La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Risque informatique avec Kaspersky et Project siPROJECT SI
Découvrez les risques informatiques avec l'éditeur KASPERSKY et l'intégrateur Project si Information et Audit de sécurité au 0140962119 ou info@project-si.fr
Depuis l’annonce par Microsoft du lancement de l’initiative pour l’informatique de confiance le 15 janvier 2002, le panorama des menaces a beaucoup évolué ; de même l’architecture des systèmes des informations et l’utilisation de l’internet dans nos vie de tous les jours. Irruption de la consumérisation de l'informatique, remise en cause de la notion de périmimètre de sécurité du système d'information, Cloud Computing,... tout cela dans un contexte où les menaces deviennent de plus en plus ciblées. Le but de cette session est de faire le point sur la stratégie sécurité de Microsoft en évoquant ses évolutions les plus récentes.
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
Nous vous pressentons un un panorama des menaces et des mesures à mettre en place pour protéger ses données :
- Quelles tendances pour la cybersécurité en 2017 ?
- Comment se protéger au mieux ?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
Intervention du 19/11/2021 à la Belgian Cyber Security Convention pour informer les entreprises wallonnes sur les aides existantes afin d’améliorer leur niveau de sécurité informatique
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
Cette présentation vise à discuter du rôle des tests d'intrusion et audit de sécurit. dans le cadre du cycle de développement application d'une entreprise.
Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant concentrés au niveau des applications et sites Web.
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Risque informatique avec Kaspersky et Project siPROJECT SI
Découvrez les risques informatiques avec l'éditeur KASPERSKY et l'intégrateur Project si Information et Audit de sécurité au 0140962119 ou info@project-si.fr
Depuis l’annonce par Microsoft du lancement de l’initiative pour l’informatique de confiance le 15 janvier 2002, le panorama des menaces a beaucoup évolué ; de même l’architecture des systèmes des informations et l’utilisation de l’internet dans nos vie de tous les jours. Irruption de la consumérisation de l'informatique, remise en cause de la notion de périmimètre de sécurité du système d'information, Cloud Computing,... tout cela dans un contexte où les menaces deviennent de plus en plus ciblées. Le but de cette session est de faire le point sur la stratégie sécurité de Microsoft en évoquant ses évolutions les plus récentes.
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
Nous vous pressentons un un panorama des menaces et des mesures à mettre en place pour protéger ses données :
- Quelles tendances pour la cybersécurité en 2017 ?
- Comment se protéger au mieux ?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
Intervention du 19/11/2021 à la Belgian Cyber Security Convention pour informer les entreprises wallonnes sur les aides existantes afin d’améliorer leur niveau de sécurité informatique
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
Cette présentation vise à discuter du rôle des tests d'intrusion et audit de sécurit. dans le cadre du cycle de développement application d'une entreprise.
Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant concentrés au niveau des applications et sites Web.
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Les solutions de Breach and Attack Simultation (BAS) ont commencé à se développer en Europe et en France au cours de l’année 2022.
Elles apportent une nouvelle dimension au combat cyber : celle de la mesure de l’efficacité réelle de la détection et de la réaction. Les CISO’s ne veulent plus se contenter des promesses des éditeurs de solutions cyber (xDR, DLP, IP/DS, PXY,...), ou des fournisseurs de services (SOC, NOC, MSSP,...).
Ils expriment le besoin d’une maîtrise renforcée de leurs moyens de SecOps en lien avec l’évolution de la nature des attaques cyber et la perte de contrôle liée à la cloudification.
Ce besoin repose sur deux axes : Humain et Technologique.
Les résultats de l’étude reposent sur 85 campagnes de simulation réalisées sur 11 pays en 2022."
Un projet de migration antivirus
ne présente pas de complexité
particulière. Il serait pourtant
mensonger de dire que migrer se fait
en un claquement de doigts. Comme
tout projet, la migration demande
de la préparation, de la planification
et de l’investissement humain. On
ne change donc pas d’antivirus sans
raison valable mais quand la nécessité
l’impose, l’enjeu et l’envol en valent la
chandelle.
