Livre blanc ITrust

Retour
dexperience
desexperts
ITrust

10
99%

failles
descurit
correspondent

des failles descurit

dans les entreprises

Rdig par ITrust

Novembre 2013 sur la base des 5 dernires annes

daudit de lquipe daudit intrusif dITrust.

Introduction
Ce nest pas une surprise, lanne coule a encore t riche en actualit concernant la cybercriminalit.
Cette criminalit est dailleurs devenue un enjeu stratgique pour les tats qui ne sont pas non plus labri de
cette menace. On se souvient notamment du piratage trs mdiatis de llyse [1].
75% cest le nombre dentreprises pirates au cours des deux dernires annes selon une tude du Cenzic[2].
Ce chiffre atteint mme les 90% sur les statistiques des tests dintrusion mens par ITrust chez nos clients.
Durant ces cinq dernires annes, les consultants du pole pentest (audit intrusif) dITrust sont intervenus
une centaine de fois pour raliser des tests dintrusions chez nos clients.

Ces tests sont aussi bien raliss en interne, en externe pour tester les
services du client en DMZ ou encore sur de simples sites web. Voici la
rpartition des ces diffrents tests.

web 12%
interne 50%
externe 38%

lanne 2013 est comptabilise sur

les4premiers mois seulement

Rpartition du nombre daudit par an

Total: 104 audits
Rpartition du type daudit ralis

Livre blanc

Le Top 10 des vulnrabilits par ITrust

Dans le but dapporter un clairage objectif sur la pertinence de ce palmars, nous nous sommes attachs
constituer des statistiques sur lchantillon de donnes que nous traitons.

Ainsi nous fournissons les informations sur la structure :

Et le domaine dactivit de nos clients:

plus de 500 (38%)

Service (19%)

moins de 500 (12%)

Industrie (15%)

moins de 100 (15%)

moins de 20 (35%)

Banque (19%)

Public (4%)

Hbergeur (6%)

Sant/Agro/
Pharma (25%)

Rpartition des clients par nombre demploys

Rpartition des clients par domaine dactivit

Cet article dresse le panorama des 10 vulnrabilits les plus rencontres lors de nos audits accompagns
dtudes de cas. Cest donc un retour dexprience concret sur les 5 dernires annes dexprience des
quipes techniques dITrust.
Lors de nos audits ou des interventions sur incidents ralises par ITrust, 99% des systmes ont t
compromis par au moins une de ces 10 failles.

Livre blanc

Hotellerie (4%)

Le Top 10 des vulnrabilits par ITrust

Aronautique (8%)

Retour dexprience :
le top 10 des vulnrabilits rencontres

10

Corriger
ces 10 vulnrabilits
essentielles permettrait
dlever grandement
leniveau de scurit dune
organisation.

Systmes trop verbeux :

le salon de th du rseau

Cette vulnrabilit nen est pas vraiment une en soi, mais elle est souvent ltape

Contrleur de domaine trop verbeux

initiale lors dun test dintrusion. Mme si cette faille ne permet pas de compromettre

Les domaines trop verbeux fournissent aux attaquants des informations cruciales

directement un systme, elle permet de rcolter un tas dinformations utiles

pour organiser leurs attaques. Que se soit au travers de connexions LDAP ou Samba,

notamment dans le cadre de la dcouverte de cibles intressantes.

il est souvent possible dobtenir des informations intressantes comme le nom de

domaine, la version du systme dexploitation (fingerprint) et encore plus intressant

Dans la catgorie des grands bavards, on retrouve les deux principaux serveurs :

la liste des utilisateurs du domaine.

Serveurs DNS Systme de nom de domaine

tude de cas : rcupration des utilisateurs dun domaine.

