Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[sxpert]

On 2012-07-25 00:03, Aurélien Leicknam wrote:

Les opérateurs de télécommunication fournissent un service grand 
publique

qui est largement redondé : ça n'est pas la NASA :s


en effet, la NASA arrive a faire mieux
il a été calculé que communiquer avec les sondes robotisées sur mars 
coutait moins cher

au kbit que les offres commerciales de sms et mms


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: [FRnOG] Consommation électrique Cisco.

[Arnaud Launay]

Le Wed, Jul 18, 2012 at 11:57:57PM +0200, Jérôme Nicolle a écrit:
> Conclusion : moduler la vitesse ou l'allumage du port, ça ne sert à
> rien. Par contre, on peut envisager de plancher sur des PHY moins
> stupides pour éviter de balancer la purée sur un patch d'1m ou moins.

Il me semble avoir vu ça sur les SG300 ... Pas trop testé ni joué
avec. Pas vu de différence avec l'option active ou non.

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Guillaume Barrot]

Conclusion, a la question "comment sauver la France d'une cyberattaque", le
Knam donne comme reponse :

http://img.fr.class.posot.com/fr_fr/2012/01/04/Tlphone-ancien-cadran-vintage-qui-fonctionne-20120104031801.jpg


Simple, coherent, efficace. Si on etait sur Facebook, je mettrai un
"j'aime".

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Aurélien Leicknam]

Le 24 juillet 2012 23:50, Guillaume Barrot  a
écrit :

> Autre technique, connecter les Rafales et les chars Leclerc sur Twitter,
>> comme ça la première dame pourra coordonner la riposte ... :D
>>
>
Le "Barrotte Point" méritera un jour sa RFC :p

Je ne parle que des réseaux d'accès publique : il me semble qu'avant de
mériter un émois national qui poserait comme enjeux la survie de la nation,
réapprendre à utiliser un combiné fixe, un faxe, un mail, voir un opérateur
tiers (considérant que l'offre est viable), éviterait un sur-investissement
dans la recherche d'un ambition de QoS in fine non atteignable.

Les opérateurs de télécommunication fournissent un service grand publique
qui est largement redondé : ça n'est pas la NASA :s

-- 
Aurélien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Guillaume Barrot]

>
> Enfin bref (sans vouloir jouer au vieux c*n), pour une com' qui doit être
> passée dans l'instant je pense qu'on trouve toujours une alternative...
> quand au reste, on peut sans toute ré-apprendre que bien souvent à 24h,
> c'est bien suffisent et ne mérite p
>

On parle d’intérêt vitaux de la nation, j'en déduis que c'est au cas ou la
Russie nous envahirait après une alliance contre nature avec la Chine et la
l'Inde, et, malgré une bombe nucléaire explosant en haute atmosphère (James
Bond étant occupé par ailleurs), il faut que les réseaux de Telecom publics
soient encore en état de marcher pour coordonner une riposte.
Ouais ben rigole pas, mais pas plus tard qu'en 1983, y a des militaires US
qui étaient bien content de pouvoir téléphoner pour demander de l'aide, dans
les Antilles ...

Autre technique, connecter les Rafales et les chars Leclerc sur Twitter,
comme ça la première dame pourra coordonner la riposte ... :D

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Aurélien Leicknam]

Le 24 juillet 2012 22:12, Guillaume Barrot  a
écrit :

> Y a plus qu'a installer un syslog :D
>>
>
Un flux RSS sur le CVE ça serait déja pas mal (même si je me doute que
c'est déjà largement en place Eric ?)


>
> A l'instar du "if it's too big to fail, it's too big", on peut se dire que
> si les réseaux de communication sont vitaux, alors ils se
> doivent d’être massivement décentralisé déjà.
>

Le coeur de mon interrogation : pratiquer la redondance d'usage par
l'utilisateur final... ça serait pas préférable ?

ça n'est pas sans me rappeler la convergence des services fixes / mobiles
via le handset plutôt que par des gasfactory de plateformes "carrier".



> ...
> Ou on reparle d'une volonté politique de soutenir les IX en province...
>

Ou on reparle des cas d'utilisation : j'arrive pas à passer un coup de tél
-> j'envoie un mail de mon bureau -> ça foire, un fax, ça foire, j'envoie
le mail sur mon tél et je vais au macd' ... au clown esclavagiste, marche
pô, je rentre chez moi et je passe un coup de tél fixe, voir un mail,
voir un courrier !

