Téléchargement Infosecurity Magazine

Transcription

Téléchargement Infosecurity Magazine
INFO
ANNÉE 1 - MARS 2015 - WWW.INFOSECURITYMAGAZINE.BE
SECURITY
MAGAZINE
ICSS CYBERSECURITY CONFERENCE LOUVAIN
OBSERVATIONS ET PERSPECTIVES
PARFOIS SURPRENANTES,
PARFOIS PLUS ATTENDUES
‘NOUS N’APPRENONS PAS DE NOS
ERREURS, LES CYBERCRIMINELS BIEN,
MALHEUREUSEMENT’
SPÉCIALE EXPOSITION
INFOSECURITY - STORAGE EXPO - TOOLING EVENT
BONNES PRATIQUES POUR MIEUX SÉCURISER LES SYSTÈMES DE GESTION DE BÂTIMENTS - DIRK COOLS
SOUHAITE PROMOUVOIR G DATA CHEZ LES ENTREPRENEURS BELGES - UN RÉSEAU SÉCURISÉ EN TROIS
ÉTAPES - UNE INFRASTRUCTURE PROGRAMMABLE EST-ELLE VRAIMENT SÉCURISÉE ? - UN SCRIPT
CONTENANT DES HASH-CODES PERMET DE DÉTECTER UN LOGICIEL BRICOLÉ - LE CRYPTAGE S'IMPOSE
TOUJOURS DAVANTAGE - ‘BEAUCOUP DE CYBERCRIMINELS COMMENCENT PAR DES VOLS NUMÉRIQUES
DANS DES JEUX EN LI-GNE’ -COLONNE GUY KINDERMANS
Not PURE
g
Colophon - Éditorial
Infosecurity Magazine est le seul magazine indépendant au Benelux consacré
exclusivement à la sécurité informatique. Le magazine est à la croisée des
enjeux technologiques et stratégiques.
Depuis le fonctionnement de la barrière à l’entrée de l’entreprise jusqu’aux
réflexions stratégiques au sein du comité
de direction. Infosecurity Magazine paraît
cinq fois par an. Il est distribué sur abonnement : www.infosecuritymagazine.be/
abonnement
Editeur
Jos Raaphorst
+31 (0)6 - 34 73 54 24
[email protected]
twitter.com/raaphorstjos
nl.linkedin.com/pub/dir/jos/raaphorst
Rédaction
Stef Gyssels
0473 940 430
[email protected]
PURE
All-flash storage is what we do.
Which is why we’ve become the
natural choice for accelerating the
next-generation data center.
Pure Storage FlashArrays are
purpose-built to deliver the full
advantages of flash, pushing the
speed limit for business with disruptive
innovation that’s hard to imitate.
Pure Storage is a leader in the
2014 Gartner Magic Quadrant for
Solid-State Arrays. Find out why,
visit: purestorage.com/gartner
Les ventes de publicité
Jan De Bondt
Tel 0475 904 781
E-mail: [email protected]
Peter Witsenburg
Tel: 0486 754 756
E-mail:
[email protected]
Édition / trafic
Ab Muilwijk
Apparence
Media Service Uitgeest
Pression
Profeeling
Infosecurity Magazine
est une publication de
FenceWorks BV
Beatrixstraat 2
2712 CK Zoetermeer
+31 (0)79 - 500 05 59
[email protected]
© 2015
Aucune partie de cette publication ne
peut être reproduite en aucune façon
sans l’autorisation expresse de l’éditeur.
Plus d’infos:
www.infosecuritymagazine.be
© 2015 Pure Storage, Inc. Pure Storage and the Pure Storage Logo are trademarks or registered trademarks of Pure Storage, Inc. or its affiliates in the U.S. and other countries.
Gartner, Magic Quadrant for Solid-State Arrays, Valdis Filks et al, 28 August 2014. Gartner does not endorse any vendor, product or service depicted in its research publications,
and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s
research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties
of merchantability or fitness for a particular purpose.
2
‘Clients’
Félicitations, vous tenez en mains le premier numéro d’Infosecurity Magazine Belgium,
un magazine que nous pouvons fièrement qualifier de tout premier magazine totalement
dédié à la sécurité informatique dans ce pays. En collaboration avec nos collègues
néerlandais, nous voulons vous fournir les informations les plus récentes et pertinentes
sur la sécurité et le secteur de la sécurité. Dans ce magazine et sur notre plateforme en
ligne www.infosecuritymagazine.be. Vous réjouissez-vous de cette nouvelle initiative ?
Vous trouvez qu’il manque encore quelque chose ? Faites-le nous savoir : envoyez-nous
un e-mail à [email protected], nous dialoguerons volontiers avec vous
pour rendre notre magazine encore meilleur.
Dans cette édition d’Infosecurity Magazine, nous accordons une attention
particulière aux formations en sécurité.
L’approche classique en ce domaine est
de suivre un cours technique ou un atelier. De cette manière, nous apprendrons
la différence entre un trafic de données
normal et anormal, des concepts comme ‘Unified Threat Management’, et nous
verrons – si nous obtenons le budget nécessaire – comment appliquer une sécurité au niveau fichier (‘file-level’).
Peter Vermeulen du bureau d’études Pb7
Research constate à juste titre dans son
article que nous ne prenons toujours pas
la mesure des réalités : la sécurité informatique ne se limite pas à placer un nombre impressionnant de serrures numériques sur la porte. Il s’agit aussi et sans
doute surtout d’une question humaine.
L’homme commet beaucoup d’erreurs.
La plupart du temps involontairement,
mais il y a également des individus qui,
par exemple, ont la volonté de se venger,
après un licenciement injustifié selon
eux. Le second problème peut être résolu par une solution technique (introduction de droits d’accès et autres), mais le
premier problème est surtout une question de prise de conscience. Et de bonnes
procédures.
Imaginons que nous ayons pris toutes les
mesures nécessaires, sur le point technique comme humain. Sommes-nous alors
en sécurité ?
Pas vraiment, je le crains. Il y a encore
un troisième problème : les clients. Ou
plutôt : les gens qui se font passer pour
des clients. Ils sont des fraudeurs, des arnaqueurs ou tout ce dont vous voulez les
qualifier. Ils parviennent à s’introduire
dans l’entreprise. Souvent en se servant
d’une histoire bien construite à propos
d’un appareil ou un service pour lequel
il pourrait y avoir un problème. Ces gens
veulent souvent obtenir un remboursement ou quelque chose dans le genre.
Ce groupe d’individus reste souvent peu
documenté dans le monde de la sécuri-
té informatique. Cette question est plutôt
destinée au département fraude. A juste
titre ? Car les cybercriminels semblent
de plus en plus souvent utiliser ce canal.
Les grandes entreprises dépensent beaucoup de milliards partout dans le monde pour contrer ce genre d’abus. Elles
dépensent cet argent auprès de fournisseurs connus dans le domaine des Big
Data et les solutions analytiques, comme
SAP et SAS Institute. Armées de ce genre
d’outils, elles recherchent des anomalies
parmi les énormes quantités de données
qu’elles rassemblent à propos des clients, des partenaires, des transactions, etc.
Des anomalies qui peuvent indiquer un
usage inapproprié des procédures.
Toutes les communications entre l’entreprise et ses clients, réels ou supposés,
ne se font toutefois pas par des formulaires en ligne ou des e-mails. Parfois, cela
passe par un coup de téléphone à un
call center. Souvent, ce type de criminels
utilisent leur ‘bagout’ pour s’introduire
relativement facilement dans l’entreprise. Il n’est pas question pour la sécurité
d’associer des outils à des systèmes et
des processus. L’intégration doit se faire rapidement. Les grandes entreprises
sont dès lors à la recherche d’outils qui
peuvent associer toutes les techniques
Big Data à des analyses de fichiers audio, par exemple. Cela explique le grand
intérêt des sociétés de capital à risque
pour des entreprises comme Pindrop Security. Ce genre de start-up développent
des technologies d’investigation des conversations téléphoniques : quelle communication téléphonique provient d’un
client légitime et laquelle provient d’un
fraudeur ou cybercriminel potentiel? Ce
genre d’outils s’intègrent très bien à des
solutions SIEM par exemple. Ils permettent de franchir une étape importante
dans la lutte contre les cybercriminels.
Stef Gyssels
Rédacteur en chef Infosecurity Magazine
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
3
CONTENT
10 Une enquête de la BSA le prouve: les
Etats européens ne sont pas tous bien
préparés à la législation sur la cybersécurité
11 Bonnes pratiques pour mieux sécuriser
les systèmes de gestion de bâtiments
Thru side panel for Microsoft Outlook
Non-Repudiation
B2B MFT
Ad Hoc MFT
OpenPGP
Mobile File Transfer
Secure Managed
File Transfer
Integrated Global File exchange with Salesforce
Seamless Enterprise Integration
OWASP
File-based Automation
MFT: more than File Sharing
Experts in
Managed PCI Compliant
File Transfer
Software and Solutions
for the Enterprise!
Transport Encryption
(“Data-in-Transit”)
Integration and Programmatic File Transfer
Comprehensive File Transfer for the Enterprise
Automate, Integrate and Control Secure File Transfer
‘Nous n'apprenons pas de nos erreurs, les
cybercriminels bien, malheureusement’
14 L'un des problèmes majeurs
rencontrés dans le domaine de la sécurité
IT est le fait que l'on n'apprend pas ou que
peu de ses erreurs. "Comment expliquer
sinon que les cybercriminels restent
encore performants avec des méthodes
d'attaque qui datent de plusieurs années
et qu'ils exploitent des failles dans les
logiciels et les réseaux qui auraient déjà
dû être corrigées depuis longtemps?",
s'interroge Simon Leech de Hewlett
Packard Belgium.
Un script contenant des hash-codes
permet de détecter un logiciel bricolé
38 Après avoir été axée pendant
longtemps sur la sécurisation des portes
d’accès aux systèmes informatiques,
la cybersécurité est occupée à revenir
aux sources. Il s’agit à nouveau de
protéger les logiciels d’une utilisation
non autorisée. En insérant un script avec
des hash-codes dans les instructions, il
est possible avec certitude de détecter
si certains programmes ont toujours les
mêmes caractéristiques que quand ils ont
été activés pour la première fois.
44 Smals construit un modèle
d’évaluation de la sécurité cloud
45 Colonne Guy Kindermans
18-34 PROGRAMME, PLAN
FAIR, LISTE DES EXPOSANTS ET
TOUTES LES INFORMATIONS:
INFOSECURITY.BE, STORAGE
EXPO ET THE TOOLING EVENT
4
VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS
+31 (0)20-6586421 • WWW.VIACLOUD.NL • [email protected]
6
Le mois passé s’est tenu à Louvain
l’International Cyber Security Strategy Congress (ICSS) autour du thème
‘Cyber Security and Forensic Readiness’. Ce congrès organisé notamment
par le Belgian Cybercrime Centre of
Excellence for Training, Research and
Education (B-CCENTRE) et la KU Leuven comme hôte, nous a valu quelques
observations et perspectives parfois
surprenantes, parfois plus attendues. Voici un aperçu des présentations les
plus remarquées.
DIRK COOLS SOUHAITE PROMOUVOIR
G DATA CHEZ LES ENTREPRENEURS BELGES
12
Depuis le 1er Janvier, il succède à Jan
Van Haver et devient Country Manager
Benelux pour G DATA. Dirk Cools a de grandes
ambitions pour G DATA sur le marché du Benelux. « G Data offre des solutions de sécurité
informatique parmi les plus fiables. Tous les entrepreneurs des Pays-Bas, du Luxembourg, et
de la Belgique, mon propre pays, devraient le
savoir », martèle Dirk avec engagement.
35 Un réseau sécurisé en trois étapes
43 ‘Beaucoup de cybercriminels
commencent par des vols numériques
dans des jeux en ligne’
Experts in Managed File Transfer Software and Solutions!
OBSERVATIONS ET PERSPECTIVES PARFOIS
SURPRENANTES, PARFOIS PLUS ATTENDUES
UNE INFRASTRUCTURE
PROGRAMMABLE EST-ELLE VRAIMENT SÉCURISÉE ?
36
De nombreuses personnes considèrent le software-defined networking
comme l’une des plus grandes révolutions informatiques depuis l’abandon du mainframe au
profit des desktops. D’ailleurs, cette révolution n’affecte pas seulement les LAN, WAN et
réseaux de centres de données. En effet, les
logiciels s’imposent toujours plus dans chaque
élément de l’infrastructure IT, un changement
s’explique par le fait que les systèmes à base logicielle promettent davantage
de flexibilité, d’évolutivité et d’automatisation. Avec en toile de fond la possibilité de programmer à distance l’ensemble de l’environnement IT. Ce qui
permettra aux organisations de mieux répondre à la dynamique à laquelle elles
sont confrontées. Mais quel est le niveau de sécurité d’une telle infrastructure
programmable?
LE CRYPTAGE
S’IMPOSE TOUJOURS DAVANTAGE
40
Le cryptage, entendez le verrouillage d’informations pour les rendre illisibles aux personnes non-autorisées, prend
une importance croissante au moment où
l’attention se focalise sur la protection des
données et de la vie privée suite aux révélations dans la presse sur les écoutes des services de sécurité et aux piratages de données
à grande échelle. Songeons par exemple au
récent hacking de Gemalto. Le cryptage est
donc un sujet tendance. Forrester a récemment inventorié les principaux fournisseurs de
cryptage d’extrémité sur la base de 52 critères. Et classé Sophos en tête.
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
5
STEF GYSSELS
ICSS CYBERSECURITY CONFERENCE LOUVAIN
OBSERVATIONS
ET PERSPECTIVES
PARFOIS SURPRENANTES,
PARFOIS PLUS ATTENDUES
Le mois passé s’est tenu à Louvain l’International Cyber
Security Strategy Congress (ICSS) autour du thème ‘Cyber Security and Forensic Readiness’. Ce congrès organisé
notamment par le Belgian Cybercrime Centre of Excellence
for Training, Research and Education (B-CCENTRE) et la KU
Leuven comme hôte, nous a valu quelques observations et
perspectives parfois surprenantes, parfois plus attendues.
Voici un aperçu des présentations les plus remarquées.
1. COLLABORER EST
INDISPENSABLE...
Le discours inaugural du ministre belge
de la Justice Koen Geens a d’emblée
donné le ton. Après une énumération de
quelques initiatives locales – comme un
meilleur cadre législatif pour lutter plus
efficacement contre la cybercriminalité
et une formation plus adéquate des corps
de police afin d’identifier et de s’attaquer
plus rapidement au cybercrime, Koen
Geens a souligné l’importance d’une collaboration internationale. “Les frontières
physiques ou virtuelles n’arrêtent nullement les cybercriminels: ceux-ci peuvent
exploiter les potentialités de l’internet
mondial, généralement même en tout
anonymat. Dès lors, les équipes de lutte
contre le crime doivent opérer de manière transfrontalière si elles veulent avoir
des chances raisonnables de succès.”
Frederic Van Leeuw, magistrat fédéral au
SPF Justice, a insisté sur une autre justification de la collaboration internationale:
prises isolément, les équipes de lutte
contre la cybercriminalité ne sont souvent pas armées contre les bandes organisées et contre les grandes entreprises
qui s’appuient sur un monde virtuel et
globalisé pour échapper à leurs obligations locales. Et de comparer à l’occasion
de ce congrès la situation au Far West.
“Comment le sherif local d’un petit village peut-il faire face à des bandes et organisations complexes dans une région
largement hors-la-loi, comme c’est le cas
chez nous?” La collaboration doit dès lors
intervenir tant au niveau législatif que du
respect de la loi, si nous voulons avancer
dans le lutte contre les cybercriminels, a
conclu Frédéric Van Leeuw.
2... MAIS EST AUSSI DIFFICILE
S’il est une réalité apparue clairement au
cours d’un congrès comme ICSS2015,
c’est que la collaboration, tant au plan
national qu’international, est particulièrement complexe. Toute forme de collaboration fructueuse doit donc être considérée comme un succès remarquable.
Permettez-nous de les aborder.
Dans chaque pays, nous retrouvons certes les services de police traditionnels,
outre au niveau national et parfois même
également fédéral et/ou local une cellule
spécialisée en cybercriminalité. Par ailleurs, existe Europol, le service de police
pan-européen qui a également mis sur
pied son propre département de cybercriminalité (European CyberCrime Center, ou EC3). Et il ne faudrait pas oublier
les services de police aux Etats-Unis et
dans les pays de l’Est, sans parler d’Interpol et d’autres services. Chacun de ces
départements dispose de ses propres
compétences et contraintes, ce qui ne facilite souvent pas la collaboration.
De même, sur le plan législatif et judiciaire, la collaboration est souvent freinée par
des restrictions ou entraves nationales,
régionales ou autres. Pourtant, d’importants efforts sont déployés pour surmon-
ter ces obstacles. C’est ainsi qu’Eurojust
– l’unité de coopération judiciaire de
l’Union européenne – a fait de la lutte
contre la cybercriminalité l’une de ses
neuf priorités. L’objectif est notamment
d’assurer une meilleure collaboration entre les Etats membres, de faire office de
conseiller juridique et de promouvoir les
échanges d’informations. Une ambition
pas évidente, concède volontiers la présidente d’Eurojust, Michèle Conisx, mais
pas non plus impossible. C’est ainsi que
grâce à la collaboration interne et en concertation avec le FBI et Europol, le réseau
Blackshades a été démantelé, réseau qui
opérait à l’échelle internationale.
Mais le paysage est plus complexe encore: outre la police et la justice, on retrouve en effet encore l’EDA (l’agence
de défense de l’Union européenne), le
département de cybercrime de l’OTAN,
plusieurs CERT nationaux (Cyber Emergency Response Teams) et l’ENISA (European Union Agency for Network and
Information Security).
Chacun de ces organismes effectue un
travail remarquable dans son domaine
et dispose sans conteste d’informations
très utiles. Mais il semble pratiquement
impossible de partager efficacement
l’ensemble des informations utiles entre
tous, ne serait-ce que parce que chacun
n’a même pas toujours conscience de
l’existence de l’autre. La pertinence d’une super-base de données regroupant la
totalité des informations nationales, régionales et transfrontalières sur les malwares, la cybercriminalité et les cybercriminels connus semble plus que jamais
d’actualité. Mais dans l’attente d’un organe de coordination susceptible de porter
ce projet – un rêve qui mettra sans doute
des années à se réaliser -, il faut se contenter de la bonne volonté des acteurs
présents à partager les informations et
les bonnes pratiques selon une approche
ponctuelle ou structurelle.
3. LES DIMENSIONS
SUPPLÉMENTAIRES DU
CYBERCRIME
Ceux qui se seront rendus à l’Aula Pieter De Somer situé rue Beriot à Louvain
auront certainement été confrontés à une
situation inattendue: des agents de sécurité armés à l’entrée et une sécurité renforcée à l’intérieur du bâtiment. Peut-être
Rik Ferguson
ce déploiement de forces était-il justifié
par les récents attentats terroristes, mais
il illustre en tout cas parfaitement à nos
yeux une réalité flagrante: le cybercrime
ne se limite plus depuis longtemps au
monde numérique et virtuel.