Le DNS est un service utilitaire primordial pour le bon fonctionnement des services

Utilisation de la commande rpcclient sur un doamine windows :

# > rpcclient 192.168.1.1 -p 139 -U% -c enumdomusers
session request to 192.168.0.4 failed (Called name not present)
user:[Administrateur] rid:[0x1f4]
user:[Invit] rid:[0x1f5]
user:[Compta] rid:[0x476]
user:[Commercial] rid:[0x4c3]
Utilisation pour obtenir les administrateurs du domaine
# > rpcclient 192.168.0.4 -p 139 -U% -c querygroupmem 0x200
session request to 192.168.0.4 failed (Called name not present)
rid:[0x1f4] attr:[0x7]

applicatifs comme la navigation ou la messagerie. Les portes sont souvent laisses

grandes ouvertes sur lensemble du rseau.
Les attaquants font alors appel au transfert de zone pour lister lensemble des
machines du domaine. Cette dmarche permet de dcouvrir rapidement les cibles
intressantes - par responsabilit ou dpartement (R&D, comptabilit)

De la mme faon, il est possible dobtenir au niveau de chaque machine, lutilisateur

connect

Livre blanc

Le Top 10 des vulnrabilits par ITrust

Gestion des droits :

besoin den connaitre

Le besoin den connaitre est une notion primordiale en scurit pour sassurer de
la confidentialit des donnes. Bien souvent la gestion des droits sur les partages
de fichiers prsente des faiblesses : des restrictions daccs trop laxistes, voire
inexistants, permettent dobtenir de nombreuses informations stratgiques et
confidentielles.

Relations de confiance:
propagation de la compromission

En environnement UNIX, les programmes de terminaux distance (rlogin et rsh)

utilisent un systme dauthentification faible et permettent en plus de mettre en
place des relations de confiance entre machines (par lintermdiaire de fichier .rhosts
ou hosts.equiv). Ainsi si lune des machines est compromise, lattaquant peut se

tude de cas : le test du stagiaire.

Dans la plupart des structures Active Directory, les utilisateurs appartiennent des groupes et les partages sont ouverts certains groupes. Un stagiaire est ajout au groupe
de son (voire ses) maitre de stage.
Le test consiste laisser le stagiaire voir ce quil peut obtenir
comme information. Lexprience montre qu la suite de
ce test, la personne aura au moins obtenu des informations
confidentielles et dans la plupart des cas des informations
sur les comptes utilisateur lui permettant de devenir administrateur dun serveur.

connecter librement lensemble des machines de confiance. Ces applications sont

dans la plupart des cas interdites dans la politique de scurit au profit doutil plus
scurise comme SSH. Mais l encore, lexprience montre que des rebonds sont

Les employs sont le maillon faible dans la chaine de scurit

possibles cause du manque de protection des cls prives. La cl publique associe

informatique. Ils reprsentent 50% des menaces en scurit.

est souvent utilise sur un grand nombre de serveurs permettant lattaquant de sy

connecter.
En environnement Windows, il est possible de dfinir des relations de confiance entre
domaines Active Directory. Dans ce cas, lannuaire des utilisateurs est rpliqu entre
domaines de confiance. Un attaquant sil arrive obtenir un compte sur un domaine
plus faible aura accs tous les domaines avec compte.

Livre blanc

Le Top 10 des vulnrabilits par ITrust

Protocoles dadministration:

le diable est dans les dtails

Base de donnes

Mme dans les entreprises o la scurit est prise en compte sur les postes

Les bases de donnes sont une cible de choix, car elles renferment beaucoup

utilisateurs et les serveurs, certaines catgories dquipements passent quasiment

dinformations utilisables. Lorsque les mots de passe par dfaut sont changs, les

tout le temps la trappe. Que ce soit les lments actifs du rseau comme les switchs

administrateurs des bases de donnes administrant un grand nombre de serveurs

ou les routeurs ou les imprimantes, la scurit est souvent nglige. Ainsi les mots de

utilisent souvent des mots de passe faibles qui sont fonction du nom du serveur.

passe dadministration par dfaut sont rarement changs et sils le sont, il reste les

