Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne Yosr Jarraya. Chamseddine Talhi.

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne 2012. Yosr Jarraya. Chamseddine Talhi."

Transcription

1 MGR850 Automne 2012 Automne 2012 Sécurité logicielle Yosr Jarraya Chargé de cours Chamseddine Talhi Responsable du cours École de technologie supérieure (ÉTS) 1

2 Plan Motivations & contexte Développement de logiciels sécurisés Le cycle de développement logiciel Les bases de connaissance Le rôle des participants Conclusion Chamseddine Talhi, ÉTS 2

3 Motivation & contexte Sécurité approche classique La sécurité informatique considère généralement la sécurisation du périmètre d un réseau. Pare-feu Systèmes de détection ou de prévention d intrusions Pots de miel Réaction plutôt que prévention à la source! 3

4 Motivation & contexte Sécurité approche préventive La sécurité logicielle a pour but de comprendre les risques de sécurité dus aux failles des logiciels, proposer de bonnes pratiques de développement logiciel. Dans ce cadre, sécurité est synonyme de robustesse. Comment s assurer qu un logiciel utilisé dans un environnement hostile n ait pas de faille de sécurité et réponde toujours selon les spécifications. Éliminons les failles à la source! 4

5 Motivation & contexte Sécurité approche préventive La difficulté provient du fait que: La sécurité est une propriété pas une fonctionnalité! 5

6 Microsoft s Trustworthy Computing Initiative Mémo de Bill Gates en janvier 2002 présente la nouvelle approche de Microsoft de développer des logiciels sécurisés. Microsoft aurait dépensé plus de 300 millions USD. The Trustworthy Computing Security Development Lifecycle. Publications de Gary McGraw CTO de Cigital Sécurité = Robustesse du logiciel 6

7 L objectif : intégrer de bonnes pratiques simples tout au long du cycle de développement logiciel afin de produire des logiciels plus robustes donc plus sécurisés. Cette liste de bonnes pratiques est relativement courte. I. Cas abusifs II. Spécifications de sécurité III. Analyse des risques IV. Revue de code V. Plan de tests de sécurité VI. Tests d intrusions VII. Sécurité opérationnelle 7

8 Analyse des risques Cas abusifs Spécifications de sécurité Analyse des risques Tests sécurité basés sur les risques Revue code (outils) Analyse des risques Tests intrusion Tests intrusion Sécurité opérationnelle Spécification Cas d usage Architecture Plan de tests Code Tests Déploiement Adapté de Software Security de McGraw 8

9 I. Cas abusifs Entrée: Documents de spécification et de cas d usage. Exemple de résultats Cas abusifs scénarios d utilisation malveillante. Pour atteindre l objectif de cette phase, il peut être nécessaire de recourir à divers intervenants. Experts en sécurité Experts en fiabilité (reliability) Concepteurs du système Analystes fonctionnels 9

10 I. Cas abusifs - Comment? Répertorier les diverses interfaces. Lorsqu un usager peut interagir avec le système, l attaquant peut essayer d abuser de cette interface. Chercher les hypothèses faites au sujet des usagers. Les usagers ne peuvent faire Les attaquants peuvent le faire! Les usagers ne feront pas Les attaquants vont le faire! Définir ce que le logiciel ne doit pas faire. Aussi important que de définir ce que le logiciel doit faire. Utiliser des modèles d attaque. 10

11 I. Cas abusifs Exemple 1 Conduire Inclus Barrer véhicule Inclus Barrer la direction Voler véhicule Inclus Court-circuiter allumage Cas d utilisation Cas abusifs I. Alexander, Misuse cases: use cases with hostile intent. IEEE Software, janvier

12 I. Cas abusifs Exemple 2 Chamseddine Talhi, ÉTS I. Alexander, Misuse cases: use cases with hostile intent. IEEE Software, janvier

13 II. Spécification de la sécurité Entrées: Documents de spécification, cas d usage et cas abusifs. Exemple de résultats Identification des information critiques à protéger Spécification des propriétés de sécurité à faire respecter Dépendamment des ressources disponibles: spécification des mécanismes de sécurité à déployer. Cette phase doit faire partie intégrante de la phase de spécification du système. Une erreur typique est de développer les spécifications de sécurité indépendamment des spécifications du système. 13 Chamseddine Talhi, ÉTS

