OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications"

Transcription

1 OZSSI NORD 4 JUIN LILLE Conférence thématique: Sécurité des applications Document confidentiel - Advens 2015

2 Présentation de la société Advens 2

3 La sécurité est source de valeur Pas de développement économique sans développement du numérique. Pas de développement du numérique sans sécurité! Document confidentiel - Advens 2015

4 Le défi? Tous les moyens existent pour protéger votre organisation, la clé réside dans votre capacité à les organiser. Document confidentiel - Advens 2015

5 Qui sommes-nous? 1er acteur français spécialiste du management de la sécurité de l information, Advens vous accompagne pour prendre de l'avance et faire de la sécurité un actif différentiateur M ans d existence collaborateurs à Paris, Lille et Lyon clients actifs en France et à l international d euros de chiffre d affaires Document confidentiel - Advens 2015

6 Pourquoi Advens? Nous réunissons toutes les compétences depuis la gouvernance jusqu à la gestion opérationnelle de la sécurité Nous savons intégrer les spécificités sectorielles de votre organisation et les enjeux métier de chacun de ses acteurs Nous savons innover et travailler avec agilité pour mieux répondre aux attentes du marché 4 La force d Advens, c est d orchestrer l ensemble pour créer de la valeur à partir de la sécurité Nous construisons une démarche durable et collaborative avec nos équipes, nos partenaires et nos clients Document confidentiel - Advens 2015

7 Notre Offre Conseil Audit Technologies mysoc Security Management Programs Distribution Finance Public & Collectivités Santé Industrie & Services Application Security Infrastructure Security Digital Innovation Communication & Training Document confidentiel - Advens 2015

8 Advens, acteur de référence dans la région Advens a intégré le Pôle Régional Numérique et chapeaute ses initiatives en matière de sécurité. Advens est l un des membres fondateurs du cluster régional. Alexandre Fayeulle est président du comité stratégique. Advens est partenaire historique de cette association, regroupant une quarantaine de RSSI de la région. 8

9 Document confidentiel - Advens 2015

10 10

11 Actualités 11

12 Actualités 12

13 Actualités 13

14 Les mêmes causes produisent les mêmes effets Les utilisateurs cherchent agilité et autonomie Se tournent vers le Cloud sans évaluer la sécurité Bypassent la DSI, le RSSI Cherchent à optimiser les coûts et des délais rapides Les développeurs insuffisamment formés Manquent de sensibilisation et de formation Utilisent des méthodologies dans lesquelles la sécurité n est pas intégrée Répondent à des cahiers des charges qui n intègrent pas d exigences Les éditeurs ne maîtrisent pas la sécurité dans leurs produits Pression du marché / Time to market Absence de clauses sécurité dans les achats et dans les appels d offres 14

15 Les attaques sur les applications Web OWASP Top : les 10 risques sur la sécurité des applications La partie immergée de l iceberg SANS Top vulnérabilités, parmi 1 millier. Le risque d Injection Encore le premier des problèmes Solution simple pour le contrer Chaque audit/test d intrusion en comporte une Le risque de Cross Site Scripting (XSS) Prise de contrôle du poste client Toujours mal considéré 15

16 Risques principaux sur les applications Web Injection Violation de Gestion d Authentification et de Session Cross-Site Scripting (XSS) Références directes non sécurisées à un objet Mauvaise configuration sécurité Exposition des données sensibles Manque de contrôle d accès au niveau fonctionnel Falsification des requêtes inter-sites (CSRF) Utilisation de composants avec des vulnérabilités connues Redirections et renvois non validés 16

17 Risques principaux sur les applications mobiles Stockage de données non sécurisé Contrôles serveur défaillants Transport de données non sécurisé Injection Client Mauvaise gestion des habilitations et de l authentification Mauvaise gestion de la session applicative Gestion de la sécurité via des données d entrée non sécurisées Fuite de données par canaux cachés Mauvaise utilisation du chiffrement Fuite d information sensibles 17

