Analyse statique de code dans un cycle de développement Web Retour d'expérience

Dimension: px
Commencer à balayer dès la page:

Download "Analyse statique de code dans un cycle de développement Web Retour d'expérience"

Transcription

1 Analyse statique de code dans un cycle de développement Web Retour d'expérience Laurent Butti et Olivier Moretti Orange France

2 Agenda Introduction Notre contexte L (in)sécurité des applications web Approche: Insérer un jalon d analyse statique de code dans le cycle de développement Les objectifs et les enjeux Méthode (analyse statique de code par un logiciel spécialisé) Projet de mise en œuvre Évaluation et choix d une solution technique Comparatif et choix de la solution Mise en œuvre Bénéfices et capitalisation et imprévus! Les facteurs clés de succès Les écueils à éviter 2

3 Le contexte 3

4 Notre domaine Orange Portails, une entité d Orange France Hébergement multi-site de services Web Développement d applications Web et mobile Évolutions fréquentes Nombreuses applications à développer de manière sûre Plusieurs dizaines d audits par an Plusieurs dizaines de millions de visites et de pages vues chaque mois En charge du portail orange.fr Services aux clients Orange (mail, factures ) Moteur de recherche Annuaire ( fr) Régie publicitaire Assistance en ligne Boutiques 4

5 L application maillon faible? Vulnérabilités Menaces & impacts Le vol de données est très médiatisé Les grandes organisations sont des cibles de choix Cf. Les outils «script kiddies» sont légion Vecteurs d attaques La sécurité n est pas native dans les pratiques de développement 5

6 Pas encore convaincus? Les Applications Web sont la cible #1 des pirates 75% des attaques concernent la couche application (Gartner) XSS et SQL Injection : #1 et #2 des vulnérabilités dans le top 10 OWASP La plupart des sites sont vulnérables 90% des sites sont vulnérables aux attaques d'application (Watchfire) 99% des sites ne sont pas conformes PCI DSS (WASC) 78% d'applications Web affectées de vulnérabilités exploitables (Symantec) 6

7 Notre approche 7

8 Le constat initial Analyses de code réalisées sans outils, en phase de recette Rapport d audit et correctifs Mais L auditeur échantillonne: il n audite pas l ensemble du code Les applications ne sont pas toutes auditées et pas à chaque changement L audit n est pas réalisé lors d évolutions mineures du code(hors projet) Peu de capitalisation d un audit à l autre et le suivi des correctifs est fastidieux 8

9 Notre réponse : Systématiser l analyse statique de code Comment? Outils et processus sont complémentaires Analyse de code statique dans le cycle de développement Via un outil d analyse boite blanche adapté à nos besoins Dans quel but? Déclencher des analyses à chaque changement Couvrir potentiellement tous les projets (pas de limite) Systématiser le suivi des vulnérabilités Responsabiliser et faire progresser les développeurs (s auto auditer) 9

10 Ce qui n exclut pas Une post-analyse par l auditeur sécurité Faux positifs, sévérité des failles La recherche de failles fonctionnelles (e.g. absence de Captcha sur un formulaire) L analyse du comportement dynamique de l application Pen-test, fuzzing 10

11 Le projet de mise en œuvre 11

12 Etude préliminaire de solutions, puis mise en œuvre Sélection de l outil d analyse statique Cahier des charges Benchmark de solutions Open source et commerciales Sélection de la solution la plus appropriée Convaincre le management Installation et utilisation Installation initiale dans la chaine d intégration continue Technique et organisation Analyse des applications Intégration des applications réparties par projet Lancement des analyses par l outil Traitement des vulnérabilités 12

13 Sélection de la solution d analyse de code 1. Cahier des charges Intégration avec les outils internes (intégration continue, bug tracking, ) Intégration avec les processus existants Support impératif de PHP (C/C++ et Java en priorité plus basse) Taux de Faux Positifs / Faux Négatifs Coûts acquisition, intégration et de fonctionnement 2. Benchmark : 3 produits leaders du Magic Quadrant et une solution Open Source Pixy (Open Source) Source Code Analyzer édité par Fortify AppScan Source Edition (ex-ounce Labs) édité par IBM Armorize édité par CodeSecure 3. Méthodologie d étude Évaluation des produits (sur du code vulnérable et code réel) Demandes de proposition commerciales «sur mesure» Analyses et débriefing avec les éditeurs 13

14 Résultats (efficacité) Code exemple avec 110 vulnérabilités connues Code exemple avec 58 tests Overall Comparison Sum True Positives Sum False Negatives Sum False Positives (total) Sum False Positives (tests) Sum False Positives (additionnal) Detected Vulnerabilities 80% 70% 60% 50% 40% 30% 20% 10% 0% Overall Comparison (without Pixy tests) 74% 74% 57% 45% CodeSecure SCA AppScan SE Pixy Product CodeSecure SCA AppScan SE Pixy Attention : tout benchmark peut être biaisé (volontairement ou pas) 14

