Bertrand Arquilliere : Systèmes, réseaux et sécurité

CV mis à jour

Bertrand Arquilliere — Sat, 21 Jun 2008 00:39:00 +0200

CV en lien mis à jour pour y inclure ma certification Lead Auditor ISO 27001.

En entête du CV pour que la certification soit bien visible et appui mon envie de travailler dans le management de la sécurité.

Participez à un record du monde

Bertrand Arquilliere — Fri, 30 May 2008 07:33:00 +0200

Je fais écho d'un billet de notre cher modérateur ...

Participez à un record du monde, facile, Firefox veut battre le record du monde du logiciel le plus téléchargé en 24h.
Pour participer, rien de plus simple. Rendez vous ici (http://www.spreadfirefox.com/fr/worldrecord/) et saisissez votre adresse email. Le jour J vous serez prévenu que Firefox 3 est disponible, il ne vous restera plus qu'à tenir votre promesse.

Have fun !

Création d'un groupe de travail OSSIR à Lyon

Bertrand Arquilliere — Wed, 28 May 2008 08:36:00 +0200

Les examens du master 2 étant terminés, et en attendant la soutenance orale puis les résultats, je me lance dans un nouveau projet ...

Je suis en cours de création d'un groupe de travail OSSIR à Lyon, tel qu'il en existe à Paris, Toulouse et Rennes.

Actuellement, je "recense" les personnes intéréssés pour y participer.
Le site de l'OSSIR : http://www.ossir.org

Les réunions du groupe de travail OSSIR ont lieu sur une base 1/2 journée / mois et sont ouvertes à tous, adhérents ou non à l'OSSIR.
Il s'agit, lors de ces réunions de suivre une présentation faite par l'un des participants, suivi d'un débat retour d'expérience. Pour vous faire une idée des thèmes abordés, je vous invite à regarder les documents des présentations faites dans les groupes de Toulouse, Paris et Rennes.

Si vous êtes intéressés, n'hésitez pas à me contacter pour plus de détails.

A bientôt.

Certifié Lead Auditor ISO 27001

Bertrand Arquilliere — Sat, 10 May 2008 10:57:00 +0200

Dans la boite aux lettres, ce matin, une grande enveloppe m'attendait ...

Une enveloppe format A4 avec l'entête de LSTI m'attendait ce matin.
Lors de la formation, je savais qu'on connaissait les résultats à la taille de l'enveloppe : A4 = réussite, format standard = échec.
C'est donc trés content que j'ai décachetté cette enveloppe qui comme je m'y attendais contient mon certificat "Lead Auditor ISO 27001" délivré par le LSTI, organisme accrédité par le COFRAQ.

Les métiers de l'audit sécurité informatique s'ouvrent maintenant à moi !

Sur cette excellente nouvelle, je retourne réviser mon examen ... d'audit pour le master.

Bonne jounrée.

Début des examens pour le master 2 Organisation et Protection des Systèmes d'Informations en Entreprise (OPSIE)

Bertrand Arquilliere — Wed, 30 Apr 2008 10:07:00 +0200

Alors que je suis toujours dans l'attente du résultat de ma certification Lead Auditor ISO 27001, les examens pour l'obtention de mon Master 2 OPSIE ont commencés lundi soir.

Lundi soir, l'épreuve que j'attendais le plus pour faire le plein de points d'avance s'est déroulée : L'examen de sécurité.
Un ensemble de question très ouvertes où le principal danger résidait dans le fait de trop parler (écrire) et donc se faire prendre par le temps. Ce qui a failli m'arriver !
En effet, à la fin de la première question j'avais déjà écrit deux pages et il me restait encore une quinzaine de questions a traiter. J'ai donc pris l'option de moins détailler mes réponses.
Globalement je suis un peu déçu car certaine questions m'ont surpris :
Exemple : Pourquoi le chiffre de César ne respecte pas le principe de Kerchekofs. Ce sont des principes vus en octobre ou novembre dernier et je dois admettre que lors des révisions de la crypto je me suis plus concentré sur les aspects clé publiques/clés privées, chiffrement symétrique et asymétrique.
Par manque de temps, je n'ai pas détaillé autant que je le souhaitait certaines questions.
Déçu donc car je n'aurai pas pris autant de points d'avance que je ne l'espérai.
Mon pronostic sécurité : 15/20

