VPN nomade, la solution de connexion de vos nomades au réseau d'entreprise

Dimension: px
Commencer à balayer dès la page:

Download "VPN nomade, la solution de connexion de vos nomades au réseau d'entreprise"

Transcription

1

2

3

4

5 Nov IT VPN nomade, la solution de connexion de vos nomades au réseau d'entreprise Nov'IT souhaite permettre aux télétravailleurs ainsi qu'aux nomades d'accéder aux données du réseau d'entreprise de façon sécurisée et fiable. Pour ce faire, Nov'IT propose la solution Roaming VPN Access (RVA), service universel de ralliement des télétravailleurs et des nomades aux systèmes d'informations des entreprises. Reposant sur une connexion Internet, le RVA permet, quelque soit l'opérateur, la technologie d'accès et le type de service proposé, de joindre le service d'interconnexion (réseau privé virtuel de l'entreprise - VPN IP) opéré par Nov'IT et ce de façon sécurisée. Description La solution Roaming VPN Access consiste à raccorder le travailleur nomade aux données se trouvant sur le réseau privé de l'entreprise et ensuite à transporter, de manière sécurisée, ces données vers son poste, lui permettant ainsi de travailler d'où il le souhaite grâce à la technologie qu'il désire : ADSL, Wifi, 3G, Edge... Cette solution est adaptée à tous profils de nomade : régulier ou occasionnel, en France ou à l'étranger,... Les avantages de la solution Roaming VPN Access

6 Un service sécurisé Un Service sécurisé et une QoS maîtrisée : le service repose sur un mécanisme de chiffrement SSL et d'authentification PKI X509. Grâce à l'attribution d'un identifiant unique, il s'intègre parfaitement dans une politique de sécurité et une infrastructure à forte Qualité de Service (QoS). Une mise en service rapide Il vous suffit d'envoyer un à votre correspondant Nov'IT et sous 72 heures, vous avez accès à votre identifiant, votre mot de passe, votre certificat X509 et ce, bien sûr, de façon complètement sécurisée. Pour clôturer un accès, notre équipe d'astreinte est à votre disposition. Une garantie de temps de résiliation de 2 heures ouvrées est assurée. En option, une garantie de résiliation de 2 heures en 24/7 est proposée.

7 Bull Direct N 42 I Décembre Janvier 2010 ÉDITORIAL TRIBUNE TEMPS FORTS SUCCÈS INVITÉ DU MOIS PAROLE D EXPERTS SOLUTIONS AGENDA SÉCURITÉ Infrastructure de gestion des clés : créer les conditions de la confiance Dans un monde ouvert, où les échanges se multiplient avec des interlocuteurs distants et inconnus, et où la mobilité dilue les frontières du système d information, la capacité à identifier de façon certaine l auteur d un message, d une transaction ou d un document devient fondamentale. Les infrastructures de gestion de clés (IGC ou PKI pour Public Key Infrastructure) présentent à cet effet un grand intérêt car elles sont à la fois souples et rigoureuses, reconnues par tous les acteurs et susceptibles d être mises en œuvre à tous les niveaux de l infrastructure. Avec l IGC, on dispose ainsi d une application unique permettant de mettre en œuvre une politique de sécurité centralisée et de gérer de manière cohérente l ensemble des identités (clés et certificats) diffusé dans le système d information étendu. PAR PIERRE-JEAN AUBOURG, RESPONSABLE DE L ENTITÉ MONÉTIQUE ET PKI DE BULL Après cinq ans passés chez SYSECA, filiale service du groupe Thomson (devenu Thales), Pierre-Jean Aubourg rejoint Bull Ingénierie pour prendre en charge des projets de messagerie électronique. Il participe à ses premiers projets de sécurité en 2001 et devient responsable de l entité Monétique et PKI au sein de l unité Sécurité de Bull. À ce titre, il est en charge du développement des activités de service dans ces domaines et du développement de MetaPKI, solution de PKI (ou d IGC) de Bull. Pierre-Jean Aubourg a un DESS en électronique et informatique industrielle et est également diplômé de l École des Techniques du Génie Logiciel. Fondée sur les principes de la cryptographique asymétrique à base de couples de clés publiques et privées (norme X.509), une IGC fabrique des certificats électroniques, véritables «cartes d identité numériques», qui établissent un lien irréfutable entre un utilisateur du système d information et une personne physique. Ces certificats, qui peuvent également être attribués à des éléments matériels (ordinateurs, routeurs ) ou logiciels (applications, applets ), permettent la mise en œuvre entre ces entités de fonctions de sécurité (chiffrement, authentification, signature électronique, intégrité, non répudiation ) dans une confiance mutuelle. Un projet d IGC est donc un projet sensible. De même qu il existe dans la sphère publique des autorités chargées de protéger le respect des identités et des personnes, à l image de la CNIL en France, une autorité de certification (AC) prend en charge l IGC avec pour mission de garantir la sécurité des dispositions techniques et non techniques du dispositif, qui concerne potentiellement chaque «citoyen» de l organisation. La capacité de cette autorité à prouver aux parties prenantes que la solution retenue est adaptée, documentée et appliquée est donc fondamentale. Lorsqu on a confiance dans l IGC, on a confiance dans les éléments du système d information qu elle est chargée de sécuriser. Pour y parvenir, le projet d IGC ne doit pas se résumer à son volet technique et prendre en compte plusieurs aspects complémentaires : les aspects organisationnels ; les aspects fonctionnels ; les aspects documentaires spécifiques ; les aspects d accompagnement du changement et de formation ; les aspects réglementaires et juridiques. 1. Les aspects organisationnels Afin de produire des identités sûres, objectif premier de l IGC, il convient de mettre en place une organisation cohérente et efficace, permettant de collecter et de contrôler les informations personnelles nécessaires. Pour cela, le projet doit s appuyer sur l organisation existante et tenir compte du rôle et des habitudes de chaque entité. L état de l art stipule la nécessité d un face-à-face avant de délivrer un certificat électronique. Ce recueil d information est une opération simple, mais qui nécessite de la proximité. La meilleure solution est de passer par l organisation en place, par exemple via le correspondant RH, le responsable des badges ou le correspondant informatique. Le choix du bon opérateur en fonction des données que l on souhaite collecter apporte aussi l assurance que l éthique et la discrétion nécessaires seront respectées. Un autre aspect organisationnel concerne la prise en compte des cas d erreur et du support aux utilisateurs. Il est important de pouvoir garantir à ces derniers qu ils auront à tout moment la possibilité d accéder à leur environnement de travail, y compris, par exemple, en cas d oubli ou de blocage de la carte à puce porteuse du certificat. Cette assurance est essentielle lorsque le certificat est utilisé pour des applications page 11

