Réseaux et sécurité, Sécurité, synthèses et référentiels ISO, CISSP...

Dimension: px
Commencer à balayer dès la page:

Download "Réseaux et sécurité, Sécurité, synthèses et référentiels ISO, CISSP..."

Transcription

1 Réseaux et sécurité, Sécurité, synthèses et référentiels ISO, CISSP... De nos jours, la sécurité des informations devient une préoccupation critique des décideurs d'entreprise, des clients et fournisseurs. Les séminaires Orsys s'adressent à tous ceux qui ont à définir une politique de sécurité et de continuité, à la mettre en œuvre au moyen d'une organisation et de solutions adaptées, ou encore à auditer un système déjà en place. Une place importante est donnée à la maîtrise des normes et référentiels (ISO 27001, ISO 27005, CISSP, PCI-DSS, etc.), et à la préparation des certifications associées. Séminaires Sécurité des systèmes d'information, synthèse... ( p12 ) Sécurité réseaux/internet, synthèse... ( p17 ) Sécurité VPN, sans-fil et mobilité, synthèse... ( p21 ) Cloud Computing, sécurité... ( p25 ) Audit, indicateurs et contrôle de la sécurité... ( p26 ) Implémenter et gérer un projet ISO 27001: ( p27 ) ISO 27001:2013 Bridge, passer de la version 2005 à la version ( p31 ) ISO 27005:2011 Risk Manager, préparation à la certification... ( p37 ) Plan de secours et de continuité... ( p43 ) PCI-DSS, sécurité e-commerce... ( p44 ) Sécurité des applications Web, synthèse... ( p45 ) Annuaire et gestion d'identité... ( p46 ) Authentifications et autorisations, architectures et solutions... ( p47 ) SAML 2, fédération des identités, synthèse... ( p48 ) Stages Pratiques Cycle certifiant Responsable Sécurité SI... ( p3 ) CISA, Certified IS Auditor, préparation à la certification... ( p5 ) CISM, Certified IS Manager, préparation à la certification... ( p7 ) Responsable sécurité SI Certificat universitaire... ( p8 ) CLFE, Certified Lead Forensics Examiner, certification... ( p14 ) ISO 27034, sécurité des applications, Foundation, certification... ( p15 ) ISO 27034, sécurité des applications, Lead Auditor, certification... ( p19 ) ISO 27034, sécurité des applications, Lead Implementer, certification... ( p23 ) ISO 27001:2013 Lead Auditor, mise en pratique, certification... ( p29 ) ISO 27001:2013 Lead Implementer, mise en pratique, certification... ( p30 ) ISO 22301, Foundation, certification... ( p32 ) ISO 22301, Lead Auditor, certification... ( p33 ) ISO 22301, Lead Implementer, certification... ( p34 ) CISSP, sécurité des SI, préparation à la certification... ( p36 ) ISO 27005:2011 Risk Manager, certification... ( p38 ) ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 1

2 Mehari Risk Manager, certification... ( p39 ) Méthode EBIOS, mise en oeuvre de la gestion des risques... ( p40 ) Sécurité SI, mise en œuvre pratique d'une analyse de risques... ( p41 ) Sécurité SI, sensibilisation des utilisateurs... ( p49 ) ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 2

3 Stage pratique de 12 jour(s) Réf : KUR Ingénieurs, experts, consultants en informatique. Bonnes connaissances en systèmes et réseaux informatiques. Prix 2015 : 6910 HT 16 juin 2015, 15 sep nov Composition du cycle - Sécurité des systèmes d'information, synthèse Réf : SSI, Durée : 3 j - Sécurité réseaux/internet, synthèse Réf : SRI, Durée : 3 j - ISO 27005:2011 Risk Manager, préparation à la certification Réf : AIR, Durée : 3 j - Plan de secours et de continuité Réf : PDS, Durée : 2 j - Certification Responsable Sécurité SI Réf : KZX, Durée : 1 j Dates d'examen 13 avril juillet septembre décembre 15 Cycle certifiant Responsable Sécurité SI certificat professionnel FFP Ce cycle vous apportera toutes les connaissances nécessaires à la définition et la mise en oeuvre de la politique de sécurité de l'entreprise. Vous apprendrez à répondre aux impératifs de sécurité dans les communications IT et l'architecture du système d'information. Ce cycle traitera aussi des normes ISO relatives à ce domaine, avec un focus particulier sur l'analyse de risques et la mise en place d'un plan de secours et de continuité. 1) La sécurité des systèmes d'information 2) Sensibilisation et communication 3) La sécurité des réseaux et de l'internet 1) La sécurité des systèmes d'information 4) La sécurité des applications et la supervision 5) L'analyse de risques 6) Le plan de secours et de continuité - La notion et les types de risque (potentialité, impact, accident, erreur, malveillance). - La classification DIC. La gestion du risque (prévention, protection, report de risque, externalisation). - RSSI, chef d'orchestre de la sécurité. Rôle et responsabilité. - Les cadres normatifs et réglementaires. Vers la gouvernance informatique, les liens avec ITIL et CMMI. - La norme ISO dans une démarche Systèmes de management. La certification ISO L'analyse de risque. Comment constituer sa propre base de connaissances menaces/vulnérabilités? - Les méthodes en activité : EBIOS/FEROS, MEHARI. - Les audits de sécurité. Les bonnes pratiques de la norme appliquées à la sécurité. 2) Sensibilisation et communication - Mettre en place un plan de sensibilisation et de communication. - La charte de sécurité, son existence légale, son contenu, sa validation. - Couverture des risques. Plans de secours, de continuité, de reprise et de gestion de crise. - Concevoir des solutions optimales. Démarche pour les solutions de sécurisation adaptées pour chaque action. - Définition d'une architecture cible. Choisir entre IDS et IPS, le contrôle de contenu comme nécessité. - Déployer un projet PKI, les pièges à éviter. Les techniques d'authentification, SSO, fédération d'identité. - Les principes juridiques applicables au SI. La responsabilité civile délictuelle et contractuelle. - Recommandations pour une sécurisation légale du SI. La cybersurveillance des salariés, limites et contraintes légales. 3) La sécurité des réseaux et de l'internet - Evolution de la cybercriminalité. Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associés. - Outils et méthodes d'intrusion par TCP-IP. Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Sécurité des postes clients. Les menaces : backdoor, virus, rootkit... Le rôle du firewall personnel et ses limites. - Sécurité du sans-fil (Wi-Fi et Bluetooth). Attaques spécifiques (Wardriving, failles WEP et EAP). - Technologie firewall et proxy. Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...). - Techniques cryptographiques. Algorithmes à clé publique : Diffie Hellman, RSA... Scellement et signature électronique. - Sécurité pour l'intranet/extranet. Les attaques sur SSL/TLS (sslstrip, sslnif...). Annuaire LDAP et sécurité. - Réseaux Privés Virtuels (VPN). IPSec. Les modes AH et ESP, IKE et la gestion des clés. 4) La sécurité des applications et la supervision - Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...). - Le processus SDL (Security Development Lifecycle). Utilisation de la technique de "fuzzing". - Les outils de revue de code orientés sécurité. Le Firewall applicatif (WAF). Hardening et vérification d'intégrité. - Gestion et supervision active de la sécurité. Les tableaux de bord Sécurité. La norme ISO Les missions du RSSI dans le suivi de la sécurité. Les audits de sécurité (techniques ou organisationnels). - Les tests de vulnérabilité ou tests d'intrusion. Les outils Sondes IDS, Scanner VDS, Firewall IPS. - Consigner les preuves et riposter efficacement. Se tenir informé des nouvelles vulnérabilités. - Gérer les mises à niveaux. Savoir réagir en cas d'incidents. Les services indispensables : où les trouver? 5) L'analyse de risques - Rappels sur les terminologies ISO Identification et classification des risques. - L'analyse de risques selon l'iso. - Les méthodes d'analyse de risques EBIOS 2010 et MEHARI Les autres méthodes internationales. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 3

