ST50 Projet de fin d'études

Dimension: px
Commencer à balayer dès la page:

Download "ST50 Projet de fin d'études"

Transcription

1 6 avenue du Vieil Etang Montigny-le-Bretonneux ST50 Projet de fin d'études Building Security Assurance in Open Telecommunication infrastructures Rapport Yann Tourdot GI Semestre de printemps 2006 Période de stage : 6 février juillet 2006 Suiveur en entreprise : Olivier Mary Suiveur UTBM : Maxime Wack

2 Table des matières Remerciements... 4 Sujet du stage... 5 Avant-propos...6 Abréviations... 7 Chapitre 1: Présentation de l'entreprise Présentation de la société Activités Évaluations Analyse de risques Audits de sécurité Audits intrusifs Conseil en sécurité...11 Chapitre 2 : Le projet Bugyo Présentation du projet Partenaires du projet Organisation du projet Description du projet Bugyo Architecture de Bugyo Les composants internes au système Bugyo Le cockpit de sécurité Le serveur Les multiplexeurs Les agents mobiles Les composants externes au système Bugyo Les sondes (Probe) Les Network Entities (NE) Network Management System (NMS) Security Incident Management (SIM) WP2 : Le modèle Bugyo Les principaux intervenants Objectifs du modèle a.Les métriques Le niveau d'assurance a.Le niveau de conformité L'agrégation Conception du modèle WP3 : le développement du système multi-agents pour Bugyo Les principaux intervenants La plateforme multi agent La plateforme de test Le Bugyo Agent Developpement Kit a.Le rôle d'un agent Bugyo b.Design Pattern du BADK Dynamique des échanges Formats des messages a.Les requêtes b.Les sous requêtes Conception d'une sonde OVAL... 32

3 6.1.Objectifs de la conception d'une sonde OVAL Présentation d'oval Conception de la sonde distribuée OVAL a.Les limites de l'interpréteur OVAL actuel b.Le prototype distribué OVAL...34 Chapitre 3 : Certification EAL2+ d'un Profil de Protection Qu'est-ce que la certification? Les enjeux de la certification Niveaux de certification Les différents niveaux de certification Répartition des produits certifiés Documents à fournir pour le niveau EAL Chapitre 4 : Analyse de vulnérabilité d'un système de combat Chapitre 5 : Audit de sécurité Présentation du client Les cartes de professionnel de santé L'audit de sécurité Bilan du stage Bibliographie...49 Références des sites internet...50 Contenu du CD-ROM Glossaire Index des illustrations Illustration 1: Activités de la société Oppida Illustration 2: Enchaînements des Work Packages dans le projet Bugyo Illustration 3: Architecture du projet Bugyo...16 Illustration 4: Le cockpit de sécurité de Bugyo est composé de trois écrans Illustration 5: Représentation d'une métrique...21 Illustration 6: Les 5 niveaux d'assurance dans Bugyo Illustration 7: Topologie réelle d'un réseau VOIP...23 Illustration 8: Modèle de l'infrastructure VOIP...24 Illustration 9: La plateforme de test Bugyo Illustration 10: Design Pattern des agents Bugyo Illustration 11: Dynamique des échanges dans Bugyo Illustration 12: Etapes des échanges dans Bugyo...29 Illustration 13: Format des échanges entre le serveur et les multiplexeurs Illustration 14: Format des échanges entre les multiplexeurs et les agents Illustration 15: Analyse de vulnérabilités avec OVAL...33 Illustration 16: Fonctionnement du prototype OVAL...35 Illustration 17: Les étapes d'une certification...39 Illustration 18: Les 7 niveaux d'assurance dans les CC Illustration 19: Certificats délivrés par la DCSSI au 1er Janvier Illustration 20: Liste des documents à fournir pour une certification EAL

4 Remerciements Remerciements Remerciements Ce stage de fin d'études de 24 semaines chez Oppida a été une très bonne expérience. Je tiens à remercier mon suiveur de stage Mr Olivier Mary et Eric Dehais pour m'avoir encadré et conseillé durant mon stage. Je tiens également à remercier mon suiveur de stage UTBM, Maxime Wack. Je veux également remercier Nadège Lewaszwski pour ses conseils et son expertise dans les Critères Communs qui m'ont été très utiles dans la certification du Profil de Protection du Firewall EAL2+, ainsi que Christophe Blad, consultant en sécurité chez Oppida, pour son encadrement dans le projet Bugyo ainsi que pour la lecture de mon rapport

5 Sujet du stage Sujet du stage Sujet du stage Le sujet de mon stage chez Oppida était le suivant : Dans le cadre d'un projet de Recherche européen dédié à la sécurité des réseaux de télécommunication, l'étudiant participera à la rédaction des spécifications du projet, la conception et le développement de certains modules du projet. La totalité des spécifications devra être rédigée en anglais. L'étudiant sera également amené à participer à d'autres activités ponctuelles lui permettant de découvrir le métier de consultant en sécurité informatique

6 Avant-propos Avant-propos Avant-propos Le contenu de ce rapport a été rendu public, avec l'autorisation des dirigeants d'oppida sous les deux conditions suivantes : la non publication de tout ou partie des codes sources du projet Bugyo, la non divulgation des clients pour lesquels j'ai effectué une prestation. Bugyo (BUildinG security assurance in Open infrastructures) est le projet sur lequel j'ai travaillé durant la plus grande partie de mon stage, c'est donc à ce titre qu'il occupe la part la plus importante de mon rapport de fin d'étude. Cependant j'ai également tenu à présenter trois autres travaux réalisés durant mon stage chez Oppida, à savoir : la certification EAL2+ du Profil de Protection d'un firewall * (12 jours), la recherche de vulnérabilités pour une plate forme de défense militaire (30 jours), et un audit de sécurité sur site pour le Groupement d'intérêt Public Carte de Professionnel de Santé (6 jours). * Voir glossaire - 6 -

7 Abréviations Abréviations Abréviations AES API AVSE BADK BUGYO BSDL CC CESTI CPS CRPHT CVE DCSSI DHCP DNS DOS DTD EAL EBIOS ENST ETSI IBM ID Advanced Encryption Standard Application Programming Interface Autorité de Vérification de Signature Electronique Bugyo Agent Development Kit BUildinG security assurance in Open infrastructures Berkeley Software Distribution License Common Criteria Centre d'evaluation de la Sécurité des Technologies de l'information Carte Professionnel de Santé Centre de Recherche Public Henri Tudor Common Vulnerabilities and Exposures Direction Centrale de la Sécurité des Systèmes Dynamic Host Configuration Protocol Domain Name Server Denial of Service Document Type Definition Evaluation Assurance Level Expression des Besoins et Identification des Objectifs de Sécurité Ecole Nationale Supérieure des Télécommunications European Telecommunications Standards Institute International Business Machines Corporation Identifier - 7 -

8 Abréviations IGC Infrastructure de Gestion de Clefs IHM Interface Homme Machine IP Internet Protocol ITSEC Information Technology Security Evaluation Criteria JADE Java Agent DEvelopment Framework JFFNMS Just for Fun Network Management System LGPL Lesser General Public licence MD5 Message Digest 5 MTBF Moyen Temps de Bon Fonctionnement MTR Mid-Term Review MUX Multiplexeur NE Network Entity NIST National Institute of Standards and Technology NMS Network Management System NSA National Security Agency MAS Multi Agent System OVAL Open Vulnerability and Assessment Language PP Profil de Protection SecLA Security Level Agreement SGDN Secrétariat général de la défense nationale SIM Security Incident Management SSI Sécurité des Systèmes d'information TFTP Trivial File Transfer Protocol TOE Target Of Evaluation US-CERT United States Computer Emergency Readiness Team UTBM Université de Technologie de Belfort - Montbéliard VOIP Voice Over IP VPN Virtual Private Network WP Work Package WPL Work Package Leader XML extensible Markup Language - 8 -

9 Chapitre 1: Présentation de l'entreprise Chapitre 1: Présentation de l'entreprise Chapitre 1 Présentation de l'entreprise 1. Présentation de la société Crée en 1998, la société Oppida IN01 propose un ensemble de prestations dans le domaine de la sécurité des systèmes d'information. Du conseil en organisation à l'audit de sécurité et la réalisation de mesures de protection, en passant par l'évaluation logiciel et système, la société Oppida offre une solution complète de conseil pour la sécurisation des systèmes informatiques. L'annexe 1.a intitulée Brochure de présentation d'oppida présente les plaquettes d'information sur la société distribuées dans les salon de dédiés à la Sécurité des Systèmes d'information (SSI). Société au capital fermé provenant de fonds français, la société Oppida est indépendante de tout éditeur ou constructeur qui pourrait influer sur ses activités. La société est composée d'une quinzaine de personnes pour un chiffre d'affaire en 2004 de 1250K. Une filiale de la société Oppida est implantée à Toulouse. 2. Activités l'illustration 1. Les différentes activités d'oppida sont représentées par IN