8 Bull Direct N 42 I Décembre Janvier 2010 ÉDITORIAL TRIBUNE TEMPS FORTS SUCCÈS INVITÉ DU MOIS PAROLE D EXPERTS SOLUTIONS AGENDA (SUITE) sensibles ou à usage fréquent (messagerie, authentification primaire sur le poste de travail ). En outre, il faut absolument prévoir l organisation à mobiliser au cas où le porteur oublierait sa carte (ou sa clé USB cryptographique) ou la bloquerait suite à la saisie de plusieurs codes PIN erronés (cas fréquent lors des retours de vacances). Ce peut être une procédure automatisée, à réaliser par le porteur sur la base d informations connues de lui seul, ou manuelle, avec l intervention d un correspondant sécurité. La définition des responsabilités pour la validation des demandes de certificats ou, plus sensible encore, pour le contrôle des clés de l AC constitue également un enjeu organisationnel important. 2. Les aspects fonctionnels Par fonctionnalités de l IGC, on entend l ensemble des caractéristiques du processus de gestion du cycle de vie des certificats : création, émission, utilisation, modification, renouvellement, révocation Un des points cruciaux à ce stade est de conduire une étude approfondie destinée à envisager tous les cas d utilisation possibles de l IGC. Celle-ci est en effet généralement déployée pour sécuriser une application ou un système particulier, mais sa souplesse et son universalité la prédisposent à être étendue à d autres éléments du SI. Cependant, ces évolutions seront d autant plus aisées qu elles auront été envisagées en amont car les étapes du cycle de vie sont interdépendantes et, en fonction du niveau de sécurité attendu, la création ou la modification d un usage peut remettre en cause tout l équilibre de l édifice. Or la robustesse et la clarté du système sont des gages essentiels de confiance pour les utilisateurs. Plusieurs points méritent une attention particulière : l usage des certificats ; l organisation retenue ; le système d information. On distingue deux grandes familles de certificats aux traitements très différents : les certificats d authentification et de signature, qui doivent rester sous le contrôle exclusif de leur propriétaire, et les certificats de chiffrement, qui nécessitent pour l organisme qui les produit la mise en place d une capacité de sauvegarde et de restitution, notamment pour pouvoir répondre à des obligations légales de déchiffrement. La génération des certificats d authentification et de signature devra donc se faire au plus près du porteur, dans sa carte à puce ou dans le navigateur de son poste de travail, de manière à éliminer tout risque de copie et garantir la privauté de la clé, garante de sa signature! Les certificats de chiffrement, au contraire, doivent être générés au niveau central pour qu une copie puisse être réalisée de façon sûre (fonction de séquestre). Cette copie permettra à l utilisateur qui perd sa clé privée de la retrouver et surtout de récupérer les données qu elle aura servi à chiffrer (fonction de recouvrement). Bien que la plupart des solutions techniques d IGC supporte ces deux fonctions, leur niveau de sécurité ainsi que leur facilité de mise en œuvre varie fortement. L identification des profils de certificats à produire et des usages autorisés permet donc de spécifier correctement l IGC et d éviter bien des écueils : méfiance des utilisateurs, pertes de données, impossibilité de répondre aux enquêtes L organisation retenue a également des impacts directs sur les fonctionnalités de l IGC. Par exemple, si on choisit un système automatisé pour le déblocage des cartes à puce, il faut sécuriser cette fonction pour s assurer que seul le porteur pourra activer ce processus. La solution devra donc prévoir une méthode d authentification secondaire. Il en découle d autres conséquences fonctionnelles, notamment au niveau de l enregistrement initial (il faudra des informations personnelles complémentaires) et/ou du processus de délivrance du certificat (il faudra accompagner la production du certificat de l envoi d un code de déblocage). La disponibilité des services de l IGC est un autre sujet à la frontière de l organisationnel et du fonctionnel. Alors qu il est communément admis que la disponibilité de la fonction de production des certificats n est pas critique à modérer en fonction des usages la disponibilité de la fonction de révocation est fondamentale car elle conditionne la sécurité des applications utilisatrices. Un porteur doit pouvoir demander la révocation de son certificat à tout instant afin d en interdire immédiatement l usage (mise sur «liste noire», ou liste de révocation). Dans le RGS, le référentiel général de sécurité édité par l Administration française, la disponibilité de la fonction de révocation est ainsi un critère de qualité important pour classifier le niveau d un certificat, d une à trois étoiles. Enfin, la réflexion sur les fonctionnalités de l IGC doit impérativement prendre en compte l environnement SI existant. En particulier, l existence et l utilisation du référentiel d entreprise (annuaire) est une préoccupation constante des projets d IGC. En entrée, on s appuiera dans certains cas sur l annuaire d entreprise pour alimenter le processus d enregistrement des porteurs et éviter ainsi la ressaisie d informations. En sortie, l IGC pourra publier dans l annuaire les certificats qu elle produit et les listes de révocation. 3. Les aspects documentaires Le corpus documentaire qui accompagne l IGC est fondamental pour instaurer la confiance. Il décrit l ensemble des dispositions de l IGC. Il s adresse à toutes les populations concernées par l IGC : utilisateurs, exploitants, auditeurs En charge de l IGC, l AC est responsable de l établissement, de la maintenance et de l exécution de cet ensemble documentaire, qui comprend quatre documents principaux. La politique de certification (PC) est le document fondateur de l IGC. La PC explicite la gouvernance de l infrastructure ainsi que l ensemble des exigences organisationnelles, techniques et non techniques permettant de garantir la sécurité de l IGC et l exactitude des identités. L état de l art préconise une PC pour chaque type de certificat. page 12

