[FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Stephane Bortzmeyer]

On Tue, Jul 24, 2012 at 10:41:29AM +0200,
 Fabien V. list-fr...@beufa.net wrote 
 a message of 97 lines which said:

 +1 sur le fait que pour le notifier, encore faut il le détecter ...

Il me semble que c'est du pinaillage. Personne n'a parlé de signaler
*tous* les incidents de sécurité. Le rapport Bockel a certes des
perles comme « les entreprises françaises sont aujourd'hui massivement
victimes d'attaques informatiques non détectées » (si elles ne sont
pas détectées, comment on le sait ?) mais l'idée est quand même plus
sérieuse que cela.

Tous les incidents de sécurité ne sont pas détectés mais plusieurs le
sont. Les DoS et les défigurations sont deux exemples de problèmes
qu'on ne peut pas ne pas détecter (même sans IDS).

Pour les autres (cas où l'attaquant tente d'être discret), ils sont
parfois détectés par accident (pas de chance pour l'attaquant) et, là,
la politique la plus courante aujourd'hui est de tout
dissimuler. C'est ce que le rapport Bockel voudrait changer.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Stephane Bortzmeyer]

On Tue, Jul 24, 2012 at 12:02:06PM +0200,
 Philippe presid...@arn-fai.net wrote 
 a message of 10 lines which said:

 Les opérateurs d'importance vitale = ceux qui font du chiffre ?

Je ne réponds pas aux trolls :-) Ce terme est défini dans
l'« instruction générale interministerielle relative à la sécurité des
activités d'importance vitale » N° 6600/SGDN/PSE/PPS du 26 septembre
2008 http://circulaire.legifrance.gouv.fr/pdf/2009/04/cir_1338.pdf.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Fabien V.]

 

_Il me semble que c'est du pinaillage. Personne n'a parlé de
signaler *tous* les incidents de sécurité._

_Pour les autres (cas où
l'attaquant tente d'être discret), ils sont parfois détectés par
accident (pas de chance pour l'attaquant) et, là, la politique la plus
courante aujourd'hui est de tout dissimuler. C'est ce que le rapport
Bockel voudrait changer._

Donc on est bien d'accord que l'on veut que
les incidents, soit qu'on ne détecte pas, soit qu'on cache, soient
déclarées ? Personnellement, je vois une méthode plus simple, c'est
celle de se baser sur les déclarations ou les autorisations sur les
fichiers (i.e. les bases utilisateurs) à la CNIL. Si le fichier est
attaqué, on doit informer tous les utilisateurs, voir plus (et encore,
je vois difficilement l'intérêt, car il y aura très probablement des
tricheurs). Ca protégerait le consommateur sans pour autant léser des
entreprises pour commencer. Reste à voir la suite pour le cas DoS ou
intrusions/defacing, mais bon, je trouverai abusif que la encore on
affiche avec des croix rouges ceux pénalisés par l'attaque et pas les
coupables / origines (dans ce dernier cas, ovh ou dedibox prendrait cher
niveau image, cf les rapports Arbor Networks, alors que potentiellement
ils n'y sont pour rien).

Mais bon, tout le monde s'en fout que le
Joomla ou le WP de Mme Michu a été défacé par un hackeur turque pour
protester contre la reconnaissance du génocide arménien
:p
---
Fabien VINCENT
---
Twitter :
beufanet

Le 2012-07-24 10:56, Stephane Bortzmeyer a écrit : 

 On Tue,
Jul 24, 2012 at 10:41:29AM +0200,
 Fabien V. list-fr...@beufa.net
wrote 
 a message of 97 lines which said:
 
 +1 sur le fait que pour
le notifier, encore faut il le détecter ...
 
 Il me semble que c'est
du pinaillage. Personne n'a parlé de signaler
 *tous* les incidents de
sécurité. Le rapport Bockel a certes des
 perles comme « les
entreprises françaises sont aujourd'hui massivement
 victimes
d'attaques informatiques non détectées » (si elles ne sont
 pas
détectées, comment on le sait ?) mais l'idée est quand même plus

sérieuse que cela.
 
 Tous les incidents de sécurité ne sont pas
détectés mais plusieurs le
 sont. Les DoS et les défigurations sont
deux exemples de problèmes
 qu'on ne peut pas ne pas détecter (même
sans IDS).
 
 Pour les autres (cas où l'attaquant tente d'être
discret), ils sont
 parfois détectés par accident (pas de chance pour
l'attaquant) et, là,
 la politique la plus courante aujourd'hui est de
tout
 dissimuler. C'est ce que le rapport Bockel voudrait changer.
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Guillaume Barrot]

 Mais bon, tout le monde s'en fout que le
 Joomla ou le WP de Mme Michu a été défacé par un hackeur turque pour
 protester contre la reconnaissance du génocide arménien


En soit oui. Mais le plus intéressant a analyser, ce sont les comportements
de masses, souvent détectable que par corrélation d'un nombre important
d'incidents unitaires.
Donc le WP de Madame Michu n'a aucune importance, MAIS tous les WP de
toutes les Madames Michus hackés en meme temps, OU infestés par des botnets
OU ... etc. ca c'est intéressant.

---
Liste de diffusion du FRnOG
http://www.frnog.org/