10 Chapitre 1: Présentation de l'entreprise Illustration 1: Activités de la société Oppida 3. Évaluations La société Oppida est CESTI logiciel (Centre d'evaluation de la Sécurité des Technologies de l'information), agréé par les services gouvernementaux. Le décret 1 du 18 avril 2002, relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information, définit réglementairement le fonctionnement du schéma français de certification. Le but d'un CESTI logiciel est de tester la robustesse des produits de sécurité (Firewall *, VPN *, outils de chiffrement...). Les évaluations sont effectuées sur la base des Critères Communs 2 ou des ITSEC 3 (Information Technology Security Evaluation Criteria) et sont organisées selon le schéma français de certification par des évaluateurs agréés par la DCSSI IN02 (Direction Centrale de la Sécurité des Systèmes d'information). 4. Analyse de risques Les analyses de risques permettent de déterminer le niveau de sensibilité du système cible, d'exprimer les risques encourus et leurs impacts 1 Journal Officiel, Décret n du 18 avril 2002 * Voir glossaire 2 Critères Communs pour l évaluation de la sécurité des Technologies de l Information, version 2.1, Août 2005, CCMB , CCMB , CCMB Information technology - Security techniques - Evaluation criteria for IT security, version 2, 2005, ISO/IEC :2005, ISO/IEC :2005, ISO/IEC :2005 IN

11 Chapitre 1: Présentation de l'entreprise (pour l'entreprise) sur le système cible après l'analyse des enjeux. Elles permettent d'identifier les objectifs de sécurité du système sous forme d'exigences compatibles avec les Critères Communs (ISO 15408) ou ITSEC. Les analyses de risques et les études de besoins sont réalisées en suivant la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), recommandée par la DCSSI. 5. Audits de sécurité Les audits de sécurité permettent d'apprécier les mesures de sécurité et les risques liées au système d'informationrisques pesant sur le système d'information. A la suite de quoi, des préconisations techniques et organisationnelles destinées à être reprises sont établies sous forme de plans d'actions chiffrés et planifiés. L'audit est structuré sur la base d'entretiens puis de constats (relevés de configuration, etc.) sur les plates-formes techniques afin de déterminer objectivement les écarts par rapport au référentiel (méthodologique, technique, réglementaire voire législatif) de l'entreprise. Le support méthodologique utilisé pour l'audit est la norme ISO L'analyse des risques est conduite selon la logique de la méthode EBIOS recommandée par la DCSSI. L'audit peut également comporter des tests (internes ou externes) correspondant à la mise en oeuvre des risques identifiés afin de vérifier leur faisabilité technique. Durant mon stage, j'ai effectué un audit de sécurité pour le compte du Groupement d'intérêt Public spécialisé dans le domaine de la Santé. La description de l'audit que j'ai effectué pour ce client est présentée dans le chapitre Audits intrusifs Les audits intrusifs permettent de faire une "photographie" du système sous ses aspects sécurité (résistance aux menaces connues), d'identifier les risques auxquels le système d'information est exposé, en particulier dans le cas de son raccordement à Internet. A la fin de l'audit, des recommandations techniques et organisationnelles sont données pour l'amélioration du système. 7. Conseil en sécurité L'expertise peut couvrir l'ensemble des domaines de la Sécurité des Systèmes d'information (SSI). Les sujets abordés sont le plus souvent : les études d'architectures de sécurité, 4 Norme internationale ISO/IEC 17799:2005 Technologies de l information Techniques de sécurité Code de bonne pratique pour la gestion de la sécurité de l information

12 Chapitre 1: Présentation de l'entreprise l'assistance à l'intégration et à la validation de produits SSI, la réalisation de dossiers de sécurité (conformité aux Critères Communs) intégrant les spécifications fonctionnelles et techniques, l'assistance à l'élaboration de cahiers des charges, puis de dépouillement, l'assistance dans le cadre de projets

13 Chapitre 2 : Le projet Bugyo Chapitre 2 : Le projet Bugyo Chapitre 2 Le projet Bugyo 1. Présentation du projet 1.1.Partenaires du projet Le projet Bugyo (BUildinG security assurance in Open infrastructures) a été financé par le programme CELTIC (Cooperation for a European sustained Leadership in Telecommunications). CELTIC vise à renforcer la compétitivité de l'europe dans le domaine des télécommunications. Il favorise l'émergence de projets coopératifs de Recherche et de Développement entre les acteurs européens du secteur, permettant une approche intégrée des réseaux, des applications et des services de télécommunications. L'office CELTIC, géré par un consortium d'industriels, organise chaque année un appel à projets ouvert à tous les acteurs du secteur des télécommunications. Le projet Bugyo est un projet de Recherche européen auquel participent 12 entreprises et institutions publiques. Ces partenaires sont issus de divers pays (France, Luxembourg, Suède, Espagne, Israël,...), et de divers milieux (universités, opérateurs de télécommunication, cabinets de conseil en sécurité,...). La liste complète et détaillée des partenaires du projet Bugyo est contenue dans l'annexe 2.a intitulée liste des partenaires du projet Bugyo

14 Chapitre 2 : Le projet Bugyo 1.2.Organisation du projet La conception du projet Bugyo est divisée en 6 phases appelés Work Package (WP). Chaque Work Package est sous la responsabilité d'un seul et unique leader appelé Work Package Leader (WPL). Chaque Work Package est identifié par un numéro (de 1 à 6), et doit fournir des documents ou des programmes appelés livrables, dont le contenu a été clairement défini dès le début du projet. L'illustration 2 montre l'enchaînement des Work Packages. Légende: WP2 WP3 Extension de 3 mois du WP2 Extension de 3 mois du WP3 Illustration 2: Enchaînements des Work Packages dans le projet Bugyo Remarques : Oppida est responsable du Work Package 3. Comme le montre l'illustration 2, une extension de 3 mois a été autorisée par le CELTIC dans les délais de livraison. Les concepteurs du projet Bugyo disposent d'un site internet IN03 public présentant le projet. Cette partie du site est accessible à tout le monde. Les partenaires du projet disposent également d'un espace IN

15 Chapitre 2 : Le projet Bugyo sécurisé sur le site IN04 leur permettant à la fois de déposer les documents du projet (livrables, comptes rendus de réunion,...) et de visualiser l'état d'avancement du projet. L'authentification à l'espace sécurisé du site se fait par login / mot de passe. L'annexe 2.b intitulée Visualisation de l'avancement des tâches sur le site sécurisé montre l'avancement des tâches du WP Description du projet Bugyo Les grandes infrastructures de télécommunications sont distribuées, c'est-à-dire qu'elles sont composées de multiples sous réseaux interconnectés ou non et ayant chacun des caractéristiques différentes : localisation géographique, type d'équipement, niveau de sécurité requis,... Il n existe pas actuellement de moyens de mesurer en temps réel la confiance que les opérateurs et/ou les utilisateurs peuvent avoir dans la sécurité des infrastructures et des services associés ; c'est-à-dire la confiance dans le fait que la politique de sécurité définie par le responsable de l infrastructure surveillée, est respectée. Cette confiance est primordiale, notamment lorsqu une partie de l infrastructure est sous la responsabilité d un tiers qui s est engagé par contrat (SecLA : Security Level Agreement) à fournir un niveau de sécurité spécifié. L'objectif du projet Bugyo est de spécifier et de concevoir un outil pour mesurer ce niveau de confiance. Des travaux réalisés dans le cadre de Bugyo seront issus des guides, des méthodes et des outils. L'outil développé sera basé sur un middleware * à base d'agents mobiles qui collecteront sans perturber et de manière non intrusive des informations sur l'infrastructure de télécommunication. Ces informations seront récoltées par des applications commerciales ou libres telles que des outils de recherche de vulnérabilités, des analyseurs de protocoles, des vérificateurs d'intégrité,... appelés sondes (probes en anglais). Le projet Bugyo fournira un cockpit de sécurité, reposant sur l'outil Bugyo, qui informera les opérateurs sur le niveau de confiance (Assurance Level) dans la sécurité de leur infrastructure ou d une infrastructure opérée par un tiers mais sous leur contrôle. Le cockpit permettra de modéliser la politique de sécurité, d'identifier les domaines de l'infrastructure, de lancer des tests particuliers sur tels ou tels équipements spécifiques. L'annexe 2.c intitulée Official Bugyo Project Description est le document officiel rédigé au lancement du projet Bugyo. IN

16 Chapitre 2 : Le projet Bugyo 1.4.Architecture de Bugyo Le projet Bugyo a débuté en juin 2005, et la date de fin prévue est septembre Le budget total alloué à ce projet est de 6,2 millions d'euros. L'objectif du projet Bugyo est la conception d'un outil permettant de mesurer l'assurance de sécurité des grandes infrastructures de télécommunication et de fournir au niveau central un cockpit de sécurité permettant de visualiser l'adéquation d'une politique de sécurité vis à vis de l'ensemble de l'architecture de télécommunication. Cockpit de sécurité NMS Serveur C ommunication sécurisé SIM C ommunication sécurisée Multiplexeur Multiplexeur A gent A gent A gent Sonde Sonde Sonde Sonde O pérateur Base de données Illustration 3: Architecture du projet Bugyo Comme le montre l'illustration 3, l'architecture de Bugyo est composée des éléments suivants : 1 Cockpit de sécurité 1 Serveur 1..i multiplexeurs (MUX)