9 Bull Direct N 42 I Décembre Janvier 2010 ÉDITORIAL TRIBUNE TEMPS FORTS SUCCÈS INVITÉ DU MOIS PAROLE D EXPERTS SOLUTIONS AGENDA (SUITE) La déclaration des pratiques de certification (DPC) rassemble toutes les procédures et les actions visant à garantir les conditions d exploitation de l infrastructure. De toutes natures, les sujets abordés concernent les procédures d habilitation du personnel, les conditions d accès physique aux bâtiments, les procédures de sauvegarde des données, la sécurité des réseaux La DPC permet de garantir globalement la sécurité de l IGC. Le document de cérémonie des clés détaille les conditions et précise les actions à réaliser lors de la cérémonie des clés. Cette cérémonie correspond à la mise en production de l IGC, c est-à-dire la génération de la bi-clé de l autorité de certification (AC) et sa mise en service pour permettre la production des certificats. Désormais, l AC est identifiée par son propre certificat, dont la clé privée lui sert à signer électroniquement les certificats qu elle produit. Les conditions générales d utilisation (CGU) est un document destiné aux utilisateurs de l IGC, c est-à-dire les porteurs de certificat. Il précise les modalités d utilisation des certificats. Ce document sensibilise aussi le porteur à l indispensable protection du dispositif de stockage du certificat et détaille les modes opératoires ou les contacts en cas de problème. 4. L accompagnement du changement et la formation C est l un des points cruciaux des projets d IGC. Idéalement, une formation doit être dispensée à toutes les populations concernées. Les administrateurs et exploitants de la solution seront formés à l outil informatique et aux conditions d exploitation décrites dans la DPC. Les opérateurs (chargés du recueil des informations, du support de premier niveau ) constituent la cible prioritaire car ils sont les garants de l exactitude des informations recueillies et le visage de l IGC : pour les utilisateurs, avoir confiance dans le dispositif, c est d abord avoir confiance en eux. Et de leur formation découlera leur efficacité et leur légitimité. Enfin, les utilisateurs doivent être sensibilisés aux bénéfices mais aussi aux exigences de l IGC au moyen d une communication adéquate, adaptée à la culture et aux usages de l organisation. En l absence d accompagnement, le risque est grand de voir se multiplier les mauvaises manipulations et s installer une défiance envers un «flicage» ou une «dérive sécuritaire». Par exemple, lorsqu on souhaite activer la fonction «smart card login» de Windows pour sécuriser la connexion au poste de travail, l usage du certificat électronique devient obligatoire pour tous les utilisateurs du SI. Un tel déploiement nécessite un large plan de communication afin de préparer et former les collaborateurs aux changements. On insistera sur les apports individuels et collectifs de cette technologie : souligner que le poste de travail ne pourra plus être utilisé à l insu de son propriétaire, qu un code PIN à quatre chiffres remplacera un mot de passe compliqué qu il faut de plus changer fréquemment 5. Les aspects réglementaires et juridiques La dimension réglementaire et juridique doit être prise en compte en fonction du contexte de mise en œuvre de l IGC. L utilisation de moyens cryptographiques est soumise à des contraintes juridiques particulières. Cette préoccupation est renforcée lorsqu interviennent des opérations de chiffrement. Si la vente de certificats électroniques est envisagée, l autorité de certification délimitera clairement sa responsabilité. Enfin, le respect de l identité devra également être considéré et, le cas échéant, un dossier sera déposé auprès des autorités (la CNIL en France). Pour les projets dans le secteur public en France, l aspect réglementaire sera notamment abordé au travers des normes édictées par le RGS (référentiel général de sécurité). La conformité de l IGC au RGS doit être validée par un audit externe. Si l organisation souhaite être rattachée à l IGC Racine de l Administration française (IGC/A), et qu elle entre dans son champ d application, il lui faudra se rapprocher de l ANSSI (ex-dcssi) pour s assurer que la PC de son IGC est compatible avec celle de l IGC/A. Conclusion L examen des divers points à traiter lors de la mise en œuvre d une IGC montre la diversité des compétences nécessaires, au-delà des seuls aspects techniques. Identifier l organisation à mettre en place, conduire le changement et tenir compte des impacts juridiques sont des facteurs-clés du succès du projet et de l acceptation de la solution par l ensemble des parties prenantes : porteurs, mais aussi direction, opérateurs, chargés d exploitation Grâce à une vingtaine de projets conduits ces dernières années dans des contextes très variés, Bull bénéficie d une réelle expérience sur chacun de ces points et sur la façon de les aborder de manière globale, cohérente et méthodique. Bull est ainsi en mesure d accompagner de bout en bout les organisations afin de mettre en place une infrastructure de gestion de clés et d en faire une infrastructure de confiance. page 13

10 Mémentos > Infrastructures de gestion de clés Le besoin Dans le cadre du développement des échanges électroniques, comment reconnaître les interlocuteurs et leur faire confiance s il n est pas possible de les voir, de les entendre ni même de recevoir leur signature? Comment préserver le secret des échanges sans recourir à des enveloppes fermées ou des appels téléphoniques chiffrés? Comment être assuré que le destinataire a reçu le message intact et soit sûr de son origine? Une IGC offre un environnement de confiance, ainsi qu un ensemble de garanties et de services relatifs à la gestion des clés et de leurs certificats. On retient deux opérations communes à toutes les IGC : la certification est l ensemble des services qui permettent d associer une clé publique à un individu, une organisation ou une autre entité. Ce lien peut être étendu à la relation entre une clé, son porteur, et un rôle, un droit, une permission ou un statut. La certification est une démarche de délivrance d un document électronique permettant d établir une relation entre une clé publique et son propriétaire ou porteur (une personne physique, une application, un site, etc.) appelé certificat ; la validation est l ensemble des services visant à vérifier le statut d un certificat pour s assurer qu il est toujours valide et conforme à une politique de sécurité. Cette démarche se résume à une question posée par l utilisateur à l IGC qui doit d être en mesure d y répondre avec assurance. Une IGC assure les services suivants : la gestion de la génération et de la distribution des clés ; le renouvellement et la révocation des certificats ; la publication des certificats valides ou révoqués. Afin d assurer ces services, l IGC s appuie sur une structure à la fois technique et organisationnelle permettant d établir la confiance entre des entités, des organisations, des hommes. Les applications clientes d une IGC sont nombreuses. La technologie de cryptographie à clés publiques peut être utilisée pour apporter une sécurisation des échanges sur l internet, mais également pour offrir ce type de services de sécurité au sein des réseaux Intranet des services publics ou gouvernementaux, ou de grandes entreprises. Ces services sont principalement la sécurisation des : communications entre serveurs et navigateurs ; accès à des bases de données ; accès à des réseaux privés virtuels (VPN) ; échanges de messages électroniques ; procédures administratives en ligne (déclaration d impôt sur le revenu, déclarations à la sécurité sociale, dématérialisation des procédures administratives des mairies, etc.) ; procédures avec horodatage (enregistrement devant notaire, etc.). Principaux objets manipulés Bi-clé : un bi-clé est un couple composé d une clé privée (devant être conservée secrète) et d une clé publique, nécessaire à la mise en œuvre d une prestation de cryptologie basée sur des algorithmes asymétriques. Quatre types de bi-clés interviennent dans une infrastructure de gestion de clés : les bi-clés d intégrité, dont la clé privée est utilisée à des fins de contrôle d accès, non-répudiation ou signature, et la clé publique à des fins de vérification ; les bi-clés de certification, sont nécessaires au fonctionnement d une IGC ; les bi-clés de confidentialité, grâce auxquels des messages ou des données sont protégés en confidentialité ; les bi-clés d échange de clés qui permettent de transporter les clés (symétriques ou asymétriques). Certificat : un certificat contient des informations telles que : l identité du porteur de certificat ; la clé publique du porteur de certificat ; la durée de vie du certificat ; l identité de l autorité de certification qui l a émis ;

