Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Dimension: px
Commencer à balayer dès la page:

Download "Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de"

Transcription

1 Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008 Exigence : 6.6 Auteur : Conseil des normes de sécurité PCI 2 Renseignements d ordre général L exigence 6.6 des PCI DSS fournit deux options qui ont pour but d aborder les menaces communes aux titulaires de cartes et de s assurer que les données saisies dans les applications web exécutées des environnements non approuvés sont examinées «de haut en bas». Par «exécutées», nous voulons dire que l application a été déployée dans un environnement opérationnel, y compris les environnements de production, ou de test d acceptation/de pré-production avec des procédures associées de contrôle des changements solides. Les détails quant à la manière de satisfaire à cette exigence dépendront de l implémentation particulière supportant une application précise. Les analyses légales des incidents relatifs aux données du titulaire de carte ont montré que les applications Web sont fréquemment le point d attaque initial des données du titulaire de carte, par injection SQL en particulier. L objectif de l exigence 6.6 est de s assurer que les applications Web exposées à l Internet public sont protégées en permanence contre les sortes de menaces les plus communes lors de l exécution et la réception d entrées. De nombreux renseignements publics sont disponibles concernant les vulnérabilités des applications Web. Les vulnérabilités minimales à prendre en considération sont décrites dans l exigence 6.5. (Consulter la section «Sources de renseignements supplémentaires» pour obtenir d autres documents de référence sur les tests des applications Web.) La défense multi-couche idéale inclurait l implémentation adéquate des deux options énumérées dans l exigence 6.6. Cependant, le PCI SSC reconnaît que le coût et la complexité opérationnelle du déploiement des deux options peut le rendre irréalisable. En même temps, il devrait être possible d appliquer au moins une des alternatives décrites dans ce document, et une implémentation adéquate peut satisfaire l objectif de l exigence. Ce document fournit des directives pour aider à déterminer la meilleure option, qui peut varier en fonction des produits utilisés, de la manière par laquelle une société obtient ou développe ses applications Web, et d autres facteurs de l environnement.

2 Exigence 6.6, option 1 : Évaluation de la vulnérabilité de la sécurité des applications Web En gardant à l esprit que l objectif de l exigence 6.6 est de prévenir l exploitation des vulnérabilités communes, telles que celles qui sont énumérées dans l exigence 6.5, plusieurs solutions possibles peuvent être considérées. Elles sont dynamiques et proactives, exigeant la mise en place particulière d une procédure manuelle ou automatique. Correctement implémentées, ces alternatives peuvent satisfaire à l objectif de l exigence 6.6 et fournir le niveau de protection minimum contre les menaces aux applications Web communes : 1. Évaluation manuelle de la vulnérabilité de la sécurité des applications Web 2. Utilisation correcte des outils automatiques (d analyse) d évaluation de la vulnérabilité de la sécurité des applications Web Ceux-ci doivent être conçus pour tester la présence de vulnérabilités des applications Web tel qu indiqué dans la section «Renseignements d ordre général» ci-dessus. Veuillez remarquer qu une évaluation de vulnérabilité indique et signale simplement les vulnérabilités, alors qu un test d intrusion tente d exploiter les vulnérabilités afin de déterminer si un accès non autorisé ou une autre activité malveillante est possible. 3 Les évaluations peuvent être effectuées par une personne interne qualifiée ou par un tiers qualifié. Dans tous les cas, la ou les personnes doivent avoir les compétences et l expérience adéquates pour comprendre l application Web, le savoir-faire pour évaluer les vulnérabilités, et comprendre les résultats. Les personnes utilisant des outils automatiques doivent avoir les compétences et connaissances pour configurer correctement les outils et tester l environnement, utiliser l outil, et évaluer les résultats. Si des personnes internes sont utilisées, elles doivent être d une société autre que celle de la gestion de l application qui est testée. Par exemple, une équipe de développement qui écrit une application Web ne doit pas effectuer l évaluation de sécurité finale. Lorsqu elle est correctement effectuée, une évaluation de vulnérabilité d application Web peut fournir la même protection (voire une meilleure protection) que celle fournie par un pare-feu d application Web lorsque les vulnérabilités sont trouvées et corrigées avant d exposer l application à l Internet public. L évaluation peut utiliser une procédure manuelle ou des outils spécialisés pour tester la présence de vulnérabilités et défauts exposés dans une application Web exécutée. Cette approche implique la création et la soumission d entrées malveillantes ou non standard à l application, simulant ainsi une attaque. Les réponses à ces entrées sont examinées pour savoir si l application peut être vulnérable à certaines attaques. Évaluer une application dans un environnement de production fournit les meilleurs résultats, car c est l environnement qui est le plus susceptible d être attaqué. Cependant, effectuer ces évaluations sur un système de production peut introduire des risques opérationnels inacceptables. Les évaluations peuvent être incorporées dans le cycle de vie de la conception des logiciels (software development life cycle, SDLC) et effectuées avant que l application soit déployée dans un environnement de production, si