17 Chapitre 2 : Le projet Bugyo 1..j agents mobiles L'illustration 3 montre également la présence de quatre types de composants extérieurs au système Bugyo : 1..k sondes 0..l Network Management System (NMS) 0..m Security Incident Management (SIM) 2. Les composants internes au système Bugyo 2.1.Le cockpit de sécurité Le cockpit de sécurité de Bugyo n'est qu'une Interface Homme Machine (IHM) présentant les résultats de Bugyo. Le cockpit est constitué de trois écrans, chaque écran étant dédié à un aspect particulier de l'assurance de sécurité : L'écran central : présente grâce à des indicateurs de couleurs (rouge, orange, vert) le niveau d'assurance pour les objets surveillés (services de télécommunication, parties de l infrastructure, ). L'écran de gauche : permet de créer le modèle théorique de l'infrastructure (voir illustration 8) à partir de la topologie réelle de l'infrastructure. L'écran de gauche permet également d'attribuer des poids aux différents objets du modèle selon leur importance dans la réalisation de la politique de sécurité prédéfinie. Ces poids entreront directement dans le calcul du niveau d'assurance global. L'écran de droite : permet de visualiser les données remontées des sondes (traces, logs,...). Lorsque Bugyo indique un niveau d'assurance faible, ces traces permettront à un technicien de connaître exactement les raisons du faible niveau d'assurance et donc de pouvoir intervenir, relevant ainsi le niveau d'assurance et de sécurité

18 Chapitre 2 : Le projet Bugyo Ecran de gauche : Définition du modèle théorique à partir de la topologie réelle, attribution des poids,... Ecran central : Visualisation des niveaux d'assurance Ecran de droite : Visualisation des logs Illustration 4: Le cockpit de sécurité de Bugyo est composé de trois écrans. 2.2.Le serveur Le serveur inclus dans Bugyo a pour objectif de recevoir des agents mobiles des mesures, de les agréger afin de déterminer le niveau d'assurance de sécurité réel du réseau de télécommunication. 2.3.Les multiplexeurs Les multiplexeurs (MUX) jouent le rôle de dispatcher. Chaque requête (message XML, voir partie 5.6.a du chapitre 2 pour plus de détails sur ces requêtes) envoyée par le serveur est découpée par le multiplexeur en sous-requêtes (voir partie 5.6.b du chapitre 2 pour plus de détails sur ces sous-requêtes, le multiplexeur envoie ensuite chaque sous-requête à un agent mobile capable de traiter cette dernière (voir la partie 5.5 pour comprendre comment le MUX découpe et distribue les sous-requêtes). Lorsque l'agent reçoit une sous-requête, il la traite, puis renvoie le résultat de la sous-requête au multiplexeur. Le multiplexeur reçoit le résultat des sousrequêtes, les concatène pour former le résultat global de la requête, puis renvoie ce résultat au serveur. Les multiplexeurs sont contenus dans des boîtes noires appelées appliance, où les sondes sont installées

19 Chapitre 2 : Le projet Bugyo 2.4.Les agents mobiles Les agents mobiles sont des codes capables de se déplacer d'entités en entités, d'exécuter du code sur une entité et de communiquer avec d'autres agents. Les agents sont dédiés à une ou plusieurs sondes, c'est-à-dire qu'ils sont capables d'interroger une sonde pour lui demander une ou plusieurs mesures pour une ou plusieurs Network Entity. 3. Les composants externes au système Bugyo 3.1.Les sondes (Probe) Les sondes sont des outils issus du commerce ou du logiciel libre, dédiés à l'analyse des Network Entities. Il est prévu que les intervenants du WP3 développent certaines sondes pour des besoins particuliers de Bugyo. L'annexe 2.d intitulée Liste des sondes montre quelques unes des sondes utilisées lors des démonstrations de Bugyo. Pour certains besoins spécifiques de Bugyo, nous avons dû concevoir et développer une sonde dédiée à l'analyse de configuration et de vulnérabilités. La partie 6 du chapitre 2 explique en détails la conception/développement d'une sonde OVAL (Open Vulnerability and Assessment Language). 3.2.Les Network Entities (NE) Les Network Entities sont les entités sous la responsabilité de Bugyo, c'est-à-dire des éléments stratégiques d'un réseau de télécommunication en matière de sécurité, de disponibilité, d'intégrité,... Les NEs peuvent être des PCs, des serveurs ou d'autres éléments tels que les IP Phones, Firewall,... les NE ne sont pas forcément sous le contrôle de Bugyo, ils sont alors dénommés unmanaged. 3.3.Network Management System (NMS) Les NMS sont une combinaison de matériels et de logiciels open source ou propriétaires dédiés à la gestion et à l'administration des réseaux. Parmis les NMS les plus connus sont HP Openview IN05, IBM Tivoli IN06, BMC Patrol IN07, Nagios IN08, JFFNMS IN09, NetGear ProSafe IN10,... Bugyo doit donc fournir des IN05 IN06 IN07 IN08 IN09 IN

20 Chapitre 2 : Le projet Bugyo interfaces standards permettant à n'importe quel NMS de pouvoir s'interfacer au serveur Bugyo. 3.4.Security Incident Management (SIM) Les SIM sont des outils ou des procédures permettant de gérer les différents incidents de sécurité pouvant survenir dans un réseau. 4. WP2 : Le modèle Bugyo La conception du modèle Bugyo est sous la responsabilité du Work Package 2. Comme le montre l'illustration 2, les travaux sur le WP2 ont débuté en juin 2005 et doivent se terminer en septembre Les principaux intervenants Le responsable du WP2 est le Centre de Recherche Public Henri Tudor (CRPHT). Les principaux intervenants dans la conception du WP2 sont l'université de Karlstad, l'ecole Nationale Supérieure de Télécommunication (ENST), Alcatel, le Centre de Recherche Public Henri Tudor et Oppida. Les meeting les plus importants concernant le WP2 ont eu lieu à l'université de Karlstad (Suède), au siège d'eads Telecom (Paris) et d'alcatel (Paris). Un autre meeting à Nice dans les locaux de l'european Telecommunications Standards Institute (ETSI) est également prévu les 18 et 19 septembre Objectifs du modèle Le modèle de l'agrégation sera implémenté dans le serveur Bugyo, son rôle sera l'agrégation des données renvoyées par les multiplexeurs afin de calculer un niveau d'assurance (Assurance Level) et un niveau de conformité (Compliance Level). 4.2.a.Les métriques La notion de méta-métrique dans Bugyo est très importante, une méta-métrique peut contenir une ou plusieurs métriques. En vue de l agrégation qui aboutira au niveau d assurance global, la valeur de chacune des métriques est normalisée (6 valeurs de 0 à 5). A l issue de l agrégation, on obtiendra le niveau d assurance global, lui aussi normalisé (6 valeurs de 0 à 5). Il existe trois types de métriques, et une métrique ne peut appartenir qu'a un et un seul groupe : 1. Sécurité : ensembles des mesures liées à la

21 Chapitre 2 : Le projet Bugyo confidentialité, l'intégrité, l'authenticité, l'intégrité,... des éléments dans le réseau. 2. Disponibilité : ensemble des mesures liées au Moyen Temps de Bon Fonctionnement (MTBF), activation du service, Qualité des Services : Mesures liées à la bande passante du réseau, temps de réponse du service,... Une métrique représente un ensemble de valeurs correspondant à des vérifications (checks). Il existe trois groupes de vérifications, et une vérification ne peut appartenir qu'à un et un seul groupe : 1. Organisationnelle : Vérifications liées à la présence et à l'application des politiques de sécurité, des guides de bonne pratique. Un exemple de vérification organisationnelle : «Vérifier que le serveur DHCP X est situé en salle blanche à accès authentifié». 2. Technique : Vérifications purement techniques dont les mesures peuvent être réalisées entièrement par des sondes. Un exemple de vérification technique : «Vérifier que les clés de chiffrement du serveur d'authentification sont supérieures ou égales à 1024 bits». 3. Opérationnelle : Ensemble des vérifications qui sont ni organisationnelles, ni techniques. Metrique Securité Disponibilité QdS Méta- Métrique Org. Tech. Op. Org. Tech. Op. MétriqueOrg. Tech. Op. Check 1 Check 2.. Check i Check 1 Check 2 Check 3... Check j Check 1 Check 2 Check 3 C hecks... Check k Check 1 Check 2 Check 1 Check 2... Check l Illustration 5: Représentation d'une métrique

