CS Assurance: quelle confiance dans ce que vous annoncez à votre DG?

Posté par : Maxime de Jabrun || 30 September 2015 à 11:14


Vous avez relu et transmis 1347 rapports de test d'intrusion et consolidé 134 questionnaires d'autoévaluation ? Vous n’êtes pas sûr de la cohérence de ces rapports ni de la fiabilité des informations remontées ? La Red Team reste un fantasme ? Vous ne savez pas comment consolider ses résultats ? Avez-vous bien orienté vos investissements ? Comment choisir vos fournisseurs ? Comment évaluer leurs réelles compétences ?

Participez à l’atelier BEIJAFLORE aux Assises le Vendredi 2 Octobre à 10h !

Venez découvrir 5 recettes qui vous feront gagner en confiance dans l’évaluation de votre niveau de sécurité et faciliter le dialogue avec votre direction!

Maxime accompagne depuis plus de 15 ans une 20aine de sociétés dans le management et l’évaluation des risques et de la sécurité. Il partagera quelques convictions acquises sur le terrain en environnement international dans des SI de gestion et SI industriels.


BEIJAFLORE_Atelier_Assises2015.pdf (1,8MB)

Tags : , , , ,

Catégorie(s) : Les Assises

Mon téléphone et moi … et d’autres ?

Posté par : Maxime de Jabrun || 9 July 2015 à 23:08

  https://download.unsplash.com/17/unsplash_525f012329589_1.JPG

 

Co-écrit par Kevin


Le 23 juin dernier, 2 ans après les révélations de l’espionnage de la chancelière allemande Angela Merkel, les journaux Mediapart et Libération en collaboration avec Wikileaks ont révélé que la NSA avait espionné entre 2006 et 2012 les 3 derniers présidents français (Jacques Chirac, Nicolas Sarkozy et François Hollande) ainsi que différentes personnalités politiques,  dont des conseillers présidentiels, des membres de la diplomatie…Après tout, il fallait bien s’y attendre...



Comment les espions de la NSA ont-ils pu intercepter des conversations sensibles ?


More...





Tags : , , , ,

Catégorie(s) : Veille

Attaque de TV5Monde : sensibilisez vos collaborateurs !

Posté par : Maxime de Jabrun || 20 April 2015 à 10:39

co-écrit par Florian

Dans la nuit du 8 au 9 avril dernier, TV5Monde a été victime d’une attaque informatique. Les pirates se sont tout d’abord attaqués aux serveurs, puis ont pris le contrôle des comptes Facebook et Twitter, ainsi que du site Internet de l’entreprise. 

Les dernières informations à propos de cette attaque indiquent que les pirates se seraient introduits dans le système d’information de la chaîne de télévision par le biais de l’ingénierie sociale : l’abus de confiance et l’exploitation de failles humaines pour arriver à ses fins. En effet, en janvier dernier, tous les journalistes de la chaîne avaient reçu un mail de phishing (ou « hameçonnage »), et trois d’entre eux ont ouvert la pièce jointe au mail, ce qui a eu pour effet d’installer un cheval de Troie sur leur machine. 

Un incident similaire à celui de TV5Monde pourrait se produire dans votre entreprise. Alors pourquoi ne pas profiter de cette occasion pour débuter une campagne de sensibilisation qui saura toucher vos collaborateurs ?

Comment mettre en place une campagne de sensibilisation et faire en sorte qu’elle soit un succès ? More...

Tags : , , , , , , , ,

Catégorie(s) : Veille

Témoignage stagiaire : accompagnement et mise en pratique pour une montée en compétence optimale

Posté par : Maxime de Jabrun || 17 December 2014 à 17:40

Sébastien nous raconte son stage dans la practice Risque & Sécurité (R&S) :

 

Quel a été le sujet de ton stage ?

Le sujet était la compréhension technique des mécanismes d’attaques WEB et la proposition de contre-mesures adaptées.

