Qu’est-ce que c’est  ?

Un événement français unique qui se déroule tous les ans (début octobre), et qui vise à faire rencontrer les décideurs des plus grandes entreprises de France avec une large sélection des sociétés à même de proposer des solutions ou des services autour de la sécurité.

Expliqué ainsi, cela parait fade !

Les Assises de la Sécurité , en le disant autrement :

• C’est à Monaco dans un cadre exceptionnel,
• Vous êtes pris en charge de la descente de l’avion à votre retour, hotel, repas etc…
• C’est l’occasion de rencontrer quasiment tous vos interlocuteurs habituels , plus de ‘prospecter’ pour éventuellement changer de fournisseur, ou faire de la veille technologique, ou prépaper un appel d’offre dans le cadre d’un prochain projet.
• Ce sont des RDV individuels à  votre rythme,
• Ce sont des tables rondes rares par la qualité de leurs intervenants,
• C’est sont de multiples ateliers de 45 min consacrés à un sujet par un fournisseur.
• Vous rencontrez vos pairs, avec les mêmes questions et problèmes que vous ! C’est très très précieux.
• A la fin, vous avez la tête remplie d’idées, de projets
• A la fin vous vous dites : comment font-ils (DG Consultants, l’emblématique Mr RIO , l’omni-présent Tristan TREVOUX  pour plus de 2000 personnes et toute l’équipe réellement présente et prévenante)

L’objet de l’article, un résumé des ateliers  proposés : certains sont très orientés produits et commerciaux, d’autres préfèrent « vendre » leur société à travers une démonstration de leur savoir faire (quelques uns comme ci-dessous, plus BT Services qui a fait un atelier très remarquable sur la sécurité des paiements NFC).

Ne sont pas reproduites les conférences d’ouvertures (avec le président de l’ANSSI), ni de fermeture (avec JM BOCKEL et son rapport).

Dans la mesure du possible et surtout de l’autorisation rarissime des sociétés, vous y trouverez le diaporama.

Ci-dessous, quelques uns parmi ceux qui m’ont semblé les plus intéressants.

 

XMCO – les quick win de la sécurité, solutions pragmatiques  de sécurisation

Liste non exhaustive de 10 conseils sur la sécurisation de son SI.

1 – un navigateur sur internet sans activation de flash, java et activex (Firefox, Chrome) et forcer ce navigateur par défaut. => élimine 80 % des vulnérabilités de 2011/2012

2 – exploiter au max l’antivirus ; s’assurer de la détection de hacking tool, activer la détection de débordement de tampon, activer détection pwdump, fgdump, cain&abel , Metasploit, activer la  protection temps réel, empêcher désactivation par l’utilisateur, installer l’AV sur les serveurs => lutte contre les intrusions ciblées de type APT

3 – avoir un plan de réaction. Ne rien faire (pas éteindre, pas débrancher, , rien supprimer appeler un huissier ou xmco), copier le contenu de la mémoire avec dumpit.exe par exemple, exporter les logs des equipements périmétriques (proxy, fw, ad), communiquer ce plan à tous les admins. => pertinence de la source des données pour analyse forensiques, d’avoir une chance d’identifier la source, et d’avoir des données « certifiées »

4 – maitriser son exposition sur le web. Inventaire des ressources exposées, bloquer les interfaces d’admin, détecter ouverture de port inopinées, surveiller les ajouts de sites web non audités. => le niveau de menace augmente de façon exponentielle avec le nombre de serveurs visibles sur internet.

5 – active directory :  lister régulièrement les admins de domaine, tester les mots de passe, restreindre par GPO l’usage des comptes de service, vérifier que l’antivirus soit actif sur les contrôleurs (avec détection pwdump). => la maitrise et le durcissement des comptes d’admin ralentissent la progression d’une intrusion.

6 – sensibilisation des développeurs, mini formation sur exploit SQL injection, Directory transversal , exemple de contournement de la logique d’application, exploitation d’une faille d’un framework (cms, jboss),usage de l’ OWASP => réduction des couts d’audit, réduction des couts de re développement après audit, amélioration du niveau de sécurité de ce qui est livré.

7 – chiffrement des laptops, imposer un chiffrement natif (bitlocker, android, ios), imposer le verrouillage par mot de passe, désactiver le firewire+pcmcia (accès direct mémoire possible , donc contournement des systèmes de chiffrement) => limitation des risques de fuite d’information sensible en cas de vol/perte d’équipement.

