OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications
|
|
- Sévérine André
- il y a 8 ans
- Total affichages :
Transcription
1 OZSSI NORD 4 JUIN LILLE Conférence thématique: Sécurité des applications Document confidentiel - Advens 2015
2 Présentation de la société Advens 2
3 La sécurité est source de valeur Pas de développement économique sans développement du numérique. Pas de développement du numérique sans sécurité! Document confidentiel - Advens 2015
4 Le défi? Tous les moyens existent pour protéger votre organisation, la clé réside dans votre capacité à les organiser. Document confidentiel - Advens 2015
5 Qui sommes-nous? 1er acteur français spécialiste du management de la sécurité de l information, Advens vous accompagne pour prendre de l'avance et faire de la sécurité un actif différentiateur M ans d existence collaborateurs à Paris, Lille et Lyon clients actifs en France et à l international d euros de chiffre d affaires Document confidentiel - Advens 2015
6 Pourquoi Advens? Nous réunissons toutes les compétences depuis la gouvernance jusqu à la gestion opérationnelle de la sécurité Nous savons intégrer les spécificités sectorielles de votre organisation et les enjeux métier de chacun de ses acteurs Nous savons innover et travailler avec agilité pour mieux répondre aux attentes du marché 4 La force d Advens, c est d orchestrer l ensemble pour créer de la valeur à partir de la sécurité Nous construisons une démarche durable et collaborative avec nos équipes, nos partenaires et nos clients Document confidentiel - Advens 2015
7 Notre Offre Conseil Audit Technologies mysoc Security Management Programs Distribution Finance Public & Collectivités Santé Industrie & Services Application Security Infrastructure Security Digital Innovation Communication & Training Document confidentiel - Advens 2015
8 Advens, acteur de référence dans la région Advens a intégré le Pôle Régional Numérique et chapeaute ses initiatives en matière de sécurité. Advens est l un des membres fondateurs du cluster régional. Alexandre Fayeulle est président du comité stratégique. Advens est partenaire historique de cette association, regroupant une quarantaine de RSSI de la région. 8
9 Document confidentiel - Advens 2015
10 10
11 Actualités 11
12 Actualités 12
13 Actualités 13
14 Les mêmes causes produisent les mêmes effets Les utilisateurs cherchent agilité et autonomie Se tournent vers le Cloud sans évaluer la sécurité Bypassent la DSI, le RSSI Cherchent à optimiser les coûts et des délais rapides Les développeurs insuffisamment formés Manquent de sensibilisation et de formation Utilisent des méthodologies dans lesquelles la sécurité n est pas intégrée Répondent à des cahiers des charges qui n intègrent pas d exigences Les éditeurs ne maîtrisent pas la sécurité dans leurs produits Pression du marché / Time to market Absence de clauses sécurité dans les achats et dans les appels d offres 14
15 Les attaques sur les applications Web OWASP Top : les 10 risques sur la sécurité des applications La partie immergée de l iceberg SANS Top vulnérabilités, parmi 1 millier. Le risque d Injection Encore le premier des problèmes Solution simple pour le contrer Chaque audit/test d intrusion en comporte une Le risque de Cross Site Scripting (XSS) Prise de contrôle du poste client Toujours mal considéré 15
16 Risques principaux sur les applications Web Injection Violation de Gestion d Authentification et de Session Cross-Site Scripting (XSS) Références directes non sécurisées à un objet Mauvaise configuration sécurité Exposition des données sensibles Manque de contrôle d accès au niveau fonctionnel Falsification des requêtes inter-sites (CSRF) Utilisation de composants avec des vulnérabilités connues Redirections et renvois non validés 16
17 Risques principaux sur les applications mobiles Stockage de données non sécurisé Contrôles serveur défaillants Transport de données non sécurisé Injection Client Mauvaise gestion des habilitations et de l authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d entrée non sécurisées Fuite de données par canaux cachés Mauvaise utilisation du chiffrement Fuite d information sensibles 17
18 Zoom sur le Cross Site Scripting (XSS) Un risque toujours sous-estimé 18
19 Cross-Site Scripting: principe 19
20 Cross-Site Scripting: Sans danger pour l application? 20