Enfin bref (sans vouloir jouer au vieux c*n), pour une com' qui doit être
passée dans l'instant je pense qu'on trouve toujours une alternative...
quand au reste, on peut sans toute ré-apprendre que bien souvent à 24h,
c'est bien suffisent et ne mérite p


-- 
Aurélien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Guillaume Barrot]

>
>- si l'intégralité des acteurs Français qui opèrent des services grand
>public sur internet (opérateurs, banques, e-commerce, utiliies de toutes
>sortes, etc, etc) remontent une attaque qui serait massive, l'ANSSI a
> les
>ressources pour traiter un tel flot de remonté d'information ?


Y a plus qu'a installer un syslog :D


> La redondance massive d'offre à l'accès ne serait-elle pas une opportunité
> de s'interroger quand au caractère vital de chaque offre d'accès ?


Et la, j'ai envie de dire
"commotion
".
A l'instar du "if it's too big to fail, it's too big", on peut se dire que
si les réseaux de communication sont vitaux, alors ils se
doivent d’être massivement décentralisé déjà.
Sans chercher le DDOS via une appli Android qui ferait planter tous les HLR
de France (qui sont passablement enrhumés, et après une quinte de toux en
2004, ont remis ça en 2012), un "simple" incendie a Paris, boulevard
Voltaire, mettrait une sacré grouille sur l'Internet Français.

Ou on reparle d'une volonté politique de soutenir les IX en province...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Guillaume Barrot]

>
> Mais bon, tout le monde s'en fout que le
> Joomla ou le WP de Mme Michu a été défacé par un hackeur turque pour
> protester contre la reconnaissance du génocide arménien
>

En soit oui. Mais le plus intéressant a analyser, ce sont les comportements
de masses, souvent détectable que par corrélation d'un nombre important
d'incidents unitaires.
Donc le WP de Madame Michu n'a aucune importance, MAIS tous les WP de
toutes les Madames Michus hackés en meme temps, OU infestés par des botnets
OU ... etc. ca c'est intéressant.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Aurélien Leicknam]

Le 24 juillet 2012 09:38, Stephane Bortzmeyer  a écrit :

> (lorsqu'on se met à parler des catcopters dans une discussion, c'est
> qu'elle a cessé d'être sérieuse),


Là je rejoins Guillaume, une définition claire du Catcopter Point serait
nécessaire : un candidat pour un RFC de premier avril ?


>
> Recommandation n°17 : Rendre obligatoire une déclaration d'incident à
> l'ANSSI en cas d'attaque importante contre les systèmes d'information
> et encourager les mesures de protection par des mesures incitatives
>

Oui c'est pertinent sur le papier. On peut toutefois se poser quelques
question :

   - si l'intégralité des acteurs Français qui opèrent des services grand
   public sur internet (opérateurs, banques, e-commerce, utiliies de toutes
   sortes, etc, etc) remontent une attaque qui serait massive, l'ANSSI a les
   ressources pour traiter un tel flot de remonté d'information ?
   - Si déjà je doute de la capacité de l'ANSSI à prendre en compte de
   fréquentes remontés d'attaques massives (imaginons un stuxnet-like pou
   troller), quid de l capacité d'analyse a postériori ?
   - S'agissant des opérateurs, on parle de plus en plus aisément de leur
   "système d'infomation". Qu'entend on par là : le SI commmecial (au même
   titre que les exemples cités plus haut), ou  la première base de donnée
   client rencontrée dans le réseau (Radius HLR, whatever) ? ... ou les deux ?

Quand à la problématique de qualification du/des l'incident/s, elle a été
largement commenté.


> Recommandation n°24 : Rendre obligatoire pour les opérateurs
> d'importance vitale une déclaration d'incident à l'ANSSI dès la
> détection d'un incident informatique susceptible de relever d'une
> attaque contre les systèmes d'information et pouvant porter atteinte
> au patrimoine informationnel ou à l'exercice des métiers de
> l'opérateur, et encourager les mesures de protection par des mesures
> incitatives
>
> Je passe sur les "mesures incitatives", et ouvre volontairement le débat
sur le caractère vital des services fournis par l'"opérateur", et
particulièrement s'agissant d'opérateur de télécommunication.

