Programmation sécurisée
|
|
- Anne-Sophie Rochefort
- il y a 8 ans
- Total affichages :
Transcription
1 2.1 Programmation sécurisée Introduction à la programmation sécurisée «One of the best weapons you can have in your arsenal is clean code» -- Jim Allchin (MS - Resp. Windows Server) SDL book
2 Définitions Sûreté (reliability) d un logiciel : mesures permettant d éviter les défaillances du logiciel Sécurité (security) d un logiciel : mesures spécifiques permettant de garantir le fonctionnement prévu du logiciel contre des actes de malveillances Risque : probabilité qu un danger/menace se concrétise Bug/Bogue logiciel : erreur dans le logiciel causée par un défaut de conception, d implémentation ou de configuration Exploit : programme (souvent automatique) utilisant un bogue logiciel (une vulnérabilité) pour exécuter une action non prévue par ce dernier (déni de service, exécution de commandes, etc.)
3 Illustration Sûreté & Sécurité Exemple : protocole de transmission d information (température, pression, taux d humidité) entre deux stations de météorologie basée sur le protocole UDP Risque 1 : erreur de transmission sur la ligne (impact en intégrité) Risque 2 : malveillance sur la ligne (impact en intégrité) Quelle(s) solution(s)?
4 Motivation à la sécurité logicielle La protection de l information : Favorise l identification des données sensibles à protéger : Exemple : donnée métier, donnée personnelle, donnée du système d information, etc. Cas de la donnée à caractère personnel (privacy) : données permettant directement ou indirectement d avoir une information sur une personne physique Réglementation spécifique (cf. CNIL) Notion de «patrimoine informationnel» : ensemble des données, protégées ou non, valorisables ou historiques, d une personne physique ou morale.
5 Motivation à la sécurité logicielle La protection de l information : Précise la localisation des données : Cas de la duplication volontaire ou non des données. Exemple : poste de travail, serveur de fichiers, équipement portatif (type ordiphone), informatique en nuage (cloud) Identifie les canaux de transmission et d utilisation de l information Exemple : transport sécurisé de bout en bout / stockage sécurisé de la donnée
6 Motivation à la sécurité logicielle La protection de l information : Assure que le traitement ne réalise que les opérations demandées
7 Motivation à la sécurité logicielle La réduction des coûts (financier/humain) : moins couteux de prendre la sécurité amont sur le long terme mais la prise en compte de la sécurité a un coût initial important (phase de conception) retour sur investissement toujours difficile à justifier / à évaluer
8 Motivation à la sécurité logicielle Réduction des coûts (financier/humain) : Intègre l évolutivité de l application dès la phase de conception Exemple : changement de modèle d une application client à client/serveur. Les retours en arrière sont parfois impossibles ou nécessitent des rustines couteuses Conséquence du point précédent : maîtrise des correctifs de sécurité : moins de correctif de sécurité à appliquer
9 Motivation à la sécurité logicielle Facteur de qualité/valorisation pour une application : Prérequis à une application sécurisée : application dont le fonctionnement est toujours maîtrisé Exemple: OpenSSH Qualité et Sécurité vont généralement dans la même sens Mais la sécurité limite (bride?) la rapidité de mise en œuvre de nouvelles fonctionnalités Exemple : OpenBSD Maîtrise des évolutions : la sécurité nécessite d avoir une stratégie (même minimaliste) dans la conception d un logiciel Exemple : le socle système évolue plus rapidement que l application développée (Windows XP -> 10)
10 Motivation à la sécurité logicielle Améliore l image du logiciel : créé la confiance et l adhésion des utilisateurs argument commercial (positif ou négatif) Exemples : Microsoft : SDL Security Development Life Cycle (2006) Adobe : 2008 : 6 mois pour corriger une vulnérabilité critique découverte par 3 sociétés (indépendamment) Mars 2009: 20 jours pour corriger une vulnérabilité largement exploitée sur Internet 2012 : synchronisation des publications avec Microsoft et Google Projet «Sandboxing flash» (Safari, Chrome, ) Java : Java-0day.com OpenBSD Only two remote holes in the default install, in a heck of a long time!
