Retour sur le congrès de l’AAPI
Technologie et sécurité
29 avril 2011 – 9h54
Les 27 et 28 avril derniers, se tenait le congrès de l’association en accès et en protection de l’information (AAPI) à l’hôtel Loews Le Concorde à Québec. Dédiée au respect de la vie privée, à la confidentialité, la protection des renseignements personnels, à la sécurité de l’information et à l’accès à l’information, l’AAPI offrait deux jours d’ateliers, de conférences, de formations et de panels sur ces sujets.
Guillaume Langlois, Directeur exécutif Technologies et sécurité chez Nurun Québec, invité à titre de conférencier à l’évènement, a fait une présentation axée sur le vol d’identité en entreprise.
Énonçant plusieurs enjeux d’arrimage entre la technologie et l’humain d’un point de vue de la prestation électronique de service, cette présentation amène des pistes de solution pour permettre aux organisations de suivre le rythme effréné de développement des nouvelles technologies.
Pour ceux qui n’auraient pas eu la chance d’y assister ou qui aimeraient la revoir, je vous invite à la consulter ci-dessous.
Véronique
Nurun vous forme en développement d’applications Web sécuritaires!
Technologie et sécurité
4 mars 2011 – 9h55
Vous êtes intéressés à se familiariser avec les principes et meilleures pratiques de sécurité relatifs au développement et à la vérification d’applications Web ? Bonne nouvelle! Nurun Services Conseils offre maintenant une formation de 2 jours sur le sujet.
Quoi
Articulée autour de la dernière version du Top 10 des risques de sécurité applicative de l’OWASP (version de 2010), cette formation est conçue de façon à fournir une vision d’ensemble de la sécurité Web. Cette formation couvre autant les principaux types de vulnérabilités, les tests d’intrusion, les aspects de sécurité en lien avec le design et le développement d’applications de même que l’intégration de la sécurité au sein du cycle de développement d’une organisation.
Quand
14 et 15 mars 2011 (ça arrive vite!)
Par qui
Patrick Rousseau-Mathieu, analyste en sécurité, spécialisé en sécurité applicative et tests d’intrusion chez Nurun Québec.
Pour qui
- Développeur
- Webmestre
- Chargé de projet Web
- Architecte technologique
- Conseiller en sécurité
Au menu :
- Introduction et mise en contexte sur la sécurité Web
- Présentation de l’OWASP (Open Web Application Security Project)
- Cycle de développement sécurisé (SDLC)
- Aspect administratif de la sécurité
- Tests d’intrusion et revue de code
- Pare-feu applicatif (WAF)
- PCI-DSS et la sécurité applicative
- Principes généraux de développement sécurisé
- Principes généraux de la sécurité serveur
Pour en savoir plus et vous inscrire
Vous pouvez également contacter Patrick Rousseau Mathieu si vous avez des questions!
Véronique
Infrastructures critiques…
Technologie et sécurité
6 octobre 2010 – 15h24
Billet 5 de 6
Plusieurs personnes utilisent Internet mais, faute de connaissances plus techniques, croient que le piratage informatique touche principalement les sites Web et les données confidentielles des entreprises.
La réalité est que le piratage peut toucher beaucoup plus que cela. Plusieurs films d’action et de science-fiction en font d’ailleurs référence. Par exemple, dans le dernier Die Hard, un jeune pirate informatique prend le contrôle des systèmes de lumières de circulation, des systèmes de contrôle électrique et plus encore. Ça peut paraître irréaliste, mais c’est bien réel. Ça reste toutefois plus complexe que 2 ou 3 clics! Voici une brève aperçue de la sécurité de ces systèmes.
Les infrastructures critiques (SCADA)
SCADA (Supervisory Control And Data Acquisition), spécialisé en télésurveillance et acquisition de données, est un sujet inconnu pour la plupart d’entre nous. Toutefois, ces systèmes contrôlent les infrastructures critiques incluant les systèmes d’électricité, les canalisations de gaz, le transport de produits chimiques, etc. Lors du BlackHat et du Defcon de cette année plusieurs conférences ont porté sur ce domaine plutôt méconnu.
L’un des conférenciers a expliqué que sur une centaine de système SCADA analysés, plus de 30 000 vulnérabilités y ont été découvertes. Ces vulnérabilités sont dues des logiciels qui ne devraient normalement pas se retrouver sur ces systèmes, tels que des clients MSN, des bases de données de services de rencontre et des jeux en ligne.
Retrouver ces logiciels sur des serveurs qui contrôlent des services critiques est assez terrifiant puisque ces systèmes devraient normalement être contrôlés à partir de modules propriétaires inconnus et très contrôlés. C’est malheureusement souvent le contraire!
Ainsi, le fait que ces logiciels soient installés sur ces serveurs permet à des logiciels malveillants tels que des botnet (réseau de zombies), des virus et des logiciels avec vulnérabilités permettant d’exploiter ces systèmes, de s’y installer. En s’y installant, ils ces logiciels malveillants peuvent ensuite attaquer les systèmes critiques et les contrôler en partie ou en entier, que ce soit au niveau de l’électricité, de l’eau ou autre.
Encore plus inquiétant, il semblerait, toujours selon ce chercheur, que les systèmes informatiques des entreprises normales semblent beaucoup plus sécuritaire que les réseaux SCADA. Il y a de quoi avoir peur…surtout lorsqu’on pense aux conséquences.
Comment sécuriser le tout?
Comme le dit James Arlen dans sa conférence et son blogue , les réseaux et infrastructures SCADA ne sont présentement pas sécuritaires et les technologies actuelles ne peuvent régler ce problème facilement. De plus, depuis une dizaine d’années, lui et d’autres firmes ont effectué plusieurs tests et analyses de sécurité sur ces systèmes et à chaque fois, malgré ce qu’en disent les experts, les systèmes critiques étaient tous branchés à Internet et non par le biais un système hétéroclite sécuritaire.
Ainsi, beaucoup de recherche et de mise en place de sécurité de base doivent être instaurés dans ces systèmes avant qu’ils ne soient complètement sécuritaires.
Je vous invite à suivre le dernier article de la série qui suivra dans les prochaines semaines. Je vous invite aussi à m’écrire personnellement à : patrick.rousseau-mathieu@nurun.com pour toute question ainsi qu’à laisser vos commentaires dans l’espace réservé, ci-dessous.
Patrick