Mardi soir épreuve de gestion des risques, très bien préparé, je maîtrise la méthode sur le bout des doigts, je ne fais parfaitement la différence entre une menace, une vulnérabilité et un risque (Le principal piège de cette épreuve consiste à confondre les trois).
Par contre, je n'ai pas réussi a m'habituer à la façon de rendre l'appréciation des risques de l'enseignant, qui consiste a produire un tableau pour chacune des 4 phases de l'analyse des risques. Je comptais donc sur ma connaissance de la méthode et mon bon sens pour m'en sortir dans cette épreuve.
Le sujet : Une étude de cas pour une entreprise de transport. Beaucoup de détails sur l'activité de l'entreprise et ses processus, des bilans comptable, et quelques informations informatiques.
Sur une épreuve de deux heures, il m'a fallu prés de 45 minutes pour bien lire et assimiler le sujet et 15 minutes de plus pour répondre à la première question qui consiste à établir une cartographie du Système d'Information. L'entreprise étant plutôt énorme en terme de S.I, j'ai choisis de représenter le S.I dans un tableau représentant en colonne les processus et en ligne les acteurs. Une croix à l'intersection Acteur/Processus permet ainsi d'identifier rapidement quel acteur communique avec qui et à travers quel processus. Au vu de la taille de l'entreprise, ce tableau m'a semblé plus pratique qu'un dessin avec des patatoïdes et des flèches dans tous les sens pour représenter les flux d'informations. malheureusement pris par le temps, je n'ai pas justifier mon choix ...
Les questions suivantes déroulant la méthode dans le bon ordre, je me suis contenter de répondre aux questions sans justifier en regard de la méthode. Il fallait proposer 5 menaces majeures pour l'entreprise et son S.I, ensuite il fallait proposer 10 vulnérabilités majeures en regard des menaces de la question 2.
La question 4 a été la plus déstabilisante, il fallait présenter les risques majeurs à la mise en place d'un site marchand ... Or à aucun moment l'énoncé ne faisait référence à l'éventuelle mise en place d'un site internet marchand, donc j'étais dans le flou le plus complet. J'ai donc fait des hypothèses comme quoi l'entreprise voulait ouvrir un site afin de vendre ses services en Europe aux particuliers (Il existait déjà un process de B2B via Internet) => du B2C. Il me restait à ce moment là 3 minutes ... J'ai donc fait un tableau d'appréciations des risques contenant une colonne pour les menaces, une colonne pour les vulnérabilités, une colonne pour l'impact, une colonne pour le degré d'occurrence et enfin une colonne d'appréciation du risque. J'ai rempli deux ou trois lignes en piochant dans mes menaces de la question 2 et les vulnérabilités de la question 3, afin d'imaginer l'impact et un degré d'occurence pour évaluer à partir de tous ces éléments le niveau de risque.

Etant donné que les questions suivaient dans l'ordre la méthode proposée, je n'ai quasiment pas justifier mes réponses, ma cartographie du S.I sort des sentiers battus car non formalisée comme l'enseignant l'attendait, enfin un cruel manque d'imagination sur la proposition de 5 menaces majeures et pourtant je cherchais parmi les éléments constitutifs d'une menace (Malveillance, Accident, Erreur).
Mon pronostic Gestion du risque : entre 6/20 et 10/20

Examen de certification Lead Auditor ISO 27001 passé

Bertrand Arquilliere — Fri, 18 Apr 2008 21:16:00 +0200

L'épreuve d'examen Lead Auditor ISO 27001 a eu lieu cette après midi...
Retour sur une semaine excellente et exceptionnelle, comme j'aimerai en vivre plus souvent !

Ayant signé des clauses de confidentialité sur la teneur de l'examen, je ne peux donc pas vous en dire plus sur les questions de l'examen, je pense tout de même pouvoir dire, que 3h30 d'épreuve passent très vite, et que 30 minutes pour se relire ne seraient pas de trop.
Globalement je n'ai aucune idée sur l'issue de cet examen il faut, pour être certifié, obtenir 70%.
Résultat dans 3 semaines environ ...

Cet examen a marqué le point final d'une semaine de formation riche en enseignements et en rencontre de fortes personnalités, avec qui il ne me déplairait pas de travailler en équipe d'audit

Des formateurs tout simplement humain, et ouverts, ponctuant la formation d'exemples vécus, des jeux de rôles parfois déstabilisant, cette semaine a été pour moi un réel plaisir.
En contact journalier avec MONSIEUR Hervé Schauer, qui est, pour moi en tout cas, une sacré référence en terme de sécurité informatique, peut être même LA référence. Je connaissais un peu Hervé, pour avoir participé une fois à une réunion de l'OSSIR à Paris, du temps de Renaud Deraison (l'auteur de Nessus, qui est un outil de scan de vulnérabilités), et pour l'avoir contacté par email et téléphone du temps où j'avais ma société de consulting en sécurité informatique (Kr@g à Béziers).
Je ne connaissais pas du tout Alexandre Fernandez et j'attends avec beaucoup d'impatience d'être en mesure de lire son livre.
De vraies rencontres aussi avec les collègues formés, tous d'horizons plus ou moins différent, qui étaient tous prêts à faire part de leur expérience et a partager leurs connaissances.
Avec en souvenir que je vais sûrement garder longtemps : Un jeu de rôle où Hervé se prenait pour un admin système bourru, qui a réponse à tout et qui ne voulait pas admettre, reconnaître une non conformité dans son système de management de la sécurité de l'information (SMSI), sans parler de l'architecture soit-disant sécurisée du réseau de cet admin...