Ce sujet se décomposait en plusieurs problématiques :

  • Analyse des scénarios d’attaques permettant la compromission de serveurs distants ;
  • Analyse des vulnérabilités exploitables sur les cibles (sites, portail, services Web) ;
  • Technique de sécurisation de serveurs pour résister aux menaces telles qu’un attaquant extérieur ;
  • Mise au point de Proof of Concept (PoC) d’attaque pour sensibiliser sur les comportements utilisateurs à risque d’un système d’information (SI).

Comment as-tu traité ces problématiques ?

More...

Tags : , , ,

Catégorie(s) : Témoignages

Les données personnelles dans le piège de la toile ?

Posté par : Maxime de Jabrun || 10 October 2014 à 18:11

 

Le mois dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) prononçait sa 6ème sanction de l’année pour défaut de sécurité des données. Cette dernière sanction cible Orange. Les données concernées sont les noms, prénoms, dates de naissance, e-mails et numéros de téléphone de près de 1,3 million de clients. Les utilisateurs de nouvelles technologies partagent massivement ce type de données sur les réseaux sociaux.

Pourquoi les Données à Caractère Personnel* doivent-elles être protégées par les entreprises? 

More...

Tags : , , ,

Catégorie(s) : Veille

Au plus près des solutions de sécurité du marché avec les Rencontres Editeurs

Posté par : Maxime de Jabrun || 22 July 2014 à 11:14

Une fois par mois, la practice Risque & Sécurité de Beijaflore (R&S pour les intimes) organise les « Rencontres Editeurs » : c’est l’occasion pour nos consultants de se réunir autour des principales thématiques de leurs missions avec un éditeur de référence sur le sujet. Ce dernier est invité dans nos locaux pour présenter son offre et une solution de sécurité associée, ainsi que son déploiement dans les environnements de nos clients...

More...

Tags : , , , ,

Catégorie(s) : Témoignages

Havex Caesar

Posté par : Maxime de Jabrun || 10 July 2014 à 18:27

SCADA, ICS, OPC, PLC1 tant d’acronymes incompréhensibles pour les non-initiés. Mais quel rapport ont-ils entre eux ?

Réponse : Ces acronymes sont tous liés au secteur industriel, plus précisément aux systèmes de contrôles industriels.

Pourquoi vous parle-t’on du secteur industriel ? Parce que comme une cité romaine impénétrable l’industrie est longtemps restée à l’écart des problèmes de sécurité liés au virus, trojan ou malware. Cependant toutes les périodes de gloire ont une fin et la découverte récente d’un malware nommé Havex en témoigne.

 

A l’instar du cheval de Troie (celui d’Ulysse et Epéios), le malware Havex brise les remparts des systèmes industriels en infectant directement les sites web des fournisseurs d’équipements de contrôle industriel. En effet des chercheurs en sécurité ont trouvé plusieurs traces du fichier mbcheck.dll (ndlr le malware Havex) directement dans les mises à jour logicielles des équipements sur les sites internet, non sécurisé, de certains fournisseurs. Cette méthode d’infection est particulièrement astucieuse, car sans le savoir les industriels compromettent leur système avec un logiciel provenant d’une « source de confiance ». Cela n’est pas sans rappeler un évènement des années 2000 où un virus connu sous le nom de « Tchernobyl » avait réussi à se retrouver livré préinstallé dans des PC.

 

Une fois les remparts franchis, grâce à l’installation du logiciel vérolé, Havex agit comme un « RAT » : Remote Access Trojan. Il offre ainsi aux hackeurs une porte d’entrée (ndlr un port de communication resté ouvert) dans le réseau infecté permettant la prise de contrôle à distance du poste. Par la suite, il établit une communication avec un serveur de contrôle et de commande (C&C) qui peut également transmettre au poste infecté de nouveaux fichiers ajoutant des fonctionnalités au malware. L’une de ses principales fonctionnalités est de scanner le réseau sur lequel évolue Havex et d’identifier les équipements qui répondent aux requêtes du « protocole » OPC1 (ndlr c’est une technique de communication majoritairement utilisé en milieu industriel pour son interopérabilité).

