité / Changement régulier
Plusieurs !
idéalement un et un seul pour chaque usage
un mot de passe hacké est une faille !
... et s’il donne accès à tout ...
Non accessible par ailleurs !
31. Comment
mémoriser
?
1) fichier ou partition cryptés
règle : avoir un bon mot de passe principal
avoir une bonne encryption du fichier
ou de la partition
le fichier ou la partition contiennent en clair
tous les autres mots de passe
2) outil Norton (ou Keychain Access sur Mac)
Comment mémoriser de manière sécurisée ?
(c) Pierre-Olivier Bourge 2013
32. Types
d’aCaques
sur
les
mots
de
passe
1) problème n’est pas tellement à l’identification lors
d’une connexion si
• protocole : sécurisé
• parefeu et services : bien configurés => bloqué
2) problème est plutôt :
• hacker : faille, accès aux clefs/mots de passe sécurisés ?
• combien de temps pour les casser ?
Attaques : où est le problème ?
(c) Pierre-Olivier Bourge 2013
Petite leçon sur le stockage
(hachage) des mots de passe
dans les ordinateurs
33. (c) Pierre-Olivier Bourge 2013
Stockage
mots
de
passe
Hash
hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512,
RIPEMD,Whirpool, etc.
34. Types
d’aCaques
sur
les
mots
de
passe1) par force brute
teste toutes les combinaisons
[exemple : HpAhTbd6nWx6cCDK]
parade : augmenter la longueur du mot de passe (> 8 !)
2) par dictionnaire
teste les noms communs ou propres, ou les mots de passe les plus courants
[exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...]
parade : éviter les noms communs ou propres, les mots avec un sens
courant
3) par substitution ou insertion
teste des noms substitués ou insérés
[exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...]
parade : éviter les substitutions et les insertions à partir de noms ou de
mots courants
4) par séquence ou inversion de séquences
teste par les séries de chiffres, de caractères
[exemple : 123456, abc123, drow (word), ...]
parade : à éviter absolument
(c) Pierre-Olivier Bourge 2013
35. Mots de passe (exemples) :
4031
carre
Picarré
hzs!Y%2v
ACaques
(force
brute)
Temps maximum pour
casser (en force brute)
instantané !
1/100ème seconde !
3 minutes
6 heures
Constante évolution : Hz , CPU => GPU
(c) Pierre-Olivier Bourge 2013
8 caractères aléatoires (Windows XP) en 6 heures pour un hacker !
et c’est même pire ... : e.g. tables arc-en-ciel, etc.
36. News
NSA
?
La
NSA
peut
décoder
tout
type
de
communica9on
chiffrée
?
Quelques
chiffres
de
puissance
de
calcul
à
l’heure
actuelle
...
CPUs GFlops X 8 alea (Windows)
Lenovo 2-Core
Mac 4-Core
Top 1-GPU
Hacker 25-GPU
SETI
BOINC
Tianhe-2
3 1 20 d
7 2 10 d
8 3 160 h
175 60 8 h
600.000 200.000 9 s
10.000.000 3.300.000 0,5 s
35.000.000 11.000.000 0,1 s
GFlops days / hours / secondsdays / hours / seconds
Hash
(c) Pierre-Olivier Bourge 2013
37. Types
d’aCaques
5) par séquence au clavier
teste des suites logiques au clavier
[exemple : azerty, azeswxc, vgyrgb, ...]
parade : éviter les substitutions à partir de noms
6) par répétition
teste les répétitions
[exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)]
parade : à éviter (n’apporte rien, augmente le signal dans l’encryption)
7) par ruse
vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe
[exemple : phishing (hameçonnage), attaque “sociale”, ...]
parade : vérifier votre connexion à un site sécurisé,
ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ...
8) par virus
un virus, ver, cheval de troie, etc. ouvre une faille dans le système
[exemple : un fichier corrompu, un programme piraté, keylogger, etc.]
parade : mettre à jour votre anti-virus (fait le reste)
éviter comportements à risque (téléchargements, phishing, etc.)
(c) Pierre-Olivier Bourge 2013
38. Types
d’aCaques
9) par ... etc.
attaques par
tables arc-en-ciels,
“temporelle”,
analyse statistiques,
surchiffrement,
man-in-the-middle,
etc.
parade :
the ability to learn is just as important as the
ability to monitor (KPMG.nl)
(c) Pierre-Olivier Bourge 2013
39. En conclusion
• Sécurité
★ affaire de tous & pas que IT
★ technique + moi + les autres
★ humain : sensibilisation & éducation
★ vigilance, veille constante
★ évaluer les risques
★ pas parano ... mais pas naïf ...
(c) Pierre-Olivier Bourge 2013
The security policy should primarily be
determined by your goals, not those of
your attackers (KPMG.nl)
40. Annexes
(c) Pierre-Olivier Bourge 2013
• Comment trouver un bon mot de passe
★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...)
★ mnémotechnique (pseudo-aléatoire)
★ générateurs aléatoires (vrai = source de
bruit) : random.org
★ générateurs pseudo-aléatoires (algorithmes)
41. Types
de
mots
de
passe
1) aléatoire brut
la meilleure combinaison
exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5(
règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués
2) phrase mnémotechnique
pas loin de l’aléatoire brut lorsque suffisamment longue
exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp =>
1Udb.vélp (longueur > 8 OK)
règle : initiales des mots, insérer chiffres, ponctuations, etc.
Types
(c) Pierre-Olivier Bourge 2013
42. Types
de
mots
de
passe
3) coller quelques mots + fautes, substitutions
exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri
NOK ! Attaque par dictionnaire et substitution
4) style SMS
trop variable : si très condensé OK si phrase longue mais sinon ... ?
Bof ! Attaque par dictionnaire et substitution
Types
(c) Pierre-Olivier Bourge 2013
43. Types
de
mots
de
passe
5) clef cryptographique commune
exemple : U1CA:evd2! => GMail : GU1CA:evd2!M
=> Banque : BU1CA:evd2!a
OK à Bof ! Force brute puis décode tout facilement ...
Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8)
6) se méfier des sites non professionnels
exemple : le site références
Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ?
Types
(c) Pierre-Olivier Bourge 2013