Nous étions parfaitement bien préparé à l'examen de certification Lead Auditor ISO 27001, par HSC, rien dans le sujet d'examen qui ne nous avait été présenté soit par Hervé soit par Alexandre.
Malheureusement, un ou deux trous de mémoire me vaudront de perdre quelques points sur les premières parties de l'examen, et un manque de temps pour affiner mes réponses dans les dernières parties, mais c'est entièrement de ma faute, peut être que finalement j'avais un peu plus de stress que je n'osais me l'avouer !
Parti pour suivre la formation, la certification était pour moi un bonus, je suis arrivé à l'examen avec l'envie forte de repartir avec ce bonus !

Comme je le disais précédemment, je recommande vivement la formation Lead Auditor ISO 27001 d'HSC

Merci à HSC pour la qualité de son enseignement, merci à mes compagnons de formations pour leur partage de connaissance et expériences. Je leur souhaite une belle réussite à cette certification et pourquoi pas leur dire :

Au plaisir de faire un audit avec un ou plusieurs d'entre vous !

J'allais oublier : Hervé Schauer nous a fait remarquer qu'il n'existe pas de club OSSIR à Lyon .... pour le moment...

Formation Lead Auditor ISO 27001

Bertrand Arquilliere — Wed, 16 Apr 2008 18:11:00 +0200

Actuellement en formation Lead Auditor ISO 27001, en vue de la certification LSTI

Pour faire court, car il y a du travail à faire le soir :
La formation que je suis actuellement à lieu à Lyon, et, est délivrée par HSC. Nos formateurs sont Alexandre Fernadez Toro et Hervé Schauer lui même.
Après avoir parcouru la norme IS 27001:2005, puis la ISO 27002, qui sont principalement dédié aux Systèmes de Management de la Sécurité de l'information (SMSI), nous parcourons la norme ISO 19011, qui pose le cadre au métier d'auditeur.
Je découvre avec beaucoup d'intérêt le métier d'auditeur, et je dois reconnaître que si je suis allé initialement suivre cette formation, mon objectif était plus d'apprendre des choses, tout en révisant les examens de mon master 2 OPSIE, pour lequel j'ai une épreuve d'audit en mai ... Aujourd'hui, après 3 jours de formation riches, j'ai la conviction :

D'avoir appris des choses
D'avoir acquis des compléments à mon cours d'audit de master, compléments qui me seront utiles lors de l'examen d'audit
Enfin, de vouloir réussir cette certification LSTI !

Examens vendredi après-midi, et résultat dans 3 semaines environ, je vous tiendrai informé.
Je suis vraiment ravi de cette formation, et la recommande vivement à tous les passionnés de sécurité, qui comme moi veulent prendre un peu de hauteur par rapport à la technique. Il ne reste plus qu'à obtenir la certification Lead Auditor et passer celle d'implémenteur ISO 27001

A très bientôt

CV mis à jour

Bertrand Arquilliere — Fri, 28 Mar 2008 20:49:00 +0100

CV mis à jour pour y intégrer ma formation Lead Auditor ISO 27001 en vue de la certification LSTI correspondante.

Vous avez accès à mon CV dans la barre de menu à droite.

Un petit exercice de Stéganographie (Mise à jour)

Bertrand Arquilliere — Tue, 22 Jan 2008 11:50:00 +0100

J'ai caché dans l'image ci dessous un petit texte, nous allons voir dans ce billet comment vous pouvez extraire ces informations.
La mise en page avec la photo originale étant horrible, je vous livre un lien vers l'image contenant un texte caché : cliquez ici pour l'afficher et la télécharger.

Un peu de théorie avant de commencer :

La stéganographie c'est l'art de camoufler des informations sous forme de texte dans un fichier d'un tout autre type, par exemple, une image ou un fichier audio ou vidéo. Le principe est relativement simple , on utilise les bits de poids faible de chaque pixel (pour une image ou vidéo) afin de coder les caractères du texte. Ainsi l'image avec le texte caché ne change pas de taille, et elle se trouve si peu dégradée que s'en est invisible à l'œil nu.
Evidement il serait fastidieux de vouloir faire cette opération à la main, ainsi j'utilise steghide, un logiciel libre (Téléchargeable ici).