8 – durcir les téléphones et tablettes, configurer effacement à distance, chiffrer les données avec les solutions natives, forcer le verrouillage après 5 min, interdire les markets non officiels et jailbreak (via une charte pour commencer) => limitation des risques de fuite d’information en cas de vol/perte d’équipements.

9 – anticiper le BYOD,  l’accepter mais l’isoler, proposer un hotspot wifi dédié, forcer un portail captif pour l’identification (idem que ce qui est pratiqué pour les hôtels), les ressources internes ne doivent être accédées que par vpn => statisfaire 95% des besoins des VIP…

10 – traquer les données sensibles, avec un compte standard, se balader dans les partages, explorer les fichiers avec windows , sur mot clés « password », « login » , « confidentiel » . Des  outils spécialisés PCI DSS (xmco PAN Buster) : rechercher des numéros de CB en clair dans des systèmes de fichiers. => identifier des données sensibles « oubliées »

Quelques idées de l’an passé :

1 – imiter les connexions SQL par source IP,

2 – démontrer par l’exemple l’intrusion dans des données  business,

3 – empêcher les connexions sortantes any vers internet (notamment http, https),

4 – clauses de sécurité précises dans les contrats (clauses avec société de dev et intégration), précis/convis sur exigences de sécu, indiquer les checklist),

5 – ouvrir son réseau RSSI et établir d’autres liens(contacts avec partenaires, faire part de ses retours d’expérience, oser le premier pas).

 

Sogeti – BYOD – Le BYOD se produit, que les entreprises soient préparées ou non.

La mise en œuvre de byod implique des règles spécifiques comme : le droit de wiper un téléphone avec des données perso ?

Dangers : absence de standard, personnalisation par équipementiers, abondance d’applications, connectivité, mobilité, verrouillage par les constructeurs.

Différents vecteurs d’attaques :

• distants =  wifi, lecteur pdf, navigateur + appli réseau, 3G/GPRS, applications .
• locaux = Backup,  port usb, cart sim.

Vulnérabilité dans chaine de confiance de démarrage (bootrom), les outils framework iphonedata protection permettent d’exploiter faille et de retrouver le code pin en 20 min => accès à l’ensemble des données.

Efforts Apple pour renforcer les devices mais  : exploit possible avec Apple file Connection = présent sur tous les idevice (protocole utilisé par itunes pour synchro fichiers et sauvegarde).

• Si utilisateur connect son idevice sur un chargeur usb public (corrompu), si l’utilisateur déverrouille son écran, le pc connecter pourra alors récupérer les données => pas de patch existant.
• Sur une station de réveil ou audio sur certain dock station (présents en hotels), l ‘idevice pourra être pompé via iPownDock et Evilmaid.=> pas de patch existant.

Sauvegardes idevices contient les mots de passe, clés de chiffrement (stocké dans keychain). Outils comme Elcomsoft permet de tester jusque 35000mp/s),  extraction des données possibles si possession de l’idevice et jailbreak de celui-ci= > lecteure de toutes les données du backup.

Le KeyChain iOS  contient : passwords wifi, paramètres messagerie, clé vpn, comptes ldap, .

Conclusion : un équipement jailbreaké ne peut plus garantir la confidentialité des données/stockés sur équipement.

Retour d’expérience  sur la sécurité des applications mobiles :  problème de stockage des clés de chiffrement dans le code, en dur ou absence de protocoles de chiffrement => manque de maitrise des concepts de chiffrement par les développeurs.

Points de vigilance :  identifier les éléments  à protéger, ne pas stocker les clés sur l’équipement, ne pas autoriser l’export des données ou du coffre fort, vérifier identité du server et du client avant échange

MDM (mobile device management)  : solution au byod ? Pas suffisant. Permet une surveillance des terminaux et surveillance des logiciels via OTA. Solutions mono plateformes et multiformes. Les fonctions du MDM sont définies par les fonctions finales présentes sur le terminal. Permet de connaitre l’état du terminal (batterie,  jailbreak,…), connections ou pas à l’icloud, forcer l’utilisation du password de déverrouillage, de sauvegarde, effacer/verrouiller un téléphone compromis.

