Résumé de la réunion du groupe Paris de l’OSSIR du 8 octobre 2013

Résumé de la réunion du groupe Paris de l’OSSIR du 8 octobre 2013

La dernière réunion de l’OSSIR s’est déroulée le 8 octobre dernier dans les locaux de Solucom. Les sujets suivants y ont été présentés :

  • BYOD: Bring Your Own Deception ? par Antoine DURAND (Oxylane, groupe Decathlon)
  • La cybersécurité vue des USA par Renaud DERAISON (Tenable)
  • Revue d’actualité par Nicolas Ruff

BYOD: Bring Your Own Deception ? (Antoine DURAND / Oxylane, groupe Decathlon)

Antoine Durand est venu présenter la démarche adoptée par Decathon et le Groupe Oxylane concernant le phénomène du BYOD. Ce phénomène est souvent évoqué comme étant subi par les entreprises. Pour différentes raisons liées à l’histoire de l’entreprise et à sa constitution et à sa philosophie, la société a entamé un processus dont l’objectif était de généraliser et de simplifier l’adoption du BYOD à la majorité des employés du groupe de par le monde.

Comme son nom l’indique, l’un des objectifs était de permettre aux employés le désirant de travailler avec leur propre matériel (ordinateur portable et smartphone) à la place de celui mis à disposition par l’entreprise. Cependant, une telle évolution dans le monde du travail n’est pas sans conséquence et à de nombreux effets de bord. Il est en effet nécessaire, particulièrement en France, de maitriser la partie juridique (avenant au contrat de travail, assurance du matériel). Côté avantage pour les salariés, en plus de travailler avec leurs propres outils et dans leur environnement préféré (Windows ou Mac), ces derniers perçoivent une compensation chaque mois compensant le remplacement du matériel tous les trois ans. La société met aussi à disposition des outils permettant à la communauté des BYODer de s’entraider.

La sécurité du SI a aussi été adaptée pour faciliter l’adoption du BYOD :

  • déploiement de VPN permettant d’accéder aux ressources internes depuis n’importe quel lieu ;
  • obligation du déploiement de l’antivirus Corp sur les postes des BYODer ;
  • déploiement d’un MDM ;
  • adaptation de la politique de sécurité en matière de mot de passe ;
  • migration des applications vers un mécanisme de fédération d’identité.

Aujourd’hui, le projet est donc maitrisé pour Oxylane. Par ailleurs, l’adhésion des collaborateurs au programme initié montre que l’on ne peut pas parler de déception. Principale attente de la part de l’entreprise, l’élaboration d’un cadre réglementaire européen pour simplifier la mise en place d’un tel projet au sein des entreprises : de nombreuses problématiques se posent aux entreprises qui travaillent à l’international dès lors que des données personnelles sont en jeu.

SLIDES

La cybersécurité vue des USA (Renaud DERAISON / Tenable)

Le Français Renaud DERAISON, auteur du célèbre scanner de vulnérabilité Nessus, est ensuite intervenu pour présenter l’offre de solutions proposées par Tenable.

L’objectif de la société est de proposer des produits permettant de surveiller de manière continue les équipements présents sur un réseau, afin d’identifier les points faibles en vue de mettre en oeuvre les actions à prendre pour se protéger ; ainsi que d’être en mesure de prouver à un tiers le niveau de sécurité du système d’information.

Cette vision est entre autre poussée par les réglementations nationales, telles que le FISMA ou plus récemment CyberScope aux Etats-Unis qui imposent aux agences gouvernementales de mettre en place des programmes documentés pour protéger leurs systèmes, ainsi qu’à envoyer régulièrement des rapports détaillant ce niveau de sécurité. Ce même type de contrainte existe dans d’autres domaines, comme celui des certifications ou des normes pour le secteur privé (PCI DSS et autres).

Pour répondre à ce besoin, la société propose plusieurs produits tels que le scanner de vulnérabilités Nessus. Ce Scanner actif permet de répondre aux questions suivantes en réalisant des scans en boîte noire, en boîte blanche (mode authentifié), voire en mode mixte (couplage de Nessus à un logiciel tiers d’administration de parc ou de gestion de patch). Nessus permet aussi de réaliser des audits de conformité en se basant sur des référentiels variés : PCI, SANS 20 Critical Controls ; ou encore d’identifier les systèmes compromis par des malwares.

Tenable propose aussi PVS, un scanner de vulnérabilité passif, qui permet, contrairement à Nessus qui capture une image de l’état du système d’information à un instant donné, de surveiller en temps réel les changements sur le SI entre deux scans. Pour cela, PVS se contente d’écouter le réseau afin d’en déduire les failles.

Enfin, le dernier produit proposé est LCE qui est capable d’agréger des logs et de les corréler afin d’identifier les failles potentielles.

L’ensemble de ces applications peut être géré au travers d’une interface unifiée baptisée « SecurityCenter ». La présentation s’est conclue par une démonstration des fonctionnalités offertes par cette interface.

SLIDES

Revue d’actualité (Nicolas Ruff, EADS Innovation Works)

La réunion s’est terminée, par l’incontournable revue de l’actualité du mois écoulé, présentée par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité. Parmi les points à retenir :

  • Adobe a été victime d’une intrusion via l’exploitation d’une faille impactant Coldfusion
  • Le site pirate « Silk Road » démantelé par le FBI
  • FireEye, Symantec et Kaspersky publient leur rapport sur les cyber-attaquants
  • Des pirates s’attaquent aux terminaux de paiement de Simply Market
  • Suite aux révélations sur PRISM, l’Europe suspend le partage des données SWIFT
  • La cyberguerre fait des morts : le chef du cyberwarfare iranien assassiné

SLIDES

Prochaines dates à retenir pour les événements organisés par l’OSSIR :

  • 22 octobre 2013 : AfterWork réservé aux membres de l’OSSIR, avec une présentation de Frédéric Raynal (Quarkslab) intitulée « Projet Ivy: la carte d’Internet » ;
  • 12 novembre 2013 : prochaine réunion du groupe Paris ;

Enfin, le thème de la prochaine JSSI qui se déroulera le lundi 17 mars 2014 a été annoncé : Est-il encore possible de se protéger ? L’appel à communications a aussi été publié.


Cert-XMCO