Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
5 avril 2011 2 05 /04 /avril /2011 10:17

CYBERSECURITE. Journée franco-israélienne de la CCFI : Les PME et les applications Web cibles privilégiées des pirates informatiques.

 

Son Excellence Yossi Gal, Ambassadeur d’Israël en France au 5ème Forum de Cyber-sécurité à la CCIP, lundi 4 avril 2011.

 

Compte-rendu de la Journée franco-israélienne de la CCFI par Marc Jacob, Global Security Mag.

La Chambre de Commerce et d’Industrie de Paris (CCIP) et la Chambre de Commerce France-Israël (CCFI) ont organisé les 10e Rencontres économiques et technologiques France-Israël, 5e Édition du Forum annuel de sécurité Franco-Israélien. L’OWASP, l’Ecole de Guerre Economique et le CLUSIF étaient cette année particulièrement à l’honneur.

L’accent a été mis sur l’impact des cyber-attaques et des actes des cyber-guerres sur les PMEs et la sécurité des applications Web. Il a été démontré que les PME sont particulièrement vulnérables de même que les applications Web. De plus, tous nos intervenants ont reconnu que les outils de sécurité sont insuffisants pour parer les attaques et en particulier celles qui sont ciblées. De plus, selon Nicolas Ruff, expert sécurité d’EADS a suggéré que les entreprises victimes d’attaques fassent des « Class Action » contre les fournisseurs de solutions de sécurité…Tout un programme.

Après les traditionnels messages de bienvenue du Président de la CCI de Paris Pierre-Antoine Gailly et d’Henri Cukiermann, Président de la CCFI qui ont rappelé l’importance des relations économiques franco-israélienne les débats ont été lancés et animés par Dominique Bourra CEO de la société NanoJV .

Les PME au cœur des cyber-attaques

La première table ronde avant pour thème cyber-attaques ciblées et guerre économique, l’équipement des PME dans la lignede mire. Elle réunissait Pascal Lointier, Président du CLUSIF,Christian Harbulot, Directeur de l’Ecole de Guerre Economique et Itzik Kotler, CTO de Security Art. Pour Pascal Lointier, les équipements industriels de production sont aujourd’hui la ciblé des pirates informatiques, car ils sont accessibles par les réseaux. Par contre, les entreprises sont mal préparer à ces attaques. Il faudra plusieurs années aux Grands Comptes pour réduire ces risques. Il a cité le M2M qui est particulièrement vulnérable car la sécurité n’a pas été prévue. Cette technologie est embarquée dans de nombreux outils comme les imprimantes… Si dans les Grands Comptes le risque est mal pris en compte, c’est pire dans les PME…

Pour Christian Harbulot, directeur de l’Ecole de Guerre Economique (EGE), créée il y a 10 ans, la cyber-guerre c’est à la fois des attaques sur des réseaux mais aussi la guerre de l’information. Cette dernière n’est pas nouvelle, déjà durant la guerre du Vietnam les Etats-Unis avaient certes gagné la guerre au niveau militaire mais avaient perdu celle de l’information. Effectivement, reprend Pascal Lointier l’informatique offensive a été utilisé lors de la guerre du Kossovo pour cartographier l’impact des cibles stratégiques détruits comme les réseaux de communication. Par contre, il a précisé qu’il ne faut pas confondre la cyber-guerre et les cyber-attaques. Pour nos intervenants, viser les PME c’est aussi agir pour déstabiliser les Etats.

Itzik KotlerCTO de Security Art société de conseils israélienne spécialisée entre autre dans l’audit de vulnérabilité a montré que les attaquants pouvaient utiliser des bombes logiques, des attaques en DDOS permanents, mais aussi du social engineering qui reste une arme très dangereuse. Bien sûr reprend Pascal Lointier, on peut avoir tous les outils de sécurité, l’agression psychologique est la plus difficile à parer : « bien souvent en étant poli on peut obtenir ce que l’on veut ». Ainsi, les actions de sensibilisations doivent être répétées afin que les utilisateurs adoptent un comportement sécuritaire sans tomber dans la paranoïa. Pour Christian Harbulot au-delà des failles humaines, il y a celle de la connaissance et de l’information. Itzik Kotler a présenté des outils permettant de produire des attaques ciblées quasiment imparables. Ainsi, il est possible d’attaquer les CPU, de faire de l’overvolting, du Power cycling… Pour lui aucun outil de sécurité ne protège à 100%, il s’agit donc pour un attaquant de trouver une seule faille pour s’y engouffrer. Souvent il ne s’agit pas d’utiliser des outils mais uniquement du social engineering en passant par les réseaux sociaux. Toutes ces attaques peuvent aussi être associées à des bombes logiques ou des DDOS. Christian Harbulot a déploré une absence de vision globale qui prendrait en compte la guerre de l’information. Pascal Lointier estime qu’il manque dans les entreprises une cartographie des enjeux de l’entreprise et une sécurisation des principales parties du SI à sécuriser en priorité. Dans ce contexte, les PME doivent bénéficier d’un accompagnement pour déployer des outils et faire une analyse de risque.

Puis plusieurs dirigeants d’entreprises israéliennes partenaires de l’événement ont présenté leur solution : Access Layers : contrôle d’accès; Covertix protection des données sensibles;GreenSQL est un firewall de base de données en Open Source LynuxWorks, société américaine d’analyse de malware LynxSecure securité des solutions de virtualisation, Radware load balancing ;  autre Skybox système automatique de gestion des risque et de compliance TeQualSociété de service en Outsourcing compagnie née d’une joint venture israélo-palestinienne;  Whitebox Security : IAM. 