21 Cross-Site Scripting: Sans danger pour l application? Vol de cookie Requêtes AJAX Cross-Domaine: Exfiltration de données Déni de service: Blocage du mobile Redirections, phishing Scan de ports sur le réseau interne Injection d objets flash via XSS: Activation du micro, de la webcam Captures d écran Sur un mobile vulnérable: Géolocalisation Appel téléphonique / Envoi de SMS Exécution de code (ex: Faille dans les WebView sous Androïd) 21
22 22
23 Architecture REST Une application est RESTful si elle respecte toutes les contraintes imposées par le style REST 23
24 Un web-service REST est une application Web Explosion des web-services REST Les applications mobiles en font un gros usage Les attaques Web «classiques» concernent également les architectures REST Attaques par Injection Compromission des sessions Cross Site Scripting Transport non sécurisé des données 24
25 Les attaques liées à JSON Explosion de JavaScript et d AJAX Applications Mobiles, API REST Objets connectés Explosion de la surface d attaque Javascript «à la demande» Le site Web fait des requêtes pour récupérer du code Javascript Le code récupéré est exécuté dynamiquement, «à la demande» Très utilisé dans les sites avec bandeaux publicitaires, contenus externes Exemple avec JSONP: <script src=" myfunc ("arguments", "générés", "dynamiquements"); Que se passe t il sur votre site si la régie publicitaire est attaquée? 25
26 Les attaques liées à JSON REST souvent utilisé avec des données au format JSON { "a": 3, "myvar" : "Bonjour" } JSON est également un objet JAVASCRIPT L interpréteur Javascript des navigateurs peut exécuter du «texte JSON» de façon dynamique Cela expose les clients à l exécution de scripts malicieux au sein des navigateurs Cela devient très dangereux dans le cas d applications qui récupèrent des données JSON en provenance de sources Internet externes: En cas de compromission de la source, du code malveillant peut s exécuter sur le poste client Exemple de mauvaise pratique: Utilisation de la fonction eval() sur un bloc JSON Préférez l utilisation de JSON.parse() / JSON.stringify() Impact sur la confidentialité 26
27 Attaques utilisant JSONP JSONP utilise les balises <script> pour exécuter du code Javascript en provenance de serveurs distants En cas de compromission de l un de ces serveurs, du code malveillant peut s exécuter au sein du navigateur En cas de compromission de la page d origine, l attaquant peut insérer des balises <script> et appeler le code de son choix La Same-Origin-Policy ne protègera pas contre cette exécution de code L entête HTTP Content-Security-Policy doit être positionnée afin d informer le navigateur de la liste des sites considérés comme étant de confiance. Impact sur la confidentialité 27
28 Attaques utilisant JSONP Cross-Site Request Forgery En cas d injection de balise <script>, le code récupéré s exécute dans le contexte de la page d origine Le code malveillant peut ainsi effectuer des requêtes à destination de sites légitimes sur lesquels l utilisateur était connecté. Cela peut conduire à des vols d information L utilisation d un token aléatoire dans chaque requête permet d éviter ces attaques Impact sur la confidentialité 28
29 Applications mobiles & Objets connectés Le meilleur reste à venir 29
30 Une multitude de possibilités pour le pirate La surface d attaque a explosée ces dernières années Le meilleur reste à venir 30
31 Objets connectés : Des passoires en sécurité Les informations collectées Dernières courses en foret Déplacement à l étranger Consommation de nicotine ou d alcool Pression artérielle Activité sexuelle Etc Failles flagrantes Localisation des objets grâce à leur puce Bluetooth Emission en permanence d une adresse physique MAC 20% des identifiants transmis en clairs pour les applications stockant des données dans le cloud Pour les 80% restants, utilisation de fonction de hachage faible comme MD5 dans de nombreux cas Gestion des sessions très aléatoires permettant d accéder aux comptes utilisateurs Informations très limitées quant à la façon dont sont stockées et protégées les données collectées 31
32 Objets connectés : Des passoires en sécurité 32
33 LIMITER LES RISQUES Bonnes pratiques et recommandations Document confidentiel - Advens 2015
34 Alors, quelles solutions? Méthode Outils Matière grise (expertise humaine) 34
35 Des solutions techniques 35