11 la signature de l AC qui l a émis. Ces informations sont rendues infalsifiables par signature avec la clé privée de l autorité de certification qui l a délivré. Un format standard de certificat est normalisé dans la recommandation X.509v3. Déclaration des Pratiques de Certification (DPC) : énoncé des procédures et pratiques effectivement appliquées par une IGC pour la gestion des certificats. Infrastructure de gestion de clés (IGC) : ensemble organisé de composantes fournissant divers types de prestations dans le but de préparer des opérations effectuées au moyen de clés publiques au profit d utilisateurs. Politique de certification (PC) : ensemble de règles, identifié par un nom, qui définit le type d applications auxquelles un certificat est adapté ou dédié. La PC décrit les mesures compensatoires, les besoins opérationnels, les contrôles de sécurité physique, les procédures ainsi que les contrôles techniques de sécurité. Les politiques comportent également une description des profils des certificats et des listes de certificats révoqués. Service de publication : service rendant disponible les certificats de clés publiques émis par une AC, à l ensemble des utilisateurs potentiels de ces certificats. Il publie une liste de certificats reconnus comme valides et une liste de certificats révoqués (CRL ). Ce service peut être rendu par un annuaire (par exemple, de type X.500), un serveur internet, une application de messagerie ou encore manuellement. Les acteurs majeurs Administrateur : l administrateur met en œuvre les politiques de certification et déclarations des pratiques de certification de l IGC au sein de la composante qu il administre. Il est responsable de l ensemble des services rendus par cette composante. Autorité administrative (AA) : Autorité responsable de l IGC et possédant un pouvoir décisionnaire au sein de celle-ci. Elle définit et fait appliquer les politiques de certification et les déclarations des pratiques de certification par l IGC. Autorité de certification (AC) : autorité chargée par un ou plusieurs utilisateurs de créer et d attribuer les certificats. Cette autorité peut, de façon facultative, créer les clés d utilisateur. Autorité de certification racine (ACR) : AC prise comme référence par une communauté d utilisateurs (incluant d autres AC). Elle est un élément essentiel de la confiance qui peut être accordée à toute l IGC car elle est le point de convergence des chemins de certification. Autorité d enregistrement (AE) : composante de l IGC qui vérifie les données propres au demandeur ou au porteur de certificat ainsi que les contraintes liées à l usage d un certificat, conformément à la politique de certification. L AE est une composante optionnelle de l IGC qui dépend directement d au moins une autorité de certification. Autorité d horodatage (AH) : composante de l IGC qui délivre et signe des contremarques de temps sur des données qui lui sont présentées. Utilisateur final (UF) : Toute entité (personne physique, personne morale ou technologie de l information) détenant un certificat de clé publique généré par une composante de l IGC. L utilisateur final est appelé demandeur de certificat lorsqu il effectue une demande de certificat auprès d une AE. Il est appelé porteur de certificat dès l instant où il dispose d un certificat émis par l IGC. Un utilisateur final ne peut émettre de certificat pour le compte d autres entités (composantes ou utilisateurs finaux). Article Précédent Lire la suite RÉPUBLIQUE FRANÇAISE SGDSN ANSSI 2011 Informations éditeur

