Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conférence Atheos – Atlab - Qualys : de l’IAM à la cybercriminalité

septembre 2010 par Marc Jacob

Atheos, en partenariat avec sa filiale Atlab et Qualys, a organisé une conférence dont le titre était « Comment optimiser votre protection face aux menaces actuelles ? ». Cet événement a permis à plus d’une soixantaine de RSSI de bénéficier d’un état des lieux de la cybercriminalité par le témoignage de l’un d’entre-eux, mais aussi du retour d’expérience d’un second sur son approche des tests d’intrusion et d’une présentation de Samuel Dralet, directeur d’Atlab, et de Christophe Bianco, directeur EMEA de Qualys.

Michel Van Den Berghe

Après le traditionnel message de bienvenue de Michel Van Den Berghe, président d’Atheos, qui a présenté son entreprise et annoncé que les prochaines RIAM se tiendraient à Saint-Tropez du 25 au 27 mai, il a cédé rapidement la parole à un RSSI qui a fait un état des lieux de la cybercriminalité.

En préambule, il a stigmatisé la « mansuétude coupable de la presse » vis-à-vis des pirates informatiques en rappelant que certains journaux avaient qualifié le pirate informatique Croll de « gentil » pirate alors que les actions qu’ils avaient menées durant l’été dernier tombe sous le coup de la loi française. Il a aussi pointé le Pwn20 qui a lancé un concours de hacking afin de « faire tomber » des navigateurs IE8, Firefox…et l’iPhone.

Enfin, il a cité le philosophe Rekka Himanen qui considère les « Hackers comme les citoyens modèles de l’ère de l’information et dont l’éthique par rapport au travail et à l’argent est fondé sur la passion, le plaisir ou le partage. » Selon ce RSSI, les pirates seraient soit des cybercriminels, attirés par l’argent, soit des « cyber-guerriers », donc des soldats payés par un état dont l’objectif serait de détruire les infrastructures d’un pays ennemi en limitant les pertes humaines, ou enfin un cyber-terroriste, dont le but est de faire un maximum de victimes civiles. Face à ces menaces, les états et les entreprises doivent prendre trois types de postures : la dissuasion, la « cyber-law » et la guerre numérique.

Christophe Bianco

Pour Christophe Bianco, directeur EMEA de Qualys, dans ce nouveau contexte la recherche de vulnérabilités est devenue incontournable. Ainsi, au 2è trimestre le laboratoire de Qualys a découvert 939 vulnérabilités. Selon lui, cette multiplication des vulnérabilités ne peut plus être gérée manuellement ; une recherche automatisée doit être mise en œuvre. Il a regretté que l’industrie de la sécurité n’agisse pas assez de façon concertée alors qu’en revanche la communauté des pirates travaille de concert. Face à ces menaces, le Cloud Computing peut être une réponse en faisant déplacer le combat. En effet, la technologie évolue beaucoup trop vite aujourd’hui pour qu’un SI puisse répondre en temps réel aux nouvelles menaces. Les opérateurs de Cloud peuvent mettre en place de nouvelles contre-mesures très rapidement ayant en principe tous les nouveaux outils de protection. Ainsi, Qualys a procédé à une dizaine de nouvelles releases de ses solutions cette année en toute transparence pour ses clients. Par ailleurs, cette entreprise s’est engagée dans un programme de lutte contre les malwares en proposant des solutions gratuites comme Malware Detection Service. La société fournit les informations recueillies à l’ensemble des éditeurs d’anti-malware afin qu’ils enrichissent leurs bases et soient plus réactifs. D’autre part, l’éditeur vient de lancer le programme « Obsolete Software project » qui permet de poursuivre la veille de sécurité sur les softwares obsolètes comme les anciennes versions de Windows ou d’Adobe qui ne sont plus supportées par les éditeurs. Enfin, Qualys a lancé Browser Check qui permet de contrôler les plug in des sites Web.

Samuel Dralet

Il faut combiner les scans de vulnérabilités automatiques et manuels

Pour Samuel Dralet, directeur d’Atlab, il est nécessaire de combiner les scans de vulnérabilités automatiques et manuels. En effet, les scans automatiques permettent de détecter de façon industrielle les vulnérabilités, mais ils ne permettent pas de vérifier si elles sont toutes exploitables. Il a donné plusieurs exemples pour étayer son propos, dont la fameuse faille Samba de cet été qui avait été détectée mais dont la vulnérabilité n’était pas exploitable sur toutes les versions. Il a proposé une démarche en trois étapes :

- Accompagner à la mise en œuvre des outils Qualys
- Utiliser un accès privilégié au VOC d’Atlab
- Effectuer une planification des audits sur des périmètres précis.

Un RSSI client de Qualys a rebondi en faisant part de son expérience en ce domaine. Dans le cadre de sa certification PCI DSS, il procède tous les mois à des audits de vulnérabilités en étant plus exigeant que ne le demande cette norme (une fois par trimestre). Selon lui, cette cadence lui permet de procéder plus facilement à des remédiations. Par ailleurs, il procède aussi à des tests de vulnérabilités manuels afin de vérifier plus profondément son SI. Pour ce faire, il estime qu’il faut travailler avec des cabinets différents afin d’avoir à chaque fois une nouvelle vision sur les vulnérabilités découvertes. Il a conclu son intervention en estimant que l’application sérieuse de la norme PCI DSS est un vecteur d’amélioration globale de la sécurité du SI.




Voir les articles précédents

    

Voir les articles suivants