Et maintenant la pratique :

Commencez par télécharger et installer ce logiciel sur votre machine. Il s'agit d'un fichier zip (pour Windows). Dé-zipper le répertoire, il contient tout ce dont vous avez besoin. retenez bien où vous l'avez dé-zipper ...
Ensuite, afin de cacher du texte dans un image, vous aurez besoin de deux choses : un fichier texte (nommé secret.txt) et une image au format jpg.
Créer votre fichier texte et enregistrez le directement dans le répertoire où vous avez installé steghide. copiez ensuite une image de votre choix dans ce même répertoire.
Dans ce petit exemple, j'ai installé steghide dans C:/PRIVATE/Securité/steghide, j'ai ensuite copié dans ce répertoire une des images livrées avec mon Windows XP, en l'occurrence, il s'agit de Winter.jpg (ben oui je suis au travail, pas le choix). Enfin, j'ai créer un fichier texte contenant l'information à votre destination, et je l'ai enregistré dans ce même répertoire.
Maintenant, il ne me reste plus qu'à ajouter mon texte à l'image. C'est très simple, j'ouvre un prompt (mais si, une fenêtre de commande MSDOS), et je me rends dans le répertoire où se trouve steghide, mon image et secret.txt, avec la commande suivante :

cd C:\PRIVATE\Securité\steghide

Il ne me reste plus qu'à ajouter le texte à l'image, avec la commande suivante :

steghide embed -cf Winter.jpg -ef secret.txt

Le logiciel me demande alors de saisir deux fois un mot de passe (pour notre petit exercice j'ai utilisé le mot de passe "password" (sans les ")

Voilà, il ne vous reste plus qu'à télécharger l'image ci-dessus, et l'enregistrer dans votre répertoire steghide, ensuite ouvrez un command prompt (démarrer, exécuter, cmd), allez dans votre répertoire steghide avec la commande cd et tapez la commande suivante :

steghide extract -sf Winter.jpg

Le logiciel me demande le mot de passe (convenu ci-dessus) et m'annonce alors :

écriture des données extraites dans "secret.txt".

Il ne vous reste plus qu'à lire le fichier secret.txt ainsi généré (il se trouve au même endroit que l'image)

Je vous laisse imaginer tout ce qu'on peut faire avec cette technique, et attends vos réactions en espérant vous avoir fait découvrir quelque chose;

Une dernière chose : vous savez pourquoi lorsque les chaînes de télévisions diffusent des vidéos amateur, elles ne les passent jamais en entier ? Tout simplement pour éviter ce genre de pratique

N'hésitez pas à me laisser un commentaire sur ce petit exercice, est-ce que ça vous a plu ? Est ce que la démo a fonctionné chez vous ? Les explications sont-elles assez claire ? Y a t'il quelque chose que vous ne comprenez pas ? J'attends vos réactions, que j'espère nombreuses.

PS : C'est le dernier jour du concours de l'été, si vous avez appréciez mon blog, faites le savoir en votant pour lui et remportez (ou pas) un Ipod 2Go. Bonne chance pour le tirage au sort..

Peu de temps libre pour écrire quelques billets

Bertrand Arquilliere — Wed, 16 Jan 2008 07:54:00 +0100

Mes cours en master m'occupent plus que je ne le pensais et je dispose de très peu de temps libre.

Je suis sincèrement désolé de ne pas faire vivre ce blog autant que je le voudrais, mais mon inscription en master m'occupe tous les soirs de 18h à 21h et j'ai environ une heure de route pour rentrer chez moi, avec en prime des cours le samedi matin.
Bien entendu, afin de satisfaire à mes obligations salariales, j'ai aussi modifié mes horaires de travail, afin que mes cours n'amputent pas de mon temps de travail.
Et comme si ça ne suffisait pas, en ce début d'année, je suis impliqué dans 3 nouveaux projets sécurité, avec des délais relativement court, m'obligeant à une puissance et une cadence de travail très élevées.

En ce qui concerne mon écoute du marché, mon inscription en master est prometteuse, puisque je suis régulièrement contacté pour des propositions d'emplois. Malheureusement, beaucoup de ces offres, bien que très intéressantes se situent à Paris et région parisienne, et que je ne suis pas prêt à la mobilité sur Paris. Comme dis plusieurs fois, en Bretagne pourquoi pas, en Rhône Alpes pas de problème, et depuis quelques jours j'ai eu 3 ou 4 ouvertures en Suisse, et j'avoue être plus que tenté par l'aventure Suisse.

Je vous tiendrais informé de la suite dés que j'aurais un peu de temps à consacrer au blog, mais jusqu'à fin février, ma priorité numéro 1 demeure l'obtention de mon diplôme.

Je lis quand même tous les jours mes mails et j'y réponds, de même que je passe sur ce blog et quelques autres voir si des questions ne me sont pas adressées. Alors n'hésitez pas, laissez moi vos questions / commentaires, j'y répondrai.

A très bientôt.