Misc 94

CERT, CSIRT et SOC en pratique :

comment s'organiser et quels outils mettre en place ?

  • Création et gestion d'un CERT : retour d'expérience et écueils à éviter
  • TheHive, Cortex et MISP : un écosystème libre de Threat Intelligence et de réaction
  • A la découverte des concepts de Threat Hunting et de Threat Analytics
  • Quel est l'impact de la Loi de Programmation Militaire pour les CERT ?

Plus de détails

8,90 € TTC

 
Les avis des lecteurs sur ce numero (
- 2 Avis )

Excellente publication (comme toujours!).
Une mention spéciale pour l'article sur la psychologie comportementale appliquée au mot de passe. Cela ouvre un peu le champ de la réflexion sur cette problématique récurrente des politiques de mots de passes. Inétressant de lire un autre point de vue que la seule course à la complexification "mécanique" des MdP : de plus en de caractères, renouvellés de plus en plus souvent... ingérable à terme pour nos pauvres cerveaux.
Au contraire, aidons les utilisateurs et "nudgeons" les!

Posté le 2017-12-09 par Ivonig L

Très bel article de @GilFavier sur la psychologie comportementale appliquée aux mots de passe. Les entreprises vont devoir changer de paradigme

Posté le 2017-11-30 par Antoine P

Merci de vous connecter à votre compte afin de pouvoir publier votre avis.

Se connecter à votre compte

Vous aussi, donnez-nous votre avis

SOMMAIRE :

Malware Corner

p. 04 Instrumentation de machines virtuelles avec PyREBox

Pentest Corner

p. 08 PfSense : obtention d'un reverse-shell root à partir d'une XSS

Forensic Corner

p. 18 ELK, une SIEM à prendre au sérieux

Dossier

p. 29 Martine monte un CERT s02e01
p. 36 TheHive, Cortex et MISP : la cyberdéfense à portée de main
p. 46 Threat hunting 101
p. 52 Voyage au centre de la Loi de Programmation Militaire

Système

p. 60 Psychologie comportementale, que faire du mot de passe ?

Cryptographie

p. 66 Le bon, la brute et le WPA2

Organisation et Juridique

p. 74 Maturité d'entreprise et plan d'action pour la mise en conformité avec le GDPR

edito :

     Quand ça commence à se voir, ça s’appelle une fuite de données massive [1]

     À moins d’être commercial dans une boite de conseil en sécurité des systèmes d’information, il est probable que la date d’application de la RGPD [2] ne soit pas attendue avec la plus grande impatience.

     Lorsque l’on est consultant avec une appétence pour la technique, devoir faire de l’audit de conformité ne fait pas forcément sauter au plafond. Et si vous êtes du côté de la production informatique, la longue liste d’actions à engager pour aligner son système d’information sur les exigences règlementaires a de quoi donner quelques migraines. Entre les actions organisationnelles, telles que la nomination d’un DPO, la sensibilisation des maîtrises d’ouvrage à la gestion de risques, et les actions techniques comme la portabilité des données ou encore la « pseudonymisation », la mise en oeuvre de la RGPD ne risque pas d’être une partie de plaisir et va coûter du temps et de l’argent à toutes les organisations disposant d’un système d’information important.

     Pourtant, si nous en sommes arrivés à devoir avancer à marche forcée, contraints par un arsenal règlementaire de plus en plus contraignant, c’est aussi parce que force est de constater que l’autorégulation commence à sérieusement montrer ses limites.

     En effet, un des enseignements des dernières fuites de données massives est qu’il ne faut pas attendre des miracles de la main invisible du marché pour sécuriser les données personnelles. Verizon n’a finalement obtenu qu’un rabais de 350 millions de dollars [3], soit moins de 7% sur le rachat de Yahoo! alors que ce dernier a laissé fuiter la totalité de son trésor de guerre, les données de ses 3 milliards de comptes utilisateurs. Quant à Equifax, qui a laissé s’échapper dans la nature les données de 145 millions de clients américains, soit la moitié de la population, son action a certes fait un plongeon de 35% le jour de l’annonce, mais celle-ci a depuis repris des couleurs. Et nous pouvons parier que lorsque la prochaine fuite de données massive surviendra ces deux dernières seront oubliées.

     En définitive, comme l’écrit Schneier dans un billet sur le site de CNN [4], cela coûte moins cher aux entreprises de faire le dos rond et de payer une boite de communication pour de la gestion de crise lorsqu’une fuite de données survient que de dépenser de l’argent pour protéger les données personnelles de leurs « clients ». Comme l’explique Schneier, l’amélioration de la sécurité dans l’industrie agroalimentaire, pharmaceutique ou celle du transport n’a jamais été le fait des sociétés elles-mêmes, mais de la règlementation imposée par la puissance publique.

     Un non-respect de la RGPD pouvant entraîner des sanctions financières allant jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros (le montant le plus élevé étant retenu), espérons que l’arbitrage entre protection ou gestion de crise se fasse maintenant en faveur de la sécurité des données.



Cedric Foll / cedric@miscmag.com / @follc

[1] https://www.nolimitsecu.fr/fuites-de-donnees-massives/

[2] https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

[3] http://siliconvalley.blog.lemonde.fr/2017/02/22/verizon-obtient-un-rabais-pour-racheter-yahoo/

[4] http://edition.cnn.com/2017/09/11/opinions/dont-complain-to-equifax-demand-government-act-opinion-schneier/index.html

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits