Interview

 

Consultant sécurité

Publié le 26-02-2004 dans le thème Réseau - Sécurité

Pays : Europe - Auteur : Damien Bancal


Pub : Tous les logiciels anti-spam gratuits disponibles sur Internet

Note des lecteurs: 3.4/5

La sécurité informatique comporte beaucoup de métier. L'un d'eux, consultant. Nous avons posé quelques questions sur le travail de consultant sécurité à Frank Lavenant, 33 ans, Consultant Système et Sécurité depuis 10 ans pour le compte de la société SETIB depuis 3 ans.

Qu'est ce que votre métier ?

Notre métier a pour vocation d'aider les entreprises à intégrer la sécurité dans leurs systèmes d'information et également dans les services qu'elles proposent à leurs clients, comme par exemple les services bancaires sur Internet.

Quel cursus suivi ?

BTS Informatique Industrielle (2 ans), puis l'EPITA et le CNAM en parallèle (3 ans). Mon stage en entreprise de dernière année de cursus d'ingénieur fût consacré à la sécurité. Mon premier emploi fût au Ministère de la Défense où j'ai continué de travailler sur ce thème pendant 6 ans, ce qui a été très formateur. SETIB me permet maintenant de continuer à évoluer sur la conception et la mise en place d'architectures sécurisées en clientèle.

Existe t il d'autres cursus pour faire ce métier ?

Oui, il existe des Masters en Sécurité, DEA, DESS et Ecole d'ingénieur.
Mais la sécurité s'apprend d'abord sur le terrain. Il faut être passionné, curieux et posséder des connaissances de base solides en systèmes, réseaux et une certaine maîtrise de la programmation afin d'aborder des besoins en sécurité clients assez complexes comme par exemple, définir et mettre en place une architecture PKI.

Quelle est votre journée type de travail ?

Tout dépend de la mission proposée. Les journées de travail restent très diversifiées car fonction des demandes et besoins de chaque client. Généralement, je travaille en collaboration avec l'équipe du client sur son projet. Mon rôle consiste à conseiller, aider à définir, choisir et mettre en place la meilleure solution au problème posé.

Il est évident que ce métier oblige à rester à la pointe et la veille technologique est le seul moyen pour maintenir ses connaissances à niveau. Sur une semaine, notre équipe effectue en moyenne une journée dédiée à la veille technologique. Nous nous tenons informés des évolutions du marché, des nouvelles tendances et de l'émergence de nouvelles solutions.

La sécurité informatique semble être un tabou dans les sociétés, le pensez-vous ?

Oui, le sujet reste tabou et les entreprises restent réticentes même si elles prennent conscience qu'aujourd'hui rien ne peut se faire sans. Notre rôle consiste aussi à les aider et à définir leur politique de sécurité de leurs systèmes d'information (PSI).

Pourquoi ?

Car le sujet est encore nouveau et souvent mal connu. En outre, peu de spécialistes existent sur le marché. Les entreprises ont peur de se faire "pirater", elles ne savent pas comment faire face à cette menace et souvent n'osent pas aborder ce thème.

Que diriez-vous aux "gosses" qui rêvent de devenir Hacker ?

Pour moi, le terme Hacker définit une personne à la pointe de la technologie informatique, elle permet d'améliorer la sécurité en découvrant de nouvelles failles et en ne causant aucun tort à quiconque. Trop de personnes confondent Hacker avec "Pirate info" qui ne pense qu'à détruire ou à nuire. Il faut bien prendre conscience que le piratage est soumis à des amendes, voir des peines de prison. De plus, cela peut mettre en péril certaines sociétés et parfois même le licenciement des administrateurs systèmes ou réseaux. Et puis, ce n'est pas en "defaçant" les sites qu'on devient célèbre.

Par contre, faire des tests d'intrusion (Pen Test) sous autorisation et dans le cadre d'une mission permet de mettre en évidence les lacunes en sécurité d'une entreprise et d'en améliorer son état. Ceci n'en reste pas moins ludique et la démarche est nettement plus constructive.

L'audit en sécurité informatique est-elle prise au sérieux par les entreprises ?

Oui, je crois qu'aujourd'hui, les entreprises font confiance à un audit sécurité. Car elles prennent de plus en plus conscience du risque encouru si leur réseau est mal protégé. D'autant plus que leur réseau devient de plus en plus complexe à administrer et à sécuriser.