11 Motivation à la sécurité logicielle Conforme à la réglementation : Reconnaissance d un certain niveau de sécurité au niveau national / international Pré requis à certaines applications : Exemple : PCI-DSS pour le paiement par carte bancaire sur Internet interdit le stockage en clair du numéro de carte bancaire Attention : exigences qui ne sont pas forcément techniques Exemple : exigence d un suivi de la sécurité (sans les spécifier) cas de la réglementation sur les jeux en ligne Exemple : exigence sur le niveau de documentation cas des premiers niveaux CC
12 Cycle de vie d une vulnérabilité Plusieurs acteurs : Chercheurs en sécurité : étudiant, groupe organisée, laboratoire de recherche, etc. Etat (Cyberdéfense) Editeur logiciel («victime» de la vulnérabilité) Exemple 1 : Microsoft, «linux», Apple, Adobe Exemple 2 : entreprise, module de société de service CERT public/privée Editeur d un produit de sécurité (exemple : éditeur d antivirus) ou éditeur concerné (Project Zero Google) Communauté : forum, mailing-list, blog, etc. Société spécialisée afin de revendre des vulnérabilités : Tiers de «confiance» Revendeur / Acheteur
13 Cycle de vie d une vulnérabilité Critère important : facilité de développement d un exploit Fenêtre d exposition : période entre la découverte de la vulnérabilité et le correctif de sécurité (exposition publique ou non) Fenêtre d exploitation active: période entre l exploitation active de la vulnérabilité et le correctif de sécurité Exploitation publique connue ou non «0 day» «Zero day time»
14 Cycle de vie d une vulnérabilité Plusieurs modes de divulgation possibles (détaillés plus loin) : secret complet d une vulnérabilité (bug secrecy) divulgation complète (full disclosure) informer les utilisateurs en même temps que l éditeur. Exemple : SMBv2 Process High exploit posté sur un blog negotiate-protocol.html divulgation responsable (responsible/vendor disclosure) informer l éditeur avant de sortir un avis public. Parfois via un intermédiaire (exemple: CERT, Zero Day Initiative) Cas des récompenses («bug bounties») : voir plus loin. approche hybride (cas Google) autre cas de plus en plus courant : exploitation active
15 Cycle de vie d une vulnérabilité Bug Secrecy La vulnérabilité est découverte, gardée secrète par l éditeur ou une communauté d intérêt : Vulnérabilité n est pas corrigée immédiatement (parfois jamais) Modèle souvent considéré comme dépassé : Difficulté à conserver un secret entre plusieurs acteurs Vulnérabilité redécouverte tôt ou tard Méthode qui n augmente pas le niveau de sécurité du produit sur le long terme
16 Cycle de vie d une vulnérabilité Bug Secrecy quelques cas où ce mode de fonctionnement est encore rencontré : Système «impossible» à mettre à jour et/ou très critique (processus industriel) Vulnérabilité critique impactant plusieurs éditeurs. Cas des failles protocolaires : Exemple 1: vulnérabilité TCP/IP Sockstress CVE Exemple 2 : vulnérabilité DNS (CVE ). Vulnérabilité retrouvée avant la divulgation
17 Cycle de vie d une vulnérabilité Responsible disclosure Découverte d une vulnérabilité Déploiement du correctif (durée indéterminée) Analyse (et utilisation?) de la vulnérabilité par l auteur Coordination de l éditeur pour une réponse à la vulnérabilité («correctif») Editeurs logiciels, CERT informés
18 Cycle de vie d une vulnérabilité Full disclosure Découverte d une vulnérabilité Déploiement du correctif (durée indéterminée) Analyse (et utilisation?) de la vulnérabilité par l auteur Coordination de l éditeur pour une réponse à la vulnérabilité («correctif») Communication publique de la vulnérabilité (détaillée ou non) Editeur logiciel informé (à ses dépens)
19 Cycle de vie d une vulnérabilité Responsible disclosure hybride Constat: certains éditeurs ont des délais de création des correctifs (exagérément) longs L auteur de la découverte de la vulnérabilité donne 60 jours à l éditeur avant de passer dans une politique de «full disclosure». Cas d une exploitation active : 7 jours Objectif : mettre la pression sur les éditeurs pour mettre à disposition un correctif de sécurité 07/rebooting-responsible-disclosure-focus.html
20 Cycle de vie de la vulnérabilité Autres cas Concours (cansecwest, ) Exploitation actives : cas des vulnérabilités découvertes «dans la nature» (très fréquent depuis 2010) Stuxnet, Affaire Aurora (Google), etc. Fuite de données : cas de Hacking Team (2015)
21 Cycle de vie de la vulnérabilité Autres cas Vente de vulnérabilités : marché des vulnérabilités Vendeur, acheteur, tiers de «confiance» Prix évolue en fonction de la demande et des technologies
22 Cycle de vie de la vulnérabilité Durée de réalisation d un correctif pour une vulnérabilité importante parfois très long : Hewlett Packard : 1132 jours IBM : 908 jours RealNetworks : 739 jours Microsoft : 587 jours Computer Associates : 541 jours Firefox : 438 jours Adobe : 396 jours Autres exemples sur ZDI :
23 Cycle de vie de la vulnérabilité Le logiciel ne contient pas toujours directement la vulnérabilité : dépendance à une bibliothèque vulnérable Exemple : liaison statique avec OpenSSL vuln. adhérence à un système d exploitation vulnérable abstraction d un périphérique vulnérable implémentation d un protocole vulnérable Exemple : WEP
24 Cycle de vie de la vulnérabilité Test et qualification du correctif par l éditeur Problème complexe surtout si l application est immergée dans un environnement hétérogène, voir modifier par un revendeur : Cas des téléphones Validation système / fonctionnelle : Tests de non-régression Incompatibilité du boggue Déploiement : manuel / automatique
