" Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "" Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners"

Transcription

1 " Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners 56

2 Retour d expériences Page 57 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion? 57

3 Qu est-ce qu un test d intrusion? Page 58 + Recherche des failles de sécurité sur un périmètre défini + Démonstration de façon maîtrisée de l'impact réel des failles découvertes + Recommandations techniques pour corriger. 58

4 Les idées reçues et les mythes Page 59 Le test d'intrusion cible les firewalls et les routeurs Les tests d'intrusion sont réalisés par d'anciens hackers incontrôlables Je fais mes tests d'intrusion avec Nessus ou Qualys Notre firewall fait aussi IPS : nous bloquons les attaques 59

5 Retour d expériences Page 60 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion 60

6 Les audits de sécurité L audit de sécurité - Recherche de failles en profondeur - Analyse des configurations - Intègre les aspects organisationnel - ISO 17799/27001, EBIOS, SOX, - Projet de 10 à 30 jours 61

7 Les scanners de vulnérabilités Les scanners de vulnérabilités - Des outils d évaluation - Limité aux failles connues - Difficulté d interprétation - Faux-positifs - Ne s adapte pas au contexte - Ne recherche pas en profondeur - Requiert un expert pour interpréter et approfondir - Non maitrisé (effets de bord, ) - Nessus, Qualys, Criston, ISS, GFI 62

8 Les tests d intrusion Le tests d intrusion - Démonstration d exploitation réelle - Risques pratiques et non théoriques QuickTime et un décompresseur codec YUV420 sont requis pour visionner cette image. - Réalité des attaques - Résultats interprétés et didactiques - Projet de 5 à 10 jours 63

9 Le tests d intrusion comme compromis 64

10 Retour d expériences Page 65 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents types de tests d'intrusion, Différents types de failles Les aspects managériaux Comment réussir un projet de test d intrusion 65

11 Les tests d intrusion externes WAN Failles les + courantes : Ports ouverts, interfaces d administration, mauvaises configurations, failles IIS 66

12 Les tests d intrusion internes LAN Failles les + courantes : Failles Microsoft RPC, Failles Solaris, Null-Sessions, Mots de passe faibles 67

13 Les tests d intrusion applicatifs Failles les + courantes : SQL Injection, Cross-Site Scripting, Tampering, Authorization bypass, 68

14 Retour d expériences Page 69 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion 69

15 Les aspects managériaux Page 70 Le test d intrusion peut répondre à des besoins parfois très différents Evaluation concrète d une plateforme ou d un SI Sensibilisation de la direction ou des équipes aux risques informatiques Démystification des attaques Un outil pour la conduite du changement L intrusion informatique ne différencie pas la «prod», du «réseau» ou des «études» : une faille de sécurité met souvent en jeux plusieurs aspects. Les compétences sécurité sont souvent diluées et cloisonnées. Les tests au sein du processus de développement? La sécurité comme élément du processus qualité 70

16 Retour d expériences Page 71 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion? 71

17 Réussir un projet de test d intrusion Page 72 Le choix du prestataire Sérieux, profils «ingénieur», qualité des livrables, références La définition d un périmètre réaliste Les plages d adresses IP (pas uniquement le firewall), URLs et des comptes de démo. La charge de travail Coté client : Communiquer en interne sur les tests et le suivi des recommandations Coté auditeur : 5 à 10 jours Les aspects contractuels Accord de confidentialité et autorisation des tierces parties. Diviser pour régner 2 tests d intrusion espacés dans le temps valent mieux qu un grand test «one-shot». 72

18 Page 73 Retour d expériences 73

19 Merci de votre attention Questions / Réponses 74

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

Quel audit de Sécurité dans quel contexte?