18 Zoom sur le Cross Site Scripting (XSS) Un risque toujours sous-estimé 18

19 Cross-Site Scripting: principe 19

20 Cross-Site Scripting: Sans danger pour l application? 20

21 Cross-Site Scripting: Sans danger pour l application? Vol de cookie Requêtes AJAX Cross-Domaine: Exfiltration de données Déni de service: Blocage du mobile Redirections, phishing Scan de ports sur le réseau interne Injection d objets flash via XSS: Activation du micro, de la webcam Captures d écran Sur un mobile vulnérable: Géolocalisation Appel téléphonique / Envoi de SMS Exécution de code (ex: Faille dans les WebView sous Androïd) 21

22 22

23 Architecture REST Une application est RESTful si elle respecte toutes les contraintes imposées par le style REST 23

24 Un web-service REST est une application Web Explosion des web-services REST Les applications mobiles en font un gros usage Les attaques Web «classiques» concernent également les architectures REST Attaques par Injection Compromission des sessions Cross Site Scripting Transport non sécurisé des données 24

25 Les attaques liées à JSON Explosion de JavaScript et d AJAX Applications Mobiles, API REST Objets connectés Explosion de la surface d attaque Javascript «à la demande» Le site Web fait des requêtes pour récupérer du code Javascript Le code récupéré est exécuté dynamiquement, «à la demande» Très utilisé dans les sites avec bandeaux publicitaires, contenus externes Exemple avec JSONP: <script src=" myfunc ("arguments", "générés", "dynamiquements"); Que se passe t il sur votre site si la régie publicitaire est attaquée? 25

26 Les attaques liées à JSON REST souvent utilisé avec des données au format JSON { "a": 3, "myvar" : "Bonjour" } JSON est également un objet JAVASCRIPT L interpréteur Javascript des navigateurs peut exécuter du «texte JSON» de façon dynamique Cela expose les clients à l exécution de scripts malicieux au sein des navigateurs Cela devient très dangereux dans le cas d applications qui récupèrent des données JSON en provenance de sources Internet externes: En cas de compromission de la source, du code malveillant peut s exécuter sur le poste client Exemple de mauvaise pratique: Utilisation de la fonction eval() sur un bloc JSON Préférez l utilisation de JSON.parse() / JSON.stringify() Impact sur la confidentialité 26

27 Attaques utilisant JSONP JSONP utilise les balises <script> pour exécuter du code Javascript en provenance de serveurs distants En cas de compromission de l un de ces serveurs, du code malveillant peut s exécuter au sein du navigateur En cas de compromission de la page d origine, l attaquant peut insérer des balises <script> et appeler le code de son choix La Same-Origin-Policy ne protègera pas contre cette exécution de code L entête HTTP Content-Security-Policy doit être positionnée afin d informer le navigateur de la liste des sites considérés comme étant de confiance. Impact sur la confidentialité 27

28 Attaques utilisant JSONP Cross-Site Request Forgery En cas d injection de balise <script>, le code récupéré s exécute dans le contexte de la page d origine Le code malveillant peut ainsi effectuer des requêtes à destination de sites légitimes sur lesquels l utilisateur était connecté. Cela peut conduire à des vols d information L utilisation d un token aléatoire dans chaque requête permet d éviter ces attaques Impact sur la confidentialité 28

29 Applications mobiles & Objets connectés Le meilleur reste à venir 29

30 Une multitude de possibilités pour le pirate La surface d attaque a explosée ces dernières années Le meilleur reste à venir 30

31 Objets connectés : Des passoires en sécurité Les informations collectées Dernières courses en foret Déplacement à l étranger Consommation de nicotine ou d alcool Pression artérielle Activité sexuelle Etc Failles flagrantes Localisation des objets grâce à leur puce Bluetooth Emission en permanence d une adresse physique MAC 20% des identifiants transmis en clairs pour les applications stockant des données dans le cloud Pour les 80% restants, utilisation de fonction de hachage faible comme MD5 dans de nombreux cas Gestion des sessions très aléatoires permettant d accéder aux comptes utilisateurs Informations très limitées quant à la façon dont sont stockées et protégées les données collectées 31

