Eurosec 2005 : Compte rendu d’un RSSI

Le RSSI est, au fil des années, de plus en plus reconnu et considéré au sein de son entreprise, toutefois les contraintes budgétaires font qu’il est toujours dans une position qui n’est pas forcément facile à tenir. La passion du métier qu’il exerce prend pour l’instant le dessus et les forums de ce type le confortent dans sa ligne directrice.

L’année dernière, lors de ce même événement, beaucoup de rumeurs circulaient au sujet des vulnérabilités dites « applicatives ». Cette année les rumeurs se sont transformées en quasi-certitudes. La plupart des entreprises ayant assuré correctement leurs protections périmétriques. Les tentatives d’intrusion se portent désormais de plus en plus vers les applicatifs supportés par des serveurs web, la messagerie (même si pour cette dernière cela n’est pas nouveau), et également les applications métiers. Ca et là nous entendons parler de malveillance interne exploitant des « bugs » … Nous avons eu le sentiment, au cours de diverses conversations et bien que cela puisse toujours être subjectif, que ce sujet était désormais abordé sans tabous. La communication sur le management de la sécurité pourra-t-elle être un jour intégrée au rapport annuel des sociétés ? Nous en sommes certainement encore loin, mais la vulgarisation et la pédagogie employée par les RSSI sont de nature à rassembler le plus grand nombre en créant sur le long terme une culture sécurité au sein de l’entreprise. Lors d’une conférence plénière, une cellule de crise a été constituée pour résoudre un scénario fictif mais réaliste de paralysie d’un système d’information par un ver encore inconnu auquel est venu s’ajouter une diffusion d’information sur Internet liée au vol d’ordinateur. Chacun a pu apprécier par ce jeu de rôles les bonnes pratiques de ces situations avec des petites scènes sur la façon de mener une investigation, de communiquer à l’intérieur et à l’extérieur de l’entreprise, de faire appel à la police, de prendre des décisions sereinement, de faire intervenir les différentes juridiction des pays pour interdire la publication des informations relatives aux appels d’offres et aux résultats financiers de l’entreprise. La présentation sur le « Google Hacking » nous a confirmé que bon nombre d’informations peuvent être accessibles sans avoir besoin d’interroger directement une machine hébergeant des données « intéressantes » aux yeux des pirates… En effet, il est parfois possible, sans « scanner » une machine, et donc sans se faire repérer par une sonde de détection d’intrusion, de connaître les services qu’elle héberge et même les versions de ces mêmes services… La table ronde sur les retours d’expérience PKI a été bien structurée par l’animateur. Il avait été demandé à tous les intervenants d’utiliser le même canevas (objectifs, planning, prévision/réalisé, coûts, ce qui a fonctionné/ce qui doit être amélioré…). Des éléments communs à toutes les présentations (ministère de l’éducation nationale, CEA, RTE, CNRS, Siemens, Université polytechnique d’Espagne, et l’expérience de la délivrance de certificats aux citoyens Danois) : – les problématiques liées au support sur lequel le certificat était délivré (clef USB, téléchargement sur serveur web, carte à puce) et plus particulièrement les possibilités d’intégration des drivers sur une base de PC hétérogènes – les problématiques de support à l’utilisateur, l’information et la formation. Le logiciel libre et la sécurité sont des thèmes qui reviennent également chaque année. Les trois intervenants qui se sont succédés ont partagé des expériences originales. La stratégie de la gendarmerie nationale autour du logiciel libre reste toutefois la plus remarquable. Enfin nous terminerons par deux conférences de très bonne facture, sur le thème « de la vulnérabilité à l’exploit » où les aspects techniques et légaux dans la recherche de vulnérabilités et leur exploitation ont été abordés alternativement par les intervenants. Il nous a été apporté de bonnes références techniques et juridiques, tant sur la validité des clauses contractuelles relatives aux bugs que sur la capacité à utiliser des outils de reverse engineering et à divulguer les vulnérabilités trouvées. Les dernières tendances des vulnérabilités systèmes et les solutions possibles ont clos ce thème. (*) pour Vulnerabilite.com