L’intérêt croissant pour la criminalité située à la frontière entre les mondes numérique et virtuel s’est ainsi démontré
dans l’exposé de Rik Ferguson, vice president security research chez Trend Micro. Celui-ci a attiré l’attention de son auditoire sur un phénomène malware sans
doute sous-estimé et qui gagnera certainement en importance au fil des années:
le malware PoS (Point-of-Sale). Par le passé, la fraude à la carte de crédit dans les
magasins et les automates de paiement
était limitée au ‘key capture’ et au ‘screen
scraping’, deux techniques connues de
récupération des données d’une carte.
Mais désormais, l’attention se focalise sur
les fameux ‘RAM scrapers’, des malwares
qui ‘effacent’ les informations de la mémoire RAM des caisses et terminaux de
paiement. “En 2014, nous avons recensé
autant de nouveaux ‘RAM scrapes’ qu’au
cours de l’ensemble des dernières années”, a expliqué Rik Ferguson pour illustrer ce nouveau risque.
Reste que d’autres évolutions estompent
la frontière entre les mondes analogique
et numérique. C’est le cas des ‘lampes
intelligentes’ qui se commandent à l’aide
d’un smartphone. “Ces lampes stockent
des informations sur votre mot de passe
WiFi, informations qui sont en général
à la portée des pirates”, avertit Gorazd
Bosic, responsable de l’équipe CERT de
Slovénie.
4. TOUJOURS PLUS
PERSONNALISÉ
Au cours de l’année écoulée, les attaques
sur les entreprises ont généralement suivi le même schéma de type ‘kill chain’,
Koen Geens
6
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
7
ABONNEZ-VOUS DÈS À PRÉSENT À
ICSS CYBERSECURITY CONFERENCE LOUVAIN
dixit Ronald Prins, CTO de Fox-IT: reconnaissance en quête d’un exploit, construction d’armes pour réaliser cet exploit, livraison des armes via e-mail, USB
ou autres portes dérobées, exploitation
de la faille pour installer le malware, et
commande à distance de ce malware à
des fins criminelles. “Mais cela ne signifie pas pour autant qu’il faille en conclure
que ce schéma est désormais immuable”, avertit Prins.
Prins met en garde contre le fait qu’il
faut s’attendre à des attaques bien plus
complexes et plus virulentes. “Ce qui
est aujourd’hui considéré comme sophistiqué et réservé aux attaques les plus
importantes sera dans quelques années
monnaie courante. Et les malwares seront toujours plus difficiles à détecter et
à tracer. Et, last but not least, le malware
est toujours plus personnalisé: pas seulement ciblé, mais vraiment conçu sur mesure pour votre entreprise. Il faut tous s’y
Roberto Tavano
8
attendre, d’ici trois ans environ.”
Que faire dès lors pour combattre ce phénomène? “Tout d’abord, partir du principe que l’on sera tôt ou tard victime d’une
attaque. Un point de départ qui constitue
déjà une base solide. Ainsi, il est possible
d’adapter en conséquence sa défense.
Avec des ‘honeypots’ par exemple, pour
attirer le pirate et en savoir davantage sur
lui. Ainsi, vous pouvez commencer un jeu
sophistiqué afin de mieux connaître votre
assaillant et d’avoir toujours une longueur
d’avance.”
Mais d’autres ‘bonnes pratiques’ peuvent
s’appliquer, poursuit Ronald Prins. “Veillez à une segmentation suffisante entre
les différents éléments de votre réseau,
de façon à limiter les risques en cas d’attaque réussie. Limitez les possibilités de
communication interne au strict nécessaire afin de réduire le champ d’action
potentiel du pirate. De même, protégez
autant que possible les droits des administrateurs face aux personnes non-autorisées. Faites appel à des services d’’antivirus file reputation’ pour rester informé
des tout derniers malwares, une solution
plus performante que de faire appel à
un éditeur d’antivirus particulier. Implémentez et optimisez les Host Intrusion
Prevention Systems (HIPS) pour détecter
plus rapidement le comportement des
pirates et ainsi prévenir toute attaque.
“Ces bonnes pratiques ont d’ailleurs été
inspirées d’une source particulièrement
bien informée: la NSA, connue pour des
techniques de piratage.
5. BIG DATA, À LA FOIS
MALÉDICTION ET BÉNÉDICTION
Comme nous l’écrivions ci-dessous,
tout devient numérique et un volume
croissant d’informations sont désormais
accessibles aux cybercriminels. Songeons aux réseaux sociaux où un peu d’ingénierie sociale suffit à mettre en lumière
un trésor d’informations. Dans ce contexte, les big data constituent donc une
malédiction: des flux de données sont
déversés quotidiennement et permettent
aux criminels d’extraire des informations
utiles.
“Mais les big data peuvent également
être une bénédiction”, estime Thomas
Clemente Sanchez de PwC. “Les équipes de lutte contre la cybercriminalité
peuvent par exemple utiliser les big
data pour identifier des comportements
suspects et, sur cette base, imaginer de
meilleurs défenses.” Sanchez met toutefois en garde contre un recours débridé aux big data. “Il convient en effet
de respecter certaines règles relatives à
la vie privée, un élément dont il faut tenir compte dans la collecte de données.
C’est donc toujours plus une question
d’équilibre, afin de peser les intérêts de
chaque partie – citoyen, administration,
police, entreprise - et de défendra au
mieux l’intérêt commun.”
2014 EN CHIFFRES
19% des utilisateurs Android ont été
victimes d’une attaque mobile.
38% des ordinateurs des utilisateurs
finaux ont été victimes d’au moins une
attaque web.
La cybercriminalité coûte 445 milliards de dollars à l’échelle mondiale, soit 1 pour cent du produit mondial
brut.
Dans le monde, 15.577.912 applis mobiles malveillantes ont été recensées, dont 12.100 chevaux de
Troie en mobile banking.
Chaque seconde au cours de l’année
écoulée, plus de 5 nouvelles cybermenaces ont été détectées.
Faut-il ajouter que l’on s’attend à une
croissance sensible en 2015, tant au
niveau du nombre que de la portée des
attaques numériques.
INFOSECURITY MAGAZINE BELGIUM
RESTEZ AU COURANT DES DERNIERS DÉVELOPPEMENTS DANS LE DOMAINE DE LA SÉCURITÉ IT!
ABONNEMENT GRATUIT SUR:
WWW.INFOSECURITYMAGAZINE.BE/ABONNEMENT
INE.BE
RITYMAGAZ
W.INFOSECU
2015 - WW
Y
SECGUARZ IIT
NE
MARS
ANNÉE 1 -
O
F
N
I
MA
E LOUVAIN
ONFERENC
ECURIT Y C
ECTIVES
P
S
R
E
P
T
E
ONS
OBSERVATSIURPRENANTES, S
PARFOIS PLUS ATTENDUE
PARFOIS
S
ICSS CYBER
LA BELGIQUE
EST DÉSORMAIS
MIEUX
SÉCURISÉE
DE NOS EN,
S
A
P
S
N
O
PREN
LS BI
‘NOUS N’A, PLES CYBERCRIMINE
ERREURSREUSEMENT’
MALHEU
ALE
CIOLING EVENT
É
P
S
N
O
I
T
I
EXPOS RAGE EXPO - TO
Y - STO
K COOLS
TIMENTS - DIR
STION DE BÂAU SÉCURISÉ EN TROIS
GE
E
D
ES
ÈM
R LES SYST RS BELGES - UN RÉSE SÉE ? - UN SCRIPT
UX SÉCURISE
ENT SÉCURI
IMPOSE
ES POUR MIETA CHEZ LES ENTREPRENEU
U
IQ
AT
PR
ES
T-ELLE VR AIMBRICOLÉ - LE CRYTAGE S'ÉRIQUES
ES
DA
G
BONN
LE
IR
AB
M
VO
U
AM
O
M
EL
U
M
CI
GR
N
O
O
GI
PR
LS
PR
LO
VO
TE
N
RE
CTU
R DES
TER U
SOUHAI
E INFR ASTRU
MENCENT PA
ET DE DÉTEC
ÉTAPES - UN DES HASH-CODES PERM DE CYBERCRIMINELS COM
T
P
U
AN
ANS
EAUCO
CONTEN
VANTAGE - ‘B
GUY KINDERM
TOUJOURS DAUX EN LI-GNE’ -COLONNE
JE
DANS DES
IT
INFOSECUR
NOUVELLE PLATE-FORME MÉDIA SUR LA SÉCURITÉ IT: SITE WEB – LETTRE D’INFORMATION – MÉDIA SOCIAUX - MAGAZINE
TOUT CE QUE VOUS AVEZ TOUJOURS VOULU SAVOIR SUR:
LA SÉCURITÉ IT – PRODUITS, BONNES PRATIQUES, RÉCITS D’UTILISATEURS.
LA CYBERCRIMINALITÉ – COMMENT SÉCURISER VOS DONNÉES?
LA GOUVERNANCE – LA SÉCURITÉ EST UN PROCESSUS, PAS UN PRODUIT.
LA GESTION DU RISQUE – QUELS RISQUES POUVEZ-VOUS PRENDRE AVEC VOS DONNÉES D’ENTREPRISE?
INFOSECURITY
MAGAZINE - NR.
1 - MARS 2015
9
LA CONFORMITÉ – LES RÈGLEMENTATIONS ET LÉGISLATIONS
SONT-ELLES
SUFFISANTES?
UNE ENQUÊTE DE LA BSA LE PROUVE
WHITEPAPER
LES ETATS EUROPÉENS
NE SONT PAS TOUS BIEN PRÉPARÉS À LA
LÉGISLATION SUR LA CYBER-SÉCURITÉ
Les Etats membres de l’UE ne sont pas tous aussi bien préparés en matière de cyber-sécurité.
C’est ce qui ressort d’une enquête de la BSA | The Software Alliance qui a examiné pour la
première fois les législations et règlementations européennes dans le domaine de la cyber-sécurité. La BSA a analysé les législations et règlementations nationales de l’ensemble des 28
Etats membres de l’UE sur la base de 25 critères considérés comme essentiels pour assurer
une protection efficace en cyber-sécurité.
“En matière de cyber-protection, on constate en Europe une grande diversité. La
plupart des Etats membres considèrent
certes la cyber-sécurité comme une priorité, mais le marché intérieur demeure
fragile face aux menaces en raison des
incohérences entre les approches”, explique Thomas Boué, Director of Policy
EMEA à la BSA.
Voici certains des principaux résultats de
l’enquête.
• La plupart des Etats membres de
l’UE voient dans la cyber-sécurité
une priorité nationale – surtout au niveau des infrastructures vitales.
• Il existe un hiatus important entre
les politiques de cyber-sécurité,
les cadres juridiques et les moyens
opérationnels des Etats membres,
avec comme conséquence un retard
notoire en matière de cyber-sécurité
au sens large en Europe.
• Presque tous les Etats membres ont
mis en place des équipes d’incident
response afin de s’attaquer aux cyber-incidents, mais les objectifs et
l’expérience de ces équipes sont
variés.
• On constate en matière de cyber-sécurité un manque inquiétant de
collaboration systématique entre
les pouvoirs publics et le secteur
privé, ainsi qu’entre les gouvernements européens, les organisations
non-gouvernementales (ONG) et les
partenaires internationaux.
Sur la base de cette enquête, la BSA recommande aux Etats membres de l’UE
de se focaliser sur quatre éléments importants d’un cadre juridique solide en
cyber-sécurité.
• Créer et maintenir un cadre juridique élargi associant des politiques
10
•
•
Thomas Boué, Director of Policy EMEA à la BSA.
•
•
•
•
basées sur une stratégie nationale
de cyber-sécurité et complétées de
plans de cyber-sécurité sectoriels.
Confier aux entités opérationnelles
des responsabilités claires en matière de protection de l’informatique
opérationnelle ainsi qu’en emergency response et incident response.
Encourager la confiance et la collaboration avec le secteur privé, les
ONG et les partenaires et alliances
internationales.
Stimuler l’enseignement et la conscientisation en matière de risques et
de priorités en cyber-sécurité.
Par ailleurs, la BSA insiste auprès des
gouvernements européens pour qu’ils
évitent des règlementations de sécurité
inutiles et susceptibles d’entraver les initiatives en matière de cyber-protection au
lieu de les favoriser. Les Etats membres
doivent en particulier:
• Eviter de poser des exigences inutiles ou irréalistes qui peuvent limiter les choix et augmenter les coûts,
comme des critères de certification
et de test nationaux spécifiques et
ponctuels, des contraintes de contenu local, des prescriptions relatives
aux informations sensibles comme
le code source ou les clés de cryptage, et des limitations au droit à la
propriété étrangère et intellectuelle.
Ne pas manipuler les standards,
mais supporter uniquement des
standards techniques majeurs et reconnus internationalement.
S’abstenir de prévoir des règles de
localisation des données et veiller à
ce que les données puissent circuler
librement entre les différents marchés.
Tolérer la concurrence étrangère et
éviter ainsi que l’innovation internationale ne soit freinée par des obstacles nationalistes.
BELGIQUE
La Belgique réalise un score généralement moyen comparé aux autres pays
européens, même si aucun classement
n’a été établi sur la base d’un résultat
total. Le rapport d’enquête indique que
les pouvoirs publics belges ont ratifié en
2012 la Cyber Security Strategy. Reste
que le cadre juridique en matière de cyber-sécurité en Belgique reste flou et que
les informations sur l’implémentation de
la stratégie sont limitées. La Belgique dispose certes d’un computer emergency
response-team, CERT.be, et d’une structure bien développée de rapportage des
incidents en cyber-sécurité. Et partout
dans le pays, les partenariats entre pouvoirs publics et secteur privé sont activement supportés, ceci grâce à BeINIS,
un organisme public qui entretient des
contacts étroits entre les organisations
privées et semi-privées.
BONNES PRATIQUES
POUR MIEUX SÉCURISER LES
SYSTÈMES DE GESTION DE BÂTIMENTS
Selon Schneider Electric, la sécurité des systèmes de gestion de bâtiments (SGB) des organisations laisse parfois à désirer. Or comme ces systèmes sont étroitement intégrés à l’IT de
l’entreprise, ils communiquent via divers protocoles ouverts, notamment avec les équipements
mobiles et reliés à l’internet. Du coup, de tels systèmes de gestion de bâtiments sont vulnérables à la cybercriminalité. Schneider Electric propose dès lors des bonnes pratiques susceptibles d’éviter des dommages financiers importants.
Le coût total de la cybercriminalité portant sur les systèmes IT s’élèverait selon
une étude de McAfee à quelque 263
milliards de dollars par an. Le SGB s’est
entre-temps imposé comme un élément
à part entière de cette problématique.
Cette cybercriminalité entraîne des pertes de productivité, des défaillances techniques et des baisses de chiffre d’affaires.
Sans parler de manques à gagner moins
aisément quantifiables comme la perte d’image de marque. Or selon Marcel
Spijkers, directeur général de Schneider
Electric aux Pays-Bas, il est étonnant de
constater que nombre de ces systèmes
ne s’inscrivent pas dans une stratégie de
sécurité mûrement réfléchie.
“Il faut que les choses changent, considère Spijkers. Les organisations se doivent
notamment de former correctement le
personnel de gestion afin que celui-ci
apprenne à reconnaître les (nouvelles)
menaces et applique les mesures qui
s’imposent.” Par ailleurs, les bonnes pratiques en matière de sécurisation de l’IT
en général s’appliquent parfaitement au
SGB. Elles réduisent sensiblement les risques d’intrusion numérique et les dommages associés. Ces bonnes pratiques
sont:
2. Gestion réseau
Un SGB fait partie intégrante du réseau
IT et sa sécurisation constitue un point de
départ incontournable. Limitez l’accès
aux canaux de communication de type IP,
comme les ports USB, et sécurisez les interfaces web contre les injections SQL. Investissez dans de bons pare-feux et n’oubliez pas non plus la sécurité physique.
3. Gestion des utilisateurs
N’accordez aux utilisateurs que les droits
d’accès minimum dont ils ont besoin
pour exécuter leur travail. De la sorte, les
organisations éviteront les dégâts causés notamment par des collaborateurs
non-autorisés.
4. Gestion des logiciels
Ne permettez qu’aux seuls utilisateurs
autorisés de déployer des logiciels. Installez toujours les dernières mises à jour.
Ce faisant, les entreprises seront protégés au mieux contre les fuites et bugs de
code.
5. Gestion des vulnérabilités
Mettez en place un plan de gestion des
risques qui couvre l’ensemble des types
de risques. Prévoyez un document formel pour chaque installation.
Pour davantage d’informations, consultez le livre blanc “Five Best Practices to
Improve Building Management Systems
(BMS) Security” sur le site web de
Schneider Electric.
1. La gestion des mots de passe
Lors de la mise en service d’un équipement, le mot de passe n’est pas changé
pour des raisons de facilité. Or les entreprises rendent ainsi la tâche du pirate des
plus aisées. L’internet regorge en effet de
listes d’équipements auxquels sont associés des mots de passe standards.
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
11
INTERVIEW
DIRK COOLS
SOUHAITE PROMOUVOIR
G DATA CHEZ LES
ENTREPRENEURS BELGES
Depuis le 1er Janvier, il succède à Jan Van Haver et devient
Country Manager Benelux pour G DATA. Dirk Cools a de
grandes ambitions pour G DATA sur le marché du Benelux.
« G Data offre des solutions de sécurité informatique parmi
les plus fiables. Tous les entrepreneurs des Pays-Bas, du
Luxembourg, et de la Belgique, mon propre pays, devraient
le savoir », martèle Dirk avec engagement.
12
Bien que le rôle de Country Manager soit
nouveau pour Dirk, G DATA l’est moins.
En 2011, Dirk a rejoint la société en tant
que Sales Manager BeLux. Il connaît
l’entreprise, les solutions et la réputation de la marque sur le marché comme
personne d’autre. « G Data fête ses 30
ans. Durant les huit dernières années, G
DATA a été très actif sur le marché du
« La Belgique doit sécuriser
son infrastructure avec le
meilleur logiciel de sécurité »
Benelux et a fourni des solutions pour de
nombreux utilisateurs. Quand vous entrez dans un nouveau marché, il est plus
facile de commercialiser la gamme de
produits qui s’est révélée primée dans
d’autres pays, comme l’Allemagne. C’est
pourquoi, le Benelux s’est concentré au
départ sur les solutions pour particuliers,
mettant de côté les solutions pour les entreprises. » explique Dirk. Ce n’est pas
surprenant quand on sait dans quelles
mesures les solutions G DATA ont déjà
fait leurs preuves ailleurs pendant des années. Avec leurs tests comparatifs annuels, les associations de consommateurs
en Europe, dont la Belgique, qualifient
presque chaque année depuis 2005 G
DATA comme le meilleur antivirus. «Nous
accumulons actuellement huit victoires»,
explique Dirk avec fierté. Mais l’entreprise a de plus grandes aspirations. Les
espoirs de Dirk concernent le marché de
l’entreprise. «Nous avons un portfolio très
solide et bien organisé, approprié pour
les réseaux d’entreprise de toute taille.
Les produits sont flexibles, avec une solution Antivirus de base pour entreprises,
offrant des taux de détection meilleurs
que la plupart des grandes marques. Par
ailleurs, la solution tout-en-un Endpoint
Protection offre des fonctionnalités supplémentaires. En plus de la protection
antivirale, elle intègre Policy Manager.
Cette fonctionnalité permet l’application d’une véritable politique de sécurité
au sein de l’entreprise. » explique Dirk.