25 Évolution des menaces Les techniques d exploitation des vulnérabilités se sont affinées : Windows MS08-001: Vulnérabilité du noyau Windows dans le protocole IGMPv3. Considéré comme inexploitable par Microsoft mais finalement exploité par les attaquants Vmware: CVE Élévation de privilèges sur la machine hôte Java : CVE Élévation de privilèges dans la machine virtuelle Java Stuxnet. Reprogrammation d un automate Siemens utilisé dans le domaine du nucléaire SMM. Blackhat 2015
26 Évolution des menaces Attaquants (très) créatifs L attaquant doit trouver un chemin d attaque Le défenseur doit couvrir l ensemble des chemins possibles vs
27 Évolution des menaces Périmètre de recherche des vulnérabilités des logiciels plus vaste : Plugin des navigateurs Internet : Exemple : Adobe Acrobat Reader - CVE Routine de décodage des fichiers : Exemple : Archive ZIP de l explorateur - MS Application Web: attaque directement l application (surtout si elles sont développées pour un besoin particulier) Emulation / Virtualisation Smartphone : jailbreaking Cloud Objet connecté Les attaquants recherchent les vulnérabilités là où les protections sont les plus faibles. Exemple : Windows Server 2012 / Applications tierces
28 Évolution des menaces Industrialisation de la recherche de vulnérabilités : Pratique lucrative Cyber crime / Cyber warfare Aspect stratégique ex: données d une application ministérielle Explosion des outils «automatiques» de recherche de vulnérabilités application accessible sur Internet et ayant une faille «béante» est rapidement piratée Ex: Framework PHP - Joomla
29 Évolution des menaces De nouvelles classes de bug sont régulièrement découvertes : communauté très active Développeur pas toujours au fait des dernières bonnes pratiques ex: Web 2.0, virtualisation, ordiphone Interopérabilité / Interconnexion croissante : Une application est généralement interconnectée indirectement à Internet Infection par clé USB
30 Évolution des (mauvaises) pratiques Démocratiser le développement : Revers de la médaille : développeur peu sensibilisé à la sécurité Besoins opérationnels prédominent sur le reste : Egalement le cas pour les aspects commerciaux Réduction des délais de réalisation : besoin de développer vite pour répondre à une décision (réfléchie/applicable?) Origine: Aspect réglementaire / politique / opérationnel Réduction des couts de développement : Pour le ministère : moins de ressources, temps de conception réduit Pour le prestataire : développeur moins expérimenté stagiaire
31 Évolution des (mauvaises) pratiques Raison «psychologique» : Appréhension des risques : un développeur/décideur ne prend en compte que les risques qu il comprend Développeur est créatif par nature : réticence à intégrer des mécanismes déjà existants dont il ne perçoit pas la complexe Préjugé et apriori
32 Évolution des (mauvaises) pratiques Complexité croissante des applications, des outils, des exigences. Comparaison entre : Visual Studio 6 et Visual Studio 2013 Méthodes du Web 2.0: nouveaux protocoles, nouvelles façons de penser Cryptographie, processus de mise-à-jour, sont aujourd hui des pré requis Idée erronée de la sécurité logicielle : Se limite à citer/utiliser une norme: SSL, XML signing, sans ce soucier des détails Réalité économique : la sécurité est un business comme un autre : «Un projet simple ou qui marche du premier coup est un projet peu rentable.»
33 Évolution des réponses «Proactivité» : Intégrer la sécurité dans les systèmes d exploitation Limiter l impact d une vulnérabilité Interconnexion permet la mise à jour des logiciels Réponse rapide: communication, diffusion du correctif Outils d audit automatique du code : Compenser/Mitiger la méconnaissance des développeurs Analyse statique du code source: PreFast, Fortify, Existence de méthodologie / retours d expérience sur les technologies/problématiques éprouvées :
34 Évolution des réponses Gestion du développement industrialisé : Multi-utilisation, traçabilité, respect des spécifications Existence de bonnes pratiques et de méthodologies : Retour d expérience sur certaines technologies : Authentification, chiffrement, redondance, filtrage des réseaux, etc. Expérience des acteurs très importante : parfois suffisante «Une vulnérabilité est toujours l occasion d apprendre.» M. Howards (SDL)
35 Avant : Évolution des réponses
36 Évolution des réponses Cycle de développement plus rapide : Plusieurs mois => une semaine / un jour Réduction du temps pour appliquer un correctif à l environnement de production Maitrise des tests : Par fonctionnalités Par les groupes d utilisateur
37 Cas des «bug bounties» Récompenser la découverte d une vulnérabilité : Financièrement Renommée / «Wall of fame» Difficultés : Incitation au piratage d un système d information mais un système accessible sur Internet est en permanence attaquée Nécessite un budget spécifique mais la recherche de la renommée prédomine souvent la récompense financière
38 Cas des «bug bounties» Bénéfices : Sensibiliser les attaquants/utilisateurs à prévenir l éditeur préalablement Augmenter indirectement le coût d une vulnérabilité Valider la sécurité d un logiciel en situation réelle Tableau de bord : Nombre de vulnérabilités trouvées Temps de publication d un correctif
39 Cas des logiciels «open source» Code source librement téléchargeable : En théorie : principe du «many eyes» Tout le monde peut auditer le code de l application, remonter les erreurs, documentation, etc. En pratique : l audit de code est un travail long et pénible => faible retour Les développeurs préfèrent augmenter le nombre de fonctionnalités que relire du code source et corriger des bogues Cas Nessus La sécurité est une contrainte pour le développeur Quelques exceptions : Linux, openssh, Apache, etc.