14 II. Spécification de la sécurité Sécurité? Prendre en charge la sécurité durant la conception? Chamseddine Talhi, ÉTS 14

15 II. Spécification de la sécurité Concevoir les mécanismes de sécurité? Spécifier les propriétés de sécurité? Prendre en charge la sécurité durant la conception? Vérifier le renforcement de la sécurité? Intégrer la sécurité dans un modèle? Caractéristiques des solutions requises: 1. Adoption d un langage standard de modélisation 2. Méthodes de vérification formelles 3. Outils automatiques de vérification & d intégration Chamseddine Talhi, ÉTS 15

16 II. Spécification de la sécurité Ex. admission d un patient dans une institution médicale C. Talhi et al. Usability of Security Specication Approaches for UML Design: A Survey. JOT Chamseddine Talhi, ÉTS 16

17 II. Spécification de la sécurité Ex. profile UML Créer de nouveaux types d éléments en se basant sur les types existants Chaque nouveau type (e.g., privacy) peut être attribué à n importe quel éléments d un diagramme d activité C. Talhi et al. Usability of Security Specication Approaches for UML Design: A Survey. JOT Chamseddine Talhi, ÉTS 17

18 II. Spécification de la sécurité Ex. profile UML C. Talhi et al. Usability of Security Specication Approaches for UML Design: A Survey. JOT Chamseddine Talhi, ÉTS 18

19 II. Spécification de la sécurité Ex. profile UML Défis: 1. Assister le concepteur NON-EXPERT en sécurité 2. Interpréter les annotations 3. Vérifier automatiquement les propriétés 4. Interagir avec le concepteur afin d interpréter les résultats de l analyse et modifier le modèle Chamseddine Talhi, ÉTS 19

20 III. Analyse de risques Entrée: Documents de spécifications et d architecture, de cas d usage et de cas abusifs. Exemple de résultats Mauvais contrôle d accès. Mauvaise protection de la confidentialité ou de l intégrité des actifs. Aucun moyen d assurer la disponibilité des actifs. L objectif est d identifier les erreurs de conception. Documenter les hypothèses. Identifier les attaques possibles. Établir une liste des attaques usuelles. Définir les objectifs de sécurité. 20

21 IV. Revue du code Entrée: Code du logiciel. Exemple de résultats Débordement de tableaux Utilisation de fonctions à risque (e.g., strcat, strcpy) Cas d erreur non traités Tests insuffisants L objectif est d identifier les erreurs d implémentation. Outils d analyse statique (spécialement pour C et C++) Coverity, Fortify Software, Ounce Labs, Secure Software Revue de code humaine 21

22 IV. Revue du code à la recherche de.. Common Weakness Enumeration cwe.mitre.org Improper access of indexable resource Use of insufficiently random values Interaction error Insufficient control of resource through its lifetime Incorrect calculation Insufficient control flow management Protection mechanism failure Insufficient comparison Failure to handle exceptional conditions Use of incorrectly-resolved name or reference Failure to enforce that messages or data are well-formed Coding standards violation Classification des vulnérabilités répertoriées par cwe.mitre.org 22

23 V. Test de sécurité Entrée: Modules et système Documents d architecture et d analyse des risques. Exemple de résultats Erreurs d implémentation. Erreurs fonctionnelles. Deux aspects doivent être considérés. Tests fonctionnels de sécurité. Tester les fonctionnalités de sécurité comme toute autre fonctionnalité. Tests malveillants de sécurité Tester en se basant sur les attaques habituelles, l analyse des risques et les cas abusifs. Tester comme une personne malveillante voulant exploiter une faille de sécurité. Toutefois, la personne effectuant les tests a plus d information qu un attaquant. 23

24 V. Test de sécurité Objectif: S assurer qu un logiciel est robuste et peut continuer de fonctionner de façon acceptable malgré la présence d attaques malveillantes. Comment? Les tests doivent débuter au niveau des composantes. Les risques contre les actifs doivent être atténués à ce niveau. Les tests doivent se poursuivre lors de l intégration. Les risques dus aux interactions entre composantes doivent être testés. Par qui? Les responsables QA (assurance de la qualité) ont l habitude d effectuer des tests de fonctionnalité. Toutefois, ils n ont pas l expertise pour effectuer les tests malveillants. Ces tests reposent sur l expertise et l expérience en sécurité. 24

