La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014
|
|
- Marianne Croteau
- il y a 8 ans
- Total affichages :
Transcription
1 La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé Conférence ASIQ, mars 2014
2
3
4 AINSI, CE QUI EST D UNE IMPORTANCE SUPRÊME DANS LA GUERRE, C EST D ATTAQUER LA STRATÉGIE DE L ENNEMI Sun Tzu
5 Index Qui suis-je Vocabulaire Types de test, avantages & inconvénients D hier à aujourd hui Statistiques Quel test choisir? L appel d offre Un bon rapport!?! Choix du fournisseur
6 Qui suis-je? Enode.ca Hackfest.ca Conseiller en architecture et analyste en sécurité Spécialiste en sécurité applicative 7 ans d expérience en sécurité Participe et crée plusieurs CTF depuis Conférencier au sein de grandes entreprises, ministères ainsi que les cégeps et universités
7 Vocabulaire
8 Vocabulaire - types de test black box Aucune information disponible si ce n est que de la cible white box Toutes les informations possibles sur la cible grey box Un mix interne Réseau interne (physiquement ou via VPN) externe Via Internet physique Physiquement entrer dans un bâtiment ingénierie sociale Test souvent inclut dans les tests d intrusion
9 Vocabulaire - Scan de vulnérabilité Activité utilisant un outil automatisé pour analyser les ports ouverts sur une machine, y définir le service en fonction et s il est potentiellement vulnérable. Souvent un rapport traduit ou directement créé par l outil automatisé est remis au client. D autres entreprises interprêtent les résultats.
10 Vocabulaire - Test d intrusion Ou encore, pentest ou test intrusif. Test principalement manuel qui consiste généralement des étapes suivantes : 1. Reconnaissance (scan 10%, analyse surface d attaque, etc.) 2. Analyse de vulnérabilité (analyse de la reconnaissance) 3. Exploitation (entre dans le réseau/serveur/client) 4. Post exploitation (GOTO 1.) 5. Rapport détaillé
11 Vocabulaire - Revue de code source Analyse du code source d une application Web, desktop ou autre à la recherche de vulnérabilité connues et des vulnérabilités logiques. Généralement effectué par un développeur de formation.
12 PLAIDER LE FAUX POUR SAVOIR LE VRAI
13 Le faux Un test d intrusion peut être non intrusif Un test d intrusion est la meilleure méthode pour découvrir des vulnérabilités Un scan de vulnérabilité est un test d intrusion Le résultat d un test d intrusion est égal de firme en firme puisqu ils utilisent des outils On peut donc toujours utiliser la même firme Nessus, Acunetix, etc. sont des outils performant pour des tests d intrusion
14 Le vrai Un test d intrusion est par définition intrusif si vous demandez un test non intrusif, on parle de scan de vulnérabilité ce qui est tout à fait différent Un scan de vulnérabilité ne survol que la surface sans tester et assurer que la vulnérabilité existe réellement. La meilleure méthode pour identifier des vulnérabilités est à la source à l aide d un cycle de développement sécuritaire (DSL) et de revues de code source
15 Le vrai Un test d intrusion dépend de la qualité de la firme, des analystes, de leur méthodologies et de leurs connaissance. La raison qu il est recommandé de changer ou d alterner de firme après quelques tests Un bon test d intrusion n est pas meilleur, ni défini par les outils utilisés Un scan de vulnérabilité oui Nessus, acunetix, etc. sont des outils pour effectuer des scans de vulnérabilités (vulnerability assessment)
16 Différences entre les types de test
17 LA DÉFINITION DES TESTS AVANTAGES & INCONVÉNIENTS
18 Scan de vulnérabilité Utilisation d un outil automatisé qui permet de vérifier les ports ouverts, le service fonctionnant sur ce port,les vulnérabilités potentielles associées à ce dit service et sa version.
19 Avantages du scan de vulnérabilité Excellent outil permettant d effectuer la gestion de vulnérabilités Différence entre deux scans Permet d avoir rapidement une vue superficielle de la sécurité de notre infrastructure
20 Inconvénients du scan de vulnérabilité À peine 20% d efficacité Couvre environ 10% des vérifications de sécurité normalement effectuées Un scan de vulnérabilité comprend énormément de faux positif 30 fois moins efficace qu un test d intrusion1 Couvre environ 20% de la sécurité d une application Security%20Statistics#Summary
21 Test d intrusion Test qui confirme et exploite les vulnérabilités découvertes dans la phase de reconnaissance (qui inclut le scan). Lorsqu une cible est exploitée, le but est de vérifier jusqu ou on peut se rendre dans les limites du contrat pour définir l impact réel d une attaque.
22 Avantages du test d intrusion Un test en white box permet de découvrir 30 fois plus de vulnérabilité qu un scan de vulnérabilité1 Couvre environ 40 a 50% des vérifications possibles lorsque le test est en blackbox Application%20Security%20Statistics#Summary
23 Inconvénients du test d intrusion Ce n est pas vraiment un inconvénient, mais cela n inclut pas l analyse de code source pour couvrir tous les types de test en mode whitebox. Peu de certification existent pour les tests d intrusion. Les certifications à choix de réponses ne démontrent aucune compétence dans le domaine des tests d intrusion versus une certification à examen technique où l ont doit pirater des serveurs et applications.
24 Revue de code source Analyse technique et logique du code source d une application pour y découvrir des problèmes de sécurité à la source
25 Avantages de la revue de code Efficacité d environ 80-90%; Couvre environ 80% de la surface d attaque de l application; Analyse à la source AVANT la mise en production; Frais 100x plus petit que d être en mode correction lorsque en Production.
26 Inconvénients de la revue de code Dépend énormément de l auditeur et de son background en programmation. Aucune certification n aide réellement à la revue de code source. Les certifications pour test d intrusion ne sont pas reliées à la revue de code source
27 QUEL TEST EST LE PLUS UTILE AUJOURD HUI?
28 Quelle approche est la plus intéressante? Scan de vulnérabilité : survol fréquent Permet d avoir une approximation des mises à jour effectuées ou non dans le parc informatique Test d intrusion (un vrai) Définir l impact réel d une attaque utilisant plusieurs vecteurs d attaque et une surface d attaque réel Revue de code source Règle 80% des problèmes à la source, réduit les coûts de 100 fois versus effectuer des corrections en environnement de Production
29 TOUT D ABORD D HIER À AUJOURD HUI
30 Crypto moderne
31 Crypto
32 IDS
33 Anti-virus
34 Firewall
35 SSL
36
37 20/30 ans d efforts en sécurité technologique et réseau, mais il y a un DÉFICIT énorme en sécurité applicative
38 Types de vulnérabilité
39 Complexité des vulnérabilités public
40 SELON VOUS OÙ DOITON INVESTIR EN SÉCURITÉ?
41 Où devrait-on investir? Scan de vulnérabilité : survol Permet d avoir une approximation des mises à jour effectuées ou non dans le parc informatique Test d intrusion (un vrai) Défini l impact réel d une attaque utilisant plusieurs vecteurs d attaque et une surface d attaque réel Revue de code source Règle 80% des problèmes à la source, réduit les coûts de 100 fois versus effectuer des corrections en environnement de Production
42 Où devrait-on investir? Revue de code source Mise en place de développement sécuritaire (DSL) Test d intrusion applicatif Versus investir en : Sécurité réseau Droits d accès Scan et pentest orienté serveur seulement
43 Définir le prix Plusieurs clients optent pour les scans de vulnérabilité. Est-ce judicieux? Exemples : 1. Prix par : IPs / page Web 2. Taux d un test d intrusion 3. Taux d une revue de code source
44 Définir le prix : Exemple scan Prix par IPs / Pages Web Ne prend pas en compte la surface d attaque La valeur est par IP au lieu d être la valeur de la surface d attaque et de chaque éléments de l infrastructure, leur cote DIC(AI), etc. Exemple: 10 IPs, 50$/IP Prix moyen ressource: 120$/heure (90-150$) Prix du test: 500$ 500/120 = ~4heures/IP Possibilité d aucune surface d attaque Rapport à effectuer (dans le ~4h/IP) - méthode pour choisir un vendeur de test d intrusion
45 Définir le prix : Exemple intrusion Qu est-ce qui est inclus dans un test d intrusion: 1. Reconnaissance Analyse de la surface d attaque Scan et analyse des services Reconnaissance et récupération d information public 2. Tests et attaques 3. Vulnérabilités découvertes 4. Exploitation et pivot à l intérieur de l entreprise 5. GoTo #1 à partir de la nouvelle zone réseau
46 Définir le prix : Exemple intrusion Prix moyen ressource: 120$/heure (90-150$) Reconnaissance = 5 à 10% du projet Scan = 5 à 10% du projet Attaque par niveau de sensibilité des systèmes et de ce qu ils permettent d accéder si compromis 1 à 3 jours : faible 3 à 5 jours : moyen 5 à 10 jour: élevé 10 à 20 : très élevé 20++ : critique Rapport = 5%
47 Définir le prix : Exemple de revue Qu est-ce qui est inclus dans une revue de code source : 1. Reconnaissance Compréhension de l application à l aide de l équipe de développeur Survol du code Analyse des interactions entre modules 2. Analyse des modules 3. Vulnérabilités découvertes 4. Décrire les vulnérabilités et les recommandations pour correction future = Documenter le rapport final 5. Si possible le tester dans un environnement de Test ou de Prod
48 Définir le prix : Exemple de revue Prix moyen ressource: 120$/heure (90-150$) Reconnaissance = 10 à 15% du projet Analyse des modules = 75% du projet Analyse par niveau de sensibilité des systèmes, modules ou sections de code 1 à 3 jours : faible 3 à 5 jours : moyen 5 à 10 jour: élevé 10 à 20 : très élevé 20++ : critique Rapport = 10%
49 Plus cher oui, mais plus efficace
50 Le danger?
51 Le danger?
52 Le danger?
53 Le danger?
54 L APPEL D OFFRE
55 À inclure dans l appel d offre de sécurité technique Définir la surface d attaque (et la limite) Définir la sensibilité des serveurs et leur données Le nombre de serveur, application et leur type Type de test Définir un timeline et les heures de test Rencontre de démarrage et remise de rapport Contact tout au long des tests Avoir une équipe prête en cas de problématique Clause contractuelle, NDA, etc. Indiquer ce que vous désirez obtenir dans le rapport Niveau de risque adapté à votre entreprise (pas le risque de Nessus ou autre logiciel) Une description adaptée Description de la probabilité (le pourquoi) Description de l impact (le pourquoi)
56 LE RAPPORT
57 Exemple de rapport Sommaire Portée / hors portée ; clause contractuelle Liste des recommandations Liste des vulnérabilités Niveau de risque Description Probabilité Impact Recommandation Annexe décrivant les étapes pour reproduire chaque vulnérabilité Timeline Définitions
58 Interprétation du rapport Effectué par un analyste en sécurité Ajustement du niveau de risque par rapport au contexte de l entreprise Priorisation Coordination avec les équipes TI ou de développement pour la correction Rencontre avec l auditeur après les tests
59 Comment choisir un fournisseur de test technique Un test est défini par la qualité, les connaissances et le talent de l équipe et non pas par les outils utilisés Expérience dans le domaine précis Revue de code, et développement sécuritaire = développeur de formation Changement de firme après 3 à 5 tests d intrusion À long terme, une même firme utilisera les mêmes recettes et mêmes trucs. Certifications? Sujet épineux, mais personnellement: Certification technique seulement (vérifier que ce ne sont pas
60 Questions à se poser Liste de question de com/alt/howtovendor.pdf
61 Offre Enode
62 Offres Enode Tests d intrusion Revue de code source Mise en place DSL (cycle de développement sécuritaire logiciel) Scan de vulnérabilité Formations sécurité applicative Présentations Accompagnement
63 ?