32 Objets connectés : Des passoires en sécurité 32

33 LIMITER LES RISQUES Bonnes pratiques et recommandations Document confidentiel - Advens 2015

34 Alors, quelles solutions? Méthode Outils Matière grise (expertise humaine) 34

35 Des solutions techniques 35

36 Sécurisation des applications mobiles Les applications mobiles sont de gros consommateurs de web-services REST Des solutions technologiques peuvent offrir des protections complémentaires à la sécurisation des applications clientes Risques à couvrir: Exposition des APIs, fuite d information technique, accès aux information d authentification locales (ex: API Keys) Des solutions techniques existes pour protéger les applications déployées sur les terminaux Contrôle de l intégrité du code Obfuscation Chiffrement Anti-debug Détection du jailbreak Protection des clés de chiffrement stockées localement 36

37 L indispensable expertise humaine Disposer de compétences formées au développement sécurisé Former les intervenants sur leur rôle en sécurité Certification des compétences en sécurité Réponse aux incidents Documentation des projets Cellule d homologation Documentation des mises a jour Un développeur ne sera jamais un expert en sécurité 37

38 Structurer la démarche Sécurité des Applications Gouvernance Conception Vérification Déploiement Un modèle de maturité pour aider les organisations à formaliser et à implémenter une stratégie de sécurisation des applications adaptée à ses risques spécifiques. 38

39 Maturité 1 : je débute Ø Vous ne savez pas où se trouvent vos applications Ø Vous savez que vous avez besoin d évaluer votre niveau de sécurité et sensibiliser les équipes Ø Vous êtes dans un cadre réglementaire qui parle de Sécurité des applications Gouvernance Conception Vérification Déploiement Formation des intervenants sur leur rôle en sécurité Compétences en développement sécurisé Architecture de sécurité Tests d intrusion Applicatifs Vérification des environnements Environnements sécurisés Environnements maintenus à jour 39

40 Maturité 2 : je veux protéger mes applications en production Ø Vous savez où se trouvent vos applications Ø Vous souhaitez obtenir une protection de ces applications Ø Vous avez un besoin de conformité Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Tests d intrusion Applicatifs Vérification des environnements Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) 40

41 Maturité 3 : je veux intégrer la sécurité dans mes projets Ø Vous savez où se trouvent vos applications et évaluez régulièrement leur sécurité Ø Vous disposez déjà d une protection de ces applications Ø Vous souhaitez intégrer la sécurité à vos projets de manière plus systématique Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Méthodologie de développement sécurisé Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Mesure des risques pesant sur les données et applications et adaptation de la réponse Tests d intrusion Applicatifs Vérification des environnements Revue de code Cellule d homologation applicative Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) Gestion des vulnérabilités 41

42 Maturité 4 : je progresse et améliore ma sécurité applicative Ø Vous savez où se trouvent vos applications et évaluez régulièrement leur sécurité Ø Vous disposez déjà d une protection de ces applications Ø Vous intégrez la sécurité en partie dans vos projets et souhaitez obtenir un ROI Gouvernance Conception Vérification Déploiement Formation des intervenants Compétences en développement sécurisé Prérequis contractuels dans les contrats d achats Référentiel de sécurité Méthodologie de développement sécurisé Mise en place de métrique de contrôle Amélioration des processus Architecture de sécurité Sécurité insérée explicitement lors de la phase d exigences fonctionnelles Mesure des risques pesant sur les données et applications et adaptation de la réponse Mise en place des frameworks de sécurité Tests d intrusion Applicatifs Vérification des environnements Revue de code Cellule d homologation applicative Revue de la conception Environnements sécurisés Environnements maintenus à jour Bouclier virtuel (WAF) Gestion des vulnérabilités Documentation des projets, des mises a jour, Intégrité des logiciels déployés 42

43 Sécuriser le développement d applications mobiles Quelques pistes 43

44 Sécuriser le développement Web mobile Les mêmes préconisations sécurité s appliquent pour les architectures REST et les architectures Web classiques On vérifiera donc que les fondamentaux sont bien respectés dans tout développement REST: Validation des données d entrée Normalisation des données Utilisation correcte des parseurs XML, si applicable Typage fort, si applicable Validation par une approche liste blanche Rejet ou acceptation explicite de la donnée Validation des types de réponse Ne pas s appuyer sur l entête client «Accept» pour fixer le content-type de la réponse 44