Quel audit de Sécurité dans quel contexte? Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Atelier Sécurité / OSSIR

Atelier Sécurité / OSSIR Atelier Sécurité / OSSIR Présentation Produits eeye SecureIIS Retina elorrain@eeye.com & broussel@eeye.com Sommaire Page 2 Qui sommes nous? SecureIIS Protection Web Retina Scanner de Sécurité Questions

Plus en détail

éthique cybersécurité en entreprise

éthique cybersécurité en entreprise éthique cybersécurité en entreprise Eric Dupuis eric.dupuis@orange.com Consulting & Hacking Team - Orange Cyberdefense 2 regards de l éthique cybersécurité dans l entreprise les salariés avec des missions

Plus en détail

Tests d intrusions dans un cadre formel

Tests d intrusions dans un cadre formel Tests d intrusions dans un cadre formel Introduction Qu est-ce qu un test d intrusion? Tests de vulnérabilité vs Tests d intrusion Règles d engagement Cadre d un test d intrusion Tests d'intrusion - Laurent

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

ours Sécurité et cryptographie

ours Sécurité et cryptographie Objectifs Cours Sécurité et cryptographie Objectifs du cours: Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d information Mohamed Houcine Elhdhili & Khaled Sammoud

Plus en détail

Quelles stratégies face aux nouvelles menaces informatiques?

Quelles stratégies face aux nouvelles menaces informatiques? Quelles stratégies face aux nouvelles menaces informatiques? Serge SAGHROUNE Directeur SécuritS curité des Systèmes d'information et Télécom Groupe ACCOR Vice Président du CLUSIF Exemples de mythes liés

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME Vo t r e s p e a k e r a u j o u r d h u i : F r a n ç o i s W e b S e c u r i t y M a n a g e r Agenda Partie

Plus en détail

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014 La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé Conférence ASIQ, mars 2014 www.hackfest.ca AINSI, CE QUI EST D UNE IMPORTANCE SUPRÊME DANS LA GUERRE, C EST D ATTAQUER

Plus en détail

Sécurité Informatique

Sécurité Informatique Sécurité : Sécurité informatique (Support de cours) R. MAHMOUDI (mahmoudr@esiee.fr) w 1 Sécurité Informatique Plan du cours - Introduction - Risques & Menaces - Vulnérabilités des réseaux - Firewall -

Plus en détail

Ma M na n ge g ment n de d s s vul u né n ra r bi b lités Concepts et REX

Ma M na n ge g ment n de d s s vul u né n ra r bi b lités Concepts et REX Concepts et REX Contexte Cyrille Barthelemy (cby@intrinsec.com) Pôle sécurité d Intrinsec Référent sécurité pour les activités d infogérance Analyse des vulnérabilités, double usage : En tant que service

Plus en détail

Jonathan BLANC David GERBAULET Julien MANUEL David NEMBROT Simon PACHY Dimitri TSIOPOULOS

Jonathan BLANC David GERBAULET Julien MANUEL David NEMBROT Simon PACHY Dimitri TSIOPOULOS Jonathan BLANC David GERBAULET Julien MANUEL David NEMBROT Simon PACHY Dimitri TSIOPOULOS SOMMAIRE Le projet Candide SA Contexte Objectifs Organisation C.A.S.T.R.I Déploiement des outils d audit Synthèse

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence"

COURS DE FORMATION Dans le cadre du  Réseau des Centres d'excellence COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence" Tunis Tunisie du 28 Septembre au 09 Octobre 2009 Organisé par: la Conférence des Nations Unies sur le Commerce et le Développement

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 Les webshells, ou comment ouvrir les portes de son réseau?

Plus en détail

Les tests d intrusion dans les réseaux Internet, l outil Nessus

Les tests d intrusion dans les réseaux Internet, l outil Nessus CNAM Paris Département informatique Les tests d intrusion dans les réseaux Internet, l outil Nessus Examen probatoire session de Mai 2004 laurent_donge@yahoo.fr 1 Test d intrusion, l outil Nessus - Mai

Plus en détail

Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe

Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe Jean-Philippe Gaulier Cécile Lesaint 05/10/2015 Les constats on découvre en permanence des failles OWASP dans nos