3 des politiques et procédures de contrôle des changements solides garantissent que l application exécutée évaluée dans l environnement de test d acceptation/de pré-production ne peut pas être différente de ce qui est déployé en production. Le SDLC doit intégrer la sécurité des renseignements partout, comme indiqué dans l exigence 6.3. Les procédures de contrôle des changements doivent garantir que les développeurs de logiciels ne peuvent pas contourner l étape d évaluation et déployer de nouveaux logiciels directement dans l environnement de production. Les procédures de contrôle des changements doivent aussi appliquer la correction et le retestage des vulnérabilités avant l implémentation. Tandis que la validation/approbation finale de l évaluation doit être donnée par une société indépendante interne ou un tiers, il est recommandé que des outils soient mis à la disposition des développeurs de logiciels et intégrés dans leurs suites logicielles autant que pratiquement possible. Cela permet de détecter et corriger les vulnérabilités aussi tôt que possible dans la procédure de développement. Il est important de confirmer la capacité d un outil à tester les vulnérabilités des applications Web communes avant de supposer qu il peut être utilisé pour satisfaire à l objectif de l exigence 6.6. De plus, pour faire face à des menaces nouvelles et émergentes, les outils doivent avoir la capacité d intégrer de nouvelles règles d analyse. Les personnes effectuant les évaluations doivent se tenir informées des tendances de l industrie pour s assurer que leurs compétences d évaluations ou de tests sont en mesure de traiter les nouvelles vulnérabilités. 4 Exigence 6.6, option 2 : Pare-feu des applications Web Un pare-feu d applications Web (web application firewall, WAF) est un point d application de politique de sécurité positionné entre une application Web et l extrémité du client. Cette fonctionnalité peut être implémentée dans un logiciel ou un matériel informatique, fonctionnant dans un dispositif serveur ou dans un serveur type exécutant un système d exploitation commun. Ce peut être un dispositif autonome ou intégré à d autres composants du réseau. Les pare-feu de réseaux types sont implémentés autour du réseau ou entre les segments (zones) du réseau, et fournissent la première ligne de défense contre de nombreuses sortes d attaques. Cependant, ils doivent permettre aux messages d atteindre les applications Web qu une société choisit d exposer à l Internet public. Les pare-feu de réseaux ne sont en principe pas conçus pour examiner, évaluer et réagir aux parties d un message IP (paquet) utilisé par des applications Web, et par conséquent les applications publiques reçoivent souvent des entrées non examinées. Par conséquent, un nouveau périmètre de sécurité logique est créé, l application Web elle-même, et les meilleures pratiques de sécurité font que les messages sont examinés quand ils arrivent d un environnement non approuvé vers un environnement approuvé. Il existe de nombreuses attaques

4 connues contre les applications Web et, comme nous le savons tous, les applications Web ne sont pas toujours conçues et écrites pour se défendre contre ces attaques. Ce qui rend le risque plus important est que ces applications sont virtuellement disponibles à toutes les personnes dotées d une connexion Internet. La structure d un paquet IP suit un modèle à couches, chaque couche contenant des renseignements définis sur lesquels des nœuds ou des composantes du réseau (physiques ou basés sur un logiciel) agissent, soutenant le flux de renseignements via Internet ou intranet. Le couche qui contient le contenu qui est traité par l application est appelée la «couche d application». Les WAF sont conçus pour examiner le contenu des couches d application d un paquet IP, ainsi que le contenu de toute autre couche qui pourrait être utilisée pour attaquer une application Web. Veuillez noter, cependant, que l exigence 6.6 n a pas pour but d introduire de contrôles redondants. Le contenu d un paquet IP adéquatement examiné (c est-à-dire fournissant une protection équivalente) par des pare-feu de réseau, des mandataires ou d autres composants, n a pas besoin d être réexaminé par un WAF. De plus en plus, la technologie WAF est intégrée dans des solutions qui comprennent d autres fonctions, telles que le filtrage de paquets, le mandatement, la terminaison SSL, la mise d objets en antémémoire, etc. Ces dispositifs sont commercialisés en tant que «pare-feu», «passerelles d application», «systèmes de livraison d application», «mandataires sécurisés» ou d autres descriptions. Il est important de comprendre pleinement les capacités d examen de données d un tel produit pour déterminer si le produit pourrait satisfaire à l objectif de l exigence 6.6. Veuillez noter que la conformité n est pas garantie simplement en implémentant un produit avec les capacités décrites dans ce document. Le positionnement, la configuration, l administration et la surveillance adéquats sont aussi des aspects clés d une solution conforme. Implémenter un WAF est une option pour satisfaire l exigence 6.6 et n élimine pas la nécessité d une procédure de développement de logiciel sécurisée (exigence 6.3). 5 Capacités recommandées Un pare-feu d application Web devrait pouvoir : Satisfaire à toutes les exigences PCI DSS applicables relatives aux composantes du système dans l environnement de données de titulaire de carte. Réagir de manière appropriée (tel que défini par la politique ou les règles en vigueur) aux menaces contre les vulnérabilités pertinentes telles qu elles sont identifiées, au minimum, dans le Top 10 de l OWASP et/ou l exigence 6.5 des PCI DSS. inspecter les entrées de l application Web et répondre (permettre, bloquer, et/ou alerter) en fonction des politiques ou règles en vigueur, et noter les actions prises.

5 Prévenir la fuite de données, ce qui signifie avoir la capacité d examiner les sorties de l application Web et répondre (permettre, bloquer, et/ou alerter) en fonction des politiques ou règles en vigueur, et noter les actions prises. Appliquer des modèles de sécurité positifs et négatifs. Le modèle positif («liste blanche») définit les comportements, entrées, gammes de données, etc. acceptables ou permises, et rejette tout le reste. Le modèle négatif («liste noire») définit ce qui n est PAS permis; les messages correspondant à ces signatures sont bloqués, et le trafic ne correspondant pas aux signatures (pas sur la «liste noire») est permis. Examiner le contenu des page Web, (tel que le langage HTML, le HTML dynamique (DHTML) et les feuilles de style en cascade (Cascading Style Sheets, CSS), ainsi que les protocoles sous-jacents qui fournissent du contenu, tels que les protocoles HTTP et HTTP par SSL (HTTPS). (En plus de SSL, HTTPS comprend le protocole HTTP sur TLS.) Examiner les messages de services Web, si les services Web sont exposés à l Internet public. D habitude, cela comprendrait le protocole SOAP et le langage XML, autant les modèles orientés vers les documents que ceux orientés vers les RPC, en plus du HTTP. Examiner tout protocole (propriétaire ou standardisé) ou toute structure de données (propriétaire ou standardisé) qui est utilisé pour transmettre des données vers une application Web, ou à partir de celle-ci, lorsque de tels protocoles ou données ne sont pas examinés à un autre endroit dans le flux du message. Remarque : les protocoles propriétaires représentent un défi aux produits de pare-feu d applications Web actuels et des modifications personnalisées peuvent être nécessaires. Si les messages d une application ne suivent pas des protocoles et des structures de données standard, il peut ne pas être raisonnable de demander qu un pare-feu d application Web examine ce flux de message particulier. Dans de tels cas, implémenter l option d évaluation de la vulnérabilité de l exigence 6.6 est sans doute le meilleur choix. Défendre contre les menaces qui ciblent le WAF lui-même. Soutenir SSL et/ou la terminaison TLS, ou être positionné de telle manière que les transmissions cryptées soient décryptées avant d être examinées par le WAF. Les flux de données cryptés ne peuvent pas être examinés à moins que le protocole SSL soit arrêté avant le moteur d examen. 6 Capacités recommandées supplémentaires pour certains environnements Prévenir et/ou détecter l altération de jeton de session, par exemple en cryptant les témoins de session, les champs de formulaires cachés ou autres éléments de données utilisés pour l état d entretien de la session. Automatiquement recevoir et appliquer des mises à jour de signatures dynamiques d un fournisseur ou d une autre source. En l absence de cette capacité, il devrait y avoir des procédures en place pour garantir des mises à jour fréquentes des signatures WAF ou d autres paramètres de configuration.