15 Les arguments pour convaincre le management Réduction des coûts à périmètre constant d audits Réduction du nombre d'incidents Gain de temps net pour les auditeurs sécurité (lié à l automatisation) Correctifs : le plus tôt est le mieux! Contexte commercial et légal Conformité PCI/DSS Directives européennes (Paquet Télécom) 15

16 En pratique: Insertion dans le dispositif d analyse continue Checkout Scan & upload Auditeur Notifie Corrige Développeur Consulte & modifie Qualifie 16

17 En pratique: à quelle occasion déclencher l analyse? Changement mineur Spécifications Maintenance Conception Evolution majeure (projet) Test et recette Développement 17

18 Généralisation : choix des applications à analyser Cible prioritaire : les applications web et mobile «user facing» Traitement d entrées utilisateur (directes ou indirectes) Phase de sélection par l intermédiaire de critères Business Sensibilité et exposition de l application Techniques Capacité de l outil à être efficace sur le code audité 18

19 Retour d expérience 19

20 Organisation : Des acteurs et des processus clés Les responsables d application Sur un portefeuille d applications ils s assurent de : L insertion de l analyse statique de code dans leur cycle de développement La correction des vulnérabilités avant passage en production La gestion des accès des développeurs aux résultats des scans Rôle crucial d interlocuteur entre sécurité et développeurs Deux processus parallèles pour l analyse récurrente Approche opportuniste Déclenchement automatique de l analyse statique à chaque changement Avertissement par l outil des failles découvertes vers l équipe sécurité ET Approche projet Déclenchement de l analyse par le responsable d application Mise en œuvre de l analyse des résultats dans le contexte projet 20

21 Organisation : La relation et le rôle des développeurs Traitement des évolutions et correctifs différente selon les équipes Bug-tracking, politique de gestion de versions Pas de mode imposé de communication avec les équipes de développement Via interface client lourd ou Web d analyse des résultats Via rapport d audit généré par l auditeur avec l outil Via échanges mail, téléphone ou réunion physique Après une période suffisante d apprentissage Les développeurs s auto-auditent localement pendant leurs développements (plugin) Gain de temps Adapté aux méthodes d intégration continue 21

22 Organisation : Conseils et synthèse Processus parallèles : meilleure couverture grâce à cette approche combinée Limiter les tâches manuelles pour fluidifier les rouages Ne confier / déléguer l outil qu après une période d apprentissage L outil et les nouveaux processus doivent s intégrer aux outils et processus existants 22

23 Valeur ajoutée : Calcul automatique d indicateurs Les indicateurs ne doivent pas se reposer sur les résultats «bruts» du scan Éliminer les faux positifs Apprécier la sévérité en fonction du contexte (non réalisable par un outil) Différentes audiences, différents indicateurs Responsables d application & développeurs Évaluation de la charge de travail associée au nombre de correctifs à mettre en œuvre Tendances d évolution par familles de vulnérabilité Management Évaluation du niveau de risque courant Conformité (PCI DSS par exemple) Experts sécurité Ratio de «Not an Issue» à l issue d un scan Conformité aux standards (TOP 10 OWASP) 23

24 Valeur ajoutée : Généralisation du déploiement Volume de code analysable Application PHP LOC : 5 minutes (mono-cœur, 2Go RAM) Application C/C LOC : 1h30 (mono-cœur, 2 Go RAM) L auditeur passe 1 journée pour analyse des résultats L auditeur passe habituellement 1 semaine pour un audit applicatif Capitalisation des audits Élimination des faux positifs marqués à l audit précédent Gain de temps pour l auditeur qui se concentre sur les nouveaux résultats 24

25 Les limites intrinsèques de l analyse statique Exemple 1 : pas de notion de contexte <?php $val = $_GET[ val ]; if (preg_match( /^[A-Za-z0-9_]+$/, $val) { else { do_stuff($val); } do_something_else($val); } L outil ne peut préjuger si le contrôle effectué est adapté au contexte 25

26 Les limites intrinsèques de l analyse statique Exemple 2 : pas de connaissance des données définies à l exécution <?php function kikoo($val) { echo $_GET[ val ]; } function lol($val) { echo lol ;} $func = $_GET[ func ]; $func(); Les données définies à l exécution ne peuvent être devinées 26

27 Valeur ajoutée et limites : Conseils et synthèse Connaître et maitriser les limites de l analyse statique et de vos outils Les résultats d un scan automatique doivent être analysés pour être pertinents La généralisation du déploiement nécessite réflexion et organisation 27

28 Quelques imprévus Support avancé mais incomplet de PHP objet Héritage non supporté Pas de support d applications basées sur Zend Chargement dynamique de classes Calcul de la priorité associée aux vulnérabilités «codée en dur» Pas de prise en compte du contexte : problématique car tout est basé làdessus Priorité des correctifs, modèle de rapport d audit, indicateurs, communication au management 28

29 La question des faux négatifs et des faux positifs Faux négatifs Faux sentiment de sécurité Manques dans le support du langage par l outil Limites intrinsèques de l analyse statique Faux positifs Mauvais ressenti Pénibilité de l analyse Difficulté accrue pour déléguerl analyse aux équipes de développement Réduction des faux négatifs Identification des bugs / manques et rapports vers l éditeur pour correctifs Développement de règles personnalisées Réduction des faux positifs Identification des bugs / manques et rapports vers l éditeur pour correctifs Marquage des faux positifs - Expérience de l auditeur 29

30 En synthèse Impossibilité de trouver toutes les failles, mais : Une bonne partie des failles d implémentation le sont! Aiguille l auditeur vers des parties de code «suspectes» L outil est systématique, l auditeur est sélectif L outil suit une logique de Dataflow, vs lecture de code simple Effets «vertueux» Responsabilisation des développeurs (audits récurrents) Indicateurs marquants et factuels (visibilité) Capitalisation des résultats (suivi) Communication vers les équipes et la hiérarchie Convaincre de la valeur ajoutée de l approche et de l outil Complémentaire des audits manuels, mais ne les remplace pas! 30

31 Conclusions Automatiser, automatiser, automatiser! Un bon outil d analyse statique augmente l efficacité et la couverture de l audit boite blanche complète bien la lecture de code réalisée par un auditeur prouve son efficacité et sa complémentarité avec les outils de pen-test Mais tout n est pas qu une affaire d outils «Security is a Process, not a Product» (B. Schneier) Les audits doivent être programmés dans le cycle de développement Capitaliser les résultats des audits précédents Institutionnaliser les audits à chaque changement Les outils d analyse de code source bien qu imparfaits ont prouvé leur nécessité Leur valeur ajoutée réside dans leur usage systématique et récurrent dans un SDLC 31

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates! Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des

Plus en détail

JSSI 2012 13 mars 2012 Laurent Butti Orange France DMGP/PORTAIL laurent.butti@orange.com

JSSI 2012 13 mars 2012 Laurent Butti Orange France DMGP/PORTAIL laurent.butti@orange.com Retour d'expérience sur les outils d'audit d'applications Web en «boite noire» JSSI 2012 13 mars 2012 Laurent Butti Orange France DMGP/PORTAIL laurent.butti@orange.com À propos Expérience en R&D (Orange

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

développements: Atouts et maillons faibles

développements: Atouts et maillons faibles Clusir RhA groupe SSI ENE 24 novembre 2010 Sécurité dans les projets et développements: Atouts et maillons faibles Yves RAISIN / BIOMERIEUX Sébastien RAILLARD / COEXSI Lionel PRADES / LEXSI Sécurité des

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES De la théorie à la pratique Juillet 2012 www.advens.fr Document confidentiel - Advens 2012 Développer des Applications Web Sécurisées Intervenants Agenda Frédéric

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL

SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL Un livre blanc d IBM SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL Danny Allan, analyste spécialisé en recherche stratégique TABLE DES MATIÈRES Introduction... 1 Méthodologie d évaluation... 1 Normes

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 Les webshells, ou comment ouvrir les portes de son réseau?

Plus en détail

Nell Armonia Shuttle Web

Nell Armonia Shuttle Web Nell Armonia Shuttle Web Optimiser la collecte, la mise à jour et la fiabilité de vos indicateurs L'IDEE ET LA GENESE DU PRODUIT LA PROBLEMATIQUE Les entreprises disposent aujourd hui de multiples indicateurs

Plus en détail

Vérifier la qualité de vos applications logicielle de manière continue

Vérifier la qualité de vos applications logicielle de manière continue IBM Software Group Vérifier la qualité de vos applications logicielle de manière continue Arnaud Bouzy Kamel Moulaoui 2004 IBM Corporation Agenda Analyse de code Test Fonctionnel Test de Performance Questions

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

Sécurité de l information : vers une convergence des approches par le risque et par l audit?

Sécurité de l information : vers une convergence des approches par le risque et par l audit? Sécurité de l information : vers une convergence des approches par le risque et par l audit? Retour d expérience Groupe France Télécom - Orange / Conix Security François Zamora Emmanuel Christiann Sébastien

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

SOMMAIRE. Préambule... 3. 1 - Présentation... 3

SOMMAIRE. Préambule... 3. 1 - Présentation... 3 Académie de Grenoble DSI Division des Systèmes d Information 7, place Bir- Hakeim 38021 Grenoble Cedex CAHIER DES CLAUSES TECHNIQUES PARTICULIERES MARCHE N : 2012-09 OBJET : prestations de maintenance

Plus en détail

Test d un système de détection d intrusions réseaux (NIDS)

Test d un système de détection d intrusions réseaux (NIDS) Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

Expertises Métiers & e-business. Technologies Microsoft & OpenSource. Méthodologies et gestion de projet

Expertises Métiers & e-business. Technologies Microsoft & OpenSource. Méthodologies et gestion de projet Expertises Technologies Microsoft & OpenSource Méthodologies et gestion de projet Expertises Expertises SmartView réalise des missions en relation et en coordination avec l'ensemble des acteurs du système

Plus en détail

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) Travaux soutenus par l ANR Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) 03 Avril 2012 1. Test de sécurité et génération de tests à partir de modèle 2. Le projet SecurTest à DGA Maîtrise de l

Plus en détail

La Sécurité des Données en Environnement DataCenter

La Sécurité des Données en Environnement DataCenter La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

Ici, le titre de la. Tableaux de bords de conférence

Ici, le titre de la. Tableaux de bords de conférence Ici, le titre de la Tableaux de bords de conférence pilotage d entreprise, indicateurs de performance reporting et BI quels outils seront incontournables à l horizon 2010? Les intervenants Editeur/Intégrateur

Plus en détail

Sécurité PHP et MySQL

Sécurité PHP et MySQL Sécurité PHP et MySQL Ce document est extrait du travail de diplôme de M. DIZON dans l état.. Sécurité PHP et MySQL...1 1 Introduction...1 2 Sécurisation des scripts PHP...2 2.1 Introduction...2 2.2 Filtrage

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Sécurité Applicative & ISO 27034

Sécurité Applicative & ISO 27034 Club 27001 Toulouse 04/07/2014 - Sébastien RABAUD - Sécurité Applicative & ISO 27034 Agenda Sécurité applicative Constats Solutions? ISO 27034 Présentation Analyse 2 Agenda Sécurité applicative Constats

Plus en détail

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Agenda But de cette présentation Injection de vulnérabilités Empecher l audit Obtention des identifiants Reverse overflow Présentation

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST. 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST. 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr $ WHOAMI Julien Lavesque ü Directeur technique ITrust ü Consultant Sécurité depuis 10 ans ü

Plus en détail

2 Business Intelligence avec SQL Server 2008

2 Business Intelligence avec SQL Server 2008 Introduction «Voudriez-vous me dire, s il vous plaît, quel chemin je dois prendre pour m en aller d ici? Cela dépend beaucoup de l endroit où tu veux aller, répondit le chat. Peu m importe l endroit...

Plus en détail

[ Hornet ] Charte de méthodologie

[ Hornet ] Charte de méthodologie [ Hornet ] Hornet Cette création est mise à disposition selon le Contrat Paternité - Pas d'utilisation Commerciale - Partage des Conditions Initiales à l'identique disponible en ligne http://creativecommons.org/licenses/by-nc-sa/2.0/fr/

Plus en détail

UE 5 Management des systèmes d informations. Le programme

UE 5 Management des systèmes d informations. Le programme UE 5 Management des systèmes d informations Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur 1.

Plus en détail

PHP et MySQL : notions de sécurité

PHP et MySQL : notions de sécurité PHP et MySQL : notions de sécurité Jean-Baptiste.Vioix@u-bourgogne.fr Dans ces quelques lignes des notions de sécurité élémentaires vont être présentées. Elles sont insuffisantes pour toute application

Plus en détail

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI

Plus en détail

SECURITY ADVISORY VULNERABILITE SUR LES DONNEES CLIENTS MAGENTO

SECURITY ADVISORY VULNERABILITE SUR LES DONNEES CLIENTS MAGENTO SECURITY ADVISORY VULNERABILITE SUR LES DONNEES CLIENTS MAGENTO Date : le 25 avril 2012 Versions affectées : Enterprise 1.6 et Community jusqu'à 1.3.3.0 (incluse) Niveau de sécurité : critique Mode d'exploitation

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

manufacturing Yourcegid Manufacturing Y2 MANUFACTURING anufacturing

manufacturing Yourcegid Manufacturing Y2 MANUFACTURING anufacturing anufacturing Yourcegid Manufacturing Y2 MANUFACTURING manufacturing i-club Un club utilisateur de plus de 100 adhérents qui participent activement à la vie de nos produits plus de 2000 Clients industriels

Plus en détail

Sécurité logicielle. Jean-Marc Robert. Génie logiciel et des TI

Sécurité logicielle. Jean-Marc Robert. Génie logiciel et des TI Sécurité logicielle Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Les vulnérabilités logicielles Développement de logiciels sécurisés Le cycle de développement logiciel

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council

Plus en détail

Synthèse du World Café du 20 Juin 2013

Synthèse du World Café du 20 Juin 2013 Synthèse du World Café du 20 Juin 2013 Evènement réalisé dans le cadre de Manager- Collabora?f- Asso http://www.smp2.org/referentiel-smp2_v1.pdf Rôles et Responsabilités Faciliter l'adhésion et développer

Plus en détail

Industrialisation des développements

Industrialisation des développements Industrialisation des développements NovaForge, l usine de développement logiciel de Bull Emmanuel Rias emmanuel.rias@bull.net 1 Agenda Introduction NovaForge Processus d un projet dans NovaForge et Fonctionnalités

Plus en détail

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion J. Hennecart Serval-Concept Lundi 23 février 2015 J. Hennecart des injections SQL sont des vulnérabilités permettant de faire exécuter des commandes, non prévues initialement, à une base de données. La

Plus en détail

DOSSIER SPÉCIAL TRAVAIL COLLABORATIF ET GESTION DE CONTENU COMMENT AMÉLIORER LA COLLABORATION ET LA COMMUNICATION AU SEIN DE VOTRE ORGANISME?

DOSSIER SPÉCIAL TRAVAIL COLLABORATIF ET GESTION DE CONTENU COMMENT AMÉLIORER LA COLLABORATION ET LA COMMUNICATION AU SEIN DE VOTRE ORGANISME? DOSSIER SPÉCIAL TRAVAIL COLLABORATIF ET GESTION DE CONTENU COMMENT AMÉLIORER LA COLLABORATION ET LA COMMUNICATION AU SEIN DE VOTRE ORGANISME? AUTEUR : HEFAIEDH MYRIAM DOSSIER TRAVAIL COLLABORATIF ET GESTION

Plus en détail

LIVRE BLANC. Dématérialisation des factures fournisseurs

LIVRE BLANC. Dématérialisation des factures fournisseurs LIVRE BLANC 25/03/2014 Dématérialisation des factures fournisseurs Ce livre blanc a été réalisé par la société KALPA Conseils, société créée en février 2003 par des managers issus de grandes entreprises

Plus en détail

TAS. Le Terrible Audit de Sécurité

TAS. Le Terrible Audit de Sécurité TAS Le Terrible Audit de Sécurité Ordre du jour Identifier les objectifs de sécurité Préparer un référentiel Vérifier la sécurité de son code Qui parle? Damien Seguy Verbicruciste Alter Way Consulting

Plus en détail

Indicateur et tableau de bord

Indicateur et tableau de bord Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72

Plus en détail

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet ActiveSentry : le monitoring permanent de la sécurits curité des architectures Internet OSSIR 11/09/2001 Fabrice Frade Directeur Technique Intranode 2001 Qui est Intranode? Intranode est un éditeur d une

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Audit informatique et libertés

Audit informatique et libertés Audit informatique et libertés 6ix Secured E-commerce REFERENCE: 2012/DOC/INT/006/v1.0 DIFFUSION : PUBLIQUE ETAT DES VALIDATIONS Fonction Rédacteur Vérificateur/Approbateur Signé par Karim Slamani Karim

Plus en détail

Sécurité des frameworks J2EE

Sécurité des frameworks J2EE Sécurité des frameworks J2EE Naissance des injections de langages d'expression Présenté le 25/10/2012 Pour la JSSI 2012 de Rouen - 3ème édition Par Renaud Dubourguais - renaud.dubourguais@synacktiv.com

Plus en détail

TRADE. Yourcegid Trade Y2

TRADE. Yourcegid Trade Y2 TRADE Yourcegid Trade Y2 1800 Clients négociants plus de + de 10 langues + de 40 pays plus de 200 DE collaborateurs et experts Un réseau performant : 200 PRès de Distributeurs certifiés Parce que votre

Plus en détail

SOA et Services Web. 23 octobre 2011. SOA: Concepts de base

SOA et Services Web. 23 octobre 2011. SOA: Concepts de base SOA et Services Web 23 octobre 2011 1 SOA: Concepts de base 2 Du client serveur à la SOA N est Nest pas une démarche entièrement nouvelle: années 1990 avec les solutions C/S Besoins d ouverture et d interopérabilité

Plus en détail

Offre Supervision OF. mercredi 17 septembre 2014. Groupe CGI inc. CONFIDENTIEL

Offre Supervision OF. mercredi 17 septembre 2014. Groupe CGI inc. CONFIDENTIEL Offre Supervision OF mercredi 17 septembre 2014 Groupe CGI inc. CONFIDENTIEL Agenda 1 2 3 4 5 6 7 Pourquoi cette solution? Principes et enjeux de la solution Les modules & fonctionnalités Architecture

Plus en détail

ACube. Charte méthodologique. Version 1.2 du 22/02/2010. Etat : Validé

ACube. Charte méthodologique. Version 1.2 du 22/02/2010. Etat : Validé Charte méthodologique Version 1.2 du 22/02/2010 Etat : Validé Communauté Adullact Projet SUIVI DES MODIFICATIONS Version Rédaction Description Vérification Date 1.0 S. Péguet Initialisation 20/03/07 1.1

Plus en détail

SAR-SSI, La Rochelle 20/05/2011

SAR-SSI, La Rochelle 20/05/2011 Certification de Sécurité de Premier Niveau Une réponse pragmatique aux besoins du marché civil SAR-SSI, La Rochelle 20/05/2011 Frédéric Rémi - frederic.remi@amossys.fr ACCREDITATION N 1-2190 PORTEE DISPONIBLE

Plus en détail

ALDEA ET SYSTEMES D INFORMATION

ALDEA ET SYSTEMES D INFORMATION ALDEA CONSEIL EN ORGANISATION ET SYSTEMES D INFORMATION Professionnalisation de la gestion de projet 30 avenue du Général Leclerc 92100 Boulogne-Billancourt Tel : +33 1 55 38 99 38 Fax : +33 1 55 38 99

Plus en détail

LES INJECTIONS SQL. Que20. 08 novembre 2015

LES INJECTIONS SQL. Que20. 08 novembre 2015 LES INJECTIONS SQL Que20 08 novembre 2015 Table des matières 1 Introduction 5 2 Qu est-ce qu une injection SQL? 7 3 Premier cas : injection SQL sur une chaîne de caractères 9 3.1 Comment s en protéger?..............................

Plus en détail

La quête du code source maintenable, fiable et sécurisé. Par Sébas)en Gioria et Freddy Mallet

La quête du code source maintenable, fiable et sécurisé. Par Sébas)en Gioria et Freddy Mallet La quête du code source maintenable, fiable et sécurisé Par Sébas)en Gioria et Freddy Mallet Sébas7en Gioria h:p://www.google.fr/#q=sebas7en gioria Innova7on and Technology @Advens && Applica7on Security

Plus en détail

IBM Tivoli Compliance Insight Manager

IBM Tivoli Compliance Insight Manager Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

Découverte Audit Attaque

Découverte Audit Attaque D epuis l'augmentation de l'importance d'internet dans la vie quotidienne de nombreuses personnes, la sécurité des sites web reste plus que jamais une inquiétude majeure. W3AF ou Web Application Attack

Plus en détail

P o u r s u i v r e l a c t u a l i t é d e l a f i s c a l i t é : h t t p : / / w w w. o p t i t a x e s. f r

P o u r s u i v r e l a c t u a l i t é d e l a f i s c a l i t é : h t t p : / / w w w. o p t i t a x e s. f r Ce document reprend l ensemble des engagements afférents à la société OPTIMUM d ANALYSE dans le cadre de son contrat de services pour l abonnement SAS du logiciel Optitaxes on line Dernière mise à jour

Plus en détail

Programmation Web. Sites dynamiques et bases de données. Mathieu Lacroix. I.U.T. de Villetaneuse. Année 2015-2016

Programmation Web. Sites dynamiques et bases de données. Mathieu Lacroix. I.U.T. de Villetaneuse. Année 2015-2016 Programmation Web Sites dynamiques et bases de données Mathieu Lacroix I.U.T. de Villetaneuse Année 2015-2016 E-mail : mathieu.lacroix@iutv.univ-paris13.fr Page Web : http: // www-lipn. univ-paris13. fr/

Plus en détail

Eliminer les risques liés aux failles de sécurité dans les applications Web avec Rational AppScan. Kamel Moulaoui

Eliminer les risques liés aux failles de sécurité dans les applications Web avec Rational AppScan. Kamel Moulaoui Eliminer les risques liés aux failles de sécurité dans les applications Web avec Rational AppScan Kamel Moulaoui 13 Le mythe : «Notre site est sûr» Sécurité Nous avons des Firewalls en place Nous auditons

Plus en détail

Offre FlowUnit by CGI Tests automatisés de flux de données inter-applicatifs

Offre FlowUnit by CGI Tests automatisés de flux de données inter-applicatifs Offre FlowUnit by CGI Tests automatisés de flux de données inter-applicatifs CGI Group Inc. 2013 Agenda 1 2 3 4 5 6 7 Problématiques et enjeux Solutions et fonctionnalités Concepts Exécution et rapport

Plus en détail

Gouvernance open source : retour d'expérience. Céline Fontaine juriste 12 octobre 2012, EOLE «FOSS: Standing on the shoulders of law», Paris

Gouvernance open source : retour d'expérience. Céline Fontaine juriste 12 octobre 2012, EOLE «FOSS: Standing on the shoulders of law», Paris Gouvernance open source : retour d'expérience Céline Fontaine juriste 12 octobre 2012, EOLE «FOSS: Standing on the shoulders of law», Paris FLOSS, une réalité Une réalit r alité économique Red Hat est

Plus en détail

Guichet unique : Aperçu des nouvelles technologies au service du Citoyen (particulier et entreprise)

Guichet unique : Aperçu des nouvelles technologies au service du Citoyen (particulier et entreprise) Guichet unique : Aperçu des nouvelles technologies au service du Citoyen (particulier et entreprise) Développer la communication et le travail collaboratif pour mieux servir le citoyen Thomas Coustenoble

Plus en détail

Sécurité Applicative: Frein ou Accélérateur

Sécurité Applicative: Frein ou Accélérateur Sécurité Applicative: Frein ou Accélérateur Renaud Bidou (DenyAll) Patrick Chambet (C2S - Groupe Bouygues) RIAMS 2012 5/29/2012 Deny All 2012 1 5/29/2012 Deny All 2012 1 Agenda 1. Pourquoi sécuriser ses

Plus en détail

proximite + qualite + competitivite

proximite + qualite + competitivite proximite + qualite + competitivite 1 NOS ENGAGEMENTS 2 PROXIMITE Accompagnement par un consultant senior tout au long du projet RESULTAT, QUALITE Engagement sur le chiffrage, les livrables et les délais

Plus en détail

MANUEL UTILISATEUR CONTRÔLES RISQUES

MANUEL UTILISATEUR CONTRÔLES RISQUES MANUEL UTILISATEUR CONTRÔLES RISQUES Version 1.2 septembre 2012 Ce document et son contenu sont strictement confidentiels et la propriété de Natixis Paiements. Il n est pas contractuel. Toute reproduction

Plus en détail

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne 2012. Yosr Jarraya. Chamseddine Talhi.

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne 2012. Yosr Jarraya. Chamseddine Talhi. MGR850 Automne 2012 Automne 2012 Sécurité logicielle Yosr Jarraya Chargé de cours Chamseddine Talhi Responsable du cours École de technologie supérieure (ÉTS) 1 Plan Motivations & contexte Développement

Plus en détail

Présentation du Programme Régional de Formations Qualifiantes

Présentation du Programme Régional de Formations Qualifiantes Présentation du Programme Régional de Formations Qualifiantes Le Programme Régional de Formations Qualifiantes (PRFQ) a pour objectif d aider les ligériens à accéder et à se maintenir dans un emploi durable

Plus en détail

Applications orientées données (NSY135)

Applications orientées données (NSY135) Applications orientées données (NSY135) 2 Applications Web Dynamiques Auteurs: Raphaël Fournier-S niehotta et Philippe Rigaux (philippe.rigaux@cnam.fr,fournier@cnam.fr) Département d informatique Conservatoire

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

INTEGRATEUR DEVELOPPEUR

INTEGRATEUR DEVELOPPEUR www.emweb.fr INTEGRATEUR DEVELOPPEUR FORMATION ELIGIBLE AU DIF/CIF DURÉE : 700 h de formation PRE REQUIS Avoir un esprit logique Etre motivé(e)! OBJECTIF A l issue de cette formation, vous serez capable

Plus en détail

Mise en place d'une politique de sécuritéapplicative : retour d'expérience d'un RSSI. Philippe Larue RSSI de CBP Conférence Clusif du 15/12/2011

Mise en place d'une politique de sécuritéapplicative : retour d'expérience d'un RSSI. Philippe Larue RSSI de CBP Conférence Clusif du 15/12/2011 Mise en place d'une politique de sécuritéapplicative : retour d'expérience d'un RSSI Philippe Larue RSSI de CBP Conférence Clusif du Présentation de CBP CBP est un cabinet de courtage spécialiséen conseil

Plus en détail

THÉMATIQUES. Comprendre les frameworks productifs. Découvrir leurs usages. Synthèse

THÉMATIQUES. Comprendre les frameworks productifs. Découvrir leurs usages. Synthèse THÉMATIQUES Comprendre les frameworks productifs Découvrir leurs usages Synthèse 2 LES ENJEUX DES FRAMEWORKS D ENTREPRISE EN 2012 LE CONSTAT Ressources Recrutement Flexibilité Intérêt Montée en compétence

Plus en détail

Orange Nouvelle Expérience (ONE) Zoom sur les solutions SI

Orange Nouvelle Expérience (ONE) Zoom sur les solutions SI «Le service Orange, satisfait quand vous l'êtes» Orange Nouvelle Expérience (ONE) Zoom sur les solutions SI Stéphane Guérin Orange DSI Orange France Directeur Centre de Compétences Relation Client Août