Attention, la détection du jailbreak est insuffisante = juste présence de fichier jailbreak, donc si fichier renommé = détection false. Et contournement facile… manque de maturité quand au MDM vis-à-vis des devices jailbreakés.

Trois  axes : Containeriser les emails, ségrégation des contacts,

Solutions : mobileiron, godd,

Une combinaison des vpn, MDM ou sandbox permet d’augmenter le niveau de sécurité.

Sécurité doit être basée sur équipements, applications, infrastructure.

Solucom – Sécurité Applicative – quelle organisation pour garantir son succès.

Retour d’expérience d’Areva  sur l’apport de la sécurité  dans les projets applicatifs.

• Constat de la sécurité du marché :
  • les applis internes ou achetés sont systématiquement vulnérables.
  • Ces applications ne prennent pas en compte la défense en profondeur. C’est plus un assemblage de composants de sécurité sans design global.
  • Pas de prise en compte d’une éventuelle compromission de l’application, pas conçue pour détecter compromission, pas de respect du moindre privilège
  • Risque de compromission par les  développeurs, administration de leur propres plateformes, administrateur de leur postes, code développé par copier/coller, mode livraison du code très variables (ftp non signé, usb, etc…). Méthodologies pas toujours compatibles avec la sécurité( RAD, XP, AGILE)
• Au moment de la demande  :Analyse du risque  partagée par métier/DSI,  cadrage pré etude
• A la pré etude : PoC, audit de code, Document Architecture Technique (DAT) macro,  analyse de risque complète
• Projet : design par DAT complet,  mise en production implique vérification de l’alignement du DAT avec les demandes, contrôle et audit  pour certaines applications.
• Liste non exhaustives de fausses bonnes idées :
  • application protégée par un WAF, le WAF protège de l’exfiltration, la WAF génère tous les logs à lui tout seul.
  • La DMZ n’est pas faite pour être perdue
  • Une archi DMZ est un passe plat
  • La DMZ est un problème de segmentation réseau et ne concerne pas l’applicatif
  • Le service prod s’occupera seul de la prise en charge de ‘installer en prod. Le projet n’est pas concerné par la virtualisation, les interfaces d’admin, de stockage, de backup.
  • Le maintien en condition de sécurité et le besoin de supervision est l’affaire uniquement de la prod et pas du projet.
• la trajectoire : mettre en place une cellule de sécurité dans la construction des appli. Appui d’une méthodologie OpenSAMM couplée avec roadmap. Intégrer la cellule sécurité dans tous les projets, dans tout le portefeuille.

75 % des menaces sont applicatives.

Suite audits Solucom : 82% sont css, 76% sont vulnérables divulgation techniques, 31% vulnérables sql injection,

Le rôle du RSSI : constat du manque d’expertise applicative , peu de soutien et d’apport dans les contextes applicatifs. Les tests de vulnérabilité arrivent trop tard, lacunes dans la configuration des applications en prod.

Pour améliorer, centraliser les actions autour d’une cellule de sécurité applicative

• Maintenir et Améliorer  la sécurité dans le temps
• Sécurisation dans toutes les étapes du projets
• Simplifier la vie des acteurs du projet, voire les rendre autonome.

Construire une Cellule de sécurité applicative ( archi appli, dev, cdP app) + en moyenne 1 membre Sec pour 50 dev EQTP.

La cellule ou SecAPP : lien important avec les achats (dev externes, contrats de sous-traitance), lien avec les études et MOA, lien avec la production

3 niveaux de maturité » pour une seccapp  : proximité de terrain, capitaliser,  et offrir un catalogue de service + utiliser  référentiel type BESIMM4

• Cibler 5 à 10 projets clés, aller sur le terrain,
• Capitaliser , s’appuyer sur un outillage,  intégrer les étapes de conception et s’assurer du contrôle des actions. => s’appuyer sur OWASP et formations.
• Créer un catalogue de services avec cout, réactivité, et prédire le cout de la sécurité. (exe: authentification, traçabilité, anonymisation, revue de code, recette, audit boite noire, boite blanche, tests manuels, tests automatisés , revue de l’archi,)

3 parties : faire (réalise), savoir faire (capitalise) , savoir faire faire (industrialise)

Etre au près des interlocuteurs concernés.

Thales – Sécurité & Mobilité – approche d’une cartographie

Évolution drastique du besoin en applications métiers commercialisées ou propriétaires.

