Programme du cours

2 jours (14 H) | ESS-SSIRenseignez-vousCette formation vous intéresse ? 
 

Objectifs

Acquérir la maîtrise globale des concepts fondamentaux de la SSI.
Permettre aux personnes au profil non technique d’obtenir une première vision opérationnelle du fonctionnement des équipements indispensables à la SSI
Public visé : Toute personne souhaitant acquérir de bonnes méthodes pour sécuriser un système d’information : responsable de la sécurité (RSSI) de formation non technique, chef de projet et acteur d’un projet sécurité.

Participants / Pré-requis

Cette formation ne nécessite pas de pré-requis particuliers

Contenu

Introduction

Contexte, objectifs, enjeux

Risques et impacts métier

  • Perte d’exploitation
  • Chantage au déni de service
  • Usurpation de comptes clients
  • Détournement de facturation
  • Sortie d’information sensible vers la concurrence
  • Départ ou complicité de personnel stratégique
  • Atteinte à l’image
  • Fuite interne d’information RH
  • « Defacement » du site web institutionnel
  • « Phishing » (hameçonnage)
  • Risques juridiques
  • Hébergement illicite involontaire
  • Utilisation frauduleuse du SI interne et traçabilité
  • Limites du droit de l’employeur à surveiller l’activité du salarié (gestion des incidents)

Solutions de sécurité

  • rappels techniques
  • protocoles réseau (IP, TCP, UDP, ICMP, IPsec)
  • protocoles « lien » (Ethernet, ARP, 802.x, LAN, VPN, MPLS)
  • exemple de protocole applicatif : HTTP(s)
  • passerelles d’authentification

Sécurité des réseaux et firewalls (grands principes)

  • Cloisonnement et filtrage IP
    • Objectifs, enjeux et principes
    • Equipements et limites
    • Exemple d’attaque réussie (IP-spoofing sur contrôleur de domaine Windows)
  • Relayage applicatif
    • Objectifs, enjeux et principes
    • Equipements et limites
    • Exemple d’attaque réussie (contournement de filtrage d’URL)
  • Architecture sécurisée
    • Objectifs, enjeux et principes
    • Equipements et limites
    • Exemple d’attaque réussie (shell distant par un flux DNS de l’intérieur vers l’extérieur)
  • DMZ : les bonnes pratiques
    • Exemples précis de flux réseaux : matrice des flux, illustration schématique
  • Applications concrètes
    • Virtualisation
    • Datacenters
    • ToIP

Sécurité des applications

  • Attaques classiques et retour d’expérience
    • Fonctionnement des attaques Web classiques (injections SQL, XSS,CSRF)
    • Serveurs Web, SSO
    • Webservices et flux XML
    • Attaques spécifiques : recherche WSDL et énumération de méthodes,déni de service
    • Solutions de chiffrement (WS-Security)
    • Solutions de filtrage (Firewall XML)
    • Sécurité du navigateur (vulnérabilités Flash, Adobe, ActiveX)

Sécurisation

  • Gestion des droits et des accès, stockage des mots de passe
    • Exemple d’attaque réussie
  • Fédération des identités (SSO)
    • Avantage et dangers du SSO
    • Exemple d’attaque SSO
  • Bonnes pratiques de développement
  • Veille en vulnérabilité
  • Gestion des vulnérabilités techniques

Critères de choix d’une solution de sécurité

  • Panorama du marché et vocabulaire du marketing
    • Produits et services
    • Tests intrusifs et audits techniques de sécurité
  • La gestion de la sécurité dans le temps
  • Gestion des tiers (fournisseurs de service, prestataires, clients et partenaires)
  • Comprendre et utiliser un rapport de test intrusif ou d’audit technique de sécurité
  • Audits de sécurité et conformité
  • Marché de la certification en SSI (produits, services et systèmes de management)

Conclusion

 
Cette formation vous intéresse ? Renseignez-vous