MISC N°
Numéro
94

CERT, CSIRT et SOC en pratique : comment s’organiser et quels outils mettre en place

Temporalité
Novembre/Décembre 2017
Image v3
CERT, CSIRT et SOC en pratique : comment s’organiser et quels outils mettre en place
Article mis en avant

Résumé

Il n’est pas une semaine, pas un jour, sans qu’un média ne se fasse l’écho d’une cyberattaque, perpétrée par un loup, un chat, un ours ou un panda. Des adversaires nécessairement « sophistiqués » se cachant derrière des noms d’animaux, sans oublier la « plèbe » de la cybercriminalité qui assaille les multiples équipements de l’humanité hyperconnectée.

Dans ce numéro...


Quand ça commence à se voir, ça s’appelle une fuite de données massive [1]. À moins d’être commercial dans une boite de conseil en sécurité des systèmes d’information, il est probable que la date d’application de la RGPD [2] ne soit pas attendue avec la plus grande impatience
Qui n’a jamais rêvé de réaliser une analyse dynamique ou une session de debugging depuis l’extérieur du système cible (via l’hyperviseur ou l’émulateur) ? Qui n’a jamais rêvé de le faire en python ? Si vous vous reconnaissez dans ces deux phrases, PyREBox est fait pour vous. Cet article présente cet outil open source ainsi que son API python et comment il est possible de créer des extensions python afin d’automatiser des tâches.
Les vulnérabilités XSS restent généralement sous-évaluées, inconsidérées, alors qu’elles permettent des méfaits d’une grande criticité. Le présent article détaille comment obtenir un reverse-shell root à partir d’une simple XSS GET via un cas concret : la distribution firewall-routeur pfSense 2.3.2.
ELK, acronyme issu des trois composants principaux de la suite (Elasticsearch, Logstash, Kibana) est depuis longtemps maintenant une référence dans la collecte des logs et leur analyse. Les derniers ajouts sur la suite Elastic et notamment sur le Machine Learning posent une question : ELK ne serait-il pas en passe de devenir un SIEM incontournable ?
L’année prochaine les CERT souffleront leur 30ème bougie. Peu de gens le savent, mais le CERT Coordination Center [CERT/CC] fut créé aux U.S.A. par la DARPA en 1988 en réponse au ver Morris. Celui-ci exploitait des vulnérabilités dans des services exposés sur Internet ainsi que la faiblesse des mots de passe de certains utilisateurs. Les incidents de 2017 - WannaCry puis NotPetya - ont démontré que, près de 30 ans plus tard, la marge de progrès reste… conséquente. Les cyberattaques de toutes intensités sont quotidiennes et les CERT sont plus que jamais le maillon central de la cybersécurité des entreprises comme des États. Anticipation, Détection, Réaction, les missions des CERT s'étoffent année après année et elles nécessitent une adaptation constante aux menaces et aux besoins de leurs constituency [CONST]. Par ailleurs, la résilience de la Nation dépend désormais si fortement des systèmes d’information de certaines entreprises ou administrations que la France a fixé les objectifs et les exigences de cybersécurité de ces opérateurs d’importance vitale [OIV]. Leurs CERT et plus généralement leurs équipes de détection et de réaction devront être certifiées, ou a minima conformes, respectivement aux référentiels PDIS et PRIS, tel que nous le verrons dans l’article consacré à la LPM.
Un CSIRT ou un SOC ne saurait être efficace sans des outils appropriés. Certes, l’organisation de l’équipe, l’écriture et la diffusion de procédures adaptées au périmètre à défendre et régulièrement maintenues, ainsi qu’une veille continue sont essentielles pour être en mesure de défendre un système d’information contre les viles attaques qui le visent. Mais le choix d’outils destinés à faciliter autant que possible le renseignement sur les menaces, la réponse à incidents de sécurité informatique et les investigations numériques se révèlent tout aussi importants. D’autant plus que nous vivons à une époque où les aigrefins de tout acabit pullulent. La collaboration étroite entre les membres d’un CSIRT ou d’un SOC et le partage avec leurs pairs sont donc choses vitales...
« Il ne faut pas vendre la peau de l’ours avant d’avoir sinkholé tous ses domaines » -- Ancien proverbe chinois
Sous couvert d'une terminologie législative un tantinet martiale, le monde militaire a depuis peu fait son entrée dans le quotidien de quelques geeks barbus, férus de sécurité qui ne s'y attendaient pas vraiment, avec la promulgation de la loi de programmation éponyme. Cet article a la modeste ambition de vulgariser le sujet et de proposer un tour d'horizon des conséquences de cette évolution règlementaire, en particulier pour les équipes en charge de la détection et de la réponse aux incidents de sécurité.
Le mot de passe est et reste le moyen le plus répandu pour accéder au système d’information en entreprise. Mal comprises et peut-être mal définies, les politiques de mot de passe ne sont pas efficaces. Mais à qui la faute ? Peut-on changer la donne ?
Le WPA2 est le mécanisme de sécurisation des réseaux Wifi le plus utilisé aujourd’hui. Cependant, depuis quelque temps, il commence à montrer ses limites. Nous verrons quelques-unes d’entre elles.
Les organismes et entreprises doivent être conformes aux exigences du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en mai 2018. À un an de l’échéance, un grand nombre d’organisations n’a pas formalisé de démarche, ni initialisé de plans d’action. Nous nous intéressons ici à la formalisation d’un plan d’action juridique, organisationnel et technique adapté en soulignant les difficultés inhérentes à un profil de maturité.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Le combo gagnant de la virtualisation : QEMU et KVM

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

C’est un fait : la virtualisation est partout ! Que ce soit pour la flexibilité des systèmes ou bien leur sécurité, l’adoption de la virtualisation augmente dans toutes les organisations depuis des années. Dans cet article, nous allons nous focaliser sur deux technologies : QEMU et KVM. En combinant les deux, il est possible de créer des environnements de virtualisation très robustes.

Brève introduction pratique à ZFS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Il est grand temps de passer à un système de fichiers plus robuste et performant : ZFS. Avec ses fonctionnalités avancées, il assure une intégrité des données inégalée et simplifie la gestion des volumes de stockage. Il permet aussi de faire des snapshots, des clones, et de la déduplication, il est donc la solution idéale pour les environnements de stockage critiques. Découvrons ensemble pourquoi ZFS est LE choix incontournable pour l'avenir du stockage de données.

Générez votre serveur JEE sur-mesure avec Wildfly Glow

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Et, si, en une ligne de commandes, on pouvait reconstruire son serveur JEE pour qu’il soit configuré, sur mesure, pour les besoins des applications qu’il embarque ? Et si on pouvait aller encore plus loin, en distribuant l’ensemble, assemblé sous la forme d’un jar exécutable ? Et si on pouvait même déployer le tout, automatiquement, sur OpenShift ? Grâce à Wildfly Glow [1], c’est possible ! Tout du moins, pour le serveur JEE open source Wildfly [2]. Démonstration dans cet article.

Body