Rechercher
Fermer ce champ de recherche.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

01/12/2021

Almond Institute

Interview de Claudine, Consultante Manager GRC et Responsable de l’offre ISO 27001

Claudine THIERY

Consultante Manager GRC

« Considérez la formation comme un moment privilégié pour vous, en dehors du quotidien et porteur d’avenir, participez et profitez au maximum de l’expérience du formateur ! »

Claudine est Consultante Manager dans la BU Gouvernance, Risques et Compliance (GRC) et Responsable de l’offre ISO 27001 au sein d’Almond. Parmi les formations disponibles dans notre catalogue, elle dispense les formations ISO 27001/IEC 27001:2013 Foundation et ISO/IEC 27001:2013 Lead Implementer ; ces formations sont dispensées aujourd’hui en distanciel et en présentiel.

La formation ISO/IEC 27001:2013 permet aux participants de prendre connaissance des meilleures pratiques de mise en œuvre et de gestion d’un système de management de la sécurité de l’information tel que spécifié dans l’ISO/CEI 27001:2013 ainsi que des meilleures pratiques d’implémentation des mesures de sécurité de l’information issues des 11 domaines d’ISO/CEI 27002:2013.

La formation ISO/IEC 27001:2013 Lead Implementer permet aux participants de développer l’expertise nécessaire pour assister une organisation dans la mise en œuvre et la gestion d’un Système de Management de la Sécurité de l’Information (SMSI) tel que spécifié dans l’ISO/CEI 27001:2013.

En quelques mots, quel a été ton parcours jusqu’à aujourd’hui ?

J’ai exercé plusieurs métiers au cours d’un parcours très riche, chef de projet, ingénieur d’affaires, consultante, responsable qualité et, depuis plus de 10 ans, je suis consultante manager dans la BU Gouvernance, Gestion des risques et Compliance chez Almond. Quels que soient les métiers que j’ai exercés, j’ai toujours été associée à des cursus de formation, la plupart du temps comme formatrice.

Comment mets-tu tes compétences au service des prestations de Almond Institute ?

Par des exemples vécus et concrets. Tous ces différents métiers ont toujours été exercés pour des clients, dans des secteurs d’activité très variés, ce qui me permet d’illustrer mes formations par des exemples vécus et concrets. En l’occurrence, mes nombreuses missions pour Almond, souvent liées à la série des normes ISO 27000, dont de l’accompagnement à l’obtention du certificat ISO 27001 et à son maintien, enrichissent mes formations et facilitent la réponse aux problématiques que peuvent se poser les stagiaires.

Quelle posture doit-on adopter en tant que formateur ?

L’écoute, l’écoute, l’écoute et la bienveillance. Les stagiaires doivent se sentir libre de poser n’importe quelle question sans qu’il y ait de jugement ; le formateur doit s’assurer de son côté que les notions sont bien comprises, écouter toutes les propositions au cours des exercices et faciliter les échanges entre stagiaires pour faire émerger les solutions.

Qu’est-ce qui est le plus appréciable dans le fait de former ?

Acquérir un savoir, c’est passionnant, le transmettre et le partager l’est encore plus, c’est le but ultime. Toute la connaissance accumulée, assortie à l’expérience, sera d’autant plus utile et démultipliée et acquiert ainsi plus de sens ; donner un bagage et des outils aux stagiaires pour qu’ils développent leurs potentiels apporte encore plus de valeur au travail que j’exerce.

Comment gérer les différences de niveau au sein d’un groupe ?

Dans un groupe hétérogène, l’idée est de faire participer, à certains moments, des stagiaires qui ont déjà un certain niveau dans le domaine, pour faire profiter les autres de leur expérience, le formateur veillant à la véracité des notions partagées et enrichissant les propos ; ainsi chacun a un rôle et reste actif tout au long de la formation.

Pour toi, quel serait le point fort de notre offre de formation ?

Notre offre recouvre à la fois des formations standards, dont certaines certifiantes et s’appuyant sur des organismes certificateurs ; elle est également déclinable en formations adaptées au contexte d’une entreprise et peut s’insérer dans une offre plus globale et dans nos missions.