4 - Comment choisir la meilleure méthode sur la base d'exemples et étude de cas pratiques? - Une méthode globale ou une méthode par projet. - Le vrai coût d'une analyse de risques. 6) Le plan de secours et de continuité - Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards. - Définir la stratégie de continuité. - Les phases d'un projet plan de continuité. - L'analyse des risques pour le plan de continuité. - L'identification des activités critiques. - Les éléments et le budget pour élaborer les scénarios. - Les équipes de secours : constitution, rôles... Les principes de déclenchement du plan de secours. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 4

5 Stage pratique de 5 jour(s) Réf : ISB Directeurs des SI, auditeurs, responsables de la continuité d'activité ou de la sécurité, ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l'atteinte de leurs objectifs. Connaissances de base dans le fonctionnement des systèmes d'information. Prix 2015 : 4450 HT 18 mai 2015, 5 oct déc Bruxelles 22 juin 2015, 7 sep nov Geneve 22 juin 2015, 7 sep nov Luxembourg 22 juin 2015, 7 sep nov CISA, Certified IS Auditor, préparation à la certification Ce cours permet de préparer l'examen CISA, Certified Information Systems Auditor, en couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l'isaca, Information Systems Audit and Control Association. La certification CISA est reconnue dans le monde entier. 1) Domaine 1 : processus d'audit des systèmes d'information 2) Domaine 2 : gouvernance et gestion des systèmes d'information 3) Domaine 3 : acquisition, conception, implantation des SI Certification 4) Domaine 4 : exploitation, entretien et soutien des systèmes d'information 5) Domaine 5 : protection des actifs informationnels 6) Préparation et certification Une expérience de 5 ans est requise pour obtenir la certification CISA suite à la réussite de l'examen. Vous pouvez néanmoins passer l'examen d'abord, et pour cela vous devez vous inscrire sur le site de l'isaca. 1) Domaine 1 : processus d'audit des systèmes d'information - Les standards d'audit. - L'analyse des risques d'audit et le contrôle interne. - L'auto-évaluation des contrôles. - La pratique d'un audit SI. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 2) Domaine 2 : gouvernance et gestion des systèmes d'information - La gouvernance des SI. - La stratégie de la gouvernance du SI. - Les procédures et le Risk management. - La pratique de la gouvernance des SI. - L'audit d'une structure de gouvernance. - Les pratiques des plans de continuité et des plans de secours. - L'audit des systèmes de continuité et de secours. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 3) Domaine 3 : acquisition, conception, implantation des SI - La gestion du cycle de vie des systèmes et de l'infrastructure. - La gestion de projet : pratique et audit. - Les pratiques de développement. - L'audit de la maintenance applicative et des systèmes. - Les contrôles applicatifs. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 4) Domaine 4 : exploitation, entretien et soutien des systèmes d'information - L'audit de l'exploitation des SI. - L'audit des aspects matériels du SI. - L'audit des architectures SI et réseaux. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 5) Domaine 5 : protection des actifs informationnels - La gestion de la sécurité : politique et gouvernance. L'audit et la sécurité logique et physique. - L'audit de la sécurité des réseaux. L'audit des dispositifs nomades. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 6) Préparation et certification - Examen blanc. Simulation partielle de l'examen effectuée en fin de formation. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 5

6 - Inscription à faire sur le site la clôture des inscriptions est faite 2 mois avant la date de l'examen. - Déroulement de l'examen : 4 heures de QCM avec 200 questions à choisir préalablement en français ou en anglais. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 6

7 Stage pratique de 3 jour(s) Réf : ISM Directeurs des SI, auditeurs, responsables de la continuité d'activité ou de la sécurité ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l'atteinte de leurs objectifs. Connaissances de base dans le fonctionnement des systèmes d'information. La compréhension de l'anglais est nécessaire car la documentation fournie est en anglais (la formation est donnée en français). Prix 2015 : 2815 HT 11 mai 2015, 7 sep nov Bruxelles 4 mai 2015, 31 aoû oct. 2015, 14 déc Geneve 4 mai 2015, 31 aoû oct. 2015, 14 déc Luxembourg 4 mai 2015, 31 aoû oct. 2015, 14 déc CISM, Certified IS Manager, préparation à la certification Ce cours permet de préparer l'examen CISM, Certified Information Security Manager, couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l'isaca, Information Systems Audit and Control Association. La certification CISM est reconnue dans le monde entier. 1) Domaine 1 : gouvernance de la sécurité de l'information 2) Domaine 2 : gestion des risques de l'information et conformité 3) Domaine 3 : implémentation, gestion de programme sécurité de l'information Certification 4) Domaine 4 : gestion des incidents de sécurité de l'information 5) Examen blanc et procédure de certification Outre la réussite à l'examen, il faut justifier d'au moins 5 années d'expérience avec un minimum de trois ans dans le management de la sécurité de l'information dans trois domaines concernés par la certification. Pour le passage de l'examen, vous devez vous inscrire sur le site de l'isaca. 1) Domaine 1 : gouvernance de la sécurité de l'information - Alignement de la stratégie de sécurité de l'information sur la stratégie d'entreprise et de la direction. - Développement de la politique de sécurité de l'information. - Engagement de la haute direction et soutien à la sécurité informatique dans toute l'entreprise. - Définition des rôles et responsabilités dans la gouvernance de la sécurité de l'information. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 2) Domaine 2 : gestion des risques de l'information et conformité - Développement d'une approche systématique et analytique, ainsi que du processus continu de gestion des risques. - Identification, analyse et évaluation des risques. - Définition des stratégies de traitement des risques. - Communication de la gestion des risques. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 3) Domaine 3 : implémentation, gestion de programme sécurité de l'information - L'architecture en sécurité de l'information. - Méthodes pour définir les mesures de sécurité requises. - Gestion des contrats et des prérequis de sécurité de l'information. - Métriques et évaluation de la performance en sécurité de l'information. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 4) Domaine 4 : gestion des incidents de sécurité de l'information - Composantes d'un plan de gestion des incidents de sécurité. - Concepts et pratiques en gestion des incidents de sécurité. - Méthode de classification. - Processus de notification et d'escalade. - Techniques de détection et d'analyse des incidents. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 5) Examen blanc et procédure de certification - Simulation partielle de l'examen (examen blanc) effectuée en fin de formation. - Inscription à faire sur le site la clôture des inscriptions est faite 2 mois avant la date de l'examen. - Déroulement de l'examen : 4 heures de QCM avec 200 questions (examen disponible uniquement en anglais). ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 7