Je comprends bien qu'historiquement, lorsqu'un seul réseau commuté, opéré
par un unique opérateur, desservait le territoire national, le
service revêtait alors un caractère vital. Il me semble qu'il serait temps
(notamment suite au gadin de l'opérateur à l'agrume, qui est arrivé et
arrivera probablement à d'autres) qu'on se repose la question.

Nous avons maintenant à échelle nationale pléthore de réseaux : fixe (nb de
techno  x nb d'opérateurs) PLUS mobile (nb de techno x nb d'opérateurs)
PLUS les wifi communautaires / offres gratuites type fastfood / ...

La redondance massive d'offre à l'accès ne serait-elle pas une opportunité
de s'interroger quand au caractère vital de chaque offre d'accès ? Le cadre
réglementaire pousse à une large abondance d'offre: profitons en pour
remonter au législateur que les services telecome grand public ça n'est pas
envoyer des fusées sur Mars.

La proposition telle que formulée me semble plus relever d'une exigence de
continuité d'activité n cas d'attaque d'importance et particulièrement
s'agissant opérateurs de télécommunication. Dans un monde normale se
prendre un gadin ça arrive, qu'il s'agisse de disponibilité comme de
sécurité. La question est pour moi de savoir jusqu'où on veut aller pour
assurer la continuité, à quel coût, et surtout à quelles fins ?

-- 
Aurélien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Fabien V.]

 

_Il me semble que c'est du pinaillage. Personne n'a parlé de
signaler *tous* les incidents de sécurité._

_Pour les autres (cas où
l'attaquant tente d'être discret), ils sont parfois détectés par
accident (pas de chance pour l'attaquant) et, là, la politique la plus
courante aujourd'hui est de tout dissimuler. C'est ce que le rapport
Bockel voudrait changer._

Donc on est bien d'accord que l'on veut que
les incidents, soit qu'on ne détecte pas, soit qu'on cache, soient
déclarées ? Personnellement, je vois une méthode plus simple, c'est
celle de se baser sur les déclarations ou les autorisations sur les
"fichiers" (i.e. les bases utilisateurs) à la CNIL. Si le "fichier" est
attaqué, on doit informer tous les utilisateurs, voir plus (et encore,
je vois difficilement l'intérêt, car il y aura très probablement des
tricheurs). Ca protégerait le consommateur sans pour autant léser des
entreprises pour commencer. Reste à voir la suite pour le cas DoS ou
intrusions/defacing, mais bon, je trouverai abusif que la encore on
affiche avec des croix rouges ceux pénalisés par l'attaque et pas les
coupables / origines (dans ce dernier cas, ovh ou dedibox prendrait cher
niveau image, cf les rapports Arbor Networks, alors que potentiellement
ils n'y sont pour rien).

Mais bon, tout le monde s'en fout que le
Joomla ou le WP de Mme Michu a été défacé par un hackeur turque pour
protester contre la reconnaissance du génocide arménien
:p
---
Fabien VINCENT
---
Twitter :
beufanet

Le 2012-07-24 10:56, Stephane Bortzmeyer a écrit : 

> On Tue,
Jul 24, 2012 at 10:41:29AM +0200,
> Fabien V. 
wrote 
> a message of 97 lines which said:
> 
>> +1 sur le fait que pour
le notifier, encore faut il le détecter ...
> 
> Il me semble que c'est
du pinaillage. Personne n'a parlé de signaler
> *tous* les incidents de
sécurité. Le rapport Bockel a certes des
> perles comme « les
entreprises françaises sont aujourd'hui massivement
> victimes
d'attaques informatiques non détectées » (si elles ne sont
> pas
détectées, comment on le sait ?) mais l'idée est quand même plus
>
sérieuse que cela.
> 
> Tous les incidents de sécurité ne sont pas
détectés mais plusieurs le
> sont. Les DoS et les défigurations sont
deux exemples de problèmes
> qu'on ne peut pas ne pas détecter (même
sans IDS).
> 
> Pour les autres (cas où l'attaquant tente d'être
discret), ils sont
> parfois détectés par accident (pas de chance pour
l'attaquant) et, là,
> la politique la plus courante aujourd'hui est de
tout
> dissimuler. C'est ce que le rapport Bockel voudrait changer.
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Notification des incidents de sécurité. Et les PME ?