45 Sécuriser le développement Web mobile S appuyer au maximum sur les fonctions offertes par les Framework Ne pas réinventer la roue! Système d authentification Validation des entrées Encodage des sorties Chiffrement / déchiffrement des données, cookies, Protection CSRF Protection XSS (X-Content-Type-Options: nosniff) Protection clickjacking (X-Frame-Options: deny ) 45

46 Gestion de l authentification et des sessions REST est sans état, donc chaque requête doit contenir les éléments permettant au serveur de la légitimer L authentification basic sur TLS est recommandée pour des scénarios simples Ce système garanti par ailleurs que les informations d authentification ne seront jamais journalisés (utilisation de l entête HTTP Authorization: Basic) Il est souvent nécessaire d utiliser un système de session ou d API Key L identifiant / la clé doivent être transmis en POST pour ne pas être capturés dans les logs

47 Gestion de l authentification et des sessions Le principe de session est strictement similaire à celui utilisé par les applications Web classiques Mieux que rien, mais largement perfectible Des mesures additionnelles sont requises pour les services sensibles Protection anti-rejeu: Si un attaquant rejoue une requête capturée, il peut usurper l identité d une personne légitime sur l application Utiliser une clé de chiffrement temporaire, dérivée de l API Key, la date, l heure, l adresse IP Protéger le stockage de l API Key sur le périphérique client isadmin=false &debug=false &allowcsrpanel=false rules=af32e89b239ff0bc3dce341 8BCF90D482B8BBA0A0C0C0C0C43 47

48 API Keys Les APIs keys sont préférables à l utilisation de mot de passe Longueur très grande, aléatoire et non prédictible Générées automatiquement, lors de l enrôlement de l utilisateur ou de son périphérique (ex Smartphone) Elles peuvent également améliorer la vitesse dans les environnements à très fort trafic (absence de calcul de hash) Pas d impact en cas de changement de mot de passe Le stockage de la clé sur le périphérique client est un enjeu important Lecture seule pour le propriétaire Utilisation des fonctions de chiffrements disponibles sur le périphérique client 48

49 Protection contre le farming De nombreux web-services REST sont exposés au farming Il est possible d énumérer les ressources des bases de données en appelant le service avec des identifiants croissants Il n y a pas de technique «Officielle» pour se prémunir contre cela, mais Contrôler et authentifier les accès Ne jamais utiliser de références directes 49

50 Configurer correctement le serveur Web Les architectures REST nécessitent l utilisation de méthodes HTTP potentiellement dangereuses: PUT, DELETE notamment Il est essentiel de valider que la configuration du serveur n autorise pas ces méthodes ailleurs qu à destination des URI qui portent des services de type REST! Toujours valider, que l utilisateur a le droit d appeler la méthode sur la ressource qu il demande Exemple: Un utilisateur anonyme peut faire du GET ou du POST Exemple: Il est nécessaire d être authentifié pour appeler UPDATE Exemple: Il est nécessaire de disposer d un profil administrateur pour DELETE 50

51 Protection contre le Cross-Site-Request Forgery Toutes les requêtes, en particulier celles utilisant PUT, POST et DELETE, doivent être protégées contre le CSRF La meilleure des protections consiste à utiliser un token et, surtout, de valider qu aucune attaque de type Cross-Site-Scripting n est possible à l encontre du client 51

52 Amélioration de la sécurité HTTPS HTTPS doit être utilisé pour tout échange d information sensible Paramètres d authentification API Key Informations personnelles Certificate pinning Technique consistant à associer une clé publique ou un certificat avec un site Web et de stocker cette association côté client En cas de compromission du site distant (ex: Redirection de trafic suite à une attaque sur les serveurs DNS), le client peut s apercevoir de l attaque Idéalement, cette association doit être faire lors du développement (et non pas à l issue de la première connexion car la compromission pourrait déjà avoir eu lieu) 52

