Se curite des SI et Cyber Se curite

Transcription

1 Se curite des SI et Cyber Se curite

2 Sommaire du Document Méthode pédagogique des Formations... 2 Catalogue des Formations formalisées 2014/ Formation : Synthèses et Référentiels... 3 Sécurité et Cyber Sécurité : la synthèse technique (REF:SST)... 3 Profils Stagiaires et Prérequis... 3 PROGRAMME... 4 Formation : Stage Pratique... 7 Détection d'intrusions, Cyber Défense (REF : DICD)... 7 Profils Stagiaires et Prérequis... 7 PROGRAMME... 8 Page: 1 / 10

3 Méthode pédagogique des Formations Les supports des stages pratiques proviennent directement des sites des éditeurs des outils et sont donc en anglais, le cours est toutefois donné en français. Chaque module est illustré de démonstrations permettant de visualiser la problématique abordée. La mise à disposition d'ordinateurs équipé des différentes machines virtuelles et outils nécessaires à la reproduction de ces démonstrations et à la réalisation des différents exercices permet immédiatement de mettre en pratique les attaques et réalisations vues dans le module. Chaque stagiaire reçoit les supports papiers de formation. Catalogue des Formations formalisées 2014/2015 Organisationnel / Management / Pratiques 1. La sécurité numérique de l'utilisateur final ; ; 2. La sécurité numérique du manager ; 3. Préserver et maintenir son anonymat sur internet ; 4. Aspects juridiques de la sécurité des systèmes d'information ; 5. Implémentation d'un système de management de la sécurité de l'information (SMSI) ; 6. Sécurité, les fondamentaux ; 7. Recherche et veille sur internet ; 8. Sensibilisation à l'espionnage industriel numérique ; 9. Initiation à l'intelligence économique ; Techniques de Cyberdéfense 1. Audit de sécurité informatique 2. Cyberdéfense (Détection et prévention d intrusion, stratégies de Cyberdéfense, Cyberattaques préventives) Systèmes et réseau 1. Sécurisation et renforcement de serveurs Linux ; Firewalling sous Linux avec iptables ; Sécurisation d'un serveur web Apache ; Sécurisation d'un serveur DNS Bind ; Sécurité des bases de données transactionnelles ; Sécurité des transactions web ; 2. Virtualisation sécurisée d'une architecture réseau d'entreprise avec KVM ; 3. Mise en place d'une sauvegarde centralisée avec Backuppc ; 4. Mise en place d'un serveur de clonage avec Clonezilla et DRBL ; 5. Supervision du système d'information de l'entreprise avec Nagios ; 6. Administration, optimisation et sécurisation d'un serveur MySQL 7. Détection et prévention d'intrusion réseau avec les produits open source Snort/ OSSEC/Suricata Page: 2 / 10

4 Formation : Synthèses et Référentiels Sécurité et Cyber Sécurité : la synthèse technique (REF:SST) Durée : 2 jours Profils Stagiaires et Prérequis Responsable sécurité. Direction informatique. Ingénieur système et réseaux. Architecte sécurité. Chef de projet Web, Développeur Internet. Webmaster. Connaissances de base des réseaux TCP/IP et d'internet. Sommaire du Séminaire 1. Quelles attaques sur votre système d'information? 2. Protection périmétrique en environnement physique et virtuel 3. Protection des postes clients 4. Protection des applications et des données 5. Protection des communications réseaux 6. Gestion des identités et des autorisations 7. Cyber Sécurité des réseaux sans fil et des mobiles 8. Protection des applications critiques 9. Gestion et supervision de la Sécurité et de la Cyber Sécurité Firewall UTM, PKI, VPN IPSec et SSL, IDS et IPS, cryptographie, Cyber Sécurité, des postes clients, de la virtualisation, du Web et des réseaux sans fil Comment protéger et sécuriser votre système d information et votre Cyber Espace: illustré de nombreux exemples concrets, ce séminaire dresse l état de l art en la matière et répond à toutes les préoccupations actuelles dans un domaine de la Cyber Sécurité en pleine mutation : Quelles attaques, quels risques, quelles parades? Quelles problématiques nouvelles aujourd hui de Cyber Sécurité des systèmes d information? Qu apportent les normes ISO 2700x? Comment mettre en œuvre des solutions de filtrage efficaces, PKI, authentification forte et Web SSO? Pourquoi l antivirus sur le poste client n est-il plus suffisant? Les avancées de Windows 7. Quels sont les nouveaux risques et les apports de la virtualisation et du cloud computing? Comment protéger les utilisateurs nomades, les périphériques amovibles, les smartphones? Quelles attaques sur les réseaux sans fil (WiFi, Bluetooth)? Comment s en prémunir? Quelles sont les parades efficaces contre le spam, le phishing, le social engineering? Comprendre les attaques spécifiques du Web (XSS, CSRF, cookie poisoning, SQL injection, etc.). Comment détecter une intrusion? La détection temps réel par la corrélation des logs et des événements. Page: 3 / 10