3 cagoteries d’applis : – applications de commodités, de business commerciales, business développées.

3 stratégies : sécuriser les applications, sécuriser le bureau, sécuriser le téléphone.

2 provenances de terminaux : employé ou entreprise.

ANSSI : le byod est une fausse bonne idée en terme de sécurité.

Analogie avec Bring your own clothes, équivalent BYOD et Get your work clothes (équivalent BYOL). Certains secteurs imposent des éventements, d’autres n’en ont pas besoin.

Le BYO est à la sauce de tout (network, softs, etc…)

Le BYOL :  versus BYOD : plus ou moins d’espace perso versus espace pro. Dans tous les cas, les entreprises apportent l’espace pro, les employés apportent les données perso mais avec une balance différente.

Applications de commodités : blackberry  pour entreprise = ennuyeux byod = cool pour terminaux personnels,

Applications business et critiques = danger si terminaux personnels, = valeur ajoutée pour flotte d’entreprise.

BYOD = bring your own drink = cool.

BYOD = couts cachés3.6 eqtp pour 1000 smartphones entreprise, 294$ d’invest par utilisateur, 4.0 eqtp en 2013 pour 1000 smartphones, et 339$ par utilisateur.

Selon gartner  en aout 2012: le byod est en phase haute (sommet des attentes démesurées)

Byod lié à apple ? Ios fiable, pas si sur.  Faille ios5, iso6 non solutionné, sms frauduleux, concours hack bitdefender montrant l’accès aux données personnelles. Pas de bons élèves parmi les mobiles.

E.Kaspersky en avril 12 : apple 10 ans de retard sur MS en terme de sécurité.

Byo Disaster ? Hypothèse probable si cela continue ainsi.

La notion de terminal sécurisée est incompatible avec le BYOD. La sécurisation des applications sur du BYOD nécessite des efforts importants (partenariat avec externes + charge RH, couts softs importants).

L’approche « bureau sécurisé » semble le plus viable = pas de modification du code source,

Plus les données ont de la valeur, plus le BOYL s’impose. SI les données sont limitées au mail + agenda = byod possible à conditions d’y intégrer des solutions MDM.

BMC software – sécurité et gestion du cycle de vie des équipements mobiles.

Notion d’utilisateur mobile  plutôt que équipements mobiles .

Obstacle de sécurité mobile : utilisateurs, équipements, application, documents, données, messagerie, réseau, conformité.

Adopter une approche équilibrée entre mobile entreprise(raz, app store entreprise, etc…) et mobile employés.

Gestion du cycle de vie des équipements mobiles = déployer, configurer, sécuriser, apps contenu, surveiller & gérer, assister

Une solution MDM  intégrée : une seule solution pour tous les équipements,gestion des demandes de service, provisionning, demandes d’assistances, alertes et escalades dynamiques, gestiond de l’expérience de l’utilisateur final, fournir la CMDB avec des informations des équipements mobiles.

Les applications mobiles d’entreprise vont devenir de + en + importantes .

Rex du rssi du CG02 : lorsque tous les mobiles entreprise devenaient bien gérés, les utilisateurs ont commencé à amener leur propre équipements. Gestion nécessaire de 125 corps de métiers, 2800 users, 1500 nomades (mais pas tous équipements), , mélange d’os de type Windows Mobile, iOS. La solution : passer une plate forme dédiée pour gérer parc hétérogène avec des applications disparates. Indique pour le moment avoir échappé au BYOD mais reste contraint par un besoin d’une grande variété de mobiles.

BMC indique être fournisseur de solutions MDM pour Air France suite dispatch des ipad pour PN.

SFR – Maitrisez les smartphones et tablettes de vos collaborateurs.

Solution MDM de SFR.

Contexte client = Complexité sur les différents équipements, sur les type de données pro/perso, variété sur les modes de connexion.

Exigences du MDM : sécuriser, configurer à distance, maitriser le parc, assister les utilisateurs.

Solution SFR  basé sur un logiciel embarqué, une connexion OTA, une plateforme de gestion sfr, une plateforme web.

Démo : la solution ressemble à celle de Thales (au niveau interface web). Produit Air Watch ? L’outil en mode saas, permet un verrouillage en temps réel du terminal, configurer la synchro messagerie entreprise,  déploiement possible d’applications d’entreprise,  permet d’effacer le contenu entreprise sans toucher aux données personnelles (email, appli etc…) sauf documents sauvegardés en local et mails modifiés localement.