36 Sécurisation des applications mobiles Les applications mobiles sont de gros consommateurs de web-services REST Des solutions technologiques peuvent offrir des protections complémentaires à la sécurisation des applications clientes Risques à couvrir: Exposition des APIs, fuite d information technique, accès aux information d authentification locales (ex: API Keys) Des solutions techniques existes pour protéger les applications déployées sur les terminaux Contrôle de l intégrité du code Obfuscation Chiffrement Anti-debug Détection du jailbreak Protection des clés de chiffrement stockées localement 36
37 L indispensable expertise humaine Disposer de compétences formées au développement sécurisé Former les intervenants sur leur rôle en sécurité Certification des compétences en sécurité Réponse aux incidents Documentation des projets Cellule d homologation Documentation des mises a jour Un développeur ne sera jamais un expert en sécurité 37
38 Structurer la démarche Sécurité des Applications Gouvernance Conception Vérification Déploiement Un modèle de maturité pour aider les organisations à formaliser et à implémenter une stratégie de sécurisation des applications adaptée à ses risques spécifiques. 38
39 Maturité 1 : je débute Ø Vous ne savez pas où se trouvent vos applications Ø Vous savez que vous avez besoin d évaluer votre niveau de sécurité et sensibiliser les équipes Ø Vous êtes dans un cadre réglementaire qui parle de Sécurité des applications Gouvernance Conception Vérification Déploiement Formation des intervenants sur leur rôle en sécurité Compétences en développement sécurisé Architecture de sécurité Tests d intrusion Applicatifs Vérification des environnements Environnements sécurisés Environnements maintenus à jour 39
40 Maturité 2 : je veux protéger mes applications en production Ø Vous savez où se trouvent vos applications Ø Vous souhaitez obtenir une protection de ces applications Ø Vous avez un besoin de conformité Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Tests d intrusion Applicatifs Vérification des environnements Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) 40
41 Maturité 3 : je veux intégrer la sécurité dans mes projets Ø Vous savez où se trouvent vos applications et évaluez régulièrement leur sécurité Ø Vous disposez déjà d une protection de ces applications Ø Vous souhaitez intégrer la sécurité à vos projets de manière plus systématique Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Méthodologie de développement sécurisé Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Mesure des risques pesant sur les données et applications et adaptation de la réponse Tests d intrusion Applicatifs Vérification des environnements Revue de code Cellule d homologation applicative Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) Gestion des vulnérabilités 41
42 Maturité 4 : je progresse et améliore ma sécurité applicative Ø Vous savez où se trouvent vos applications et évaluez régulièrement leur sécurité Ø Vous disposez déjà d une protection de ces applications Ø Vous intégrez la sécurité en partie dans vos projets et souhaitez obtenir un ROI Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Méthodologie de développement sécurisé Mise en place de métrique de contrôle Amélioration des processus Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Mesure des risques pesant sur les données et applications et adaptation de la réponse Mise en place des frameworks de sécurité Tests d intrusion Applicatifs Vérification des environnements Revue de code Cellule d homologation applicative Revue de la conception Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) Gestion des vulnérabilités Documentation des projets, des mises a jour, Intégrité des logiciels déployés 42
43 Sécuriser le développement d applications mobiles Quelques pistes 43
44 Sécuriser le développement Web mobile Les mêmes préconisations sécurité s appliquent pour les architectures REST et les architectures Web classiques On vérifiera donc que les fondamentaux sont bien respectés dans tout développement REST: Validation des données d entrée Normalisation des données Utilisation correcte des parseurs XML, si applicable Typage fort, si applicable Validation par une approche liste blanche Rejet ou acceptation explicite de la donnée Validation des types de réponse Ne pas s appuyer sur l entête client «Accept» pour fixer le content-type de la réponse 44
45 Sécuriser le développement Web mobile S appuyer au maximum sur les fonctions offertes par les Framework Ne pas réinventer la roue! Système d authentification Validation des entrées Encodage des sorties Chiffrement / déchiffrement des données, cookies, Protection CSRF Protection XSS (X-Content-Type-Options: nosniff) Protection clickjacking (X-Frame-Options: deny ) 45
46 Gestion de l authentification et des sessions REST est sans état, donc chaque requête doit contenir les éléments permettant au serveur de la légitimer L authentification basic sur TLS est recommandée pour des scénarios simples Ce système garanti par ailleurs que les informations d authentification ne seront jamais journalisés (utilisation de l entête HTTP Authorization: Basic) Il est souvent nécessaire d utiliser un système de session ou d API Key L identifiant / la clé doivent être transmis en POST pour ne pas être capturés dans les logs
47 Gestion de l authentification et des sessions Le principe de session est strictement similaire à celui utilisé par les applications Web classiques Mieux que rien, mais largement perfectible Des mesures additionnelles sont requises pour les services sensibles Protection anti-rejeu: Si un attaquant rejoue une requête capturée, il peut usurper l identité d une personne légitime sur l application Utiliser une clé de chiffrement temporaire, dérivée de l API Key, la date, l heure, l adresse IP Protéger le stockage de l API Key sur le périphérique client isadmin=false &debug=false &allowcsrpanel=false rules=af32e89b239ff0bc3dce341 8BCF90D482B8BBA0A0C0C0C0C43 47
48 API Keys Les APIs keys sont préférables à l utilisation de mot de passe Longueur très grande, aléatoire et non prédictible Générées automatiquement, lors de l enrôlement de l utilisateur ou de son périphérique (ex Smartphone) Elles peuvent également améliorer la vitesse dans les environnements à très fort trafic (absence de calcul de hash) Pas d impact en cas de changement de mot de passe Le stockage de la clé sur le périphérique client est un enjeu important Lecture seule pour le propriétaire Utilisation des fonctions de chiffrements disponibles sur le périphérique client 48
49 Protection contre le farming De nombreux web-services REST sont exposés au farming Il est possible d énumérer les ressources des bases de données en appelant le service avec des identifiants croissants Il n y a pas de technique «Officielle» pour se prémunir contre cela, mais Contrôler et authentifier les accès Ne jamais utiliser de références directes 49
50 Configurer correctement le serveur Web Les architectures REST nécessitent l utilisation de méthodes HTTP potentiellement dangereuses: PUT, DELETE notamment Il est essentiel de valider que la configuration du serveur n autorise pas ces méthodes ailleurs qu à destination des URI qui portent des services de type REST! Toujours valider, que l utilisateur a le droit d appeler la méthode sur la ressource qu il demande Exemple: Un utilisateur anonyme peut faire du GET ou du POST Exemple: Il est nécessaire d être authentifié pour appeler UPDATE Exemple: Il est nécessaire de disposer d un profil administrateur pour DELETE 50
51 Protection contre le Cross-Site-Request Forgery Toutes les requêtes, en particulier celles utilisant PUT, POST et DELETE, doivent être protégées contre le CSRF La meilleure des protections consiste à utiliser un token et, surtout, de valider qu aucune attaque de type Cross-Site-Scripting n est possible à l encontre du client 51
52 Amélioration de la sécurité HTTPS HTTPS doit être utilisé pour tout échange d information sensible Paramètres d authentification API Key Informations personnelles Certificate pinning Technique consistant à associer une clé publique ou un certificat avec un site Web et de stocker cette association côté client En cas de compromission du site distant (ex: Redirection de trafic suite à une attaque sur les serveurs DNS), le client peut s apercevoir de l attaque Idéalement, cette association doit être faire lors du développement (et non pas à l issue de la première connexion car la compromission pourrait déjà avoir eu lieu) 52
53 HTTP Strict Transport Security (HSTS) Mécanisme permettant au serveur d informer le navigateur de ne jamais accepter de connexion HTTP non sécurisées et donc de systématiquement utilisé une connexion HTTPS Permet de lutter contre les «downgrade attacks». Exemple: Un site normalement en HTTPS, accédé en HTTP L information est transmise au moyen d un entête HTTP positionné par le serveur Exemple: Strict-Transport-Security "max-age= ;preload.» La première connexion n est donc pas protégée! Sauf si le site est dans la liste des sites préchargés par le navigateur Le navigateur recevant cet entête doit: Transformer automatiquement tous les liens http pointant vers le serveur en liens https Refuser l accès et afficher un message d erreur s il ne parvient pas à authentifier le certificat du serveur 53