Plus en détail

RSSI à Temps Partagé Retour d expériences. 2011 Intrinsec - www.intrinsec.com securite.intrinsec.com

RSSI à Temps Partagé Retour d expériences. 2011 Intrinsec - www.intrinsec.com securite.intrinsec.com RSSI à Temps Partagé Retour d expériences 2011 Intrinsec - www.intrinsec.com securite.intrinsec.com Agenda Contexte Présentation du cadre d intervention «RSSI à Temps Partagé». Démarche SSI Retour d expérience

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet ActiveSentry : le monitoring permanent de la sécurits curité des architectures Internet OSSIR 11/09/2001 Fabrice Frade Directeur Technique Intranode 2001 Qui est Intranode? Intranode est un éditeur d une

Plus en détail

RÉFÉRENTIEL TECHNIQUE

RÉFÉRENTIEL TECHNIQUE RÉFÉRENTIEL TECHNIQUE ANNEXE I du Règlement relatif à la certification prévue à l article 23 de la loi n 2010-476 du 12 mai 2010 relative à l ouverture à la concurrence et à la régulation du secteur des

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Nous adaptons votre système d information à vos besoins LES SEMINAIRES INTERNATIONAUX DE MIWIS TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Saly, Sénégal : 19-20 21 et 22 Mars 2013 Hôtel Saly

Plus en détail

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - 145-147 rue Yves Le Coz 78 000 Versailles Tél. : 01.39.24.16.66 Fax : 01.39.24.16.67

Plus en détail

Le logiciel libre en sécurité informatique.

Le logiciel libre en sécurité informatique. Le logiciel libre en sécurité informatique. Cédric Blancher 9 juillet 2002 Outline 1 Le besoin de sécurité Pourquoi fait-on de la sécurité? Qu est-ce qu on attend d un système

Plus en détail

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011 CATALOGUE FORMATION Année 2010 / 2011 Certified Ethical Hacker Penetration testing tified CHFI Ethical Hacker CHFI Management de la sécurité des SI ical Hacker Penetration t CISSP CISSP Ethical Hacker

Plus en détail

Transmission des données

Transmission des données Transmission des données Stations ti d'acquisition iti (FDE/ISEO), Postes Centraux (POL'AIR, XAIR), Clients internes (Postes de consultation, astreinte,...), Clients externes (Industriels, Etat, collectivités

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Stratégie e-commerce : Devenir e-commerçant!

Stratégie e-commerce : Devenir e-commerçant! Page 1 sur 5 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Stratégie e-commerce : Devenir e-commerçant! Vous rêvez de vous lancer

Plus en détail

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires d audit de la sécurité des systèmes d information Référentiel d exigences Version 2.0 du 14 février 2013 HISTORIQUE

Plus en détail

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/05 Routeur chiffrant

Plus en détail

INTRUSION SUR INTERNET

INTRUSION SUR INTERNET INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert

Plus en détail

1 La visualisation des logs au CNES

1 La visualisation des logs au CNES 1 La visualisation des logs au CNES 1.1 Historique Depuis près de 2 ans maintenant, le CNES a mis en place une «cellule d analyse de logs». Son rôle est multiple : Cette cellule est chargée d analyser

Plus en détail

DOMAINES DE COMPÉTENCE

DOMAINES DE COMPÉTENCE ABBANA est une société jeune et dynamique. Intégrateurs en systèmes, réseaux et sécurité, nous fournissons à nos clients des prestations de haute qualité. Nous nous démarquons par notre réactivité, notre

Plus en détail

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Plus en détail

ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D INFORMATION?

ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D INFORMATION? F O R M A T I O N H I G H L E V E L PROGRAMME ET METHODES RUSSES ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D IN? Ethical Hackers - Experts Sécurité I N F O R M AT I O N S E C U R I T Y

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Travaux pratiques 8.4.3 Analyse de la vulnérabilité

Travaux pratiques 8.4.3 Analyse de la vulnérabilité Travaux pratiques 8.4.3 Analyse de la vulnérabilité ATTENTION : ces travaux pratiques peuvent violer les mesures de sécurité juridiques et organisationnelles. L analyseur de sécurité téléchargé dans ces

Plus en détail

Une approche pragmatique de la mise en œuvre de politiques de sécurité

Une approche pragmatique de la mise en œuvre de politiques de sécurité Une approche pragmatique de la mise en œuvre de politiques de sécurité Guillaume Rousse INRIA, DSI Denis Joiret INRIA, DSI Bertrand Wallrich INRIA Résumé Il y a deux catégories d administrateurs système

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Gestion de logs 29% CLUSIF / CLUSIR RhA / Club SSI. Bernard Foray/ DSSI/ Groupe Casino bforay@groupe-casino.fr

Gestion de logs 29% CLUSIF / CLUSIR RhA / Club SSI. Bernard Foray/ DSSI/ Groupe Casino bforay@groupe-casino.fr Tableaux de bord SSI & Gestion de logs 29% Bernard Foray/ DSSI/ Groupe Casino bforay@groupe-casino.fr Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 0 PROBLÉMATIQUE / OBJECTIFS

Plus en détail

Certification PCI-DSS. Janvier 2016

Certification PCI-DSS. Janvier 2016 Certification PCI-DSS Janvier 2016 Définitions La certification PCI DSS (Payment Card Industry Data Security Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

Indicateur et tableau de bord

Indicateur et tableau de bord Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72

Plus en détail

Véhicule Connecté et Cybersécurité. Antoine BOULANGER Ingénieur cybersécurité Direction Recherche et Ingénierie Avancée

Véhicule Connecté et Cybersécurité. Antoine BOULANGER Ingénieur cybersécurité Direction Recherche et Ingénierie Avancée Véhicule Connecté et Cybersécurité Antoine BOULANGER Ingénieur cybersécurité Direction Recherche et Ingénierie Avancée Des véhicules PSA déjà connectés PSA pionnier de l'appel d'urgence (e-call) et d'assistance

Plus en détail

Consulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec

Consulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec NOS PARTENAIRES Network Telecom Security Solutions en partenariat technique avec Conseil, formation et accompagnement Création, Gestion et Stratégie Management et sécurité de l'information stratégique

Plus en détail

Intrinsec. Stage Consultant Sécurité Evaluation. Active Directory H/F

Intrinsec. Stage Consultant Sécurité Evaluation. Active Directory H/F Intrinsec Stage Consultant Sécurité Evaluation Active Directory H/F 1 Présentation générale Filiale du groupe Neurones et fondée en 1995, Intrinsec est historiquement un acteur de la sécurité des systèmes

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection La sécurité des PABX IP Panorama des risques et introduction des mesures de protection Marc LEFEBVRE Consultant Sécurité Orange Consulting - 25 avril 2013 Consulting Services cybersécurité by Orange unité

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015

Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015 Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015 Dernière mise à jour: 11h, heure française Sur l incident 1. Est-il vrai que le site VTech a été piraté? Nous confirmons

Plus en détail

PROJET STARTUP DAYS Formation aux technologies Microsoft

PROJET STARTUP DAYS Formation aux technologies Microsoft PROJET STARTUP DAYS Formation aux technologies Microsoft Présentation de notre possibilité d implication au sein du laboratoire Microsoft en tant que Formateur Destinataire : Administration Ynov (..) Date

Plus en détail

Céline et Laurent Estieux SGDN/DCSSI/Bureau Inspections en SSI. SSTIC, 3 juin 2005. Une journée d audit ordinaire. L. Estieux C. Estieux.

