vendredi 22 août 2008

Blackhat USA 2008



Au début du mois d'août, je me suis rendu à Las Vegas où se tenait la grande messe annuelle de la sécurité (piraterie ?) informatique. Objectifs du voyage: participer à deux séminaires et prendre la température des nouvelles tendances en termes de hacking.


Pour ce qui est de la témpérature, j'ai été très bien servi ! 42 degrés à l'extérieur et un petit 20 dans les salons de conférence... Question choc climatique on ne fait guère mieux ! Dans la rubrique des chocs, j'ai également été très surpris de l'affluence puisque plus de 5'000 participants étaient présents pour les trainings et les briefings. Malgré le gigantisme de l'hôtel et de ses infrastructures, cela reste néanmoins assez impressionnant de servir tout ce monde en moins d'une heure lors du repas de midi.
Mais revenons aux objectifs principaux: les séminaires ! Plus d'une cinquantaine de sujets au programme des trainings et une septantaine d'intervenants lors des briefings... Inutile de dire que le programme ne pouvait être que copieux ! Après avoir passé deux jours sur les notions de base du hacking et deux autres sur la sécurité des systèmes d'information des entrerprises, voici en quelques lignes ce qu'il faut retenir de ce séjour :
  • Le Web 2.0 ainsi que les SoA font que les applications en ligne sont devenues la cible privilégiée des hackers alors que la sécurité des réseau est devenu quant à elle plus performante.
  • Les différents métiers de l'informatique sont toujours plus spécialisés et rares sont les généralistes capables d'avoir la vision gloable d'un système d'information. Comme les spécialistes réseaux discutent peu avec les spécialistes du développement (par exemple), cet état de fait offre de nouvelles opportunités aux hackers.
  • Au rang des types de hacking qui m'ont le plus intéressé, je retiendrai l'attaque par SQL Injection directement dans le browser web... Très efficace !

Le deuxième séminaire sur la sécurité des entreprises était plus généraliste et m'a permis de faire un tour d'horizon complet des avantages / inconvénients / risques / opportunités liés à la mise en place d'un SMSI (système de management de la sécurité de l'information). Les difficultés de ce type de projet sont nombreuses mais il était très intéressant de pouvoir partager et profiter des expériences de chefs de projets expérimentés dans ce domaine. Dès lors, qu'il s'agisse de se mesurer à des standard tels que ITIL, ISO, NIST ou encore Cobit, l'important pour l'entreprise est de prendre conscience des avantages réels que procurent de bons processus maîtrisés et efficaces sur l'ensemble de l'organisation.

Au plaisir de pouvoir échanger ces expériences avec vous !

Publié par S. Droxler à l'adresse 13:55
Libellés : ,
Réactions : 

0 commentaires:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)