 Roy Zisapel, CEO de Radware a fait une analyse des attaques qui ont eu lieu pour défendre Wikileaks. En préambule, il a montré que les attaques en DDOS se multiplient depuis 2009. De nouvelles techniques ont été mises en œuvre par les pirates informatiques comme le Slowloris qui permet de réaliser un DDOS lentement. Cette technique permet de contourner les outils de sécurité car les requêtes semblent normales. Dans l’affaire de Wikileaks, il faut noter que les attaquants sont passés par les réseaux sociaux pour diffuser leur malware destiner aux opérateurs bancaires VISA, MASTERCARD, PAYPAL… Pour cette attaque, les supporters de Wikileaks n’avaient qu’un outil à télécharger et saisir une l’URL de la société ciblée pour réaliser l’attaque. 

 Les applications Web dans la tourmente

Pour nos trois intervenants Ofer Maor, Président de l’OWASP Israël, Nicolas Ruff, Expert en Sécurité EADS et Yves Tenenbaum, Directeur Commercial France de Seculert les applications web sont particulièrement vulnérables. Ofer Maor citant les statistiques de l’OWAPS montre que 97% des applications Web sont vulnérables et plus de 90% des attaques se concentrent sur ces applications. Dans le Top des attaques on trouve comme à l’habitude les injections SQL, les attaques XSS, les mots de passes faibles… Pour lui, il est nécessaires de faire du test de pénétration, se protéger avec des WAF, mais surtout d’utiliser des méthodes de développement sécurisé comme le SDLC. Ce dernier point pourrait être le « Saint Graal ».

Toutefois, il faut tout d’abord former les développeurs, avoir des outils de test fiable…Mais c’est aussi un problème de coût de développement car il faut faire à la fois du test automatique et manuel. Pour y arriver, il faut aussi le soutien des managers et qu’ils allouent des budgets sécurité et R&D. Yves Tenenbaum a présenté rapidement l’offre de Seculert un système d’alerte pour trouver les machines infectées. Il considère que l’on sous-estime régulièrement les risques liés à la navigation Web, d’autant que les antimalware n’arrêtent en moyenne que 40% des malwares, de même les outils qui se basent sur la réputation web…. Nicolas Ruff a déploré qu’il n’y ait pas de procédure formelle de développement des applications Web. Pour lui, le W3C et l’HTML5 sont de véritables catastrophes en termes de sécurité. Il a rappelé que le SSL a été développé par un stagiaire et est régulièrement pirater. Les entreprises font trop souvent appellent pour le développement des applications à des entreprises Offshore qui utilisent des processus et des outils industriels sans aucune notion de sécurité. Ainsi, on arrive souvent à des problèmes qui au final peuvent couter aux entreprises. Ainsi, citant l’exemple de la récente affaire des pertes de données des bases de données par RSA, ces Tokens sont devenus peu sûr. Pour lui, la plus part des outils de sécurité ne protègent pas à la hauteur des « discours des vendeurs ». Enfin, il a conclu son intervention en s’étonnant qu’à ce jour il n’y ait pas encore de « Class Action » contre les vendeurs de solutions de sécurité !  La journée a été conclue par son Excellence Yossi Gal, Ambassadeur d’Israël en France qui a lui aussi rappelé l’importance des relations des échanges franco-israélienne en particulier en matière de nouvelles technologies.

 

Copyrights Global Security Mag : http://www.globalsecuritymag.fr

 

Partager cet article

Repost 0

commentaires

Présentation

  • : Le blog de Gad
  • Le blog de Gad
  • : Lessakele : déjouer les pièges de l'actualité Lessakele, verbe hébraïque qui signifie "déjouer" est un blog de commentaire libre d'une actualité disparate, visant à taquiner l'indépendance et l'esprit critique du lecteur et à lui prêter quelques clés de décrytage personnalisées.
  • Contact

Traducteur

English German Spanish Portuguese Italian Dutch
Russian Polish Hebrew Czech Greek Hindi

Recherche

Magie de la langue hébraïque


A tous nos chers lecteurs.

 

Ne vous est-il jamais venu à l'esprit d'en savoir un peu plus sur le titre de ce blog ?

Puisque nous nous sommes aujourd'hui habillés de bleu, il conviendrait de rentrer plus a fond dans l'explication du mot lessakel.

En fait Lessakel n'est que la façon française de dire le mot léhasskil.

L'hébreu est une langue qui fonctionne en déclinant des racines.

Racines, bilitères, trilitères et quadrilitères.

La majorité d'entre elle sont trilitères.

Aussi Si Gad a souhaité appeler son site Lessakel, c'est parce qu'il souhaitait rendre hommage à l'intelligence.

Celle qui nous est demandée chaque jour.

La racine de l'intelligence est sé'hel שכל qui signifie l'intelligence pure.

De cette racine découlent plusieurs mots

Sé'hel > intelligence, esprit, raison, bon sens, prudence, mais aussi croiser

Léhasskil > Etre intelligent, cultivé, déjouer les pièges

Sé'hli > intelligent, mental, spirituel

Léhistakel > agir prudemment, être retenu et raisonnable, chercher à comprendre

Si'hloute > appréhension et compréhension

Haskala >  Instruction, culture, éducation

Lessa'hlen > rationaliser, intellectualiser

Heschkel > moralité

Si'htanout > rationalisme

Si'hloul > Amélioration, perfectionnement

 

Gageons que ce site puisse nous apporter quelques lumières.

Aschkel pour Lessakel.

 

 

Les news de blogs amis