8 Stage pratique de 11 jour(s) Réf : 1UC Ingénieurs, experts, consultants en informatique. Le public dispose de bonnes connaissances en systèmes et réseaux informatiques. Aucune connaissance particulière. Prix 2015 : 9700 HT 14 sep Responsable sécurité SI Certificat universitaire Toutes les connaissances nécessaires à la définition et la mise en oeuvre de la politique de sécurité de l'entreprise. Vous apprendrez à : répondre aux impératifs de sécurité dans les communications IT et l'architecture du système d'information, connaître les normes ISO relatives à ce domaine, avec un focus particulier sur l'analyse de risques et la mise en place d'un plan de secours et de continuité. 1) Sécurité des systèmes d'information, synthèse 2) Sécurité réseaux/internet, synthèse 1) Sécurité des systèmes d'information, synthèse Introduction - La notion de risque. - Les types de risques. - La classification DIC. - La gestion du risque. RSSI : chef d'orchestre de la sécurité - Quel est le rôle du RSSI? - Vers une organisation de la sécurité, le rôle des "Assets Owners". - Le Risk Manager dans l'entreprise ; son rôle par rapport au RSSI. Les cadres normatifs et réglementaires - Les réglementations SOX, COSO, COBIT. Pour qui? - Vers la gouvernance informatique, les liens avec ITIL et CMMI. - La norme ISO dans une démarche Systèmes de management. - La certification ISO L'analyse de risque - Identification et classification des risques. - Comment constituer sa propre base de connaissances menaces/vulnérabilités? - Les méthodes en activité : EBIOS/FEROS, MEHARI. - La démarche d'analyse de risques dans le cadre 27001, l'approche PDCA. - La méthode universelle ISO 27005, les évolutions des méthodes françaises. Les audits de sécurité et le plan de sensibilisation - Processus continu et complet. - Les catégories d'audits, de l'audit organisationnel au test d'intrusion. - Les bonnes pratiques de la norme appliquées à la sécurité. - Comment créer son programme d'audit interne, qualifier ses auditeurs? - Sensibilisation à la sécurité : Qui? Quoi? Comment? Le coût de la sécurité et les plans de secours 3) ISO 27005:2011 Risk Manager, préparation à la certification 4) Plan de secours et de continuité - Les budgets sécurité. - Les techniques d'évaluation des coûts/différences de calcul/au TCO. - La couverture des risques et la stratégie de continuité. - Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO... - Développer un plan de continuité, l'insérer dans une démarche qualité. Concevoir des solutions optimales - Démarche de sélection des solutions de sécurisation adaptées pour chaque action. - La norme ISO 1540 comme critère de choix. - Comment déployer un projet PKI, les pièges à éviter? - Les techniques d'authentification, vers des projets SSO, fédération d'identité. - La démarche sécurité dans les projets informatiques, le cycle PDCA idéal. Supervision de la sécurité - Gestion des risques (constats, certitudes...). - Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA. - Externalisation : intérêts et limites. Les atteintes juridiques au STAD - Rappel, définition du Système de Traitement Automatique des Données (STAD). - Types d'atteintes, contexte européen, la loi LCEN. Recommandations pour une sécurisation "légale" du SI - La protection des données à caractère personnel, sanctions prévues. - De l'usage de la biométrie en France. - La cybersurveillance des salariés : limites et contraintes légales. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 8

9 2) Sécurité réseaux/internet, synthèse Introduction : qui fait quoi et comment? - Concepts : risque, menaces, vulnérabilité... - Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associés. - Nouvelles techniques d'attaque et contre-mesures. Outils et méthodes d'intrusion par TCP-IP - Les attaques par le stack IP. - Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Utilisation d'un code mobile malveillant. - Comprendre les techniques des hackers. Sécurité des postes clients - Les menaces : backdoor, virus, spyware, rootkit... - Le rôle du firewall personnel et ses limites. - Les logiciels anti-virus/anti-spyware : comparatif. - Les attaques par les documents PDF. - Comment sécuriser les périphériques amovibles? - Contrôle de conformité de Cisco NAC, MS NAP. - La sécurité intégrée dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...). Sécurité du sans-fil (Wi-Fi et Bluetooth) - Technologies de réseaux sans fil (standards ). - Attaques spécifiques (Wardriving, failles WEP et EAP). - Sécurité des bornes (SSID, filtrage MAC). - Vulnérabilités WEP. Faiblesse de l'algorithme RC4. - Le standard de sécurité IEEE i (WPA et WPA2). - Authentifier des utilisateurs (EAP, certificats, token...). - Attaque sur les hotspots Wi-Fi (Rogue AP). - Attaques spécifiques sur Bluetooth (Bluebug...). - Audit et surveillance du réseau. Outils d'audit. Technologie firewall/proxy - Serveurs proxy, reverse proxy, masquage d'adresse. - Principe des firewalls, périmètre fonctionnel. - La mise en place de solutions DMZ. - Sécurité liée à l'adressage. - Notion de "dé-périmétrisation" du forum Jericho. - Utilisation des firewalls dans la protection des environnements virtuels. Techniques cryptographiques - Terminologie, principaux algorithmes. Législation et contraintes d'utilisation. - Algorithmes à clé publique : Diffie Hellman, RSA... - Scellement et signature électronique : MD5, MAC... - Mots de passe, token, carte à puce, certificats ou biométrie? - Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification. - Sécurisation des clés de chiffrement (PFS, TPM...). - Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X509. Sécurité pour l'intranet/extranet - Les architectures à clés publiques. - Les attaques sur SSL/TLS (sslstrip, sslnif...). - Comment obtenir des certificats? Comment les faire gérer? - Annuaire LDAP et sécurité. - Architectures "3A" (authentification, autorisation, audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs. Réseaux Privés Virtuels (VPN) - Analyse du besoin, conception et déploiement. - La création d'un VPN site à site via Internet. - IPSec. Les modes AH et ESP, IKE et la gestion des clés. - Les produits compatibles IPSec, l'interopérabilité. - Les produits VPN SSL, l'enjeu de la portabilité. - Le VPN avec DirectAccess sous Windows 7. Sécurité des applications - Les principales techniques d'attaque des applications. - Le processus SDL (Security Development Lifecycle). - Utilisation de la technique de "fuzzing". - Les outils de revue de code orientés sécurité. - Le Firewall applicatif (WAF). - Solution WAF Open source avec Apache en reverse proxy et mod_security. - Le hardening et la vérification d'intégrité temps réel. Gestion et supervision active de la sécurité ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 9

10 - L'apport des normes ISO et ISO Les tableaux de bord Sécurité. La norme ISO Les missions du RSSI dans le suivi de la sécurité. - Les audits de sécurité (techniques ou organisationnels). - Les tests de vulnérabilité ou tests d'intrusion. - Mettre en place une solution de SIM. - Gérer les mises à niveaux. - Savoir réagir en cas d'incidents. 3) ISO 27005:2011 Risk Manager, préparation à la certification Introduction - Définitions de la Menace. Vulnérabilité. Risques. - Principe général de la sécurité ISO La classification CAID. - Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO ). - Le rôle du RSSI versus le Risk Manager. Le concept "risque" - Identification et classification des risques. - La gestion du risque (prévention, protection, évitement de risque, transfert). - Assurabilité d'un risque, calcul financier du transfert à l'assurance. L'analyse de risques selon l'iso - La méthode de la norme 27001: L'intégration au processus PDCA. - La création en phase Plan de la section 4. - La norme 27005:2011 : Information Security Risk Management. - La mise en œuvre d'un processus PDCA de management des risques. - La préparation de la déclaration d'applicabilité (SoA). Les méthodes d'analyse de risques - Les méthodes françaises. EBIOS EBIOS dans une démarche ISO PDCA de type SMSI MEHARI L'approche proposée par le CLUSIF. - Elaboration d'un plan d'actions basé les services de sécurité. Alignement MEHARI et référentiel ISO Choix d'une méthode - Les bases de connaissances (menaces, risques...). - La convergence vers l'iso, la nécessaire mise à jour. - Etre ou ne pas être "ISO spirit" : les contraintes du modèle PDCA. Conclusion - Une méthode globale ou une méthode par projet. - Le vrai coût d'une analyse de risques. 4) Plan de secours et de continuité Pourquoi gérer la continuité - L'évolution des entreprises et de leur stratégie. - Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards. Définitions et concepts - Définir la stratégie de continuité. - Rappels de sécurité : critères DICP et les 11 thèmes ISO. - La feuille de route de la continuité. Le projet et sa gestion - Les phases d'un projet plan de continuité. - Les particularités du projet plan de continuité. Analyse des risques - Les composantes du risque. - Les principes des différentes méthodes. - L'analyse des risques pour le plan de continuité. L'identification des activités critiques - Déterminer les activités critiques (BIA) d'une entreprise. - Les paramètres fondamentaux de l'analyse d'impact. - La notion de Service Delivery Objectives. Les moyens pour la conception des dispositifs - Les éléments et le budget pour élaborer les scénarios. - Les différents sites de repli en interne ou externalisés. - Les critères de décision. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 10