53 HTTP Strict Transport Security (HSTS) Mécanisme permettant au serveur d informer le navigateur de ne jamais accepter de connexion HTTP non sécurisées et donc de systématiquement utilisé une connexion HTTPS Permet de lutter contre les «downgrade attacks». Exemple: Un site normalement en HTTPS, accédé en HTTP L information est transmise au moyen d un entête HTTP positionné par le serveur Exemple: Strict-Transport-Security "max-age= ;preload.» La première connexion n est donc pas protégée! Sauf si le site est dans la liste des sites préchargés par le navigateur Le navigateur recevant cet entête doit: Transformer automatiquement tous les liens http pointant vers le serveur en liens https Refuser l accès et afficher un message d erreur s il ne parvient pas à authentifier le certificat du serveur 53

54 JOSE: Javascript Object Signing and Encryption JOSE est à JSON ce que WS-Security est à SOAP Signature de tout ou partie des messages JWS: JSON Web Signature Chiffrement de tout ou partie des messages JWE: JSON Web Encryption Jeton JWT: JSON Web Token Utilisé pour décrire les droits d un utilisateur, d un objet Peux contenir des claims OpenID ( Encodé en base64url 54

55 JOSE: Javascript Object Signing and Encryption JS JWS: Implémentation pure Javascript de JWT ( JSON Web Token ) Implémentation pure Javascript de JWS ( JSON Web Signature ) Démonstration de signature JWS: Générateur / validateur de signature JWT: 55

56 OAuth2 OAuth2 est un protocole permettant à une application cliente d effectuer des opérations en tant qu un utilisateur donné, avec la permission de ce dernier Les actions autorisées pour une application cliente donnée sont définies sur un serveur de ressources (un autre serveur Web / Web-service) L utilisateur approuve les actions en informant un serveur d autorisation qu il fait confiance à l application cliente Une application cliente peut également agir en son propre non (sans authentification utilisateur) si elle a autorisée sur le serveur d autorisation 56

57 OAuth2 57

58 Questions / Réponses 58

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Présentation de la société 2 La sécurité est source de valeur Pas de développement

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Sécurité et mobilité

Sécurité et mobilité LEXSI > SÉMINAIRE ARISTOTE "SÉCURITÉ & MOBILITÉ" 1 Sécurité et mobilité QUELQUES ERREURS CLASSIQUES OU REX SUITE À AUDITS 07/02/2013 lgronier@lexsi.com/ fverges@lexsi.com Agenda 2 La mobilité et les audits

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012

Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012 web client Magali Contensin 25 octobre 2012 ANF Dev Web ASR Carry-Le-Rouet Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX Visibilité du

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

PROJET D INTEGRATION DE DEVELOPPEMENT

PROJET D INTEGRATION DE DEVELOPPEMENT MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE ENSEIGNEMENT DE PROMOTION SOCIALE DE REGIME 1 DOSSIER PEDAGOGIQUE UNITE DE FORMATION PROJET

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

PHP et MySQL : notions de sécurité

PHP et MySQL : notions de sécurité PHP et MySQL : notions de sécurité Jean-Baptiste.Vioix@u-bourgogne.fr Dans ces quelques lignes des notions de sécurité élémentaires vont être présentées. Elles sont insuffisantes pour toute application

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

Touch ID, OAuth, Authentification mobile, Quelle confiance vis-à-vis de ces nouveaux mécanismes?

Touch ID, OAuth, Authentification mobile, Quelle confiance vis-à-vis de ces nouveaux mécanismes? GS DAYS 2015 Touch ID, OAuth, Authentification mobile, Quelle confiance vis-à-vis de ces nouveaux mécanismes? Dans un contexte de révolution digitale www.harmonie-technologie.com +331 73 75 08 47 info.ssi@harmonie-technologie.com

Plus en détail

Sécurité d un site php

Sécurité d un site php Sensibilisation IUT de Fontainebleau 8 juin 2015 1 2 1 2 Enjeux L application manipulent-ils des données fiables? L application interagit-elle avec le bon interlocuteur? Le secret des données échangées

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) Travaux soutenus par l ANR Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) 03 Avril 2012 1. Test de sécurité et génération de tests à partir de modèle 2. Le projet SecurTest à DGA Maîtrise de l

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Guide de connexion à la solution de paiement Payline

Guide de connexion à la solution de paiement Payline Guide de connexion à la solution de paiement Payline Version 1.B Payline Monext Propriétaire Page 1 / 10 Page des évolutions Le tableau ci-dessous liste les dernières modifications effectuées sur ce document.

