MISC Hors-série N°
Numéro
10

Réagir à une intrusion

Temporalité
Octobre/Novembre 2014
Image v3
Réagir à une intrusion
Article mis en avant

Définir « l'incident de sécurité »

Résumé

ISO 27035, page 7, paragraphes 4 et 5. Merci, bonne journée. Qu'il serait pratique de pouvoir s'arrêter à la définition de l'ISO de « l'incident de sécurité ». L'auteur n'aurait pas à se fatiguer davantage à écrire et, cher (chère) lecteur (trice), avec les idées enfin claires, nous pourrions passer à ce pour quoi nous tenons réellement ce recueil entre nos mains : les articles techniques. Pourtant, la question mérite sans doute d'être posée, car le gestionnaire de la sécurité vit dans la peur de cet incident de sécurité et ce même incident est ce qui justifie l'existence d'investigateurs, d'équipes de CERT, CSIRT et autres « analystes forensic ». C'est, pour utiliser les termes à la mode, l'élément précurseur de tout APT qui se respecte et définir convenablement un incident de sécurité est ce qui permet de lancer proprement la démarche de réponse sur incident.

Lire la suite

Dans ce numéro...


Aspects juridiques de la réponse à incident
Par Nnanga-Dupre Florence
Sécurité organisationnelle Droit
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Nnanga-Dupre Florence
Qu’elle soit faite dans le cadre d’une prestation de service ou dans un contexte interne à une organisation, les équipes de réponse à incident sont souvent confrontées à différentes problématiques au rang desquelles figure l'épineuse question de la conformité légale et réglementaire des actions entreprises. En effet, quelle gouvernance faut-il mettre en place en amont ? Quels sont les standards et bonnes pratiques à appliquer ? Il s'agit, par ailleurs, pour ces équipes d'être en mesure de fournir des preuves admissibles en justice dans l'éventualité de poursuites judiciaires. Quelles sont les conditions pour une telle admissibilité dans un contexte, par définition immatériel et quel cadre juridique s'applique plus généralement aux activités de réponse à incident ? Autant de questions que nous allons tenter de démystifier ici, à la lumière des textes et référentiels juridiques applicables.
> Lire l'extrait
Analyse de malware à la rescousse du CSIRT : de la rétro-conception aux IOC
Par Abouhali Mouad
Malware
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Abouhali Mouad
Cet article a pour objectif de proposer une démarche d'analyse de malware dans le cadre d'une réponse à un incident. L'analyste doit adopter une approche rigoureuse afin de qualifier la menace inhérente à cet incident tout en agissant dans un temps limité. Son objectif est de produire une analyse exhaustive du malware comprenant les marqueurs nécessaires pour contenir et éradiquer l'incident remonté.
> Lire l'extrait
Méthodologie d'analyse de vulnérabilités et production de signatures de détection
Par Roliers Jean-Paul
Exploit
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Roliers Jean-Paul
Cet article présente, à travers l'analyse de la vulnérabilité CVE-2014-0322 affectant Internet Explorer, le cheminement suivi pour parvenir à la détermination de signatures permettant de détecter les codes exploitant cette vulnérabilité.
> Lire l'extrait
Recherche d'indices de compromission sur iOS
Par Malard Arnaud, Renard Mathieu
Forensic Mobilité
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Malard Arnaud, Renard Mathieu
Cet article est une introduction à l’investigation numérique de terminaux Apple iOS. L'objectif est d’infirmer ou confirmer la compromission du terminal par un programme malveillant. Dans les différents exemples, nous partons du principe que le terminal à analyser est fourni volontairement par la victime et donc que l'éventuel mot de passe protégeant le terminal est connu. D’autre part, les thèmes relatifs à l’analyse des éléments de la chaîne de démarrage du terminal (BootRom, LLB, iBoot, etc.) ainsi que le code exécuté sur la puce radio (Baseband) ne seront pas abordés, leur complexité d’analyse nécessitant un article à eux seuls.
> Lire l'extrait
Quelle méthodologie pour une réponse à incident sur Android ?
Par Lexfo
Forensic Mobilité
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Lexfo
Les terminaux mobiles sous Android sont aujourd'hui autant ciblés par les attaquants que les postes de travail ou serveurs pour tenter de s'introduire sur les systèmes d'information des entreprises. Ces dernières doivent donc s'organiser pour prendre en compte dans leur processus de réponse à incident ces nouveaux vecteurs d'attaque. Quelle est la complexité d'un tel sujet ? Les outils existants suffisent-ils ? Comment agir sur une flotte d'entreprise ? Ce sont autant de questions auxquelles nous allons essayer de répondre.
> Lire l'extrait
La citadelle est tombée ! Cybercrise, comment s'organiser ?
Par Bombal Sébastien
Sécurité organisationnelle
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Bombal Sébastien
« Exfiltration de données », « APT », « compromission » ,  pourquoi tant d’affaires ? Quelles en sont les causes ? Comment gérer une telle situation ?
> Lire l'extrait
Débusquer l'APT dans votre parc
Par Dumont Thomas
Sécurité réseau
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Dumont Thomas
Comment détecter un attaquant à l'intérieur de votre réseau ? Cet article couvre l'examen des points terminaux, c’est-à-dire les serveurs et les stations de travail.
> Lire l'extrait
Introduction au traitement des logs et des flux réseau dans une réponse sur incident
Par Lambert Guillaume
Sécurité réseau
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Lambert Guillaume
Cet article présente une introduction à l’analyse des logs et des flux réseau dans le contexte d’un incident, de type APT ou SPT (Simple Persistent Threat pour les intimes), sur un grand parc client. Ce domaine étant vaste, cet article d’introduction s'attachera à comprendre et analyser les besoins et les aspects pratiques de l'analyse des logs et du réseau. Il se poursuivra sur des exemples, idées et axes de réflexion utiles sur le terrain d'une réponse sur incident.
> Lire l'extrait
Contrôler la sécurité des objets de l’Active Directory avec BTA
Par Czarny Joffrey
Sécurité réseau
Marque
MISC
HS n°
Numéro
10
|
Mois de parution
octobre 2014
| Czarny Joffrey
L’une des premières tâches de l’attaquant, lorsqu’il dispose d’un accès à un réseau d’entreprise, est la compromission de l’Active Directory. Pourquoi ne pas utiliser BTA pour rechercher des backdoors au sein de l'AD ? Les « mauvaises pratiques d'admins » découvertes donneront encore plus de sueurs froides aux équipes de réponse à incident :)
> Lire l'extrait