[Benjamin Sonntag]

Salut Stéphane,

> > Les opérateurs d'importance vitale = ceux qui font du chiffre ?
>
> Je ne réponds pas aux trolls :-) Ce terme est défini dans
> l'« instruction générale interministerielle relative à la sécurité des
> activités d'importance vitale » N° 6600/SGDN/PSE/PPS du 26 septembre
> 2008 .

le terme "troll" est défini dans l'instruction générale interministérielle ? ;)

Cela dit, et plus sérieusement, je trouve intéressant les doc de l'anssi, 
notamment ebios & les tests de maturité ssi, mais ils s'appliquent, hélas, 
surtout à de grosses structures. Je n'ai pas trouvé d'équivalent pour les PME 
et petites sociétés, cela existe-t-il chez l'ANSSI ?


@+

Benjamin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[David MARCIANO]

Bonjour, 

Je pense que c'est une excellente idée. 

De mon coté, j'ai eu la visite des RG pour savoir si on avait observé des 
choses étranges ou des attaques de nouvelles catégories, et qui me demandait de 
leur signaler tous les incidents "majeurs" ou exceptionnels. 

De normaliser cela peut aider la communauté, quitte à la faire sur une DDB via 
FRNOG. 

Je peux héberger si le besoin se présente.  


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France
Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
Mail : dmarci...@adenis.fr 




-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Stephane Bortzmeyer
Envoyé : mardi 24 juillet 2012 09:39
À : frnog-m...@frnog.org
Objet : [FRnOG] [MISC] Obligation de notification des incidents de sécurité

Bon, maintenant qu'on a bien rigolé sur les routeurs chinois (lorsqu'on se met 
à parler des catcopters dans une discussion, c'est qu'elle a cessé d'être 
sérieuse), passons aux propositions moins spectaculaires et moins médiatiques 
du rapport Bockel. Qu'est-ce que vous pensez de signaler les incidents de 
sécurité, ne serait-ce que pour avoir enfin des statistiques fiables ?

http://www.senat.fr/rap/r11-681/r11-681_mono.html

Recommandation n°17 : Rendre obligatoire une déclaration d'incident à l'ANSSI 
en cas d'attaque importante contre les systèmes d'information et encourager les 
mesures de protection par des mesures incitatives

Recommandation n°24 : Rendre obligatoire pour les opérateurs d'importance 
vitale une déclaration d'incident à l'ANSSI dès la détection d'un incident 
informatique susceptible de relever d'une attaque contre les systèmes 
d'information et pouvant porter atteinte au patrimoine informationnel ou à 
l'exercice des métiers de l'opérateur, et encourager les mesures de protection 
par des mesures incitatives


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Xavier Beaudouin]

Hello,

On 07/24/12 13:42, Guillaume Barrot wrote:


Les opérateurs d'importance vitale = ceux qui font du chiffre ?




Si c'est des ENA / X-Telecom qui definissent, ça peut pas etre aussi simple.
Faut qu'il y ait une formule mathématiques avec au moins un log, une somme
infinie, un truc du style, sinon ça passera jamais.
Oui, le prérequis pour définir proprement les choses dans la bureaucratie
française, c'est d'installer LaTex.


Enfin entre LaTex et Word, j'ai prefere le truc qui me laisse choisir 
l'OS de mon choix...


My 0,02€





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Stephane Bortzmeyer]

On Tue, Jul 24, 2012 at 12:02:06PM +0200,
 Philippe  wrote 
 a message of 10 lines which said:

> Les opérateurs d'importance vitale = ceux qui font du chiffre ?

Je ne réponds pas aux trolls :-) Ce terme est défini dans
l'« instruction générale interministerielle relative à la sécurité des
activités d'importance vitale » N° 6600/SGDN/PSE/PPS du 26 septembre
2008 .