64 Contact Service conseils Hackfest 2014 (7&8 novembre)
Audits Sécurité. Des architectures complexes
Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs
Plus en détailAtelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)
Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Table des matières 1. Présentation de l atelier... 2 2. Présentation des outils utilisés... 2 a. GNS3
Plus en détailGPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH
- CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - 145-147 rue Yves Le Coz 78 000 Versailles Tél. : 01.39.24.16.66 Fax : 01.39.24.16.67
Plus en détailSécurité de l information : un cas réel d intrusion à l UQAM. Présentation GRICS RN2010 25 novembre 2010
Sécurité de l information : un cas réel d intrusion à l UQAM Présentation GRICS RN2010 25 novembre 2010 Plan de la présentation Mise en contexte D incident à crise de sécurité informatique L art de la
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détailFiche descriptive de module
Fiche descriptive de module ST216 310 310 Prérequis Processus PEC associés spécifiques Conditions de réussite Contenu du module Date entrée en vigueur : 27.08.2012 ST200 Enseignements et exercices théoriques,
Plus en détailOpen Vulnerability Assessment System
UFR Mathématique-Informatique Université Paris Descartes UFR Mathématique-Informatique Master 2 Informatique RIP Parcours : Réseaux Open Vulnerability Assessment System Réalisé par : Responsable de cours
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailUne protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre
Une protection ICT optimale Du conseil à la gestion en passant par le développement et la mise en oeuvre 1 Sommaire Cette brochure vous donne de plus amples informations sur la manière dont Telenet peut
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailTEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME
TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME Vo t r e s p e a k e r a u j o u r d h u i : F r a n ç o i s W e b S e c u r i t y M a n a g e r Agenda Partie
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailSTIDIA Présentation de la Société
STIDIA Présentation de la Société - Brève Description et Nos Valeurs Société - Organisation et Références - Nos Produits - Nos Services - Pourquoi Choisir STIDIA? - Contacts Brève Description et Nos Valeurs
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailTEST D INTRUISION. Document Technique
Document Technique TEST D INTRUISION Préparé et présenté par AMINATA THIAM 3 ème année Sécurité de la Technologie de l Information, la Cité Collégiale Cours analyse des risques et vulnérabilités Mars 2012
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailINTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS
INTÉGRATEUR RÉSEAU ET SÉCURITÉ IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS «un accompagnement à l échelle nationale.» Un acteur majeur sur le marché
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailRôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.
Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr Alain Cocconi FAI et Data Center: des réseaux différents, problématiques identiques.
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailComment choisir la solution de gestion des vulnérabilités qui vous convient?
Comment choisir la solution de gestion des vulnérabilités qui vous convient? Sommaire 1. Architecture 2. Sécurité 3. Evolutivité et convivialité 4. Précision/Performance 5. Découverte/Inventaire 6. Analyse
Plus en détailDOSSIER DE PRESSE. Octobre 2011
Octobre 2011 Contacts presse CYMBIOZ NOMIOS Pauline Moreau Sébastien Kher, Directeur Général 31, rue des Petits-Champs 75001 Paris 13/15 rue de l Eglise 92100 Boulogne Billancourt pauline.moreau@cymbioz.com
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailSECURIDAY 2012 Pro Edition
SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Information Gathering via Metasploit] Chef Atelier : Nihel AKREMI (RT 3) Baha Eddine BOUKHZAR(RT 2) Sana GADDOUMI (RT 4) Safa
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailIPS : Corrélation de vulnérabilités et Prévention des menaces
IPS : Corrélation de vulnérabilités et Prévention des menaces SIM+IPS opensource David Bizeul & Alexis Caurette C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Définitions SIM : Security Information
Plus en détailCATALOGUE DES FORMATIONS SECURITE INFORMATIQUE
Janvier 2013 Décembre CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE Certifications Sécurité EC-Council Séminaires Renforcement des Capacités Training Day : Initiation à la Sécurité Informatique Tél :
Plus en détailAtelier Sécurité / OSSIR
Atelier Sécurité / OSSIR Présentation Produits eeye SecureIIS Retina elorrain@eeye.com & broussel@eeye.com Sommaire Page 2 Qui sommes nous? SecureIIS Protection Web Retina Scanner de Sécurité Questions
Plus en détailMise en place de la composante technique d un SMSI Le Package RSSI Tools BOX
Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX PLAN 1 INTRODUCTION...3 1.1 OBJECTIF...3 1.2 FONCTIONNALITES...3 2 DESCRIPTION TECHNIQUE DE LA PLATE-FORME...4 2.1 ARCHITECTURE...4
Plus en détailCAHIER DES CLAUSES TECHNIQUES
CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailTable des matières. Avant-propos... Préface... XIII. Remerciements...
Avant-propos... XI Préface... XIII Remerciements... XV Introduction... XVII Pourquoi faire un pentest?... XVII Pourquoi Metasploit?... XVII Un bref historique de Metasploit.... XVIII À propos de ce livre...
Plus en détailLA PROTECTION DES DONNÉES
LA PROTECTION DES DONNÉES PROTECTION DES BASES DE DONNÉES 22/11/2012, Swissôtel Métropole INTRODUCTION UNE CIBLE DE CHOIX Contient énormément de données confidentielles Rarement protégée autrement que
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailDétruisons ces conceptions erronées sur le Cloud Computing
Détruisons ces conceptions erronées sur le Cloud Computing Apprivoisons le Cloud Quelques leçons de sécurité Les bénéfices d affaires du Cloud Quelques conceptions erronées sur le Cloud Computing Mythe
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailRéseaux Privés Virtuels
Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards Nouvelles technologies, WiFi, MPLS Gestion d'un VPN, Gestion d'une PKI Introduction Organisation du
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailTom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!
Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des
Plus en détailPrésenté par : Mlle A.DIB
Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans
Plus en détailUne approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot
Une approche positive du filtrage applicatif Web Didier «grk» Conchaudron Sébastien «blotus» Blot 1 Un peu de background 2 Une hécatombe Juste en 2011: Sony, RSA, Orange, MySQL.com, HBgary & 600+ autres
Plus en détailSymantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises
Une solution simple, efficace et compétitive pour les petites entreprises Présentation Symantec Protection Suite Small Business Edition est une solution de sécurité et de sauvegarde simple et compétitive.hautement
Plus en détailUSERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires
Plus en détailQu'est-ce qu'un virus?
Page Page 2 Qu'est-ce qu'un virus? Un virus est un programme qui a plusieurs objectifs distincts : -le principe même d un virus est de s'étendre de machine en machine (le code est dit auto-reproductible).
Plus en détailCentre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche
Centre de Recherche sur l Information Scientifique et Technique Protection des Systèmes d Information: Aspects Juridiques Par Mme BOUDER Hadjira Attachée de Recherche Introduction La décentralisation des
Plus en détailface à la sinistralité
Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailProtection des protocoles www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2
Plus en détailCatalogue Audit «Test Intrusion»
Catalogue Audit «Test Intrusion» Ne plus imaginer son niveau de sécurité : Le mesurer! À CHACUN SON APPROCHE! 1. par un «Scénario» L objectif est de réaliser un scénario d attaque concret de son Système
Plus en détailRevue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?
Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailDruais Cédric École Polytechnique de Montréal. Résumé
Étude de load balancing par un réseau de neurones de types HME (Hierarchical Mixture of s). Druais Cédric École Polytechnique de Montréal Résumé Cet article tente d introduire le principe de load balancing
Plus en détailSécurité Nouveau firmware & Nouvelles fonctionnalités
Sécurité Nouveau firmware & Nouvelles fonctionnalités Sécurité ZyXEL - gamme USG Un choix complet de produits pour les petits comme les grands! Une gamme de 9 produits Firewall Services UTM Répartition
Plus en détailGroupe Eyrolles, 2004, ISBN : 2-212-11274-2
Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure
Plus en détailDenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.
DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d
Plus en détailCatalogue «Intégration de solutions»
Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus
Plus en détailLIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités
Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace
Plus en détailLe scan de vulnérabilité
4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés
Plus en détailSécurité des Postes Clients
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin
Plus en détailRAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER
A Demande R-3491-2002 RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER HYDRO-QUÉBEC ÉVALUATION DU PROJET SIC ET RECOMMANDATIONS, 7 AOÛT 2002 Original : 2002-09-20 HQD-2, Document 1 (En liasse) Rapport
Plus en détailTUNIS LE : 20, 21, 22 JUIN 2006
SÉMINAIRE SUR LA SSI : LA SÉCURITÉ DES SYSTÈMES D INFORMATION TUNIS LE : 20, 21, 22 JUIN 2006 La Sécurité Informatique : LES TECHNOLOGIES ET LES PRODUITS ORGANISÉ PAR : PARTENARIAT AVEC : ARAB ENGINEERING
Plus en détailCHAPITRE 3 : INTERVENTIONS SUR INCIDENTS
CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le
Plus en détailSécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC
Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................