>Module dispo pour interdire ou filtrer les devices autorisés ou non à se connecter à la messagerie du salariés .

Multi opérateur, multi os, sans investissement :  modèle de facturation au terminal géré/mois. Affectation dynamique des licences (retraits et ajouts possibles)

Interface  connectée à l’interface SFR Business Team si déjà client SFR mais pas obligatoire. Intégration possible de l’annuaire d’entreprise.

Nécessite un client Airwatch sur le device pour pouvoir lancer des wipes distants  ? Pas obligatoire pour toutes les fonctionnalités , notamment Apple.

En cas de wipe, quid des applications achetées ?

Protection des données de géolocalisation pour ne pas avoir accès aux données si terminal personnel.

LOGIN People – BYOD et ADN du numérique

Comment garder le contrôle des terminaux dans la respect législatif.

Technologie brevetée : ADN du numérique

Une signature unique est créée  en fonction d’un certain nombre de composants hard du device.

Technologie adaptée aux PC, clé USB, appareil photo, téléphone mobile, mac,…

Permet une authentification forte : ce que je sais, ce que je possède (l’adn) = authentification forte.

Fonctionne avec un Digital DNA server pour centraliser les configurations:  (transparent pour l’utilisateur, pas d’information stockée en local, , combinaison d’équipements possibles. Serveur qui possède des fonctionnalités de stratégies par groupe, intégration ldpa, fonctions selfservice, envoi email et sms. Intégration annuaire entreprise.

3 types authentification (services web soap, tradius, saml sso), sdk client lourds, appliance virtuelle ou iso dispo.

L’enrollement se fait avec une authentification à 2 facteurs minimum.

Modules d’authentification : websdk, winlogion windows, rdp adon, rich client sdk.

Ne possède pas leur propres supplicant (notamment pour Wifi).

Le client arrive sur un wifi open, dans un vlan dédié , se fait authentifier sur  dna server, puis se retrouve sur le vlan entreprise.

Solution d’authentification ouverte basé sur radius, + portail captif.

Possibilité de l’utiliser en authentification forte vpn. Intégration à office 365.

DIAPORAMA fourni par

 

Olfeo – comment gérer les accès internet des visiteurs ?

Solution développées et localisé  à chaque pays.  Livre blanc sur leur stand.

Les risques : ne pas respecter les obligations légales, ne pas respecter les hadopi, laisser les accès aux sites illicites, ne pas identifier l’auteur.

Obligations légale s: art 32 – toute personne offrant un accès internet  => considéré comme un OCE (fournisseur d’accès internet) => application de la LCEN art 6 : obligation de la sécurisation des accès (outils de filtrage), conserver les logs nominativement.

Risque hadopi : mettre en œuvre de moyen de reconnaissance des contenus et filtrage => responsable de l’accès  même si acte téléchargement a été fait par un tiers. (art 11 de Hadopi) . En attente des spécifications fonctionnelles sur les notions de filtrage et de protection d’un accès internet.

Sites illicites (environ 20 catégories identifiées) : en fonction des contenus (jeux d’argent, racisme, anorexie, protection des mineurs des droits d’auteur), les sites en fonction des produits et service (ventes de médicaments armes à feu, vente de tabac,..).

Responsabilité civile et pénale en tant que titulaire de l’accès.

Responsabilité du DSI ou RSSI qui peut être poursuivi  pour négligence fautive => nécessité d’informer le dirigeant des risques.

Responsabilité du visiteur : (civile et pénale) art 1383 du CV et art121-1 du CP => nécessité de l’authentifier (carte d’identité idéalement). Authentification par SMS (envoi du login/password pas sms), envoi des infos par mail (bof).

Remplir  les obligations de déclarations à la CNIL (normale)

Obligation d’information des personnes quant à leur droits d’accès de rectification et d’opposition et de surpression.

SI modification de charte internet == nécessite de faire viser à tous les collaborateurs à chaque modification.

Ne pas avoir de traitement  discriminatoire (bannir blocage sur sexe, origine ethnique , religion,…)

Conserver les logs : 1 an de manière nominative, 19 ans si anonyme. (decret 24 mars 2006).

Résumé : Nécessité d’authentifier, déclarer auprès de la cnil, informer les utilisateurs