25 V. Test de sécurité Changement de paradigme: Au lieu de tester ce qu un logiciel doit faire, il faut tester ce qu il ne doit pas faire. Exemple: interface demandant d entrer son identifiant Entre 5 et 32 caractères Caractères alphanumériques plus les caractères - et _ Lettres non accentuées Le premier caractère doit être une lettre Le responsable de QA va tester tous les cas représentatifs respectant les spécifications. Mais il ne va pas tester les débordements de tableaux. 256 caractères! 25

26 V. Test de sécurité Tests fonctionnels Tests classiques validant les fonctionnalités de sécurité. Tests malveillants Tests spécifiques validant ce que le logiciel ne doit pas faire. Exemples: L accès est bloqué après trois tentatives d accès invalides. L information est échangée ou stockée de façon chiffrée. Tests de la forme: Lorsque qu un événement X survient, le système réagit de la façon Y. Tests basés: Analyse des risques Vulnérabilités classiques Exemple: Vérifier l existence des débordements de tableaux Basés sur l expérience et une bonne connaissance des vulnérabilités. 26

27 V. Test de sécurité - exemple Code vulnérable Cas de test Chamseddine Talhi, ÉTS 27

28 VI. Test d intrusion (penetration testing) Entrée: Système déployé dans un environnement d utilisation. Documents d architecture et d analyse des risques. Exemple de résultats Problèmes de configuration (p.e. certificats X.509 absents) Services ouverts inutilement (p.e. interface de débogage) L objectif est d identifier les erreurs d implémentation, de conception et de configuration. Cette étape est essentielle afin de déterminer les failles dues à la configuration et aux autres facteurs environnementaux. Sans analyse des risques, cette étape donne peu de résultats concluants. Un ethical hacker testant un système comme une boîte noire est très limité. 28

29 VI. Test d intrusion - pièges Les tests de pénétration sont faits généralement très (trop?) tard. Les erreurs sont généralement coûteuses à éliminer. Les erreurs découvertes par les outils ne sont pas priorisées en fonction des risques d affaire. Il est possible qu une erreur grave n expose pas d actif important. Les erreurs sont souvent corrigées individuellement sans chercher à corriger la cause commune. Les erreurs ne sont pas intégrées au système de gestion d erreurs (bug tracking) Les tests de pénétration sont effectués par un équipe indépendante. La couverture des tests est difficile à évaluer. 29

30 VI. Test d intrusion Logiciel gratuit nmap nessus nikto Commercial Core Impact QualysGuard family IBM Internet Scanner HP WebInspect Watchfire Appscan Paros Proxy OWASP WebScarab 30

31 VII. Sécurité opérationnelle Entrée: Système déployé dans un environnement opérationnel. Exemple de résultats Fichier d audit ne contient pas suffisamment d information. Gestion de mots de passe pas assez flexible. L objectif est d évaluer comment le système réagi lorsqu il est déployé dans un milieu «hostile». Identifier les failles dues aux erreurs d implémentation ou de conception mais plus particulièrement celles dues aux «carences» ou «insuffisances» du système. Ces informations opérationnelles doivent être incluses dans le prochain cycle de développement du système afin de pallier aux failles découvertes. 31

32 Sécurité logicielle ce n est pas que Une histoire de codage ou de convention! Il y a plus que les débordements de tableaux et d entiers. Une histoire de fonctionnalité! Mots de passe, chiffrement, authentification, Une histoire de listes de contrôle (check lists)! 32

33 Base de connaissances requises Connaissances normatives Principes de la sécurité Principe du moindre privilège, usage exclusif de clés, méthodes de contrôle d accès, Guides Règles Interdire l utilisation des fonctions strcpy, sprintf, (langage C) Connaissances descriptives Vulnérabilités Exploits Scénarios des attaques Connaissances historiques Base de données des risques et des vulnérabilités 33

34 Rôle de chacun Certaines des bases de connaissance sont traditionnellement du domaine des spécialistes des TI. Exploits Scénarios des attaques Connaissance historique des risques Certaines des activités sont traditionnellement du domaine des spécialistes logiciels. Définition des spécifications et cas abusifs. Tests des fonctionnalités. Revue de code. 34

35 Spécialistes des TIs Analyse des risques Cas abusifs Spécifications de sécurité Analyse des risques Tests sécurité basés sur les risques Revue code (outils) Analyse des risques Tests intrusion Tests intrusion Sécurité opérationnelle Spécification Cas d utilisation Architecture Plan de tests Code Tests Déploiement Adapté de Software Security de McGraw 35