11 Plans de continuité - La construction des procédures. - Les équipes de secours : constitution, rôles... - Un exemple de canevas d'un plan de secours. Procédures d'escalade et cellule de crise - La gestion de l'escalade en phase avec le RTO. - La constitution de la cellule de crise. - Les principes de déclenchement du plan de secours. - La continuité d'activité en tant que processus ITIL. - Le processus continuité et autres processus. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 11

12 Séminaire de 3 jour(s) Réf : SSI Ingénieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants sécurité, chefs de projet intégrant des contraintes de sécurité. Aucune connaissance particulière. Prix 2015 : 2610 HT 15 juin 2015, 15 sep nov Bruxelles 9 juin 2015, 8 sep nov Geneve 9 juin 2015, 8 sep nov Luxembourg 9 juin 2015, 8 sep nov Sécurité des systèmes d'information, synthèse Avec l'explosion du digital qui a multiplié les opportunités de développement, le management de la sécurité des systèmes d'information est devenu un enjeu majeur pour toutes les entreprises. Ce séminaire très riche vous présentera l'ensemble des actions et des solutions permettant d'assurer la sécurité de votre SI : de l'analyse des risques à la mise en œuvre optimale de solutions de sécurité. Vous verrez également les thématiques assurantielles et juridiques intimement liées à l'application d'une politique de sécurité. 1) Introduction à la gestion des risques 2) RSSI : chef d'orchestre de la sécurité 3) Les cadres normatifs et réglementaires 4) Le processus d'analyse des risques 5) Les audits de sécurité et le plan de sensibilisation 1) Introduction à la gestion des risques 6) Le coût de la sécurité et les plans de secours 7) Concevoir des solutions optimales 8) Supervision de la sécurité 9) Les atteintes juridiques au STAD 10) Recommandations pour une sécurisation "légale" du SI - La notion de risque : potentialité, impact, gravité. - Les types de risques : accident, erreur, malveillance. - La classification DIC : Disponibilité, Intégrité et Confidentialité d'une information. - Les mesures en gestion des risques : prévention, protection, report de risque, externalisation. 2) RSSI : chef d'orchestre de la sécurité - Quel est le rôle et les responsabilités du RSSI? - Vers une organisation de la sécurité, le rôle des "Assets Owners". - Gestion optimale des moyens et des ressources alloués. - Le Risk Manager dans l'entreprise; son rôle par rapport au RSSI. 3) Les cadres normatifs et réglementaires - Les réglementations SOX, COSO, COBIT. Pour qui? Pour quoi? - Vers la gouvernance du SI, les liens avec ITIL et CMMI. - La norme ISO dans une démarche systèmes de management. - Les liens avec ISO : critères communs, ITSEC, TCSEC. - Les atouts de la certification ISO pour les organisations. 4) Le processus d'analyse des risques - Identification et classification des risques. - Risques opérationnels, physiques, logiques. - Comment constituer sa propre base de connaissances des menaces/vulnérabilités? - Utiliser les méthodes et référentiels : EBIOS/FEROS, MEHARI. - La démarche d'analyse de risques dans le cadre de l'iso 27001, l'approche PDCA. - Le standard ISO et les évolutions des méthodes françaises. - De l'appréciation des risques au plan de traitement des risques : les bonnes pratiques. 5) Les audits de sécurité et le plan de sensibilisation - Processus continu et complet. - Les catégories d'audits, de l'audit organisationnel au test d'intrusion. - Les bonnes pratiques de la norme appliquées à la sécurité. - Comment créer son programme d'audit interne? Comment qualifier ses auditeurs? - Apports comparés, démarche récursive, les implications humaines. - Sensibilisation à la sécurité : qui? Quoi? Comment? - Définitions de Morale/Déontologie/Ethique. - La charte de sécurité, son existence légale, son contenu, sa validation. 6) Le coût de la sécurité et les plans de secours - Les budgets sécurité. - La définition du Return On Security Investment (ROSI). - Les techniques d'évaluation des coûts, les différentes méthodes de calcul, le Total Cost of Ownership (TCO). - La notion anglo-saxonne du "Payback Period". - La couverture des risques et la stratégie de continuité. - Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO. - Développer un plan de continuité, l'insérer dans une démarche qualité. 7) Concevoir des solutions optimales ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 12

13 - Démarche de sélection des solutions de sécurisation adaptées pour chaque action. - Définition d'une architecture cible. - La norme ISO 1540 comme critère de choix. - Choisir entre IDS et IPS, le contrôle de contenu comme nécessité. - Comment déployer un projet PKI? Les pièges à éviter. - Les techniques d'authentification, vers des projets SSO, fédération d'identité. - La démarche sécurité dans les projets SI, le cycle PDCA idéal. 8) Supervision de la sécurité - Gestion des risques : constats, certitudes... - Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA. - Externalisation : intérêts et limites. 9) Les atteintes juridiques au STAD - Rappel, définition du Système de Traitement Automatique des Données (STAD). - Types d'atteintes, contexte européen, la loi LCEN. - Quels risques juridiques pour l'entreprise, ses dirigeants, le RSSI? 10) Recommandations pour une sécurisation "légale" du SI - La protection des données à caractère personnel, sanctions prévues en cas de non-respect. - De l'usage de la biométrie en France. - La cybersurveillance des salariés : limites et contraintes légales. - Le droit des salariés et les sanctions encourues par l'employeur. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 13

14 Stage pratique de 5 jour(s) Réf : CLF Spécialiste investigation informatique, analyste de données, spécialiste en recherche et récupération de preuves informatiques, membre d'équipe sécurité, consultant, analyste de media électronique. Bonne connaissance en informatique et en sécurité de l'information. Prix 2015 : 5610 HT 22 juin 2015, 21 sep nov CLFE, Certified Lead Forensics Examiner, certification informatique judiciaire, récupération et analyse des preuves Le défi de l'investigation légale informatique est de trouver les données, les collecter et les présenter devant une cour de justice. Ce cours intensif permet aux participants de développer l'expertise nécessaire pour relever ce défi et aussi de passer l'examen de certification officiel, accrédité par PECB. PEDAGOGIQUES Comprendre les principes scientifiques spécifiques à l'investigation informatique Expliquer la structure des ordinateurs et des systèmes d'exploitation Expliquer l'investigation réseau, Cloud et appareils mobiles Maîtriser les outils et les méthodologies d'investigation 1) Principes scientifiques spécifiques à l'investigation informatique 2) Structure des ordinateurs et des systèmes d'exploitation 3) Investigation réseau, Cloud et appareils mobiles Méthodes pédagogiques 4) Outils et méthodologies d'investigation 5) Examen de certification Exposé des concepts, échange et retours d'expérience, exercices basés sur les examens. Certification Un certificat de "Certified Lead Forensic Examiner" est délivré aux participants qui auront réussi l'examen et qui remplissent l'ensemble des autres exigences relatives à cette certification. 1) Principes scientifiques spécifiques à l'investigation informatique - Présentation des principes scientifiques spécifiques à l'investigation informatique. - Introduction à l'approche de l'investigation informatique. Principes fondamentaux. - Analyse et mise en œuvre des opérations d'analyse. - Préparation et exécution des procédures d'investigation. 2) Structure des ordinateurs et des systèmes d'exploitation - Identification et sélection des composants d'un ordinateur. - Identification et sélection des périphériques et autres composants. - Compréhension des systèmes d'exploitation (OS). - Extraction et analyse des structures de fichiers. 3) Investigation réseau, Cloud et appareils mobiles - Comprendre les réseaux, le Cloud et les environnements virtuels. - Méthodes génériques pour l'extraction de données dans un environnement virtuel. - Examen d'un téléphone mobile ou d'une tablette. - Stockage des informations sur les appareils mobiles. 4) Outils et méthodologies d'investigation - Enumération et examen des composants matériels et logiciels des ordinateurs. - Choix et test des technologies d'investigation. - Analyse et sélection des procédures adaptées pour les opérations d'investigation. - Découverte, documentation et retour des preuves sur site. - Analyse et prise en compte du contexte. 5) Examen de certification - Domaine 1 : principes scientifiques spécifiques à l'investigation informatique. - Domaine 2 : principes fondamentaux de l'investigation informatique. - Domaine 3 : structure des ordinateurs. - Domaine 4 : systèmes d'exploitation et structures de fichier. - Domaine 5 : investigation des réseaux, dans le Cloud ou dans les environnements virtuels. - Domaine 6 : investigation réseau et des appareils mobiles. - Domaine 7 : outils et méthodologies d'investigation. - Domaine 8 : examen, acquisition et préservation des preuves électroniques. Examen Examen de 3 heures. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 14