Plus en détailAccès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005
ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailGestion des incidents
Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11933-X
Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle
Plus en détailMise en place d une politique de sécurité
Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec
Plus en détailSécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Plus en détailSécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailcedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007
F i r e w a l l s e t a u t r e s é l é m e n t s d ' a r c h i t e c t u r e d e s é c u r i t é cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailCommission informatique du 29 janvier 2002. Activités 2001 et plan d action 2002 A. Mokeddem
Commission informatique du 29 janvier 2002 Activités 2001 et plan d action 2002 A. Mokeddem 1. Rappel sur la mission et l organisation du SITEL 2. Activités 2001 et plan d action 2002 22.01.2002 2 mission
Plus en détail«ASSISTANT SECURITE RESEAU ET HELP DESK»
«ASSISTANT SECURITE RESEAU ET HELP DESK» FORMATION CERTIFIANTE DE NIVEAU III CODE NSF : 326 R INSCRIT AU RNCP ARRETE DU 31/08/11 JO DU 07/09/11 - OBJECTIFS Installer, mettre en service et dépanner des
Plus en détailGestion du risque numérique
Gestion du risque numérique Auguste DIOP Arnaud PRINCE AGBODJAN TALENTYS www.talentys.ci 2ème édition des Journées de l Entreprise Numérique, 9 & 10 avril 2015 Qui sommes-nous? Fondée en 2007, TALENTYS
Plus en détailGestion des licences électroniques avec Adobe License Manager
Article technique Gestion des licences électroniques avec Adobe License Manager Une méthode plus efficace pour gérer vos licences logicielles Adobe Cet article technique traite des enjeux de la gestion
Plus en détailAnalyse statique de code dans un cycle de développement Web Retour d'expérience
Analyse statique de code dans un cycle de développement Web Retour d'expérience Laurent Butti et Olivier Moretti Orange France prenom.nom@orange.com Agenda Introduction Notre contexte L (in)sécurité des
Plus en détailQUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3
QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3 SOMMAIRE ESET Smart Security... 2-3 ESET Personal Firewall... 4-5 ESET Antispam... 6 INSTALLATION... 7 ESET NOD32 Antivirus... 8 ESET Remote
Plus en détailFORMATION PROFESSIONNELLE AU HACKING
FORMATION PROFESSIONNELLE AU HACKING BRIEFING Dans un monde où la science et la technologie évolue de façons exponentielle, les informaticiens et surtout les administrateurs des systèmes informatique (Réseau,
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailProtection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailSécurité informatique: introduction
Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information
Plus en détailSurveillance de la sécurité basée sur les résultats dans un contexte de surveillance continue
Surveillance de la sécurité basée sur les résultats dans un contexte de surveillance continue Ron Gula PDG, Directeur technique Introduction Les technologies de gestion des vulnérabilités ont tellement
Plus en détailPASSI Un label d exigence et de confiance?
PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,
Plus en détailSécurité Informatique : Metasploit
Sécurité Informatique : Metasploit Par Brandon ROL Veille Technologique La veille technologique consiste à s'informer de façon systématique sur les techniques les plus récentes et surtout sur leur mise
Plus en détailPositionnement produit
Firewall UTM NetDefend DFL-160 pour TPE FIREWALL HAUT DÉBIT Débit du firewall de 70 Mbps et vitesse du VPN de 25 Mbps Cas de figure d utilisation Pour assurer la sécurité du réseau des PME sans ressources
Plus en détailLyon, mardi 10 décembre 2002! "#$%&"'"# &(
é é Lyon, mardi 10 décembre 2002! "#$%&"'"# &( - LEXSI - Méthodologies des audits sécurité - Formalisation des résultats - CF6 TELINDUS - Retour expérience sur tests intrusifs - ARKOON - Nouvelles menaces,
Plus en détailIDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?
IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council
Plus en détailEtat des lieux sur la sécurité de la VoIP
Etat des lieux sur la sécurité de la VoIP Loic.Castel@telindus.com CHANGE THINGS YOUR WAY Quelques chiffres La téléphonie par IP en général Résultat d une enquête In-Stat sur des entreprises nord-américaines
Plus en détail1 Introduction à l infrastructure Active Directory et réseau
1 Introduction à l infrastructure Active Directory et réseau Objectifs d examen de ce chapitre Ce premier chapitre, qui donne un aperçu des technologies impliquées par la conception d une infrastructure
Plus en détailDIGITAL NETWORK. Le Idle Host Scan
DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne
Plus en détailz Fiche d identité produit
z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailModèle MSP: La vente de logiciel via les services infogérés
Modèle MSP: La vente de logiciel via les services infogérés Agenda Présentation Modèle MSP / Modèle Break&Fix Modèle Break&Fix traditionnel Genèse du modèle MSP Business model Modèle de maturité du Gartner
Plus en détail