36 Spécialistes de génie logiciel Analyse des risques Cas abusifs Spécifications de sécurité Analyse de risque Tests sécurité basés sur les risques Revue code (outils) Analyse des risques Tests intrusion Tests intrusion Sécurité opérationnelle Spécification Cas d utilisation Architecture Plan de tests Code Tests Déploiement Adapté de Software Security de McGraw 36

37 Conclusion La sécurité est une propriété d un logiciel et non une fonctionnalité dudit logiciel. La sécurité doit faire partie intégrante du logiciel. Dès sa conception et au cours de chacune des phases subséquentes de son développement. Security is a process, not a product. Bruce Schneier, CTO de BT Counterpane Auteur de nombreux livres de sécurité. 37

38 Références Les livres de Gary McGraw Le site Build Security In (http://buildsecurityin.us-cert.gov/) Best Practices Acquisition Architectural Risk Analysis Assembly, Integration, & Evolution Code Analysis Deployment & Operations Governance & Management Incident Management Legacy Systems Measurement Penetration Testing Project Management Requirements Engineering Risk Management Security Testing System Strategies Training & Awareness White Box Testing Outils 38

39 Extra Fonctions vulnérables en C https://security.web.cern.ch/security/recommendations/en/codetools/c.shtml C doc: Secure Coding Principles: OWASP guide pages ERROR HANDLING, AUDITING AND LOGGING

Sécurité logicielle. Jean-Marc Robert. Génie logiciel et des TI

Sécurité logicielle. Jean-Marc Robert. Génie logiciel et des TI Sécurité logicielle Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Les vulnérabilités logicielles Développement de logiciels sécurisés Le cycle de développement logiciel

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

Sécurité informatique: introduction

Sécurité informatique: introduction Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Gestion des mises à jour logicielles

Gestion des mises à jour logicielles Gestion des mises à jour logicielles Jean-Marc Robert Génie logiciel et des TI Menaces et vulnérabilités Menaces Incidents non intentionnels Activités inappropriées Contenu inapproprié Utilisation inappropriée

Plus en détail

Les enjeux de la sécurité informatique

Les enjeux de la sécurité informatique Les enjeux de la sécurité informatique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Le constat est navrant La sécurité informatique, ce n est pas Principal objectif de la sécurité

Plus en détail

Le développement de ces notions fondamentales permet de comprendre un contexte global autour d un produit.

Le développement de ces notions fondamentales permet de comprendre un contexte global autour d un produit. Découvrir Windows 7 L initiative pour l informatique de confiance... 10 Le cycle de développement des logiciels informatiques fiables... 13 À qui s adresse Windows 7?... 22 Ce qui a disparu, ce qui a changé...

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Security Intelligence Platform 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Sécurité Applicative & ISO 27034

Sécurité Applicative & ISO 27034 Club 27001 Toulouse 04/07/2014 - Sébastien RABAUD - Sécurité Applicative & ISO 27034 Agenda Sécurité applicative Constats Solutions? ISO 27034 Présentation Analyse 2 Agenda Sécurité applicative Constats

Plus en détail

Rational Unified Process

Rational Unified Process Rational Unified Process Hafedh Mili Rational Unified Process 1. Principes de base 2. Les phases 3. Les activités (workflows) Copyright Hafedh Mili 2005 2 1 Rational Unified Process Processus de développement

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Trustwave AppDetectivePRO Version 8.3.1 préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Gestion des fichiers journaux

Gestion des fichiers journaux Gestion des fichiers journaux Jean-Marc Robert Génie logiciel et des TI Surveillance et audit Afin de s assurer de l efficacité des moyens de protection et de contrôle, il faut mettre en place des moyens

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

- Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK

- Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK ArchiMate et l architecture d entreprise Par Julien Allaire Ordre du jour Présentation du langage ArchiMate - Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK Présentation du modèle

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP, version 8.2.1 7-Mode Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) Travaux soutenus par l ANR Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) 03 Avril 2012 1. Test de sécurité et génération de tests à partir de modèle 2. Le projet SecurTest à DGA Maîtrise de l

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Symantec Network Access Control Version 12.1.2 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma

Plus en détail

ASIQ Le développement d applications d affaires sécuritaires: mission possible

ASIQ Le développement d applications d affaires sécuritaires: mission possible ASIQ Le développement d applications d affaires sécuritaires: mission possible Québec, 16 novembre 2011 Par: Alain Levesque Objectifs de la présentation À la fin de la présentation, concernant le développement

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/03 Librairie ncode

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit RSA Archer egrc Platform v5.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Modèle d implémentation

Modèle d implémentation Modèle d implémentation Les packages UML: Unified modeling Language Leçon 5/6-9-16/10/2008 Les packages - Modèle d implémentation - Méthodologie (RUP) Un package ou sous-système est un regroupement logique

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Series Appliances with HYPERMAX OS 5977 Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Gestion des incidents

Gestion des incidents Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du système d exploitation Data Domain version 5.2.1.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Description et illustration du processus unifié

Description et illustration du processus unifié USDP Description et illustration du processus unifié Définit un enchaînement d activités Est réalisé par un ensemble de travailleurs Avec des rôles, des métiers Avec pour objectifs de passer des besoins

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit EMC Symmetrix VMAX Series with Enginuity Operating Environment 5875, Solutions Enabler 7.2.0 and Symmetrix Management Console 7.2.0 Préparé par :

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

CEISAR Survey on IT education

CEISAR Survey on IT education CEISAR Survey on IT education Objectives In June 2007, the CEISAR conducted a survey to understand what company needs are in terms of training on Computer Science and Management of IS. Our objective was

Plus en détail

Indicateur et tableau de bord

Indicateur et tableau de bord Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72

Plus en détail

Projet : Plan Assurance Qualité

Projet : Plan Assurance Qualité Projet : Document : Plan Assurance Qualité 2UP_SPEC_DEV1 VERSION 1.00 Objet Ce document a pour objectif de définir la démarche d analyse et de conception objet ainsi les activités liées. Auteur Eric PAPET

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Analyse statique de code dans un cycle de développement Web Retour d'expérience Analyse statique de code dans un cycle de développement Web Retour d'expérience Laurent Butti et Olivier Moretti Orange France prenom.nom@orange.com Agenda Introduction Notre contexte L (in)sécurité des

Plus en détail

Testing : A Roadmap. Mary Jean Harrold. Présentation de Olivier Tissot

Testing : A Roadmap. Mary Jean Harrold. Présentation de Olivier Tissot Testing : A Roadmap Mary Jean Harrold Présentation de Olivier Tissot Testing : A Roadmap I. L auteur II. Introduction sur les test : les enjeux, la problématique III. Les tests : roadmap IV. Conclusion

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Malware Logiciels malveillants Retour sur les premiers cours

Malware Logiciels malveillants Retour sur les premiers cours Malware Logiciels malveillants Retour sur les premiers cours Jean-Marc Robert Génie logiciel et des TI Plan du cours Logiciels malveillants Analyse de risque Politique de sécurité Moyens de protection

Plus en détail

Techniques de Développement

Techniques de Développement Techniques de Développement Quelques définitions relatives au développement de logiciel Sébastien Faucou Université de Nantes (IUT de Nantes, département Informatique) Licence Professionnelle Systèmes

Plus en détail

Les utilités d'un coupe-feu applicatif Web

Les utilités d'un coupe-feu applicatif Web Les utilités d'un coupe-feu applicatif Web Jonathan Marcil OWASP Montréal Canada #ASFWS Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch

Plus en détail

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council

Plus en détail

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet ActiveSentry : le monitoring permanent de la sécurits curité des architectures Internet OSSIR 11/09/2001 Fabrice Frade Directeur Technique Intranode 2001 Qui est Intranode? Intranode est un éditeur d une

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetIQ Secure Configuration Manager 5.9.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee Enterprise Mobility Management 12.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Analyse,, Conception des Systèmes Informatiques

Analyse,, Conception des Systèmes Informatiques Analyse,, Conception des Systèmes Informatiques Méthode Analyse Conception Introduction à UML Génie logiciel Définition «Ensemble de méthodes, techniques et outils pour la production et la maintenance

Plus en détail

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 23 janvier 2015 N 260/ANSSI/SDE/PSS/CCN

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite. Rational ClearCase or ClearCase MultiSite Version 7.0.1 Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite. Product Overview IBM Rational

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP v8.1.1 7-Mode Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

IFT2251 Introduction au génie logiciel Hiver 2006 (4 crédits) Prof. : Julie Vachon. Plan de cours

