Comment installer le portail CVE-SEARCH sous Ubuntu 20.04 LTSIntroduction CVE-SEARCH est un outil qui permet d’importer les CVE (Commun Vulnerabilities and Exposures) ainsi que les CPE (Common Platforme Enumeration) au sein d’une base de données MongoDB accessible via votre navigateur. L’objectif du projet était de permettre de consulter en local les bases de données publiques…
Guide d’utilisation et standards d’usages de la classification TLPDepuis quelques mois, j’utilise un système de diffusion des documents dans le domaine de la CyberSécurité qui complète de façon pragmatique les différentes politiques de sécurité en œuvre au sein des entreprises où j’interviens. Le Traffic Light Protocol ou plus communément le TLP. Cet article s’appuie sur le…
Rappel pour sauvegarder une règle UFW sur une interface réseau. ufw allow in on eth1 to port 80 proto tcp
Conseils pour permettre l’intervention d’un consultant sécurité certifié PCI ForensicJe termine ma trilogie sur les prestataires de sécurité PCI par ces recommandations qui tiennent du bon sens et on une forte influence sur l’intervention du consultant dans un environnement compromis ou suspecté de l’être. Il est parfois surprenant de constater que la demande de l’auditeur…
Bests practices pour choisir le bon prestataire de sécurité PCI ForensicSuite à mon billet sur le plan de réponse aux incidents, je vous propose de détailler le choix d’un prestataire de sécurité d’investigation dans le domaine de la donnée carte. Dans le terme anglo-saxon, nous allons parler de FIC (Payment Card Industry Forensic Investigator, c’est…
Comment le PCI SSC nous demande de répondre à un incident de sécuritéDepuis quelques années maintenant, nous voyons dans la presse des incidents de sécurité qui sortent dans les médias. Je me suis posé la question « suis je bien préparé pour répondre dans le cas de PCI ? » Bien sur, lors des audits nous avons…
Un succès collectif et une confirmation du travail effectué par tous…et puis je suis aussi hyper fier par rapport au succès collectif en tant que Responsable PCI DSS !
L’arnaque au saut du lit…Il m’est arrivé ce matin à la maison entre le café et les œufs brouillés un appel du support téléphonique de Microsoft en mauvais anglais me signalant un PC infecté chez moi… Après une présentation, ce charmant technicien me demande de vérifier mon PC. Je lui explique que je dispose d’un parc de plusieurs…
Une oops list pour maintenir sa conformité PCI DSS 3.1Certain pense qu’obtenir la certification PCI DSS est le saint Graal mais ils vont comprendre rapidement qu’il faut maintenir cette conformité/Certification par des contrôles strictes et draconiens sous peine de la perdre 12 mois plus tard. Je vous propose un document qui vous servira de oops…
Le PCI Council met à jour le standard PA-DSS pour coller à PCI DSS 3.1. Le 1er Juin 2015, le PCI Council a annoncé la dernière version du standard PA-DSS. Les standards PCI DSS et PA-DSS sont maintenant sur la branche 3.1. Je vous propose de balayer les nouveautés sur ce standard. Pour rappel une…