Dans un audit, il faut dissocier les aspects mise en évidence des vulnérabilités des aspects recommandations. C'est la seconde partie qui va rendre crédible et exploitable les résultats de celui-ci.

Comment, d'après vous, doit agir une société face à un problème de sécurité informatique ?

Agir avec sérénité et rigueur. Ne pas paniquer face à une intrusion, par exemple. Appliquer les procédures de sécurité existantes et faire appel à des professionnels de la sécurité.

Qu'est ce qu'une bonne sécurité informatique ?

La "bonne sécurité", c'est le travail à la fois organisationnel et technique.

Sur le plan technique, cela passe par la mise en œuvre de matériels et logiciels performants utilisées par des personnes compétentes. Définir une solution sécurisée est un travail d'équipe, chacun a ses compétences et peut s'intégrer facilement au projet. Cela permet d'avoir une vision assez large et de soulever des problèmes auxquels nous n'avions pas pensé.

Mais attention, ce n'est pas parce que le projet est fini que tout est sécurisé, bien au contraire, il faut savoir se tenir informé rapidement des problèmes de sécurité et de réagir en conséquence. De toute façon, comme chacun sait, le 100% ou l'hyper sécurisé n'existe pas. Par contre, essayer de s'en approchée pourquoi pas.

Et une mauvaise ?

C'est une solution sécurisée qui ne sait pas évoluer et c'est de croire qu'on est sécurisé. La sécurité doit faire l'objet d'un suivi continu et être sans cesse remise à niveau.

Quel est le cas le plus grave que vous ayez pu rencontrer dans votre travail ?

Un accès total et sans mot de passe à tout un système, depuis l'Internet, d'une grande société française connue. Nous avions accès à plusieurs bases de données, comptes et mot de passe utilisateur dans un fichier en clair, plan d'adressage de leur réseau, messagerie, documents interne de la société, documents personnel, bref la totale.

... et le plus "drôle" ?

Le cas le plus drôle et surprenant que j'ai pu rencontrer est un ingénieur sécurité tellement angoissé de se faire pirater ces machines, qu'il avait installé un système d'alarme. Dés qu'une attaque se produisait, une sirène se déclenchait en salle de production et hurlait à tue tête (système intelligent, mais un peu bruyant, d'autant plus qu'elle se déclenchait assez souvent).

Que pensez du full-disclosure ?

Comment faire le bien et le mal ? Mon avis reste mitigé.
D'autre part, je suis pour la libre diffusion de l'information, toute faille découverte doit être rendue publique. La divulgation des failles permet de faire corriger les bugs logiciels par les éditeurs, de "patcher" les serveurs par les administrateurs, bref d'améliorer la sécurité. Mais d'autre part, il est vrai que ces informations peuvent être utilisées à mauvais escient et que les "pirates" en sont friands.

D'après ce que vous pouvez en voir, quel est le niveau de la sécurité en France ?

Les grandes entreprises, les banques et les grandes institutions travaillent sur la sécurité depuis quelques années. Leur niveau est globalement convenable et acceptable à ce jour. Par contre, les PME/PMI, bien que sensibilisées, ont du mal à franchir le cap, certainement en grande partie à cause du coût que cela représente. A mon avis, elles jugent que le coût d'investissement n'est pas en relation avec les risques qu'elles peuvent encourir.

Aujourd'hui, l'externalisation de la sécurité prend de plus en plus d'importance et permet aux entreprises d'améliorer rapidement leur niveau. Avec cette solution, les entreprises peuvent avoir à disposition tout l'environnement matériel et surtout humain permettant de réaliser une meilleure sécurité (suivi des dernières techniques de Hacking, veille Technologique, suivi des versions des logiciels, patchs à appliquer ...).

Quoi qu'il en soit, il reste encore beaucoup de travail à effectuer en matière de sécurité et personne n'est à l'abri de la faille.

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Sur le même thème : Réseau - Sécurité

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft

Vigilants.fr veille informatique sur les réseaux.
VPN, connexion securisee, haut débit plus de 1000Ko/s, traffic illimité et sans filtrage de ports ni de protocoles, plusieurs adresses et pays différents - service disponible 24h/24h
Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA