MISC HS 10

RÉAGIR À UNE INTRUSION

LA CITADELLE EST TOMBÉE... QUE DOIS-JE FAIRE ?

Cliquez sur la couverture pour découvrir le sommaire et des extraits du magazine !

Plus de détails

9,00 € TTC

 
Les avis des lecteurs sur ce numero ( - 0 Avis )

Aucun avis n'a été publié pour le moment.

Merci de vous connecter à votre compte afin de pouvoir publier votre avis.

Se connecter à votre compte

Donnez votre avis

MISC HS 10

MISC HS 10

RÉAGIR À UNE INTRUSION

LA CITADELLE EST TOMBÉE... QUE DOIS-JE FAIRE ?

Cliquez sur la couverture pour découvrir le sommaire et des extraits du magazine !


APTe ou in-APT, face aux A.P.T. ? À vous de voir !

La mode des APT est bien implantée depuis maintenant quelques années et l’actualité sécu est rythmée par la publication des rapports de sociétés soucieuses de surfer sur le buzz des noms les plus improbables (vivement le rapport « tardigrade irradié » !).

Le nombre de ces rapports montre que, heureusement, les victimes commencent à découvrir ces attaques et parfois même à les rechercher. En France, la médiatisation de l’attaque de Bercy en mars 2011 a sûrement contribué à réveiller les esprits les plus endormis.

La réponse aux incidents est donc hype, utilisée commercialement pour se proclamer expert, capable de détecter, corriger et prévenir les attaques à grand renfort de « spectrométries sur équipements » ou autre « cyber intelligence » ! Mais au final, combien d’équipes sont déjà réellement intervenues sur des attaques de grande ampleur et donc aptes à fournir le service promis ? Car le forensics à l’ancienne a vécu et personne ne peut plus traiter l’incident seul à coups de dd et de grep. Aujourd’hui, l’APT ne peut être considérée que comme une crise où, nécessairement, la dimension humaine est cruciale. De plus, l’ensemble des domaines techniques de la SSI est concerné ; au-delà des OS traditionnels, tous les composants du SI : smartphones, IPBX, cœur de réseau, équipements industriels, etc. font partie du périmètre à analyser.

Bref, la situation est dramatique dans un monde qui se divise en deux catégories : ceux qui connaissent leur compromission et ceux qui doivent encore la découvrir. Or, celle-ci est encore vue comme l’étaient les poux : une maladie honteuse. Pourtant, seule la collaboration permettra de combattre l’épidémie et de réduire l’asymétrie entre attaquant et défenseur. Pour lutter efficacement, il est nécessaire de mettre en place un partage entre tous les acteurs sur les outils, les techniques d’attaques, les marqueurs, etc.  Reste à voir d’où viendra le salut. Peut-être l’ANSSI donnera-t-elle (enfin !) l’impulsion du partage généralisé ? Ou faudra-t-il attendre un acteur privé de référence en Europe continentale, à l’instar de FireEye/Mandiant ou BAE/Detica ?

En attendant cette révolution, il faut jouer les pompiers et j’espère que ce numéro vous donnera non seulement un aperçu des difficultés auxquelles il faut faire face, mais également quelques idées à mettre en œuvre.

Raphaël Rigo

 

Au sommaire de ce numéro :

Introduction

p. 04  Qu'est-ce qu'un incident de sécurité ?
p. 11  Aspects juridiques et légaux du traitement d'incident

Analyse

p. 18  Analyse de malware à la rescousse du CSIRT : de la rétro-conception aux IOC
p. 25  Méthodologie d'analyse de vulnérabilités et production de signatures de détection
p. 33  Recherche d'indices de compromission sur iOS
p. 45  Quelle méthodologie pour une réponse à incident sur Android ?

Traitement

p. 54  La citadelle est tombée ! Cybercrise, comment s'organiser ?
p. 61  Débusquer l'APT dans votre parc
p. 68  Introduction au traitement des logs et des flux réseau dans une réponse sur incident
p. 75  Contrôler la sécurité des objets de l’Active Directory avec BTA

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

MISC est un bimestriel consacré à la sécurité informatique sous tous ses aspects, où les perspectives techniques et scientifiques occupent une place prépondérante. Les questions connexes (modalités juridiques, menaces informationnelles...) sont également considérées, ce qui fait de MISC une revue capable d'appréhender la complexité des systèmes d'information et les problèmes de sécurité qui l'accompagnent.

Déjà vus

Nouveaux produits