Nos solutions de protection F-Secure : http://www.nrc.fr/nos-solutions-infra/securite-informatique/
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
Cette formation représente la première partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore.
Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams.
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques.
Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs !
C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
Si les grandes entreprises ont entrepris de se protéger, les PME sont loin de ces problématiques. Comment les atteindre et les convaincre du risque ? Quelles solutions leur apporter?
Article publié dans La Tribune le 10 février 2015
L'année dernière, les téléchargements de logiciels malveillants inconnus ont augmenté de plus de 900% avec plus de 970 téléchargements par heure comparativement à 106 l'année précédente.
Virus malveillants connus et inconnus, bots et vulnérabilités sur les mobiles, découvrez où votre organisation est la plus exposée dans le Rapport de Sécurité Check Point 2016.
Intrusions et gestion d’incidents informatiquemichelcusin
Avec le nombre croissant d’attaques informatique faisant rage à l’échelle mondiale, les gouvernements ainsi que les petites comme les grandes entreprises n’y échappent pas. Les groupes de pirates informatiques tels que Anonymous et LulzSec, pour ne nommer que ceux-ci, font la loi dans le cyber espace. Ils sont très bien organisés et revendiquent des attaques très dévastatrices qui figurent parmi les plus médiatisées. Ils défient publiquement les autorités, les gouvernements et tous ceux qui semblent se mettre en travers de leur chemin. Rien ne semble les arrêter. Une fois introduits dans les systèmes de leurs victimes, ils s’adonnent notamment au pillage d’information confidentielle et la publient ensuite sur Internet.
Les gouvernements étrangers sont, eux aussi, très actifs. Que ce soit à des fins stratégiques, politiques ou économiques, ces derniers ne ménagent aucun efforts pour parvenir à leurs fins. Contrairement à certains groupes de pirates informatiques, ils travaillent dans l’ombre. Ils ne cherchent pas à faire de coup d’éclat, mais plutôt à obtenir des résultats.
Mais peu importe qui ils sont et ce qu’ils cherchent à faire, les mêmes questions se posent: comment font-ils pour s’introduire dans nos systèmes? Comment pouvons-nous protéger nos infrastructures contre ces attaques qui sont souvent invisibles et qui surviennent la plupart du temps à notre insu?
Certaines pistes de solutions à ce fleau s’offrent à nous. Nous devons réagir, mais surtout, agir de façon proactive si nous ne voulons pas perdre la guerre. Il est crucial de découvrir nos failles avant que les pirates ne le fassent. Mais malgré tous nos efforts, il est clair que tôt ou tard, nous aurons à faire face à de multiples scenarios d’attaques et d’intrusions. La question n’est pas “si” mais plutôt “quand” cela arrivera. Nous devons donc nous préparer à y faire face.
Voici donc la présentation que j’ai fait lors du séminaire sur les intrusions et gestion d’incidents informatique à ActionTI le 23 novembre 2011. Elle explore diverses techniques employées par les pirates ainsi que certains outils qu’ils utilisent. Elle explique comment les pirates s’y prennent pour trouver les failles de sécurité et comment ils les exploitent afin de prendre le contrôle de nos infrastructures. Nous verrons également comment ils réussissent à garder l’accès aux systèmes qu’ils ont compromis et comment ils tentent de cacher leurs traces.
Plusieurs parents se sentent parfois dépassés, impuissants ou tout simplement démunis face à l’utilisation que leurs enfants font des ordinateurs et d’Internet. Cet atelier à donc pour bût d’aider les parents soucieux d’éduqué et de protéger leurs enfants face aux multiples dangers qui les guettent sur Internet. Il n’est pas nécessaire d’être un craque en informatique ou un expert en sécurité pour suivre cet atelier. Des principes simples et de base seront abordés afin de permettre aux parents de mettre immédiatement en pratique les notions apprises.
