OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Dimension: px
Commencer à balayer dès la page:

Download "OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications"

Transcription

1 OZSSI NORD 4 JUIN LILLE Conférence thématique: Sécurité des applications Document confidentiel - Advens 2015

2 Présentation de la société Advens 2

3 La sécurité est source de valeur Pas de développement économique sans développement du numérique. Pas de développement du numérique sans sécurité! Document confidentiel - Advens 2015

4 Le défi? Tous les moyens existent pour protéger votre organisation, la clé réside dans votre capacité à les organiser. Document confidentiel - Advens 2015

5 Qui sommes-nous? 1er acteur français spécialiste du management de la sécurité de l information, Advens vous accompagne pour prendre de l'avance et faire de la sécurité un actif différentiateur M ans d existence collaborateurs à Paris, Lille et Lyon clients actifs en France et à l international d euros de chiffre d affaires Document confidentiel - Advens 2015

6 Pourquoi Advens? Nous réunissons toutes les compétences depuis la gouvernance jusqu à la gestion opérationnelle de la sécurité Nous savons intégrer les spécificités sectorielles de votre organisation et les enjeux métier de chacun de ses acteurs Nous savons innover et travailler avec agilité pour mieux répondre aux attentes du marché 4 La force d Advens, c est d orchestrer l ensemble pour créer de la valeur à partir de la sécurité Nous construisons une démarche durable et collaborative avec nos équipes, nos partenaires et nos clients Document confidentiel - Advens 2015

7 Notre Offre Conseil Audit Technologies mysoc Security Management Programs Distribution Finance Public & Collectivités Santé Industrie & Services Application Security Infrastructure Security Digital Innovation Communication & Training Document confidentiel - Advens 2015

8 Advens, acteur de référence dans la région Advens a intégré le Pôle Régional Numérique et chapeaute ses initiatives en matière de sécurité. Advens est l un des membres fondateurs du cluster régional. Alexandre Fayeulle est président du comité stratégique. Advens est partenaire historique de cette association, regroupant une quarantaine de RSSI de la région. 8

9 Document confidentiel - Advens 2015

10 10

11 Actualités 11

12 Actualités 12

13 Actualités 13

14 Les mêmes causes produisent les mêmes effets Les utilisateurs cherchent agilité et autonomie Se tournent vers le Cloud sans évaluer la sécurité Bypassent la DSI, le RSSI Cherchent à optimiser les coûts et des délais rapides Les développeurs insuffisamment formés Manquent de sensibilisation et de formation Utilisent des méthodologies dans lesquelles la sécurité n est pas intégrée Répondent à des cahiers des charges qui n intègrent pas d exigences Les éditeurs ne maîtrisent pas la sécurité dans leurs produits Pression du marché / Time to market Absence de clauses sécurité dans les achats et dans les appels d offres 14

15 Les attaques sur les applications Web OWASP Top : les 10 risques sur la sécurité des applications La partie immergée de l iceberg SANS Top vulnérabilités, parmi 1 millier. Le risque d Injection Encore le premier des problèmes Solution simple pour le contrer Chaque audit/test d intrusion en comporte une Le risque de Cross Site Scripting (XSS) Prise de contrôle du poste client Toujours mal considéré 15

16 Risques principaux sur les applications Web Injection Violation de Gestion d Authentification et de Session Cross-Site Scripting (XSS) Références directes non sécurisées à un objet Mauvaise configuration sécurité Exposition des données sensibles Manque de contrôle d accès au niveau fonctionnel Falsification des requêtes inter-sites (CSRF) Utilisation de composants avec des vulnérabilités connues Redirections et renvois non validés 16

17 Risques principaux sur les applications mobiles Stockage de données non sécurisé Contrôles serveur défaillants Transport de données non sécurisé Injection Client Mauvaise gestion des habilitations et de l authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d entrée non sécurisées Fuite de données par canaux cachés Mauvaise utilisation du chiffrement Fuite d information sensibles 17

