Sécurité des Systèmes d'Information

Objectifs et présentation


Acquérir des connaissances en matière de sécurité des systèmes
d''information. Cette formation présente les techniques nécessaires pour sécuriser un système d''information et mettre en place une application sécurisée, par exemple, de type intranet/internet. Elle aborde également la problématique des attaques logiques, notamment sur site web et de la sécurisation des postes de travail en entreprise ou au domicile.



Responsable


Thierry BARITAUD

Responsable Sécurité des Services et Réseaux à France Télécom R&D (Orange Labs).


Participants et prérequis

Toute personne particulièrement intéressée par la sécurité des systèmes d''information.

Une bonne connaissance des principes de base de la sécurité permet de tirer un meilleur parti de cette formation.



Programme


Politique de sécurité de l''information, sensibilité et criticité

• Besoins, services et mécanismes de sécurité
• Évaluation de la sécurité, méthodes EBIOS, Mehari, CC
• Certification des produits, des organisations, des personnes

Contextes juridique, réglementaire et normatif

• Loi sur la fraude informatique et sur le droit d''auteur
• CNIL et informations nominatives
• ISO 2700x, ISMS, SSECMM

Techniques logiques et cryptographie

• Historique et présentation du contexte
• Techniques biométriques
• Techniques cryptographiques
• Systèmes à clés secrète et publique
• Algorithmes et taille des clés
• Mise en OEuvre au sein de service d''authentification, de chiffrement et de signature électronique

Infrastructures à clés publiques

• Gestion de clés publiques
• Certificats, autorités de certification et infrastructures à clés publiques (PKI)
• Exemples d''applications
• Intranet/Internet sécurisés (SSO, applications client-serveur, téléprocédures, messagerie sécurisée)
• Organisation de la sécurité d''un système d''information
• Gestion des identités et SSO

Attaques logiques

• Gestion de mots de passe
• Démonstrations d''outils de crackage de mots de passe
• Virus, vers, chevaux de Troie
• Classifications, exemples connus, modes de propagation (binaires, messagerie, macro), faux virus (hoax et spam)
• Principes de fonctionnement des antivirus et exemples de produits
• Attaques logiques sur sites web (script CGI)

Supports physiques

• Cartes à puce, Ikey, ActivCard
• Principes de fonctionnement
• Déploiement, précautions supplémentaires et cycle de vie
• Exemples dans des applications SI sécurisées

Sécurité des postes de travail

• Sécurité des PC, PDA
• Systèmes d''exploitation sécurisés, Unix, Windows
• Pare-feux personnels

Problème de sécurité réseaux


· Pare-feux et DMZ

• Audits de sécurité

Sécurité des applications Web

• Vulnérabilités et attaques sur les applications web (interprétation des URL, mauvais contrôle des données entrées par l''utilisateur, injection de code SQL, attaques sur les identifiants de session, cross site scripting, autres attaques)
• Illustration de la démarche d''Information gathering (prise d''information lors d''un piratage / audit intrusif)
• Démonstration de scanners de ports/reconnaissance d''OS à distance
• Exemple d''outil technique d''audit Open Source : NESSUS
• Règles de sécurité internet
• Composants d''une architecture de sécurité
• Construire un site web sécurisé
• Application à la mise en place d''un SI d''entreprise sécurisé

Synthèse et conclusion