6 S ouvrir en cas d échec (un dispositif qui a échoué permet au trafic de passer sans être examiné) ou se fermer en cas d échec (un dispositif qui a échoué bloque tout trafic), selon la politique en vigueur. Remarque : permettre qu un WAF s ouvre en cas d échec doit être attentivement examiné quant aux risques d exposition des applications Web à l Internet public. Un mode de contournement, dans lequel absolument aucune modification n est faite au trafic y passant, peut être applicable dans certaines circonstances. (Même en mode «ouvert en cas d échec», certains WAF ajoutent des en-têtes de suivi, nettoient les éléments HTML qui selon eux transgressent les normes, ou effectuent d autres actions. Cela peut avoir un impact négatif sur les tentatives de dépannage.) Dans certains environnements, le WAF devrait soutenir les certificats de clients SSL et l authentification de clients de mandatement par des certificats. De nombreuses applications Web modernes utilisent des certificats de clients SSL pour identifier les utilisateurs finaux. Sans ce soutien, ces applications ne peuvent pas demeurer derrière un pare-feu d application Web. De nombreux pare-feu d applications Web modernes s intègrent avec le protocole LDAP ou d autres répertoires d utilisateurs, et peuvent même effectuer une authentification initiale de la part de l application sous-jacente. Certaines applications de commerce électronique exigent un soutien de stockage de clé de matériel informatique FIPS. S il s agit d une possibilité dans votre environnement, assurez-vous que le fournisseur WAF soutient cette exigence dans l un de ses systèmes et est au courant que cette fonctionnalité peut radicalement augmenter les coûts de la solution. Considérations supplémentaires Bien que les WAF peuvent protéger contre de nombreuses menaces de sécurité, ils peuvent aussi révéler des problèmes techniques au sein d une infrastructure. Soyez certains de rester attentifs aux problèmes suivants qui peuvent entraver un déploiement réussi : Les sites qui dépendent d en-têtes, d URL et de témoins inhabituels peuvent nécessiter un réglage particulier. Les WAF appliquent souvent des tailles maximales pour ces composants. De plus, les signatures qu ils cherchent peuvent exclure des chaînes considérées comme des «abus» qui peuvent en fait être parfaitement valides pour une application particulière. Le contenu non conforme aux RFC HTML/HTTP ou qui est autrement «inhabituel» peut aussi être bloqué si les filtres par défaut n ont pas été réglés. Cela peut comprendre tout un éventail de choses, des téléchargements de fichiers trop importants au contenu transmis en caractères ou langues étrangères. 7 Le DHTML, le JavaScript asynchrone et le XML (AJAX), ainsi que d autres technologies dynamiques, peuvent nécessiter des considérations, des tests et des réglages particuliers. Ces applications supposent parfois qu elles ont accès au site Web d une manière qui est perçue par un WAF comme étant malveillante. Les applications qui exigent des renseignements à propos de la session de réseau sousjacente, tels que l adresse IP du client peuvent nécessiter des modifications si le WAF agit en tant que mandataire inverse. En principe, ces WAF mettront des renseignements côté du client dans un en-tête

7 HTTP, ce à quoi les applications existantes peuvent ne pas s attendre. Considérations importantes Les évaluations de vulnérabilités d applications décrites dans ce document doivent être effectuées avant d implémenter l application en production. Si un WAF «échec ouvert» ou «mode de contournement» est considéré, des procédures et des critères particuliers définissant l utilisation de ces modes à risques plus élevés doivent être établis avant l implémentation. Les applications Web ne sont pas protégées tant que ces modes sont actifs, et de longues périodes d utilisation ne sont pas recommandées. L impact de modifications de pare-feu d applications Web doit être évalué quant à un impact possible sur les applications Web applicables, et vice-versa. Faites part du temps impliqué et de l étendue de production des modifications de pare-feu d applications Web à toutes les parties concernées dans toute la société. Adhérer à toutes les politiques et procédures, y compris le contrôle des changements, la continuité des affaires et la reprise sur sinistre. Les changements de l environnement de production doivent avoir lieu pendant une fenêtre d entretien surveillée. Sources de renseignements supplémentaires Cette liste est fournie comme point de départ pour obtenir plus de renseignements sur la sécurité des applications Web. Top 10 de l OWASP Référence de contremesures de l OWASP FAQ sur la sécurité des applications de l OWASP Build Security In (Département de sécurité du foyer national, Division nationale de cybersécurité) Scanneurs de vulnérabilités des applications Web (Institut national des normes et de la technologie) Critères d évaluation de pare-feu des applications Web (Consortium de sécurité des applications Web) 8 À propos du Conseil des normes de sécurité PCI La mission du Conseil des normes de sécurité PCI est d améliorer la sécurité des comptes de paiement en favorisant l éducation et la connaissance des normes de sécurité des données PCI et autres normes qui améliorent la sécurité des données de paiement. Le Conseil des normes de sécurité PCI a été fondé par les principales marques de cartes de paiement : American Express, Discover Financial Services, JCB International, MasterCard Worldwide, et Visa Inc. pour fournir un forum transparent dans lequel toutes les parties prenantes peuvent contribuer au développement, à l amélioration et la dissémination actuels des normes de sécurité des données (Data Security Standard, DSS), des exigences des dispositifs de saisie du NIP (Pin-Entry Device, PED), et les normes de sécurité des données des applications de paiement (Payment Application Data Security Standard, PA-DSS). Les commerçants, banques, processeurs, et fournisseurs de points de vente sont encouragés à s inscrire en tant que Sociétés participantes.