18 Zoom sur le Cross Site Scripting (XSS) Un risque toujours sous-estimé 18

19 Cross-Site Scripting: principe 19

20 Cross-Site Scripting: Sans danger pour l application? 20

21 Cross-Site Scripting: Sans danger pour l application? Vol de cookie Requêtes AJAX Cross-Domaine: Exfiltration de données Déni de service: Blocage du mobile Redirections, phishing Scan de ports sur le réseau interne Injection d objets flash via XSS: Activation du micro, de la webcam Captures d écran Sur un mobile vulnérable: Géolocalisation Appel téléphonique / Envoi de SMS Exécution de code (ex: Faille dans les WebView sous Androïd) 21

22 22

23 Architecture REST Une application est RESTful si elle respecte toutes les contraintes imposées par le style REST 23

24 Un web-service REST est une application Web Explosion des web-services REST Les applications mobiles en font un gros usage Les attaques Web «classiques» concernent également les architectures REST Attaques par Injection Compromission des sessions Cross Site Scripting Transport non sécurisé des données 24

25 Les attaques liées à JSON Explosion de JavaScript et d AJAX Applications Mobiles, API REST Objets connectés Explosion de la surface d attaque Javascript «à la demande» Le site Web fait des requêtes pour récupérer du code Javascript Le code récupéré est exécuté dynamiquement, «à la demande» Très utilisé dans les sites avec bandeaux publicitaires, contenus externes Exemple avec JSONP: <script src=" myfunc ("arguments", "générés", "dynamiquements"); Que se passe t il sur votre site si la régie publicitaire est attaquée? 25

26 Les attaques liées à JSON REST souvent utilisé avec des données au format JSON { "a": 3, "myvar" : "Bonjour" } JSON est également un objet JAVASCRIPT L interpréteur Javascript des navigateurs peut exécuter du «texte JSON» de façon dynamique Cela expose les clients à l exécution de scripts malicieux au sein des navigateurs Cela devient très dangereux dans le cas d applications qui récupèrent des données JSON en provenance de sources Internet externes: En cas de compromission de la source, du code malveillant peut s exécuter sur le poste client Exemple de mauvaise pratique: Utilisation de la fonction eval() sur un bloc JSON Préférez l utilisation de JSON.parse() / JSON.stringify() Impact sur la confidentialité 26

27 Attaques utilisant JSONP JSONP utilise les balises <script> pour exécuter du code Javascript en provenance de serveurs distants En cas de compromission de l un de ces serveurs, du code malveillant peut s exécuter au sein du navigateur En cas de compromission de la page d origine, l attaquant peut insérer des balises <script> et appeler le code de son choix La Same-Origin-Policy ne protègera pas contre cette exécution de code L entête HTTP Content-Security-Policy doit être positionnée afin d informer le navigateur de la liste des sites considérés comme étant de confiance. Impact sur la confidentialité 27

28 Attaques utilisant JSONP Cross-Site Request Forgery En cas d injection de balise <script>, le code récupéré s exécute dans le contexte de la page d origine Le code malveillant peut ainsi effectuer des requêtes à destination de sites légitimes sur lesquels l utilisateur était connecté. Cela peut conduire à des vols d information L utilisation d un token aléatoire dans chaque requête permet d éviter ces attaques Impact sur la confidentialité 28

29 Applications mobiles & Objets connectés Le meilleur reste à venir 29

30 Une multitude de possibilités pour le pirate La surface d attaque a explosée ces dernières années Le meilleur reste à venir 30

31 Objets connectés : Des passoires en sécurité Les informations collectées Dernières courses en foret Déplacement à l étranger Consommation de nicotine ou d alcool Pression artérielle Activité sexuelle Etc Failles flagrantes Localisation des objets grâce à leur puce Bluetooth Emission en permanence d une adresse physique MAC 20% des identifiants transmis en clairs pour les applications stockant des données dans le cloud Pour les 80% restants, utilisation de fonction de hachage faible comme MD5 dans de nombreux cas Gestion des sessions très aléatoires permettant d accéder aux comptes utilisateurs Informations très limitées quant à la façon dont sont stockées et protégées les données collectées 31