15 Stage pratique de 2 jour(s) Réf : IFD Gestionnaires de projets ou consultants qui désirent maîtriser les exigences d'iso/iec Membre de l'équipe de sécurité de l'information. Développeurs seniors. Connaissances de base en programmation. ISO 27034, sécurité des applications, Foundation, certification Ce stage initie les participants aux concepts et principes proposés par l'iso sur la sécurité applicative. Il permet de comprendre cette norme afin d'aider une organisation à gérer des applications sécurisées dans son contexte et cela, à un coût qui lui est acceptable. PEDAGOGIQUES Comprendre la portée et les limites de la conformité d'une organisation ou d'une application à la norme ISO/ IEC Expliquer les concepts clés de sécurité du développement applicatif selon ISO/IEC Etablir les relations entre la gestion du risque, les contrôles, les preuves et la conformité aux exigences Prix 2015 : 2235 HT 1) Introduction : la sécurité applicative et ses concepts selon ISO/CEI ) Les parties de la norme ISO/CEI ) Implémentation de la sécurité applicative au niveau d'une organisation 4) La sécurité applicative au niveau d'un projet d'application 1 juin 2015, 8 oct déc Méthodes pédagogiques Présentation des concepts et éléments clés de la démarche de sécurité applicative selon ISO/IEC Exercices pratiques basés sur une étude de cas. Certification Après réussite de l'examen, les participants se verront remettre un certificat "Certified ISO/IEC Application Security Foundation". Aucune expérience préalable n'est nécessaire. Frais de certification inclus. Certificat valable à vie. 1) Introduction : la sécurité applicative et ses concepts selon ISO/CEI Introduction à la sécurité applicative et à la vision globale amenée par ISO/CEI Principes fondamentaux en sécurité de l'information. - Présentation globale des concepts, principes et définitions de la sécurité applicative. - Périmètre, composants, processus et acteurs impliqués en gestion de la sécurité applicative. - Présentation des concepts implicites intégrés. Réflexion collective Echange et réflexion collective autour des concepts et problématiques de la sécurité applicative. 2) Les parties de la norme ISO/CEI ISO/IEC : vue globale et concepts. - ISO/IEC : la sécurité applicative dans une organisation. - ISO/IEC : la sécurité applicative dans un projet. - ISO/IEC : validation, vérification et certification de la sécurité applicative. - ISO/IEC : les exigences de structure de la sécurité applicative. - ISO/IEC : schémas XML. - ISO/IEC : exemples et étude de cas. Etude de cas Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC à travers une étude de cas. 3) Implémentation de la sécurité applicative au niveau d'une organisation - Buts de la sécurité applicative au niveau d'une organisation. - Le Cadre Normatif de l'organisation (CNO). Le comité CNO. - Le processus de gestion du CNO. L'intégration des éléments d'iso/cei dans les processus existants. - Les CSA. La bibliothèque de CSA. - La matrice de traçabilité de la sécurité applicative. Le processus de certification. Etude de cas Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC à travers une étude de cas. 4) La sécurité applicative au niveau d'un projet d'application - Le processus de gestion de la sécurité d'une application. - Fournir et opérer une application. - Maintenir le niveau de confiance actuel au niveau de confiance cible. Examen ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 15

16 Examen de certification "ISO Application Security Foundation". ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 16

17 Séminaire de 3 jour(s) Réf : SRI Responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système. Bonnes connaissances des réseaux et des systèmes. Prix 2015 : 2610 HT 23 juin 2015, 22 sep nov Bruxelles 9 juin 2015, 15 sep nov Geneve 9 juin 2015, 15 sep nov Luxembourg 9 juin 2015, 15 sep nov Sécurité réseaux/internet, synthèse Avec la multiplication des cyberattaques et la préoccupation montante de la cybersécurité auprès des dirigeants, ce séminaire vous montre comment répondre aux impératifs de sécurité des communications de l'entreprise. Il comprend une analyse détaillée des menaces et des moyens d'intrusion ainsi que des techniques spécifiques de sécurité et les solutions et produits associés. A l'issue de ce séminaire, vous disposerez des éléments techniques pour comprendre les technologies qui protègent votre système d'information et sécurisent son ouverture aux réseaux extérieurs, Internet, Extranet et VPN. 1) L'évolution de la cybersécurité 2) Outils et méthodes d'intrusion par TCP-IP 3) Sécurité des postes clients 4) Sécurité du sans-fil (Wi-Fi et Bluetooth) 5) Technologie firewall/proxy 1) L'évolution de la cybersécurité 6) Techniques cryptographiques 7) Sécurité pour l'intranet/extranet 8) Réseaux Privés Virtuels (VPN) 9) Sécurité des applications 10) Gestion et supervision active de la sécurité - Définition des concepts : risques, menaces, vulnérabilité... - Evolution de la cybercriminalité, cyberattaque. - Risques associés aux nouveaux usages : Web 2.0, virtualisation, Cloud Computing... - Nouvelles techniques d'attaque et contre-mesures. 2) Outils et méthodes d'intrusion par TCP-IP - Les attaques par le stack IP. - Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Utilisation d'un code mobile malveillant. - Comprendre les techniques des hackers. - Les sites (CERT, Security focus/bugtraq, CVE...). 3) Sécurité des postes clients - Les menaces : backdoor, virus, spyware, rootkit... - Le rôle du firewall personnel et ses limites. - Les logiciels anti-virus/anti-spyware : comparatif. - Linux et Open Office vs Windows et MS Office? - Les attaques par les documents PDF. - Comment sécuriser les périphériques amovibles? - Contrôle de conformité de Cisco NAC, MS NAP. - La sécurité intégrée dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...). 4) Sécurité du sans-fil (Wi-Fi et Bluetooth) - Technologies de réseaux sans fil (standards ). - Attaques spécifiques (Wardriving, failles WEP et EAP). - Sécurité des bornes (SSID, filtrage MAC). - Vulnérabilités WEP. Faiblesse de l'algorithme RC4. - Le standard de sécurité IEEE i (WPA et WPA2). - Authentifier des utilisateurs (EAP, certificats, token...). - Les différentes méthodes Cisco LEAP, EAP-TLS, PEAP... - Attaque sur les hotspots Wi-Fi (Rogue AP). - Attaques spécifiques sur Bluetooth (Bluebug...). - Comment se protéger efficacement contre les attaques? - Audit et surveillance du réseau. Outils d'audit. 5) Technologie firewall/proxy - Serveurs proxy, reverse proxy, masquage d'adresse. - Filtrage. Firewall et proxy : quelle complémentarité? - Principe des firewalls, périmètre fonctionnel. - La mise en place de solutions DMZ. - Sécurité liée à l'adressage. - Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...). - Notion de "dé-périmétrisation" du forum Jericho. - Utilisation des firewalls dans la protection des environnements virtuels. 6) Techniques cryptographiques - Terminologie, principaux algorithmes. Législation et contraintes d'utilisation en France et dans le monde. - Algorithmes à clé publique : Diffie Hellman, RSA... - Scellement et signature électronique : MD5, MAC... ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 17