40 Cas des logiciels «open source» CVE Bug dans le serveur X 20 ans CVE Bug Sendmail- 15 ans CVE Samba file & print 7 ans CVE Vulnérabilité du logiciel OpenSSL dans Debian : La vulnérabilité a été introduite par le «packager» du logiciel OpenSSL Générateur de nombre aléatoire prédictible depuis 2 ans : clé SSH, certificat à refaire
41 Référence Mar/0056.html html - timeline
42 Référence _2D00_-The-case-of-the-missing-Windows-Server-2003-attack-vector.aspx
Exigences système Edition & Imprimeries de labeur
Exigences système Edition & Imprimeries de labeur OneVision Software France Sommaire Asura 9.5, Asura Pro 9.5, Garda 5.0...2 PlugBALANCEin 6.5, PlugCROPin 6.5, PlugFITin 6.5, PlugRECOMPOSEin 6.5, PlugSPOTin
Plus en détailExpérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet
Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction
Plus en détailTechnologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage
Technologies du Web Créer et héberger un site Web Page 1 / 26 Plan Planification Choisir une solution d hébergement Administration Développement du site Page 2 / 26 Cahier des charges Objectifs du site
Plus en détailCode Produit Nom Produit Dernière mise à jour. AM003 Alias Mobile On Demand Licence 1 mois 27/04/2015
www.alias-ad.com ALIAS MOBILE DESIGNER Des solutions innovantes pour la création d applications de gestion accessibles aux appareils mobiles (tablettes et smartphones) en client léger. Code Produit Nom
Plus en détailExigences système Edition & Imprimeries de labeur
Exigences système Edition & Imprimeries de labeur OneVision Software France Sommaire Asura 10.2, Asura Pro 10.2, Garda 10.2...2 PlugBALANCEin10.2, PlugCROPin 10.2, PlugFITin 10.2, PlugRECOMPOSEin 10.2,
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailWINDOWS Remote Desktop & Application publishing facile!
Secure Cloud & Solutions Accès BOYD CLOUD acces informatiques & BYOD sécurisé MYRIAD-Connect facilite votre travail en tous lieux et à tous moments comme si vous étiez au bureau. Conçu pour vous simplifier
Plus en détailI. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise
I. Descriptif de l offre L offre Sage 100 Entreprise Edition Entreprise Sage 100 Entreprise Edition Etendue est une offre en accès full web. En complément d une utilisation traditionnelle de Sage 100 Entreprise,
Plus en détailCATALOGUE DES OFFRES O2i INGÉNIERIE POUR LES PLATEFORMES ÉDITORIALES
CATALOGUE DES OFFRES O2i INGÉNIERIE POUR LES PLATEFORMES ÉDITORIALES SYGESP Solution éditoriale Cross-Média Fiche produit O2i + L' EXPERTISE O2I POUR LA SOLUTION Nous sommes distributeur exclusif de la
Plus en détailFormations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397
Formations «Règles de l Art» Nos formations Réf. ART01 14 Heures Authentification Réf. ART02 14 Heures Durcissement des systèmes Réf. ART03 14 Heures Firewall Réf. ART04 14 Heures Logs Réf. ART05 7 Heures
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012
LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste
Plus en détailClariLog - Asset View Suite
ClariLog - Asset View Suite Architecture et Prérequis v. 20140601 TABLE DES MATIERES 1 Architecture et principe de mise en place... 3 2 Serveur (stockage)... 4 2.1 Ressource réseau partagée... 4 2.2 Base
Plus en détailPUISSANCE ET SIMPLICITE. Business Suite
PUISSANCE ET SIMPLICITE Business Suite LA MENACE EST REELLE Les menaces numériques sont une réalité pour votre entreprise, quelle que soit votre activité. Que vous possédiez des données ou de l'argent,
Plus en détailSystèmes en réseau : Linux 1ère partie : Introduction
Systèmes en réseau : Linux 1ère partie : Introduction Les fondements de Linux : le logiciel libre Historique de Linux Présentation générale de Linux Les applications à succès Les distributions Qu'est-ce
Plus en détailIngénieur Généraliste Spécialité Informatique
Dossier de Compétences Ingénieur Généraliste Spécialité Informatique FORMATION Formations Février 2009 Formation MS510 - Implémenter Office SharePoint Server 2007 Novembre 2008 Formation Oracle «Oracle
Plus en détailRapport 2015 sur les risques d attaques informatiques
Rapport Rapport 2015 sur les risques d attaques informatiques Résumé analytique Le paysage informatique La version 2015 du Rapport annuel sur les risques d attaques informatiques de HP Security Research
Plus en détailINTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)
CS WEB Ch 1 Introduction I. INTRODUCTION... 1 A. INTERNET INTERCONNEXION DE RESEAUX... 1 B. LE «WEB» LA TOILE, INTERCONNEXION DE SITES WEB... 2 C. L URL : LOCALISER DES RESSOURCES SUR L INTERNET... 2 D.
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailDécouvrez notre solution Alternative Citrix / TSE
Découvrez notre solution Alternative Citrix / TSE OmniWare est un produit résolument moderne qui répond aux besoins actuels des entreprises en apportant une solution pour la mobilité des collaborateurs,
Plus en détailARCHITECTURE ET SYSTÈMES D'EXPLOITATIONS
ARCHITECTURE ET SYSTÈMES D'EXPLOITATIONS Axel François bureau C19 (2eme étage) cours disponibles en pdf sur : www.iut-arles.up.univ-mrs.fr/francois 1 PLAN En Cours : qu'est-ce qu'un ordinateur? à quoi
Plus en détailCloud Computing. 19 Octobre 2010 JC TAGGER
Cloud Computing 19 Octobre 2010 JC TAGGER AGENDA 8h30-9h00 Le Cloud Computing De quoi s agit-il? Opportunités pour les entreprises Impact sur la chaine de valeur de l industrie des NTIC s 9h00-9h15 Témoignage
Plus en détailADMINISTRATION, GESTION ET SECURISATION DES RESEAUX
MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE ENSEIGNEMENT DE PROMOTION SOCIALE DE REGIME 1 DOSSIER PEDAGOGIQUE UNITE DE FORMATION ADMINISTRATION,
Plus en détailDescription de l implantation dans le centre d examen (nom du service ou de l outil et caractéristiques techniques)
ANNEXE VII-1 : modèle d attestation de respect du cahier des charges pour l épreuve E4 (parcours SISR) BTS SERVICES INFORMATIQUES AUX ORGANISATIONS Session 2014 CONTRÔLE DE L ENVIRONNEMENT TECHNOLOGIQUE
Plus en détailCommuniqué de lancement. Sage 100 Entreprise Edition Etendue Module CRM inclus
Sage 100 Entreprise Edition Etendue Module CRM inclus Disponibilité commerciale 3 Mars 2010 Nouveauté produit! 1 1 Sommaire I. Descriptif de l offre ------------------------------------------------------------------------------------
Plus en détailPourquoi choisir ESET Business Solutions?
ESET Business Solutions 1/6 Que votre entreprise soit tout juste créée ou déjà bien établie, vous avez des attentes vis-à-vis de votre sécurité. ESET pense qu une solution de sécurité doit avant tout être
Plus en détailBilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com
Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com OSSIR - RéSIST - Avril 2009 Philippe Bourgeois Plan de la présentation L année 2008 du Cert-IST en 3 chiffres clés Les phénomènes majeurs
Plus en détailDenyAll Detect. Documentation technique 27/07/2015
DenyAll Detect Documentation technique 27/07/2015 Sommaire 1. A propos de ce document... 3 1.1 Objet... 3 1.2 Historique... 3 1.3 Contexte... 3 2. Liste des tests... 4 2.1 Découverte réseau (scan de ports)...
Plus en détailSolution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique
Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG EHRHARD Eric - Gestionnaire Parc Informatique 1 Possibilités d OCS Inventory. Informations d'inventaire pertinentes.