Magazines précédents

Vulnérabilités et exploits
MISC Hors-série N°9
Vulnérabilités et exploits
Logiciels espions - menace réelle à la vie privée
MISC Hors-série N°8
Apprenez à protéger votre vie privée
Introduction au reverse engineering
MISC Hors-série N°7
Le guide du Reverse Engineering
Les mains dans la cryptographie
MISC Hors-série N°6
Les mains dans la cryptographie
Cryptographie : vos secrets sont-ils bien gardés ?
MISC Hors-série N°5
Cryptographie : vos secrets sont-ils bien gardés ?
À l'assaut du Web
MISC Hors-série N°4
À l'assaut du Web

Les derniers articles Premiums

Les derniers articles Premium

Déployer un cluster AMQ Streams avec Ansible
Bénéficiez de statistiques de fréquentations web légères et respectueuses avec Plausible Analytics

Bénéficiez de statistiques de fréquentations web légères et respectueuses avec Plausible Analytics

Magazine
Marque
Contenu Premium
Auteurs
Par
Mourey Stéphane
Spécialité(s)
Web
Résumé

Pour être visible sur le Web, un site est indispensable, cela va de soi. Mais il est impossible d’en évaluer le succès, ni celui de ses améliorations, sans établir de statistiques de fréquentation : combien de visiteurs ? Combien de pages consultées ? Quel temps passé ? Comment savoir si le nouveau design plaît réellement ? Autant de questions auxquelles Plausible se propose de répondre.

Ajouter à une liste de lecture
Quarkus : applications Java pour conteneurs

Quarkus : applications Java pour conteneurs

Magazine
Marque
Contenu Premium
Auteurs
Par
Pelisse Romain
Spécialité(s)
Système
Code
Résumé

Initié par Red Hat, il y a quelques années le projet Quarkus a pris son envol et en est désormais à sa troisième version majeure. Il propose un cadre d’exécution pour une application de Java radicalement différente, où son exécution ultra optimisée en fait un parfait candidat pour le déploiement sur des conteneurs tels que ceux de Docker ou Podman. Quarkus va même encore plus loin, en permettant de transformer l’application Java en un exécutable natif ! Voici une rapide introduction, par la pratique, à cet incroyable framework, qui nous offrira l’opportunité d’illustrer également sa facilité de prise en main.

Ajouter à une liste de lecture
De la scytale au bit quantique : l’avenir de la cryptographie

De la scytale au bit quantique : l’avenir de la cryptographie

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Crypto
Résumé

Imaginez un monde où nos données seraient aussi insaisissables que le célèbre chat de Schrödinger : à la fois sécurisées et non sécurisées jusqu'à ce qu'un cryptographe quantique décide d’y jeter un œil. Cet article nous emmène dans les méandres de la cryptographie quantique, où la physique quantique n'est pas seulement une affaire de laboratoires, mais la clé d'un futur numérique très sécurisé. Entre principes quantiques mystérieux, défis techniques, et applications pratiques, nous allons découvrir comment cette technologie s'apprête à encoder nos données dans une dimension où même les meilleurs cryptographes n’y pourraient rien faire.

Ajouter à une liste de lecture
Voir les 39 articles premium
Body