Au-del des informations confidentielles contenues, ces bases contiennent des listes

protocoles dadministration activs par dfaut sur ce genre dquipement.

dutilisateurs dont il est facile dobtenir les mots de passe par cassage. Ces comptes

La prsence de protocoles non scuriss qui font transiter les mots de passe en clair

peuvent alors tre rutiliss pour continuer lattaque sur le rseau.

constitue aussi une source trs importante de vecteurs dattaques : prenons par
exemple : FTP, Telnet,

tude de cas : LERP une cible parfaite.

tude de cas : SNMP sur un routeur dagence

Le cas sest prsent lors dun de nos audits. Un routeur VPN dune agence du client dispose du service SNMP activ et en coute sur internet. La configuration par dfaut permet
de lire et surtout dcrire les informations de la MIB. Le scnario mis en place a consist
rediriger les requtes DNS sur un de nos serveurs et tudier les statistiques des requtes.
Cette premire tape concluante, le trafic intressant est redirig vers notre serveur
et trs rapidement laccs au compte de messagerie ainsi que lintgralit des messages
transitant est recueillie par nos soins.
Bien que le matriel de production et imprimante
ne reprsente que 1% des menaces en scurit informatique, elles sont souvent bien trop ngliges.
25%

21%

20%

20%
13%

15%
10%

12%

10%
4%

5%

3%

1%

1%

le
ss

or

di

na
te
ur
s

po
rt
ab
ta
tio
le
s
ns
de
tr
av
ai
l
le
sr
le
s
ss
ea
up
ux
po
rt
sm
o
le
bi
st
le
ab
s
le
le
sp
tt
es
ol
iti
/P
le
qu
sd
C
es
at
en
a
c
e
lig
nt
ne
er
le
sd
s
m
e
at
co
r
n
du
ie
ld
ite
e
pr
od
uc
le
tio
si
n
m
pr
im
an
te
s

0%

Livre blanc

tude de cas :
Arrt de la production
Le SNMP nest pas le seul protocole
dadministration ouvert. Prenons le
cas dun onduleur sur les chaines de
production dun client. Cet onduleur
est en configuration usine, il suffit
donc de se connecter sur le serveur
web dadministration avec les
comptes par dfaut pour avoir la possibilit dteindre tous les serveurs
de production.

Dans ce cas, la socit autorisait les commerciaux avoir une instance de lERP sur leur
poste pour pouvoir lutiliser en clientle. Le service de base de donnes coutant sur le
rseau, il ne fallut que peu de temps pour trouver le mot de passe vident et obtenir la liste
des clients de la socit et les propositions associes - un vrai trsor trs profitable la
revente pour un attaquant.

Nous constatons, aujourdhui que le piratage de

base de donnes correspond 14% des menaces
en scurit.
http://buff.ly/11umuYS
La base de donnes de Gamigo fut pirate en
2012.

Le Top 10 des vulnrabilits par ITrust

Partage de fichiers

De nombreux systmes peuvent avoir des partages de fichiers. Ces partages

peuvent tre grs via diffrents protocoles (FTP, NFS, SMB,). Les restrictions sur
ces partages sont en gnral trop faibles, voire inexistantes. Que ce soient les accs
anonymes autoriss sur un FTP ou la restriction daccs au rseau dentreprise
pour les partages SMB ou NFS, un attaquant a la possibilit dobtenir normment
dinformations confidentielles. Le pouvoir de nuisance est extrmement important
lorsquun attaquant dcide dutiliser la technique de la terre brule et de supprimer
tous les fichiers prsents (sauvegarde, donnes financires).

