ZTNA : Entre promesses et réalités

dans Review
Table des matières Introduction Contexte et fondements du modèle Zero Trust Avantages du modèle Zero Trust Inconvénients et risques potentiels Conclusion Introduction Face à l’évolution constante des technologies et à la multiplication des menaces, la sécurité de l’information ne peut plus reposer sur des périmètres figés. L’approche Zero Trust, ou ZTNA (Zero Trust Network Access), s’impose comme une réponse innovante aux défis posés par la digitalisation et le télétravail. Fort de l’analyse d’ANSSI publiée en avril 2021, cet article explore en profondeur les atouts et les limites de ce modèle.

Continuer

La réponse à incidents

dans Web, Browser
Dans ce troisième article de notre boîte à outils GRC, nous allons nous concentrer sur la gestion des incidents de sécurité au sein des organisations. Sujet crucial, car une réponse efficace aux incidents peut faire la différence entre une perturbation mineure et une catastrophe majeure. Cet article explore différentes stratégies pour améliorer la réponse aux incidents et renforcer la résilience de l’entreprise face aux menaces cybernétiques. Pourquoi la Réponse aux Incidents est-elle Cruciale ?

Continuer

XS-Leaks: An Inherent Vulnerability Class in the Web Platform

dans Web, Browser
This article serves as an introduction to XS-Leaks, breaking down how it works, the common attack techniques and the essential defense strategies. Note: While XS-Leaks might sound abstract, they have real-world impact. Major platforms like Google, Facebook, and online banking services have all had to adapt their security measures to protect against these attacks. XS-Leaks (Cross-Site Leaks) are a class of web vulnerabilities that exploit side-channels in the web platform to gather information about users.

Continuer

Virtual Machine based obfuscation: An Overview

dans Research
Virtual Machine based Obfuscation: An Overview An introduction and overview to what are VM-based obfuscation, with a particular focus on design philosophy and future research. Virtual Machine-based (VM-based) obfuscation is a technique in the field of software security focused on altering the readability and structure of code to protect it from analysis. This approach involves modifying straightforward, executable code into a format that mimics the instruction set of a given CPU, making it difficult for anyone to reverse engineer the software.

Continuer

Code of the Week #7: Asymmetrical Integer

dans Code review
Welcome back to “Code of the Week,” where we explore the often hidden and subtle vulnerabilities in our codebases. This week, we’re tackling an issue in C programming that arises from the nuanced behavior of signed integers. The code The challenge is to identify the vulnerability in the following C function, which reads data from a network socket: #define MAX_PACKET 1024 char *read_data(int sockfd) { char buf[MAX_PACKET]; int length = network_get_int(sockfd); if(length < 0) length *= -1; if(length >= MAX_PACKET) exit(-1); if(read(sockfd, buf, length) <= 0) exit(-1); /* .

Continuer

La sensibilisation à la sécurité IT, un pilier essentiel

dans GRC
Introduction Dans ce troisième article de notre boite à outil GRC, nous allons faire un focus sur la sensibilisation du personnel à la sécurité de l’information. Sujet complexe, tant les mesures de sécurité peuvent facilement être vues comme des contraintes de production dans l’activité de tous les jours. Cet article explore différentes stratégies pour sensibiliser les employés et renforcer la culture de sécurité au sein de l’entreprise. Pourquoi la sensibilisation à la cybersécurité est-elle cruciale ?

Continuer

Code of the Week #6: A Free Race

dans Code review
Welcome back to “Code of the Week,” where we uncover subtle yet impactful vulnerabilities in our codebases. This week, we’re diving into a tricky issue in Rust that revolves around object lifetimes and unsafe code. The code The task is to identify the vulnerability in the following Rust function, which signs data using a cryptographic function: pub fn sign(data: Option<&[u8]>) { let p = match data { Some(data) => BioSlice::new(data).as_ptr(), None => std::ptr::null_mut(), }; unsafe { let cms = cvt_p(CMS_sign(p)); // Further processing.

Continuer

Hackcyom est une entreprise de conseil en cybersécurité et secure cloud computing.

Hackcyom est une société d’expertise en sécurité de l’information financée par des fonds privés et indépendante, basée à Paris, en France. Grâce à notre expertise et à nos méthodologies, nous offrons des services de conseil, d’audit, d’ingénierie et d’innovation en cybersécurité hautement qualifiés. Nous sommes fiers de nous spécialiser dans des projets de sécurité de l’information très complexes nécessitant expertise et tact. L’une de nos spécialisations aide les opérateurs cloud à concevoir et sécuriser leurs services et infrastructures. En France, Hackcyom est le leader dans le domaine de niche du conseil sur la sécurité de l’information des clouds souverains (qualifiés ou candidats à la qualification SecNumCloud). Nous intervenons aussi sur le conseil sur d’autres qualification comme PAMS, PDIS, ISO27001, NIS2, DORA, etc. Hackcyom fournit également services d’audit, des tests d’intrusion, une analyse des risques (EBIOS Risk Manager), du conseil et de l’assistance en ingénierie sécurisée, du conseil SDLC, du conseil en gestion du chiffrement, etc. Hackcyom se prononce comme “axiome”, le terme mathématique parce que nous aimerions que nos clients travaillent et se concentrent sur leurs métiers en considérant leur sécurité de l’information acquise grâce à nous.


10 rue de la Paix, 75002 Paris