« De plus, nos produits sont prêts pour
répondre au monde de l’entreprise de
demain, qui sera de plus en plus mobile. Android gagne en popularité, même
dans le marché des entreprises, et les auteurs de logiciels malveillants ciblent cette plate-forme. G DATA propose Mobile
Device Management, une solution parfaite pour répondre aux dangers du Bring
Your Own Device. Les produits DATA sont
conçus de manière claire et intuitive, ce
qui les rend attrayants pour les entrepreneurs » ajoute Dirk. Il n’est pas nécessaire pour un administrateur réseau d’avoir
suivi une formation spécialisée ou encore
d’être passé par un processus de certification afin d’installer la solution et de la
gérer. Ceci, combiné avec le fait que nous
offrons un soutien technique en français
pour les versions entreprises, G DATA a
vraiment un avantage sur beaucoup de
nos concurrents. «Au cours des dernières
années, le nombre d’entreprises, d’écoles, d’organismes gouvernementaux et
d’institutions médicales qui ont choisis G
DATA n’a cessé d’augmenter. Dirk ajoute
un autre atout : «Les entreprises allemandes ont une approche différente de celle de leurs homologues américains. Les
allemands s’assurent que la technologie
est parfaitement impénétrable avant de
commercialiser un produit, mais ne le
crient pas sur tous les toits ; ils le font discrètement. Les entreprises américaines
procèdent souvent à l’inverse, ils commencent avec un plan marketing, et ensuite pensent à la qualité du produit. Mais
il est temps d’arrêter la fausse modestie.
L’année dernière, quand des agences
gouvernementales et les entreprises de
télécommunications en Belgique ont été
infectées, touchées par le malware avancé (APT) Uroburos, il est soudainement
devenu très clair qu’il était temps d’agir.
La Belgique doit sécuriser son infrastructure avec le meilleur logiciel de sécurité,
et nous l’avons ! « Que dire des données
confidentielles des clients de G DATA? »
Dirk répond: « Notre logiciel est conçu
sans portes dérobées. En tant que société allemande et à la différence des sociétés américaines, nous ne collaborons pas
avec quelque service secret ou institution
étatique, même allemand. La législation
allemande sur les données confidentielles est la plus rigoureuse dans le monde.
Il n’est pas permis aux entreprises de
constituer des bases de données-client,
sauf si le client en a donné son autorisation explicite. Ainsi, les développeurs et
administrateurs de G DATA en sont conscients. Avec nous, il est inconcevable de
fermer les yeux quant à un malware ou
spyware parrainé par un État. Et nous ne
donnerons aucune information sur nos
clients à des tiers, même sur demande
urgente du gouvernement. C’est ce type
de sécurité dont la Belgique a besoin actuellement ».
Dirk a de grandes ambitions pour 2015.
«Dans le secteur des entreprises, je
souhaite atteindre une croissance de
25%.» Le 1er Février, Jerrel Abdoel a rejoint l’équipe de vente en tant que Channel Manager Sales. Dirk: «Pour Jerrel, il
est question d’attirer des partenaires, revendeurs ou distributeurs qui travaillent
avec les clients professionnels. En outre, il a l’ambition d’introduire le secteur
de la santé au sens large avec G DATA.
«Les pharmaciens, les médecins, les
hôpitaux et autres fournisseurs de soins
de santé ont une tâche importante dans
les prochaines années. Les données des
patients sont de plus en plus numériques,
et leur confidentialité plus que jamais à
prendre en compte. Il est donc essentiel
que le secteur des soins de santé utilise
la meilleure sécurité informatique pour y
arriver. En outre, il n’est plus acceptable
que des hôpitaux ne puissent plus fonctionner correctement, plusieurs semaines
ou même l’espace de quelques minutes,
à cause d’une épidémie de logiciels malveillants, comme nous l’avons vu à l’hôpital Imelda de Bonheiden. L’infrastructure
des hôpitaux est devenue aussi importante que les médecins et les médicaments eux-mêmes. G DATA peut y jouer
un rôle de premier ordre», conclut Dirk.
« L’infrastructure des hôpitaux
est devenue aussi importante
que les médecins et les
médicaments eux-mêmes »
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
13
SIMON LEECH DE HP
‘NOUS N’APPRENONS
PAS DE NOS ERREURS, LES
CYBERCRIMINELS BIEN,
MALHEUREUSEMENT’
L’un des problèmes majeurs rencontrés dans le domaine de
la sécurité IT est le fait que l’on n’apprend pas ou que peu
de ses erreurs. “Comment expliquer sinon que les cybercriminels restent encore performants avec des méthodes
d’attaque qui datent de plusieurs années et qu’ils exploitent
des failles dans les logiciels et les réseaux qui auraient déjà
dû être corrigées depuis longtemps?”, s’interroge Simon
Leech de Hewlett Packard Belgium.
HP a publié récemment publié son Cyber Risk Report dont les conclusions
sont tout bonnement renversantes. Des
vulnérabilités connues depuis des décennies déjà figuraient toujours en 2014
parmi les risques majeurs dans le do-
maine de la cybercriminalité. En outre,
pas moins de 44 pour cent des attaques
menées l’an dernier contre les systèmes
IT d’entreprise portaient sur des vulnérabilités connues depuis deux à quatre ans.
Et pour lesquelles de bonnes solutions
techniques existaient.
COLLABORATION
“Ce n’est pas un résultat dont nous sommes fiers”, admet Simon Leech, Architects Manager, EMEA Data Center Team
HP. Dès lors, HP appelle le secteur de la
sécurité à collaborer mieux et davantage.
“De plus, en tant que HP, nous ne sommes pas seulement très inquiets de la sécurité et de l’informatique d’entreprise,
mais aussi particulièrement préoccupés
par la sécurité des projets Internet of
Things. D’autant que le déploiement de
tels systèmes – que l’on songe aux systèmes de sécurité domestique – prend de
l’ampleur et va nous obliger à prendre
rapidement des mesures de sécurité importantes.”
Le Cyber Risk Report annuel de HP se
révèle d’une part très intéressant à lire,
mais d’autre part particulièrement inquiétant. Les analyses approfondies des
attaques et des méthodes de travail des
cybercriminels incitent à se demander si
nous sommes vraiment en train de gagner la bataille contre ces ‘ennemis’ ou
plutôt de la perdre.
Par ailleurs, l’un des constats alarmants
est la manière professionnelle dont les
cybercriminels sont organisés. Ceux-ci
optent toujours plus pour des spécialisations pointues qu’ils louent ensuite à
des tiers. Ce faisant, ils peuvent déployer
rapidement et efficacement des environnements système complexes et capables
d’exécuter des attaques très sophistiquées. Au point que l’on pourrait parler
de collaboration très professionnelle. Ce
type de collaboration poussé fait toutefois
défaut chez les fournisseurs et les acheteurs de solutions de sécurité. Ainsi, les
fournisseurs opèrent plutôt de manière
individuelle, tandis que les acheteurs ne
parviennent que rarement à conclure des
accords de collaboration. De même, la
coopération entre fournisseurs et acheteurs d’outils de sécurité en est toujours
à ses balbutiements.
AVERTISSEMENT
Ce rapport de HP tire toutefois clairement
la sonnette l’alarme. Alors même que des
bugs et autres failles clairement communiqués ne sont toujours pas corrigés
après autant d’années par de nombreux
départements ICT, comment espérer entraver les cybercriminels qui n’hésitent
pas à exploiter la moindre ‘opportunité’
nouvelle?
La collaboration est dès lors la seule solution – entre fournisseurs eux-mêmes, entre utilisateurs eux-mêmes, entre fournisseurs et acheteurs, et entre fournisseurs,
14
The home security
Internet of Things paradox
Is home security really secure?
HP reveals that the Internet of Things (IoT) is far from secure. According to an ongoing
HP IoT study series, home security systems are not nearly as secure as you may think—
or as they should be.
It's a huge issue.
Gartner, Inc. forecasts
that 4.9 billion connected
things will be in use in
2015, up 30 percent from
2014, and will reach
25 billion by 2020.1
of home security systems tested were
VULNERABLE
to account harvesting
4.9B
“things”
in 2015
Deficiencies
include:
• Authentication
• Authorization
• Cloud interfaces
• Mobile interfaces
• Privacy
Unrestricted account enumeration: The ability to
determine whether a specific account is valid on a system
Weak password policy: The lack of a policy and/or the
presence of a weak policy
Lack of account lockout mechanism: The failure to
lock out an account after a certain number of failed
access attempts
Account harvesting is exacerbated when video
access is granted to additional users such
as family members or neighbors.
Top 5 vulnerability categories identified :
2
1
2
3
4
5
Privacy (100%)—raised privacy concerns regarding the collection of names,
addresses, dates of birth, phone numbers, and even credit card numbers. Video
image leaks are also an area of concern.
Authorization (100%)—an attacker can use vulnerabilities such as weak
passwords, insecure password recovery mechanisms, and poorly protected
credentials to gain access to a system.
Insecure cloud (70%)—cloud-based Web interfaces exhibit
account-enumeration concerns.
Insecure software/firmware (60%)—did not include obvious
update capabilities.
Insecure mobile (50%)—have enumeration concerns with their mobile
application interface.
Are you the only one monitoring
your Security
home?
manager Enterprise
Products
acheteurs et autorités publiques. Mais
comme le disait déjà l’an dernier Art Gilliland, senior vice president en general
de HP, dans une interview à Infosecurity
Magazine (http://infosecuritymagazine.
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
If video streaming is available through a cloud-based Web or mobile application interface, then video can be
15
5
Insecure mobile (50%)—have enumeration concerns with their mobile
application interface.
SIMON LEECH DE HP
Are you the only one monitoring your home?
nl/2014/10/21/wildgroei-aan-overheidsmaatregelen-bemoeilijkt-security/),
Il convient de veiller à ce que les pouvoirs
publics facilitent plutôt que ne frustrent
cette collaboration. Trop souvent encore, ce haut dirigeant de HP est confronté
dans de nombreux pays à une législation
qui entrave parfois involontairement la
mise en place de solutions techniques.
Il arrive en effet que la législation et les
dispositions prévoient des mesures de
sécurité très spécifiques alors que la
définition des objectifs – plutôt que des
moyens à mettre en œuvre pour atteindre
ces objectifs – aurait souvent davantage
de chances de succès.
CYBER RISK REPORT
• Les principales constatations de ce
Cyber Risk Report sont édifiantes:
• 44 pour cent des attaques connues
portent sur des vulnérabilités connues depuis deux à quatre ans. Les
pirates continuent à utiliser des techniques connues et parviennent à
pénétrer des systèmes et réseaux.
Le top dix des vulnérabilités recensées en 2014 exploitent toutes
du code écrit voici des années, voire
des décennies.
• Des serveurs mal configurés représentent le problème majeur sur l’ensemble des applications analysées.
Il s’agit surtout d’accès à des fichiers
et répertoires inutiles, outre les questions de vie privée et de cookies. Ce
type d’informations permet aux pirates d’affiner leurs méthodes.
• En 2014, des méthodes d’attaque
totalement nouvelles ont également
été découvertes. Surtout via des appareils physiques connectés à l’internet (Internet of Things). Toujours
en 2014, le recours aux malwares
mobiles a augmenté.
SALONS, SÉMINAIRES ET ONLINE MATCHMAKING POUR LES MANAGERS ET LES PROFESSIONNELS DE L’ICT
L’ ÉDITION BELGE À BRUSSELS EXPO
If video streaming is available through a cloud-based Web or mobile application interface, then video can be
viewed by an Internet-based attacker from hacked accounts anywhere in the world.
Three actions to mitigate risk
1 2 3
Include security in feature
considerations when evaluating
potential IoT product purchases
Avoid using system defaults for
user names and passwords
whenever possible, and choose
good passwords3 when the option
is available
IT
IT SECURITY
SECURITY
STORAGE
IT MANAGEMENT
SOLUTIONS
Don’t share account access with
anyone outside your immediate
family—and stress secure
password practices with those who
have access
The Federal Trade Commission (FTC) recommends that IoT device
manufacturers incorporate security into the design of connected products.4
HP Fortify on Demand
Solutions like HP Fortify on Demand enable organizations to test the security
of software quickly, accurately, affordably, and without any software to install
or manage—eliminating the immediate risk in legacy applications and the
systemic risk in application development.
THÈME 2015: THE INTERNET OF THINGS
Read the full report: hp.com/go/fortifyresearch/iot2
Gartner, Press Release, “Gartner Says 4.9 Billion Connected "Things" Will Be in Use in 2015” November 2014,
http://www.gartner.com/newsroom/id/2905717.
Open Web Application Security Project (OWASP) Internet of Things Top Ten Project
SANS Institute Password Construction Guidelines (PDF)
4
Security Is a Must for the Internet of Things, Terrell McSweeny, Commissioner, Federal Trade Commission
1
2
3
•
La plupart des vulnérabilités concerne un nombre relativement restreint d’erreurs de programmation
communes.
Comment réagir? HP avance plusieurs
recommandations:
• Les gestionnaires de réseaux doivent d’urgence définir une stratégie
de patching flexible afin de s’assu-
•
•
•
Cloud Computing
rer que leurs systèmes sont à jour.
Les systèmes et réseaux doivent
être régulièrement testés et vérifiés
au niveau des vulnérabilités et des
erreurs de configuration.
Les départements IT doivent maîtriser en profondeur leurs systèmes et
réseaux. C’est la seule manière d’évaluer l’impact des nouvelles technologies, de même que par exemple
les conséquences de vulnérabilités
spécifiques au niveau des logiciels.
La collaboration et le partage de
connaissance entre entreprises de
sécurité permettra de mieux appréhender la stratégie des pirates,
d’assurer une défense plus proactive, de renforcer la protection offerte
par les logiciels de sécurité et de
mettre ainsi en place un environnement de travail mieux sécurisé.
Hans Vandam est journaliste
16
25 - 26 MARS 2015 BRUXELLES
Cyber Security
Data Center &
Infrastructure
Optimisation
Data Growth &
Storage Capacity
Enterprise Mobility
ITSM & Control
Privacy
Governance &
Risk Management
INSCRIVEZ-VOUS POUR L’ACCÈS GRATUIT:
WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
SESSIONS INCONTOURNABLES | SÉMINAIRES | TÉMOIGNAGES | INNOVATIONS
Gold sponsor
distributed by Westcon
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
17
INFOSECURITY.BE, STORAGE EXPO
ET THE TOOLING EVENT 2015
SOUS LE SIGNE DE
L’INTERNET OF THINGS
(L’INTERNET DES OBJETS)
Les 25 et 26 mars 2015, vous êtes à nouveau les bienvenus aux trois foires conjointes, Infosecurity.be, Storage Expo et The Tooling Event Belgique dans le Palais 8 du Heizel. Le thème de
cette année L’Internet of Things’ tient un rôle important et tel un parapluie, il offre un éventail
d’activités, tant à la fois dans le cadre de l’exposition que pendant le contenu du programme.
Pendant ces deux jours, vous pourrez
consulter plus de cent fournisseurs qui
présenteront leurs dernières technologies et leurs derniers produits et services. Par l’intermédiaire des séminaires,
des keynotes et des témoignages des
clients, les leaders du marché, les associations et les professionnels de l’infor-
matique expriment leurs visions, leurs
idées et leurs réponses sur la plupart des
thèmes informatiques actuels.
L’INTERNET OF THINGS
Comme chaque année, il y a aussi pour
cette édition à nouveau un thème général
qui a été choisi qui a un point commun
avec toutes les trois foires. Cette année, le
thème est l’Internet of Things. Par l’avènement de l’Internet of Things, les entreprises ont à faire avec une grande quantité de données qui ne fera qu’augmenter.
Ces données collectées apportent beaucoup de possibilités. C’est ainsi que
l’Internet of Things accélère l’étape des
données vers les compatibilités analytiques, les applications et à nouveau un retour vers les données. Les idées peuvent
de ce fait être obtenues plus rapidement
et plus facilement, pour ensuite pouvoir
prendre de meilleures décisions d’affaires. Mais en même temps, des changements radicaux devront avoir lieu dans le
cadre des entreprises, pour être prêts à
affronter l’ère de l’Internet of Things’.
INFOSECURITY.BE, STORAGE
EXPO ET THE TOOLING EVENT
L’Internet of Things offre aux organisations de très nombreux défis dans le domaine de la gestion, de la sécurité, de la
capacité de stockage et du management
des données. Les foires Infosecurity.be,
Storage Expo et The Tooling Event offrent
conjointement les outils pour préparer
les organisations IT à l’ère qui est déjà
commencée. Dans le cadre des expositions et dans les stands, il y a de très
nombreuses opportunités pour faire connaissance et s’orienter vers les grandes
entreprises IT, les produits et les services.
De plus, il y a un contenu de programme
élargi avec des présentations et des keynotes faits par des spécialistes issus de
ce domaine. Ainsi les sujets approfondis
sur le plan technique ne sont pas boudés.
CONTENU DU PROGRAMME
Le thème général de l’Internet of Things’rassemble sept sujets d’actualité, dont
on reparlera tant chez les exposants que
dans les séminaires. Les sept thèmes
sont:
•
•
•
•
•
•
•
Cyber Security
Data Growth & Storage Capacity
IT Service Management & Control
Enterprise Mobility
Data Center & Infrastructure Optimisation
Cloud Computing
Privacy, Governance & Risk Management
Le contenu du programme est très varié
grâce à ces différents thèmes et le coup
d’envoi sera fait par un séminaire keynote du trendwatcher flamand Herman Konings. Selon lui, nous avons abouti dans
‘l’ère du partout’, ‘The Age of Everyware’, où l’homme ne semble plus depuis
longtemps diriger l’appareil, mais c’est
l’appareil qui dirige l’homme’. Au cours
de sa présentation, il va largement parler du ‘The Age of Everyware’ et de ce
que cela signifie pour les entreprises et il
18
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
donnera de plus des exemples amusants
et intéressants.
En outre, entre-autres, Cain Ransbottyn
(The Other Agency), Danny De Cock
(KULeuven) et Heidi Rakels (GuardSquare NV) se chargent des séminaires sur
des thèmes tels que la vie privée, la cybercriminalité et la sécurité.
Le juge d’instruction bruxellois Michel
Claise, spécialisé dans la criminalité en
col blanc, expose à nouveau le thème
d’un point de vue tout à fait différent. Si
l’on veut par ailleurs, avoir une longueur
d’avance sur les cybercriminels, cela
peut aider d’apprendre à penser comme
un pirate informatique. Pour ces raisons,
Infosecurity organise conjointement avec
Deloitte à nouveau le ‘Hacking Challenge’ (défi de piratage) pendant la foire.
De plus, le stratège de Datacenter, Hans
de Leenheer, va parler d’une nouvelle
génération de stockage et si vous venez
pendant le séminaire de l’ingénieur des
ventes senior Leon Van Dongen, vous en
saurez plus sur l’impact de Flash sur le
réseau du centre des données. Quel est
l’impact que le service à la clientèle a sur
les expériences des clients et quel est
l’effet de la mobilité d’entreprise sur l’IT
Service Management et la compliance,
vous apprendrez tout cela au cours des
sessions de FrontRange et de Matrix42.
Ce n’est seulement qu’un échantillon du
contenu du programme complet. Vous
pourrez trouver le programme complet
un peu plus loin dans ce magazine spécial foire et sur les sites web: www.infosecurity.be, www.storage-expo.be et www.
thetoolingevent.be.
d’informations sur les problèmes et les
tendances. Egalement, il sera répondu
par un grand nombre des parties présentes et d’experts à la question où vat-on avec l’IT. Tout cela, afin qu’après ces
deux jours, vous puissiez repartir avec
les outils pratiques pour pouvoir les utiliser quotidiennement dans votre travail en
tant qu’informaticien.
