TOP9 #2018 Des sources de risques

Publicités

GDPR : Prudence dans sa mise en œuvre

Dans la frénésie de mise en conformité au GDPR, l’ensemble des entités du GAFA propose des services pour faciliter le téléchargement de ses données personnelles.

Le réseau social Pro « Linkedin », il y a plus de quatre semaines a mis en œuvre un service de téléchargement des données via la page « Accédez à vos données de compte » ( https://www.linkedin.com/help/linkedin/answer/50191 ).

En expérimentant ce service, j’ai exploré ce processus pour analyser les informations.

Parmi les données,  je me suis intéressé au fichier s’intitulant « connections.csv« . En effet, le fichier liste l’ensemble des contacts de son réseau avec les champs « FirstName, LastName, EmailAdress, Company, Position, ConnectedOn ».

A mon souvenir dans les méandres des différentes configurations des paramètres de sécurité,  je me suis étonné de la présence de l’adresse de courriel dans cet export. En effet, la configuration de confidentialité permet normalement de réduire la visibilité de cette information uniquement à vous même.

Hors dans ce premier téléchargement, je voyais l’ensemble des adresses courriel constituant une vulnérabilité à cette règle de confidentialité. Je prends donc ma plume pour évoquer ce point au réseau.  A deux reprises, je réitère en confirmant la vulnérabilité trouvée et le risque du GDPR.

Il s’avère que la correction a bien été apportée et confirmée lors d’un second export de mes données. L’adresse de courriel n’apparaît plus si  vos paramètres de confidentialité sont correctement positionnés (carré blanc).

Je peux souligner l’efficacité de la correction en moins de 25 jours, félicitation pour la réactivité.

Pour conclure, si le GDPR est de bonne augure, il convient d’être prudent dans sa mise œuvre pour ne pas tomber dans une brèche  lors de la traversée du pont « de la conformité ».

A vous de paramétrer votre compte si vous ne souhaitez plus exposer votre adresse de courriel à tous vos contacts.

CaseFile: On the road 27001

To no longer be lost on the road 66 of ISO 27001, I am pleased to present Case File the latest Maltego Teeth. The latter is integrated into the Kali-Linux distribution.

The Maltego Case File application is available in Java with support for Windows / Mac / Linux systems and the official version is available on the Paterva website.

CaseFile !

CaseFile is a light emanation of Maltego Teeth. This is essentially the same graphical application with bridle functions (online investigation). CaseFile allows you to quickly add, bind, and analyze data across nodes.

The application has the possibility to view data stored in files in CSV, XLSX format and to export the representations in graphic format.

A complementary asset is the generation of a PDF report containing all the elements with the interactions.

The application focuses on a need for « offline » analysis, the sources of which are acquired « on the ground », gathering information from others on the team and drawing up an information card of their investigation.

The application responds to a formalization to represent attacks, threat scenarios, or a risk to a process. It is one of the indispensable tools of digital investigation.


The use case ISO 27001

Our use case was to be able to model the list of controls present in the appendix to ISO / IEC 27001: 2013 and thus to be able to attach actions or to follow the evolutions of this standard.

First step

To be able to model this standard, it was necessary to create three objects to take into account domains, objectives and security controls. The creation of entities (Manage Entity) is done fairly quickly with a naming of the object, a description, a unique name and a logo.

Second step

The modeling is done with the sliding of the objects on the sheet, then for each object, its attribute is assigned to it, namely in our case of use the domains, objectives and controls in the appendix of ISO 27001: 2013.

After this operation, we must establish the relations between the objects with the following relation:

One domain integrates one or more security objectives;
A goal incorporates one or more security controls.

Navigation in the cybergalaxy

The modeling of the controls  of ISO / IEC 27001, allows you to navigate the 14 domains listed below:

– A5  Security Policies
– A6 Organization of information security
– A7 Human Resource Security
– A8 Asset Management
– A9 Access control
– A10 Cryptography
– A11 Physical and environmental security
– A12 Operations security
– A13 Communications Security
– A14 Acquisition, development and maintenance
– A15 Supplier relationships
– A16 Information security incident management
– A17 Information security aspects of business continuity management
– A18 Compliance

and to identify the 35 objectives and 114 security controls of the standard. The documentation of the generated model is given in this report ISO27001_2013-EN

Stay on the course.

