TUNIS LE : 20, 21, 22 JUIN 2006

Transcription

1 SÉMINAIRE SUR LA SSI : LA SÉCURITÉ DES SYSTÈMES D INFORMATION TUNIS LE : 20, 21, 22 JUIN 2006 La Sécurité Informatique : LES TECHNOLOGIES ET LES PRODUITS ORGANISÉ PAR : PARTENARIAT AVEC : ARAB ENGINEERING G-3S FRANCE 12, rue de vivienne PARIS Tél Fax ARAB EN GENEERING, 3 Rue Ezzedine HAMMI, Nacer 2, Tunis 1

2 OBJECTIFS du SEMINAIRE SSO,, FIIREWALLLIING ET VPN,, PKI ET LDAP,, SSL/TLS ET IPSEC,, INTRUSIION DETECTIION AND PREVENTIION SYSTEMS,, (REVERSE) PROXYIING,, PORTAL SECURIITY,, DNSSEC,, ETC q COMMENT PROTEGER ET SECURISER L INFRASTRUCTURE DE L ENTREPRISE. q QUELLES ATTAQUES, QUELS RISQUES, QUELLES PARADES, QUELLES TECHNOLOGIES? q QUELLES PROBLEMATIQUES NOUVELLES AUJOURD HUI DE SECURITE DES SYSTEMES D INFORMATION? q COMMENT METTRE EN UVRE DES SOLUTIONS DE FILTRAGE RESEAUX ET APPLICATIVES? COMMENT DEPLOYER UNE INFRASTRUCTURE DE CLES PUBLIQUES (PKI)? q COMMENT GERER L AUTHENTIFICATION UNIQUE (SINGLE SIGN-ON)? q COMMENT PROTEGER SES SERVICES EN LIGNE EXTRANET ET INTRANET? q QUE FAIRE EN CAS D INTRUSION : DE LA PREVENTION EN TEMPS REEL A LA DETECTION DES EVENEMENTS SUSPECTS? CE SEMINAIRE DRESSE L ETAT DE L ART EN LA MATIERE ET REPOND A TOUTES LES PREOCCUPATIONS ACTUELLES DANS UN DOMAINE INELUCTABLE ET EN PLEIN DEVELOPPEMENT : LE DOMAINE DE LA SSI (LA SECURITE DES SYSTEMES D INFORMATION). PARTICIPANTS Ce séminaire s adresse aux : Managers, Décideurs Directeurs Informatique Directeurs Des Systèmes D information Directeurs Responsable De La Mise En Place D un Audit De Sécurité Directeurs De La Formation Responsable De Sécurité Des Systèmes Informatiques Ingénieurs Systèmes Et Réseaux Ingénieurs Informaticiens Développeurs Techniciens Réseaux Formateurs Internes Formateurs Ou Enseignants En Réseaux Et Informatique Toute Personne Impliquée Par La Sécurité Informatique PRE-REQUIS AUCUN 2

3 PLANNING du SEMINAIRE 1ere JOURNÉE 8H30-9H : ACCUEIL 9H -12H30 : PARTIE #1 Rappels sur les services de base de sécurité : ACID et CAIN. Rappels sur les communications et les réseaux. Les risques sur les réseaux TCP/IP. Les attaques passives et actives : définitions et typologies. Les attaques via les protocoles : IP Spoofing, TCP-flooding, SMURF, etc. Vol de session TCP : Hijacking. Les attaques d infrastructure, les attaques ciblées. Land Attack, Ping Of Death, etc. Les vulnérabilités : Recherche, puis exploitation. Mise en place de "backdoors" et trojans. Pause Café à 10H30 Le déni de service : DoS le déni de service distribué : DDoS Les attaques par buffer overflow Techniques d'exploitation de failles dans le code source. Les attaques sur les applications Vulnérabilités dans le protocole HTTP et les applications Web Vol d'informations dans une base de données ("SQL injection", risques sur Oracle, SQL Server, etc.). Quelques exemples d'intrusions : Unicode, Nimda, Code Red. Les protections physiques et logiques Les solutions de filtrages physiques et logiques. Les firewalls 12H30-14H : PAUSE DÉJEUNER 14H-17H30 : PARTIE #2 Définir un plan d'adressage sécurisé, le RFC 1918 La translation d adresse NAT/PAT. Le filtrage applicatif : comment identifier pour filtrer une application. Comment protéger des serveurs, des clients, de l'internet. La mise en place de solutions DMZ, DMZ front-office/back-office. Dans quel contexte justifier plusieurs firewalls? Les firewalls de type "Appliance", l'approche NetWall,PIX, Netscreen, Nokia, etc. Comment sélectionner le firewall le mieux adapté à vos contraintes. Les firewalls : quelle exploitation au quotidien, quelles ressources nécessaires? Pause Café à 15H30 Les proxies Le filtrage des contenus (entrants et sortants), les contraintes légales. Les serveurs proxy, reverse proxy, le masquage d'adresse. Les serveurs antivirus : dédié/non dédié 3

4 Firewall et proxy : quelle complémentarité? La haute disponibilité des firewalls et proxies Et si le firewall tombe en panne? Comment redonder une DMZ, un routeur ISP? De la solution maître-esclave au "Full redundant". Choisir entre solution "embarquée" sur firewall ou solution indépendante. Les produits à haute disponibilité dédiés (SafeKit, Stonesoft, Radware, Alteon). Les Portails d Entreprise TRAVAUX PRATIQUE : ÉTUDE DE CAS -- PARTIE#1 MISE EN PLACE D UNE POLITIQUE DE SECURITE POUR L ENTREPRISE 17H30-18H : Q&R 2eMe JOURNÉE 8H30-9H : ACCUEIL 9H -12H30 : PARTIE #1 La sécurité des Portails : PortalXpert Les solutions du marché Objectifs techniques VPN IP (IPSec) ou VPN HTTP (SSL). Comment étendre son réseau d'entreprise. Comprendre les techniques de tunneling L'apport du protocole Radius, la gestion des profils. Comment déployer des accès distants à travers l'internet. Le standard IPSec, les extensions AH et ESP, la gestion des clés. Les solutions du marché Les produits compatibles IPSec, l'interopérabilité entre produits. Pause Café à 10H30 Définition et Objectifs de la PKI Objectifs fonctionnels de la PKI La protection des données privées de l'entreprise. La protection des transactions électroniques. La protection des infrastructures e-business. La sécurisation de processus de travail en commun. Le rapport entre PKI et SSO, PKI et annuaire. Caractéristiques techniques Les objectifs techniques : confidentialité, intégrité, signature, non-répudiation. Rappel sur les algorithmes à clé symétrique/asymétrique. 12H30-14H : PAUSE DÉJEUNER 14H-17H30 : PARTIE #2 Le rôle du certificat; le standard X509. Les certificats clients et serveurs. CA (Certification Authority), RA (Registration Authority), CRL (Certificate Revocation List), OCSP (On-line Certificate Status Protocol), VA (Validation Authority). 4

5 Le standard SSL, la version 3, vers TLS 3.2, 40 ou 128 bits? Les standards PKCS (Public Key Cryptography Standards). Le rôle de l'annuaire : la sécurité dans LDAP, les profils, habilitations et ACL. Comment déployer une PKI Les vrais coûts de la PKI. Mots de passe statiques, token, carte à puce, clé USB. Certificat client embarqué ou biométrie? Préserver la confidentialité des mots de passe. Pause Café à 15H30 Les authentifications PPP : PAP et CHAP. Comment utiliser les certificats comme authentification client. Les systèmes d'authentification Compréhension de Radius, Tacacs+, Kerberos. Comment déployer des tokens, smartcards, cartes à puce. Quels sont les agents d'authentification sur firewall, OS, serveurs? Compléter l'authentification par l'intégrité et la confidentialité de vos données. Single Sign On ou Simple Sign On? Le support indispensable de l'annuaire : LDAP, Active Directory ou NDS. Le rôle et l'avenir de la carte à puce pour l'authentification. La Sécurité optimale TRAVAUX PRATIQUE : ÉTUDE DE CAS -- PARTIE#1 MISE EN PLACE D UNE POLITIQUE DE SECURITE POUR L ENTREPRISE 17H30-18H : Q&R 3eMe JOURNÉE 8H30-9H : ACCUEIL 9H -12H30 : PARTIE #1 L architecture dédiée Les Produits de référence : AccessMaster-SSO etc La sécurité de bout en bout Le Déploiement : Les étapes et les coûts La problématique technique Le rôle indispensable du reverse proxy ou relais applicatif. La complémentarité firewall/reverse proxy. La sécurité des portails d entreprise L'apport de PortalXpert Le stockage de l'information sécurisée : l'intégrité et la confidentialité des bases de données. Pause Café à 10H30 Détection d intrusion et Checksum L'apport de Tripwire, la version commerciale. La gestion des URL dynamiques, la syntaxe des arguments. Les choix des produits : Appliance ou logiciel sur OS standard. 5

6 La sécurisation des communications Web avec SSL et TLS Comment bien architecturer son application (front-office/back-office)? Comment réaliser un filtrage d'url efficace. La liste blanche, la liste noire. L'authentification renforcée et la gestion SSO. L'accélération SSL : comment choisir entre Appliance et carte sur serveur. Ce qui consomme du temps dans une session SSL/TLS : négociation, échange des clés, flux chiffré. 12H30-14H : PAUSE DÉJEUNER 14H-17H30 : PARTIE #2 La messagerie accessible de l'internet Comment ouvrir sa messagerie d'entreprise à l'internet? La signature de mail et le chiffrement, le standard S/MIME. L'authentification des services distants (Webmail ou POP) : comment se protéger des attaques par brute force? Les solutions IPSec et SSL : avantages et inconvénients. Rappel sur le cycle de vie d'une faille/vulnérabilité. De la détection à l'action. Les outils et techniques disponibles Pause Café à 15H30 Tests de vulnérabilité ou tests d'intrusion. Choisir les outils appropriés, les logiciels d'analyse de sécurité. Les logiciels de scan avancé VDS : ISS Internet Scanner, Nessus. Les outils de détection temps réel IDS, en mode sonde, en coupure ou embarqués sur serveur. Comment répondre efficacement aux attaques Une supervision dédiée et sécurisée, des procédures écrites et "rodées". La veille technologique : comment se tenir informé des nouvelles vulnérabilités. Les services indispensables en H24. Les outils avancés : SIM, UTM TRAVAUX PRATIQUE : ÉTUDE DE CAS -- PARTIE#3 MISE EN PLACE D UNE POLITIQUE DE SECURITE POUR L ENTREPRISE 17H30-18H : Q&R 6

7 BULLETIN D INSCRIPTION A nous faire parvenir par Fax au : (+216) Ou par nabil.gargouri@gmail.com Pour toute information complémentaire : SÉMINAIRE : LAA SEECC UURRIITTEE IINFFORRMAATT IIQUUEE :: L EESS TEECCHNOLLOGIIEESS LEE SS PRRODDUUIITTSS DATE ET LIEU : 20,, 21,, 22 JJUIIN 2006 À TUNIIS À LL HÔTELL AFRIICA MODE DE FORMATION : IINTER--ENTREPRIISE SOCIÉTÉ : Raison Sociale :.. Adresse : Téléphone : Fax :. Responsable de la Formation :. CCoompprri iiss ddaa nns sllee l taarri t iif f : Frais de participation au séminaire par personne : 780 DIINAAR SS HT q Frais d inscription q Support de Cours q Déjeuner, boisson, pauses café N PARTICIPANT (s) Nom et Prénom N o Carte Identité Nationale Qualité/Fonction - NB - Vous pouvez bénéficier de la ristourne de la TFP (Taxe sur la Formation Professionnel) Agrément de Formation Cette inscription tient lieu de bon de commande. CACHET SIGNATURE 7