Céline et Laurent Estieux SGDN/DCSSI/Bureau Inspections en SSI. SSTIC, 3 juin 2005. Une journée d audit ordinaire. L. Estieux C. Estieux. Céline et Laurent Estieux SGDN/DCSSI/Bureau Inspections en SSI SSTIC, 3 juin 2005 de l exposé 1 2 3 4 5 Réunion de préparation Objectifs : bien cerner les origines de la demande ; définir le périmètre

Plus en détail

Catalogue Audit «Test Intrusion»

Catalogue Audit «Test Intrusion» Catalogue Audit «Test Intrusion» Ne plus imaginer son niveau de sécurité : Le mesurer! À CHACUN SON APPROCHE! 1. par un «Scénario» L objectif est de réaliser un scénario d attaque concret de son Système

Plus en détail

Prise en compte des informations de veille et d alerte d

Prise en compte des informations de veille et d alerte d Prise en compte des informations de veille et d alerte d Cert-IST dans un workflow structuré Cert-IST Juin 2006 Agenda Le workflow? Quelles sont les diffusions du Cert-IST concernées Comment a-t-on adapté

Plus en détail

Sécurisation d un site nucléaire

Sécurisation d un site nucléaire Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER Un site nucléaire existant Base installée Schneider Electric importante

Plus en détail

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) Travaux soutenus par l ANR Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) 03 Avril 2012 1. Test de sécurité et génération de tests à partir de modèle 2. Le projet SecurTest à DGA Maîtrise de l

Plus en détail

Evolution du paysage des menaces : Retour du rapport GTIR. Pierre-Yves Popihn Directeur Technique. 2 juin 2015 1. 2015 NTT Com Security

Evolution du paysage des menaces : Retour du rapport GTIR. Pierre-Yves Popihn Directeur Technique. 2 juin 2015 1. 2015 NTT Com Security Evolution du paysage des menaces : Retour du rapport GTIR Pierre-Yves Popihn Directeur Technique 2 juin 2015 1 Rapport 2015 sur l'état des menaces dans le monde > Secteur le plus visé : Finance cible privilégiée

Plus en détail

ITIL. optimal. pour un service informatique. 2 e édition C H R I S T I A N D U M O N T. Préface de Patrick Abad

ITIL. optimal. pour un service informatique. 2 e édition C H R I S T I A N D U M O N T. Préface de Patrick Abad C H R I S T I A N D U M O N T Préface de Patrick Abad ITIL pour un service informatique optimal 2 e édition Groupe Eyrolles, 2006, 2007, ISBN : 978-2-212-12102-5 Introduction..................................................

Plus en détail

Intrinsec. Stage Consultant Sécurité Evaluation. Outillage Test d intrusion H/F

Intrinsec. Stage Consultant Sécurité Evaluation. Outillage Test d intrusion H/F Intrinsec Stage Consultant Sécurité Evaluation Outillage Test d intrusion H/F 1 Présentation générale Filiale du groupe Neurones et fondée en 1995, Intrinsec est historiquement un acteur de la sécurité

Plus en détail

Auditeur Qualité Tierce Partie Référencé AFNOR Certifié ICA

Auditeur Qualité Tierce Partie Référencé AFNOR Certifié ICA e-book : Auditeur Qualité Tierce Partie ICA - XL Formation - 2014 Auditeur Qualité Tierce Partie Référencé AFNOR Certifié ICA La certification auditeur ICA vous permettra de mener des audits qualité au

Plus en détail

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Ali GHRIB Directeur Général ali.ghrib@ansi.tn Sommaire 1 2 Présentation de l agence nationale

Plus en détail

Quelles sont, aujourd hui, les menaces pesant sur l informatique? Pietro Di Gregorio, Audit Line Partners SA

Quelles sont, aujourd hui, les menaces pesant sur l informatique? Pietro Di Gregorio, Audit Line Partners SA Quelles sont, aujourd hui, les menaces pesant sur l informatique? Pietro Di Gregorio, Audit Line Partners SA Agenda Contexte général Les menaces (Les grands classiques) Les menaces contemporaines (La mode

Plus en détail

de la réflexion r choix d un d

de la réflexion r choix d un d www.effigen.com Les étapes clés de la réflexion r au choix d un d ERP avec la présence du chef de Projet Grégoire Besson sur le stand Effigen Les grandes étapes pour un avant-déploiement réussir Le quarté