Le contenu des formations est sous la responsabilité des porteurs d’offre et évolue en permanence en fonction de l’évolution des pratiques et des normes ; les formations sont toutes assurées par des consultants aguerris dans le domaine en question et par les porteurs d’offres, fonction que j’exerce sur l’offre ISO 27001.

En une phrase, quelle est ta philosophie de la formation ?

Partager, transmettre, passer le relais avec passion et bienveillance, puis améliorer, enrichir et toujours continuer à partager, à transmettre…

Voir les derniers actualités Almond Institute

4 décembre 2024
Almond Institute vous propose ses prochaines formations jusqu’à l'été 2025. Découvrez nos prochaines sessions qui se dérouleront à Paris, Nantes, […]
9 octobre 2024
Almond Institute vous propose ses formations pour novembre. Découvrez nos prochaines sessions qui se dérouleront à Paris, Nantes et Lyon.
18 septembre 2024
Retrouvez le podcast de Tristan notre formateur et Responsable CERT CWATCH chez ALMOND qui nous parle de la formation « […]
5 septembre 2024
Almond Institute vous propose ses formations pour octobre. Découvrez nos prochaines sessions qui se dérouleront à Paris, Nantes et en […]
6 août 2024
Almond Institute vous propose ses formations pour septembre et octobre. Découvrez nos prochaines sessions qui se dérouleront à Paris et […]
11 juillet 2024
Almond Institute vous propose ses prochaines formations jusqu’à la fin de l’année 2024. Découvrez nos prochaines sessions qui se dérouleront […]
30 avril 2024
Almond Institute vous propose ses formations pour juin. Découvrez nos prochaines sessions qui se dérouleront à Paris et Nantes.
10 avril 2024
Retrouvez le podcast d’Aurélien, notre Primary Contact et formateur PCI DSS, qui nous parle de nos modules d'e-learning BYCE dédiés […]
6 mars 2024
Almond Institute vous propose sa formation pour avril et mai. Découvrez nos prochaines sessions qui se dérouleront à Paris, Nantes, […]
28 février 2024
Mon rôle de formatrice : Chloé, Consultante Governance, Risks & Compliance et formatrice au sein d’Almond Institute.

Jour 12 | Challenge OSINT

Réponse :

Jour 11 | Parmi ces propositions, quelle technique Mitre Atta&ck est la plus utilisée par les attaquants ?

  • Réponse 1 : OS Credential Dumping
  • Réponse 2 : Valid Account
  • Réponse 3 : Impair Defenses
  • Réponse 4 : Remote services

Laïus explicatif : L’achat ou la récupération de comptes valides sont de plus en plus commun. Certains cybercriminels appelés Initial Access Broker se spécialisent dans la compromission de victimes dans le but de récupérer des identifiants valides qui seront ensuite vendus à d’autres cybercriminels comme les groupes de ransomware.

Jour 10 | Parmi ces structures de données de la mémoire dans Windows, quelle est celle qui permet de lister les processus en cours d’exécution ?

  • Réponse 1 : EPROCESS
  • Réponse 2 : Kernel Debugger Data Block (KDBG)
  • Réponse 3 : Kernel Processor Control Region (KPCR)
  • Réponse 4 : Process Environment Block (PEB)

Laïus explicatif : La structure EPROCESS (Executive Process) est utilisée par Windows pour gérer chaque processus en cours d’exécution. Elle contient des informations essentielles comme l’identifiant du processus (PID), l’état, les threads associés, et d’autres données nécessaires au système pour suivre les processus actifs. En analysant les structures EPROCESS, on peut lister les processus actuellement en mémoire. Le PEB est lié à chaque processus de manière individuelle. Enfin le KPCR est nécessaire pour trouver l’adresse du KDB qui à son tour permettra de pointer vers le EPROCESS.  

Jour 9 | Quel est le problème si la suite cryptographique TLS_RSA_WITH_AES_256_CBC_SHA256 est utilisée avec l'extension encrypt_then_mac pour la sécurité d'une communication TLS ?