This modeling can meet both the mapping needs of the implementation of the ISO 27001 security controls, the management of its improvement axes or the audit of a system.

The mtgx modeling file is available on request via a linkedin message.

CaseFile : La ROOT 27001

Pour ne plus être perdu sur la Route 66 de l’ISO 27001, Il me fait plaisir de vous présenter Case File le petit dernier de Maltego Teeth. Ce dernier est intégré dans la distribution Kali-Linux .

L’application Maltego Case File est disponible sous  Java avec le support des systèmes Windows / Mac / Linux et la version officielle est disponible sur le site de Paterva .

Quésaco

CaseFile est une émanation allégée de Maltego Teeth. Il s’agit essentiellement de la même application graphique avec des bridages de fonctions (investigation en ligne). CaseFile vous permet d’ajouter rapidement, de lier et d’analyser les données au travers de nœud.

L’application a la possibilité de visualiser des données stockées dans des fichiers aux formats CSV, XLSX ainsi que d’exporter les représentations au format graphique.

Un atout complémentaire est la génération d’un rapport PDF reprenant l’ensemble des éléments avec les interactions.

L’application vise un besoin d’analyse «hors ligne» dont les sources d’information sont acquises  «sur le terrain», en recueillant des renseignements auprès d’autres personnes dans l’équipe et en dressant une carte d’information de leur investigation.

L’application répond à une formalisation  pour représenter des attaques, des scénarios de menaces ou un risque sur un processus. Il est un des outils indispensable de l’investigation numérique.

Le cas d’usage ISO 27001

Notre cas d’usage était de pouvoir modéliser la liste des mesures présentes en annexe de la norme ISO/IEC 27001:2013 et ainsi de pouvoir y attacher des actions ou de suivre les évolutions de cette norme.

Le premier pas

Pour pouvoir modéliser cette norme, il a fallu créer trois objets pour prendre en compte les domaines,  les objectifs et les mesures de sécurité. La création d’entités (Manage Entity) se fait assez rapidement avec une attribution d’un nom à l’objet, d’une description, d’un nom unique et d’un logo.

Le second pas

La modélisation se fait avec le glissement des objets sur la feuille, ensuite pour chaque objet, on lui affecte son attribut  à savoir dans notre cas d’usage les domaines,  les objectifs et les mesures cités en annexe de la norme ISO 27001:2013.

Après cette opération, il faut établir les relations entre les objets avec la relation suivante :

Un domaine intègre un ou plusieurs objectifs de sécurité ;
Un objectif intègre une ou plusieurs mesures de sécurité.

 

La navigation dans la galaxie

La modélisation des mesures de la norme ISO/IEC 27001, vous permet de naviguer sur les 14 domaines repris ci-dessous :

– A5 – Politiques de sécurité
– A6 – Organisation de la sécurité de l’information
– A7 – Sécurité des ressources humaines
– A8 – Gestion des actifs
– A9 – Contrôle d’accès
– A10 – Cryptographie
– A11 – Sécurité physique et environnementale
– A12 – Sécurité liée à l’exploitation
– A13 – Sécurité des communications
– A14 – Acquisition, développement et maintenance des systèmes d’information
– A15 – Relations avec les fournisseurs
– A16 – Gestion des incidents liés à la sécurité de l’information
– A17 – Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
– A18 – Conformité

et d’identifier les 35 objectifs et 114 mesures de sécurités de la norme . La documentation du modèle généré est reprise dans ce rapport ISO27001

Garder le cap avec l’ISO 27001.

Cette modélisation peut répondre tant à des besoins de cartographie de l’implémentation des mesures de sécurité de l’ISO  27001,  que pour la gestion de ses axes d’améliorations ou pour un audit d’un système.

 

Le fichier de modélisation  mtgx est disponible sur demande via un message linkedin.

Enregistrer