32 Objets connectés : Des passoires en sécurité 32

33 LIMITER LES RISQUES Bonnes pratiques et recommandations Document confidentiel - Advens 2015

34 Alors, quelles solutions? Méthode Outils Matière grise (expertise humaine) 34

35 Des solutions techniques 35

36 Sécurisation des applications mobiles Les applications mobiles sont de gros consommateurs de web-services REST Des solutions technologiques peuvent offrir des protections complémentaires à la sécurisation des applications clientes Risques à couvrir: Exposition des APIs, fuite d information technique, accès aux information d authentification locales (ex: API Keys) Des solutions techniques existes pour protéger les applications déployées sur les terminaux Contrôle de l intégrité du code Obfuscation Chiffrement Anti-debug Détection du jailbreak Protection des clés de chiffrement stockées localement 36

37 L indispensable expertise humaine Disposer de compétences formées au développement sécurisé Former les intervenants sur leur rôle en sécurité Certification des compétences en sécurité Réponse aux incidents Documentation des projets Cellule d homologation Documentation des mises a jour Un développeur ne sera jamais un expert en sécurité 37

38 Structurer la démarche Sécurité des Applications Gouvernance Conception Vérification Déploiement Un modèle de maturité pour aider les organisations à formaliser et à implémenter une stratégie de sécurisation des applications adaptée à ses risques spécifiques. 38

39 Maturité 1 : je débute Ø Vous ne savez pas où se trouvent vos applications Ø Vous savez que vous avez besoin d évaluer votre niveau de sécurité et sensibiliser les équipes Ø Vous êtes dans un cadre réglementaire qui parle de Sécurité des applications Gouvernance Conception Vérification Déploiement Formation des intervenants sur leur rôle en sécurité Compétences en développement sécurisé Architecture de sécurité Tests d intrusion Applicatifs Vérification des environnements Environnements sécurisés Environnements maintenus à jour 39

40 Maturité 2 : je veux protéger mes applications en production Ø Vous savez où se trouvent vos applications Ø Vous souhaitez obtenir une protection de ces applications Ø Vous avez un besoin de conformité Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Tests d intrusion Applicatifs Vérification des environnements Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) 40

41 Maturité 3 : je veux intégrer la sécurité dans mes projets Ø Vous savez où se trouvent vos applications et évaluez régulièrement leur sécurité Ø Vous disposez déjà d une protection de ces applications Ø Vous souhaitez intégrer la sécurité à vos projets de manière plus systématique Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Méthodologie de développement sécurisé Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Mesure des risques pesant sur les données et applications et adaptation de la réponse Tests d intrusion Applicatifs Vérification des environnements Revue de code Cellule d homologation applicative Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) Gestion des vulnérabilités 41

42 Maturité 4 : je progresse et améliore ma sécurité applicative Ø Vous savez où se trouvent vos applications et évaluez régulièrement leur sécurité Ø Vous disposez déjà d une protection de ces applications Ø Vous intégrez la sécurité en partie dans vos projets et souhaitez obtenir un ROI Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Méthodologie de développement sécurisé Mise en place de métrique de contrôle Amélioration des processus Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Mesure des risques pesant sur les données et applications et adaptation de la réponse Mise en place des frameworks de sécurité Tests d intrusion Applicatifs Vérification des environnements Revue de code Cellule d homologation applicative Revue de la conception Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) Gestion des vulnérabilités Documentation des projets, des mises a jour, Intégrité des logiciels déployés 42

43 Sécuriser le développement d applications mobiles Quelques pistes 43

44 Sécuriser le développement Web mobile Les mêmes préconisations sécurité s appliquent pour les architectures REST et les architectures Web classiques On vérifiera donc que les fondamentaux sont bien respectés dans tout développement REST: Validation des données d entrée Normalisation des données Utilisation correcte des parseurs XML, si applicable Typage fort, si applicable Validation par une approche liste blanche Rejet ou acceptation explicite de la donnée Validation des types de réponse Ne pas s appuyer sur l entête client «Accept» pour fixer le content-type de la réponse 44