  • Réponse 1 : L’algorithme de chiffrement est trop faible

  • Réponse 2 : L’intégrité de la communication n’est pas assurée

  • Réponse 3 : Il n’y a pas la propriété de confidentialité persistante (Perfect Forward Secrecy)

  • Réponse 4 : Le serveur n’est pas correctement authentifié

Laïus explicatif : La bonne réponse est le manque de confidentialité persistante.

La suite TLS_RSA_WITH_AES_256_CBC_SHA256 utilise la clé publique RSA du serveur pour chiffrer le secret partagé utilisé pour sécuriser les échanges de la session TLS : en cas de compromission de la clé privée du serveur, l’ensemble des échanges des sessions passées peuvent être déchiffrés par un attaquant.
La confidentialité persistante (connue sous le nom de Perfect Forward Secrecy en anglais) consiste en l’utilisation d’un échange Diffie-Hellman éphémère pour négocier le secret partagé, sans utilisation de la clé RSA du serveur.

Jour 8 | Quel est l'avantage d'utiliser un outil de couverture de code lors d'une session de fuzzing ?

  • Réponse 1 : Réduire le temps de fuzzing en optimisant certaines instructions assembleur.

  • Réponse 2 : Utiliser la technique de « pré-chauffage » du harnais (« warming code attack »).

  • Réponse 3 : Pouvoir analyser facilement les sections de code atteintes par le fuzzer.

  • Réponse 4 : Ne pas prendre en compte les vulnérabilités de type use-after-free.

Laïus explicatif : Les outils de couverture de code (“code coverage” en anglais) permettent de savoir avec précision quelles lignes de code d’un programme qui ont réellement été exécutées. Lors d’une session de “fuzzing”, ces outils peuvent aider l’analyste à savoir si les fonctions ciblées ont été atteintes par le fuzzer. Cette technique a notamment été utilisée par un membre de l’équipe Offsec pour trouver une vulnérabilité dans une bibliothèque open-source (voir notre article de blog)

Jour 7 | Quelle est la principale éthique qui doit être prise en compte dans le développement de l’Intelligence Artificielle ?

  • Réponse 1 : L’équité et la non-discrimination

  • Réponse 2 : La transparence des algorithmes utilisés

  • Réponse 3 : La sécurité et la confidentialité des données

  • Réponse 4 : Toutes les réponses

Laïus explicatif : L’équité et la non-discrimination sont des principes fondamentaux dans le développement de l’IA. Les systèmes d’IA doivent être conçus pour éviter les biais et assurer qu’ils ne favorisent pas des groupes spécifiques au détriment d’autres, afin de garantir un traitement juste et égal pour tous les utilisateurs. La transparence des algorithmes est cruciale. Les utilisateurs doivent comprendre comment les décisions sont prises par l’IA, ce qui inclut la possibilité d’expliquer les résultats ou actions générés par un système d’intelligence artificielle, afin d’éviter des décisions opaques ou injustes. La sécurité et la confidentialité des données sont enfin des préoccupations majeures lorsque l’on développe des systèmes d’IA, car ces technologies peuvent collecter et traiter des informations sensibles, ce qui soulève des questions sur la protection des données personnelles et la vie privée.

Jour 6 | Selon vous, en moyenne combien de ransomware ont eu lieu par jour en 2023 dans le monde ?

  • Réponse 1 : 1 par jour

  • Réponse 2 : 100 par jour

  • Réponse 3 : 30 par jour

  • Réponse 4 : 12 par jour

Laïus explicatif : En moyenne 12 attaques ransomware ont été signalées par jour par des victimes dans le monde en 2023 selon les chiffres d’Almond. Pour plus d’informations, n’hésitez pas à consulter notre Threat Landscape.

Jour 5 | Challenge de stéganographie

Réponse : PASSI RGS, PASSI LPM, CESTI, ANJ, Cybersecurity made in Europe, PCI QSA Company et Swift

Etape 1 : Observer l’image, trouver 3 logos cachés (Cybersecurity made in Europe, PCI QSA Company & Swift) et une indication pour chercher dans les métadonnées du fichier. 

Etape 2 : Challenge de stéganographie

En lançant dans son terminal un des outils les plus courants, « binwalk », on trouve une image JPEG dans le PDF. En extrayant les données grâce au même outil et en renommant le fichier en .jpeg, on voit apparaitre une image cachée. Ensuite, en utilisant « steghide », on peut extraire le fichier avec le mot de passe « Almond ». Ce fichier contient une suite de caractère encodée en base64. En la déchiffrant, on obtient les quatre autres certifications : PASSI RGS, PASSI LPM, CESTI et ANJ. 

Jour 4 | Concernant les accompagnements de la nouvelle qualification PACS de l’ANSSI, sur la portée Sécurité des Architectures, quels sont les domaines qui font partie du périmètre possible d’un accompagnement ?

  • Réponse 1 : la sécurité réseau, l’authentification, et l’administration du SI

  • Réponse 2 : la sécurité réseau, la sécurité système, et les mécanismes de chiffrement

  • Réponse 3 : l’administration du SI, le cloisonnement, les sauvegardes, et la stratégie de détection/réponse

  • Réponse 4 : tous ces sujets et plus encore

  • Laïus explicatif : Le référentiel PACS, sur la portée Sécurité des Architectures, porte bien sur tous les sujets liés de près ou de loin aux infrastructures du SI. La liste n’est pas exhaustive et est à adapter à chaque prestation d’accompagnement suivant le périmètre d’intervention. Dans le référentiel, l’ANSSI propose une liste de sujets à adresser dans un rapport PACS page 28 et 29.

    https://cyber.gouv.fr/sites/default/files/document/PACS_referentiel-exigences_v1.0.pdf

Jour 3 | Quel référentiel permet la certification de produits de sécurité ?

  • Réponse 1 : NIS2

  • Réponse 2 : Critères Communs

  • Réponse 3 : PASSI

  • Réponse 4 : ISO27001

Laïus explicatif : Le schéma Critères Communs est un ensemble de normes et méthodologies permettant de cadrer les moyens utilisés pour évaluer, de manière impartiale, la sécurité d’un produit de sécurité (logiciel ou matériel). Ce schéma est reconnu internationalement au travers de plusieurs accords (SOG-IS, CCRA et prochainement EUCC).

Le référentiel PASSI permet la qualification, par l’ANSSI, des prestataires d’audit de la sécurité des SI. ISO27001 est la norme décrivant les bonnes pratiques à suivre dans la mise en place d’un SMSI. Enfin, NIS2 est une directive visant à harmoniser et à renforcer la cybersécurité du marché européen.

Jour 2 | Quel est l’artefact forensique qui permet de prouver une exécution d’un programme sous Windows ?

  • Réponse 1 : JumpList

  • Réponse 2 : ShimCache

  • Réponse 3 : $MFT

  • Réponse 4 : Prefetch

Laïus explicatif : Le Prefetch est un artefact spécifique à Windows qui optimise le chargement des programmes. Lorsqu’un programme est exécuté pour la première fois, Windows crée un fichier dans le dossier C:\Windows\Prefetch, qui contient des informations sur le programme et les ressources qu’il a utilisées. Ces fichiers incluent également des horodatages correspondant à la première et aux dernières exécutions. L’existence d’un fichier Prefetch (.pf) pour un programme est une preuve solide qu’il a été exécuté. C’est l’un des artefacts forensiques les plus fiables pour prouver l’exécution d’un programme.

Jour 1 | Quel texte européen permettra qu’à partir de fin 2027, tous les produits vendus dans l’UE et comprenant des composants numériques seront exempts de vulnérabilités et maintenus pendant tout leur cycle de vie ? #DigitalTrust

  • Réponse 1 : Le Cyber Security Act
  • Réponse 2 : Le Cyber Resilience Act
  • Réponse 3 : La Directive REC
  • Réponse 4 : La Directive NIS2 

Laïus explicatif : Le Cyber Resilience Act, qui a été publié ces derniers jours au Journal Officiel de l’Union Européenne est entré en vigueur le 10 décembre 2024. A compter de cette date, les fabricants et éditeurs doivent adapter leur processus pour pouvoir continuer à vendre des produits au sein de l’UE après le 10/12/2027.

EU Cyber Resilience Act | Shaping Europe’s digital future