Plus en détail

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS INTÉGRATEUR RÉSEAU ET SÉCURITÉ IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS «un accompagnement à l échelle nationale.» Un acteur majeur sur le marché

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

TUTORIEL INSTALLATION D UNE WENBOX ETHERNET DE WENGO SUR UN MODEM ROUTEUR DG834 G DE NETGEAR

TUTORIEL INSTALLATION D UNE WENBOX ETHERNET DE WENGO SUR UN MODEM ROUTEUR DG834 G DE NETGEAR TUTORIEL INSTALLATION D UNE WENBOX ETHERNET DE WENGO SUR UN MODEM ROUTEUR DG834 G DE NETGEAR Rédigé par : WinHarfang Date : 12/11/2005 Tutoriel DG834G et Wengo version 1.2 Page 1/18 TUTORIEL DG834G ET

Plus en détail

Retour d expérience du Cert-IST sur le ver "Blaster"

Retour d expérience du Cert-IST sur le ver Blaster Retour d expérience du Cert-IST sur le ver "Blaster" Agenda : Stéphane ROZES Cert-IST Stephane.Rozes@Cert-IST.com Traitement au niveau du Cert-IST "Blaster" chez les membres du Cert-IST La suite de la

Plus en détail

TC Consulting. Réalisé par : M. T. CHOUKRI AUDIT DE SECURITE INFORMATIQUE T. CHOUKRI 1

TC Consulting. Réalisé par : M. T. CHOUKRI AUDIT DE SECURITE INFORMATIQUE T. CHOUKRI 1 AUDIT DE SECURITE INFORMATIQUE Réalisé par : M. T. CHOUKRI T. CHOUKRI 1 Méthodologie d audit de la sécurité du SI TC Consulting a développé une méthodologie d audit de sécurité des systèmes d informations

Plus en détail

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité Sécuriser l accès aux applications et aux données Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité 2 Agenda Gérer les identités : pourquoi et comment? Tivoli Identity Manager Express

Plus en détail

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Lyon, mardi 10 décembre 2002! #$%&'# &( é é Lyon, mardi 10 décembre 2002! "#$%&"'"# &( - LEXSI - Méthodologies des audits sécurité - Formalisation des résultats - CF6 TELINDUS - Retour expérience sur tests intrusifs - ARKOON - Nouvelles menaces,

Plus en détail

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM CDROM L amélioration continue de la gestion des risques René FELL Ingénieur HES en informatique Administrateur chez CDROM CDROM en quelques mots Le Centre de Données Romand est situé au Noirmont, à 1000

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Cartographie des formations certifiantes de TQ base à TQ4. Stratégie. d entreprise. Stratégie. Contrôle Qualité. Science de la Mesure Métrologie

Cartographie des formations certifiantes de TQ base à TQ4. Stratégie. d entreprise. Stratégie. Contrôle Qualité. Science de la Mesure Métrologie des formations certifiantes de TQ base à TQ4 Echelle du savoir TQ3 Certification SMI TQ2 TQ1 TQ base Collaborateur ayant des responsabilités dans le domaine de la qualité Toute personne devant jouer un

Plus en détail

SÉCURISER UN SYSTÈME LINUX/UNIX

SÉCURISER UN SYSTÈME LINUX/UNIX Réseaux et Sécurité SÉCURISER UN SYSTÈME LINUX/UNIX Réf: SRX Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage très pratique et technique vous montrera comment sécuriser des serveurs Linux,

Plus en détail

Comment utiliser cet outil?

Comment utiliser cet outil? Comment utiliser cet outil? Cette aide vous permet à la fois de découvrir les ressources disponibles et de comprendre comment les exploiter au mieux. Fichier à imprimer (6 pages) ou à laisser ouvert pour

Plus en détail

Wi-Fi et Portails captifs

Wi-Fi et Portails captifs Cédric Blancher Wi-Fi et Portails captifs 1/38 Wi-Fi et Portails captifs Principes et limitations Cédric Blancher cedric.blancher(at)eads.net EADS Innovation Works Computer Security research lab - EADS/CTO/IW/SE/CS

Plus en détail

Securité& Conformité. On Time. On Budget. On Demand.

