Présentation de la solution. OSSIR groupe Paris 15/06/2010

Documents pareils
DenyAll Detect. Documentation technique 27/07/2015

Gestion des Incidents SSI

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Créer un tableau de bord SSI

La sécurité des systèmes d information

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Découvrir les vulnérabilités au sein des applications Web

Catalogue Audit «Test Intrusion»

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Qu est-ce qu un système d Information? 1

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Infrastructure Management


HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Gestion des incidents

L hygiène informatique en entreprise Quelques recommandations simples

Livre Blanc SI : contrôle des prestataires externes Septembre 2010 Page 2

99% des failles de sécurité dans les entreprises

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Projet Sécurité des SI

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

LA PROTECTION DES DONNÉES

Gestion du risque numérique

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Sécurisation d un site nucléaire

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Prestations d audit et de conseil 2015

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

MSP Center Plus. Vue du Produit

Sécurité des Postes Clients

Panorama général des normes et outils d audit. François VERGEZ AFAI

Cabinet d Expertise en Sécurité des Systèmes d Information

Campus Numérique. Université du Travail. Systèmes de communication, sécurité, d un Campus Numérique Académique. 24 mai Guy Leroy - Vincent Dewez

Congrès national des SDIS 2013

DÉPARTEMENT FORMATIONS 2015 FORMATION-RECRUTEMENT CATALOGUE. CONTACTS (+226)

Indicateur et tableau de bord

Les outils de DLP (Prévention contre la perte d information) Pierre Samson Spécialiste des ventes, Solutions de sécurité Montréal

Serveur de messagerie

HEBERGEMENT SAGE PME Cloud Computing à portée de main

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

Audits de sécurité, supervision en continu Renaud Deraison

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

L Expertise du Coffre-fort Bancaire au Service du Dossier Patient

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

ACCÉLÉREZ VOTRE BOUTIQUE AVEC UN HÉBERGEMENT E-COMMERCE 100% PRESTASHOP & MAGENTO

«ASSISTANT SECURITE RESEAU ET HELP DESK»

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

Vers un nouveau modèle de sécurité

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

La citadelle électronique séminaire du 14 mars 2002

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Excellence. Technicité. Sagesse

Sécurisation et résilience des services DNS/DHCP Gestion de l adressage IP automatisée

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

AUDIT CONSEIL CERT FORMATION

Les risques HERVE SCHAUER HSC

La Sécurité des Données en Environnement DataCenter

Vulnérabilités engendrées par la virtualisation. Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL

Architecture réseaux Nouveau schéma directeur

dans un contexte d infogérance J-François MAHE Gie GIPS

INTRUSION SUR INTERNET

Sécurité des réseaux Les attaques

Appliances et logiciels Security

Release Notes POM v5

PPE 2-1 Support Systeme. Partie Support Système

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Déterminer quelle somme dépenser en matière de sécurité des TI

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Comment protéger ses systèmes d'information légalement et à moindre coût?

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Retour d expérience sur Prelude

Perdu dans la jungle des droits d accès?

La sécurité applicative

face à la sinistralité

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Bienvenue dans le programme partenaires beronet Présentation des produits beronet beronet GmbH

Transcription:

Présentation de la solution OSSIR groupe Paris 15/06/2010

Sommaire Introduction Information et menaces Contrôles VulnIT, concept et architecture Démonstration Avenir Conclusion 2

Introduction Vincent Maury 28 ans, marié Ingénieur IT en 2004 4 ans d audit IT (externe et interne) Clients industriels, services, bancaires Outils existants Expérience du partage Windows 3

L importance de l information Croissance exponentielle de l information Tous les secteurs, toutes les tailles d entreprise De plus en plus numérique Information connectée (Internet, Extranet) Impact plus large, plus accessible 4

Vocabulaire Potentialité Les menaces peuvent à l occasion exploiter des vulnérabilités et contourner les mécanismes de sécurité pour voler des informations ou nuire. Contrôle Impact 5

Externes Piratage, DDoS, trojan Internes Les menaces Par mégarde ou malintentionnée Partenaires Prestataire, hébergeur, infogéreur 6

Répartition des menaces Source : Verizon Business (2009) 7

Impact Disponibilité de l infrastructure Valeur du bien Secret industriel, fichier client Règlementaire PCI DSS, Loi Détraigne-Escoffier (art. 7) Image de l entreprise Défacement de site web Stratégique Annonce marketing 8