INFORMATIONS PRATIQUES
• Combinaison des foires concernant
La sécurité des données (Infosecurity.be)
Le stockage des données (Storage
Expo)
Gestion IT (The Tooling Event)
• Quand
Le mercredi 25 & le jeudi 26 mars
2015
Tous les deux jours de 09.30 à
17.00 heures inclus
• Où
Brussels Expo, Bruxelles - Palais 8 • Site web
www.infosecurity.be
www.storage-expo.be
www.thetoolingevent.be
• Accès
Inscrivez-vous directement pour
avoir votre badge d’accès gratuit,
par l’intermédiaire de:
DEUX JOURS DE FOIRE
Les visiteurs reçoivent, pendant les deux
jours que durent les foires, beaucoup
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
19
DEELNEMERSLIJST / LISTE DES PARTICIPANTS
25 - 26 MAART 2015 / MARS BRUSSELS EXPO
INFOSECURITY.BE
Exposant
Standnummer
A.N.S. Benelux
D117
AirWatch by VMware
B129
Akamai Technologies
C130
AP Nederland
A061
Arcadiz Telecom
A031
Arrow Value Recovery
C018
Atlantis Computing
D124
BA
A128
Barracuda Networks
B040
Black Box Network Services
A045
Blancco
A120
Cegeka
D092
Check Point
A023
CHG MERIDIAN
D147
Cisco Systems Belgium
B052
Cofely Fabricom
A089
Contec B.V.
D137
Copaco Belgium
D113
CRYPSYS secure computing
A041
CyberArk Software
B113
Cyberoam Technologies Pvt. Ltd.
A125
Data Unit
A089
David Lynas Consulting Ltd
D130
DCB
A129
DelITad
B121
Dimension Data
B094 / C092
DrayTek
B128
ESET Belgium & Luxembourg
B060
Exclusive Networks
A076
Fox-IT
D136
G DATA Software Belgium
B120
Heynen
B125
HP Belgium
A104
Imtech
A107
Interoute Belgium
A135
Intronics
B110
(ISC)²
C128
ISACA - Information Systems Audit and Control Association
A124
ISSA Brussels-European Chapter
A124
Kahuna - Managing Security
A136
Kannegieter
D108
Kaspersky Lab
A094
20
THE TOOLING EVENT
Exposant
Kroll Ontrack
LCL Belgium
LSEC - Leaders in Security
MT-C
Netleaf
Nextel
Nutanix
Oodrive
Optima Networks
Out of use
Palo Alto Networks
Prodata Systems
Proximus
QNAP Systems
Qualys
Rittal
S3 Bvba (Server Storage Solutions)
Saasforce
SafeNet Technologies
Saikoa BVBA
Schneider Electric nv/sa
SecureLink
SecurIT
Secutec
SMS Passcode
SMT - Simple Management Technologies
Solvay Brussels School of Economics and Management
Sophos
SWITCHPOINT NV/SA
Synology
TD Azlan part of Tech Data
Telenet
Trend Micro Belgium
TrueGEN
UBM Belux
Unitt
vanroey.be
Van Randwijk Paperflow Solutions
Varonis
ViaCloud
Virtual Instruments
Westcon Security (TM)
Standnummer
D104
D120
A136
D144
B112
A077
A073
D098
D132
D140
A066
A018
A048
D122
A108
A030
B035
C066
A011
A136
A015
C078
A136
C066
A041
A112
A126
A060
A051
C128
B018
B104
A052
A037
A065
A088
C010
D138
D129
D118
D109
A040
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
Exposant
A.N.S. Benelux
Allied Telesis International B.V.
Axios Systems
CHG MERIDIAN
Cisco Systems Belgium
Dimension Data
FrontRange
HP Belgium
Krinos Academy
LANDESK
Matrix42 AG
MT-C
NET-measure
Nucleus
OMNINET
Proximus
Secutec
ServiceNow
TOPdesk Belgium
Unacle
Unitt
Standnummer
D117
A143
C146
D147
B052
B094 / C092
D155
A104
D142
D148
B156
D144
D145
D149
B155
A048
C066
A155
B145
D150
A088
STORAGE EXPO
Exposant
A.N.S. Benelux
Arcadiz Telecom
Arrow Value Recovery
Barracuda Networks
Cegeka
Cisco Systems Belgium
Citrix
CommVault
Computacenter
Dell
Dimension Data
Fujitsu Technology Solutions
HP Belgium
I.R.I.S. ICT
Interxion Belgium
LCL Belgium
Minkels
MT-C
NETGEAR
Nimble Storage
Proximus
Pure Storage
Saasforce
Seagate Technology International
SecureLink
Secutec
Simac ICT
Smals
Stellar Data Recovery
Tintri
Unitt
Uptime Group
Vanroey.be
Veeam Software
Standnummer
D117
A031
C018
B040
D092
B052
C018
D039
B052
D030
B094 / C092
D042
A104
D070
D064
D120
D060
D144
D096
B036
A048
D072
C066
C012
C078
C066
C060
D035
D012
B048
A088
B030
C010
D052
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
21
PLAN / CARTE
25 – 26 MAART / MARS 2015 BRUSSELS EXPO
INGANG / ENTRÉE
Theater /
Theatre 6
D150 D148 D144 D142 D140 D138 D136
D155
D149 D147 D145
D137
C146
Theater /
Theatre 5
LY
SS ON
ACCE IP BADGE
V
WITH
B156
D132
D130 D124 D122 D120
D129
D121
D108
D109
C128
B128
D104
B155
B129
A136
B120
Theater /
Theatre 1
A151
A143
A135
A129
D070
D064
D060
D042
D052
D030
C078
C066
C060
D012
B052
B113
A104
A112
A120
A125
B048
A108
A107
B036
Sponsored by
B018
B060
A088
REGISTRATIE
GEBIED / RÉCEPTION
D'ENREGISTREMENT
B035
INFOSECURITY.BE
A094
C010
C018
B030
B110
TERRAS /
TERRASSE
C012
D035
D039
B040
B121
A124
D072
B104
B112
B125
A126
A126
A155
Theater /
Theatre 3
D092
B094
B136
B145
D096
C092
MEDIATERRAS /
MEDIA TERRASSE
Theater /
Theatre 4
D098
STORAGE EXPO
D117
D113
C130
TOOLING EVENT
D118
A052
A076
A066
A048
A040
A030
A060
A018
A011
INFOSECURITY.BE
A089
A077
A073
A051
A065 A061
A045 A041
A037
A031
A023
A015
Theater /
Theatre 2
PALEIS 3
LEGENDA / LÈGENDE
PARKING C
RING
EXIT 7bis
RING
EXIT 7bis
Theater 1 : Infosecurity.be technische sessies
Theatre 1 : Infosecurity.be sessions techniques
LOOPBRUG/
PASSERELLE
ROM
ENTREE
8
EINS
9
PATIO
EST
EEN
WEG
1
3
4
5
6
7
11
12
2
GOLDEN SPONSOR:
SHUTTLE BUS
Theater 3 : Praktische sessies
Theatre 3 : Sessions pratiques
Theater 4 : Praktische sessies
Theatre 4 : Sessions pratiques
10
BRUSSELS EXPO
PARKING
Theater 2 : Infosecurity.be management sessies
Theatre 2 : Infosecurity.be sessions de management
METRO
Theater 5 : Storage Expo seminaries
Theatre 5 : Storage Expo séminaires
Theater 6 : Praktische sessies
Theatre 6 : Sessions pratiques
Nooduitgang / sortie de secours
Garderobe / vestiaire
Situatie op 15-02-2015, wijzigingen voorbehouden. Situation au 15-02-2015, altérations réserve.
22
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
23
g
SÉMINAIRES APERÇU 25 - 26 MARS 2015
BRUSSELS EXPO
INFOSECURITY.BE: SÉMINAIRES DE MANAGEMENT
MERCREDI 25 MARS
Keynote: “The Age Of Everyware”
Orateur: Herman Konings - Trendwatcher,
Pocket Marketing/nXt
11.00-11.45 heure – Théâtre 2
A propos du keynote:
In 2013 werd de Narrative-camera geïntroduceerd, een draagbare minifotocamera die
iedere dertig seconden automatisch een foto
van je omgeving maakt. Zo kun je aan het eind
van de dag de voorbije 15-16 (waakzame)
uren in ruim 1500 stills herbeleven. Handig
om je eigen geheugen te checken, of in deze
vergrijzende wereld de dag te reconstrueren
van senioren met geheugenproblemen. De
Narrative illustreert hoe technologie steeds
meer verwordt tot een alomtegenwoordig en
ononderbroken vliegwiel van het mens-zijn.
We zijn beland in het ‘overaltijdperk’, the Age
of Everyware, waar de mens niet langer het
apparaat lijkt aan te sturen, maar het apparaat
de mens.
A propos de l’orateur:
Herman Konings [°64] is master in de theoretische psychologie en zaakvoerder van het
Antwerpse trend- en toekomst-onderzoeksbureau Pocket Marketing/nXt. Als
trendverkenner geeft hij regelmatig adviesrondes en spreekbeurten aan bedrijven, genootschappen en hogescholen over
socio-culturele verschuivingen,
trendobservaties en toekomstverwachtingen.
Tot zijn klanten behoren o.m. AG Insurances,
Autogrill, BMW, BNP Paribas Fortis Bank, Confederatie Bouw, Europese Commissie, Electrolux, FeMa/Ufemat, Henkel, IBM, Industria, ING
Bank, JBC, Nespresso, Philips Lighting, Procter
& Gamble, Roularta Media, Siemens, Toerisme Vlaanderen, Unilever, Vlaamse Overheid
en VRT. Het vijfde boek van Herman – “Futures”” [uitgeverij Lannoo] – rolt in augustus
2015 van de persen.
Séminaire: Bridging the Gap between Physical & information Security
Orateur: Stefaan Bolle - Enterprise Security Officer, Deme
12.00-12.45 heure – Théâtre 2
A propos du séminaire:
The goal of this presentation is to provide a
pragmatic overview of today’s security threats
towards corporate information and demonstrate the need to have both physical and information security departments joined to answer the problem in an all-encompassing way.
We will show you how corporate information
is effectively stolen from your company.
A propos de l’orateur:
Security professional responsible for managing
all threats and risks of
malicious intent (on the
domains of information
security, physical security
and personnel security).
Specialties: Pragmatic and
to the point
Security management of critical infrastructures (energy sector) & Constructing an enterprise security office with global reach.
Séminaire: Cyber Threat: IT-Security at the
European Commission
Orateur: Ken Ducatel - Chief Information
Security Officer, European Commission
13.00-13.45 heure – Théâtre 2
A propos du séminaire:
The presentation will describe the cyber threat landscape as it impacts the European Commission’s operations. It will explain how the
Commission sets about combatting such cyber threats in collaboration with other EU-institutions.
A propos de l’orateur:
Ken Ducatel has recently been appointed as
the first ever CISO in the Informatics Department of the European Commission. He has
an IT policy background
stretching
back 30 years. Originally a member of
faculty in the Science
and Technology Policy Department at the
University of Manchester, his career
path has taken him
from analysing IT policy to designing and implementing IT policy
as member of the Cabinet of Commissioner
Reding (2004-08) and as Head of Unit for the
Digital Agenda (2009-12) and then Cloud
Computing in DG Connect (2012-14).
Séminaire: A holistic approach to handle cyber security threats
Orateur: Geert Degezelle - Head of Cloud,
Security & Datacenter, Proximus
15.00-15.45 heure – Théâtre 2
A propos du séminaire:
Recent extensive press coverage of security
incidents is scaring many companies. Most of
them have a hard time keeping up to date with
the rapid evolving threats and defences. The
main challenge for a company is obtaining the
right balance between managing
security risks impacting their critical business and
investing in a 24/7
security
going
from prevention
and detection up
to incident response processes (while taking into account
business flexibility).
THÈMES
A propos de l’orateur:
Geert is an experienced professional in ICT
& Telecom for more than 15 years. He’s passionated about innovative new trends like
advanced cyber security, cloud computing,
mobile payment and IoT. Geert is heading the
security and cloud computing departments at
Proximus.
JEUDI 26 MARS
Séminaire: 2014 Information Security Breaches survey
Orateur: Marc Sel - Director, PwC
11.00-11.45 heure – Théâtre 2
A propos du séminaire:
The 2014 Information Security Breaches survey aims to measure and interpret how well
organisations face highly skilled adversaries.
The presentation will address the state of information security today, as well as the impact
of management on this state. Today’s security defences are discussed, as well as what
participating organisations actually due when
an incident took place. Also dealing with the
aftermath of an incident is addressed. Finally,
the impact on participants’ business is discussed, and lessons learnt are presented.
A propos de l’orateur:
Marc Sel is working for PricewaterhouseCoopers ‘Advisory Services’ in Belgium as a Director, specialised in
IT Performance Improvement. I joined
the firm in january
1989 as a Consultant.
Over time, I specialised in the field of
security, both from
the technical and
from the organisational/management
perspective. I performed specialised in-depth
reviews, assisted clients with the selection of
solutions, and performed implementations.
Areas I worked in include authorisations and
access control, network security, PKI, smartcards, as well as information security organisation and policies, standards and guidelines.
pénale », Monsieur Michel Claise, abordera
quelques principes de la répression pénale
des faits de hacking. Il parlera également de
cas d’espèces rencontrés actuellement.
A propos de l’orateur:
Michel Claise fut avocat
durant vingt ans et il est
aujourd’hui juge d’instruction, à Bruxelles,
spécialisé dans la lutte
contre la criminalité en
col blanc. Il s’est notamment illustré dans les dossiers de la Belgolaise, de
Georges Dumortier ou encore du délit d’initié
dans l’affaire Fortis.
Séminaire: Where is our privacy?
Orateur: Cain Ransbottyn - Founder, The
Other Agency
13.00-13.45 heure – Théâtre 2
A propos du séminaire:
Plus d’informations est disponible sur www.
infosecurity.be
A propos de l’orateur:
A Chief Digital Officer with a broad technical background intersecting
corporate strategy, marketing,
technology and innovation.
Expert in driving growth by
converting traditional analog
businesses into digital ones. He
oversees operations in rapidly
changing digital sectors, such as mobile applications, social media and related applications, virtual goods, as well as “wild” web-based information management and marketing.
Not just a marketeer, new media architect or
social media evangelist, or a people, sales
or project manager, but a cocktail of all the
above with a thorough technical background.
With the experience required for a digital
publisher of this era, that can liaise between
management and editors-in-chief, speaking a
language they can each understand.
Séminaire: Bedtime stories of a Storm Chaser
Orateur: Peter Strickx - Directeur-Generaal Systeemarchitectuur, Standaarden & Support / CTO, FEDICT
14.00-14.45 heure – Théâtre 2
A propos du séminaire:
Definition, architecture and obstacles on the
road of a G(overnment)-cloud project
A propos de l’orateur:
Peter Strickx holds a MSc in Computer Science (Artificial Intelligence) from the Vrije Universiteit Brussel (VUB), where he graduated
in 1987. In 91 he participated
in starting Sun Microsystems
Belgium.
From the start of Fedict, the
Belgian Federal Government’s eGov/ICT Service, in 2001, Peter
Strickx has been their Chief Technology Officer. He was the technical lead in projects such
as FedMAN, Universal Messaging Engine/Federal Service Bus (UME/FSB)and the Federal
Authentication Service and co-authored papers on open standards and the use of ODF. In
2013 he was the executive lead in launching a
public tender for a G(overnment-cloud (IAAS
platform).His interests include programming
languages and microprocessor & network
technology.
Keynote: Hacking et répression pénale
Orateur: Michel Claise - Juge d’Instruction
12.00-12.45 heure – Théâtre 2
Cloud
Computing
24
Cyber
Security
Data Center &
Infrastructure
Optimisation
Data Growth
& Storage
Capacity
Enterprise
Mobility
IT Service
Management
& Control
Privacy,
Governance
& Risk
Management
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
A propos du keynote:
Dans son exposé « Hacking et répression
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
25
g
SÉMINAIRES APERÇU 25 - 26 MARS 2015
BRUSSELS EXPO
INFOSECURITY.BE: SÉMINAIRES TECHNIQUE
MERCREDI 25 MARS
Séminaire: Hacking Challenge: Apprenez à
penser comme un pirate informatique (powered by Deloitte)
Orateur: Joris Lambrechts - Manager Cyber Risk Services, Deloitte
12.00-12.45 heure – Théâtre 1
A propos du séminaire:
Always wanted to test your hacking skills, but
never found the right target, audience or excitement? Soon you can find it all at Infosecurity.
be! 10 teams of 2 people will compete for the
trophy in an exciting Deloitte Hacking Challenge. You will work in teams of two and try to
gain access to the systems and data of a fictitious organization in a Capture-The-Flag type
of game. The Deloitte experts will guide the
audience through the hacking game as your
actions and those of your opponents are monitored and shown on a large screen for the
audience. Your opponents keep a close eye
on your score in the battle for fame and an
award! Do you want to test your hacking skills
and think you can win? Then don’t hesitate and
sign up!
A propos de l’orateur:
Joris is a member of the
Enterprise Risk Services
department of Deloitte in
Brussels and a member
of the worldwide Security & Privacy Services
Group of Deloitte, which primarily delivers expertise in technical and organizational aspects
of information security. He has experience in
information security and security architecture
with significant expertise on the financial and
public sector.
Séminaire: CERT.be and security in Belgium:
past, present and future
Orateur: Christian Van Heurck - Coordinator, CERT.be
13.00-13.45 heure – Théâtre 1
A propos du séminaire:
After some rough years CERT.be is rebuilding
its services again, aiming to face some tough
challenges in the years to come. This talk will
offer a glance into the future of infosec in Belgium, supported by some very interesting
and revealing statistics gathered since its existence.
A propos de l’orateur:
Christian Van Heurck studied
physics in Antwerp (RUCA) and
Brussels (VUB), where he graduated. After his studies he conti-
26
nued as an electron microscopy researcher at
the EMAT lab (RUCA). He then switched to IT
as project manager for the Port of Antwerp’s
IT department ICH and as manager for the
services & helpdesk department of Telepolis Antwerpen. He then moved to Cultuurnet
Vlaanderen as system & application manager
for the Cultuurdatabank. Christian joined Belnet’s CERT team in 2007 as a Security Analyst
and he is now head of CERT.be, the Belgian
Federal Cyber Emergency Team, also known
as “the firemen of the Belgian internet”.
Séminaire: One Packer to Rule Them All: Empirical Identification, Comparison
and Circumvention of Current Antivirus Detection Techniques
Orateur: Arne Swinnen - Senior IT Security
Consultant, NVISO
14.00-14.45 heure – Théâtre 1
A propos du séminaire:
Many popular anti-virus solutions claim to
be effective against unknown and obfuscated
malware, but remain vague about how they
supposedly achieve this goal. This presentation presents empirically discovered results
on the various implementations of these methods per solution, which reveal that some anti-virus solutions have more mature methods
to detect x86 malware than others, but all of
them are lagging behind when it comes to
x64 malware. Several new evasion techniques
are presented, through which real-world malicious executables with a high detection rate
were rendered completely undetected to the
prying eyes of anti-virus products.