22 Chapitre 2 : Le projet Bugyo 4.3.Le niveau d'assurance Le niveau d'assurance indique la qualité d'une métrique. Assurance Illustration 6: Les 5 niveaux d'assurance dans Bugyo Actuellement le contenu et la définition de chacun des niveaux ne sont pas encore fixés. La notion de niveau d'assurance dans Bugyo est basée sur celle définie dans les Critères Communs IN11 ). Les Critères Communs sont un référentiel permettant de certifier les applications ou matériels de sécurité selon un niveau d'assurance appelé EAL (Evaluation Assurance Level). Les critères communs permettent entre autre une reconnaissance internationale du niveau de sécurité des logiciels ou matériels certifiés. Dans les Critères Communs il existe 7 niveaux EAL, chacun ayant une définition et un niveau de sécurité spécifique. L'illustration 17 intitulée Les 7 niveaux d'assurance dans les CC présente les 7 niveaux EAL dans les CC. 4.3.a.Le niveau de conformité Le niveau de conformité (Compliance Level) indique le niveau de confiance que l'on peut attribuer à un niveau d'assurance donné par Bugyo. L'objectif est d afficher le niveau d assurance mais les données brutes (les métriques) seront disponibles sur le serveur Bugyo et pourront donc être utilisées par d'autres outils pour des audits de conformité, de sécurité ou de configuration. 4.4.L'agrégation L'agrégation consiste, à partir de plusieurs métriques, à calculer le niveau d'assurance général. Le problème est le suivant : à partir de n métriques dont on connaît le détails des mesures (résultats des vérifications), comment déterminer un niveau d'assurance global? Actuellement aucune formule d'agrégation n'a été retenue. Plusieurs formules sont actuellement à l'étude (linéaire, logarithmique,...). Le choix de la formule d'agrégation est stratégique, puisque selon la fonction retenue, les résultats IN

23 Chapitre 2 : Le projet Bugyo peuvent grandement différer. 4.5.Conception du modèle Pour contrôler l'assurance d'un réseau de télécommunication, Bugyo ne se base pas sur la topologie réelle du réseau, mais sur une modélisation de ce dernier. Pour pouvoir utiliser Bugyo, il est donc absolument nécessaire de créer un modèle théorique du réseau à partir de la topologie réelle. L'illustration 7 montre la topologie réelle d'un réseau VOIP. Le modèle de l'infrastructure (illustration 8), conçu sur la base de la topologie réelle du réseau (illustration 7), est défini grâce à l'écran de gauche du cockpit Bugyo. Illustration 7: Topologie réelle d'un réseau VOIP

24 Chapitre 2 : Le projet Bugyo Illustration 8: Modèle de l'infrastructure VOIP 5. WP3 : le développement du système multi-agents pour Bugyo 5.1.Les principaux intervenants Le responsable du WP3 est Oppida. Les principaux intervenant dans le WP3, c'est-à-dire la conception et l'implémentation du middleware Bugyo sont Oppida, le CRPHT, et Telindus. 5.2.La plateforme multi agent Dans le cadre du WP3, nous avons dû réaliser, en collaboration avec le CRPHT, un état de l'art des principales plateformes multi agent existantes (Multi Agent System : MAS). Les plateformes étudiées ont été JADE IN12 (Java Agent Developpment Framework), Aglet IN13 d'ibm, et Tryllian IN14 Agent Developpment Kit. Finalement, IN12 IN13 IN

25 Chapitre 2 : Le projet Bugyo JADE est la plateforme multi agent qui a été retenue pour le projet Bugyo. L'annexe 2.e intitulée Etude de Jade montre l'étude de Jade que nous avons mené dans le cadre du WP3. L'annexe 2.f intitulée Analyse comparative des MAS montre le tableau comparatif des différentes MAS ainsi que les raisons pour lesquelles nous avons opté pour Jade. Jade est un framework * de développement d'agent en Java. Les trois critères déterminants dans le choix de JADE ont été la maturité du projet, sa licence LGPL *, et son utilisation par de grands opérateurs de télécommunication européens : France Telecom, Telecom Italia La plateforme de test Afin de tester les différentes technologies à base d'agents mobiles, nous avons réaliser une plateforme de test VOIP. Nous avons commander deux serveurs DELL, ainsi que 2 téléphones IP de marque PolyCOM pour une valeur totale de Pour des raisons d'économie, la plateforme a été totalement virtualisée en utilisant l'outil VMWare IN15. Cette virtualisation a permis d'héberger sur une même machine physique DELL plusieurs serveurs logiques (DNS, DHCP, TFTP,...). Nous avons également volontairement diversifier les systèmes d'exploitation de cette plateforme de test : Windows 2003 server, FreeBSD, RedHat Fedora Core 4, Ubuntu... pour refléter au mieux l'hétérogénéité des grandes infrastructures de télécommunication. L'illustration 9 intitulée La plateforme de test Bugyo montre la plateforme de test que nous avons réalisée. On constate sur l'illustration 9 les termes MAS Control Platform et MAS Runtime Platform. Le rôle du MAS Control Platform est la gestion centralisée des agents : il répertorie les agents, les entités sur lesquelles les agents sont présents. Quelque soit la taille de l'infrastructure gérée par Bugyo, il n'y a qu'un MAS Control Platform qui est hébergé sur le serveur Buggyo. Les MAS Runtime Platform gèrent localement les agents (création, migration,...). Une MAS Runtime Platform doit être présente sur chaque Network Entity sous le contrôle de Bugyo. * Voir glossaire IN

26 Chapitre 2 : Le projet Bugyo. MAS runtime Environment. Java Runtime MUX. Probes : Nessus (and its agent) Hydra (and its agent) MUX Snort (and its agent) (FreeBSD 6.1). MAS C ontrol Platform. Java Runtime NE4. PolyC om Soundpoint 601 Bugyo Server C isco PIX Router NE5. PolyC om Soundpoint 601 NE1 (Windows 2003 server). Domain Name C ontroller. Active Directory. DHC P server. DNS server NE2 (Windows 2003 server) NE3 (Fedora Core 4). Radius server. IPBX (SIPX) Illustration 9: La plateforme de test Bugyo * Voir glossaire 5.4.Le Bugyo Agent Developpement Kit 5.4.a.Le rôle d'un agent Bugyo 5.4.b.Design Pattern du BADK Un des enjeux de Bugyo est son adaptation aux différentes sondes. L'effort d'intégration de nouvelles sondes dans Bugyo doit être minime. L'intégration d'une sonde dans Bugyo ne repose que sur la conception d'un agent approprié, c'est-à-dire un agent capable de commander la sonde et de remonter les mesures effectuées. Nous avons donc conçu un Design Pattern * des agents Bugyo. Ce design pattern permet de formaliser et de standardiser la totalité des agents Bugyo. La conception du design pattern a demandé un effort important au WP3, mais cela permet de réduire considérablement les temps de développement des agents dans Bugyo. Nous estimons que le temps de développement des agents

27 Chapitre 2 : Le projet Bugyo a été divisé par 5! En effet le temps moyen d'implémentation d'un agent est désormais d'un jour. Nous avons encore optimisé et standardisé la création des agents Bugyo en fournissant un document modèle que les concepteurs d'agents doivent remplir. Ce document, donné en annexe 2.g et intitulée Template Document for creating Bugyo agents permet de partager la création des agents entre deux types de personnel différent : 1. Ceux qui connaissent la sonde (commandes à exécuter, paramètres à fournir à la sonde,...). Ce sont eux qui remplissent le document fourni en annexe 2.g. Ces personnes sont souvent des intégrateurs. 2. Ceux qui implémente les agents à partir du document Template rempli. Ces personnes sont des développeurs. L'illustration 10 intitulée Design Pattern des agents Bugyo montre le diagramme de classe simplifié du Design Pattern Bugyo. L'annexe 2.h intitulé Diagramme de classe du BADK montre le diagramme de classe détaillé du Design Pattern des agents Bugyo. Illustration 10: Design Pattern des agents Bugyo La classe jade.core.agent est issue du framewok JADE. Les classes ServerAgent et ApplianceAgent héritent de la classe jade.core.agent. Ces deux classes contiennent des méthodes implémentées par le WP3. L'instanciation de ces classes créera un agent serveur et un agent appliance qui seront respectivement créés sur le serveur Bugyo et les multiplexeurs. La classe GenericProbeAgent hérite également de la classe jade.core.agent. C'est dans cette classe GenericProbeAgent que sont implémentées les APIs standards développées par le WP3. Le détails (nom, paramètres,...) et la description des ces APIs

28 Chapitre 2 : Le projet Bugyo standards sont données dans l'annexe 2.i intitulée Détails de conception du BADK. 5.5.Dynamique des échanges L'illustration 11 intitulée Dynamique des échanges dans Bugyo montre les différents échanges entre les serveurs, les appliances et les agents dans Bugyo. Illustration 11: Dynamique des échanges dans Bugyo L'enchaînement des échanges dans Bugyo est détaillé dans l'illustration