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Guillaume Barrot]

>
> Les opérateurs d'importance vitale = ceux qui font du chiffre ?
>
>
>
Si c'est des ENA / X-Telecom qui definissent, ça peut pas etre aussi simple.
Faut qu'il y ait une formule mathématiques avec au moins un log, une somme
infinie, un truc du style, sinon ça passera jamais.
Oui, le prérequis pour définir proprement les choses dans la bureaucratie
française, c'est d'installer LaTex.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Philippe]

Le 24/07/2012 09:38, Stephane Bortzmeyer a écrit :

"Recommandation n°24 : Rendre obligatoire pour les opérateurs
d'importance vitale"


Les opérateurs d'importance vitale = ceux qui font du chiffre ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Fabien Delmotte]

Bonjour,
Afin d'harmoniser les règles nous pouvons demander aux bataillons d'Enarque et 
de X Telecom de nous pondre quelques choses. et hop la boucle est bouclée

Plus sérieusement l'idée est bonne mais les moyens pour y parvenir vont être à 
la Française, donc lourds, couteux, inappropriés, et répondant aux us et 
coutumes des république Bananiere pour la distribution des subventions. 
Pourquoi ?  cf la première ligne :)

Cordialement

Fabien

Le 24 juil. 2012 à 11:03, Guillaume Barrot a écrit :

>> 
>> (lorsqu'on se met à parler des catcopters dans une discussion, c'est
>> qu'elle a cessé d'être sérieuse),
> 
> 
> Y a un équivalent au point Godwin pour les catcopters ?
> 
> 
>> 
> 
> Qu'est-ce que vous pensez de signaler les incidents de sécurité, ne
>> serait-ce que
> 
> pour avoir enfin des statistiques fiables ?
>> 
> 
> Est-ce qu'on a déjà tous les mêmes définitions pour les incidents,
> accidents, catastrophes de sécurité ?
> Je me doute qu'il existe une norme, voire même plusieurs, mais
> d'expérience, je n'ai même jamais vu en vrai deux études de sécurité
> réalisées de la même manière, avec les mêmes normes, et les mêmes principes
> de base.
> Et bien entendu il faudrait que la catégorisation des ces incidents de
> sécurité soit cohérents avec les propres normes d'audit et d'analyse de
> l'ANSSI, à savoir EBIOS, et/ou des normes ISO, à savoir Common Criteria...
> 
> Après sinon, on peut aussi faire des stats en comparant des carottes et des
> roues de voitures.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Guillaume Barrot]

>
> (lorsqu'on se met à parler des catcopters dans une discussion, c'est
> qu'elle a cessé d'être sérieuse),


Y a un équivalent au point Godwin pour les catcopters ?


>

Qu'est-ce que vous pensez de signaler les incidents de sécurité, ne
> serait-ce que

pour avoir enfin des statistiques fiables ?
>

Est-ce qu'on a déjà tous les mêmes définitions pour les incidents,
accidents, catastrophes de sécurité ?
Je me doute qu'il existe une norme, voire même plusieurs, mais
d'expérience, je n'ai même jamais vu en vrai deux études de sécurité
réalisées de la même manière, avec les mêmes normes, et les mêmes principes
de base.
Et bien entendu il faudrait que la catégorisation des ces incidents de
sécurité soit cohérents avec les propres normes d'audit et d'analyse de
l'ANSSI, à savoir EBIOS, et/ou des normes ISO, à savoir Common Criteria...

Après sinon, on peut aussi faire des stats en comparant des carottes et des
roues de voitures.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Emmanuel D.]

Bonjour,

"Rendre obligatoire une déclaration d'incident à l'ANSSI en cas d'attaque
importante contre les systèmes d'information"
Admettons, dans la mesure où cela reste confidentiel dans un premier temps.

"Rendre obligatoire pour les opérateurs d'importance vitale une déclaration
d'incident à l'ANSSI dès la détection d'un incident informatique
susceptible de relever d'une attaque contre les systèmes d'information et
pouvant porter atteinte au patrimoine informationnel ou à l'exercice des
métiers de l'opérateur, "
Reste quand même à déterminer les limites de tout ça. Je pense que tout
incident est susceptible de porter atteinte à l'exercice des métiers de
l'opérateur, ne serait-ce que par la baisse du niveau de résilience des
services.

"encourager les mesures de protection par des mesures incitatives"
Chouette, du financement pour prendre en charge et développer des mesures
de protection existantes, nécessaires à la fiabilité des réseaux, et par
suite au business derrière ! Heureusement que le caisses sont pleines,
sinon ça ressemblerait beaucoup à des transferts de capitaux publics vers
des entreprises privées.