18 - Mots de passe, token, carte à puce, certificats ou biométrie? - Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification. - Sécurisation des clés de chiffrement (PFS, TPM...). - Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X Compléter l'authentification par l'intégrité et la confidentialité des données. 7) Sécurité pour l'intranet/extranet - Les architectures à clés publiques. - Les attaques sur SSL/TLS (sslstrip, sslnif...). - Un serveur de certificat interne ou public? En France ou aux USA? A quel prix? - Comment obtenir des certificats? Comment les faire gérer? - Les risques liés aux certificats X509. L'apport des certificats X509 EV. - Annuaire LDAP et sécurité. - Architectures "3A" (Authentification, Autorisation, Audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs. 8) Réseaux Privés Virtuels (VPN) - Analyse du besoin, conception et déploiement. - La création d'un VPN site à site via Internet. - IPSec. Les modes AH et ESP, IKE et la gestion des clés. - Les produits compatibles IPSec, l'interopérabilité. - Surmonter les problèmes entre IPSec et NAT. - Les VPN SSL (quel intérêt par rapport à IPSec?). - Les produits VPN SSL, l'enjeu de la portabilité. - Le VPN avec DirectAccess sous Windows 7. - Les offres VPN Opérateurs. VPN IPSec ou VPN MPLS? 9) Sécurité des applications - Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...). - Le processus SDL (Security Development Lifecycle). - Utilisation de la technique de "fuzzing". - Les outils de revue de code orientés sécurité. - Le Firewall applicatif (WAF). - Solution WAF Open source avec Apache en reverse proxy et mod_security. - Les critères d'évaluation d'un WAF selon le Web Application Security Consortium (WASC). - Le hardening et la vérification d'intégrité temps réel. 10) Gestion et supervision active de la sécurité - L'apport des normes ISO et ISO Les tableaux de bord Sécurité. La norme ISO Les missions du RSSI dans le suivi de la sécurité. - Les audits de sécurité (techniques ou organisationnels). - Les tests de vulnérabilité ou tests d'intrusion. - Les outils Sondes IDS, Scanner VDS, Firewall IPS. - Consigner les preuves et riposter efficacement. - Mettre en place une solution de SIM. - Se tenir informé des nouvelles vulnérabilités. - Gérer les mises à niveaux. - Savoir réagir en cas d'incidents. - Les services indispensables : où les trouver? Démonstration Intrusion dans un service Web en ligne. Exemple d'un serveur HTTPS et d'un tunnel de sécurité de type IPSec. Protection avancée d'un service Web; détection des attaques et parades en temps réel. Usage d'un IPS. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 18

19 Stage pratique de 5 jour(s) Réf : LAD Auditeurs internes ou externes, gestionnaires de projets, consultants, membres de l'équipe SI d'une organisation, développeurs, directeurs et gestionnaires des applications. Connaissances de base de la norme ISO/IEC Une expérience dans le domaine de l'audit applicatif n'est pas indispensable mais constitue un plus. Prix 2015 : 5610 HT 18 mai 2015, 21 sep nov ISO 27034, sécurité des applications, Lead Auditor, certification Ce cours intensif de 5 jours permet aux participants de comprendre les principes et les concepts de la sécurité applicative selon ISO 27034, mais aussi de développer l'expertise nécessaire pour préparer et réaliser des audits internes et externes soit pour une organisation soit pour une application. PEDAGOGIQUES Acquérir l'expertise requise pour réaliser un audit interne ISO qui respecte les exigences de la norme ISO Acquérir l'expertise pour réaliser un audit de certification ISO qui respecte les exigences d'iso et Acquérir l'expertise requise pour gérer une équipe d'audit en Sécurité Applicative Comprendre la portée, le cycle de vie et les limites de conformité d'une organisation ou d'une application à ISO ) Introduction aux concepts de la sécurité applicative 2) Introduction à l'audit de la sécurité applicative 3) L'audit de sécurité applicative selon ISO Méthodes pédagogiques 4) Audit au niveau de l'organisation 5) Audit au niveau des applications 6) Examen de certification Présentation des concepts clés et des exigences de la norme ISO Exercices et étude de cas pratique. Jeux de rôles et simulation d'audit. Certification Après l'examen, les participants peuvent obtenir une certification «Certified ISO Application Security Provisional Auditor», «Certified ISO Application Security Auditor» ou «Certified ISO Application Security Lead Auditor» selon leur niveau d'expérience. 1) Introduction aux concepts de la sécurité applicative - Revue des principes fondamentaux en sécurité de l'information. - Vision globale de la norme ISO Concepts, principes, définitions, portée, composants, processus et acteurs impliqués en sécurité applicative. - Concepts implicites intégrés à la norme. - Avantages et limites de ISO Différences et complémentarité avec les critères communs et le CMMI. - Le Cadre Normatif de l'organisation (CNO) et le processus de certification ISO/CEI Présentation détaillée des sections 6 à 8 d'iso/iec : ) Introduction à l'audit de la sécurité applicative - Concepts d'audit fondamentaux et principes selon ISO La communication durant un audit. - Procédures d'audit. - L'audit documentaire. - Audit sur site et formulation des constats d'audit, documenter les non-conformités. - Revue de qualité de l'audit. - Évaluation des plans d'actions correctives. 3) L'audit de sécurité applicative selon ISO Approche basée sur la priorisation des risques de sécurité inacceptables et sur la production de preuves. - Audit de surveillance ISO /CEI Programme de gestion d'audit interne ISO/CEI Préparation d'un audit de certification ISO Entente sur le périmètre de l'audit de sécurité applicative. - Détermination des applications dans le périmètre. - Détermination des éléments de sécurité applicative dans le périmètre pour chaque application. 4) Audit au niveau de l'organisation - Entente sur le périmètre de l'audit de SA pour l'organisation. - Le Cadre Normatif de l'organisation (CNO). - La gestion du CNO. - Les objectifs de sécurité applicative de l'organisation. 5) Audit au niveau des applications ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 19

20 - Entente sur le périmètre de l'audit de sécurité applicative pour l'application. - Le cadre normatif de l'application (CNA). - Le processus de gestion de la sécurité applicative au niveau du CNA. - Niveau de confiance et CSA. - ISO Révision finale. - Questions-réponses. 6) Examen de certification Examen Examen de certification ISO Lead Auditor. ORSYS, La Grande Arche, Paroi Nord, La Défense cedex. Tél : +33 (0) Fax : +33(0) page 20

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réseaux et Sécurité SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réf : SRI Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce séminaire vous montrera comment répondre aux impératifs de sécurité des communications

Plus en détail

Formations cybersécurité 2015. Sekoia 2014-16 place de la Madeleine - 75008 PARIS

Formations cybersécurité 2015. Sekoia 2014-16 place de la Madeleine - 75008 PARIS Formations cybersécurité 2015 Sekoia 2014-16 place de la Madeleine - 75008 PARIS INDEX DES FORMATIONS Cliquez sur la formation de votre choix MANAGEMENT DE LA SECURITE DES SYSTEMES D INFORMATION - ISO

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

SECURITE DES SI ET CYBER SECURITE

SECURITE DES SI ET CYBER SECURITE SECURITE DES SI ET CYBER SECURITE Aziz Da Silva WWW.AZIZDASILVA.NET [Company address] Sommaire du Document Formation : Synthèses et Référentiels... 2 Sécurité et Cyber Sécurité : la synthèse technique

Plus en détail

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 2012-2013 Formations Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 01/11/2012 Table des Matières Présentation du Cabinet CESSI... 3 1- ISO 27001 Foundation... 5 2- ISO 27001 Lead Auditor...