5 PROGRAMME Module 1: Quelles Attaques Sur Votre Système d'information? Panorama de la cybercriminalité Évolution des failles de Sécurité et des vulnérabilités zero-day. Les attaques : définitions, typologies Attaques des systèmes (Keyloggers, ver, virus, spyware, etc.). Attaques sur les applications (Cross Site Scripting, buffer overflow, SQL injection, etc.). Attaques sur les contenus (failles PDF, flash, office, etc.). Attaques sur les flux ( Man In The Middle actif et passif). Attaques non techniques (scam, spam, phishing, social engineering, biometriques). Attaques sophistiquées de type APT (Advanced Persistent Threat). Module 2 : Protection Périmétrique En Environnement Physique, Virtuel et Cloud Architecture sécurisée et firewall Plan d adressage sécurisé (RFC 1918), la translation NAT/PAT. La mise en place de solutions DMZ (zones démilitarisées), DMZ front-office/back-office. Les solutions intégrées de type UTM avec VPN IPSec, IPS, Content filtering, WAF, etc. Proxy et reverse proxy Le filtrage des contenus (entrants et sortants), contraintes techniques et juridiques. Firewall et proxy : quelle complémentarité? Proxy vs reverse proxy. La Cyber Sécurité de la virtualisation Panorama des menaces et vulnérabilités spécifiques à la virtualisation. Attaques sur les machines virtuelles (VM Escape, VM Hopping, VM Theft et VM Sprawl) et sur l hyperviseur (hyperkit). Les solutions de Cyber Sécurité VmWare Panorama des menaces et vulnérabilités spécifiques au Cloud. Les bonnes pratiques pour la Cyber Sécurité des environnements virtuels. Module 3 : Protection Des Postes Clients Comprendre toutes les menaces spécifiques aux postes clients : virus, ver, trojan, backdoor, spyware, adware, scareware, rootkit, faille de Cyber Sécurité, etc. Les logiciels antivirus/antispyware : critères de choix, comparatif et déploiement. Gestion des vulnérabilités (cycle de vie et gestion des patchs). Les failles dans les navigateurs et attaques de type drive by download. Les principales lacunes sécuritaires de Windows XP. Les apports de Windows 7et 8 en matière de Cyber Sécurité (UAC, DirectAccess, Bitlocker To Go, etc.). La Cyber Sécurité des périphériques amovibles (disques externes, clés USB, etc.). Quatre menaces pour les données à l ère post-pc Le contrôle de conformité, IEEE 802.1X, Cisco NAC, Microsoft NAP. Page: 4 / 10

6 Module 4 : Protection Des Applications Et Des Données Protection des données Les objectifs techniques : confidentialité, intégrité, signature, non-répudiation. Rappel sur les algorithmes à clé symétrique/ asymétrique. Cryptographie : contraintes juridiques. Le rôle du certificat ; le standard X509. Les certificats clients, serveurs et applications. Comprendre le cycle de vie des données dans le SI. Protection des données par le chiffrement (atouts et limites). L anonymisation et la pseudo-anonymisation des données. Déploiement d une PKI La gestion des révocations (CRL, OCSP). Le standard SSL, SSL version 3 versus TLS 1.0. Quels algorithmes de chiffrement choisir? Quelle longueur de clé? Recommandations ANSSI. Les solutions de PKI en Open Source ou avec Windows Server 2008 / Module 5 : Protection Des Communications Réseaux Comprendre les techniques de tunneling Comment interconnecter des sites via Internet? Quelles solutions? Quelle Cyber Sécurité? Comment déployer des accès distants à travers l Internet? Le standard IPSec, protocoles AH, ESP, IKE et la gestion des clés. Intégrer les postes nomades en toute Sécurité dans le SI Technologie et produits VPN SSL. L architecture Citrix Access Gateway et Microsoft UAG. Les limites des offres VPN SSL actuelles. IPSec ou VPN SSL : quel choix pour le poste nomade? (Débat) Module 6 : Gestion Des Identités Et Des Autorisations Identity and Access Management (IAM) La problématique de gestion des identités et des habilitations. Les contrôles d accès (DAC, RBAC, MAC). Les principales fonctions fournies par les plates-formes d IAM (authentification, habilitation, fédération des identités). Le rôle de l annuaire : les profils, habilitations et ACL. L authentification unique SSO (Single Sign-On) et Web SSO. Synthèse de l offre commerciale. Authentification forte des utilisateurs, Jeton, carte à puce, smartcard, clé USB et puce RFID. Techniques de vol de mot de passe, brute force, entropie des secrets. Que choisir pour une authentification forte : Token, certificat X509 ou biométrie? Page: 5 / 10