Chiffrage Coût moyen d une fuite de données en France : 2,53 millions de $ Source : Ponemon Institute (2010) Nombre d enregistrements compromis, par vol PCI DSS : Les pénalités publiées par Visa sont de 25 k$ mensuels pour non-conformité et 500k$ d amende pour compromission Source : CLUSIF (2009) Source : Verizon Business (2009) 9

Potentialité Probabilité d occurrence de la menace Exposition (banque vs. sidérurgie) Exploitabilité des vulnérabilités 59% des organisations ont déjà perdu des données personnelles critiques (70% pour les plus de 75.000 salariés, 40% pour les moins de 500) Source : Accenture (2010) 37% des entreprises de 200 salariés subissent des vols d'informations, 65% des sociétés de plus de 1.000 salariés Source : CLUSIF (2009) Les attaques ciblant les données de l entreprise ont presque doublé en 2009 dans le monde (PWC, 2009) 10

Sommaire Introduction Information et menaces Contrôles VulnIT, concept et architecture Démonstration Avenir Conclusion 11

A priori Les contrôles Dissuasifs (log, sanction) Préventifs (ACL, patching) A posteriori Palliatifs (PSI, PCA) Confinement Mieux vaut prévenir que guérir 12

Prise de conscience Source : Byrnes & Scholtz, 2005 13

Maturité française Source : PWC (2009) 14

Y a-t-il un contrôleur? Quid des contrôles? 87% des vols de données auraient pu être évités par des contrôles simples (Verizon Business, 2009) Le RSSI (Responsable de la Sécurité du SI) 21% des entreprises de plus de 200 salariés, 43% pour celles de plus de 2000 salariés (CLUSIF, 2008) 60% des entreprises ne savent pas dire s ils ont subi des incidents de sécurité (PWC, 2009) 15

Qui est le RSSI? Sources : CLUSIF et ENE (2008) 16

Checkpoint Potentialité Maturité Dépendance à l IT Impact TPE 10 PME (2,7M) ETI (5K) GE (300) 250 5000 17

3 problèmes Manque de temps Manque de moyens Manque de compétences 18

La solution VulnIT Manque de temps Manque de moyens Manque de compétences 19

Sommaire Introduction Information et menaces Contrôles VulnIT, concept et architecture Démonstration Avenir Conclusion 20

Live USB Concept Plug & Audit Clé USB bootable Environnement intégré Avantages Automatique Portable Sans installation 21

Identifier Démarche «black box» Serveurs, services, architectures Tester De manière adéquate et ciblée Consolider Un rapport homogène et cohérent 22

Outils open-source Architecture Communauté d experts Nombreux, ciblés Difficiles d approche Plateforme VulnIT Intégration d un panel d outils Transparent pour l utilisateur netcat, dig, fping, smbclient, medusa, snmpwalk, rpcclient, nbtscan, tnscmd 23

Tests de sécurité Bases de données (authentification), Partages de fichiers (Windows, FTP), Connexion à distance (SSH, Telnet), Messagerie (relai de spam), DNS (transfert de zones), Supervision (SNMP). 24

Diagramme macro 25

Diagramme micro Diagramme disponible sur la page Ressources du site www.vulnit.com 26

Démonstration Démonstration et exemple de rapport d audit consultables sur la page d accueil du site www.vulnit.com 27

Sommaire Introduction Information et menaces Contrôles VulnIT, concept et architecture Démonstration Avenir Conclusion 28

Evolution Mais encore? Patch management (OpenVAS) Web (SQLi, XSS) Wifi VoIP SaaS Nouvelles cibles Nouveaux tests 29

Limites Test applicatif difficilement automatisable Test boîte noire vs. revue de configuration Source : Livre blanc SSI, Groupe 4 30

Concurrence Outils experts et onéreux IBM, HP (20K$ a minima) Concurrence directe Nessus, Qualys Concurrence étrangère Support technique Traçabilité Traces d audit 31

Les plus connus VulnIT Nessus Qualys Société Française Américaine (Maryland) Américaine (Californie) Approche Plug & Audit Installable SaaS Support Clé USB Logiciel téléchargeable Appliance + web Scan de ports Oui Oui Oui Tests ACL DB Oui Oui Oui Patch Mngt V2 Oui Oui Wifi V2 Non Non Licence À la clé À l utilisateur À l utilisation Prix 990 / 1490 1200 $ 2500 $ + variable 32

Conclusion Importance information menaces et vulnérabilités contrôle Solution innovante et accessible Plug & Audit Rapport d audit Contrôle doit s inscrire dans une démarche (ISO ) 33

Un site web www.vulnit.com Une adresse Pour en savoir plus contact@vulnit.com Un téléphone 01 55 94 92 71 Merci 34

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back