12 Document 4

13

14

15

16

17

18

19

20

21 Les nouveaux services de messagerie électronique - Trustedbird

22 Les nouveaux services de messagerie électronique - Trustedbird

23 Les nouveaux services de messagerie électronique - Trustedbird

24 Les nouveaux services de messagerie électronique - Trustedbird

25 ios et Android immatures pour les entreprises "La sécurité défaillante des systèmes Android et ios révèle à quel point ils ont été conçus pour le grand public et non pour les entreprises", remarque Thomas Houdy, manager Lexsi qui organise régulièrement des ateliers sur ce sujet. C'est aussi l'une des conclusions saillantes d'un récent rapport Symantec, qui compare la sécurité de ces deux OS. Le bilan est sans appel, et il est encore plus sévère pour la plateforme Android. Laxisme, Trojan et vulnérabilités 0 day pour Android. Le système d'android accueille de manière bien plus laxiste les applications tierces que celui d'apple. L'OS de Google permet facilement aux attaquants, comme le souligne le rapport Symantec de "diffuser anonymement des malwares". Véritables trojans ("Pjapps" ou "Geinimi", ou encore Soundminer voire une variante de Zeus), faux lecteur de média ("Fakeplayer") envoyant des SMS surtaxés... De nombreux logiciels malveillants se sont déjà installés sur un nombre considérable de terminaux Android. Certains se sont notamment fait passer pour des applications légitimes, développées par de soi disant banques par exemple, ce qui leur a permis d'envoyer aux pirates des informations sensibles. L'étude Symantec s'attarde sur le malware "Rootcager", parfois aussi appelé "DroidDream", qui a exploité deux vulnérabilités de l'os Google pour obtenir les droits les élevés sur le terminal. "Or, ces deux vulnérabilité ont été corrigées dans la version Android 2.3 alors que la plupart des terminaux Android tournent aujourd'hui encore sous la version 2.2 de l'os", fait remarquer l'étude Symantec. A ses yeux, seuls les Blackberry, et leur BlackBerry Enterprises Server, ont nativement été conçus pour répondre aux exigences des DSI et surtout des RSSI : la protection des données embarquées y est donc plus robuste. Or, rappelle l'expert, des conférences de hacking, comme Defcon, ont aussi déjà démontré de graves vulnérabilités dans les systèmes RIM... Mobile Device Management "immature" Une solution pourrait permettre de juguler un grand nombre des failles évoquées : un outil de gestion de parc de smartphones. De tels outils, appelé MDM (pour Mobile Device Management), permettraient de contrôler et filtrer à distance e et ainsi de prévenir bon nombre de risques. Or, le sentiment de l'expert de Lexsi est là aussi sans appel : "Même s'il existe des solutions basiques qui assurent le service minimum, ces outils sont immatures, et certaines fonctionnalités nécessaires manquent encore à l'appel". Il souligne en outre que "les retours d'expérience positifs sur ce type de projets sont encore rares, voire inexistants : "Les DSI sont démunis", conclut-il, et "cela sera sans nul doute un des défis des fournisseurs dans les mois à venir". Application et accès aux données sensibles Autre point sensible : les données auxquelles ont accès les applications (détaillées de manière exhaustive dans l'étude Symantec). Avant d'être installée et pour être utilisable, chaque application Android présente la liste des données auxquelles elle va devoir accéder pour fonctionner. "Malheureusement dans la grande majorité des cas, les utilisateurs ne sont pas suffisamment informés et équipés pour prendre ce genre de décision", estime le rapport Symantec. De son côté la boutique d'applications d'apple, plus fermée, n'est cependant pas infaillible. Ainsi un développeur a pu proposer dans l'appstore une application supposée servir àde lampe, mais contenant en fait un code lui permettant de transformer l'iphone en modem 3G ce que n'autorisait alors pas Apple. "Il n'est donc pas inconcevable d'imaginer qu'un malware puisse se glisser dans l'appstore", confirme Thomas Houdy. En outre, ce dernier explique que "des centaines d'applications sont soumises chaque jour à Apple pour subir un audit. Mais si Apple reste assez opaque sur sa méthodologie en matière d'audit de sécurité du code, il est assez difficile d'imaginer que des humains examinent à la loupe le détail de chaque code. Il est dès lors envisageable que le process soit semi automatisé, à la recherche de bout de code suspect", pense Thomas Hourdy, qui constate également que Lexsi se voit de "plus en plus" confier des audits de sécurité sur les applications professionnelles pour smartphone. Smartphone perdu et chiffrement des données Lexsi a également étudié la faisabilité d'extraire les données embarquées dans un iphone verrouillé, perdu ou volé. Un scénario particulièrement plausible dont le dénouement peut être catastrophique. "Nous avons pu écrire un script qui nous a permis, à partir d'un iphone non jailbreaké d'accéder aux s, au carnet d'adresse, à l'agenda ou même aux cookies ". Autant d'informations qui peuvent conduire à l'obtention de données très sensibles professionnelles ou personnelles (identifiants bancaires, couple login/mot de passe). Lexsi n'a pas reproduit l'expérience sur les smartphones Android, mais Thomas Houdy estiment que le résultat serait peu ou prou le même sur avec l'os de Google, "Android aurait même sans doute des protections plus faibles".

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé PUBLIC KEY INFRASTRUCTURE Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé Rappels PKI Fonctionnement général Pourquoi? Authentification Intégrité Confidentialité Preuve (non-répudiation)

Plus en détail

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre

Plus en détail

ICP/PKI: Infrastructures à Clés Publiques

ICP/PKI: Infrastructures à Clés Publiques ICP/PKI: Infrastructures à Clés Publiques Aspects Techniques et organisationnels Dr. Y. Challal Maître de conférences Université de Technologie de Compiègne Heudiasyc UMR CNRS 6599 France Plan Rappels

Plus en détail

Politique de certification et procédures de l autorité de certification CNRS

Politique de certification et procédures de l autorité de certification CNRS Politique de certification et procédures de l autorité de certification CNRS V2.1 1 juin 2001 Jean-Luc Archimbaud CNRS/UREC Directeur technique de l UREC Chargé de mission sécurité réseaux informatiques

Plus en détail

28/06/2013, : MPKIG034,

28/06/2013, : MPKIG034, 1. OBJET DES CGU Les présentes CGU ont pour objet de préciser le contenu et les modalités d utilisation des Certificats de signature cachet délivrés par l AC «ALMERYS CUSTOMER SERVICES CA NB» d Almerys

Plus en détail

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA 1- Introduction 1.1 Présentation générale Ce document définit les Conditions Générales d Utilisation (CGU) des certificats délivrés dans le cadre

Plus en détail

Politique de Signature Électronique de DICTServices

Politique de Signature Électronique de DICTServices Politique de Signature Électronique de DICTServices Politique de signature électronique de DICTServices version 1.0.0 1/8 Suivi du document Version Date Origine de la mise à jour Rédigé par 1.0.0 01/12/12

Plus en détail

La sécurité des Réseaux Partie 7 PKI

La sécurité des Réseaux Partie 7 PKI La sécurité des Réseaux Partie 7 PKI Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références C. Cachat et D. Carella «PKI Open Source», éditions O REILLY Idealx,

Plus en détail

Chiffrement et signature électronique

Chiffrement et signature électronique Chiffrement et signature électronique (basée sur le standard X509) Frédéric KASMIRCZAK 1 Sommaire I. La cryptologie base de la signature électronique... 3 1. Les systèmes symétriques à l origine de la

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

Présentation des caractéristiques des logiciels de chiffrement : principes et fonctionnalités

Présentation des caractéristiques des logiciels de chiffrement : principes et fonctionnalités Présentation des caractéristiques des logiciels de chiffrement : principes et fonctionnalités Journée chiffrement Le 24 janvier 2006 X. Jeannin (CNRS/UREC) Plan! Différents aspects du chiffrement de données!