7 L intérêt des systèmes non rejouables OTP (One Time Password). Les solutions e-banking : key pass, calculatrice, sont-elles vraiment efficaces? Protocoles LDAP, Radius, Kerberos et les systèmes AAA. Module 7 : Sécurité Des Réseaux Sans Fil Et Des Mobiles Sécurité WiFi Comment sécuriser un réseau WLAN (SSID, filtrage MAC, firewall, etc.)? Quels risques via les hotspots publics et via sa propre borne à la maison? Les failles WEP et WPA. Techniques d exploitation. L apport de la norme IEEE i. Les méthodes d authentification spécifiques (802.1X, EAP-MD5, LEAP, EAP-TLS). Sécurité Bluetooth Vulnérabilités sur le processus de pairing des devices. Attaques spécifiques sur Bluetooth (BlueBug, BlueSnarf, Hellomoto, Bluejacking, etc.). Comment se protéger efficacement contre les attaques Bluetooth? Sécurité des tablettes & smartphones Le point Sécurité pour les principales plates-formes (iphone, Android, Blackberry, Windows Phone). Module 8 : Protection Des Applications Critiques La problématique technique Comment offrir un service sécurisé dans un contexte Internet, Intranet ou Extranet? Quelles sont les principales techniques d attaques des applications Web (buffer overflow, XSS, CSRF, SQL injection, vol de session, etc.)? Les firewalls applicatifs, aspects techniques et retours d expérience. La sécurisation des communications Web avec SSL et TLS Comment se prémunir contre les attaques HTTPS. Module 9 : Gestion Et Supervision De La Sécurité Comment gérer la Cyber Sécurité au quotidien? Le rôle du RSSI dans le suivi de la Cyber Sécurité. Les normes ISO 2700x pour le management de la Sécurité. Établir des tableaux de bord Cyber Sécurité ; l apport de la norme ISO Comment mettre en œuvre une gestion des incidents de Sécurité efficace? Comment contrôler le niveau de Sécurité? Le contrôle interne : audit Sécurité vs test d intrusion. Le contrôle périmétrique (balayage réseau, scan applicatif, scan des filtres, détection et prévention d intrusions). Les logiciels de scan avancés: Nessus. La veille technologique : comment se tenir informé des nouvelles vulnérabilités. Page: 6 / 10

8 L analyse et la corrélation des logs et des événements : SIEM La supervision par la corrélation des logs et des événements. Les principaux acteurs et les offres disponibles sur le marché. Module Bonus : Communication Voix : Enjeux de Sécurité Les critères de sécurité Présentation des trois systèmes voix Les cinq grandes menaces qui pèsent sur le réseau téléphonique Formation : Stage Pratique Détection d'intrusions, Cyber Défense (REF : DICD) Durée : 4 jours Profils Stagiaires et Prérequis Participants Ingénieurs Cyber Sécurité, systèmes et réseaux ayant à sécuriser le SI de l'entreprise. Chefs de projets souhaitant comprendre les attaques auxquelles l'entreprise est confrontée et mettre en œuvre les meilleures ripostes technologiques. Prérequis Bonnes connaissances des réseaux TCP/IP. Connaissances de base en Cyber Sécurité informatique. Cette formation à la fois théorique et pratique présente les techniques d'attaques les plus évoluées à ce jour et montre comment y faire face. A partir d'attaques réalisées sur cibles identifiées (serveurs Web, clients, réseaux, firewall, bases de données...), le stagiaire apprendra à se protéger contre les attaques, à déclencher la riposte adaptée (filtrage d'anti-trojan, filtrage URL mal formée, détection de spam et détection d'intrusion en temps réel avec sonde IDS). Contenu de cette formation détection d`intrusions Le monde de la Cyber Sécurité informatique TCP/IP pour firewalls et détection d'intrusions Comprendre les attaques sur TCP/IP Intelligence Gathering : l'art du camouflage Protéger ses données Détecter les trojans et les backdoors Défendre les services en ligne (Cyber Défense proactive) Comment gérer un incident? Conclusion : quel cadre juridique? Page: 7 / 10