4
4

Serveurs labandon

Un constat qui est fait lors de nos audits est quil ny a presque jamais dinventaire
matriel ou logiciel ralis au sein des systmes dinformations. Lors dun audit,
la dcouverte de serveurs de tests ou de serveurs labandon, non maintenus

tude de cas : Limprimante de la direction

Sur les toutes les imprimantes rcentes, des partages sont activs par dfaut pour pouvoir
rcuprer les scans ou les fax reus. Dans le cas prsent, limprimante stockait tous les
documents - ainsi il a t possible de retrouver lensemble de photocopies, scans et fax de
la direction.

et largement vulnrables surprend les administrateurs qui navaient mme pas

connaissance de ces lments sur le rseau. Ces serveurs sont facilement exploitables
et peuvent toujours contenir des informations valides. De plus ils servent de rebond
pour attaquer des cibles plus intressantes.

http://buff.ly/ZWQ2Mv
Des chercheurs de lUniversit
Columbia affirment quils ont dcouvert une nouvelle classe
de failles de scurit informatique qui pourrait avoir un
impact sur des millions dentreprises, les consommateurs, et
mme des organismes gouvernementaux. Les imprimantes
peuvent tre contrles distance par des criminels informatiques sur Internet.

Livre blanc

Le Top 10 des vulnrabilits par ITrust

Vulnrabilits Web

Cette catgorie pourrait faire lobjet dun article part entire tant le sujet est

Phase 2 : exploitation

vaste. Les vulnrabilits web ne reprsentant pas - dans notre cas la majorit

Cette catgorie de vulnrabilits permet dans un deuxime temps dexploiter les

des vulnrabilits rencontres de par le profil de notre chantillon. Cependant,

informations recueillies dans la premire phase. Dans cette catgorie, on retrouve :

trs souvent lors daudit de site web, il est possible dexploiter des vulnrabilits

Lexposition de donnes sensibles

applicatives.

Labsence de configuration scurise

Le manque de restriction de privilges.

Si on confronte le top 10 des vulnrabilits web fourni par lOWASP [3] notre retour

Une fois que lon a identifi une vulnrabilit exploitable sur le site, si les privilges

dexprience terrain, voici ce que lon peut en dire :

ne sont pas grs correctement, il est souvent possible de prendre la main sur le

Les vulnrabilits que nous rencontrons sont rparties en deux catgories :

serveur et dobtenir tous les droits. Suivant le potentiel de nuisance de lattaquant,

lexploitation peut aller du dfacage de site, la perte dinformations (potentiellement

Phase 1 : les points dentres

sensibles comme des donnes bancaires), la constitution dun zombie voire la

Ces vulnrabilits permettent davoir un premier accs au systme et obtenir des

suppression de lensemble des donnes.

informations. Par ordre de frquence, on retrouve :

Les systmes pas jour
Cette catgorie de vulnrabilit fait lobjet dun paragraphe entier du top 10
Les injections SQL
Les attaques XSS
La gestion des sessions

tude de cas : Vol de session / vidosurveillance

tude de cas : Fonctions PHP non protges

Les sites web offrant la possibilit duploader du
contenu (comme des images par exemple) utilisent
les fonctionnalits dupload de PHP. Si des contrles
stricts de ces fonctionnalits ne sont pas mis en place,
il est possible duploader un web shell et dobtenir
des informations comme les condenss des mots de
passe. Ainsi par rebond, il est possible de prendre la
main sur le serveur en backoffice.

Une socit de scurit propose ses clients un systme de vido surveillance de leurs
locaux accessible par internet. Les cookies de sessions ne sont pas protgs et le rejeu
est possible. Ainsi, tout utilisateur peut deviner le format des cookies et accder alatoirement la vidosurveillance dun autre client. Le problme aurait pu se limiter la
divulgation entre clients si les mots de passe pour se connecter navaient pas t aussi
faibles. Le systme de scurit se transforme avec peu de ressources en un moyen efficace
pour organiser un cambriolage.