A propos de l’orateur:
Arne Swinnen works as
an IT Security Consultant
at NVISO with a strong
emphasis on technical security. He has experience
with a myriad of security
services, such as blackbox penetration tests, application source code
reviews, digital forensics and secure development training. Arne also conducts research
in the field of IT security both in his own time
and as a member of the Research & Development team at NVISO. His current research
field of interest is malware in both the mobile
and desktop ecosystems. He is an occasional
speaker at technical security conferences
such as BruCON and Black Hat USA.
Séminaire: Security challenges of the Internet of Things
Orateur: Danny De Cock - Senior Researcher, KULeuven
15.00-15.45 heure – Théâtre 1
A propos du séminaire:
In this presentation we will sketch the main
security issues we encounter when deploying
the Internet of Things. We will also provide a
set of rules of thumb to deal with these effectively.
A propos de l’orateur:
Danny received a Master’s Degree in Computer Science and a Ph.D
in Engineering Science
from the Katholieke Universiteit Leuven. He is
specialized in computer
security and industrial
cryptography applications. He is particularly
interested in applied cryptography and conducts research on the analysis of identity management systems, online and electronic voting mechanisms, computer forensics, smart
cards, telematics systems, electronic banking
and payment systems, biometric authentication systems and home automation
JEUDI 26 MARS
Séminaire: Hacking Challenge: Apprenez à
penser comme un pirate informatique (powered by Deloitte)
Orateur: Joris Lambrechts - Manager Cyber Risk Services, Deloitte
11.00-11.45 heure – Théâtre 1
A propos du séminaire:
Always wanted to test your hacking skills, but
never found the right target, audience or excitement? Soon you can find it all at Infosecurity.
be! 10 teams of 2 people will compete for the
trophy in an exciting Deloitte Hacking Challenge. You will work in teams of two and try to
gain access to the systems and data of a fictitious organization in a Capture-The-Flag type
of game. The Deloitte experts will guide the
audience through the hacking game as your
actions and those of your opponents are monitored and shown on a large screen for the
audience. Your opponents keep a close eye
on your score in the battle for fame and an
award! Do you want to test your hacking skills
and think you can win? Then don’t hesitate and
sign up!
A propos
de l’orateur:
Joris is a member of
the Enterprise Risk
Services
depart-
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
ment of Deloitte in Brussels and a member
of the worldwide Security & Privacy Services
Group of Deloitte, which primarily delivers expertise in technical and organizational aspects
of information security. He has experience in
information security and security architecture
with significant expertise on the financial and
public sector.
Séminaire: Android application protection
Orateur: Heidi Rakels - CEO, GuardSquare
12.00-12.45 heure – Théâtre 1
A propos du séminaire:
Mobile apps are vulnerable and prone to attacks: reverse engineering, piracy, data theft,
and insertion of malware. With these apps
living on mobile devices, outside the control
of their developers, perfect protection is fundamentally impossible. However, by applying
multiple layers of obfuscation, developers can
raise the bar for attackers. We describe a
number of techniques applied in the Android
world.
A propos de l’orateur:
Heidi Rakels is the CEO of
Saikoa BVBA, the company
that creates ProGuard and
DexGuard. ProGuard is
the open-source optimizer
and obfuscator in Google’s
Android SDK, used by millions of developers. DexGuard is its commercial sibling that focuses on Android app protection.
and
governments
against
malware attacks.
As an advisor
in
Information
Operations and
c y b e r wa r f a re,
he has a strong technical background, while
blending this with governance experience
gained while implementing ISMS systems for
critical infrastructures and architecting mobile
banking channels for major banks. His background in cyber-security, big data, artificial intelligence and mobile make him an expert on
next generation mobile security topics.
Séminaire: PDFs, Passwords and Passion
Fruit - Public Problems and Personal Protection
Orateur: Bruce Wynn - Independent Freelance Cyber Consultant
14.00-14.45 heure – Théâtre 1
A propos du séminaire:
In a unique style, and with a selection of live
and vivid demonstrations of the realistic threats that attacks from ‘the bad guys’ pose to our
personal way of life, Bruce will then graphically emphasise what simple precautions we can
all take to mitigate the dangers, and how those
precautions can defeat a large number of the
risks we all face!
He does nothing sophisticated or difficult, but
his aim in the session is to:
• Open Your Eyes
• Focus Your Mind
• Stimulate Your Imagination
• Scare you Half to Death
• (Resuscitate You!)
A propos de l’orateur:
After more than 34
years of military
‘cyber’ experience,
Bruce has for the
last 10 years been
an external consultant into commercial
organisations (from
blue-chip/Fortune
100 to SMEs) as
well as to government departments, on both
sides of the Atlantic. He speaks and demonstrates widely on the subject of ‘Cyber’, and is
a regular at hacker events like Black Hat, DefCon, 44Con, and bSides. This year he has already been an invited speaker in South Africa,
Prague, Bucharest, Las Vegas, San Diego, and
Istanbul, and was the closing keynote speaker
at NATO’s big Cyber/Information Assurance
Conference in Mons.
Séminaire: Mobile context-aware security:
When Artificial Intelligence secures your channel
Orateur: Filip Maertens - Founder and
Chief Product Officer, Sentiance
13.00-13.45 heure – Théâtre 1
A propos du séminaire:
Learn how context-aware technology is used
to secure mobile transactions. Due to recent
advances in artificial intelligence and mobile,
banks and payment providers are capable to
further reduce fraud on the mobile channel,
while offering context-aware authentication
and transactions. Behavioral profiling unlocks
the power of stopping fraud even before it
happens.
A propos de l’orateur:
Filip brings 15 years of experience in cyber-security and intelligence, and was at the
forefront in defending Fortune 500 companies
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
27
g
SÉMINAIRES APERÇU 25 - 26 MARS 2015
BRUSSELS EXPO
INFOSECURITY.BE: TÉMOIGNAGES D’UTILISATEURS & SOLUTION SESSIONS
MERCREDI 25 & JEUDI 26 MARS
Séminaire: Optimized Security for the Software Defined Datacenter
Orateur: Trend Micro Belgium
10.30-11.00 heure – Théâtre 4
A propos du séminaire:
As you build your modern data center, security is a critical consideration and yet often considered a painful necessity that slows down
data center operations. Don’t let security slow
you down. If you are using traditional security
technologies built for a physical data center,
there are better security options out there.
Options that understand and take advantage
of virtualization technology to fit your data
center needs. Join this session to learn how the
right security solution can automate security
as part of provisioning process, reduce management burden while still ensuring a highly
secure modern data center. Walk away with a
better understanding of how security can be
optimized for virtual environments to reduce
impact on resources.
Séminaire: Security for the Next-generation
Data Centre
Orateur: Dimension Data
11.15-11.45 heure – Théâtre 3
A propos du séminaire:
The intelligent use of data is core to achieving
business success. Traditional data centre security approaches that worked before have
no place in the Next-generation Data Centre.
We now have to build new information security infrastructures that support virtualisation,
cloud and SDN, establishing the right security
ecosystem of controls, processes and policies.
This presentation provides insight on how to
deal with this new challenge and lays out a
structured approach for establishing a secure ecosystem of controls in the modern data
centre.
Séminaire: The e-mail that will cost you millions
Orateur: Kaspersky Lab
11.15-11.45 heure – Théâtre 4
A propos du séminaire:
This presentation is a real case that will give
insight information of how a cybercriminal
gang hacked their way into highly secured
28
networks, using techniques coming straight
out of the APT playbook, and got away with
millions. The presentation will highlight their
modus operandi and discuss simple to advanced countermeasures that could have saved
each company millions and their reputation.
Séminaire: Intelligent Cybersecurity for the
Real World
Orateur: Cisco Systems Belgium
Mercredi, 12.45-13.15 heure –
Théâtre 3
Jeudi, 14.15-14.45 heure –
Théâtre 3
A propos du séminaire:
Not only have the motives and persistence
of attackers increased, but also has their understanding of classic security technologies,
applications, and how to exploit the gaps
between them. Attackers are indiscriminate
as they relentlessly drive their attacks home,
frequently using tools that have been developed specifically to circumvent the target’s
security infrastructure. They employ a methodical approach to an attack that can be
demonstrated as an “attack chain” – the chain
of events that leads up to and through the phases of an attack. To truly protect across all attack vectors, we have to accept the nature of
modern networked environments and start
defending them by understanding how attackers think and what is required to secure our
infrastructure. Join our presentation and learn
more about Cisco’s threat-centric and operationalized approach to security and get a peak
preview of the highlights from the 2015 Cisco
Annual Security Report.
Séminaire: The Threat Landscape
Orateur: Dell
12.45-13.15 heure – Théâtre 4
vent million dollar fines!
Orateur: Sophos
13.30-14.00 heure – Théâtre 3
A propos du séminaire:
The EU is currently finalizing their new Data
Protection Regulation which will apply one
consistent set of requirements for all organizations that hold data on European citizens. In
terms of personal data security, the proposed
legislation will require everyone who holds
data on European citizens to implement appropriate security measures to protect the
data. Failure to comply can incur fines of up
to €100 million or 5% annual turnover. Encryption is one of the most recommended security
measures to prevent such penalties. During
this session, Sophos’ Vincent Vanbiervliet tells
you what you need to know about this new
regulation and how you can prepare your
organization for its arrival. Make sure you’re
ready for what’s coming and don’t miss this
presentation!
Séminaire: How to protect against the continued rise of DDOS attacks
Orateur: Proximus
13.30-14.00 heure – Théâtre 4
A propos du séminaire:
Plus d’informations est disponible sur www.
infosecurity.be
cloud, or be left behind
Orateur: Westcon Security
15.00-15.30 heure – Théâtre 4
A propos du séminaire:
When people see the term “cloud”, it’s no longer a mystery. Having embarrassing celebrity
photos stolen, hacked or leaked from clouds
to the web this year made the cloud more visible. Until recently, only a few leading enterprises were leveraging the cloud as a way to gain
competitive advantage; but that will change in
2015. In this Juniper Network session we will
address, through example, how to leverage
the “cloud”.
We will explain how the Juniper Networks
portfolio of Routing/Switching and Security
can help you on this Journey. Juniper Networks
mission is to connect everything and empower everyone.
Séminaire: The science of Big Data: Taking
security to a new level using the
global internet intelligence
Orateur: Akamai Technologies
15.45-16.15 heure – Théâtre 3
A propos du séminaire:
Tim Vereecke explores how global intelligence gathered from 30% of the internet traffic
can be used to improve threat detection, attack prevention and real-time Client Reputation. Learn how this data can be used in real
world security applications, such as Web
Application Firewalls and Managed Security
Service.
This will enable organizations to make the
right business risk and fraud detection decisions for their internet facing web applications.
Séminaire: So you didn’t get hacked - now
what?
Orateur: Fox-IT
15.45-16.15 heure – Théâtre 4
A propos du séminaire:
A major incident is like opening Pandora’s
box: security controls didn’t work as expected, weren’t implemented well, or worse, were
non-existent. In short: you find yourself with a
long list of things that need to be improved.
Perhaps your SIEM failed to provide value,
missing patches weren’t mitigated for or you
simply realised that most tools are actually
useless without enough skilled people to run
operations with them. Learn the lessons that
others learned the hard way and prepare to
transform your organization: treat security as
a strategic value for the business, instead of as
an after-thought.
Séminaire: Easy security monitoring and
automated anomaly detection at
European Union - EEAS
Orateur: SMT Simple Management Technologies
15.45-16.15 heure – Théâtre 6
A propos du séminaire:
This presentation will address European External Action Service (EEAS) security monitoring use case based on Splunk’s operations
intelligence platform in combination with automated self-learning anomaly behavior detection from Unomaly. Lex Crielaars, Solution
Architect at SMT will explain the benefits of an
operational intelligence platform for monitoring security and increase visibility of security
threat landscape, reporting of user-authentication and in-house applications. He will be
supported by Eric Daras, Security Officer at
EEAS.
Séminaire: Who’s using your privileges?
Orateur: CyberArk
Mercredi, 16.00-16.30 heure –
Théâtre 5
Jeudi, 15.00-15.30 heure –
Théâtre 5
A propos du séminaire:
Strong perimeter security isn’t stopping
nowadays attackers from obtaining access
anymore. Recent attacks show that inside or
remote access to unmonitored privileged
accounts is a major concern for nearly all organizations. In this session, we will go through
some of these attacks and show step by step
how CyberArk can help by securing and monitoring privileged access to your sensitive
infrastructure.
Séminaire: DDOS, a technical overview
Orateur: Telenet for Business
14.15-14.45 heure – Théâtre 4
A propos du séminaire:
Bill Beverley will present the latest intelligence from the Dell SecureWorks on the cyber
threat landscape. He will discuss both targeted and commodity threats, and how the threat
landscape is changing. What are the motives
of threat actors, and what could make your organisation target? Bill will provide pragmatic
advice on what you can do to protect your critical information assets and reduce risk.
A propos du séminaire:
More and more, DDOS attacks make it to the
front pages of publications : North Korea, France. Sometimes the reason for the attacks are
clear, sometimes it is less obvious. But what
are the several flavors of DDOS attacks? In this
talk, Marc will address them, explain with illustrations and show how one can prepare for
them. Because, in the context of “security by
design”, there is some good advice that can
already be helpful. And where products are
needed, implementation advice will be given.
Preparing to mitigate DDOS attacks starts with
the design and even definition of applications.
Séminaire: The new EU Data Protection Regulation – Encrypt now and pre-
Séminaire: Why ‘NOT’ Cloud? Expect 2015
to be the year to move to the
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
29
g
SÉMINAIRES APERÇU 25 - 26 MARS 2015
STORAGE EXPO: SÉMINAIRES DE MANAGEMENT
MERCREDI 25 MARS
Séminaire: A New Generation of Storage
Orateur: Hans De Leenheer - Datacenter Strategist, HaDeLe Services
14.00-14.45 heure – Théâtre 5
answer customers IT needs. As a Technology
Evangelist he gets the opportunity to share
his passion & ideas into different market segments and to make the cloud adaptable & understandable for everyone.
JEUDI 26 MARS
A propos du séminaire:
Today, storage has become a lot more interesting than a couple of years back. Cloud
storage, object storage, server side cache,
share-nothing distributed storage, all-flash &
hybrid, deduplication & compression, smartclones & snapshots, converged & hyper-converged, ... Instead of explaining what these
technologies are, you should go away knowing how they impact your datacenter architecture, your buying cycle and ultimately your
business.
A propos de l’orateur:
The IT Hulk, Enterprise Clown
and Don Quichotte of Corporate Marketing are just a few
of Hans De Leenheer’s split
personalities. Hans has worked
for customers, resellers and
vendors, giving that broad experience to be
able to troubleshoot storage issues or explain
new technologies to a C-level audience. As a
recognized storage & virtualization blogger
& independent speaker, Hans is a well-known
face at industry events across the world. He is
also a co-host of the Enterprise Technologies
podcast “In Tech We Trust”.
Séminaire: How to build a solid infrastructure
Orateur: Pieter D’Haens - ICT Channel Development Manager, Proximus
15.00-15.45 heure – Théâtre 5
A propos du séminaire:
Get a different view on the way of designing
your existing infrastructure. By categorising
your storage & applications you can extend
your local environment with Storage & Infrastructure as a service.
What is possible and how can you build your
complete disaster recovery environment in
which RPO & RTO are based on your concerns and needs. Getting access to high secure environments where you can decide the
level of access & management. Get inspired
in how to build a solid infrastructure in the actual world were hybrid
has become a standard.
A propos de l’orateur:
Pieter D’Haens is a Technology
Geek with the ability to translate complex
technologies in an understanding language to
30
Séminaire: Applying Information Management and Big Data Techniques to
Open (Government) Data
Orateur: Yves Vanderbeken - Account
Chief Technologist & Open Data
Expert, HP Enterprise Services
11.00-11.45 heure – Théâtre 5
A propos du séminaire:
Open (Government) Data is a strategic initiative in governments all over the world to offer
more transparency to citizens. Most governments have adopted an Open Data policy and
many datasets are available on a multitude of
websites (e.g. opendataforum.be) all around
the world. By using Information Management
and Big Data techniques we can now create
added value with these government datasets.
The session will feature a short introduction to
Open Data and explore possibilities for viewing and analyzing Open Data sets, including
new trends like Open Sensor Data.
A propos de l’orateur:
Yves Vanderbeken is the HP Enterprise Services account Chief Technologist and Lead
Enterprise Architect for the Flemish Government and Local Governments (Flanders). Since 2010, Yves has been a core team member
of the Flemish Government’s
Open Data team. He has defined the technical strategy for
setting up the Open Data platform and extracting, transforming and publishing information in a consistent manner. He is the co-author
of the Open Data Handbook that was published by the Flemish Government in February
2014. He coaches and advises the various
departments on their Open Data Master Plan
and how to disclose data from their source
systems to the Open Data platform, thereby
ensuring data quality and consistency across
datasets.
Séminaire: VMWare Cloud Management
Platform – Management & Automation for Hybrid heterogeneous
Cloud
Orateur: Colin Fernandes - Global Cloud
Solution Evangelist, VMWARE
13.00-13.45 heure – Théâtre 5
BRUSSELS EXPO
STORAGE EXPO: SÉMINAIRES TECHNIQUE
A propos du séminaire:
The session will provide an concise update on
our unique value proposition and demonstrate
our continued leadership and innovation we
bring to the market with our integrated solution offerings and share real customer use
cases.
A propos de l’orateur:
Colin has had over 32 years in IT experience
including start up Tivoli (startup)
IBM Mercury, HP and ATG . My
current role at VMware focused
on driving and enabling customer
and partners to acknowledge and demonstrate business/IT value in context of Cloud Management transformation and , and provide
an overview of our SDDC Cloud Management Platform solutions to support critical
customer initiates
Séminaire: Preventing a digital dark age:
Case study In Flanders Fields
Museum
Orateur: Dries Chaerle - Medewerker
Kenniscentrum IFFM & Jan Guldentops - Consultant, BA
14.00-14.45 heure – Théâtre 5
A propos du séminaire:
More and more we live our lives in a digital,
online world. In tremendous volumes we
produce all kinds of multimedia material and
documents but how will this digital society be
able to keep its memory. How do we prevent
that in centuries to come, historians looking
back at the beginning of the 21th century will
confront a digital desert comparable to the
dark ages, the period after the fall of the roman empire of which we have almost no written records. In this presentation we discuss
how the In Flanders Fields Museum uses new
techniques like crowd sourcing, big data and
digital preservation to create new insights in
the past. We will present our problems with
long-term preservation and the solutions we
see.
A propos de l’orateur:
Dries studied philosophy and political science. As from the first of january 2015 he is in
charge of the digital program at the In Flanders Fields Museum
Jan (° 1973) is an historian by education who
found his vocation as a security-consultant
and researcher in 1996 after exposing serious, fundamental security problems in the
first Belgian internet banking system. Since
then he has been working on both sides of
the frontline exposing security problems and
trying to build fundamentally secure solutions
with his team @ BA.
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
MERCREDI 25 MARS
Séminaire: 2015: Will the Internet-of-Things
break loose?