45 Sécuriser le développement Web mobile S appuyer au maximum sur les fonctions offertes par les Framework Ne pas réinventer la roue! Système d authentification Validation des entrées Encodage des sorties Chiffrement / déchiffrement des données, cookies, Protection CSRF Protection XSS (X-Content-Type-Options: nosniff) Protection clickjacking (X-Frame-Options: deny ) 45

46 Gestion de l authentification et des sessions REST est sans état, donc chaque requête doit contenir les éléments permettant au serveur de la légitimer L authentification basic sur TLS est recommandée pour des scénarios simples Ce système garanti par ailleurs que les informations d authentification ne seront jamais journalisés (utilisation de l entête HTTP Authorization: Basic) Il est souvent nécessaire d utiliser un système de session ou d API Key L identifiant / la clé doivent être transmis en POST pour ne pas être capturés dans les logs

47 Gestion de l authentification et des sessions Le principe de session est strictement similaire à celui utilisé par les applications Web classiques Mieux que rien, mais largement perfectible Des mesures additionnelles sont requises pour les services sensibles Protection anti-rejeu: Si un attaquant rejoue une requête capturée, il peut usurper l identité d une personne légitime sur l application Utiliser une clé de chiffrement temporaire, dérivée de l API Key, la date, l heure, l adresse IP Protéger le stockage de l API Key sur le périphérique client isadmin=false &debug=false &allowcsrpanel=false rules=af32e89b239ff0bc3dce341 8BCF90D482B8BBA0A0C0C0C0C43 47

48 API Keys Les APIs keys sont préférables à l utilisation de mot de passe Longueur très grande, aléatoire et non prédictible Générées automatiquement, lors de l enrôlement de l utilisateur ou de son périphérique (ex Smartphone) Elles peuvent également améliorer la vitesse dans les environnements à très fort trafic (absence de calcul de hash) Pas d impact en cas de changement de mot de passe Le stockage de la clé sur le périphérique client est un enjeu important Lecture seule pour le propriétaire Utilisation des fonctions de chiffrements disponibles sur le périphérique client 48

49 Protection contre le farming De nombreux web-services REST sont exposés au farming Il est possible d énumérer les ressources des bases de données en appelant le service avec des identifiants croissants Il n y a pas de technique «Officielle» pour se prémunir contre cela, mais Contrôler et authentifier les accès Ne jamais utiliser de références directes 49

50 Configurer correctement le serveur Web Les architectures REST nécessitent l utilisation de méthodes HTTP potentiellement dangereuses: PUT, DELETE notamment Il est essentiel de valider que la configuration du serveur n autorise pas ces méthodes ailleurs qu à destination des URI qui portent des services de type REST! Toujours valider, que l utilisateur a le droit d appeler la méthode sur la ressource qu il demande Exemple: Un utilisateur anonyme peut faire du GET ou du POST Exemple: Il est nécessaire d être authentifié pour appeler UPDATE Exemple: Il est nécessaire de disposer d un profil administrateur pour DELETE 50

51 Protection contre le Cross-Site-Request Forgery Toutes les requêtes, en particulier celles utilisant PUT, POST et DELETE, doivent être protégées contre le CSRF La meilleure des protections consiste à utiliser un token et, surtout, de valider qu aucune attaque de type Cross-Site-Scripting n est possible à l encontre du client 51

52 Amélioration de la sécurité HTTPS HTTPS doit être utilisé pour tout échange d information sensible Paramètres d authentification API Key Informations personnelles Certificate pinning Technique consistant à associer une clé publique ou un certificat avec un site Web et de stocker cette association côté client En cas de compromission du site distant (ex: Redirection de trafic suite à une attaque sur les serveurs DNS), le client peut s apercevoir de l attaque Idéalement, cette association doit être faire lors du développement (et non pas à l issue de la première connexion car la compromission pourrait déjà avoir eu lieu) 52