Securité& Conformité. On Time. On Budget. On Demand. Securité& Conformité On Time. On Budget. On Demand. Scalable Security Risk & La Sécurité & la Conformité en tant que Service Aujourd hui, il est primordial pour les entreprises de gérer les risques liés

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Conduite du Changement

Conduite du Changement Conduite du Changement Notre offre d accompagnement Lydie LAUNAY, Responsable de la Conduite du Changement chez Apps2com Retour d expérience de Carglass Face aux solutions nombreuses qui SONT proposées

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

MARCHE A PROCEDURE ADAPTEE

MARCHE A PROCEDURE ADAPTEE MARCHE A PROCEDURE ADAPTEE Pouvoir adjudicateur : Centre Hospitalier de Béziers 2 rue Valentin Haüy BP 740 34525 BEZIERS Libellé de la consultation : REMPLACEMENT DU PAREFEU-PROXY Objet du marché : Acquisition

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Sécurité Applicative & ISO 27034

Sécurité Applicative & ISO 27034 Club 27001 Toulouse 04/07/2014 - Sébastien RABAUD - Sécurité Applicative & ISO 27034 Agenda Sécurité applicative Constats Solutions? ISO 27034 Présentation Analyse 2 Agenda Sécurité applicative Constats

Plus en détail

Air & Défense Sécurité des Systèmes d Information Faire Face à la «WAR INFORMATION»

Air & Défense Sécurité des Systèmes d Information Faire Face à la «WAR INFORMATION» Sécurité des Systèmes d Information Faire Face à la «WAR INFORMATION» VINCI Energies Agenda - L Environnement - L Offre d Audit et de Conseil Vision globale de la sécurité du S.I Audits de vulnérabilités

Plus en détail

Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies

Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies Frédéric Majorczyk Ayda Saidane Éric Totel Ludovic Mé prénom.nom@supelec.fr Supélec, Rennes, France DADDi 18/11/2005 Frédéric

Plus en détail

Efficacité énergétique cadre normatif et évolutions à venir

Efficacité énergétique cadre normatif et évolutions à venir Efficacité énergétique cadre normatif et évolutions à venir Audits énergétiques et management de l énergie AFNOR Energies catherine.moutet@afnor.org Tél : 01 41 62 86 55 SOMMAIRE Panorama de la normalisation

Plus en détail

Sécurité des frameworks J2EE

Sécurité des frameworks J2EE Sécurité des frameworks J2EE Naissance des injections de langages d'expression Présenté le 25/10/2012 Pour la JSSI 2012 de Rouen - 3ème édition Par Renaud Dubourguais - renaud.dubourguais@synacktiv.com

Plus en détail

Le MFQ et la plateforme AFNOR d échanges régionale présente : Le 5 à 7 : «EVOLUTION DE L ISO 9001»

Le MFQ et la plateforme AFNOR d échanges régionale présente : Le 5 à 7 : «EVOLUTION DE L ISO 9001» Le MFQ et la plateforme AFNOR d échanges régionale présente : Le 5 à 7 : «EVOLUTION DE L ISO 9001» Intervenants : Jean marc VIGNOLLE Consultant Qualité et Eliane POURTAU Chargée de mission Qualité à la

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

Sécurité Informatique : Metasploit

Sécurité Informatique : Metasploit Sécurité Informatique : Metasploit Par Brandon ROL Veille Technologique La veille technologique consiste à s'informer de façon systématique sur les techniques les plus récentes et surtout sur leur mise

Plus en détail

Gouvernance SharePoint

Gouvernance SharePoint Gouvernance SharePoint Club SharePoint France Erol GIRAUDY Benoit HAMET 2010 Quest Software, Inc. tous droits reserves. Agenda Présentation du Club SharePoint Qu est que la gouvernance? La gouvernance

Plus en détail