Que diriez-vous si le réseau informatique de votre entreprise pouvait être attaqué et entièrement compromis, et ce, à l’aide d’un seul dispositif? Que ce dernier aurait la taille du transformateur électrique d’un ordinateur portable et qu’il serait indétectable et impénétrable à partir du réseau? Qu’il pourrait s’attaquer à vos infrastructures tant via votre réseau filaire que sans fil? Imaginez si ce dispositif permettait même à l’attaquant de contourner la plupart de vos mécanismes de défense (FW, IDS, etc.) en lui permettant de contrôler l’ensemble de votre parc informatique à distance via un réseau cellulaire? Vous diriez surement que ce scénario sort tout droit d’un film de science-fiction. N’est-ce pas? Eh bien non, ce scénario est bien réel. Bienvenue dans le monde des « Pwn Plugs »!
Les « Pwn Plug » sont des dispositifs de petite taille livrés avec une multitude d’outils fréquemment utilisés par les pirates, le tout déjà installé et prêt à être utilisé. Parmi ces outils il y a : Metasploit, Social Engineer Toolkit (SET), SSLstrip, Nmap, Dsniff, Netcat, Nikto, Ettercap, John The Ripper, Kamertasploit et la suite Aircrack-NG pour ne nommer que ceux-ci. Il ne suffit que de connecter le « Pwn Plug » au réseau de la « victime » et de l’utiliser, localement ou à distance.
Thank you for collaborating with your local hackersmichelcusin
This document appears to be a presentation on cybersecurity and hacking techniques. It discusses how hackers gather public information, the wireless landscape and vulnerabilities, social engineering techniques using social networks, spamming and phishing scams, cross-site scripting attacks, botnets and how they are controlled, and an overview of security strategies organizations should employ. The presentation provides examples of actual hacking methods and stresses the importance of security awareness and defense in depth.
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Article_pentest_Secus 10 12
1. E X PE RTIS E
Test de
pénétration (pentest ):
au-delà des apparences
PAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc.
Les organisations font-elles régulièrement vérifier la sécurité
de leur environnement technologique par des firmes externes
qui effectuent des analyses de vulnérabilité et des tests d’in-
trusion ? Si oui, le font-elles pour les bonnes raisons ?
Malheureusement, certaines entreprises font faire des tests de pénétration
afin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effet
et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ-
nement technologique. D’autres font faire des tests d’intrusion afin de découvrir les
failles de leur environnement technologique et d’avoir sur lui la même vision que les
attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire
dans la vraie vie.
Michel Cusin est le fondateur de la firme
Peu importe les motivations pour lesquelles ces organisations font faire ces
Cusin Sécurité inc. Il possède plus de douze vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les
ans d’expérience en sécurité de l’infor- mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la
mation. En tant qu’instructeur et consultant méthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at-
en sécurité, il a développé une solide
expertise en architecture, en analyses
tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce qui
de vulnérabilité, en tests d’intrusion, en devrait se retrouver dans le rapport ?
gestion d’incident, en formation, etc.
Il détient entre autres les certifications TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉ
CISSP GIAC (GCIH, GPEN), CEH, OPST et
, Un test de pénétration est très différent et beaucoup plus intrusif qu’une
d’autres, reliées à divers manufacturiers
de solutions de sécurité. Il est l’un des simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin
rares mentors et instructeurs franco- l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière.
phones au SANS Institute et il est chargé Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et
de cours au certificat en cybersécurité elle est loin d’être aussi exhaustive.
de la Polytechnique de Montréal. Il par-
ticipe à divers événements de sécurité Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse
à titre de conférencier, publie des de vulnérabilité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide-
articles et fait partie des responsables ment, où est le problème ?
de BSidesQuébec. Son blogue traite de
sujets liés à la sécurité.
« Sans équivoque, leréels de l’organisationdétermine de
les risques d’affaires
test de pénétration
dans le but
pallier ces derniers le plus rapidement et le plus efficacement
possible. L’un de ses objectifs peut être de tester les
mécanismes de défense déjà en place tant sur le plan
technologique que sur celui des processus. »
Suite en page 13
Automne 2012 SÉCUS | 12 |
2. livrent à leurs clients le rapport original de l’outil lui-même en
ne changeant parfois que le logo du haut de la page, ce qui
n’a, encore une fois, aucune valeur ajoutée et qui démontre
un manque de compétence et un laxisme flagrant. Le tout
est bien sûr assorti d’une facture probablement trop élevée si
l’on considère la valeur réelle du résultat qui est, somme
toute, « un léger tapotement » sans valeur ajoutée. Certains
professionnels de l’industrie appellent ces tests des “Really
Crappy Penetration Test1”.
Évidemment, si le client ne recherche qu’un balayage
de port ou de vulnérabilité, ce qui ne se compare d’aucune
façon à une analyse de vulnérabilité et encore moins à un
test de pénétration en ce qui concerne la valeur pour l’orga-
nisation, c’est différent. Les objectifs et les résultats sont
très différents et la valeur est loin d’être la même.
LE RAPPORT D’UN TEST DE PÉNÉTRATION
Un rapport d’analyse de vulnérabilité ou de test de
Suite de la page 12 pénétration devrait notamment inclure la méthodologie uti-
Le pirate sérieux qui trouve une vulnérabilité sur un lisée, l’expertise d’un professionnel en sécurité, l’intelligence
système ne s’arrêtera pas là. Il utilisera cette faille pour com- humaine, l’interprétation de données, des explications, des
promettre le système afin de s’en servir comme tremplin ou recommandations, un sommaire, une conclusion et un cer-
pivot dans le but d’accéder au reste de l’environnement et tain accompagnement pour qu’il y ait une valeur réelle pour
d’atteindre ainsi le système qui contient le « secret de la le client. Si une entreprise reçoit un rapport qui ne contient
Caramilk ». pas ces éléments, elle est en droit de s’interroger et même
De plus, comme les techniques d’attaque ont grande- de refuser le rapport.
ment évolué, les attaquants utilisent maintenant des De plus, un rapport devrait inclure la liste détaillée des
méthodes qui exploitent des vecteurs d’attaque qu’une simple vulnérabilités, idéalement par ordre de sévérité (haute,
analyse de vulnérabilité ne « couvre » pas nécessairement, moyenne, basse). Pour chacune des vulnérabilités, des
contrairement à un test de pénétration. informations telles qu’une description de la vulnérabilité, la
Les pirates, eux, font de vrais tests. Les entreprises, façon dont cette dernière peut être exploitée par un atta-
elles, en font-elles ? quant, le type de connaissances requises pour l’exploiter, des
Voici une analogie intéressante. Quelle méthode est la solutions pour chacune des vulnérabilités découvertes et les
plus efficace pour détecter une bombe cachée dans une systèmes affectés devraient être fournies.
valise à l’aéroport ? Celle de tapoter la valise légèrement Suite en page 14
sans l’ouvrir en demandant à son transporteur s’il y a une
bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux
rayons X et de la faire sentir par un chien renifleur ? En fait,
veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponse
est non, boum ! Si la réponse est oui, on prend les moyens qui
s’imposent pour le savoir. Toutefois, qu’advient-il si la machine
à rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro-
duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive-
t-il si le chien renifleur ne s’assoit pas à côté de la valise ou
s’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person-
nel ne reçoit aucune consigne sur la façon de gérer la situa-
tion ? Évidemment, le parallèle avec les tests et les rapports
déficients est simple à faire. Non ?