Orateur: Piet Vandaele - Managing Director, WAYLAY
12.00-12.45 heure – Théâtre 5
A propos du séminaire:
The Internet-of-Things (IoT) embeds sensors
in everyday objects and connects them to the
cloud to enable a whole range of new services
in various markets. The 2014 Gartner hype
cycle for emerging technologies ranked the
Internet-of-Things at the top of the hype cycle. Every day, the news is full of new product
announcements about IoT. This presentation
will go beyond the hype. We will discuss the
business and technology drivers behind IoT,
the main components of an IoT solution and
we will explain how IoT leverages other technology trends.
A propos de l’orateur:
Piet Vandaele is entrepreneur, co-founder and
MD of waylay. Piet has
10+ years of experience in bringing to market
new B2B software technologies and has previously been working
in M2M, predictive maintenance, device management, desktop virtualization, customer
care and telecommunications. He previously
had positions in marketing, product management, business development and presales.
Piet holds a MSc. in Engineering, a PhD in applied sciences and an MBA degree from Vlerick Business School.
ITIL- certified engineer and
strives to deliver quality on
every single assignment
he has. Additionally he believes strongly in sharing
knowledge amongst his peers, for this particular belief he founded the System Center
User Group Belgium. As an industry expert
Alexandre is a frequent speaker and ask-theexpert guest at both national and international
events. In line with the continued education
principle Alexandre can also be found at both
national and international industry events to
stay on top of what is moving in the industry,
watch industry trends, and analyze how this
might benefit its customers.
JEUDI 26 MARS
Séminaire: The Flash impact on a Datacenter
Network
Orateur: Leon Van Dongen - Sr. Sales Engineer, Brocade
12.00-12.45 heure – Théâtre 5
A propos du séminaire:
This presentation will dive a bit deeper into
the background of flash. New technology will
address specific needs and as always push
a problem into a different direction. Brocade,
the datacenter network market leader, anticipates on these levels to gain maximal advantage from technology inventions and improvements.
A propos de l’orateur:
Leon is een storage veteraan met zijn oorsprong bij Fluke Europe. Juist in deze
positie is de ervaring
als eindgebruiker opgedaan. Een succesvolle samenwerking
met EMC trok zijn
aandacht om aan de
leverancierstafel te geraken. Als systems engineer bij EMC om de
transitie naar open systemen verder mee op
te bouwen en tot een succes uit te breiden.
Bouwen zit hem in het bloed vandaar dat hij
in NL als eerste Systems Engineer voor Brocade is begonnen. Hier is hij na een uitstapje
van 2 jaar weer terug als senior systems engineer. Het uitstapje naar Flash pionier Violin
Memory is een ontzettend leuke en leerzame
periode geweest wat hem ontzettend verreikt
heeft.
Séminaire: The cloud in your own datacenter
Orateur: Alexandre Verkinderen - Managing Consultant, Inovativ
13.00-13.45 heure – Théâtre 5
A propos du séminaire:
Hybrid cloud, what does it mean and what can
you do with it? Come and see this session to
learn how you can implement an hybrid cloud
infrastructure. One platform for public, private
and hosted cloud.
A propos de l’orateur:
Alexandre is an industry expert in the systems
management area. He has a wealth of systems
management expertise, and uses this expertise to help his customers to achieve an easier
to manage ICT environment. Alexandre is an
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
31
g
SÉMINAIRES APERÇU 25 - 26 MARS 2015
STORAGE EXPO: TÉMOIGNAGES D’UTILISATEURS & SOLUTION SESSIONS
THE TOOLING EVENT: TÉMOIGNAGES D’UTILISATEURS & SOLUTION SESSIONS
MERCREDI 25 & JEUDI 26 MARS
MERCREDI 25 & JEUDI 26 MARS
Séminaire: Transform a Complex IT Environment using the Cloud
Orateur: ServiceNow
Mercredi, 10.30-11.00 heure – Théâtre 6
Séminaire: A game-changer in the data centre: hyper-converged Dell solution
Orateur: Dell
10.30-11.00 heure – Théâtre 3
A propos du séminaire:
With the advent of the Software Defined Data
Center, storage is rapidly becoming hyper-converged. Data Protection is evolving to
meet the ever increasing scale of data storage
and to protect the logical storage pools introduced by Software Defined Storage (SDS).
Learn more about a revolutionary hyper-converged solution based on the latest generation of Dell’s SDS-ready servers, powered by
the leader in hyper-converged software (IDC
MarketScape, Dec 2014) and protected by the
Dell Data Protection Offerings, based on SLA,
Workload, Virtual Machine Density, Application Protection, Backup Storage, Cloud and Disaster Recovery.
Séminaire: Veeam - Availability for the Modern Data Center
Orateur: Veeam
12.00-12.30 heure – Théâtre 3
A propos du séminaire:
High-Speed Recovery; Data Loss Avoidance;
Verified Protection; Risk Mitigation; Complete
Visibility
Séminaire: How do you transform your business into a business service center?
Orateur: Dimension Data
12.00-12.30 heure – Théâtre 4
A propos du séminaire:
Cloud, mobility and software defined datacenter developments are giving us opportunities with the adjoining challenges. How
to Transform your datacenter to a business
service centre that will scale to the increasing
demands from the business and their users.
With the promise of cloud computing as the
new delivery model for IT new questions arise
: How do you decide which applications you
will host out of a cloud environment and when
do you migrate these ? How would you merge
your existing environment with a cloud-like
setup? Your immediate success factors will be
32
in your approach and the way you would plan
and combine the ‘old and the new’ in the Next
Generation Datacenter. This is a presentation
with best practices and interesting business
case.
Séminaire: Network virtualization and application delivery consolidation
Orateur: Citrix
15.00-15.30 heure – Théâtre 3
Séminaire: Beyond SDN… Cisco Application Centric Infrastructure for
Next-Generation Datacenters
Orateur: Cisco
Mercredi, 14.15-14.45 heure –
Théâtre 3
Jeudi, 12.45-13.15 heure –
Théâtre 3
A propos du séminaire:
In the last decade many IT Managers managed to successfully save costs by virtualizing
servers, storage, applications and desktops.
Citrix has been the leading vendor to virtualize these applications and desktops but
the next logical step consists of network and
application delivery virtualization and consolidation. This session will dive deeper on
technologies to help you increase application
delivery in a secure way and consolidate the
appliance sprawl.
A propos du séminaire:
Datacenter infrastructure is currently undergoing a massive landscape change, dictated
by evolving requirements from shifting consumption models. Cisco’s Application Centric
Infrastructure (ACI) is a holistic architecture
for datacenters with centralized automation
and policy-driven application profiles, delivering software flexibility with the scalability of
hardware performance. ACI brings the following benefits aligned to new requirements
arising in modern datacenter environments :
• Simplified automation by an application-driven policy model
• Centralized visibility with real-time, application health monitoring
• Open software flexibility for DevOps teams
and ecosystem partner integration
• Scalable performance and multi-tenancy in
hardware
A propos du séminaire:
Companies count on their IT teams to deliver
new services faster – and keep them running.
However, limited visibility into the IT resources
and dependencies that support them stand
between the IT team and their goals. In this
session, you will learn how CHAMP Cargosystems S.A. is using ServiceNow at the heart of
its cloud operations and management team to
deploy new services and manage change in
its complex IT environment.
As part of this presentation, Wojciech Soltysiak, Director, Technology Solutions, CHAMP
Cargosystems S.A., will discuss:
• ServiceNow integrations with Splunk, Twilio
and Algosec
• IT automation, including password resets
• SnowMirror with Tableau for BI insight
• Government Risk & Compliance (GRC) in IT,
including its ISO27001 certification
Séminaire: Social Service Management: is it
all about meeting expectations?
Orateur: TOPdesk Belgium
11.15-11.45 heure – Théâtre 6
A propos du séminaire:
IT is not always easy. On the one hand, we have
to maintain an infrastructure, which everybody
takes for granted. On the other hand we get
a whole lot of questions, remarks and ideas.
At the end of the day it turns out we often do
not meet all expectations. In short, our customers are becoming more demanding; ideally,
everything should have been done yesterday.
How do we cope with these critical customers
and how can we ensure that the customer is
satisfied? Together we will look at where it
goes wrong and how we can, to a certain extent, solve this.
Séminaire: Challenges & Benefits of Integrated Business Service Management
Orateur: OMNINET Software Solutions
12.00-12.30 heure – Théâtre 6
A propos du séminaire:
Service Organizations are constantly looking
for ways to improve their operational efficiency. Processes are more or less under control,
but a fragmented software landscape often
leads to data duplication, large maintenance
effort and an overall inefficiency. The trend is to
evolve from IT Service Management to a complete and integrated Business Service Management, covering the lifecycle from CRM-,
Project-, Service- and Finance Management.
Séminaire: Do you need to easily and professionally manage all mobile devices in your organization? What
about Dell?
Orateur: Dell
Mercredi, 14.15-14.45 heure –
Théâtre 6
Jeudi, 10.30-11.00 heure –
Théâtre 6
A propos du séminaire:
Companies are facing critical choices regarding mobility. End users want maximal flexibility while security still needs to be in place.
Data needs to be available on all devices the
end user wants but how do we manage all those devices? How can we make IT as agile as
possible to keep up with the rapidly changing
business without adding too much complexity?
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
33
g
SÉMINAIRES APERÇU 25 - 26 MARS 2015
This pragmatic and hands-on presentation
focusses on the benefits and challenges that
service organisations are facing during this
transition and on how an increase in efficiency
and cost reduction can go hand-in-hand.
Séminaire: Manage the full asset lifecycle
and deliver business value
Orateur: Axios Systems
12.45-13.15 heure – Théâtre 6
A propos du séminaire:
IT Asset Management (ITAM) and IT Service
Management (ITSM) share the same goal: managing technology to deliver business value.
In this session IT Service Management experts of Axios will elaborate on why it makes
sense to help IT Asset Managers work in harmony with IT Service Managers and explain
why we’re continually evolving the ITAM capabilities of our assyst product - to help you deliver more business value from technology. We
believe that Solid IT Asset Management and IT
Service Management are critical to business
continuity and agility. Integrating ITAM and
ITSM helps you manage your infrastructure
and operations to deliver maximum business
value while reducing risk.
Séminaire: What is the impact of customer
service on your customer experience?
Orateur: FrontRange
13.30-14.00 heure – Théâtre 6
A propos du séminaire:
Customer dissatisfaction, bad availability figures, repeat traffic and complaints are being
perceived in many organizations as a problem
of customer service. But is this correct? What
influence does customer service have on your
customer experience? Customer Experience
is the basis for all your interactions with your
customers. In this era it is important for (IT-)
organizations to introduce innovative services
so customers can be served faster, better and
more efficient. Learn during this session how
a multichannel strategy, flexibility, automation
and telephony-integration with your service
management solution can have a positive contribution on your customer experience.
Séminaire: Consolidate and Automate Enterprise Service Management
34
Orateur: ServiceNow
Jeudi, 14.15-14.45
Théâtre 6
heure
WATCHGUARD ET FROST & SULLIVAN PUBLIENT UN EBOOK:
UN RÉSEAU
–
A propos du séminaire:
Working asynchronously via email, spreadsheets and other 20th century tools has become ingrained in our day-to-day business
life. The problem is that they make it difficult
to keep track of what has been done, where
employees are in a process and the status of
what your team has worked on, or have any
contingency when a key team member is out.
Alain Menezes, Manager, IT Quality & Compliance, Bridgestone Europe NV/SA will share
how the IT organisation has embarked into a
transformation path with ServiceNow as the
“Single place of truth” todeliver servicesconsistently across the enterprisein a multi-vendor context, creating a modern and efficient
work environment. He will explain how his
team has consolidated and automated service
management processes, increasing visibility,
efficiency and improving user-experience,
automating a number of enterprise processes
such as employee on-boarding.
A propos du séminaire:
The workspace of the future is a Personal
Cloud that consists of many Apps, many Devices, many Data and many IT-Services that are
provided on-premise or/ and are consumed
as a cloud service. The Personal Cloud is the
next major evolution of the user experience.
As the Personal Cloud rises in importance,
IT organizations will find current approaches
to dealing with users will fail. IT leaders are
seeking for an easy button to manage the
hybrid personal cloud of end-users. Learn in
this session about the challenges that Personal
Cloud brings to IT organizations and how IT
can control and secure it through a management solution from the Cloud.
Séminaire: The impact of Enterprise Mobility
on IT Service Management and
Compliance
Orateur: Matrix42
Mercredi, 15.00-15.30 heure –
Théâtre 6
A propos du séminaire:
Today’s employees have the desire to work
from anywhere, anytime and on any device.
To support mobile work-styles many IT organizations have started to use Enterprise Mobility Management (EMM) solutions to control
the Mobility Tsunami. But a Mobility project is
more than just technology and does not end
with the ability to deploy Apps and Data to
devices. The mobile workspace creates new
requirements on IT Service Desk and the
Compliance processes and teams. Learn in
this session about the impact of Mobility on IT
Service Management and License Management and how to avoid the most common pitfalls in Mobility projects.
Séminaire: Workspace Management as a
Service: Managing the Personal
Cloud from the Cloud
Orateur: Matrix42
Jeudi, 15.00-15.30 heure –
Théâtre 6
SPÉCIALE EXPOSITION | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
SÉCURISÉ EN TROIS ÉTAPES
Outre les erreurs humaines, une attention insuffisante pour les aspects techniques reste l’un
des plus gros écueils de la sécurité. C’est pourquoi WatchGuard et le bureau d’études de marché Frost & Sullivan publient un eBook pour renforcer drastiquement et en quelques étapes la
sécurité de votre réseau.
Il est crucial de pouvoir compter sur
des collaborateurs bien formés, qui
savent quelles procédures ils doivent
suivre, pour mettre en place une sécurité informatique de haute qualité. Mais
cela ne suffit pas pour garder le réseau
à l’abri des menaces. Il faut également
prendre un certain nombre de mesures
techniques. A cet égard, les entreprises
de toutes tailles ont besoin de solutions
techniques que jadis seules les grandes
entreprises pouvaient se payer. Un certain nombre de fournisseurs de sécurité
ont toutefois réussi à diminuer les coûts
d’une ‘enterprise grade security’, au
bénéfice des PME et des administrations.
EBOOK
Certainement pour les plus petites entreprises, faire le premier pas reste souvent
difficile. Ces entreprises ne disposent
souvent en interne que d’une quantité limitée de gens et de moyens, tandis qu’elles manquent des connaissances appro-
fondies présentes dans les départements
informatiques des grands groupes.
Dans ce contexte, WatchGuard a collaboré avec le bureau d’études de marché
Frost & Sullivan pour rédiger un eBook
intitulé ‘Fulfilling the Promise of Unified
Threat Management (UTM): Unlocking
Full UTM-Enabled Network Protection’.
Ce livre électronique indique en trois étapes comment les plus petites entreprises
peuvent amener leur sécurité informatique au niveau de celle de grandes entreprises.
APPROCHE UTM
“Bien que beaucoup d’entreprises constatent que leurs exigences et souhaits
en matière de sécurité informatique soient déterminants pour la planification de
leur capacité réseau, la réalité est toute
différente”, explique Chris Rodriquez,
‘senior industry analist’ pour la sécurité
réseau chez Frost & Sullivan. Il est éga-
lement l’auteur de l’eBook. “Les plateformes UTM sont fortement mises sous
pression pour répondre aux exigences
croissantes des entreprises par rapport à
leur sécurité.”
Dans cette publication, Chris Rodriquez
indique les trois étapes qui doivent mener
à une approche UTM qui ne répond pas
uniquement aux besoins d’aujourd’hui
mais qui représente également une bonne préparation pour l’avenir.
TROIS ÉTAPES
Etape 1 : Focalisez votre attention sur les
performances de la plateforme UTM et
pas sur celles du pare-feu uniquement.
Beaucoup de fournisseurs mettent l’accent sur les performances de leur pare-feu lorsque celui-ci est utilisé en mode
dynamique. Examinez surtout les performances quand les fonctions UTM sont
également actives.
Etape 2. Analysez soigneusement les
données publiées par les labos de tests. Il
ressort souvent que ces tests comparent
les performances UTM lorsque le système est en fait utilisé comme un appareil
de sécurité d’un autre type. Par exemple
comme un IPS (système de prévention
des intrusions).
Etape 3. Choisissez de préférence non
pas un pare-feu traditionnel mais une plateforme UTM. Les systèmes de ce type
se caractérisent par une architecture modulaire et sont donc configurés pour une
extension des fonctions. De ce fait, l’introduction de nouvelles fonctions de sécurité éventuelles aura très peu d’impact sur
les performances du réseau.
L’eBook peut être téléchargé ici :
http://bit.ly/1zQQiTl.
INFOSECURITY MAGAZINE
MAGAZINE -- NR.
NR. 1
1 -- MARS
MARS 2015
2015
INFOSECURITY
35
35
SOFTWARE-DEFINED NETWORKING
UNE INFRASTRUCTURE
PROGRAMMABLE EST-ELLE
VRAIMENT SÉCURISÉE ?
De nombreuses personnes considèrent le software-defined networking comme l’une des plus grandes révolutions
informatiques depuis l’abandon du mainframe au profit des
desktops. D’ailleurs, cette révolution n’affecte pas seulement les LAN, WAN et réseaux de centres de données. En
effet, les logiciels s’imposent toujours plus dans chaque élément de l’infrastructure IT, un changement s’explique par le
fait que les systèmes à base logicielle promettent davantage
de flexibilité, d’évolutivité et d’automatisation. Avec en toile
de fond la possibilité de programmer à distance l’ensemble
de l’environnement IT. Ce qui permettra aux organisations
de mieux répondre à la dynamique à laquelle elles sont confrontées. Mais quel est le niveau de sécurité d’une telle infrastructure programmable?
Stephen Mills, Global Security Consulting Product Manager, et Gary Middleton, Business Development Manager for
Networking chez Dimension Data, estiment que le secteur refuse de se poser
des questions critiques sur la sécurité.
Quel est le niveau de vulnérabilité d’une
infrastructure programmable? Et si les
risques sont supérieurs à ceux d’un environnement à base matérielle, comment
une sécurité software-defined peut-elle
contribuer à réduire les risques?
EMERGENCE
Middleton considère que si l’infrastructure programmable en est encore à ses
balbutiements, il ne faudra plus longtemps avant que celle-ci s’impose comme une réalité dans le secteur ICT. “Nous
voyons déjà apparaître des technologies
d’orchestration et d’automatisation dans
le datacenter, tandis que les LAN et les
WAN définis par logiciel assurent un
meilleur support des applications et des
technologies. Il est déjà question dans le
secteur de solutions de mobilité et d’infrastructures de sécurité programmables.”
La voie de la programmabilité est déjà
tracée par le mouvement open source –
dont OpenStack – et les outils d’orchestration qui s’imposent toujours davantage.
Middleton évoque également la percée
de l’approche DevOps. “En fait, cette
approche permet de programmer l’infrastructure dans un but commercial précis
alors que l’infrastructure est en fonctionnement. Une seule et même équipe est
responsable du développement et de
l’exploitation. D’où le terme de development operations. Facebook par exemple
réalise pas moins de trente mises à niveau d’infrastructure par jour en recourant à la technologie DevOps. C’est un
rythme intenable dans un environnement
matériel. Nous avons déjà commencé à
évoluer vers une manière plus flexible
de gérer les infrastructures ICT. C’est
possible grâce aux logiciels. Le matériel
restera certes toujours nécessaire, mais
nous estimons que la couche matérielle
sera toujours plus fine sur l’ensemble des
éléments de l’infrastructure.”