Havex récupère ainsi les informations (le nom du revendeur, la version du matériel, le statut, les identifiants, …) sur les équipements de contrôle industriel. Finalement, toutes ces informations sont stockées, chiffrées et envoyés au serveur C&C distant pour une analyse ultérieure par les hackeurs.

More...

Tags : , , , , ,

Catégorie(s) : Veille

Quelle équation pour l’excellence opérationnelle de la sécurité ?

Posté par : Maxime de Jabrun || 18 October 2011 à 09:30

A - LScube : Lean Six Sigma Sécurité est une boîte à outils, un cadre méthodologique inspiré de LSS et adapté à la Sécurité de l’Information.

Modelisez les processus constituant le dispositif sécurité de votre entreprise, leurs interactions avec ou leurs inclusions dans les processus métiers et IT dans un premier temps.

Intégrez la maîtrise des risques dès la phase Define dans la mise en oeuvre de la méthodologie d'optimisation de processus.

Les outils seront piochés en fonction de la complexité de la douleur à traiter et de la maturité du processus travaillé.

B - Animation : Le choix et la formation des acteurs et moteurs du projet d’amélioration sont critiques dans l’équation de performance.

Associez les opérateurs des processus sécurité à optimiser.

Choissisez un porteur du projet qui allie connaissance des risques sécurité, qualité d’évangélisateur et de management d’équipe.

Favorisez la créativité et le décloisonnement.

Formez des blackbelts ou greenbelts dans vos équipes sécurité.

C - La culture du progrès : L’amélioration continue est bien connue des familiers de la norme ISO 27001 mais pas suffisante dans une logique de rupture de performance.

Déployez concrètement au sein des équipes travaillant quotidiennement sur les processus une véritable culture de la performance opérationnelle.

Récompensez les initiatives sur ce sujet. Reconnaissez les acteurs.

Organisez des points de suivis réguliers et des outils pour partager et capitaliser sur les difficultés et solutions identifiées (organisation de morning meetings par exemple).
Vous pouvez envisager le dispositif également comme un "centre de service" sécurité avec des producteurs et des distributeurs. Partager cette culture « service » permet de focaliser les acteurs des processus sécurité sur la qualité et la satisfaction des clients de ces processus (propriétaires de risques) et de réduire leur coût de réalisation.

Pour mettre en place ce cadre méthodologique, l'animation et la culture du progrès nécessaires à l'optimisation des processus, plusieurs leviers sont disponibles.

  • décloisonner, au sein des processus, les activités sécurité afin d'en optimiser le sourcing. Ceci permet de faire en sorte que chaque partie du processus sécurité soit réalisée par les acteurs les plus à même de le faire (en terme de compétences, d'intérêt, de réactivité...)
  • appliquer les démarches de progrès reconnus, notamment DMAIC, Kaizen, A3 et PDCA en fonction de la complexité du problème et de la connaissance de la solution.

Tags : , , ,

Catégorie(s) : OPIS

APT : les trois lettres qui font trembler le monde de la sécurité

Posté par : Veille || 4 October 2011 à 18:12

Petite devinette : Qu’est-ce que le Ministère français de l’Économie et des Finances, Google, RSA et Citigroup ont en commun ?

More...

Tags : , ,

Catégorie(s) : Veille

Les 9 meilleures pratiques du leader Sécurité

Posté par : Maxime de Jabrun || 3 October 2011 à 17:48

Une étude menée par le Security Executive Council a identifié les 9 pratiques qu'avaient en commun les Responsables Sécurité reconnus pour leur performance et efficacité dans leurs entreprises. En voici la synthèse illustrée par quelques retours d'expérience de notre équipe.

More...

Tags : , ,

Catégorie(s) : Veille

Les blogueurs

C'est à l'occasion de notre première participation aux Assises de la Sécurité que nous avons eu envie de créer un espace ouvert aux professionnels qui partagent nos centres d'intérêt.

Un espace d'échanges donc qui nous donne le loisir d'exprimer nos points de vue sur les problématiques Risque et Sécurité mais surtout - et nous l'espérons - de recueillir vos avis éclairés.

Twitter