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réseaux et Sécurité SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réf: SEA Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage avancé vous permettra de mesurer le niveau de sécurité de votre système

Plus en détail

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397 Formations «Règles de l Art» Nos formations Réf. ART01 14 Heures Authentification Réf. ART02 14 Heures Durcissement des systèmes Réf. ART03 14 Heures Firewall Réf. ART04 14 Heures Logs Réf. ART05 7 Heures

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence"

COURS DE FORMATION Dans le cadre du  Réseau des Centres d'excellence COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence" Tunis Tunisie du 28 Septembre au 09 Octobre 2009 Organisé par: la Conférence des Nations Unies sur le Commerce et le Développement

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Audit de la Sécurité du Système d'information

Audit de la Sécurité du Système d'information Audit de la Sécurité du Système d'information Code : F7 Comment faire évoluer votre politique de sécurité pour réduire les risques en cohérence avec les besoins de votre entreprise? Quelle démarche? Quelles

Plus en détail

TUNIS LE : 20, 21, 22 JUIN 2006

TUNIS LE : 20, 21, 22 JUIN 2006 SÉMINAIRE SUR LA SSI : LA SÉCURITÉ DES SYSTÈMES D INFORMATION TUNIS LE : 20, 21, 22 JUIN 2006 La Sécurité Informatique : LES TECHNOLOGIES ET LES PRODUITS ORGANISÉ PAR : PARTENARIAT AVEC : ARAB ENGINEERING

Plus en détail

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Nous adaptons votre système d information à vos besoins LES SEMINAIRES INTERNATIONAUX DE MIWIS TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Saly, Sénégal : 19-20 21 et 22 Mars 2013 Hôtel Saly

Plus en détail

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011 CATALOGUE FORMATION Année 2010 / 2011 Certified Ethical Hacker Penetration testing tified CHFI Ethical Hacker CHFI Management de la sécurité des SI ical Hacker Penetration t CISSP CISSP Ethical Hacker

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus?

Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus? Pourquoi le C - GSI Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus? La gouvernance des systèmes d information désigne l ensemble

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1 Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Problématiques de la sécurité... 1-2 Domaines de la sécurité... 1-4 Buts de la sécurité informatique... 1-6 Niveaux de sécurité... 1-7

Plus en détail

Améliorer votre approche processus

Améliorer votre approche processus Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Titre. Offre Sécurité - 2016 - www.sodifrance-institut.fr

Titre. Offre Sécurité - 2016 - www.sodifrance-institut.fr Titre Offre Sécurité - 2016 - www.sodifrance-institut.fr SODIFRANCE INSTITUT Sodifrance Institut est spécialisé dans les formations sur les technologies de l information. Grâce aux 850 consultants et ingénieurs

Plus en détail

Journées techniques de l Ouest

Journées techniques de l Ouest Journées techniques de l Ouest La sécurité des systèmes d information Par Gilles BIZET gilles.bizet@aql.fr [Sommaire] I. [La SSI, qu est ce que c est?] II. [Qu avons-nous à protéger?] III. [Comment se

Plus en détail

Quel audit de Sécurité dans quel contexte?

Quel audit de Sécurité dans quel contexte? Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie

Plus en détail

Sécurité des réseaux sans fil Hervé Schauer

Sécurité des réseaux sans fil Hervé Schauer <Herve.Schauer@hsc.fr> HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des réseaux sans fil Hervé Schauer Hervé Schauer

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

2012 / 2013. Excellence. Technicité. Sagesse

2012 / 2013. Excellence. Technicité. Sagesse 2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

Table des matières. Première partie Principes de sécurité du système d information... 5

Table des matières. Première partie Principes de sécurité du système d information... 5 Avant-propos... 1 Première partie Principes de sécurité du système d information... 5 Chapitre 1 Premières notions de sécurité... 7 Menaces, risques et vulnérabilités................... 7 Aspects techniques

Plus en détail

METIERS DE L INFORMATIQUE

METIERS DE L INFORMATIQUE METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.

Plus en détail

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

PSSI, SMSI : de la théorie au terrain. Journées Informatique IN2P3/IRFU, Le Grau du Roi, Octobre 2014, BARBET JM Subatech

PSSI, SMSI : de la théorie au terrain. Journées Informatique IN2P3/IRFU, Le Grau du Roi, Octobre 2014, BARBET JM Subatech PSSI, SMSI : de la théorie au terrain 1/23 Plan Introduction : nécessité de la SSI Problématiques en SSI Cadre légal, réglementaire, normes Pilotage de la SSI : de la théorie au terrain Expérience SSI

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

Consulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec

Consulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec NOS PARTENAIRES Network Telecom Security Solutions en partenariat technique avec Conseil, formation et accompagnement Création, Gestion et Stratégie Management et sécurité de l'information stratégique

Plus en détail

«ASSISTANT SECURITE RESEAU ET HELP DESK»

«ASSISTANT SECURITE RESEAU ET HELP DESK» «ASSISTANT SECURITE RESEAU ET HELP DESK» FORMATION CERTIFIANTE DE NIVEAU III CODE NSF : 326 R INSCRIT AU RNCP ARRETE DU 31/08/11 JO DU 07/09/11 - OBJECTIFS Installer, mettre en service et dépanner des

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

Enjeux de la sécurité des réseaux

Enjeux de la sécurité des réseaux HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Enjeux de la sécurité des réseaux Séminaire Inkra Networks 14 octobre

Plus en détail

Catalogue des formations 2014 #CYBERSECURITY

Catalogue des formations 2014 #CYBERSECURITY Catalogue des formations 2014 #CYBERSECURITY INDEX DES FORMATIONS Cliquez sur la formation de votre choix MANAGEMENT DE LA SECURITE DES SYSTEMES D INFORMATION - ISO 27001 : Certified Lead Auditor - ISO

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

La sécurité applicative

La sécurité applicative La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques

Plus en détail

Mise en œuvre de la certification ISO 27001

Mise en œuvre de la certification ISO 27001 Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au

Plus en détail

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales

Plus en détail

Cabinet d Expertise en Sécurité des Systèmes d Information

Cabinet d Expertise en Sécurité des Systèmes d Information Cabinet d Expertise en Sécurité des Systèmes d Information 2012 Introduction 21 ans d expérience professionnelle, dans l informatique puis dans les TIC. Plus précisément en matière de Sécurité des Réseaux

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Offre de formation ITIL

Offre de formation ITIL Offre de formation ITIL IT Infrastructure Library Consultant certifié ITIL Jean-Claude FOUQUET - Conseil en Organisation - Consultant-Formateur Synthèse de l offre ITIL Population concernée Thèmes développés

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Catalogue des FORMATIONS 2014-2015