Livre blanc

Le Top 10 des vulnrabilits par ITrust

mot de passe

failles historiques

Chez 96% des clients audits, un mot de passe par dfaut ou trivial permet daccder

Ce qui devrait tre le problme le plus anecdotique et paradoxalement le plus facile

des ressources confidentielles. Un simple stagiaire y arriverait. Cest un sujet pour

et le plus automatis exploiter. Les vulnrabilits historiques sont connues et des

lequel les utilisateurs sont le plus sensibiliss en entreprise, il reste pourtant lun des

correctifs sont fournis par les diteurs ds quelles sont publies. Il suffit de mettre

vecteurs dattaques les plus utiliss et surtout le plus simple exploiter.

jour les systmes pour sen prmunir. Cependant, ces vulnrabilits sont le plus grand
vecteur dattaques et dinfections des systmes dinformations. Les dernires grandes

RETOUR DEXPRIENCE :

actualits concernant des compromissions dentreprises concernent des systmes qui

le top 3 des mots de passe les plus faibles rencontrs

ne sont pas mis jour depuis des annes.

- Le compte na pas de mot de passe

On se souvient du piratage du PlayStation network de Sony. Ce piratage a t permis

- Le mot de passe est le mme que le login

grce une vulnrabilit sur les serveurs web connue et corrige plusieurs mois

- Le mot de passe est le mot de passe gnrique de cration de comptes

avant.

Et noublions pas le mot de passe et le prnom de lutilisateur, de ses enfants, un

simple mot du dictionnaire....

tude de cas : Le serveur BlackBerry

Pour illustrer ce problme, nous revenons sur
le cas dun serveur Windows avec le mot de
passe de ladministrateur de la base de donnes laiss par dfaut. Cet accs nous permet
de crer un utilisateur sur le systme et de voir
que le serveur BlackBerry ne supprime pas les
fichiers temporaires. Des informations trs
confidentielles sont obtenues par ce biais.

Le top 10 peut tre

complment
aux

10
failles

Livre blanc

enrichi de 3 failles.
Montant le total

> Failles humaines

13failles.

Exemple : Un collaborateur donne son

mot de passe un faux administrateur
systme au tlphone

Ce top 13 reprsente

> Failles applicatives

pour nous lensemble

des failles exploites
exhaustives dun SI.

Le Top 10 des vulnrabilits par ITrust

> Failles inconnues

Conclusion
Plus de 9 fois sur 10 nous pntrons sur un systme dinformation au cours dun

firewalls ne sont plus assez efficaces pour les protger. Ils saperoivent que nombre

audit. Et ce partir dune faille de scurit triviale (issue du Top10); depuis une

dentre nous leur ont menti leur promettant la fin de leurs problmes avec de

simple connexion internet la plupart du temps. Si nous y arrivons, des pirates,

nouveaux outils.

personnes malveillantes ou virus y arrivent aussi.

Nous sommes un tournant de notre mtier. Les technologies dattaque prennent le

pas sur les technologies de protection. Le diffrentiel entre les hackers et ingnieurs

Alors on fait quoi ?

se fait plus grand. Les systmes sont extraordinairement vulnrables et rares sont

Souvent nous rencontrons des clients qui empilent des outils de scurit comme les

les technologies efficaces.

couches dun millefeuille alors quen supprimant ces 10 failles essentielles, le niveau

Un peu, comme en mdecine lors de lapparition dun virus. Les antibiotiques actuels

de scurit augmenterait exponentiellement. Cest pourquoi il est ncessaire de

se rvlent inefficaces. Alors en attendant le comblement de ce vide entre lpe et

mettre en place des contrles permanents pour vrifier ces points. Un rapport de

le bouclier (avec une technologie dAnalyse comportementale par exemple), cycle

Verizon montrait cette anne que 97% des violations de donnes auraient pu tre

immuable de la scurit, nous avons souhait expliquer depuis des annes avec

vits par de simples contrles [4].

ITrust nos clients, nos RSSI et nos RSSI, quil existe une autre voie complmentaire
la voie de la mdecine classique. Une mdecine alternative, mais complmentaire,

Je suis expert scurit en informatique depuis 15 ans

fonde sur les meilleures pratiques et une bonne hygine. Une sorte de mdecine

Jai t responsable scurit salle de march a la bnp arbitrage

chinoise (attention sans routeur chinois inside ;-) qui prvient plutt que gurir.

Je suis intervenant expert en ssi cloud lAssemble nationale

Je suis le PDG fondateur de ITrust cre il y a 7 ans

Alors mme que la quasi-totalit des problmes pourraient tre vites simplement
avec des contrles trs simples, davantage dentreprises subissent des incidents

Notre mtier est complexe. On y trouve beaucoup de normes et mthodes. Un

graves lis la cyberscurit tous les ans.

peu comme en mdecine, il y existe un nombre incalculable doutils, de virus, de

Savez-vous par exemple (mais vous devez le savoir) que la prsence de mots de

mthodes, dcoles utilisant chacune leur propre protocole/procdure.

passe par dfauts est de 98% dans les entreprises que nous auditons?

Cest un mtier jeune, une vingtaine dannes ;

Les nouvelles menaces, notamment les APT et le cloud laissent beaucoup de nos

Vous ntes pas confronts a des problmes de scurit ? Cest normal :

clients dans lexpectative. Peu dentre eux comprennent pourquoi nous devons

8 entreprises sur 10 qui subissent une intrusion ou attaque ne le savent pas

toujours 20 ans aprs continuer amliorer les systmes par de nouvelles mthodes

(source ITrust)

et nouveaux outils. Ils constatent avec effarement et incrdulit que les antivirus et

10

Livre blanc

Le Top 10 des vulnrabilits par ITrust

Vous avez des firewalls et des systmes de protection et vous subissez pourtant des

La plupart des incidents de scurit auraient pu tre vits simplement.

agressions et attaques malveillances. On nous a expliqu pendant des annes quil

Savez-vous que la plus grande attaque informatique (Stuxnet) aurait pu tre vite

fallait se protger et le constat aujourdhui est toujours aussi dramatique, malgr

en changeant le mot de passe par dfaut dun quipement siemens.

tous les outils et les budgets scurit importants les principes de base de la scurit

En respectant ce que lon appelle de plus en plus aujourdhui une bonne hygine de

ne sont pas respects, nous sommes toujours aussi vulnrables et il est encore plus

scurit : des contrles simples, intelligents.

facile quavant pour un stagiaire de rcuprer des informations confidentielles sur

les rseaux ou a un tudiant coren de rcuprer la base tarifaire de votre ERP ou
encore lancer une attaque ddos denvergure sur votre infrastructure

Ce que nous disons est confirm par les pus grands experts ainsi que par les tudes.

Les grandes catastrophes auraient pour la plupart pu tre vites par des solutions

B est P ractices
Les anti-virus ne sont plus efficaces pour rpondre aux nouvelles
menaces. Maintenir un bon niveau de scurit en vitant les mots de
passe par dfaut et en surveillant les vulnrabilits reste lameilleure
pratique de scurit actuelle pour les PMEs.

et procdures contrles simples :

Herv Schauer, consultant en scurit expert

Pour vous en convaincre :

Une anecdote qui mriterait une confrence.

Plate forme ptrolire BP :

le systme de scurit de la vanne avait t dsactiv, car gnrant trop de
faux positifs
Socit Gnrale Kerviel :
le trader tait aussi le concepteur de loutil de trading
Fukushima :
Les ingnieurs taient persuads que la pompe de refroidissement tait

Contrles de base
Selon une enqute mene par Verizon [1] sur les attaques rseau:
La majorit des attaques surviennent encore et toujours parce que des contrles en place
ntaient pas implments de faon cohrente pour lensemble de lorganisation.
Beaucoup dorganisations dfinissent des rgles et des procdures de scurit mais
ngligent de les implmenter avec.
[1] 2009 Data Breach Investigations Report, Verizon Business Risk Team

ouverte
Le virus Stuxnet :
utilisait le mot de passe par dfaut des quipements Siemens
Drame du Hesel :

La scurit informatique est quelque chose de simple.