SÉCURITÉ ET RISQUES
“Il est vrai que l’infrastructure programmable n’en est qu’à ses débuts, ajoute
Mills. Il en résulte une augmentation des
risques dans la mesure où le secteur
36
« En effet, les logiciels s'imposent toujours plus
dans chaque élément de l'infrastructure IT, un
changement s'explique par le fait que les systèmes
à base logicielle promettent davantage de
flexibilité, d'évolutivité et d'automatisation »
ne comprend pas encore l’étendue des
menaces. De nombreuses technologies
que nous avons vues jusqu’ici n’ont pas
été développées et installées dans une
optique de sécurité. Pire encore, l’infrastructure software-defined en tant qu’évolution de fond ne s’est pas souciée dès
le départ de la sécurité. Le secteur de
la sécurité accuse du retard et doit être
formé. Nous devons évaluer les menaces
et les risques, ainsi que leurs implications
spécifiques sur chaque organisation.”
“Dans le monde traditionnel de la sécurité, le matériel est utilisé sous la forme
de portes de réseau afin de fermer des
issues, enchaîne Mills. Si vos portes sont
fermées, l’infrastructure est protégée
contre les menaces. C’est en somme le
pont-levis d’un château-fort. Mais les
choses ont évolué. La couche applicative
domine désormais l’infrastructure. Les
portes doivent à présent être ouvertes au
risque de voir le business rater des opportunités. C’est un problème pour la sécurité dans la mesure où l’environnement
est du même coup ouvert à tout accès
non-autorisé.”
“Au cours des six à sept dernières années, la manière d’évaluer la sécurité
applicative a évolué, poursuit Mills. Naguère encore, il s’agissait pour nous d’un
domaine totalement nouveau. A présent,
il est inscrit dans notre ADN. Nous devons
désormais aussi maîtriser la couche applicative puisque c’est là que se situe l’infrastructure programmable.”
SÉCURISATION
Middleton et Mills s’accordent pour souligner que les principes de base de la
sécurité s’appliquent également lors de
la mise en oeuvre d’une nouvelle technologie, qu’il s’agisse de la mobilité ou des
réseaux software-defined. Middleton:
“L’infrastructure programmable constitue toutefois une évolution technologique
majeure dont l’impact sera sensible. Quoi
qu’il en soit, les organisations doivent
continuer à surveiller en permanence les
aspects de sécurité.” Et Mills d’ajouter:
“Cela démontre à nouveau l’importance
d’une approche cohérente de la structure architecturale de la sécurité. Certes, il
existera des différences et des variantes
au niveau des détails, comme dans les
outils utilisés. Mais dans la globalité, l’approche et les processus sont identiques.”
“Dans la sécurité de l’information, les
données sont centrales, souligne encore
Middleton. Et les trois fondements de la
sécurité des données sont la confidentialité, l’intégrité et la disponibilité. Ces trois
critères sont tout aussi pertinents dans
la sécurisation d’une infrastructure programmable. Etablir une politique constitue la première étape. Lorsque l’on envisage la mise en place d’une infrastructure
programmable, la politique de sécurité
doit être mise à jour. Ensuite, il importe de
choisir les mesures de sécurité adéquates pour la protection de l’infrastructure.
Dans un environnement software-defined, ces mesures sont orientées vers les
logiciels. Du coup, les risques d’attaque
s’en trouvent augmentés. En effet, les
systèmes à base logicielle sont configurables à distance. Il importe donc de
renforcer la sécurité portant sur l’accès
à ces logiciels afin par exemple d’éviter
que du code non-autorisé ou malveillant
puisse être ajouté.”
“Le secteur doit encore définir quelles
sont les meilleures approches possibles.
L’attention s’est jusqu’ici surtout concentrée sur l’utilisation de réseaux software-defined afin d’accélérer les échanges de données. Et la sécurité est restée
en retrait. Cela signifie que les risques
d’attaque ont augmenté,” raisonne encore Middleton.
EN QUOI UN SDN PEUT-IL
AIDER ?
Toujours d’après Middleton, l’infrastructure programmable ouvre d’intéressantes perspectives en termes de sécurité.
“Les technologies de sécurisation en tant
que telles sont désormais aussi dévelop-
pées dans une optique de programmation. Nous voyons d’ores et déjà apparaître
des pare-feux et des solutions de détection d’intrusion sous forme logicielle. Ce
faisant, il est possible d’optimiser la programmation, de déploiement, l’installation et l’automatisation de tels outils. N’oubliez pas que d’ici très peu de temps, la
machine virtuelle représentera le fondement majeur des environnements informatiques modernes. Il n’existe pour
l’instant aucune méthode simple pour
sécuriser une machine virtuelle. Il est
certes possible de sécuriser l’ensemble
d’un réseau ou des éléments d’un datacenter, mais il se révèle très difficile d’atteindre un niveau de sécurisation granulaire d’une machine virtuelle. Lorsque la
technologie de sécurité sera intégrée au
logiciel, il sera possible d’appliquer une
politique de sécurité propre à chaque
machine virtuelle afin que celle-ci soit
protégée par un pare-feu et contre l’intrusion. De plus, il sera possible de déplacer les paramètres de sécurité en même
temps que la machine virtuelle, que celle-ci soit transférée dans un datacenter
ou dans le cloud.”
Mills précise que plusieurs fournisseurs
de solutions de sécurité adoptent déjà
une telle approche. “C’est encourageant
dans la mesure où la sécurisation d’un
environnement dynamique et très évolutif
s’est révélée complexe par le passé. La
sécurité software-defined aide à mettre
en place une infrastructure très flexible
et adaptative, et à la fois très sécurisée.
Un autre avantage de la sécurité définie
par logiciel est la possibilité de sécuriser à la demande et sur base de policies
des flux de données très sensibles, ceci
de manière dynamique. Songez aux données de cartes de crédit ou aux données
personnelles sensibles, explique encore
Middleton. Il est alors possible d’appliquer différentes solutions de cryptage
pour protéger une partie du trafic, tandis
qu’une autre partie continue à circuler en
clair. Il serait même possible d’acheminer des données sur un lien réseau spécifique. De la sorte, le trafic réseau est
parfaitement contrôlé et des politiques
peuvent être appliquées de manière plus
efficace et plus effective.”
Hans Vandam est journaliste
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
37
LA SÉCURITÉ NUMÉRIQUE DOIT RETOURNER À LA SOURCE
UN SCRIPT CONTENANT
DES HASH-CODES
PERMET DE DÉTECTER
UN LOGICIEL BRICOLÉ
Après avoir été axée pendant longtemps sur la sécurisation
des portes d’accès aux systèmes informatiques, la cybersécurité est occupée à revenir aux sources. Il s’agit à nouveau
de protéger les logiciels d’une utilisation non autorisée. En
insérant un script avec des hash-codes dans les instructions, il est possible avec certitude de détecter si certains
programmes ont toujours les mêmes caractéristiques que
quand ils ont été activés pour la première fois.
Par le biais d’authenticode, Microsoft
permet aux développeurs de lier à leurs
programmes des informations à propos d’eux-mêmes et du code qu’ils ont
développé. C’est une bonne étape vers
une sécurisation à la source. Le niveau
reste simplement trop limité. Il faut aller
beaucoup plus loin si nous voulons éviter
que des processus extérieurs ne perturbent le fonctionnement des logiciels. Les
‘tests croisés’ s’y prêtent parfaitement :
un premier ’executable’ teste le deuxième et vice versa.
A l’exception de Windows, la plupart des
systèmes d’exploitation modernes offrent
‘Self Check dans Executable / Library’
38
la possibilité, pour les applications ’embedded’, de vérifier l’intégrité de l’OS au
niveau du ’boot loader’ avant d’activer ce
dernier. De cette façon, chaque couche
suivante (application runtime, application configuration des données) vérifie le
déroulement de la couche précédente.
Marcel Hartgerink
Dans le monde industriel, il est très courant de contrôler les différentes couches
au moyen d’un cryptage par des hash-codes et des certificats de signature. Le jour
où des produits, issus du développement
de l’internet des objets, communiqueront
pleinement avec des logiciels standards,
un tel contrôle d’intégrité sera la solution
la mieux adaptée pour fermer la porte à
du code malveillant. A un niveau encore supérieur, il est également possible
de contrôler non seulement vers l’avant,
par un mécanisme d’auto-inspection des
différentes couches, mais aussi vers l’arrière, en demandant à l’application de
vérifier si le statut de l’OS correspond au
sien. Une série de certificats peuvent par
exemple être arrivés à échéance depuis
longtemps. Etant donne qu’en général
une couche du système n’a qu’une possibilité d’accès réduite à la couche précédente, il est nécessaire de faire appel
à une référence digne de confiance en
dehors des couches, par exemple sous la
forme d’une clé de sécurité intégrée au
hardware (dongle).
TRUSTED PLATFORM MODULE
Celui qui ne veut pas d’une clé de sécurité externe, par exemple parce qu’il n’y a
pas de port USB disponible sur l’appareil
connecté, peut également utiliser un
Trusted Platform Module (TPM). De plus
en plus de systèmes et d’appareils sont
équipés en standard de ce petit morceau
d’électronique contenant un processeur
et une mémoire et qui enregistre le statut correct des divers registres dans les
différentes couches, du ’boot loader’
jusqu’à l’application. Mais un TPM ne
suffit pas. En matière de sécurisation, il
peut également être souhaitable de n’autoriser l’utilisation du logiciel qu’aux
détenteurs des droits de licence. Il est
alors pertinent de centraliser ces droits,
pour mieux les distribuer et les gérer.
Vous avez par ailleurs encore besoin
d’outils pour intégrer le contrôle d’intégrité et l’authentification au logiciel.
Lors de la phase de développement, cette opération est possible en construisant
un ‘shell’ test au moyen d’API autour du
code C-Sharp, Delphi ou Java. Mais il est
également possible de relier ces tests
après-coup à des ’executables’ et DLL
existants.
EMPREINTES DIGITALES
Les possibilités ne manquent pas, même
sans recourir à du hardware de sécurité. Pour ce faire, nous commençons
par prendre une empreinte digitale du
système, sur lequel le logiciel doit tourner. Pour pratiquement chaque système
d’exploitation et plateforme hardware, il
existe des outils permettant d’intégrer
au code des ’checks’ adaptés sur base
des techniques de cryptage courantes.
L’étape la plus difficile se situe au début
quand vous devez en tant que développeur définir avec les représentants des
utilisateurs le niveau de sécurité et la
politique qui en dépend. De quelle façon
prenons-nous une empreinte digitale ?
Parfois, les gens s’imaginent qu’un simple contrôle sur une adresse MAC suffit
à sécuriser des applications. La pratique
nous apprend que ce n’est pas le cas. Le
défi est tout d’abord de faire l’inventaire
de toutes les variables possibles dans
des OS, ainsi que des différences dans
les propriétés du matériel utilisé. Par
exemple, les processeurs AMD n’ont pas
de CPU-ID, contrairement à ceux d’Intel.
Les ordinateurs portables ont souvent
plus qu’une adresse MAC, tandis que les
systèmes de stockage RAID se caractérisent par un certain nombre d’identificateurs hardware.
‘Cross Check pour Executable / Library’
‘SmartBind pour une corrélation optimale’
L’objectif doit être d’obtenir une sécurité
maximale pour chaque appareil ou système utilisé dans le projet. Pour ce faire, il
est nécessaire de définir au préalable s’il
peut être question d’une relation ’tight’,
‘medium’ ou ’loose’ de la sécurité et du
hardware. Dans le premier cas, aucun
changement n’est autorisé. Si une caractéristique lors du contrôle ne correspond
pas, le droit d’utilisation échoit directement. Les deuxième et troisième scénarios permettent davantage de tolérance. Il
peut par exemple être autorisé d’intégrer
des mémoires à des ’devices’ ou même
de remplacer des CPU entières sans que
ceci n’ait de conséquence pour les droits
de licence.
Les licences sont fortement liées au
système de rémunération pour l’utilisation du logiciel. Dans un monde où le code
open source et les applications dans le
cloud abondent, nous comptons avec
d’autres modèles financiers. Mais dans
ce même monde, où tout sera bientôt interconnecté électroniquement, le modèle
de licence via la méthode de certification apparaît comme la meilleure solution
pour identifier les individus et leurs outils
informatiques personnels, ainsi que pour
contrôler l’intégrité des données qu’ils
introduisent ou divulguent. Les certificats
numériques et les ‘clés’ privées rendent
le processus de sécurisation plus sécurisé et l’organisation bien plus simple
qu’un système de mots de passe, étant
donné qu’il est illusoire que chaque individu ait une approche prudente des mots
de passe.
Wibu-Systems AG a été fondée en
1989 à Karlsruhe, en Allemagne. Elle
fournit des technologies de sécurisation en vue d’une gestion mondiale des
droits de licence. Sa large gamme de
produits permet de protéger toutes les
formes de contenus numériques, en ce
compris le capital intellectuel et les applications logicielles pour systèmes informatiques, les applications mobiles,
les solutions d’automatisation industrielles et les services dans le cloud.
Ces solutions sont faciles à mettre en
œuvre grâce à des kits de développement spécifiquement conçus à cet effet.
Marcel Hartgerink est le directeur de
Wibu-Systems SA
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
39
UNE NOUVELLE LÉGISLATION RECOMMANDE LE CRYPTAGE DES DONNÉES
ra
to
ds
te
keys
SafeGuard
Enterprise
tion
Native Device
Encryption
r
nc
dm
anage e
Mobile
Encryption
ry
le m
an
pt
ion
edia
lou
pt c
men t Cen
cr yp
age
l en
an
rna
Data Exchange
mo
va b
Encr y
te
es
i
40
c
oli
Set p
DATA EVERYWHERE
LES POUVOIRS PUBLICS
PRENNENT LES DEVANTS
Le cryptage n’est pas apparu fortuitement. Le service général de renseignement et de sécurité néerlandais (AIVD)
fait appel depuis des années à des solu-
OBLIGATION DE DÉCLARATION
DES FUITES DE DONNÉES
Au niveau national également, la nouvelle législation se situe déjà à un stade
avancé. C’est ainsi qu’aux Pays-Bas, la
Deuxième Chambre a voté le 10 février
dernier la proposition de loi sur l’Obligation de déclaration qui est désormais
soumise à la Première Chambre. Le but
M
re
pt
Encryption for
File Shares
Sec
c
ry
go
to
REMOTE OFFICES
AT HOME AND ON THE MOVE
g
n
V
na
tio
HEADQUARTERS
AUCUN COMPROMIS
Les entreprises peuvent aujourd’hui
mettre en place le cryptage sans devoir
réaliser de compromis. Pourtant, nombres d’entre elles sont encore réticentes à l’idée d’adopter la technologie de
cryptage. Les anciennes technologies
de cryptage entraînaient autrefois du retard dans les processus IT et suscitaient
l’irritation des utilisateurs finaux. Mais
avec les produits modernes de cryptage,
comme SafeGuard Enterprise, ce temps
est révolu. Le cryptage associe protection et performances. James Lyne: “You
don’t have to worry about encryption
impacting performance.” Le logiciel de
cryptage suit désormais les données et
offre une protection où que ces données
se trouvent: sur l’appareil des utilisateurs,
dans leurs dossiers partagés, sur une
clé USB ou dans le cloud. En outre, ces
technologies modernes de cryptage sont
aujourd’hui simples à gérer.
Ma
Encryption for
Cloud Storage
t ec
Avec l’émergence de l’Internet des Objets, une nouvelle mine d’or vient d’être
mise au jour pour les cyber-criminels,
estime James Lyne, global head of security research chez Sophos. “If you can
connect to it you can own it!” En d’autres
termes, tout appareil qui n’est pas crypté
est susceptible d’être piraté. Pas étonnant
LE CRYPTAGE DEVIENT
CONTRAIGNANT
Le cryptage n’est désormais plus un
choix mais une nécessité absolue, comme il ressort des Roadshows GDPR organisés récemment par Sophos aux PaysBas. Le législateur européen impose aux
entreprises et organismes de par le monde de sécuriser les données de citoyens
européens qu’ils possèdent et qu’ils gèrent, ceci dans le cadre de l’EU General
Data Protection Regulation qui régira, à
partir de ce printemps, l’uniformisation et
la régulation de la sécurité des données
dans 28 pays. Cette directive prévoit que
chaque individu est maître de ses propres données et dispose d’un droit à l’’oubli’. Ce GDPR a force contraignante et impose des amendes pouvant aller jusqu’à
100 millions d’euros ou 5 pour cent du
chiffre d’affaires mondial en cas d’infraction. Il est généralement accepté que le
cryptage constitue la meilleure méthode
pour satisfaire à cette nouvelle législation.
Lorsqu’une fuite se produit et que l’entrepreneur peut prouver que l’ensemble
des données étaient cryptées, celui-ci
sera moins facilement condamné. De
nombreuses organisations n’ont aucune
idée de l’impact de cette nouvelle réglementation et de la manière de se préparer à ces nouvelles dispositions.
ps
Device
Encryption
pro
“My goal would be that all data is encrypted everywhere all the time”, déclarait
récemment un ancien CTO des services
de renseignement américains CIA. Une
prise de position qui démontre l’importance que prend désormais le cryptage
en 2015.
dès lors que le salon professionnel Infosecurity Belgique organisé à Bruxelles
soit placé sous le signe de l’Internet of
Things. La sécurité réseau et le cryptage
sont essentiels pour empêcher les cyber-criminels d’intercepter la communication entre un appareil et le serveur, et
s’emparer ainsi de données.
Après les piratages retentissants chez
Home Depot et Sony l’an dernier, Sophos
n’a éprouvé aucune difficulté à prédire
les Security Threat Trends pour 2015. Le
‘cryptage’ se situe en 3e position. Et se
positionne désormais comme un standard.
a p t o p s , d e s kt o
ge
Data
Le cryptage, entendez le verrouillage d’informations pour les
rendre illisibles aux personnes non-autorisées, prend une
importance croissante au moment où l’attention se focalise
sur la protection des données et de la vie privée suite aux
révélations dans la presse sur les écoutes des services de
sécurité et aux piratages de données à grande échelle. Songeons par exemple au récent hacking de Gemalto. Le cryptage est donc un sujet tendance. Forrester a récemment inventorié les principaux fournisseurs de cryptage d’extrémité
sur la base de 52 critères. Et classé Sophos en tête.
r ypt l
ex
S’IMPOSE TOUJOURS
DAVANTAGE
Enc
e
LE CRYPTAGE
tions certifiées pour le cryptage de disques durs pour les niveaux Secret d’Etat
Confidentiel et Départemental Confidentiel. La sécurisation d’informations sensibles des services de renseignement
passe par l’utilisation de produits de sécurité, par exemple un outil de chiffrement du disque dur d’un ordinateur ou un
téléphone intégrant une solution de chiffrement de la voix. Le bureau national de
sécurisation des communications néerlandais (NBV) propose une liste actualisée des produits agréés pour lesquels
le cryptage constitue une réelle option. Il
s’agit de solutions de sécurité off-line, de
sécurité des laptops, des réseaux et de
la voix, et de sécurité des supports externes.