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

agile depuis 2008 un seul projet, un seul objectif mode opérationnel multitudes de projets

agile depuis 2008 un seul projet, un seul objectif mode opérationnel multitudes de projets Qui sommes nous? Richard: Directeur TI, commerce électronique et développement chez Transat. Transat, est un voyagiste intégré, spécialiste du voyage vacances. Établie au Canada et présente dans plusieurs

Plus en détail

Pages Web dynamiques et bases de données

Pages Web dynamiques et bases de données Cours 2 Pages Web dynamiques et bases de données Une page Web dynamique est générée automatiquement grâce à l exécution d un script (PHP par exemple). C est le résultat de l exécution de ce script (code

Plus en détail

Formation. Les outils de la gestion de projets

Formation. Les outils de la gestion de projets Formation Les outils de la gestion de projets Découvrez une boîte à outils pour gérer les projets qui vous sont confiés! Durée de la formation : 2 jours Formules: Formule In-house (jusque 3 participants)

Plus en détail

White Paper - Livre Blanc

White Paper - Livre Blanc White Paper - Livre Blanc Développement d applications de supervision des systèmes d information Avec LoriotPro Vous disposez d un environnement informatique hétérogène et vous souhaitez à partir d une

Plus en détail

Conduite de projets informatiques Développement, analyse et pilotage (2ième édition)

Conduite de projets informatiques Développement, analyse et pilotage (2ième édition) Avant-propos 1. Objectifs du livre 13 2. Structure du livre 14 Un projet informatique 1. Les enjeux 17 1.1 Les buts d'un projet 17 1.2 Les protagonistes d'un projet 18 1.3 Exemples de projets 19 2. Les

Plus en détail

M I S E E N P L A C E D U N O U T I L D E M A N A G E M E N T D E P R O J E T

M I S E E N P L A C E D U N O U T I L D E M A N A G E M E N T D E P R O J E T M I S E E N P L A C E D U N O U T I L D E M A N A G E M E N T D E P R O J E T F A C I L I T A N T L A G E S T I O N C O N T R A C T U E L L E Q U O T I D I E N N E D U M A I T R E D O E U V R E D E X E

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Calendrier des Formations

Calendrier des Formations Systèmes et Réseaux IPV6 980,00 HT Jan. Fév. Mar. Avr. Mai Juin Jui. Août Sept. Oct. Nov. Déc. Comprendre IPV6 et explorer les méthodes pour migrer 14-15 23-24 1-2 26-27 Configuration et Maintenance des

Plus en détail

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot Une approche positive du filtrage applicatif Web Didier «grk» Conchaudron Sébastien «blotus» Blot 1 Un peu de background 2 Une hécatombe Juste en 2011: Sony, RSA, Orange, MySQL.com, HBgary & 600+ autres

Plus en détail

S U P E R V I S É PA R N. A B R I O U X

S U P E R V I S É PA R N. A B R I O U X Tableau de bord SSI S U P E R V I S É PA R N. A B R I O U X S. B A L S S A L. B O B E T M. H A L L O U M I J. M A N O H A R A N 1 Plan Présentation Méthodologie d élaboration Cas pratique Conclusion Nom

Plus en détail

La sécurisation d applications

La sécurisation d applications Université Toulouse 1 Sciences Sociales 10 mars 2008 Les firewalls ne suffisent plus Mais ont-ils jamais été suffisants? La protection à 100% n existe pas. De plus certains protocoles doivent absolument

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

Evolution des pratiques achats

Evolution des pratiques achats Evolution des pratiques achats Enquête clients Juin 2012 2 Sommaire 3 4 4 4 5 6 6 7 7 8 9 9 10 11 Introduction I - Utilisation générale de b-pack Modes d acquisition Volume d achats Modules et catégories

Plus en détail

Gestion Projet : Cours 2

Gestion Projet : Cours 2 Gestion Projet : Cours 2 Le Système d Information «Ensemble d acteurs humains et/ou applicatifs en interaction les uns avec les autres ayant pour but de traiter, diffuser, persister l information afin

Plus en détail

Résoudre les problèmes PHP, les meilleures (et les pires) techniques

Résoudre les problèmes PHP, les meilleures (et les pires) techniques Résoudre les problèmes PHP, les meilleures (et les pires) techniques Xavier Gorse Architecte - Expert PHP (ELAO) xavier.gorse@elao.com Un peu d ordre dans la maison! Toutes les lignes téléphoniques sont

Plus en détail

L UTILISATEUR, CIBLE DE TOUTES LES MENACES

L UTILISATEUR, CIBLE DE TOUTES LES MENACES CHAPITRE 2 : L UTILISATEUR DÉFINIT LE PÉRIMÈTRE L UTILISATEUR, CIBLE DE TOUTES LES MENACES 1 L UTILISATEUR, CIBLE DE TOUTES LES MENACES En 2014, le Groupe NTT a recensé des «70 % des vulnérabilités millions

Plus en détail