54 JOSE: Javascript Object Signing and Encryption JOSE est à JSON ce que WS-Security est à SOAP Signature de tout ou partie des messages JWS: JSON Web Signature Chiffrement de tout ou partie des messages JWE: JSON Web Encryption Jeton JWT: JSON Web Token Utilisé pour décrire les droits d un utilisateur, d un objet Peux contenir des claims OpenID ( Encodé en base64url 54
55 JOSE: Javascript Object Signing and Encryption JS JWS: Implémentation pure Javascript de JWT ( JSON Web Token ) Implémentation pure Javascript de JWS ( JSON Web Signature ) Démonstration de signature JWS: Générateur / validateur de signature JWT: 55
56 OAuth2 OAuth2 est un protocole permettant à une application cliente d effectuer des opérations en tant qu un utilisateur donné, avec la permission de ce dernier Les actions autorisées pour une application cliente donnée sont définies sur un serveur de ressources (un autre serveur Web / Web-service) L utilisateur approuve les actions en informant un serveur d autorisation qu il fait confiance à l application cliente Une application cliente peut également agir en son propre non (sans authentification utilisateur) si elle a autorisée sur le serveur d autorisation 56
57 OAuth2 57
58 Questions / Réponses 58
Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement
Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailTech-Evenings Sécurité des applications Web Sébastien LEBRETON
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,
Plus en détailPrésentation de la solution Open Source «Vulture» Version 2.0
Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailBee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE
Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle
Plus en détailSécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES De la théorie à la pratique Juillet 2012 www.advens.fr Document confidentiel - Advens 2012 Développer des Applications Web Sécurisées Intervenants Agenda Frédéric
Plus en détailVulnérabilités et sécurisation des applications Web
OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning
Plus en détailDenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.
DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d
Plus en détailRevue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?
Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I
Plus en détailDNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS
Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que
Plus en détailSécurité des Web Services (SOAP vs REST)
The OWASP Foundation http://www.owasp.org Sécurité des Web Services (SOAP vs REST) Sylvain Maret Principal Consultant / MARET Consulting / @smaret OpenID Switzerland OWASP Switzerland - Geneva Chapter
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailFICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement
COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie
Plus en détailXi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?
Xi Ingénierie La performance technologique au service de votre e-commerce Comment exploiter les cookies sur vos applications web en toute légalité? Copyright 2012 Xi Ingénierie Toute reproduction ou diffusion
Plus en détailDenyAll Detect. Documentation technique 27/07/2015
DenyAll Detect Documentation technique 27/07/2015 Sommaire 1. A propos de ce document... 3 1.1 Objet... 3 1.2 Historique... 3 1.3 Contexte... 3 2. Liste des tests... 4 2.1 Découverte réseau (scan de ports)...
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailAttaques ciblées : quelles évolutions dans la gestion de la crise?
3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailFailles XSS : Principes, Catégories Démonstrations, Contre mesures
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Séminaire 15 ans HSC Failles XSS : Principes, Catégories Démonstrations,
Plus en détailRemote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)
Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailTrusteer Pour la prévention de la fraude bancaire en ligne
Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions
Plus en détailCharte d installation des réseaux sans-fils à l INSA de Lyon
Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA
Plus en détailProtection des protocoles www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2
Plus en détailCe document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.
PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailDéploiement de l infrastructure SOA. Retour d expérience Août 2013
1 Déploiement de l infrastructure SOA Retour d expérience Août 2013 Agenda Contexte et constats Existant chez PSA Cible du chantier SOA Passerelle de sécurisation des services Les offres de service de
Plus en détailCIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Plus en détailRSA ADAPTIVE AUTHENTICATION
RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation
Plus en détailCatalogue «Intégration de solutions»
Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailDidier Perrot Olivier Perroquin In-Webo Technologies
Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo
Plus en détailSécurité des réseaux IPSec
Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailGuide pratique spécifique pour la mise en place d un accès Wifi
MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0
Plus en détailSécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Plus en détailExploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales
Exploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales D 1.3.2 Rapport d analyse Auteurs: Johann Luethi, Laurent Opprecht, Patrick Roth
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailPerso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs
HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés
Plus en détailVulnérabilités et solutions de sécurisation des applications Web
Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor
Plus en détailDigital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance
L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détail4. SERVICES WEB REST 46
4. SERVICES WEB REST 46 REST REST acronyme de REpresentational State Transfert Concept introduit en 2000 dans la thèse de Roy FIELDING Est un style d architecture inspiré de l architecture WEB En 2010,
Plus en détailBeEF : Browser Exploitation Framework
BeEF : Browser Exploitation Framework 18 Presented by Etienne Maynier # whoami Pentest / audit sécurité Intéressé par l exploitation, la sécurité Web, le fuzzing, la sécurité réseau Participation à des
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11933-X
Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle
Plus en détailSolutions de sécurité des données Websense. Sécurité des données
Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise
Plus en détailRapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/05 ModSecurity v2.5.12
Plus en détailSécurité des applications Web. Yannick Chevalier Université de Toulouse IUP NTIE M2 2012-2013
Sécurité des applications Web Yannick Chevalier IUP NTIE M2 2012-2013 PLAN BASES DE LA SÉCURITÉ ARCHITECTURE DES APPLICATIONS WEB SÉCURITÉ DU CLIENT SÉCURITÉ DU RÉSEAU ARCHITECTURE DES SERVEURS WEB CONTRÔLE
Plus en détailRéseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!
Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez
Plus en détailHomologation ARJEL : Retour d expérience
Homologation ARJEL : Retour d expérience Ossir Paris / Juin 2013 Thibaud Binétruy Consultant Sécurité Thibaud.Binetruy@intrinsec.com 1 Homologation ARJEL : Retour d expérience Intrinsec? Petite présentation!
Plus en détailClub Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte
Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille 1 2 ème Réunion du Club Utilisateurs GINTAO AGENDA 9:00 Accueil 9:30 Présentation du projet GINTAO 10:00 Présentation
Plus en détailL hygiène informatique en entreprise Quelques recommandations simples
L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailApplication Web et J2EE
Application Web et J2EE Servlet, JSP, Persistence, Méthodologie Pierre Gambarotto Département Informatique et Math appli ENSEEIHT Plan Introduction 1 Introduction Objectfis
Plus en détailEtude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria
Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security
Plus en détailTable des matières. Préface... 15 Mathieu JEANDRON
Table des matières Préface... 15 Mathieu JEANDRON Chapitre 1. Les identités numériques... 19 Maryline LAURENT, Julie DENOUËL, Claire LEVALLOIS-BARTH et Patrick WAELBROECK 1.1. Introduction... 19 1.2. Dimension
Plus en détailInformation sur l accés sécurisé aux services Baer Online Monaco
Information sur l accés sécurisé aux services Baer Online Monaco Avant de commencer, nettoyez la mémoire cache de votre navigateur internet: Exemple pour les versions à partir d Internet Explorer 6.x:
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailParcours en deuxième année
Parcours en deuxième année Unités d Enseignement (UE) ECTS Ingénierie des réseaux haut 4 débit Sécurité des réseaux et 4 télécoms Réseaux mobiles et sans fil 4 Réseaux télécoms et 4 convergence IP Infrastructure
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012
LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste
Plus en détailLa sécurité des ordiphones : mythe ou réalité?