29 Chapitre 2 : Le projet Bugyo Etape 1 Etape 2 Etape 3 Etape 4 Etape 5 Etape 6 Etape 7 Etape 8 Le serveur Bugyo envoie une requête (message XML) à l'appliance. Cette requête associe les métriques souhaités pour un ensemble de NEs. Cette requête peut être traduite en langage naturel par la question suivante : Quelles sont les valeurs des métriques pour telles NEs. L'appliance reçoit la requête du serveur, et identifie les métriques demandées par le serveur. Pour chaque métrique (identifiée par un numéro unique), l'appliance consulte dans l'annuaire (Rôle Directory) les agents capables de réaliser la métrique. L'appliance découpe la requête du serveur en plusieurs sous-requêtes (message XML) et distribue ces sous requêtes aux agents capables de réaliser les métriques (agents identifiés dans l'étape 3). L'agent exécute via une ou plusieurs lignes de commande un processus lié à la sonde (probe). Le processus de la sonde est terminé. La sonde a produit un fichier de logs,... L'agent récupère ce fichier de logs, et récupère les informations nécessaires aux métriques, puis complète la sous-requête. L'appliance reçoit les réponses (traitement asynchrone) des agents auxquels il a envoyés les sous requêtes. L'appliance agrège ces sous requêtes pour former une réponse (message XML) à la requête envoyée par le serveur Bugyo à l'étape 1. Illustration 12: Etapes des échanges dans Bugyo Une présentation de Bugyo a été effectué au Centre de Recherche Henri Tudor au Luxembourg lors les 28, 29, et 30 juin 2006 lors de la présentation d avancement du projet aux représentants de CELTIC MTR (Mid-Term Review). L'annexe 2.j intitulée Articles parus dans la presse à propos de Bugyo présente deux articles issus de la presse luxembourgeoise sur le projet Bugyo. 5.6.Formats des messages Les agents communiquent par messages (ou requêtes). Dans le cadre du WP3 nous avons définis la Document Type Definition (DTD) des messages XML. Les DTD de ces messages sont disponibles dans l'annexe 2.k intitulée DTD des messages échangés dans Bugyo

30 Chapitre 2 : Le projet Bugyo 5.6.a.Les requêtes L'illustration 13 montre les messages échangés entre le serveur Bugyo et les différents multiplexeurs. 1 ID de la métrique 2 ID de la mesure (check) 3 Adresse du NE cible (IP) 4 Valeur de la mesure (booléen, chaîne de caractère, entier,...) 5 Tout ou partie du fichier de logs créé par la sonde Illustration 13: Format des échanges entre le serveur et les multiplexeurs Comme le montre l'illustration 13, il existe 5 types d'éléments variables dans les messages échangés entre le serveur Bugyo et les multiplexeurs : 1. ID de la métrique : chaque métrique est identifiée par un numéro unique. Cette valeur est renseignée dès l'étape 1 de l'illustration

31 Chapitre 2 : Le projet Bugyo 2. ID de la mesure : chaque mesure est identifiée par un numéro unique. Cette valeur est renseignée dès l'étape 1 de l'illustration Adresse du NE cible : cette donnée représente l'adresse de la cible. Cette adresse peut être le nom de la machine ou simplement son adresse IP. Cette valeur est renseignée dès l'étape 1 de l'illustration Valeur de la mesure : valeur de la mesure retournée par la sonde. Cette valeur peut être un entier, un flottant, une chaîne de caractères ou un booléen. Cette valeur n'est pas renseignée dès l'étape 1 de l'illustration 12, mais uniquement à l'étape Logs de la sonde : traces remontées par la sonde. Ces traces sont des chaînes de caractères extraites de fichiers de logs, de configuration,... Cette valeur n'est pas renseignée dès l'étape 1 de l'illustration 12, mais uniquement à l'étape b.Les sous requêtes L'illustration 14 montre le format des messages échangés entre les agents et les multiplexeurs. 2 ID de la mesure (check) 4 Valeur de la mesure (booléen, chaîne de caractère, entier,...) 3 Adresse du NE cible (IP) Illustration 14: Format des échanges entre les multiplexeurs et les agents 5 Tout ou partie du fichier de logs créé par la sonde Remarque : les éléments 2, 3, 4 et 5 sont identiques aux éléments identifiés dans le paragraphe 5.6.a

32 Chapitre 2 : Le projet Bugyo 6. Conception d'une sonde OVAL 6.1.Objectifs de la conception d'une sonde OVAL 6.2.Présentation d'oval Open Vulnerability and Assessment Language IN16 (OVAL) est un format standard et international dédié à l'analyse des vulnérabilités des systèmes d'informations. OVAL a été créé par le United States Computer Emergency Readiness Team IN17 (US-CERT) au Département de la Sécurité Interieure américain (United States Department of Homeland Security). OVAL définit la DTD de trois formats XML pour, chacun étant utilisé à une étape différente de l'analyse de vulnérabilités. Voici la présentation de ces trois formats : OVAL Definition Schema: définit les conditions qui doivent exister sur le système pour que ce dernier soit vulnérable. System Characteristics Schema: contient les caractéristiques du système informatique. OVAL Result Schema: contient les résultats de l'analyse de vulnérabilité. L'étude que j'ai menée durant mon stage sur l'intégration d'oval en tant que sonde dans le projet Bugyo a été distribuée à l'ensemble du WP2 et du WP3 et est disponible en annexe 2.l intitulée Etude du format OVAL. IN16 IN

33 Chapitre 2 : Le projet Bugyo Alertes de sécurité Les organismes de sécurité publient les vulnérabilités Il existe des outils commerciaux et libres pour réaliser cette étape OVAL Definition are generated Les alertes de sécurité sont codées dans le format XML Defintion OVAL Definition (fichier XML) OVAL System Characteristics (fichier XML) Récolte des donnés de la cible Les caractéristiques du système sont extraites Analyse OVAL Les données du systèmes (étape 3) et la défintion des vulnérabilités (étape 2) sont comparées pour déterminer si le système est vulnérable ou non. Il existe des outils cmmerciaux et libres pour réaliser cette étape OVAL Results (fichier XML) Le résultat de l'analyse de vulnérabilité est formattée XML Illustration 15: Analyse de vulnérabilités avec OVAL Explications des 5 étapes identifiées dans l'illustration 15 : Etape 1: Les vulnérabilités sont découvertes, référencées avec un identifiant unique CVE IN18 (Common Vulnerabilities and Exposures) constituant ainsi un dictionnaire mondial et standardisé contenant toutes les vulnérabilités connues. Etape 2: Pour chaque identifiant CVE, le fichier de définition (OVAL Définiton File) correspondant est créé. Ce fichier de définition contient entre autre l'identifiant CVE, la description de la vulnérabilité, et l'ensemble des tests à réaliser pour déterminer si le système est vulnérable ou non. Etape 3: Pour chaque fichier XML de Definition OVAL, les caractéristiques sont extraites du système à analyser et conservées dans le fichier XML System Characteristic. Il existe des produits IN

34 Chapitre 2 : Le projet Bugyo commerciaux et libres qui pour un fichier de définition sont capables de produire le fichier de caractéristiques correspondant. Etape 4: Le caractéristiques extraites du système (fichier OVAL System Characteristics) sont comparées au caractéristiques d'un système vulnérable (fichier OVAL Definition). Il est donc désormais possible de savoir si le système audité est vulnérable à tel ou tel menace. Etape 5: Finalement, un rapport contenant toutes les vulnérabilités découvertes sur le système est créé et formaté selon la DTD d'un fichier OVAL Result. Les outils commerciaux ou libres, utilisés pour extraire les caractéristiques du système à partir des fichiers de définition, et pour produire le rapport final à partir de la comparaison des fichiers de définition et des caractéristiques du système sont appelés interpréteurs. Le MITRE *IN19 publie sur son site internet le code source, sous licence BSDL *, d'un interpréteur OVAL. C'est cet interpréteur que j'ai utilisé pour la réalisation du prototype de sonde OVAL. IN19 * Voir glossaire 6.3.Conception de la sonde distribuée OVAL 6.3.a.Les limites de l'interpréteur OVAL actuel La principale limite de l'interpréteur OVAL fournit par MITRE est la suivante : l'interpréteur ne fonctionne pas sur le modèle client/serveur, et donc nécessite que l'interpréteur soit installé sur chaque machine dont on veut connaître les vulnérabilités. De même, l'exécution de l'interpréteur, c'est-à-dire l'analyse de vulnérabilité, ne peut se faire qu'en local. 6.3.b.Le prototype distribué OVAL L'objectif de la conception du prototype OVAL est de créer un interpréteur OVAL de type client serveur à base d'agents mobiles permettant d'exécuter à distance l'interpréteur OVAL sur n'importe quelle machine dont on veut connaître les vulnérabilités. La solution d'agent mobile retenue a été Aglet d'ibm. La conception de la sonde OVAL (basée sur Aglet) a débuté avant la conception du système multi-agent de Bugyo (basé sur Jade). Dans la cas de la sonde OVAL, Jade pourrait très bien se substituer à Aglet pour la gestion des agents. L'utilisation d'aglet pour la sonde OVAL ne pose aucun problème d'intégration de la sonde

35 Chapitre 2 : Le projet Bugyo dans Bugyo, puisque cette sonde peut être considérée comme une boîte noire. L'avantage du prototype est qu'il n'est pas nécessaire que l'interpréteur OVAL soit installé sur la machine auditée. En effet, c'est désormais le serveur OVAL qui va transporter, via des agents mobiles qui migrent du serveur vers les cibles, l'interpréteur OVAL. L'annexe 2.m intitulée Détails de conception du prototype de sonde distribuée OVAL présente le document que j'ai rédigé dans le cadre du WP3 pour décrire le prototype OVAL que j'ai conçu. Illustration 16: Fonctionnement du prototype OVAL Les différentes étapes de fonctionnement du prototype OVAL sont les suivantes : Etape 0 L'interface Bugyo demande un audit de configuration pour une ou plusieurs Network Entities (NE) d'un domaine. Cette demande peut être représentée de la manière suivante :