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME Les petits déjeuner du CT M Réunion n 4 du Club de Laboratoires Accrédités Dématérialisation des données Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes

Plus en détail

COMMUNIQUER EN CONFIANCE

COMMUNIQUER EN CONFIANCE COMMUNIQUER EN CONFIANCE TheGreenBow est un éditeur français de logiciels spécialisés dans la sécurité des communications. Basé au cœur de Paris depuis 1998, TheGreenBow a développé un savoir-faire unique

Plus en détail

vendredi 8 juillet 2011

vendredi 8 juillet 2011 PROCESSUS DE CERTIFICATION ELECTRONIQUE AU BURKINA FASO 1 Sommaire Contexte de la CE Aspects techniques Réalisations et futurs projets de l ARCE Types et domaines d utilisation de certificats Procédures

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015 Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif

Plus en détail

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002 IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr JTO décembre 2002 Chiffrement asymétrique Confidentialité d un message : le chiffrer avec la clé publique du destinataire.

Plus en détail

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences

Plus en détail

Dossier de presse L'archivage électronique

Dossier de presse L'archivage électronique Dossier de presse L'archivage électronique Préambule Le développement massif des nouvelles technologies de l information et de la communication (TIC) a introduit une dimension nouvelle dans la gestion

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

Code de conduite Zoomit

Code de conduite Zoomit Code de conduite Zoomit Dans ce document : 1. Objectif 2. Champ d application 3. Qu est-ce que Zoomit et quelles parties sont concernées? 4. Organisation, contrôle et informations complémentaires 5. Sécurité

Plus en détail

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A3

Référentiel Général de Sécurité. version 1.0. Annexe A3 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Sécurité et mobilité

Sécurité et mobilité LEXSI > SÉMINAIRE ARISTOTE "SÉCURITÉ & MOBILITÉ" 1 Sécurité et mobilité QUELQUES ERREURS CLASSIQUES OU REX SUITE À AUDITS 07/02/2013 lgronier@lexsi.com/ fverges@lexsi.com Agenda 2 La mobilité et les audits

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences Recueil d exigences Version 1.1 Page 1/13 Historique des versions Date Version Évolutions du document 17/12/2010 1.01 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l

Plus en détail

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage.

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage. Rappel des propriétés à assurer Cryptographie et utilisation Secret lgorithmes symétriques : efficace mais gestion des clés difficiles lgorithmes asymétriques : peu efficace mais possibilité de diffuser

Plus en détail

Connexion d un client lourd à la messagerie e-santé PACA

Connexion d un client lourd à la messagerie e-santé PACA Connexion d un client lourd à la messagerie e-santé PACA La messagerie sécurisée e-santé PACA est un service de type Webmail. Un Webmail est une interface Web rendant possible l émission, la consultation

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges Cahier des charges des dispositifs de télétransmission des actes Annexe 2 : sécurisation des échanges Page 2 / 7 1. OBJET DU DOCUMENT...3 2. PRINCIPES...3 3. SÉCURISATION DES DÉPÔTS DE FICHIERS SUR LES

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

A LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET

A LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET SUJET NATIONAL POUR L ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS CONCOURS EXTERNE DE TECHNICIEN TERRITORIAL SESSION 2012 EPREUVE Réponses à des questions techniques à partir d un dossier portant sur

Plus en détail

Conditions générales d affaires (CGA) Portail clients SanitasNet

Conditions générales d affaires (CGA) Portail clients SanitasNet Conditions générales d affaires (CGA) Portail clients SanitasNet 1 Table des matières Contenu 1. Préambule 3 2. Autorisation d accès 3 3. Accès technique à SanitasNet et identification 3 4. Coûts 4 5.

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

V 7.3. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

V 7.3. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com. MANUEL D UTILISATION DE LA SALLE DES MARCHES ACCES ENTREPRISES V 7.3 APPEL D OFFRES RESTREINT Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

Plus en détail

ESPACE NATIONAL DE CONFIANCE SANTÉ. Carte CPS. Mise en œuvre de la partie sans-contact. Février 2015

ESPACE NATIONAL DE CONFIANCE SANTÉ. Carte CPS. Mise en œuvre de la partie sans-contact. Février 2015 ESPACE NATIONAL DE CONFIANCE SANTÉ Carte CPS Mise en œuvre de la partie sans-contact Février 2015 Objectif de cette présentation Cette présentation vise à illustrer le contenu du guide pratique et technique

Plus en détail

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour

Plus en détail

EESTEL. Experts Européens en Systèmes de Transactions Electroniques. Apple iphone 6, Apple Pay, Quoi d autre? EESTEL Livre Blanc. Le 29 octobre 2014

EESTEL. Experts Européens en Systèmes de Transactions Electroniques. Apple iphone 6, Apple Pay, Quoi d autre? EESTEL Livre Blanc. Le 29 octobre 2014 EESTEL Livre Blanc Le 29 octobre 2014 Apple iphone 6, Apple Pay, Quoi d autre? Le 9 septembre 2014, Apple a lancé trois produits majeurs : l iphone 6, l Apple Watch et Apple Pay. Le 17 septembre 2014,

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

Emarche v1.5.1. Manuel Utilisateur

Emarche v1.5.1. Manuel Utilisateur Emarche v1.5.1 Manuel Utilisateur Table des matières 1 Pré-requis...2 2 Présentation...3 3 Utilisation...4 3.1 Fenêtre de connexion...4 3.2 Interface principale...5 3.3 Mise à jour automatique...6 3.4

Plus en détail

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics ANNEXE Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics A l usage des Utilisateurs Opérateurs Economiques - 1 - 1 ARTICLE "CONTENU DE LA REPONSE" Chaque pièce

Plus en détail

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics ANNEXE Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics A l usage des Utilisateurs Opérateurs Economiques Mise en vigueur le 19/05/2013-1 - Préambule : Les

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Guide de mise en œuvre de la politique BYOD

Guide de mise en œuvre de la politique BYOD BYOD Guide de mise en œuvre de la politique BYOD Trois mesures simples pour protéger et gérer en toute légalité les appareils de vos employés dans l entreprise Nous n allons pas vous assommer en évoquant

Plus en détail

La signature électronique et les réseaux de confiance

La signature électronique et les réseaux de confiance La signature électronique et les réseaux de confiance Marc.Schaefer@he-arc.ch HE-Arc Ingénierie Institut des systèmes d'information et de communication (ISIC) Laboratoire de téléinformatique (TINF) Plan