Malheureusement, les rapports d’analyses de vulnéra-
bilité ne sont que trop souvent des copier-coller presque inté-
graux et sans valeur ajoutée du résultat provenant d’un outil
accessible à tous (parfois gratuit). Pire encore, certaines firmes
Automne 2012 SÉCUS | 13 |
3. Abonnez-vous
à notre magazine !
(www.secus.ca)
Suite de la page 13
Puis, un rapport devrait présenter des recommanda- doit comprendre l’importance de prendre le temps d’y réfléchir
tions spécifiques basées sur les résultats réels du présent sérieusement. Si quelqu’un magasine une fourgonnette pour
test et non des conseils génériques (par exemple, « suivez transporter sa famille, le prix du véhicule sera-t-il son unique
les bonnes pratiques et appliquez les rustines ») qui pour- critère ou considérera-t-il également les options de sécurité ?
raient s’appliquer à n’importe quel environnement du même
type. Non pas que ces avis ne devraient pas s’y retrouver, CONSEILS
mais ils devraient être contextualisés et non génériques. Magasinez vos tests et utilisez les éléments men-
Dans un test de pénétration, la transparence est de tionnés plus tôt afin de vous faire une grille d’évaluation.
mise, donc aucune « magie-noire-ésotérique-vaudou » ne N’hésitez surtout pas à rajouter des critères qui vous sem-
devrait venir mystifier le test, bien au contraire. L’organisation blent importants. Cela vous aidera à comparer les différentes
est en droit de savoir tout ce qui se passe. L’heure de début options disponibles dans les offres que vous recevrez. De
et de fin de l’une des phases du test, l’adresse IP source du cette façon, vous serez en mesure de comparer des pommes
testeur, le système exploité, le moment approximatif de avec des pommes.
« Beaucoup trop d’médiocres et sans
l’événement, les techniques et outils utilisés, etc.
Il s’agit de l’environnement de l’entreprise. Ses respon- entreprises se
sables doivent être à l’aise avec le processus. L’utilisation contentent de rapports
d’une méthodologie reconnue est également très importante
dans le but de s’assurer que les tests sont structurés et tou-
valeur réelle. Un test de pénétration de
jours effectués de la même façon. De cette manière, les résul- qualité moyenne avec un bon rapport
est beaucoup mieux qu’un super test de
»
tats devraient être les mêmes, peu importe qui fait le test.
Plusieurs méthodes existent à cet effet telles que l’Open Source pénétration avec un rapport médiocre.
Security Testing Methodology Manual 2, le Penetration Testing
Execution Standard3, le Technical Guide to Information L’objectif d’un test de pénétration est donc de déter-
Security Testing and Assessment du National Institute of miner les risques d’affaires et non de démontrer comment le
Standards and Technology4. L’organisation est également en pentesteur est un « super-l337-kung-fu-ninja » et que rien ne
droit de demander à ce que la liste des outils utilisés pour lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous
faire les tests apparaisse dans le rapport, et ce, tant sur le payez, c’est le rapport. C’est lui qui vous aidera vraiment à
plan des outils commerciaux que des logiciels libres (open déterminer les risques, les vulnérabilités, les actions et les
source). budgets auxquels vous devez accorder la priorité.
Bon test de pénétration !
LE COÛT D’UN TEST DE PÉNÉTRATION
Le coût d’un test de pénétration peut varier de façon 1. « Très mauvais test de pénétration »,
importante. Trop souvent, la décision de l’entreprise n’est http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in-
basée que sur le prix du test de pénétration. C’est donc le pen-testing?reply-to-comment=101.
2. www.isecom.org/research/osstmm.html (en anglais).
moins cher qui l’emporte ! Cependant, comme il s’agit de la 3. www.pentest-standard.org/ (en anglais).
sécurité de son environnement technologique, de ses don- 4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
nées, de sa réputation, et de bien plus encore, l’organisation (en anglais).
Automne 2012 SÉCUS | 14 |