Plus en détailConfiguration requise Across v6 (Date de mise à jour : 3 novembre 2014)
Configuration requise Across v6 (Date de mise à jour : 3 novembre 2014) Copyright 2014 Across Systems GmbH Sauf autorisation écrite d'across Systems GmbH, il est interdit de copier le contenu du présent
Plus en détailIntroduction aux antivirus et présentation de ClamAV
Introduction aux antivirus et présentation de ClamAV Un antivirus libre pour un système libre Antoine Cervoise ClamAV : http://www.clamav.net/ Plan Le monde des malwares Historique Les logiciels malveillants
Plus en détailRetour d expérience sur Prelude
Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan
Plus en détailMenaces du Cyber Espace
Menaces du Cyber Espace Conférence 02-04-2014 David WARNENT Police Judiciaire Fédérale Namur Regional Computer Crime Unit Faits Divers Tendances Social Engineering Hacktivisme Anonymous et assimilés Extorsions
Plus en détailEtude d Exchange, Google Apps, Office 365 et Zimbra
I. Messagerie Exchange 2013 2 1) Caractéristiques 2 2) Pourquoi une entreprise choisit-elle Exchange? 2 3) Offres / Tarifs 2 4) Pré requis pour l installation d Exchange 2013 3 II. Google Apps : 5 1) Caractéristiques
Plus en détailLes logiciels indispensables à installer sur votre ordinateur
Vous avez réinstallé Windows, vous venez d acquérir un nouvelle ordinateur, vous voilà donc avec un beau Windows tout propre, tout neuf et surtout tout vide. Il faut reconnaître que Windows fraîchement
Plus en détailLiens de téléchargement des solutions de sécurité Bitdefender
Liens de téléchargement des solutions de sécurité Bitdefender Cher client, Ce document a pour but de faciliter l installation et le déploiement des solutions de sécurité Bitdefender en regroupant dans
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailGuide utilisation SFR Sync. SFR Business Team - Présentation
Guide utilisation SFR Sync SFR Business Team - Présentation SFR Sync ATAWAD Ecosystème complet Synchronisation de tous les appareils à partir du Cloud Simplicité Dossiers locaux synchronisés avec le Cloud
Plus en détailConfiguration système requise
Configuration système requise La configuration système requise pour Quark Publishing Platform indiquée ci-dessous est une configuration de base, mais le nombre d'utilisateurs, d'éléments multimédias et
Plus en détailVulnérabilités engendrées par la virtualisation. Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL
Vulnérabilités engendrées par la virtualisation Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL V2-26/9/2007 Vulnérabilités engendrées par la virtualisation Rappel des architectures
Plus en détail«Ré-inventer le browser d'entreprise pour assurer sa sécurité au coeur du Cloud Computing»
«Ré-inventer le browser d'entreprise pour assurer sa sécurité au coeur du Cloud Computing» La société Solutions et expertise pour la navigation web en entreprise Direction Comité stratégique David Dupré
Plus en détailLe partenaire tic de référence. Gestion des ressources humaines INOVA RH
Le partenaire tic de référence Gestion des ressources humaines INOVA RH Présentation Présentation INOVA RH Objectifs Présentation La réalisation d une application de gestion des ressources humaines rentre
Plus en détailManuel de déploiement sous Windows & Linux
Manuel de déploiement sous Windows & Linux 18/11/2013 Page 1/6 Prérequis Vous devez consulter la spécification technique dénommée «caractéristiques techniques des serveurs et stations» afin de connaître
Plus en détailCIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Plus en détailFiche Technique. Cisco Security Agent
Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit
Plus en détailGuide d installation de SugarCRM Open Source version 4.5.1
Guide d installation de SugarCRM Open Source version 4.5.1 Version 1.0.2 Mentions légales Mentions légales Ce document est susceptible de modification à tout moment sans notification. Disclaimer / Responsabilité
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailFaits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X
1 OSSIR 2007/11/12 Faits techniques et retour d'expérience d'une cellule d'expertise Jérémy Lebourdais Mickaël Dewaele jeremy.lebourdais (à) edelweb.fr mickael.dewaele (à) edelweb.fr EdelWeb / Groupe ON-X
Plus en détailCatalogue des formations
Catalogue des formations NANCY et TRAINING (siège) 22 rue de Médreville 54000 Nancy Téléphone : 03 83 67 63 05 METZ 4 rue Marconi 57070 Metz Téléphone : 03 87 20 35 02 REIMS 09 rue Pingat 51000 Reims Téléphone
Plus en détailHébergement MMI SEMESTRE 4
Hébergement MMI SEMESTRE 4 24/03/2015 Hébergement pour le Web Serveurs Mutualités Serveurs Dédiés Serveurs VPS Auto-Hébergement Cloud Serveurs Mutualités Chaque Serveur héberge plusieurs sites Les ressources
Plus en détail10 bonnes pratiques de sécurité dans Microsoft SharePoint
10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft
Plus en détailCybercriminalité. les tendances pour 2014
Cybercriminalité les tendances pour 2014 Perte de la vie privée La tendance «à aller vers le cloud» va-t-elle affecter la confidentialité des données? Les utilisateurs vont-ils pouvoir réagir par rapport
Plus en détailDes solutions sur mesure à partir de modules fonctionnels & CRM associés à un studio de customisation.
( FDV Des solutions sur mesure à partir de modules fonctionnels & CRM associés à un studio de customisation. Constat S il est un secteur informatique où les progiciels ne répondent que partiellement aux
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailMailStore Server 7 Caractéristiques techniques
MailStore Server 7 Caractéristiques techniques MailStore Server La référence en matière d archivage d e-mails La solution MailStore Server permet aux entreprises de toutes tailles de bénéficier des avantages
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailMode d emploi pour lire des livres numériques
Mode d emploi pour lire des livres numériques Configuration minimale requise : Pour télécharger des ouvrages numériques sur son poste et utiliser les fichiers, vous avez besoin : sur PC : connexion Internet
Plus en détailDossier de presse - Mai 2014. Le stockage en ligne Cloud & Backup
Dossier de presse - Mai 2014 Le stockage en ligne Cloud & Backup 1 PHPNET est une société française offrant des solutions d hébergement web pour sites et applications internet à plus de 10 000 clients.