En
res
ure n
e t wo r k fi l e s h a
de la proposition de loi est d’éviter les
fuites de données et, si une fuite se produit, d’en limiter l’impact. Dans le cadre
de cette proposition de loi, le Collège
de Protection des Données personnelles
(CBP) se voit confier une compétence
élargie en matière d’amendes administratives, pouvant aller jusqu’à 810.000
euros ou 10 pour cent du chiffre d’affaires annuel. Par ailleurs, cette proposition
de loi régit l’obligation de déclaration en
cas de perte de données. En Belgique, la
pression pour imposer une obligation de
déclaration en cas de fuite de données a
longtemps été limitée. Mais depuis la faille de données chez l’opérateur de transport SNCB et le Belgacom-gate, la prise
de conscience est forte.
CHEF DE FILE
La sécurité commence par l’utilisateur
final. Sophos est identifié dans le rapport ‘The Forrester Wave: Endpoint Encryption, Q1 2015’ du cabinet américain
Forrester Research comme chef de file
dans le cyptage d’extrémité. Les chercheurs ont constaté que le support aux
utilisateurs et la facilité d’implémentation
recevaient des notes particulièrement
élevées de la part des clients Sophos.
Ces excellents chiffres de Sophos s’ex-
pliquent aussi par les solutions de cryptage fort à base hardware, la flexibilité des
règles de cryptage pour les supports externes et les possibilités de cryptage au
niveau des fichiers.
LE CRYPTAGE DEVIENT UNE
NÉCESSITÉ
Dans ce même rapport, Forrester a évalué les fournisseurs sur 52 critères répartis en trois catégories: l’offre actuelle, la
stratégie et la vision, ainsi que le positionnement sur le marché, y compris les
programmes de partenariats.
•
Sophos se situe dans le haut du classement dans la catégorie ‘offre actuelle’ et affiche les scores les plus
élevés dans les sous-catégories
‘cryptage de volume d’extrémité’, ‘cryptage de fichier/dossier’ et
‘cryptage de support externe.’
• Dans la catégorie totale ‘positionnement sur le marché’, l’entreprise se
situe en deuxième position; dans les
sous-catégories ‘partenaires technologiques’ et ‘stabilité financière’,
Sophos obtient les scores les plus
élevés.
Le rapport de Forrester évalue non seulement les fournisseurs, mais analyse éga-
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
41
UNE NOUVELLE LÉGISLATION RECOMMANDE LE CRYPTAGE DES DONNÉES
lement la nécessité d’un cryptage d’extrémité. C’est ainsi que Forrester constate
que les organisations qui n’implémentent
aucun cryptage d’extrémité courent un
risque plus élevé de fuite de données ou
de violation des règles de conformité. En
fait, les chercheurs estiment que l’utilisation croissante d’appareils privés, les
applications mobiles et l’estompement
de la frontière entre travail et vie privée
imposent aux entreprises de s’intéresser
de près au cryptage d’extrémité. En effet, 52 pour cent des employés de bureau
reprennent régulièrement du travail chez
eux. Toujours selon Forrester, les unités
self-encrypting ont un bel avenir.
INDÉPENDANT DE TOUTE
PLATEFORME
Les développements dans le domaine de
la technologie de cryptage se poursuivent à un rythme soutenu. Le bras de fer
engagé avec les cybercriminels contraint
les fournisseurs à proposer constamment
de nouvelles versions et mises à jour de
logiciels. C’est ainsi que Sophos a lancé
récemment SafeGuard Encryption 7 et
Mobile Encryption 3 destinés à protéger
encore plus efficacement les utilisateurs
finaux contre les malwares et menaces
sophistiquées. Ces logiciels de cryptage permettent aux entreprises de créer,
consulter et modifier des données cryptées sur n’importe quel appareil. C’est
ainsi qu’un utilisateur Windows peut
partager des données cryptées avec un
utilisateur Mac via le cloud. Le logiciel
assure une sécurisation des données
sur n’importe quel type de plateforme
et d’appareil, peu importe en l’occurrence que les données se trouvent sur un
laptop, un smartphone ou une tablette, et
qu’elles soient partagées via le réseau
ou le cloud. Le logiciel peut être intégré
aux processus de travail ou organisationnels sans freiner pour autant le réseau.
Par ailleurs, les utilisateurs peuvent créer
ou modifier des documents cryptés sur
leur appareil mobile, de même que gérer
plusieurs clés de cryptage via une appli
mobile. Les dernières versions des logiciels supportent le cryptage natif d’Apple (Apple FileVault 2) et de Microsoft
(BitLocker). La gestion du cryptage de
l’ensemble des appareils, plates-formes
et du cloud se fait au départ d’une seule
et même console.
42
CRYPTAGE DANS LE CLOUD
Le cryptage de données dans le cloud
représente un phénomène relativement
récent pour lequel peu de recherches
ont été effectuées à ce jour. En avril 2014,
Thales e-Security et The Ponemom Institute publiaient un rapport intitulé “Encryption in the Cloud.” “Le cryptage de
données n’est pas encore entré dans les
mœurs”, peut-on lire en guise de conclusion générale. Alors que plus de la moitié
des 4.275 managers business et IT interrogés stocke des données sensibles ou
confidentielles dans le cloud, le cryptage
ne semble pas encore bien répandu. Ainsi, 39 pour cent seulement des utilisateurs
SaaS et 26 pour cent des utilisateurs IaaS
et PaaS affirment que leurs données ‘dormantes’ sont cryptées en standard. Tandis que seuls 44 pour cent des utilisateurs
SaaS et 40% des utilisateurs IaaS et PaaS
cryptent leurs données avant de les envoyer dans le cloud. Encore faut-il savoir
qui, lors du cryptage, assure le contrôle
sur les clés (cf. le piratage chez Gemalto). Au niveau du cryptage dormant, 34
pour cent des personnes interrogées
précisent avoir le contrôle sur les clés de
cryptage, tandis que pour 29 pour cent,
ce contrôle est assuré conjointement par
leur organisation et le fournisseur cloud.
Enfin, 18 pour cent déclarent qu’un service tiers prend en charge ce contrôle
et 17 pour cent que le fournisseur cloud
contrôle totalement les clés.
Conclusion
Le cryptage s’impose comme une réalité. Grâce au logiciel de cryptage, les
collaborateurs peuvent collaborer et
s’échanger des fichiers en toute sécurité,
ce qui leur permet de réaliser un travail
de qualité où qu’ils se trouvent: au travail,
sur la route et à la maison. Pourtant, l’émergence du cryptage n’a pas que des
avantages. Ainsi, les organismes de recherche et services de renseignement
voient dans le cryptage professionnel un
danger pour la sécurité (nationale). Reste que les autorités ont souvent différentes casquettes. Outre qu’elles assurent
la protection des citoyens, elles agissent
souvent comme un ‘acteur non-étatique’.
C’est ainsi que le conseil des ministres
néerlandais plaide dans une proposition
de loi controversée pour le ‘contre-piratage’ et pour un élargissement des
pouvoirs de piratage de la police. En out-
NOUVELLES
‘BEAUCOUP DE
CYBERCRIMINELS
COMMENCENT PAR DES VOLS
NUMÉRIQUES DANS DES JEUX EN LIGNE’
Comment les cybercriminels font-ils leurs premiers pas ? Il s’avère que ceux qui commettent
des actes graves ont souvent démarré par des petits vols de données, notamment dans des
jeux en ligne. Ces méfaits relativement inoffensifs ont évolué vers des actes de cybercriminalité patentés, potentiellement très néfastes.
Peter Magez
re, certains suspects pourraient être contraints de donner leurs clés de cryptage.
Le directeur de la National Crime Agency, Jamie Saunders, déclare dans The Independent que les cybercriminels peuvent causer des dégâts énormes, même
s’ils ont démarré ‘petit’. “Beaucoup de
jeunes sont complaisants par rapport à
certaines formes de criminalité”, explique Jamie Saunders. “Comme par exem-
ple le vol de lingots d’or dans des jeux en
ligne ou de la tricherie. On imagine mal
la police effectuer une perquisition pour
un vol d’épée dans World of Warcraft.”
World of Warcraft est un jeu en ligne très
populaire joué par des millions de personnes dans le monde. Dans ce jeu, des
milliers de joueurs peuvent utiliser simultanément les capacités d’un même serveur et interagir. Souvent, les jeunes ne
volent pas des objets ou de l’argent pour
un motif économique, mais juste pour
l’expérience ou le défi. Certains jeunes
ne réalisent pas non plus que de tels vols
virtuels sont illégaux.
CHECKLIST
Investissez 60 secondes dans la Compliance Check sur le site web Sophos et
vérifiez directement dans quelle mesure
votre entreprise satisfait à la GDPR.
1. Traitez-vous sur base annuelle des
données personnelles de plus de
5.000 citoyens européens?
2. Avez-vous mis en place une politique de protection des données
permettant à vos collaborateurs de
savoir comment protéger au mieux
leurs données personnelles?
3. Les disques durs des laptops de votre entreprise sont-ils cryptés?
4. Des données sont-elles stockées
dans le cloud? Songez par exemple
à des données de clients sur Salesforce, Dropbox, etc.?
5. Les données personnelles transmises par e-mail sont-elles cryptées?
6. Disposez-vous de données personnelles stockées sur support portable
comme des clés UBS, CD ou DVD?
C’est sous le slogan “Security made Simple” que Sophos participera au salon
professionnel Infosecurity Belgique qui se
tiendra les 25 et 26 mars prochains à Brussels EXPO. Numéro de stand: A060.
Auteur: Peter Magez, country manager
Belgique/Luxembourg
INFOSECURITY MAGAZINE - NR. 1 - MARS 2015
43
MODÈLE SMALS D’ÉVALUATION DE LA SÉCURITÉ CLOUD
SMALS
CONSTRUIT UN MODÈLE
CHRONIQUE GUY KINDERMANS
ATTENTION
AUX DANGERS DE ‘DEUXIÈME LIGNE’
D’ÉVALUATION DE LA SÉCURITÉ CLOUD
Smals, le fournisseur de services ICT pour les services publics, vient de mettre au point un
modèle d’évaluation permettant de juger la sécurité de services cloud. Ce faisant, les organismes membres peuvent, le cas échéant avec l’aide partielle de Smals, évaluer de manière
structurée et étayée quelles données peuvent être traitées dans le cloud et sous quelle forme.
Le modèle est scindé en deux volets d’évaluation. Le volet A comprend le questionnaire “Security-assessment-cloud-service” qui permet d’évaluer le niveau
de maturité de la sécurité d’un service
cloud spécifique, et le volet B le questionnaire “Client-guide-cloud-assessment”
grâce auquel il est possible d’évaluer
l’utilisation d’un service cloud particulier,
en fonction du type de données que l’on
désire transférer.
Les principaux aspects de sécurité évalués par le modèle sont regroupés en 4
critères principaux: gouvernance, gestion des identités et contrôle d’accès, sécurité IT, et sécurité opérationnelle. Dans
le contexte de la sécurité sociale et des
soins de santé, le modèle évalue également la conformité du service cloud par
rapport à la politique de sécurité applicable à ce niveau et publiée par la BCS.
Les résultats sont évalués sur la base
de codes de couleurs. La zone verte,
appelée “confidence zone”, représente
le pourcentage selon lequel un service
cloud satisfait avec certitude au critère
principal. La zone jaune, appelée “doubt
zone” représente le pourcentage selon
lequel un service cloud satisfait possiblement au critère principal. Nous parlons
de “possiblement” pour ne pas pénaliser
le service cloud évalué: la “doubt zone”
reprend donc les questions du questionnaire “Security-assessment-cloud-service.xlsm” auxquelles il est impossible
de répondre avec certitude. La zone
rouge, appelée “death zone”, représente
le pourcentage selon lequel un service
cloud ne satisfait pas au critère principal.
L’évaluation d’un certain nombre de ser44
vices cloud peut se présenter comme
suit:
“L’un des principaux avantages du cloud
est de pouvoir partager des ressources”,
explique Tania Martin, auteur principal
du modèle. “Le partage d’une telle infrastructure est malheureusement aussi
le talon d’Achille des services cloud. Les
cyber-attaques ont en effet démontré que
le partage d’un même service cloud par
plusieurs tenants peut être piraté. Les
problèmes de sécurité, et en particulier
la confidentialité et l’intégrité de données, inquiètent fortement les utilisateurs
du cloud dans la mesure où ils perdent le
contrôle sur la gestion complète de leurs
données. Dans le contexte des services
publics, de la sécurité sociale et des
soins de santé, ces problèmes sont d’autant plus importants qu’ils concernent
potentiellement des données sensibles
de citoyens et d’entreprises. Ceci explique d’un tel modèle d’évaluation soit un
instrument utile comme première estimation quant à la décision ou non de renoncer à un service cloud pour des raisons
de sécurité.”
Une série de ‘posts’ sur le blog de Yeri
Tiete (https://yeri.be/) – mis en évidence par le magazine belge des TIC Data
News – donnent une image pour le moins
inquiétante des mauvaises habitudes de
banques dès lors qu’il s’agit de gérer des
éléments cruciaux de la sécurité.
A l’aide du test ‘SSL Server’ de SSL Labs
(https://www.ssllabs.com/, un projet de
recherche du spécialiste de la sécurité Qualys), Yeri Tiete a pris le contrôle
d’aspects fondamentaux de la sécurité
comme les certificats serveur, l’implémentation SSL/TLS, l’échange de clés et
la solidité des clés pour l’accès sécurisé
aux serveurs, et ce au sein d’une série
de banques belges, petites et grandes.
Il en est ressorti qu’un certain nombre
de grands noms ont lourdement échoué
(score ‘F’) à ce test, notamment BNP Paribas Fortis, la banque Bpost et ING ! Rabobank est apparue comme le ‘meilleur
élève’.
Les résultats ont provoqué pas mal de
remous et un certain nombre d’informaticiens ont pu ensuite prester de nombreuses heures supplémentaires. Un bon mois
plus tard, il s’est avéré que les grands
busés de la veille avaient déjà amélioré
leur score pour atteindre un niveau ‘A’ (à
l’exception d’Optima Bank, qui n’a pas
réussi à se débarrasser de sa mauvaise
note F).
LES DANGERS DE
LA DEUXIÈME LIGNE
Les résultats des contrôles effectués par
Yeri Tiete démontrent qu’il est très dangereux pour un développeur de faire
aveuglément confiance à la qualité d’éléments provenant de tiers (même au sein
de sa propre entreprise). L’année dernière, l’affaire OpenSSL et Heartbleed a rappelé de façon douloureuse l’ampleur du
danger. Conséquence de moyens insuffisants pour contrôler les développements fournis par des tiers, en matériel
comme ne personnel, la vulnérabilité de
l’implémentation OpenSS a provoqué
beaucoup d’inquiétude dans le monde
entier.
Cela ne vaut d’ailleurs pas uniquement
pour les éléments de sécurité, mais également pour les frameworks dans les environnements de développement, les bibliothèques de composants et même des
applications complètes. Ce ne serait pas
la première fois qu’un problème de sécurité se produit parce qu’un développeur
pensait à tort qu’une ‘input validation’
avait déjà eu lieu dans une autre partie
de l’environnement applicatif (avec un
potentiel problème de SQL-injection à la
clé).
La solidité d’une chaîne dépend de celle
de tous ses maillons, et le maillon faible
peut être un élément qui vient d’un tiers.
Hélas, ce tiers ne dispose pas toujours
des moyens et des personnes en suffisance pour effectuer des tests de sécurité et
le contrôle qualité nécessaire au cours
du développement et tout le cycle de vie
du composant. Il ressort aujourd’hui que
le projet OpenSSL ne reçoit pas encore
assez de soutien, malgré de nombreuses concessions. Les utilisateurs ne disposent par conséquent pas du temps et
des moyens suffisants pour réaliser un tel
contrôle lors de la phase de développement déjà bien remplie. Sans même parler de projets/frameworks/composants
‘orphelins’ qui ne sont plus poursuivis par
leurs développeurs, mais dont les résultats sont encore utilisés ici et là !
CHACUN SA RESPONSABILITÉ
Tout ceci a également de quoi inquiéter
l’utilisateur final. En effet, celui-ci voyait
auparavant sur son navigateur la petite
clé qui signifiait que la connexion était
sécurisée et il était rassuré. Désormais, il
sait que ce n’est pas nécessairement le
cas. Des banques, mais également des
pouvoirs publics, des boutiques en ligne, etc. doivent faire davantage d’efforts
pour informer leurs clients et utilisateurs
de façon claire – c’est-à-dire transparente
et compréhensible – sur ce qu’ils doivent
faire pour sécuriser leur façon de travailler, ainsi que sur les dangers éventuels.
Et l’utilisateur final doit ensuite être suffisamment compétent que pour savoir
quelle est sa propre responsabilité, et
quelles mesures supplémentaires il a intérêt à prendre (comme l’utilisation standard d’un moyen d’authentification aussi
fort que possible). Cela ressemble à une
vérité difficile à avaler, mais personne
dans une chaîne de valeurs ne peut benoîtement partir du principe que les ‘autres’ auront fait le nécessaire sur le plan
de la sécurité.
Guy Kindermans, pendant des années ‘senior editor’ chez Data News, est un spécialiste renommé de la sécurité en Belgique. Il
abordera régulièrement pour Infosecurity
Magazine certains aspects ou problèmes
du monde de la sécurité informatique.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
45
The Trusted Bring-Your-Own
Identity Platform
TRUSTED BRING-YOUR-OWN-IDENTITY
MYDIGIPASS.COM is the secure and trusted BYO-ID platform of
VASCO Data Security, a world leader in strong user authentication, electronic
signature and ID-management solutions.
APPLICATION PROVIDERS can easily integrate the MYDIGIPASS.COM “secure
connect” API into both their online and mobile applications in order to
increase security, comply with legal requirements, facilitate user onboarding
and gain customer knowledge (KYC).
e-Healthcare
e-Banking
e-Gaming
e-Insurance
e-Commerce
e-Government
IDENTITY PROVIDERS are able to join the platform and offer their user
community access to a full range of new and secure online services under
their own brand.
MOBILE READY
Users can download the MYDIGIPASS.COM mobile app from the appstores,
create a free account and gain secure access to all supported applications that
have integrated the API. Additionally, users are able to stay in control of their
digital identity attributes.
eID READY!
Users can now register for a free MYDIGIPASS.COM account
simply by using their Belgian eID card. Application providers can
benefit from the validated user data to further personalize their
online service.
Visit www.vasco.com/BYOID to learn more!
Banking level
security
Easy
deployment
Costefficient
VASCO is the world leader in providing Two-factor authentication and Electronic
Signature solutions to financial institutions. More than half of the Top 100 global
banks rely on VASCO solutions to enhance security, protect mobile applications,
and meet regulatory requirements. VASCO also secures access to data and
applications in the cloud, and provides tools for application developers to easily
integrate security functions into their web-based and mobile applications. VASCO
enables more than 10,000 customers in 100 countries to secure access, manage
identities, verify transactions, and protect assets across financial, enterprise,
E-commerce, government and healthcare markets.
www.vasco.com
turnIng off encrypted traffIc
InspectIon for performance?
We have
a
better
Idea.
IntroducIng the fastest fIrebox ever.
®
Encrypted traffic is exploding worldwide. That’s why
WatchGuard has released two new security appliances
that deliver unprecedented speed – the Firebox M400
and M500. In fact, the M500 is 61% faster than the
competition with all layers of security turned on – and
149% faster for capacity-intensive HTTPS inspection.*
Now you have the power to amp up network
performance without sacrificing security strength.
Never compromise security. Step up to the new Firebox.
Contact us today at: [email protected]
or call +31 (0)70 711 20 85
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved.
* Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
48