Plus en détail

ArcGIS Sever 9.3 (Partie 1)

ArcGIS Sever 9.3 (Partie 1) Conférence SIG 2008 Ateliers Techniques 1 er et 2 Octobre 2008 S'il vous plait! Merci d'éteindre vos appareils portables ArcGIS Sever 9.3 (Partie 1) Jean-Yves Capron Jérémie Majerowicz 1 ArcGIS Sever 9.3

Plus en détail

Applications orientées données (NSY135)

Applications orientées données (NSY135) Applications orientées données (NSY135) 2 Applications Web Dynamiques Auteurs: Raphaël Fournier-S niehotta et Philippe Rigaux (philippe.rigaux@cnam.fr,fournier@cnam.fr) Département d informatique Conservatoire

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

PRESENTATION D INTEROPS

PRESENTATION D INTEROPS PRESENTATION D INTEROPS Nom Organisme Date Rédaction GT Technique Interops Validation Approbation Document applicable à compter du Identification du document Direction Objet Domaine Nature N d ordre Version

Plus en détail

Profil de protection d une borne sans-fil industrielle

Profil de protection d une borne sans-fil industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

FEDERATION DES IDENTITES

FEDERATION DES IDENTITES 1 FEDERATION DES IDENTITES Quel protocole de fédération pour quel usage? OAUTH & SAML Fabrice VAZQUEZ Consultant Sécurité du SI +331 73 54 3000 Cabinet de conseil et d expertise technique en sécurité du

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Comment sécuriser les communications vers des tiers et des établissements partenaires?

Comment sécuriser les communications vers des tiers et des établissements partenaires? Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur

Plus en détail

Découverte et investigation des menaces avancées INFRASTRUCTURE

Découverte et investigation des menaces avancées INFRASTRUCTURE Découverte et investigation des menaces avancées INFRASTRUCTURE AVANTAGES CLÉS Infrastructure RSA Security Analytics Collecte distribuée grâce à une architecture modulaire Solution basée sur les métadonnées

Plus en détail

Formations. «Hacking Edition» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397

Formations. «Hacking Edition» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397 Formations «Hacking Edition» Nos formations Réf. HAC01 35 Heures Les techniques d attaques Réf. HAC02 21 Heures Vulnérabilités réseaux et applicatives Réf. HAC03 21 Heures Sécurité des applications Web

Plus en détail

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection La sécurité des PABX IP Panorama des risques et introduction des mesures de protection Marc LEFEBVRE Consultant Sécurité Orange Consulting - 25 avril 2013 Consulting Services cybersécurité by Orange unité

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT "CYBERSECURITY"

FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT CYBERSECURITY FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT "CYBERSECURITY" Plan Le Cloud Privé Inquiétudes liées à la sécurité et au Cloud L authentification Sécurisation de la communication Les données La détection

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

Calendrier prévisionnel 07 Septembre 2015 Tarif HT 350 000FCFA

Calendrier prévisionnel 07 Septembre 2015 Tarif HT 350 000FCFA FORMATIONS 2015 2016 GOUVERNANCE SI Nos formations Types de formation Nos sessions de formations s adresse à tous les professionnels. Deux types de formations vous sont proposés: - séminaires de formations

Plus en détail

SYNERWAY REMOTE SESSION PROCEDURE UTILISATEUR. Version Date Rédacteur Commentaire 1.0 25/11/2009 LRN Version initiale

SYNERWAY REMOTE SESSION PROCEDURE UTILISATEUR. Version Date Rédacteur Commentaire 1.0 25/11/2009 LRN Version initiale SYNERWAY REMOTE SESSION PROCEDURE UTILISATEUR Version Date Rédacteur Commentaire 1.0 25/11/2009 LRN Version initiale Sommaire I. PRESENTATION... 3 II. ENGAGEMENT DE CONFIDENTIALITE... 4 III. SESSION DE

Plus en détail

ENJEUX NUMÉRIQUES AUTOUR DU COMPTE PERSONNEL D ACTIVITÉ

ENJEUX NUMÉRIQUES AUTOUR DU COMPTE PERSONNEL D ACTIVITÉ ENJEUX NUMÉRIQUES AUTOUR DU COMPTE PERSONNEL D ACTIVITÉ 15 SEPTEMBRE 2015 7 rue de Bucarest 75008 Paris - +33 1 73 00 28 00 - backelite.com PRÉSENTATION Marie PETIT Responsable du conseil et de l expérience

Plus en détail

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA.