36 Chapitre 2 : Le projet Bugyo (<IP_NE.1 DefinitionFile1>, <IP_NE.2 DefinitionFile2>) où IP_NE.X représente le nom, ou l'adresse IP de la machine a auditer et DefinitionFileX représente le chemin (local ou distant) vers le fichier XML Definition contenant l'ensemble des tests de configuration de la Network Entity X. Etape suivante : étape 1. Etape 1 Si les chemins vers les fichiers de définition et/ou l'interpréteur sont distants, la sonde OVAL va télécharger ces données pour les enregistrer en local. Etape suivante : étape 2. Etape 2 La sonde OVAL calcule le condensat MD5 de l'interpréteur OVAL, ainsi que celui du fichier de Definition. La valeurs de ces condensats permettra de vérifier l'intégrité et la mise à jour des données. Etape suivante : étape 3. Etape 3 Un agent est créé en local sur la sonde OVAL. L'agent intègre dans son code le condensat MD5 de l'interpréteur et du fichier Definition. Etape suivante : étape 4. Etape 4 Etape 5 L'agent migre de la sonde OVAL vers la Network Entity X. Etape suivante : étape 5. Si un interpréteur OVAL est déjà présent et à jour sur la Network Entity X ET si un fichier de Definition est présent et à jour sur la Network Entity X, l'agent va exécuter l'interpréteur OVAL et attendre la création du fichier de résultat OVAL. Lorsque le fichier OVAL Result est créé, cela signifie que l'audit de configuration est terminé. Remarque : La vérification de la mise à jour se fait par comparaison des condensat MD5 entre les données présentes sur la sonde OVAL et celles présentes sur la Network Entity X. Etape suivante : Si l'interpréteur est présent et à jour ET que le fichier de Definition est présent et à jour sur la Network Entity X, l'agent va à l'étape 9. Sinon l'agent va à l'étape 6. Etape 6 L'agent migre de la Network Entity X vers la sonde OVAL dans

37 Chapitre 2 : Le projet Bugyo le but d'intégrer dans son code les données manquantes ou non à jour sur NEX, c'est-à-dire l'interpréteur OVAL et/ou le fichier de Definition. Etape suivante : étape 7. Etape 7 L'agent intègre dans son code les données manquantes ou non à jour sur NEX. Etape suivante : étape 8. Etape 8 L'agent contenant désormais dans son code les données manquantes ou non à jour sur NEX, migre de la sonde OVAL vers NEX. Etape suivante : étape 5. Etape 9 L'agent contenant le fichier de résultat OVAL nettoie les fichiers qu'il a extrait, puis migre de NEX vers la sonde OVAL. Etape suivante : étape 10. Etape 10 L'agent copie le fichier de résultat généré sur NEX sur la sonde OVAL. L'agent est tué. Etape suivante : Aucune. L'audit de configuration est terminé

38 Chapitre 3 : Certification EAL2+ d'un Profil de Protection Chapitre 3 : Certification EAL2+ d'un Profil de Protection Chapitre 3 Certification EAL2+ d'un Profil de Protection 1. Qu'est-ce que la certification? La certification a pour objectif de permettre à toute entreprise de faire certifier des produits ou des systèmes relatifs aux technologies de l'information, en terme de confidentialité, de sécurité La mise en oeuvre de l'évaluation est confiée à la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI). La DCSSI est un département du Secrétariat général de la défense nationale (SGDN), service du Premier ministre et responsable de tout ce qui touche à la sécurité nationale. C est par exemple le SGDN qui fixe le niveau d alerte de Vigipirate et a défini les règles associées.en tant qu'organisme de certification, la DCSSI procède à la délivrance des certificats. Les évaluations sont réalisées par les Centres d'evaluation de la Sécurité des Technologies de l'information (CESTI). Les CESTI sont agréés par la DCSSI. Oppida est l'un des deux CESTI logiciel en France. Au terme de l'évaluation, le CESTI rédige un rapport technique d'évaluation remis à l'entreprise évaluée et à la DCSSI. La DCSSI délivre ensuite ou non le certificat attestant que le produit a été certifié

39 Chapitre 3 : Certification EAL2+ d'un Profil de Protection Illustration 17: Les étapes d'une certification Le processus de certification est un processus qui peut être long (de 6 à 18 mois en général), et dépend du niveau de certification. Au 1er Janvier 2005, la DCSSI n'a que 5 CESTI agréés. Chaque CESTI dispose de son propre domaine de compétence : cartes à puces, logiciel,... Il existe 2 CESTI spécialisés dans les logiciels et 3 CESTI spécialisés dans le matériel. La répartition des certificats attribués selon le type de produits certifiés est disponible dans l'annexe 3.a intitulée Répartition des produits certifiés en Les enjeux de la certification La certification peut être un processus long et coûteux pour les entreprises d'une part, et d'autre part le résultat n'est pas garanti. Les principales raisons d'une certification sont : 1. Marketing : La certification est avant tout un avantage commercial. Un client préférera toujours utiliser une application certifiée, même s'il devra la payer un peu plus cher. 2. L'inversion de la charge de la preuve 56 : Dans le cadre d'un litige opposant l'utilisateur et le créateur d'une application de signature électronique certifiée, c'est désormais à l'utilisateur d'apporter les preuves du litige et de démontrer que l'application n'a pas répondu conformément aux spécifications. 5 Journal Officiel, Loi n du 13 mars Journal Officiel, Décret n du 30 mars

Date : 29/10/2015 Version : v 0.4 IDENTIFICATION DU POSTE. Intégrateur d applications Administrateur d outils A ou contractuel de droit public

Date : 29/10/2015 Version : v 0.4 IDENTIFICATION DU POSTE. Intégrateur d applications Administrateur d outils A ou contractuel de droit public FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : Prénom : RESPONSABLE HIERARCHIQUE DIRECT Nom : Aziz Prénom : Bénédicte Visa : Visa : Date : 29/10/2015

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Le client/serveur repose sur une communication d égal à égal entre les applications.

Le client/serveur repose sur une communication d égal à égal entre les applications. Table des matières LES PRINCIPES DE BASE... 1 Présentation distribuée-revamping...2 Présentation distante...3 Traitements distribués...3 données distantes-rd...4 données distribuées-rda distribué...4 L'ARCHITECTURE

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

ProCurve Manager Plus 2.2

ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 est une plate-forme de gestion de réseau avancée basée sur Windows qui fournit à l administrateur des écrans simples à utiliser et détaillés pour configurer,

Plus en détail

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION : Bourse de l emploi Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION : Deux (02) Ingénieurs Sécurité Système d Information Direction Qualité, Méthodes

Plus en détail

L évaluation à haut niveau d assurance

L évaluation à haut niveau d assurance L évaluation à haut niveau d assurance Agréé DCSSI Vos contacts : ACCREDITATION N 1-1528 Section Laboratoires Christophe ANIER (Responsable Technique du CESTI) christophe.anier@aql.fr Christian DAMOUR

Plus en détail

Description et illustration du processus unifié

Description et illustration du processus unifié USDP Description et illustration du processus unifié Définit un enchaînement d activités Est réalisé par un ensemble de travailleurs Avec des rôles, des métiers Avec pour objectifs de passer des besoins

Plus en détail

Vers la certification des applications Java Card TM

Vers la certification des applications Java Card TM AS CNRS Sécurité logicielle : modèles et vérification Vers la certification des applications Java Card TM sauveron@labri.u-bordeaux.fr http://dept-info.labri.u-bordeaux.fr/~sauveron 20-21 février 2003

Plus en détail

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/05 Routeur chiffrant

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

Certification de produits

Certification de produits Certification de produits Eric ROUAIX Bureau Veritas Sommaire Introduction à Bureau Veritas Définition et principes de lévaluation de conformité Les enjeux de la certification Quid de la certification

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

PREMIER MINISTRE NOTE D APPLICATION

PREMIER MINISTRE NOTE D APPLICATION PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 15 mai 2006 N 1083/SGDN/DCSSI/SDR Référence : NOTE/06.1 NOTE D APPLICATION

Plus en détail

CAHIER DES CHARGES D IMPLANTATION

CAHIER DES CHARGES D IMPLANTATION CAHIER DES CHARGES D IMPLANTATION Tableau de diffusion du document Document : Cahier des Charges d Implantation EVRP Version 6 Etabli par DCSI Vérifié par Validé par Destinataires Pour information Création

Plus en détail

CONDUITE & GESTION DE PROJET

CONDUITE & GESTION DE PROJET LES THEMES DU PROGRAMME PEDAGOGIQUE CONDUITE & GESTION DE PROJET Techniques de gestion de projets Connaître le rôle d un chef de projet dans la conduite de projet. Les méthodes, les techniques et les outils

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail

Audits Sécurité. Des architectures complexes

Audits Sécurité. Des architectures complexes Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs

Plus en détail

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 6 Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 Contrôle technique de la continuité de l assurance d une TOE certifiée Août 2005 ii Version