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailCloud Computing et SaaS
Cloud Computing et SaaS On a vu fleurir ces derniers temps un grands nombre de sigles. L un des premiers est SaaS, Software as a Service, sur lequel nous aurons l occasion de revenir. Mais il y en a beaucoup
Plus en détailDemande d assistance : ecentral.graphics.kodak.com. Variable Data Print est désormais une option sous licence de InSite Storefront 6.0.
Kodak Graphic Communications Canada Company 3700 Gilmore Way Burnaby, B.C., Canada V5G 4M1 Tél. : 1.604.451.2700 Fax : 1.604.437.9891 Date de parution : 14 octobre 2009 Demande d assistance : ecentral.graphics.kodak.com
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailface à la sinistralité
Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques
Plus en détailTunnels et VPN. 22/01/2009 Formation Permanente Paris6 86
Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement
Plus en détailPoint sur les solutions de développement d apps pour les périphériques mobiles
Point sur les solutions de développement d apps pour les périphériques mobiles Par Hugues MEUNIER 1. INTRODUCTION a. Une notion importante : le responsive web design Nous sommes en train de vivre une nouvelle
Plus en détailManuel logiciel client Java
Manuel logiciel client Java 2 Copyright Systancia 2012 Tous droits réservés Les informations fournies dans le présent document sont fournies à titre d information, et de ce fait ne font l objet d aucun
Plus en détailVOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO
VOLET 4 SECURITY BULLETIN KASPERSKY LAB Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO SOMMAIRE SOMMAIRE PRÉVISIONS 2015 3 Quand les cybercriminels s inspirent des APT 4 Les groupes se fragmentent, les attaques
Plus en détailL UTILISATEUR, CIBLE DE TOUTES LES MENACES
CHAPITRE 2 : L UTILISATEUR DÉFINIT LE PÉRIMÈTRE L UTILISATEUR, CIBLE DE TOUTES LES MENACES 1 L UTILISATEUR, CIBLE DE TOUTES LES MENACES En 2014, le Groupe NTT a recensé des «70 % des vulnérabilités millions
Plus en détailComparatif de VMware Zimbra aux principales plates-formes de messagerie et de collaboration LIVRE BLANC COMPARATIF ZIMBRA
Comparatif de VMware Zimbra aux principales plates-formes de messagerie et de collaboration LIVRE BLANC COMPARATIF ZIMBRA Introduction Le courrier électronique est l'une des applications les plus indispensables
Plus en détailThe Mozilla Art Of War. David Teller. 20 septembre 2008. Laboratoire d Informatique Fondamentale d Orléans. La sécurité des extensions.
The Mozilla Art Of War Laboratoire d Informatique Fondamentale d Orléans 20 septembre 2008 Firefox, c est sûr Firefox, c est sûr Donc je vais faire mes extensions sous Firefox, elles seront en sécurité.
Plus en détailCloud Computing dans le secteur de l Assurance
Cloud Computing dans le secteur de l Assurance AG FANAF Ouagadougou Février 2014 Agenda Le Cloud Computing C'est quoi? Adoption du Cloud Computing en assurance Exemples d initiatives «Cloud Computing»
Plus en détailLe nouvel espace de travail : Prise en charge du modèle BYOD («Bring your own device»)
IBM Global Technology Services Livre blanc pour l innovation Juin 2011 Le nouvel espace de travail : Prise en charge du modèle BYOD («Bring your own device») 2 Le nouvel espace de travail : Prise en charge
Plus en détailArchitectures informatiques dans les nuages
Architectures informatiques dans les nuages Cloud Computing : ressources informatiques «as a service» François Goldgewicht Consultant, directeur technique CCT CNES 18 mars 2010 Avant-propos Le Cloud Computing,
Plus en détailSécurité des systèmes informatiques Introduction
Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Système d'information et système informatique
Plus en détailCompétences informatiques
Anthony Puech Compétences informatiques Domaines de compétences Gestion de projet Suivi de projet Analyse / Audit Maintenance système Réseaux Environnements techniques utilisés Matériels : Netgear (Routeur,
Plus en détailDemande d'assistance : ecentral.graphics.kodak.com
Kodak Graphic Communications Canada Company 4225 Kincaid Street Burnaby, B.C., Canada V5G 4P5 Tél. : 1.604.451.2700 Fax : 1.604.437.9891 Date de mise à jour : 08 avril 2012 Demande d'assistance : ecentral.graphics.kodak.com
Plus en détailCatalogue de formation LEXSI 2013
LEXSI > UNIVERSITE LEXSI 1 Catalogue de formation LEXSI 2013 PRÉSENTATION DU CATALOGUE L Université LEXSI Nous contacter 2 Léonard KEAT Responsable du Pôle Formation Fixe : +33 (0) 1 73 30 17 44 Mobile
