Marc Frédéric Gomez

Marc Frédéric Gomez est spécialisé dans la sureté de l’information et les contraintes sécurité des prestataires externes au système d’information. Après avoir travaillé pendant 8 ans au sein du groupe CAP GEMINI, il fonde et dirige Linux Motor, multinationale spécialisée dans l’administration, la sécurité et le support aux logiciels libres. Il est ensuite nommé vice-président Services de la société MANDRAKESOFT puis rejoins l’IICRAI (Institut International de la Coordination et de la Réponse aux Attaques Informatiques) où il sera pendant 5 ans directeur de recherches en charge des menaces intérieures au système d’information. Directeur général Europe de l’opérateur / hébergeur CTN1 jusqu’en 2009, il fonde ensuite le cabinet de conseil MG Consultants et se spécialise dans les domaines de l’infrastructure et l'accompagnement aux projets PCI DSS.

PCI DSS – Guide de durcissement SSH

La majorité des systèmes d’informations hébergent des systèmes dit Open (Unix, Unix-Like) et la méthode d’administration se fait via (Open)SSH. Un excellent protocole chiffré qui permet d’avoir accès à son serveur de façon sécurisé si on respecte quelques règles de bases. Pour PCI DSS, l’auditeur vérifiera que les serveurs SSH installés soient bien conformes à la…

PCI DSS – Guide de durcissement Apache

Suite à notre mise en conformité PCI DSS, je vous propose le guide de durcissement suivant sur le composant Apache hébergé sur un socle Linux. Ce billet permet de durcir votre composant à un niveau acceptable. N’oublions pas que le durcissement dépend énormément de la surface d’attaque que l’on souhaite exposer et surtout de la…

PCI DSS Conservation des preuves

Lors de notre audit PCI DSS, les QSA vont prendre un certains nombres de preuves confidentielles de l’entreprise. Cette obligation de communiquer les preuves aux formats électroniques posent bien entendu les problèmes de confidentialité ainsi que la façon dont celles-ci  vont être sauvegardés.

PCI DSS – Guide de durcissement MySQL

Durcir son serveur Mysql en 6 étapesDans la continuité de notre certification, nous constatons que le durcissement des composants des bases de données Open Source soulève des difficultés aux équipes de prod. MySQL n’échappe pas à la règle. Il faut durcir ce composant tout en permettant la continuité de la production. Ce guide de durcissement…

PCI DSS – Guide de durcissement PostFix

Durcissement du composant Postfix pour répondre aux exigencesLe durcissement des composants Open Source est aussi une obligation dans une démarche PCI DSS. Je vous propose ce billet pour commencer votre guide de durcissement (Hardening) pour le composant Postfix (SMTP). Ce billet est à destination des équipes techniques et responsables de ceux-ci. Il arrive qu’une solution…

PCI DSS – Durcissement des services réseaux Linux Ubuntu

Le guide de durcissement d’un système  Linux peut contenir plusieurs centaines de pages suivant l’exposition de celui-ci aux risques. Je vais aborder le durcissement de son serveur Linux en quelques minutes du coté des services réseaux. Attention cela ne vous dispense pas de faire le reste (WAF, Patch Management, Anti-virus….). Avant de modifier votre configuration,…