Pour ne pas tre malade, vous vous lavez les mains, avez une bonne hygine ,
mangez quilibr ...

par manque de contrles un trop grand nombre de spectateurs sans billets

Vous tes content de ne pas tre gav de mdicaments tous les matins.

assistent au match

La SSI cest la mme chose, mais cest un discours difficile entendre, tant lon nous a
rabch pendant 20 ans que les mdicaments taient la seule solution a nos maux.

11

Livre blanc

Le Top 10 des vulnrabilits par ITrust

Sur les dernires annes notre constat, est partag par dautres experts : 10 failles

Que fait la police ?

de scurit reprsentent 99% des failles et des problmes rencontres dans tout type

Bien souvent, le salut vient de la rglementation. Cest une fois quils seront

dentreprise.

obligatoires que ces contrles seront mis en place de manire systmatique. Alors
quen est-il ?

Top 1 0 de s fa ill e s da n s l e s e n tr e p ri s e s

Cest une tendance forte, de plus en plus de recommandations ou de normes de

Systmes trop verbeux

conformit vont dans ce sens. On peut citer notamment:

Mots de passe faibles

Permissions et droits

le guide dhygine sur la scurit de lANSSI l (lien .)

Confiance interdomaine

les nouvelles contraintes lies aux donnes de sant, de plus en plus de

recommandations

Base de donnes avec mot de passe par dfaut

Serveurs DNS trop verbeux

Le top 20 SANS

Partages de fichiers cononfidentiels

Protocoles non chiffrs ou mal configurs
Serveurs de dveloppement ou labandon
Vulnrabilits connues non corriges

Corrigeons en priorit ces failles et le niveau de scurit de lentreprise augmente

exponentiellement et bien mieux quavec nimporte quelle couteuse technologie.
ITrust a dvelopp sa solution Ikare sur la base de ces conclusions. Ikare monitor en
continu les failles de scurit dun systme dinformation et propose les corrections
adaptes.

Livre blanc
Le Top 10 des vulnrabilits par ITrust
Proprit exclusive ITrust

Bibliographie

Rdacteurs

[1] http://lexpansion.lexpress.fr/high-tech/
cyberguerre-comment-les-americains-ontpirate-l-elysee_361225.html

Lavesque Julien est directeur technique au sein

dITrust. Il est consultant scurit intervenant
en tant quAuditeur, expert et formateur pour
une soixantaine de clients. Ingnieur Tlcom et
scurit.

[2] http://www.cenzic.com/resources/reg-required/whitePapers/Ponemon2011/
[3] https://www.owasp.org/index.php/
Top_10_2013-T10
[4] http://www.wired.com/images_blogs/threatlevel/2012/03/Verizon-Data-Breach-Report-2012.pdf

Piotrowski Jean-Nicolas, PDG fondateur

dITrust. Il est expert scurit depuis 15 ans, ancien RSSI la BNP Arbitrage salle de march. Il
est secrtaire gnral et cofondateur du cluster
Digital Place.
Sur la base dune tude cas ralise par Denis
Ducamp, Consultant scurit.

ITrust (www.itrust.fr) est une socit dexpertise en scurit depuis 2007 qui fournit son
expertise et ses produits plus de 100 clients
europens.
Elle dveloppe la solution IKare de dtection
de vulnrabilits (www.ikare-monitoring.com).
ITrust est laurat des investissements dAvenir,
Projet SVC de scurisation du cloud et dveloppe une technologie de rupture concernant
lanalyse comportementale.
ITrust est laurat 2013 du prix de linternational
du numrique, dcern par IEclub et Ubifrance.

55 avenue lOccitane
BP 67303
31670 Labge Cedex, France
Tl: +33 (0)567.346.781
Email: sales@itrust.fr
www.itrust.fr
www.ikare-monitoring.com