Catalogue des FORMATIONS 2014-2015 Catalogue des FORMATIONS 2014-2015 TABLE DES MATIÈRES 4 FSC INItiation à l investigation numérique en milieu de travail 3 JOURS 6 Fondements de la sécurité de l information 1 ou 2 JOURS 7 Introduction

Plus en détail

Management de Projets PMP - Certifiant

Management de Projets PMP - Certifiant MANAGEMENT DE PROJETS Management de Projets PMP - Certifiant Durée : 5 jour(s) / 35 Heures Métier A l'issue de cette formation PMI / PMP, le participant aura acquis l'ensemble des techniques nécessaires

Plus en détail

Formation CCNA SECURITY: Implementing Cisco IOS Network Security (IINS)

Formation CCNA SECURITY: Implementing Cisco IOS Network Security (IINS) Formation CCNA SECURITY: Implementing Cisco IOS Network Security (IINS) Description : Le centre de formation «The FourthR RABAT» organise une session de formation CCNA SECURITY (Cisco Certified Network

Plus en détail

Sécurité. informatique. Principes et méthodes. Préfaces de Christian Queinnec et d Hervé Schauer Avec la contribution de Nat Makarévitch

Sécurité. informatique. Principes et méthodes. Préfaces de Christian Queinnec et d Hervé Schauer Avec la contribution de Nat Makarévitch Sécurité informatique 3 e édition Principes et méthodes Laurent Bloch Christophe Wolfhugel Préfaces de Christian Queinnec et d Hervé Schauer Avec la contribution de Nat Makarévitch Groupe Eyrolles, 2007,

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Mise en place d une politique de sécurité

Mise en place d une politique de sécurité Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

SOMMAIRE Thématique : Qualité

SOMMAIRE Thématique : Qualité SOMMAIRE Thématique : Qualité Rubrique : Audit et amélioration... 2 Rubrique : Divers... 8 Rubrique : Maintenance...11 Rubrique : Système de management de la qualité...14 1 Rubrique : Audit et amélioration

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Sécurité Applicative & ISO 27034

Sécurité Applicative & ISO 27034 Club 27001 Toulouse 04/07/2014 - Sébastien RABAUD - Sécurité Applicative & ISO 27034 Agenda Sécurité applicative Constats Solutions? ISO 27034 Présentation Analyse 2 Agenda Sécurité applicative Constats

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Formation Certifiante: ITIL Foundation V3 Edition 2011

Formation Certifiante: ITIL Foundation V3 Edition 2011 Formation Certifiante: ITIL Foundation V3 Edition 2011 Description : ITIL (Information Technology Infrastructure Library) est un ensemble de publications propriété du Cabinet Office qui regroupe les meilleures

Plus en détail

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1 Réf.AQ-Q1 Les Systèmes d'information des entreprises réglementées font l'objet d'exigences spécifiques. Celles-ci sont souvent difficiles à appréhender pour les spécialistes métier de l'assurance Qualité,

Plus en détail

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure

Plus en détail

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais) ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais) Vue d ensemble de la formation ITIL est un ensemble de conseils sur les meilleures pratiques, devenu un référentiel pour la gestion

Plus en détail

SOMMAIRE Thématique : Sécurité des systèmes d'information

SOMMAIRE Thématique : Sécurité des systèmes d'information SOMMAIRE Thématique : Sécurité des systèmes d'information Rubrique : Base de données... 2 Rubrique : Développement... 5 Rubrique : Réseaux - Télécommunications... 8 Rubrique : Système d'exploitation...18

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

«Audit Informatique»

«Audit Informatique» U N I V E R S I T É P A R I S 1 P A N T H É O N - S O R B O N N E Formation «Audit Informatique» 2014 Formation «Audit Informatique» Du 20 mars au 14 juin 2014 DIRECTION DE PROGRAMME : Christine TRIOMPHE,

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

FORMATION. Chargé de sécurité et de prévention. Points Forts de la formation OBJECTIFS PEDAGOGIQUES

FORMATION. Chargé de sécurité et de prévention. Points Forts de la formation OBJECTIFS PEDAGOGIQUES FORMATION Chargé de sécurité et de prévention Référence : 124-344-13 Durée : 5 jours Public Tous salariés chargés de la sécurité ou la prévention Pré-requis Aucun Points Forts de la formation Une approche

Plus en détail

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015 Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif

Plus en détail

Management des SI, ITIL, ISO, COBIT...

Management des SI, ITIL, ISO, COBIT... Management des SI, ITIL, ISO, COBIT... Les référentiels de management des systèmes d'information apportent les meilleures pratiques aux organisations, facilitent la gestion des compétences et améliorent

Plus en détail

Programme de formation " ITIL Foundation "

Programme de formation  ITIL Foundation Programme de formation " ITIL Foundation " CONTEXTE Les «Référentiels» font partie des nombreux instruments de gestion et de pilotage qui doivent se trouver dans la «boite à outils» d une DSI ; ils ont

Plus en détail

FORMATION & CONSEIL SPÉCIALISÉ EN SANTÉ ET SÉCURITÉ AU TRAVAIL MANAGEMENT SYSTÈMES

FORMATION & CONSEIL SPÉCIALISÉ EN SANTÉ ET SÉCURITÉ AU TRAVAIL MANAGEMENT SYSTÈMES FORMATION & CONSEIL SPÉCIALISÉ EN SANTÉ ET SÉCURITÉ AU TRAVAIL MANAGEMENT SYSTÈMES FORVALYS - RCS TOULOUSE 510 274 137 - APE 7490 B - N organisme de formation : 73 31 05415 31-20 impasse Camille Langlade

Plus en détail

Filière métier : Administrateur messagerie et portail collaboratif

Filière métier : Administrateur messagerie et portail collaboratif Filière métier : Administrateur messagerie et portail collaboratif L émergence de nouveaux outils (webcam, forum en ligne, messagerie instantanée ) à côté des outils traditionnels (pack office, moteur

Plus en détail

ITIL V3 Intermediate - Release, Control and Validation (RCV) Mettre en production, contrôler et valider des processus (3ITMG186)

ITIL V3 Intermediate - Release, Control and Validation (RCV) Mettre en production, contrôler et valider des processus (3ITMG186) ITIL V3 Intermediate - Release, Control and Validation (RCV) Mettre en production, contrôler et valider des processus (3ITMG186) Durée 5 Jours / 35 Heures de formation Objectifs Savoir planifier les activités

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Date : 29/10/2015 Version : v 0.4 IDENTIFICATION DU POSTE. Intégrateur d applications Administrateur d outils A ou contractuel de droit public

Date : 29/10/2015 Version : v 0.4 IDENTIFICATION DU POSTE. Intégrateur d applications Administrateur d outils A ou contractuel de droit public FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : Prénom : RESPONSABLE HIERARCHIQUE DIRECT Nom : Aziz Prénom : Bénédicte Visa : Visa : Date : 29/10/2015

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI Prestation sécurité Benjamin Arnault Matthieu Hentzien Benjamin

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

Sécurité informatique: introduction

Sécurité informatique: introduction Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information

Plus en détail

L offre de formation 2014 INSET de Dunkerque

L offre de formation 2014 INSET de Dunkerque Informatique et systèmes d information Code action Session Libellé Date début Date fin Page SX2HM 002 Green it ou " informatique verte " 04/09/2014 05/09/2014 3 SX2HF 002 Marchés publics informatiques

Plus en détail

INFORMATIQUE ET SYSTEMES D INFORMATION

INFORMATIQUE ET SYSTEMES D INFORMATION INFORMATIQUE ET SYSTEMES D INFORMATION VOS CONTACTS : Sandrine LIEBART Christine JOLLY Conseillère Formation Génie Technique et Ecologique, Systèmes d'information Géographique sandrine.liebart@cnfpt.fr

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail