La sécurité en question...

Posté par  . Modéré par Amaury.
Étiquettes : aucune
0
30
jan.
2003
Sécurité
L'équipe de LinuxFrench a interviewé HSC, société experte dans la sécu (dont les news sont dispo sur tootella), et le moins que l'on puisse dire c'est que les questions posées ainsi que les réponses données sont vraiment intéressantes et apportent un éclairage sur les besoins en matière de sécurité sous *nix en général.

Aller plus loin

  • # Un bon rappel

    Posté par  . Évalué à 10.

    On ne le dit pas assez :
    - "C'est dans les applications et dans leur exploitation au quotidien que doivent être portés les efforts pour obtenir une bonne sécurité."

    Il y a aussi un commentaire très intéressant sur systrace :
    - "La restriction des appels systèmes par application (cf systrace) nous semble une bonne chose utilisable par tous les administrateurs Unix. L'escalade des privilèges (qui ont été ajoutés à systrace) est plus dangereuse"

  • # Re: La sécurité en question...

    Posté par  . Évalué à 10.

    Pourquoi une société aussi [('"sérieuse"')] fait elle appel à des jeunes ingés qui se précipitent toujours sur le côté technique, tout en écartant le côté "social engineering" qui finalement représente le plus gros risque ?

    Est ce que HSC n'est pas un peu de l'esbrouffe ?
    Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!

    Est ce que se réclamer "pro-logiciels libres" implique "bons services" ?

    • [^] # Re: La sécurité en question...

      Posté par  . Évalué à 3.

      >Pourquoi une société aussi [('"sérieuse"')] fait elle appel à des jeunes ingés qui se précipitent toujours sur le côté technique, tout en écartant le côté "social engineering" qui finalement représente le plus gros risque ?

      C'est paradoxal, mais en général, ce sont les clients qui ne souhaitent pas de manipulations de social engineering. De plus déontologiquement, c'est un peu limite : l'objectif reste de piéger personnellement la personne "la plus faible" afin de lui soutirer des renseignements. Cela est en général très mal perçu...

      >Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!

      C'est un service commercial. Leurs clients n'ont pas forcement le temps de collecter l'ensemble des avis du web, ils demandent une synthèse...

    • [^] # Re: La sécurité en question...

      Posté par  . Évalué à 3.

      Pourquoi une société aussi [('"sérieuse"')] fait elle appel à des jeunes ingés qui se précipitent toujours sur le côté technique, tout en écartant le côté "social engineering" qui finalement représente le plus gros risque ?

      Je ne pense pas qu'ils l'écartent mais quand tu vois qu'au moins un d'entre eux est quand même "un peu" connu pour avoir fait Nessus (Renaud Deraison), ils ont axé leur travail sur les points techniques. J'ajouterai que de parler de social engineering est infiniment plus facile que la technique et à peu prêt à la portée de n'importe quel auditeur. Le fait d'avoir une technique pointue permet d'aller justement là où peu d'auditeurs vont.

      Est ce que HSC n'est pas un peu de l'esbrouffe ?

      Plus de 10 ans qu'ils existent, des centaines de conférences, un personnel de renommée internationale (pour certains): si c'est de l'esbrouffe, toutes les sociétés de sécurité peuvent fermer, au moins les françaises.

      De l'esbrouffe, c'est plutôt d'avoir une société avec un très gros capital, d'avoir pleins d'employés, d'avoir plus une politique marketing que technique et déontologique, d'avoir un patron médiatique et de dire que tout cela constitue une référence. Cherchez bien, elle existe mais je ne la nommerai pas.

      Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!

      D'abord, un service de veille consiste à regrouper des infos pertinentes, à les analyser, a émettre un avis d'expert, un conseil, pas forcément à découvrir des choses. De plus, perdre du temps à chercher des bugs non répertoriés pour les beaux yeux d'un éditeur qui gagne des milliards n'est pas rentable. Enfin, ne pas poster sur Bugtraq ne signifie pas qu'on n'en est pas capable et bugtraq n'est pas l'évangile de la sécurité.

      Est ce que se réclamer "pro-logiciels libres" implique "bons services" ?

      Non. Mais ça n'implique pas le contraire non plus.

    • [^] # Re: La sécurité en question...

      Posté par  . Évalué à 4.

      > Que penser du service de veille de sécurité proposé ?
      > Copie des avis diffusés sur d'autres sites ?

      Bonjour.

      Sur ce point, je ne vois ni problème ni différence avec d'autres sociétés "concurrentes". Je reçois quotidiennement la veille d'une autre société présente sur le marché de la sécurité, ce n'est ni plus ni moins que la compilation de tous les bulletins publiés ici ou là. Ce que l'on vous vend n'est pas de l'info exclusive (ce que HSC condamne me semble t-il, et ce dont Symantec, nouveau propriétaire de SecurityFocus rève) mais du temps gagné à compiler par vous-mêmes tous ces infos.

      Quant à la production des ingés HSC, même si elle ne se trouve par sur bugtrack, on la trouve ailleurs et cela n'en déprécie pas la qualité ! :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.