Cordialement,

Emmanuel


Le 24 juillet 2012 09:38, Stephane Bortzmeyer  a écrit :

> Bon, maintenant qu'on a bien rigolé sur les routeurs chinois
> (lorsqu'on se met à parler des catcopters dans une discussion, c'est
> qu'elle a cessé d'être sérieuse), passons aux propositions moins
> spectaculaires et moins médiatiques du rapport Bockel. Qu'est-ce que
> vous pensez de signaler les incidents de sécurité, ne serait-ce que
> pour avoir enfin des statistiques fiables ?
>
> http://www.senat.fr/rap/r11-681/r11-681_mono.html
>
> Recommandation n°17 : Rendre obligatoire une déclaration d'incident à
> l'ANSSI en cas d'attaque importante contre les systèmes d'information
> et encourager les mesures de protection par des mesures incitatives
>
> Recommandation n°24 : Rendre obligatoire pour les opérateurs
> d'importance vitale une déclaration d'incident à l'ANSSI dès la
> détection d'un incident informatique susceptible de relever d'une
> attaque contre les systèmes d'information et pouvant porter atteinte
> au patrimoine informationnel ou à l'exercice des métiers de
> l'opérateur, et encourager les mesures de protection par des mesures
> incitatives
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Obligation de notification des incidents de sécurité

[Stephane Bortzmeyer]

On Tue, Jul 24, 2012 at 10:41:29AM +0200,
 Fabien V.  wrote 
 a message of 97 lines which said:

> +1 sur le fait que pour le notifier, encore faut il le détecter ...

Il me semble que c'est du pinaillage. Personne n'a parlé de signaler
*tous* les incidents de sécurité. Le rapport Bockel a certes des
perles comme « les entreprises françaises sont aujourd'hui massivement
victimes d'attaques informatiques non détectées » (si elles ne sont
pas détectées, comment on le sait ?) mais l'idée est quand même plus
sérieuse que cela.

Tous les incidents de sécurité ne sont pas détectés mais plusieurs le
sont. Les DoS et les défigurations sont deux exemples de problèmes
qu'on ne peut pas ne pas détecter (même sans IDS).

Pour les autres (cas où l'attaquant tente d'être discret), ils sont
parfois détectés par accident (pas de chance pour l'attaquant) et, là,
la politique la plus courante aujourd'hui est de tout
dissimuler. C'est ce que le rapport Bockel voudrait changer.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Fabien V.]

 

+1 sur le fait que pour le notifier, encore faut il le détecter ...
Quand on voit comment même DropBox galère à trouver d'ou vient la
faille, on se dit que c'est pas la petite boîte qui utilise Joomla pour
récolter des dons pour la recherche qui va s'apercevoir de quoi que ce
soit :) 

Par expérience pro, la politique de sécurité s'apparente à la
politique de l'autruche, parce que la sécurité on s'en fout sauf quand
ca titille le fessier. Et à chaque fois qu'un incident se produit, soit
on dit "c'est depuis que t'es là", soit on dit "c'est les petits
chinois". 

Bref, même si dans le fond, ca part d'un bon sens (je crois
qu'aux USA, c'est déjà le cas), il ne faut oublier que pour détecter les
incidents de sécurité, il faut du matériel ... américain ou chinois xD


---
Fabien VINCENT
---
Twitter :
beufanet

Le 2012-07-24 10:12, Fabien Delmotte a écrit : 