53 HTTP Strict Transport Security (HSTS) Mécanisme permettant au serveur d informer le navigateur de ne jamais accepter de connexion HTTP non sécurisées et donc de systématiquement utilisé une connexion HTTPS Permet de lutter contre les «downgrade attacks». Exemple: Un site normalement en HTTPS, accédé en HTTP L information est transmise au moyen d un entête HTTP positionné par le serveur Exemple: Strict-Transport-Security "max-age= ;preload.» La première connexion n est donc pas protégée! Sauf si le site est dans la liste des sites préchargés par le navigateur Le navigateur recevant cet entête doit: Transformer automatiquement tous les liens http pointant vers le serveur en liens https Refuser l accès et afficher un message d erreur s il ne parvient pas à authentifier le certificat du serveur 53

54 JOSE: Javascript Object Signing and Encryption JOSE est à JSON ce que WS-Security est à SOAP Signature de tout ou partie des messages JWS: JSON Web Signature Chiffrement de tout ou partie des messages JWE: JSON Web Encryption Jeton JWT: JSON Web Token Utilisé pour décrire les droits d un utilisateur, d un objet Peux contenir des claims OpenID ( Encodé en base64url 54

55 JOSE: Javascript Object Signing and Encryption JS JWS: Implémentation pure Javascript de JWT ( JSON Web Token ) Implémentation pure Javascript de JWS ( JSON Web Signature ) Démonstration de signature JWS: Générateur / validateur de signature JWT: 55

56 OAuth2 OAuth2 est un protocole permettant à une application cliente d effectuer des opérations en tant qu un utilisateur donné, avec la permission de ce dernier Les actions autorisées pour une application cliente donnée sont définies sur un serveur de ressources (un autre serveur Web / Web-service) L utilisateur approuve les actions en informant un serveur d autorisation qu il fait confiance à l application cliente Une application cliente peut également agir en son propre non (sans authentification utilisateur) si elle a autorisée sur le serveur d autorisation 56

57 OAuth2 57

58 Questions / Réponses 58

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES De la théorie à la pratique Juillet 2012 www.advens.fr Document confidentiel - Advens 2012 Développer des Applications Web Sécurisées Intervenants Agenda Frédéric

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com. DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que

Plus en détail

Sécurité des Web Services (SOAP vs REST)

Sécurité des Web Services (SOAP vs REST) The OWASP Foundation http://www.owasp.org Sécurité des Web Services (SOAP vs REST) Sylvain Maret Principal Consultant / MARET Consulting / @smaret OpenID Switzerland OWASP Switzerland - Geneva Chapter

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité? Xi Ingénierie La performance technologique au service de votre e-commerce Comment exploiter les cookies sur vos applications web en toute légalité? Copyright 2012 Xi Ingénierie Toute reproduction ou diffusion

Plus en détail

DenyAll Detect. Documentation technique 27/07/2015

DenyAll Detect. Documentation technique 27/07/2015 DenyAll Detect Documentation technique 27/07/2015 Sommaire 1. A propos de ce document... 3 1.1 Objet... 3 1.2 Historique... 3 1.3 Contexte... 3 2. Liste des tests... 4 2.1 Découverte réseau (scan de ports)...

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Failles XSS : Principes, Catégories Démonstrations, Contre mesures HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Séminaire 15 ans HSC Failles XSS : Principes, Catégories Démonstrations,

Plus en détail

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Déploiement de l infrastructure SOA. Retour d expérience Août 2013

Déploiement de l infrastructure SOA. Retour d expérience Août 2013 1 Déploiement de l infrastructure SOA Retour d expérience Août 2013 Agenda Contexte et constats Existant chez PSA Cible du chantier SOA Passerelle de sécurisation des services Les offres de service de

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

Catalogue «Intégration de solutions»

Catalogue «Intégration de solutions» Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Didier Perrot Olivier Perroquin In-Webo Technologies

Didier Perrot Olivier Perroquin In-Webo Technologies Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Exploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales

Exploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales Exploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales D 1.3.2 Rapport d analyse Auteurs: Johann Luethi, Laurent Opprecht, Patrick Roth

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

4. SERVICES WEB REST 46

4. SERVICES WEB REST 46 4. SERVICES WEB REST 46 REST REST acronyme de REpresentational State Transfert Concept introduit en 2000 dans la thèse de Roy FIELDING Est un style d architecture inspiré de l architecture WEB En 2010,