Institut du Développement et des Ressources en Informatique Scientifique www.idris.fr La sécurité des ordiphones : mythe ou réalité? 1 Plan de la présentation 1. La problématique pour l entreprise 2. Modèles
Plus en détailFORMATION PROFESSIONNELLE AU HACKING
FORMATION PROFESSIONNELLE AU HACKING BRIEFING Dans un monde où la science et la technologie évolue de façons exponentielle, les informaticiens et surtout les administrateurs des systèmes informatique (Réseau,
Plus en détailLa Sécurité des Données en Environnement DataCenter
La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement
Plus en détailSécurité. Tendance technologique
Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction
Plus en détailConcept Compumatica Secure Mobile
LivreBlanc Concept Compumatica Secure Mobile La solution voix et SMS sécurisés pour les organisations et Compumatica secure networks 2014 Compumatica secure networks www.compumatica.com La solution voix
Plus en détailGarantir la sécurité de vos solutions de BI mobile
IBM Software IBM Business Analytics IBM Cognos BI Garantir la sécurité de vos solutions de BI mobile 2 Garantir la sécurité de vos solutions de business intelligence mobile Sommaire 2 Résumé 3 Sécurisation
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailTeste et mesure vos réseaux et vos applicatifs en toute indépendance
Teste et mesure vos réseaux et vos applicatifs en toute indépendance 2013 J3TEL en quelques minutes Groupe HBG en bref : Siège social à Paris 1100 employés dans 6 pays 150 M d de CA en 2012 Des activités
Plus en détailLes technologies de gestion de l identité
Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard
Plus en détailSSL ET IPSEC. Licence Pro ATC Amel Guetat
SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique
Plus en détailDSI - Pôle Infrastructures
Département du Système d Information CONTEXTE DSI - Pôle Infrastructures SUJET Architecture cible pour un projet devant intégrer le SI de l'inserm référence PI01091V02V.doc version statut créé le 29/06/2006
Plus en détailNote technique. Recommandations de sécurité relatives aux ordiphones
DAT-NT-010/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 19 juin 2013 de la défense et de la sécurité nationale N o DAT-NT-010/ANSSI/SDE/NP Agence nationale de la sécurité Nombre
Plus en détailPREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL
PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL N 32/6.08 DEMANDE D'UN CREDIT DE CHF 40'000.00 POUR UN AUDIT GLOBAL DE SECURITE INFORMATIQUE, POUR L ETABLISSEMENT D UNE POLITIQUE DE SECURITE ET POUR UNE
Plus en détailNote technique. Recommandations pour la sécurisation des sites web
DAT-NT-009/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 22 avril 2013 de la défense et de la sécurité nationale N o DAT-NT-009/ANSSI/SDE/NP Agence nationale de la sécurité Nombre
Plus en détailMise en place d une politique de sécurité
Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec
Plus en détail<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts
La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion
Plus en détailDevenez un véritable développeur web en 3 mois!
Devenez un véritable développeur web en 3 mois! L objectif de la 3W Academy est de former des petits groupes d élèves au développement de sites web dynamiques ainsi qu à la création d applications web
Plus en détailBES WEBDEVELOPER ACTIVITÉ RÔLE
BES WEBDEVELOPER ACTIVITÉ Le web developer participe aux activités concernant la conception, la réalisation, la mise à jour, la maintenance et l évolution d applications internet/intranet statiques et
Plus en détailImpression de sécurité?
Impression de sécurité? Matthieu Herrb Capitoul, le 1er avril 2010 Agenda 1 Introduction 2 Risque lié au logiciel d impression 3 Risques liés au réseau 4 Risques liés à l imprimante 5 Risques liés papier
Plus en détailTour d horizon des différents SSO disponibles
Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire
Plus en détailPortWise Access Management Suite
Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès
Plus en détailSignature électronique. Romain Kolb 31/10/2008
Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...
Plus en détailLe Dossier Médical Personnel et la sécurité
FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs
Plus en détailLa prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA
TRITON AP-DATA Mettez un terme au vol et à la perte de données, respectez les exigences de conformité et préservez votre marque, votre réputation et votre propriété intellectuelle. Entre une réputation
Plus en détail