> Bonjour,
>

> "encourager les mesures de protection par des mesures incitatives"
>
Cela me laisse pantois !!!
> "signaler les incidents de sécurité"
>
Encore faudrait il pouvoir les qualifier !!
> 
> Il me semble qu'il
faudrait encourager par des mesures contraignantes la coopération entre
les opérateurs afin de mettre un système de protection efficace.
> A mon
humble avis une protection par opérateur n'a pas de sens, car un groupe
est plus fort qu'un individu.
> 
> Cordialement
> 
> Fabien
> 
> Le 24
juil. 2012 à 09:38, Stephane Bortzmeyer a écrit :
> 
>> Bon, maintenant
qu'on a bien rigolé sur les routeurs chinois (lorsqu'on se met à parler
des catcopters dans une discussion, c'est qu'elle a cessé d'être
sérieuse), passons aux propositions moins spectaculaires et moins
médiatiques du rapport Bockel. Qu'est-ce que vous pensez de signaler les
incidents de sécurité, ne serait-ce que pour avoir enfin des
statistiques fiables ? http://www.senat.fr/rap/r11-681/r11-681_mono.html
[1] Recommandation n°17 : Rendre obligatoire une déclaration d'incident
à l'ANSSI en cas d'attaque importante contre les systèmes d'information
et encourager les mesures de protection par des mesures incitatives
Recommandation n°24 : Rendre obligatoire pour les opérateurs
d'importance vitale une déclaration d'incident à l'ANSSI dès la
détection d'un incident informatique susceptible de relever d'une
attaque contre les systèmes d'information et pouvant porter atteinte au
patrimoine informationnel ou à l'exercice des métiers de l'opérateur, et
encourager les mesures de protection par des mesures incitatives
--- Liste de diffusion du FRnOG
http://www.frnog.org/ [2]
> 
> ---
> Liste de
diffusion du FRnOG
> http://www.frnog.org/
 

Links:
--
[1]
http://www.senat.fr/rap/r11-681/r11-681_mono.html
[2]
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Fabien Delmotte]

Bonjour,

"encourager les mesures de protection par des mesures incitatives"
Cela me laisse pantois !!!
"signaler les incidents de sécurité"
Encore faudrait il pouvoir les qualifier !!

Il me semble qu'il faudrait encourager par des mesures contraignantes la 
coopération entre les opérateurs afin de mettre un système de protection 
efficace.
A mon humble avis une protection par opérateur n'a pas de sens, car un groupe 
est plus fort qu'un individu.

Cordialement

Fabien

Le 24 juil. 2012 à 09:38, Stephane Bortzmeyer a écrit :

> Bon, maintenant qu'on a bien rigolé sur les routeurs chinois
> (lorsqu'on se met à parler des catcopters dans une discussion, c'est
> qu'elle a cessé d'être sérieuse), passons aux propositions moins
> spectaculaires et moins médiatiques du rapport Bockel. Qu'est-ce que
> vous pensez de signaler les incidents de sécurité, ne serait-ce que
> pour avoir enfin des statistiques fiables ?
> 
> http://www.senat.fr/rap/r11-681/r11-681_mono.html
> 
> Recommandation n°17 : Rendre obligatoire une déclaration d'incident à
> l'ANSSI en cas d'attaque importante contre les systèmes d'information
> et encourager les mesures de protection par des mesures incitatives
> 
> Recommandation n°24 : Rendre obligatoire pour les opérateurs
> d'importance vitale une déclaration d'incident à l'ANSSI dès la
> détection d'un incident informatique susceptible de relever d'une
> attaque contre les systèmes d'information et pouvant porter atteinte
> au patrimoine informationnel ou à l'exercice des métiers de
> l'opérateur, et encourager les mesures de protection par des mesures
> incitatives
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Stephane Bortzmeyer]

Bon, maintenant qu'on a bien rigolé sur les routeurs chinois
(lorsqu'on se met à parler des catcopters dans une discussion, c'est
qu'elle a cessé d'être sérieuse), passons aux propositions moins
spectaculaires et moins médiatiques du rapport Bockel. Qu'est-ce que
vous pensez de signaler les incidents de sécurité, ne serait-ce que
pour avoir enfin des statistiques fiables ?

http://www.senat.fr/rap/r11-681/r11-681_mono.html

Recommandation n°17 : Rendre obligatoire une déclaration d'incident à
l'ANSSI en cas d'attaque importante contre les systèmes d'information
et encourager les mesures de protection par des mesures incitatives

Recommandation n°24 : Rendre obligatoire pour les opérateurs
d'importance vitale une déclaration d'incident à l'ANSSI dès la
détection d'un incident informatique susceptible de relever d'une
attaque contre les systèmes d'information et pouvant porter atteinte
au patrimoine informationnel ou à l'exercice des métiers de
l'opérateur, et encourager les mesures de protection par des mesures
incitatives


---
Liste de diffusion du FRnOG
http://www.frnog.org/