Plus en détail

BeEF : Browser Exploitation Framework

BeEF : Browser Exploitation Framework BeEF : Browser Exploitation Framework 18 Presented by Etienne Maynier # whoami Pentest / audit sécurité Intéressé par l exploitation, la sécurité Web, le fuzzing, la sécurité réseau Participation à des

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Solutions de sécurité des données Websense. Sécurité des données

Solutions de sécurité des données Websense. Sécurité des données Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise

Plus en détail

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/05 ModSecurity v2.5.12

Plus en détail

Sécurité des applications Web. Yannick Chevalier Université de Toulouse IUP NTIE M2 2012-2013

Sécurité des applications Web. Yannick Chevalier Université de Toulouse IUP NTIE M2 2012-2013 Sécurité des applications Web Yannick Chevalier IUP NTIE M2 2012-2013 PLAN BASES DE LA SÉCURITÉ ARCHITECTURE DES APPLICATIONS WEB SÉCURITÉ DU CLIENT SÉCURITÉ DU RÉSEAU ARCHITECTURE DES SERVEURS WEB CONTRÔLE

Plus en détail

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts! Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez

Plus en détail

Homologation ARJEL : Retour d expérience

Homologation ARJEL : Retour d expérience Homologation ARJEL : Retour d expérience Ossir Paris / Juin 2013 Thibaud Binétruy Consultant Sécurité Thibaud.Binetruy@intrinsec.com 1 Homologation ARJEL : Retour d expérience Intrinsec? Petite présentation!

Plus en détail

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille 1 2 ème Réunion du Club Utilisateurs GINTAO AGENDA 9:00 Accueil 9:30 Présentation du projet GINTAO 10:00 Présentation

Plus en détail

L hygiène informatique en entreprise Quelques recommandations simples

L hygiène informatique en entreprise Quelques recommandations simples L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Application Web et J2EE

Application Web et J2EE Application Web et J2EE Servlet, JSP, Persistence, Méthodologie Pierre Gambarotto Département Informatique et Math appli ENSEEIHT Plan Introduction 1 Introduction Objectfis

Plus en détail

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security

Plus en détail

Table des matières. Préface... 15 Mathieu JEANDRON

Table des matières. Préface... 15 Mathieu JEANDRON Table des matières Préface... 15 Mathieu JEANDRON Chapitre 1. Les identités numériques... 19 Maryline LAURENT, Julie DENOUËL, Claire LEVALLOIS-BARTH et Patrick WAELBROECK 1.1. Introduction... 19 1.2. Dimension

Plus en détail

Information sur l accés sécurisé aux services Baer Online Monaco

Information sur l accés sécurisé aux services Baer Online Monaco Information sur l accés sécurisé aux services Baer Online Monaco Avant de commencer, nettoyez la mémoire cache de votre navigateur internet: Exemple pour les versions à partir d Internet Explorer 6.x:

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Parcours en deuxième année

Parcours en deuxième année Parcours en deuxième année Unités d Enseignement (UE) ECTS Ingénierie des réseaux haut 4 débit Sécurité des réseaux et 4 télécoms Réseaux mobiles et sans fil 4 Réseaux télécoms et 4 convergence IP Infrastructure

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012 LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste

Plus en détail

La sécurité des ordiphones : mythe ou réalité?

La sécurité des ordiphones : mythe ou réalité? Institut du Développement et des Ressources en Informatique Scientifique www.idris.fr La sécurité des ordiphones : mythe ou réalité? 1 Plan de la présentation 1. La problématique pour l entreprise 2. Modèles

Plus en détail

FORMATION PROFESSIONNELLE AU HACKING

FORMATION PROFESSIONNELLE AU HACKING FORMATION PROFESSIONNELLE AU HACKING BRIEFING Dans un monde où la science et la technologie évolue de façons exponentielle, les informaticiens et surtout les administrateurs des systèmes informatique (Réseau,

Plus en détail

La Sécurité des Données en Environnement DataCenter

La Sécurité des Données en Environnement DataCenter La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Concept Compumatica Secure Mobile