Plus en détail

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges Cahier des charges des dispositifs de télétransmission des actes Annexe 2 : sécurisation des échanges Page 2 / 7 1. OBJET DU DOCUMENT...3 2. PRINCIPES...3 3. SÉCURISATION DES DÉPÔTS DE FICHIERS SUR LES

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

M1805 - Études et développement informatique

M1805 - Études et développement informatique Appellations (Banque - Gestion de projet / Business analyst) Analyste fonctionnel / fonctionnelle informatique Définition M1805 - Études et développement informatique Conçoit, développe et met au point

Plus en détail

Rapport de certification 2001/24

Rapport de certification 2001/24 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Intitulé du poste : Ingénieur Réseau et télécommunication, chef de projet

Intitulé du poste : Ingénieur Réseau et télécommunication, chef de projet Le CROUS de Nantes recrute : Identification du Poste Direction ou service : DSI Intitulé du poste : Ingénieur Réseau et télécommunication, chef de projet Catégorie (ou Corps/Grade) : A / Ingénieur d'étude

Plus en détail

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Exemple d examen EXIN Cloud Computing Foundation Édition Septembre 2012 Droits d auteur 2012 EXIN Tous droits réservés. Aucune partie de cette publication ne saurait être publiée, reproduite, copiée, entreposée

Plus en détail

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active

Plus en détail

Fiche de l'awt Travailler avec un consultant dans le secteur TIC

Fiche de l'awt Travailler avec un consultant dans le secteur TIC Fiche de l'awt Travailler avec un consultant dans le secteur TIC Comment travailler avec des consultants dans le domaine des technologies de l'information et de la communication (contrat, suivi, check-list,

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information : Annonces internes Sonatrach recherche pour sa DC Informatique et Système d Information : Un Directeur Système d Information Système d Information Gestion Système d Information Métier Décisionnel et Portail

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

Télésanté Aquitaine Version : 1.0 18/02/2011. TéléSanté Aquitaine. Cahier des Clauses Techniques Particulières CTTP

Télésanté Aquitaine Version : 1.0 18/02/2011. TéléSanté Aquitaine. Cahier des Clauses Techniques Particulières CTTP Télésanté Aquitaine Version : 1.0 18/02/2011 TéléSanté Aquitaine Formalisation d'une PSSI et d'une Charte de sécurité informatique Cahier des Clauses Techniques Particulières CTTP Marché passé selon une

Plus en détail

equalogic Qualité contact@equalogic.fr - www.equalogic.fr

equalogic Qualité contact@equalogic.fr - www.equalogic.fr equalogic Qualité contact@equalogic.fr - www.equalogic.fr Présentation générale equalogic Qualité est un logiciel de gestion de la qualité. Il s adresse à toute entreprise, certifiée ou non, soucieuse

Plus en détail

Annexe : La Programmation Informatique

Annexe : La Programmation Informatique GLOSSAIRE Table des matières La Programmation...2 Les langages de programmation...2 Java...2 La programmation orientée objet...2 Classe et Objet...3 API et Bibliothèque Logicielle...3 Environnement de

Plus en détail

Présentation générale des Web Services

Présentation générale des Web Services Présentation générale des Web Services Vue Globale Type d'architecture reposant sur les standards de l'internet Alternative aux architectures classiques : Client/serveur n/tiers Orientée services permettant

Plus en détail

Rapport de certification PP/0101

Rapport de certification PP/0101 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Conseil, Etudes et Edition de logiciels NORMES & CONVENTIONS DE DEVELOPPEMENT JAVA ET SQL

Conseil, Etudes et Edition de logiciels NORMES & CONVENTIONS DE DEVELOPPEMENT JAVA ET SQL Conseil, Etudes et Edition de logiciels NORMES & CONVENTIONS DE DEVELOPPEMENT JAVA ET SQL Table des matières Système d'exploitation... 3 Environnement de développement intégré... 3 Le workspace... 3 Le

Plus en détail

Projet Personnalisé Encadré PPE 2

Projet Personnalisé Encadré PPE 2 BTS Services Informatiques aux Organisations Session 2014 Projet Personnalisé Encadré PPE 2. GESTION D'UTILISATEURS SYSTÈMES ET BASE DE DONNÉES, INSTALLATION ET CONFIGURATION D'OUTILS DE SUPERVISION ET

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Annuaires LDAP et méta-annuaires

Annuaires LDAP et méta-annuaires Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS yphise@yphise.com - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 Agenda A propos d Yphise Les annuaires

Plus en détail

Annuaire : Active Directory

Annuaire : Active Directory Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

Sun Java Desktop System Management Tools

Sun Java Desktop System Management Tools Sun Java Desktop System Management Tools Démarrage Sun Microsystems, Inc. www.sun.com Référence : 817-6322-10 Avril 2004, Révision A Copyright 2004 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara,

Plus en détail

Infrastructure Management

Infrastructure Management Infrastructure Management Service de Supervision et gestion des infrastructures informatiques DATASHEET Présentation générale Netmind Infrastructure Management (NIM) est un service de supervision et de

Plus en détail

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réseaux et Sécurité SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réf: SEA Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage avancé vous permettra de mesurer le niveau de sécurité de votre système

Plus en détail

Rapport de certification PP/0002

Rapport de certification PP/0002 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Guide de démarrage rapide

Guide de démarrage rapide Guide de démarrage rapide Solution logicielle Olfeo Copyright Olfeo Version:1.0.8 Informations légales Copyrights Copyright 2013 Olfeo. Tous droits réservés. Cette documentation ne peut être utilisé que

Plus en détail

Mise à jour Apsynet DataCenter

Mise à jour Apsynet DataCenter Mise à jour Apsynet DataCenter Dans le cadre de sa stratégie d évolution produit, Apsynet propose à ses clients sous contrat de maintenance une mise à jour majeure annuelle. Celle-ci peut être complétée

Plus en détail

L offre de formation 2014 INSET de Dunkerque

L offre de formation 2014 INSET de Dunkerque Informatique et systèmes d information Code action Session Libellé Date début Date fin Page SX2HM 002 Green it ou " informatique verte " 04/09/2014 05/09/2014 3 SX2HF 002 Marchés publics informatiques

Plus en détail

M1805 - Études et développement informatique

M1805 - Études et développement informatique Appellations Analyste cogniticien / cogniticienne informatique Analyste concepteur / conceptrice informatique Concepteur / Conceptrice analyste informatique Concepteur / Conceptrice d'application informatique

Plus en détail

FILIÈRE METHODOLOGIE & PROJET

FILIÈRE METHODOLOGIE & PROJET FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer

Plus en détail

C. Configuration des services de transport

C. Configuration des services de transport Page 282 Chapitre 8 Dans la version 2013 d'exchange, les dossiers publics sont devenus un type de boîtes aux lettres et utilisent les mêmes mécanismes de routage que les e-mails. - Le message est destiné

Plus en détail

Quel audit de Sécurité dans quel contexte?

Quel audit de Sécurité dans quel contexte? Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie

Plus en détail

M1805 - Études et développement informatique

M1805 - Études et développement informatique Appellations (Métiers courants) Analyste décisionnel - Business Intelligence Analyste organique informatique Analyste-programmeur / Analyste-programmeuse informatique Chef de projet étude et développement

Plus en détail

Verschlüsselte E-Mail-Kommunikation Version 1.1 Seite 1 von 7

Verschlüsselte E-Mail-Kommunikation Version 1.1 Seite 1 von 7 Préambule La messagerie électronique est aujourd'hui un moyen de communication fréquemment utilisé par les entreprises pour échanger des informations. Le groupe ALDI NORD demeure, lui aussi, en contact

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services Oléane VPN : Les nouvelles fonctions de gestion de réseaux Orange Business Services sommaire 1. Qu'est-ce que la fonction serveur/relais DHCP? Comment cela fonctionne-t-il?...3 1.1. Serveur DHCP...3 1.2.

Plus en détail

MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001.

MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001. MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001. Public : Objectif : Direction Membres du comité de direction - Responsable de service Responsables

Plus en détail

Microsoft Exchange. (Administrateur) (Dernière édition) Programme de formation. France, Belgique, Suisse, Roumanie - Canada

Microsoft Exchange. (Administrateur) (Dernière édition) Programme de formation. France, Belgique, Suisse, Roumanie - Canada Microsoft Exchange (Administrateur) (Dernière édition) Programme de formation Microsoft Partner France, Belgique, Suisse, Roumanie - Canada WWW.SASGROUPE.COM Formez vos salariés pour optimiser la productivité

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

Projet 2A STI : Supervision et audit de la sécurité système dans un réseau

Projet 2A STI : Supervision et audit de la sécurité système dans un réseau Projet 2A STI : Supervision et audit de la sécurité système dans un réseau Jeremy Briffaut,??? 8 septembre 2014 1 Objectifs Ce projet vous permettra de mettre en pratique vos connaissances acquises dans

Plus en détail

Filière métier : Administrateur Virtualisation

Filière métier : Administrateur Virtualisation Filière métier : Administrateur Virtualisation La réduction des coûts, la simplification et l automatisation des procédures, la protection des données et l optimisation de la gestion des infrastructures

Plus en détail

Travail collaboratif. Glossaire

Travail collaboratif. Glossaire Glossaire Ajax Traduction anglaise : Ajax (Asynchronous JavaScript And XML) AJAX est un combiné de différents langages de développement Web comme XHTML, JavaScript ou XML, il est fréquemment utilisé pour

Plus en détail

Le modèle de conseil docuteam 3 x 3. Déroulement d un projet en gestion des documents

Le modèle de conseil docuteam 3 x 3. Déroulement d un projet en gestion des documents Le modèle de conseil docuteam 3 x 3 Déroulement d un projet en gestion des documents 1 docuteam 3 x 3 : Le modèle Projet Mise en service V V V Analyse Conception Mise en œuvre Suivi Niveau stratégique

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

Omar Cheikhrouhou-ISIMA. http://people.coins-lab.org/ocheikhrouhou/

Omar Cheikhrouhou-ISIMA. http://people.coins-lab.org/ocheikhrouhou/ Cours: Administration et sécurité des systèmes et des réseaux Chapitre 1: Présentation de Windows Server 2008 et concepts de base sur les réseaux Omar Cheikhrouhou http://people.coins-lab.org/ocheikhrouhou/

Plus en détail

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 9 février 2004 000309/SGDN/DCSSI/SDR Référence : CER/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE

Plus en détail

Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification

Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification 1 sur 8 26/09/2013 16:49 Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification Intitulé Licence : Licence Sciences, technologies, santé mention Informatique

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Présentation générale

Présentation générale SHERLOCK S GESTION La Gestion de la caisse Présentation générale Version 01/2009 1/11 1-LES OUTILS DE GESTION DE CAISSE... 3 2-SHERLOCK S GESTION... 3 3-SHERLOCK S OFFICE SERVER... 4 4-LES OPÉRATIONS DE

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

Chap.9: SNMP: Simple Network Management Protocol

Chap.9: SNMP: Simple Network Management Protocol Chap.9: SNMP: Simple Network Management Protocol 1. Présentation 2. L administration de réseau 3. Les fonctionnalités du protocole 4. Les messages SNMP 5. Utilisation de SNMP 1. Présentation En 1988, le

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit RSA Archer egrc Platform v5.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001.

MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001. MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001. Public : Objectif : Direction Membres du comité de direction - Responsable de service Responsables qualité Ensemble du personnel

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Module Projet Personnel Professionnel

Module Projet Personnel Professionnel Module Projet Personnel Professionnel Elaborer un projet personnel professionnel. Connaissance d un métier, d une entreprise ou d un secteur d activités. Travail individuel de recherche SUIO-IP Internet

Plus en détail

Dématérialisation des documents Quelques éléments pour analyser et choisir une solution Illustration avec EdelSafe

Dématérialisation des documents Quelques éléments pour analyser et choisir une solution Illustration avec EdelSafe Dématérialisation des documents Quelques éléments pour analyser et choisir une solution Illustration avec EdelSafe Peter Sylvester / Paul-André Pays EdelWeb http://www.edelweb.fr/ ps@edelweb.fr / pays@edelweb.fr

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

plate-forme mondiale de promotion

plate-forme mondiale de promotion plate-forme mondiale de promotion À propos de The Institute of Internal Auditors (Institut des auditeurs internes) L'institut des auditeurs internes (IIA) est la voix mondiale de la profession de l'audit

Plus en détail

Scub Foundation. Socle technique Java Open Source http://www.scub-foundation.org

Scub Foundation. Socle technique Java Open Source http://www.scub-foundation.org Scub Foundation Socle technique Java Open Source http://www.scub-foundation.org Présentation de Scub Présentation de Scub Scub est une société de service en informatique qui a pour but de fournir du conseil

Plus en détail

PPE 2-1 Support Systeme. Partie Support Système

PPE 2-1 Support Systeme. Partie Support Système PPE 2-1 Support Systeme Partie Support Système Sébastien MASSON 24/04/2013 0 Sommaire 1. DMZ 2 2. Serveurs Web 3 3. Logiciel d'inventaire 6 1 1. DMZ (Zone démilitarisée) Une DMZ est une zone tampon d'un

Plus en détail

CONTENU DES FORMATIONS

CONTENU DES FORMATIONS CONTENU DES FORMATIONS MANAGEMENT SI REF : AS345 FORMATION ITIL Durée : 3 J ITIL FOUNDATION V3 + EXAMEN DE CERTIFICATION ANIMATEURS : - Formateur - Assistant Atelier Expert ITIL 11 Certifications Accrédité

Plus en détail

Développement logiciel pour l Architecture Orientée Services avec IBM Rational Software Development Platform

Développement logiciel pour l Architecture Orientée Services avec IBM Rational Software Development Platform IBM Software Group Développement logiciel pour l Architecture Orientée Services avec IBM Rational Software Development Platform Thierry Bourrier, Techical Consultant thierry.bourrier@fr.ibm.com L Architecture

Plus en détail

Au sens Referens : Administrateur des systèmes informatiques, réseaux et télécommunications

Au sens Referens : Administrateur des systèmes informatiques, réseaux et télécommunications Le CROUS de Nantes recrute : Identification du Poste Direction ou service : DSI Intitulé du poste : Catégorie (ou Corps/Grade) : Un apprentis ingénieur Réseau et télécommunication Famille(s) Professionnelle(s)

Plus en détail

Projet : Plan Assurance Qualité

Projet : Plan Assurance Qualité Projet : Document : Plan Assurance Qualité 2UP_SPEC_DEV1 VERSION 1.00 Objet Ce document a pour objectif de définir la démarche d analyse et de conception objet ainsi les activités liées. Auteur Eric PAPET

Plus en détail

DESCRIPTION DU CONCOURS QUÉBÉCOIS 2014 39 INFORMATIQUE (GESTION DE RÉSEAUX)

DESCRIPTION DU CONCOURS QUÉBÉCOIS 2014 39 INFORMATIQUE (GESTION DE RÉSEAUX) DESCRIPTION DU CONCOURS QUÉBÉCOIS 2014 39 INFORMATIQUE (GESTION DE RÉSEAUX) 1. DESCRIPTION DU CONCOURS 1.1. But de l épreuve La compétition permet aux étudiants 1 de mettre à l épreuve leurs connaissances

Plus en détail

Axe International Offre Produits & Services. Paris, le 11 juin 2012

Axe International Offre Produits & Services. Paris, le 11 juin 2012 Axe International Offre Produits & Services Paris, le 11 juin 2012 Axe International En bref Spécialiste des technologies VoIP Indépendant des constructeurs et éditeurs, Environnement Open Source, R&D

Plus en détail

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio Présentation 1. Introduction 13 2. Présentation de SQL Server 14 2.1 Qu'est-ce qu'un SGBDR? 15 2.2 Mode de fonctionnement client/serveur 16 2.3 Les plates-formes possibles 18 2.4 Les composants de SQL

Plus en détail

La SOA était une mode. Nous en avons fait un standard.

La SOA était une mode. Nous en avons fait un standard. La SOA était une mode. Nous en avons fait un standard. Agenda 1 Présentation 2 Les solutions it-toolbox 3 Notre valeur ajoutée 4 Le centre d excellence 5 Equipe et démarche 6 Références et plateformes

Plus en détail

Formation et SSI. Éric Jaeger, ANSSI/SDE/CFSSI Colloque ARCSI du 25 janvier 2014, École Militaire

Formation et SSI. Éric Jaeger, ANSSI/SDE/CFSSI Colloque ARCSI du 25 janvier 2014, École Militaire Formation et SSI Éric Jaeger, ANSSI/SDE/CFSSI Colloque ARCSI du 25 janvier 2014, École Militaire Plan 1 Formation et ANSSI 2 Vous avez dit sécurité? 3 Le stage RSSI 4 La formation ESSI 5 La SSI dans les

Plus en détail

Brevet + Diplôme fédéraux d Informaticienne / Informaticien

Brevet + Diplôme fédéraux d Informaticienne / Informaticien Brevet + Diplôme fédéraux d Informaticienne / Informaticien F i c h e d i n f o r m a t i o n 01.2008 1/8 Brevet fédéral: profil Développement Domaines de qualification Business Engineering Data Management

Plus en détail

Postes en technologie de l information

Postes en technologie de l information Mutation 2013 Postes en technologie de l information Consultez les témoignages de nos ambassadeurs Suzanne Samson Gestionnaire en technologies de l information Simon Barriault Analyste en informatique

Plus en détail

UE 8 Systèmes d information de gestion Le programme

UE 8 Systèmes d information de gestion Le programme UE 8 Systèmes d information de gestion Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur Indications

Plus en détail

Guide d'installation de Citrix EdgeSight pour test de charge. Citrix EdgeSight pour test de charge 3.8

Guide d'installation de Citrix EdgeSight pour test de charge. Citrix EdgeSight pour test de charge 3.8 Guide d'installation de Citrix EdgeSight pour test de charge Citrix EdgeSight pour test de charge 3.8 Copyright L'utilisation du produit documenté dans ce guide est soumise à l'acceptation préalable du

Plus en détail