La rétroconception, quel intérêt pour le RSSI ? Bruno Kerouanton, CISSP Rump Session SSTIC 2006 – Rennes, France.

Slides:



Advertisements
Présentations similaires
Service Software Factory François MERAND Responsable groupe architectes DPE – Division Plateformes & Ecosystème Microsoft France
Advertisements

La Démarche Fonctionnelle
Expert Lotus DOMINO & Microsoft .NET
L'UNION FAIT LA FORCE Les Contrats Francs
Reverse engineering materiel SSTIC 2004 Rump sessions
SOMMAIRE Historique Les différentes techniques Intérets Etat actuel
SERVEUR, SERVEUSE EN RESTAURANT
Présentation des missions des systèmes dinformation Améliorer de manière permanente la qualité de service auprès des utilisateurs en étant garant de :
Introduction aux CMS.
L’Ethique.
Comparatif des différents CMS Les CMS de E-commerce.
Gestion du cycle de vie des applications Lotus Notes Ady Makombo Directeur Teamstudio France
Santé pubic Plan catastrophe Globalisation de léconomie Agenda vert Emissions Phénomène durbanisation Population viellissante Qualité de service Enjeux.
Une approche pour un espace de confiance des collectivités locales.
Nous vous présentons le métier d’informaticien scolaire
LA VIRTUALISATION Par AVIGNON, CHOMILIER, MIGNOT 1.
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Développeur informatique
ECF 5 PRESENTATION « BULLE APPLICATIVE »
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Manuel de formation PNUE Thème 11 Diapo 1 Objectifs de la mise en œuvre et du suivi de lÉIE : F appliquer les conditions dapprobation F garantir leur efficacité
Les logiciels libres en action Brève présentation du C.H. Tourcoing L'expérience de Tourcoing dans le domaine des L.L. Pourquoi ce choix La démarche employée.
Produire des logiciels de qualité supérieure grâce à la méthodologie Agile John Bristowe Promoteur principal des développeurs Microsoft Canada.
Calculatrice Financière Android
Rendez-vous sur le site Exigences Métiers Exigences Technologiques Offres de la Plateforme Windows Azure Solution à moindre coût.
NEWS Peltiez Jason. Finalisation du HTML 5 pour fin 2014 et date du HTML 5.1 Succès du HTML 5 mais spécifications non finalisées Débuté en 2004 par le.
Internet et moi Par William Guiltaux.
2 Développer, tester et déployer un site web avec WebMatrix (RIA101) Christine Dubois 9 février 2011.
Valorisation Forfait Informatique. Page 2 Avantages de base Sans Forfait InformatiqueAvec Forfait Informatique Compétences Ressources Peu de compétences.

De A à Z Fabrice Meillon & Stanislas Quastana, CISSP
ATELIER REGIONAL DES NATIONS UNIES SUR LA DIFFUSION ET LA COMMUNICATION DES DONNEES (du 13 au 15 mai 2014)
5 - Vidéo Numérique.
À la découverte de renseignements stratégiques permettant de propulser la valeur commerciale Veille stratégique pour tous Ruth Morton Microsoft Canada.
Un jour, un entrepreneur eut une idée : Investir dans une franchise renommée de vente de glaces.
Le GT Open Source du CRIP : premiers travaux et programme GUY CHOVET SNCF - DSI-T.
APPLICATIONS MÉTIER COLLABORATIONSTOCKAGEPLATE-FORMEIDENTITÉCOMMUNICATIONSPRODUCTIVITÉ SUR SITE SERVICES DE « CLOUD COMPUTING »
Expose sur « logiciel teamviewer »
5 Les progiciels de gestion et les opportunités associées.
Virtualisation d'un serveur sous VMWare Server
PHP & MySQL Master1 ICD Claire Jacquot Emilie Hot le 24/10/2006.
Aménagement écosystémique et économie, où en sommes-nous réellement ? Le 27 novembre 2014 Présenté par Mélissa Lainesse.
Introduction au Génie Logiciel
IAEA Training Course on Effective and Sustainable Regulatory Control of Radiation Sources Stratégies pour un contrôle réglementaire efficace et durable.
Évaluez votre système de production documentaire en 7 minutes.
1CONFIDENTIEL EMC : À USAGE INTERNE UNIQUEMENT Pourquoi choisir EMC pour SQL Optimisation des performances.
Technet Office System
Améliorer la performance des organisations en apportant à toutes les équipes la meilleure compréhension de leur activité pour des décisions plus rapides.
1 1 Solutions « Fleet » maintenant vos véhicules vous diront toujours où ils sont Juillet 2010.
Bruno Orsier Exigences Exécutables Efficaces Doing the Right Software Agile4Techos Rémy Sanlaville.
Manuel de formation PNUE Thème 11 Diapo 1 Objectifs de la mise en œuvre et du suivi de l’ÉIE : F appliquer les conditions d’approbation F garantir leur.
Enseignement professionnel
CONSEIL f Indépendance Efficience Partage Mettez en œuvre un plan de prévention des risques sécuritaires et sanitaires pertinent au sein de votre entreprise.
VMware vSphere Hypervisor
Cloud Computing Tristan Antiope Florian Imbert Sébastien Dallemagne
Projet 6 : Virtualisation
Démarche exploratoire 2
Recherche chirurgien dentiste 4 jours semaine à partir de € nets/ mois.
Démarche exploratoire 2
► Notre société spécialisée dans la maintenance et le dépannage informatique vous propose ses solutions pour le maintient et la protection de votre parc.
▶ Un niveau maximal de préparation aux réunions ▶ Une productivité accrue de 25 % ▶ Des réunions menées avec un professionnalisme accompli
EStrategy Projet SHERPA Compte rendu BERNOUD Patrice EISENHARDT Laurent LARDILLIER Valérian.
 Un métier dans mon code RIASEC  Lettre dominante: R (Réaliste)  Métier explorer: Policier.
Page 1 Xerox Print Services - XPS Outils logiciels Critères de sélection MPS Nos services Notre approche Xerox Device Agent/XDDC Découvre les périphériques,
 Un métier dans mon code RIASEC  Lettre dominante: R (Réaliste)  Métier explorer: Policier.
Présentation de mes compétences Angele Gary Epreuve E6 BTS SIO
VEILLE ET PREVISION  les différents types de veille et leur utilité  les 4 étapes dans le processus de veille  importance et principaux objets de la.
Jenkins, votre serviteur C. Loomis (CNRS/LAL) Journée LoOPS 11 décembre 2012.
Les missions des opérations CTE9 – 13/12/2011 Gilles Mathieu.
Transcription de la présentation:

La rétroconception, quel intérêt pour le RSSI ? Bruno Kerouanton, CISSP Rump Session SSTIC 2006 – Rennes, France

Le point de vue de « Monsieur tout le Monde » C'est interdit ! Législation répressive Ce n'est pas bien ! Connotation négative, « hackerish » C'est pour les geeks ! Compétences pointues nécessaires Ca ne sert à rien ! Fastidieux et sans garantie de résultat

Le point de vue du professionnel de la sécurité C'est interdit ! Tout dépend de ce que l'on (en) fait Ce n'est pas bien ! Usage professionnel et éthique possible C'est pour les geeks ! Outils de plus en plus performants / intuitifs Ca ne sert à rien ! De nombreux usages utiles et légaux

Quelques applications pour le RSSI : Écarter les produits mal finalisés et suspects Évaluer la maintenabilité Améliorer la gestion du parc logiciel Évaluer rapidement les produits cryptographiques Effectuer des audits live de plateformes Sécurité accrue, contrôle renforcé

1. Écarter les produits mal finalisés Exemple : Nombreuses références au code source dans la version finale : constat : versions de débogage livrées / vendues Contrôle qualité au rendez-vous ? Pression commerciale ? Logiciel fourni plus lent voire instable ? Permet une sélection pertinente des produits et solutions

2. Évaluer la maintenabilité Exemple : fonctions « fourre-tout ». Quid de la pérennité, de la maintenabilité ?

3. Écarter les produits suspects Spywares, backdoors, etc. Renforce la sécurité

4. Mieux gérer le parc logiciel Repackaging / reparamétrage des applications. Optimisation des installations et de la taille des exécutables. Bénéfice- pour les administrateurs - pour le RSSI

5. Evaluer rapidement les produits cryptographiques Algorithmes annoncés réellement implantés ? moins de mauvaises surprises ! …face aux produits Snake-Oil

6. Effectuer des audits « live » Surveillance de processus douteux, gestion de parc.

7. Veille : apprendre l'état de l'art... Lecture de tutoriaux, de blogs, de forums... Se tenir informé pour ne pas dire je ne savais pas !!

... parfois même en s'amusant ! Via les sites underground...

Outils in-dis-pen-sables ! Collections d'outils de Mark Russinovich (sysinternals.com) et de Nir Sofer (nirsoft.net) PeID (+ plugins : Krypto Analyzer etc.) Très pratique et simple d'utilisation. Universal Unpacker Décompresse TOUT... ou presque. OllyDbg (+ plugins) « LE » débogueur par excellence... et gratuit en plus. DataRescue IDA Pro (+ plugins) Achetez-le, vous ne le regretterez pas. Franchement ! Vmware Workstation ou Microsoft Virtual Server Ne prenez pas de risques en travaillant. … et bien dautres encore… 0