IFT2251 Introduction au génie logiciel Hiver 2006 (4 crédits) Prof. : Julie Vachon. Plan de cours IFT2251 Introduction au génie logiciel Hiver 2006 (4 crédits) Prof. : Julie Vachon ** Début des cours : le lundi 9 janvier 2006 ** Plan de cours 1. Introduction Les exigences et les attentes à l égard

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Verdasys Préparé par le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les Critères

Plus en détail

MODELISATION UN ATELIER DE MODELISATION «RATIONAL ROSE»

MODELISATION UN ATELIER DE MODELISATION «RATIONAL ROSE» MODELISATION UN ATELIER DE MODELISATION «RATIONAL ROSE» Du cours Modélisation Semi -Formelle de Système d Information Du Professeur Jean-Pierre GIRAUDIN Décembre. 2002 1 Table de matière Partie 1...2 1.1

Plus en détail

Vérifier la qualité de vos applications logicielle de manière continue

Vérifier la qualité de vos applications logicielle de manière continue IBM Software Group Vérifier la qualité de vos applications logicielle de manière continue Arnaud Bouzy Kamel Moulaoui 2004 IBM Corporation Agenda Analyse de code Test Fonctionnel Test de Performance Questions

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification US Federal Protect Standard v9.1 Préparé par : Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

OWASP Training Paris France 26 Avril 2011

OWASP Training Paris France 26 Avril 2011 OWASP Testing Guide OWASP Training Paris France 26 Avril 2011 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright 2009 - The OWASP Foundation

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB SWAT BROCHURE SÉCURITÉ DES APPLICATIONS WEB La sécurité des applications Web s est avérée être un énorme défi pour les entreprises ces dernières années, très peu de solutions appropriées étant disponibles

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme

Plus en détail

Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010)

Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010) Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010) Par LoiselJP Le 01/05/2013 1 Objectifs Ce document décrit le plus succinctement possible une manière, parmi d'autres, d installer

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

Spécifications des exigences d'un logiciel (Adapté de la norme IEEE 830-1993)

Spécifications des exigences d'un logiciel (Adapté de la norme IEEE 830-1993) Spécifications des exigences d'un logiciel (Adapté de la norme IEEE 830-1993) Ce document suggère un ensemble d éléments à préciser pour les exigences d'un système logiciel. Il débute par une Page de titre,

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les critères

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit Trustwave SIEM Operations Edition Version 5.9.0 and Trustwave SIEM LP Software Version 1.2.1 Préparé par : Le Centre de la sécurité des télécommunications

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

Use Cases. Introduction

Use Cases. Introduction Use Cases Introduction Avant d aborder la définition et la conception des UC il est bon de positionner le concept du UC au sein du processus de développement. Le Processus de développement utilisé ici

Plus en détail

Eléments pratiques de test des Hiérarchies et Frameworks

Eléments pratiques de test des Hiérarchies et Frameworks Eléments pratiques de test des Hiérarchies et Frameworks Notes de cours Christophe Dony Master Info Pro - Université Montpellier-II 1 Introduction 1.1 Définitions Génie Logiciel No 18, Mars 1990. EC2.

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Rendez-vous la liberté avec Rational Quality Manager

Rendez-vous la liberté avec Rational Quality Manager IBM Software Group RAT02 Rendez-vous la liberté avec Rational Quality Manager Bernard Dupré IBM Rational IT Specialist 2008 IBM Corporation Envisager une plateforme qui change la production de logiciels

Plus en détail

CASTOR: un outil d aide à la conception, l évaluation et l audit d architectures sécurisées

CASTOR: un outil d aide à la conception, l évaluation et l audit d architectures sécurisées CASTOR: un outil d aide à la conception, l évaluation et l audit d architectures sécurisées Dominique Chauveau dominique.chauveau@aql.fr AQL - Groupe SILICOMP Journées Systèmes et Logiciels Critiques Grenoble,14-16

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee File and Removable Media Protection 4.3.1 et epolicy Orchestrator 5.1.2 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification

Plus en détail

Panorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection

Panorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection Jean-ierre Lacombe Animateur Afnor CN SSI GE1-2 anorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection www.fidens.fr jean-pierre.lacombe@fidens.fr Travaux normatifs

Plus en détail

PCI DSS un retour d experience

PCI DSS un retour d experience PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Forum Sentry v8.1.641 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification

Plus en détail