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA. VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA 1 6 décembre 2005 2 Plan Contexte INRIA Enjeux et objectifs de VISON Service d authentification

Plus en détail

Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM)

Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM) LA BOITE A OUTILS DE L ACHETEUR DE BPM Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM) La boîte à outils de l acheteur de solution BPM -

Plus en détail

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL Cette page doit fournir aux clients toutes les informations concernant la sécurité du site d internet banking transactionnel, en particulier les

Plus en détail

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward PHP CLÉS EN MAIN 76 scripts efficaces pour enrichir vos sites web par William Steinmetz et Brian Ward TABLE DES MATIÈRES INTRODUCTION 1 1 TOUT CE QUE VOUS AVEZ TOUJOURS VOULU SAVOIR SUR LES SCRIPTS PHP

Plus en détail

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse Questions - Révision- - 1 er Semestre Informatique Durée de l examen : 1h pour 40 questions. Aucun document n est autorisé. L usage d appareils électroniques est interdit. Les questions faisant apparaître

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Description de l offre de services

Description de l offre de services Description de l offre de services Prestations en Webconférence... 2 Les prestations :... 3 Etude d éligibilité Microsoft Office 365... 3 Forfait de Mise en service... 4 Migration 5 utilisateurs... 5 Formation

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Les applications embarquées Lexmark

Les applications embarquées Lexmark Les applications embarquées Lexmark Exploitez tout le potentiel de vos équipements avec les solutions Lexmark Les applications Lexmark ont été conçues pour permettre aux entreprises d enregistrer les,

Plus en détail

5 Clefs pour basculer dans le monde du SaaS

5 Clefs pour basculer dans le monde du SaaS 5 Clefs pour basculer dans le monde du SaaS Philippe Nicard, Directeur Opérations SaaS et Support Julien Galtier, Senior Manager consulting SIRH, ACT-ON Agenda L origine du SaaS Vers une démarche SaaS

Plus en détail

Repenser le SI à l'ère du numérique : apports des solutions de big data, cloud computing et confiance numérique

Repenser le SI à l'ère du numérique : apports des solutions de big data, cloud computing et confiance numérique Repenser le SI à l'ère du numérique : apports des solutions de big data, cloud computing et confiance numérique Extraits d analyses publiées par MARKESS International Emmanuelle Olivié-Paul epaul@markess.com

Plus en détail

Architectures Java pour applications mobiles

Architectures Java pour applications mobiles Architectures Java pour applications mobiles L application mobile en phase de devenir incontournable. Début 2010, 200 000 applications mobiles. Fin 2011, le cap du million est franchi. Derrière cette croissance

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 moyen-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Sécurisation des applications web : retour d'expérience des développeurs de Sympa

Sécurisation des applications web : retour d'expérience des développeurs de Sympa Sécurisation des applications web : retour d'expérience des développeurs de Sympa David Verdin - TutoJ RES 12 : Sécurité des sites web - 4 février 2010 8 février 2010 1 En guise d'intro Le point de vue

Plus en détail

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité NOS MODULES D AUDIT Analyse - Accompagnement - Sérénité - Sécurité Audit Technique Audit des serveurs Mise à jour, vulnérabilités classiques Respect des politiques de mots de passe Contrôle des accès à

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Problématique, Constats

Problématique, Constats Problématique, Constats Réactivité de la DSI pour les projets numériques consommateurs Contraintes de temps et de coûts Forte pression des métiers Compétitivité des sociétés externes Décalage de démarrage

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Le Web 2.0 au cœur des menaces. Guillaume Girard 26 / 05 / 2009

Le Web 2.0 au cœur des menaces. Guillaume Girard 26 / 05 / 2009 Le Web 2.0 au cœur des menaces Guillaume Girard 26 / 05 / 2009 Le Web au cœur des menaces 2003 : 99% des codes malicieux étaient en attachement d emails malveillants. 2008 : 95% des emails malveillants

Plus en détail

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion J. Hennecart Serval-Concept Lundi 23 février 2015 J. Hennecart des injections SQL sont des vulnérabilités permettant de faire exécuter des commandes, non prévues initialement, à une base de données. La

Plus en détail

Chiffrement des terminaux : comment ça marche?