Plus en détailAnalyse statique de code dans un cycle de développement Web Retour d'expérience
Analyse statique de code dans un cycle de développement Web Retour d'expérience Laurent Butti et Olivier Moretti Orange France prenom.nom@orange.com Agenda Introduction Notre contexte L (in)sécurité des
Plus en détailDr.Web Les Fonctionnalités
Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise
Plus en détailDESCRIPTIF DES PROJETS 3EME ANNEE QUI SERONT PRESENTES LORS DE LA JOURNEE DE PROJET DE FIN D ETUDE LE 26/01/2012
DA Télémédecine et SI de Santé DESCRIPTIF DES PROJETS 3EME ANNEE QUI SERONT PRESENTES LORS DE LA JOURNEE DE PROJET DE FIN D ETUDE LE 26/01/2012 PROJET N 1 : IMPLEMENTATION D'UNE INTERFACE SWEETHOME DEDIEE
Plus en détailINTRUSION SUR INTERNET
INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert
Plus en détailemuseum PUBLIEZ VOS COLLECTIONS SUR INTERNET Pourquoi choisir emuseum? Intégration facile avec TMS Puissante fonction de recherche
emuseum emuseum PUBLIEZ VOS COLLECTIONS SUR INTERNET emuseum est un système de publication Web qui s intègre de façon transparente avec TMS pour la publication d informations sur Internet et les appareils
Plus en détailL identité numérique. Risques, protection
L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur
Plus en détailLes nouveautés d AppliDis Fusion 4 Service Pack 3
Les nouveautés d AppliDis Fusion 4 Service Pack 3 Systancia Publication : Novembre 2013 Résumé La nouvelle version AppliDis Fusion 4 Service Pack 3 ajoute des fonctionnalités nouvelles au produit AppliDis.
Plus en détailAppliances Secure Remote Access
Appliances Secure Remote Access Améliorer la productivité des collaborateurs mobiles et distants tout en les protégeant des menaces Les appliances Dell SonicWALL Secure Remote Access (SRA) offrent aux
Plus en détailProgrammation Internet Cours 4
Programmation Internet Cours 4 Kim Nguy ên http://www.lri.fr/~kn 17 octobre 2011 1 / 23 Plan 1. Système d exploitation 2. Réseau et Internet 3. Web 3.1 Internet et ses services 3.1 Fonctionnement du Web
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailMes documents Sauvegardés
Mes documents Sauvegardés Guide d installation et Manuel d utilisation du logiciel Edition 13.12 Photos et illustrations : Copyright 2013 NordNet S.A. Tous droits réservés. Toutes les marques commerciales
Plus en détailQu est-ce que le «cloud computing»?
Qu est-ce que le «cloud computing»? Par Morand Studer eleven Octobre 2011 Qu est-ce que le «cloud computing»? - Morand Studer eleven Octobre 2011 www.eleven.fr 1 Aujourd hui, la démocratisation de l informatique
Plus en détailSécurité des entrepôts de données dans le Cloud Un SaaS pour le cryptage des données issues d un ETL
Sécurité des entrepôts de données dans le Cloud Un SaaS pour le cryptage des données issues d un ETL Présenté par Hana Gara Kort Sous la direction de Dr Jalel Akaichi Maître de conférences 1 1.Introduction
Plus en détailLivre blanc. L impact de la sécurité de la virtualisation sur votre environnement VDI
Livre blanc L impact de la sécurité de la virtualisation sur votre environnement VDI Introduction La virtualisation permet aux entreprises de réaliser d importantes économies et leur apporte une grande
Plus en détailVPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005
VPN TLS avec Matthieu Herrb 14 Mars 2005 Coordinateurs Sécurité CNRS - 14/3/2005 Pour en finir avec IPSec IPSec : sécurisation au niveau réseau. développé avec IPv6, protocoles spécifiques AH & ESP, modes
Plus en détailGroupe de travail Low Cost. Frédéric DIDIER Jacques WITKOWSKI
Groupe de travail Low Cost Frédéric DIDIER Jacques WITKOWSKI DEFINITION Le LowCost s inscrit dans une pratique d optimisation financière consistant à délivrer à un coût minimal les niveaux de service adaptés
Plus en détailSQL Server, MySQL, Toad (client MySQL), PowerAMC (modélisation) Proxy SLIS
ANNEXE VII-1 : modèle d attestation de respect du cahier des charges pour l épreuve E4 (parcours SISR) BTS SERVICES INFORMATIQUES AUX ORGANISATIONS Session 2015 CONTRÔLE DE L ENVIRONNEMENT TECHNOLOGIQUE
Plus en détailRéseaux Privés Virtuels
Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards Nouvelles technologies, WiFi, MPLS Gestion d'un VPN, Gestion d'une PKI Introduction Organisation du
Plus en détailSIO Solutions informatiques aux organisations
1 BTS SIO SIO Solutions informatiques aux organisations Le BTS SIO offre deux spécialités au choix des futurs étudiants : solutions logicielles et applications métiers (SLAM) solutions d'infrastructure,
Plus en détail