Plus en détail

Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin

Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin Horodatage Sécurisé J.M. Fourneau Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin M2 ASS-ACSIS 2008, Université de Versailles St Quentin [1/25] Horodatage Sécurisé Le service d horodatage

Plus en détail

ibelem Solutions d EMM : l accompagnement d un partenaire expert, clef du succès du projet Livre blanc IBELEM - Enterprise Mobility Management

ibelem Solutions d EMM : l accompagnement d un partenaire expert, clef du succès du projet Livre blanc IBELEM - Enterprise Mobility Management ibelem ENJOY MOBILITY Solutions d EMM : l accompagnement d un partenaire expert, clef du succès du projet Livre blanc IBELEM - Enterprise Mobility Management De l art de bien choisir «Devine, si tu peux,

Plus en détail

Gestion de l Identité Numérique

Gestion de l Identité Numérique Gestion de l Identité Numérique La France veut accélérer et consolider le développement de l Economie numérique, instaurer la confiance numérique et lutter contre la fraude et l usurpation d identité,

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

7 avril 2009 Le chiffrement des équipements nomades : les clefs du succès

7 avril 2009 Le chiffrement des équipements nomades : les clefs du succès Chiffrement s données locales s moyens nomas (ordinateurs portables et clés USB) 7 avril 2009 Le chiffrement s équipements nomas : les clefs du succès 7 avril 2009 Le chiffrement s équipements nomas :

Plus en détail

Annexe 4 Service Messagerie DSI CNRS

Annexe 4 Service Messagerie DSI CNRS Annexe 4 Service Messagerie DSI CNRS Contenu I. Introduction... 2 II. Description de l Offre de Service Messagerie unifiée... 2 1. Services proposés... 2 2. Utilisation... 2 3. Types de fournitures...

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

ACCÉDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Le Programme d achat en volume pour les entreprises de l App Store

Le Programme d achat en volume pour les entreprises de l App Store Le Programme d achat en volume pour les entreprises de l App Store L App Store comporte des milliers d apps professionnelles conçues pour améliorer la productivité de votre entreprise. Grâce au Programme

Plus en détail

GUICHET ONEGATE. Notice d installation d un certificat BdF d'authentification simple COLLECTE DAF

GUICHET ONEGATE. Notice d installation d un certificat BdF d'authentification simple COLLECTE DAF GUICHET ONEGATE Notice d installation d un certificat BdF d'authentification simple COLLECTE DAF CORRESPONDANTS BANQUE DE FRANCE Pour les questions techniques et d administration des utilisateurs : (Certificats,

Plus en détail

APPEL A MANIFESTATION D INTERET

APPEL A MANIFESTATION D INTERET Conseil Ouest et Centre Africain pour la Recherche et le Développement Agricoles West and Central African Council for Agricultural Research and Development APPEL A MANIFESTATION D INTERET ------------------------

Plus en détail

Exigences V2014 de la certification «Les systèmes d information»

Exigences V2014 de la certification «Les systèmes d information» Exigences V2014 de la certification «Les systèmes d information» G. Hatem Gantzer Hôpital de Saint Denis Séminaire AUDIPOG 9/4/2015 Les autres points clés de la certification impactés par le SI Le dossier

Plus en détail

PKI, PGP et OpenSSL. Pierre-Louis Cayrel

PKI, PGP et OpenSSL. Pierre-Louis Cayrel Université de Limoges, XLIM-DMI, 123, Av. Albert Thomas 87060 Limoges Cedex France 05.55.45.73.10 pierre-louis.cayrel@xlim.fr Licence professionnelle Administrateur de Réseaux et de Bases de Données IUT

Plus en détail

Notre offre Système. systemes@arrabal-is.com

Notre offre Système. systemes@arrabal-is.com systemes@arrabal-is.com Généralités Généralités des systèmes Windows Les systèmes Microsoft sont au cœur du système d information de la majorité des entreprises, si bien qu environ 90% des postes utilisateurs

Plus en détail

Modules M42B4 & M42C3 Patrice GOMMERY

Modules M42B4 & M42C3 Patrice GOMMERY Modules M42B4 & M42C3 Patrice GOMMERY PROBLEMES : Comment générer les couples de clés? Comment distribuer les clés publiques? Comment stocker les clés? La clé publique est-elle réellement garantie? UNE

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

Certificats électroniques

Certificats électroniques Certificats électroniques Matthieu Herrb Jean-Luc Archimaud, Nicole Dausque & Marie-Claude Quidoz Février 2002 CNRS-LAAS Plan Services de sécurité Principes de cryptographie et signature électronique Autorités

Plus en détail

LOGICIEL BAJOO DOSSIER DE PRESSE. Copyright Linea sarl Siret 528 568 132 00013 1005 route des Fontaines 38110 St Clair de la Tour - 1

LOGICIEL BAJOO DOSSIER DE PRESSE. Copyright Linea sarl Siret 528 568 132 00013 1005 route des Fontaines 38110 St Clair de la Tour - 1 LOGICIEL BAJOO DOSSIER DE PRESSE 1 INTRODUCTION Vous avez plusieurs ordinateurs, smartphones, tablettes, et vous commencez à ne plus pouvoir gérer les transferts de vos fichiers entre ces différents équipements?

Plus en détail

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE Disponibilité, accompagnement, partenaire unique, engagements de services... concentrez-vous sur votre métier,

Plus en détail

Guide d installation et d utilisation

Guide d installation et d utilisation Guide d installation et d utilisation A lire avant toute installation du matériel (Mandataire de Certification et Porteur) Attention : Ne connectez pas votre clé USB avant la fin de l installation du programme.

Plus en détail

Conditions Générales d Utilisation. Sunnystamp 2D-Doc Services CA

Conditions Générales d Utilisation. Sunnystamp 2D-Doc Services CA Sunnystamp 2D-Doc Services CA Version.0 Tous droits réservés Technopole de l Aube en Champagne BP 60-00 Troyes Cedex Tél. : + (0) 2 4 0 8 Fax : + (0) 8 40 0 08 www.lex-persona.com contact-2d-doc@lex-persona.com

Plus en détail

Cryptographie. Cours 6/8 - Gestion de clés

Cryptographie. Cours 6/8 - Gestion de clés Cryptographie Cours 6/8 - Gestion de clés Plan du cours Importance de la gestion des clés Clés secrètes, clés publiques Certificats Infrastructure à clé publique (Public Key Infrastructure, PKI) Dans le

Plus en détail

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication.

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication. CONNECTER LES SYSTEMES ENTRE EUX L informatique, au cœur des tâches courantes, a permis de nombreuses avancées technologiques. Aujourd hui, la problématique est de parvenir à connecter les systèmes d information

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

OSCAMPS Outil de Surveillance et de Cartographie des Moyens de Paiement Scripturaux Partie 2 : Processus d accréditation

OSCAMPS Outil de Surveillance et de Cartographie des Moyens de Paiement Scripturaux Partie 2 : Processus d accréditation Outil de Surveillance et de Cartographie des Moyens de Paiement Scripturaux Partie 2 : Processus d accréditation Présentation du 17/12/2014 : Comment effectuer une remise? 2 canaux existent pour remettre

Plus en détail

éditée par Cryptolog

éditée par Cryptolog powered by La plateforme Cloud de signature électronique, d horodatage et de gestion des identités éditée par Cryptolog www.universign.com LES OFFRES CLOUD Signature électronique Universign Pro Universign

Plus en détail

Services Professionnels Centre de Contacts Mitel

Services Professionnels Centre de Contacts Mitel Services Professionnels Centre de Contacts Mitel Débutez un voyage vers la modernisation et l évolutivité : Elevez le niveau de votre performance commerciale Pour moderniser votre centre de contact : Passez

Plus en détail

iphone en entreprise Guide de configuration pour les utilisateurs

iphone en entreprise Guide de configuration pour les utilisateurs iphone en entreprise Guide de configuration pour les utilisateurs iphone est prêt pour une utilisation en entreprise. Il gère Microsoft Exchange ActiveSync, ainsi que des services de base standards, le

Plus en détail

A N T A I AGENCE NATIONALE DE TRAITEMENT AUTOMATISE DES INFRACTIONS CONVENTION

A N T A I AGENCE NATIONALE DE TRAITEMENT AUTOMATISE DES INFRACTIONS CONVENTION A N T A I AGENCE NATIONALE DE TRAITEMENT AUTOMATISE DES INFRACTIONS CONVENTION Relative à la mise en œuvre du processus de la verbalisation électronique sur le territoire de la commune de En vertu du décret

Plus en détail

Association ESSONNE CADRES

Association ESSONNE CADRES Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité

SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité 27 mars 2003 Sommaire Téléprocédures du M.E.F.I Contexte/Objectifs Problématique Solutions envisageables Les grands choix techniques Mise en œuvre

Plus en détail

Sophos Mobile Control Guide de l'utilisateur pour Apple ios

Sophos Mobile Control Guide de l'utilisateur pour Apple ios Sophos Mobile Control Guide de l'utilisateur pour Apple ios Version du produit : 2.5 Date du document : juillet 2012 Table des matières 1 À propos de Sophos Mobile Control... 3 2 Connexion au Portail libre

Plus en détail

Sommaire. Cegedim Logiciels Médicaux Guide d utilisation de SMM 2/40

Sommaire. Cegedim Logiciels Médicaux Guide d utilisation de SMM 2/40 Secure Médical Mail Guide d utilisation Sommaire Sommaire... 2 Glossaire Technique... 3 Messagerie Sécurisée... 4 Quels sont les plus d une messagerie homologuée GIP-CPS?... 5 Pré-requis techniques...

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

Manuel utilisateur. CLEO CPS Commande de certificat serveur

Manuel utilisateur. CLEO CPS Commande de certificat serveur Manuel utilisateur CLEO CPS Commande de certificat serveur Sommaire 1 Objet du document... 3 2 Certificats serveurs... 4 2.1 A quoi sert un certificat serveur de l ASIP Santé?... 4 2.2 Les types de certificats

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du

Plus en détail

OASIS est une fabrique à bien commun via l utilisation des applications proposées sur son store.

OASIS est une fabrique à bien commun via l utilisation des applications proposées sur son store. Guide Utilisateur 1.1 Présentation d OASIS OASIS est une fabrique à bien commun via l utilisation des applications proposées sur son store. Grâce à OASIS, vous serez capable d acheter ou de choisir des

Plus en détail

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE Référentiel de certification du Baccalauréat professionnel GESTION ADMINISTRATION PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE 1 Le référentiel de certification du Baccalauréat GESTION ADMINISTRATION Architecture

Plus en détail

Notions sur les réseaux TCP/IP, avec et sans fil

Notions sur les réseaux TCP/IP, avec et sans fil 5 Notions sur les réseaux TCP/IP, avec et sans fil Chapitre Au sommaire de ce chapitre Principe du réseau Internet Termes basiques du paramétrage de TCP/IP Principe des ports TCP et UDP Et les VPN? Dans

Plus en détail

Internet, GPRS, WIFI : Enfin de nouvelles réponses aux besoins des utilisateurs nomades? 4 mars 2004 laurent.stoupy@solucom.fr

Internet, GPRS, WIFI : Enfin de nouvelles réponses aux besoins des utilisateurs nomades? 4 mars 2004 laurent.stoupy@solucom.fr Internet, GPRS, WIFI : Enfin de nouvelles réponses aux besoins des utilisateurs nomades? 4 mars 2004 laurent.stoupy@solucom.fr Agenda 1. Les enjeux du nomadisme : les attentes des utilisateurs 2. Internet,

Plus en détail

Facebook, Google, LinkeIdn... Optez pour la double validation

Facebook, Google, LinkeIdn... Optez pour la double validation 1. Bien protéger tous ses comptes Facebook, Google, LinkeIdn... Optez pour la double validation Voilà quelques mois que le phénomène prend de l ampleur, et à juste raison. Car sur le net, on n'est jamais

Plus en détail

Public Key Infrastructure (PKI)

Public Key Infrastructure (PKI) Public Key Infrastructure (PKI) Introduction Authentification - Yoann Dieudonné 1 PKI : Définition. Une PKI (Public Key Infrastructure) est une organisation centralisée, gérant les certificats x509 afin

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

DEMATERIALISATION. Signature électronique et sécurité

DEMATERIALISATION. Signature électronique et sécurité DEMATERIALISATION Signature électronique et sécurité Editeur du Progiciel MARCO, le spécialiste de la gestion des achats et marchés publics Parc Euromédecine 95 rue Pierre Flourens 34090 MONTPELLIER Tél

Plus en détail