JSSI 2012 - Faut-il réglementer la prestation de services en sécurité ?

g4l4drim

13 mars 2012 — 1 min read

Table ronde

Avec:

Philippe Bernard (RSSI MBDA)
Olivier Caleff (Fédération des Professionnels des Tests Intrusifs)
Olivier Dembour (ARJEL)
« Faut-il réglementer la prestation de services en sécurité ? »

Philippe Bernard, le RSSI de la première présentation
Olivier Dembour, évaluateur de l’ARJEL qui s’occupe du suivis des certifications des opérateurs de jeu.
Olivier Caleff, dont la fédération à pour objectif de fournir une charte et une méthodologie de test d’intrusion, et du lobbying dans le domaine.

« Qu’est-ce qu’un prestataire en SSI ? »

L’origine de la FPTI était de lutter contre le tout et le n’importe quoi en test d’intrusion. Coté MBDA c’est le secret et la gestion du secret qui est important dans ses choix. Le résultat d’audit envoyé par e-mail ou les résultats d’audits présents sur un portable qui peut être volé, c’est juste une catastrophe.

L’ARJEL quand à elle emploie des prestataires qualifiés qui sont référencé comme auditeur ARJEL. Ils sont qualifiés sur la base d’extraits de rapports d’audit de configuration, de code, de pentest etc…

L’exhaustivité n’est pas à attendre d’un test d’intrusion contrairement à un scan de vulnérabilité (même si ces derniers se révèlent pas si exhaustifs que ça…). Le travail de concert avec les RSSI pour appuyer leurs remontées d’alertes auprès de la direction est importante. Certains clients font auditer la même cible par plusieurs prestataires pour confronter les points de vue des auditeurs.

Coté ARJEL, les critères techniques et les diplômes ont plus d’importance que pour la FPTI qui s’intéresse plus à des critères de probité d’éthique et de professionnalisme que l’aspect diplômes.
P. Bernard indique qu’une réglementation trop rigide posera problème pour les sociétés qui ont des besoins particuliers en terme d’audit de sécurité.

Agir avec méthode, être reproductible, c’est un minimum. Après la mise en place d’un référentiel ne viendra jamais garantir la compétence des auditeurs. C’est là ou la réputation vient jouer un rôle clef. La curiosité, la motivation et la ténacité sont des qualités essentielles d’un auditeur.

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Streamer Audio : Volumio

Introduction Aujourd’hui il y a plein de manières de diffuser de la musique dans son salon. La première source à laquelle je pense est très certainement la TV connectée. Les services de musique ont pour la plupart lancé des applications sur les TV connectées. Et cet article peut s’

Read more

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1

Streamer Audio : Volumio