9 Des architectures sécurisées et "normalement " protégées (firewall multi-dmz, applications sécurisées) seront la cible des attaques. Les parades seront adaptées aux attaques ; Les plateformes d'attaque seront principalement Linux ; les cibles seront Windows et Linux. PROGRAMME Module 1 : Le monde de la Cyber Sécurité informatique Définitions " officielles " : le hacker, le hacking. La communauté des hackers dans le monde, les " gurus ", les scripts kiddies ". L'état d'esprit et la culture du hacker. Les conférences et les sites majeurs de la Cyber Sécurité. Navigation Underground. Savoir localiser les informations utiles. Module 2 : TCP/IP pour firewalls et détection d'intrusions IP, TCP et UDP sous un autre angle. Zoom sur ARP et ICMP. Le routage forcé de paquets IP (source routing). La fragmentation IP et les règles de réassemblage. De l'utilité d'un filtrage sérieux. Sécuriser ses serveurs : un impératif. Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy. Panorama rapide des solutions et des produits. Visualisation et analyse d'un trafic classique. Utilisation de différents sniffers (tcpdump, Wireshark, Capsa Packet Sniffer). Module 3 : Comprendre les attaques sur TCP/IP Le " Spoofing " IP. Attaques par déni de service. Prédiction des numéros de séquence TCP. Vol de session TCP : Hijacking (Hunt, Juggernaut). Attaques sur SNMP. Attaque par TCP Spoofing (Mitnick) : démystification. Injection de paquets fabriqués sur le réseau. Utilisation au choix des participants d'outils graphiques, de Perl, de C ou de scripts dédiés. Hijacking d'une connexion telnet. Page: 8 / 10

10 Module 4 : Intelligence Gathering : l'art du camouflage Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche. Identification des serveurs. Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage, cas spécifiques. Recherche par techniques non intrusives d'informations sur une cible potentielle (au choix des participants). Utilisation d'outils (Windows et Linux) de scans de réseaux. Module 5 : Protéger ses données Systèmes à mot de passe " en clair ", par challenge, crypté. Le point sur l'authentification sous Windows. Rappels sur SSH et SSL/TLS (HTTPS). Sniffing d'un réseau switché : ARP poisonning. Attaques sur les données cryptées : " Man in the Middle " sur SSH et SSL, " Keystoke Analysis " sur SSH. Détection de sniffer : outils et méthodes avancées. Attaques sur mots de passe. Décryptage et vol de session SSH : attaque " Man in the Middle ". Cassage de mots de passe avec LophtCrack (Windows) et John The Ripper (Unix). Module 6 : Détecter les trojans et les backdoors Etat de l'art des backdoors sous Windows et Unix. Mise en place de backdoors et de trojans. Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs. Les " Covert Channels " : application client-serveur utilisant ICMP (Loki), communication avec les Agents de Déni de Service distribués. Analyse de Loki, client-serveur utilisant ICMP. Accéder à des informations privées avec son navigateur. Module 7 : Système de Défense des services en ligne Prise de contrôle d'un serveur : recherche et exploitation de vulnérabilités, mise en place de " backdoors " et suppression des traces. Comment contourner un firewall? (netcat et rebonds.) La recherche du déni de service. Les dénis de service distribués. Les attaques par débordement (buffer overflow). Exploitation de failles dans le code source. Techniques similaires : " Format String ", " Heap Overflow " Vulnérabilités dans les applications Web. Vol d'informations dans une base de données. Page: 9 / 10

11 Les RootKits. Exploitation du bug utilisé par le ver " Code Red ". Obtention d'un shell root par différents types de buffer overflow. Test d'un déni de service (Jolt2, Ssping). Utilisation de netcat pour contourner un firewall. Utilisation des techniques de " SQL Injection " pour casser une authentification Web. Module 8 : Comment gérer un incident? Les signes d'une intrusion réussie dans un SI. Qu'ont obtenu les hackers? Jusqu'où sont-ils allés? Comment réagir face à une intrusion réussie? Quels serveurs sont concernés? Savoir retrouver le point d'entrée et le combler. La boîte à outils Unix/Windows pour la recherche de preuves. Nettoyage et remise en production de serveurs compromis. Module 9 : Conclusion : quel cadre juridique? La réponse adéquate aux hackers. La loi française en matière de hacking. Le rôle de l'état, les organismes officiels. Qu'attendre de l'office Central de Lutte contre la Criminalité (OCLCTIC). La recherche des preuves et des auteurs. Et dans un contexte international? Le test intrusif ou le hacking domestiqué? Rester dans un cadre légal, choisir le prestataire, être sûr du résultat. Page: 10 / 10