Chiffrement des terminaux : comment ça marche? Livre blanc : Chiffrement des terminaux : comment ça marche? Chiffrement des terminaux : comment ça marche? Public cible Administrateurs informatiques et de la sécurité Sommaire Présentation du chiffrement

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Référence Etnic Architecture des applications

Référence Etnic Architecture des applications Référence Etnic Architecture des applications Table des matières 1. Introduction... 2 2. Architecture... 2 2.1 Démarche générale... 2 2.2 Modèle d architecture... 3 2.3 Découpe d une architecture applicative...

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Sécurité Applicative & ISO 27034

Sécurité Applicative & ISO 27034 Club 27001 Toulouse 04/07/2014 - Sébastien RABAUD - Sécurité Applicative & ISO 27034 Agenda Sécurité applicative Constats Solutions? ISO 27034 Présentation Analyse 2 Agenda Sécurité applicative Constats

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Information sur l accés sécurisé aux services Baer Online Monaco

Information sur l accés sécurisé aux services Baer Online Monaco Information sur l accés sécurisé aux services Baer Online Monaco Avant de commencer, nettoyez la mémoire cache de votre navigateur internet: Exemple pour les versions à partir d Internet Explorer 6.x:

Plus en détail

Quelles sont, aujourd hui, les menaces pesant sur l informatique? Pietro Di Gregorio, Audit Line Partners SA

Quelles sont, aujourd hui, les menaces pesant sur l informatique? Pietro Di Gregorio, Audit Line Partners SA Quelles sont, aujourd hui, les menaces pesant sur l informatique? Pietro Di Gregorio, Audit Line Partners SA Agenda Contexte général Les menaces (Les grands classiques) Les menaces contemporaines (La mode

Plus en détail

Structurez votre communication

Structurez votre communication www.komibox.fr Structurez votre communication Présentation KOMIbox : Des applications pour répondre aux besoins des PME... Vous désirez mieux structurer votre communication et centraliser vos informations?

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

EXIGENCES TECHNIQUES DE SECURITE

EXIGENCES TECHNIQUES DE SECURITE EXIGENCES TECHNIQUES DE SECURITE DEVELOPPEMENT D'APPLICATIONS ANDROID ET IOS MARDI 9 JUIN 2015 - VERSION 1.1 VERSION : 1.1 - RÉF. : ###################### SOMMAIRE Contenu DEFINITIONS 4 EXIGENCES TECHNIQUES

Plus en détail

technologie la SD-BOX

technologie la SD-BOX 02 la technologie la SD-BOX L accès aux données constitue un enjeu croissant pour les organismes, notamment à des fins d études et de recherche. Certaines données hautement sensibles (données personnelles,

Plus en détail

Projet Magistère: SSL

Projet Magistère: SSL Université Joseph Fourier, IMA Janvier 2010 Table des matières 1 Introduction 2 Qu est ce que SSL? 3 Historique de SSL/TLS 4 Théorie à propos du fonctionnement de SSL 5 Structure d un certificat 6 SSL

Plus en détail

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr Auteur du document : ESRI France Version de la documentation : 1.2.0.0 Date de dernière

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

Table des matières. Préface... 15 Mathieu JEANDRON

Table des matières. Préface... 15 Mathieu JEANDRON Table des matières Préface... 15 Mathieu JEANDRON Chapitre 1. Les identités numériques... 19 Maryline LAURENT, Julie DENOUËL, Claire LEVALLOIS-BARTH et Patrick WAELBROECK 1.1. Introduction... 19 1.2. Dimension

Plus en détail