Concept Compumatica Secure Mobile LivreBlanc Concept Compumatica Secure Mobile La solution voix et SMS sécurisés pour les organisations et Compumatica secure networks 2014 Compumatica secure networks www.compumatica.com La solution voix

Plus en détail

Garantir la sécurité de vos solutions de BI mobile

Garantir la sécurité de vos solutions de BI mobile IBM Software IBM Business Analytics IBM Cognos BI Garantir la sécurité de vos solutions de BI mobile 2 Garantir la sécurité de vos solutions de business intelligence mobile Sommaire 2 Résumé 3 Sécurisation

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente

Plus en détail

Teste et mesure vos réseaux et vos applicatifs en toute indépendance

Teste et mesure vos réseaux et vos applicatifs en toute indépendance Teste et mesure vos réseaux et vos applicatifs en toute indépendance 2013 J3TEL en quelques minutes Groupe HBG en bref : Siège social à Paris 1100 employés dans 6 pays 150 M d de CA en 2012 Des activités

Plus en détail

Les technologies de gestion de l identité

Les technologies de gestion de l identité Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard

Plus en détail

SSL ET IPSEC. Licence Pro ATC Amel Guetat

SSL ET IPSEC. Licence Pro ATC Amel Guetat SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique

Plus en détail

DSI - Pôle Infrastructures

DSI - Pôle Infrastructures Département du Système d Information CONTEXTE DSI - Pôle Infrastructures SUJET Architecture cible pour un projet devant intégrer le SI de l'inserm référence PI01091V02V.doc version statut créé le 29/06/2006

Plus en détail

Note technique. Recommandations de sécurité relatives aux ordiphones

Note technique. Recommandations de sécurité relatives aux ordiphones DAT-NT-010/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 19 juin 2013 de la défense et de la sécurité nationale N o DAT-NT-010/ANSSI/SDE/NP Agence nationale de la sécurité Nombre

Plus en détail

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL N 32/6.08 DEMANDE D'UN CREDIT DE CHF 40'000.00 POUR UN AUDIT GLOBAL DE SECURITE INFORMATIQUE, POUR L ETABLISSEMENT D UNE POLITIQUE DE SECURITE ET POUR UNE

Plus en détail

Note technique. Recommandations pour la sécurisation des sites web

Note technique. Recommandations pour la sécurisation des sites web DAT-NT-009/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 22 avril 2013 de la défense et de la sécurité nationale N o DAT-NT-009/ANSSI/SDE/NP Agence nationale de la sécurité Nombre

Plus en détail

Mise en place d une politique de sécurité

Mise en place d une politique de sécurité Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec

Plus en détail

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion

Plus en détail

Devenez un véritable développeur web en 3 mois!

Devenez un véritable développeur web en 3 mois! Devenez un véritable développeur web en 3 mois! L objectif de la 3W Academy est de former des petits groupes d élèves au développement de sites web dynamiques ainsi qu à la création d applications web

Plus en détail

BES WEBDEVELOPER ACTIVITÉ RÔLE

BES WEBDEVELOPER ACTIVITÉ RÔLE BES WEBDEVELOPER ACTIVITÉ Le web developer participe aux activités concernant la conception, la réalisation, la mise à jour, la maintenance et l évolution d applications internet/intranet statiques et

Plus en détail

Impression de sécurité?

Impression de sécurité? Impression de sécurité? Matthieu Herrb Capitoul, le 1er avril 2010 Agenda 1 Introduction 2 Risque lié au logiciel d impression 3 Risques liés au réseau 4 Risques liés à l imprimante 5 Risques liés papier

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Signature électronique. Romain Kolb 31/10/2008

Signature électronique. Romain Kolb 31/10/2008 Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...

Plus en détail

Le Dossier Médical Personnel et la sécurité

Le Dossier Médical Personnel et la sécurité FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs

Plus en détail

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA TRITON AP-DATA Mettez un terme au vol et à la perte de données, respectez les exigences de conformité et préservez votre marque, votre réputation et votre propriété intellectuelle. Entre une réputation

Plus en détail