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com. DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure

Plus en détail

Foire aux questions (FAQ)

Foire aux questions (FAQ) Foire aux questions (FAQ) Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la Norme PCI DSS? Qui définit cette Norme? Où puis-je obtenir plus d informations sur la

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte UN GUIDE ÉTAPE PAR ÉTAPE, pour tester, acheter et utiliser un certificat numérique

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

NEXT GENERATION APPLICATION SECURITY

NEXT GENERATION APPLICATION SECURITY NEXT GENERATION APPLICATION SECURITY FR UN MARCHÉ EN EXPANSION Le tournant du marché de la sécurité applicative. Dans le monde entier, les clients investissent dans la sécurité applicative pour faciliter

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts! Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez

Plus en détail

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council

Plus en détail

NEXT GENERATION APPLICATION SECURITY

NEXT GENERATION APPLICATION SECURITY NEXT GENERATION APPLICATION SECURITY FR UN MARCHÉ EN EXPANSION Le tournant du marché de la sécurité applicative. Dans le monde entier, les clients investissent dans la sécurité applicative pour faciliter

Plus en détail

10 façons d optimiser votre réseau en toute sécurité

10 façons d optimiser votre réseau en toute sécurité 10 façons d optimiser votre réseau en toute sécurité Avec le service Application Intelligence and Control des pare-feu nouvelle génération SonicWALL et la série d accélération WAN (WXA) Table des matières

Plus en détail

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI HSM, Modules de sécurité matériels de SafeNet Gestion de clés matérielles pour la nouvelle génération d applications PKI Modules de sécurité matériels de SafeNet Tandis que les entreprises transforment

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration

Plus en détail

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA TRITON AP-DATA Mettez un terme au vol et à la perte de données, respectez les exigences de conformité et préservez votre marque, votre réputation et votre propriété intellectuelle. Entre une réputation

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3. Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente

Plus en détail

Mail-SeCure sur une plateforme VMware

Mail-SeCure sur une plateforme VMware OUR INNOVATION YOUR SECURITY Mail-SeCure sur une plateforme VMware APERÇU Les menaces liées aux messages électroniques sont un problème connu depuis longtemps. La plupart des entreprises prennent des mesures

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

La Gestion des Applications la plus efficace du marché

La Gestion des Applications la plus efficace du marché La Gestion des Applications la plus efficace du marché Contexte La multiplication des applications web professionnelles et non-professionnelles représente un vrai challenge actuellement pour les responsables

Plus en détail

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler. Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler. 2 Les entreprises adoptent désormais la virtualisation de postes comme un moyen de réduction des coûts d exploitation, de flexibilisation

Plus en détail

Aperçu technique Projet «Internet à l école» (SAI)

Aperçu technique Projet «Internet à l école» (SAI) Aperçu technique Projet «Internet à l école» (SAI) Contenu 1. Objectif 2 2. Principes 3 3. Résumé de la solution 4 4. Adressage IP 4 5. Politique de sécurité 4 6. Mise en réseau Inhouse LAN 4 7. Organisation

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr ADF 2009 Reverse Proxy Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr 1 Définition d un serveur mandataire Un proxy (ou serveur mandataire) : agit comme une passerelle et un filtre pour accéder à l Internet.

Plus en détail

Sécurité sur le web : protégez vos données dans le cloud

Sécurité sur le web : protégez vos données dans le cloud Livre blanc Sécurité sur le web : protégez vos données dans le cloud Présentation Les équipes de sécurité ne peuvent pas être partout, et pourtant le contexte actuel exige des entreprises qu elles protègent

Plus en détail

Document de présentation technique. Blocage du comportement

Document de présentation technique. Blocage du comportement G Data Document de présentation technique Blocage du comportement Marco Lauerwald Marketing Go safe. Go safer. G Data. Table des matières 1 Blocage du comportement mission : lutter contre les menaces inconnues...

Plus en détail

IBM Tivoli Compliance Insight Manager

IBM Tivoli Compliance Insight Manager Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Solutions McAfee pour la sécurité des serveurs

Solutions McAfee pour la sécurité des serveurs Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez

Plus en détail

Webroot SecureAnywhere. Foire aux questions

Webroot SecureAnywhere. Foire aux questions Foire aux questions Janvier 2014 Table des matières Pourquoi la HSBC offre-t-elle le logiciel Webroot SecureAnywhere?... 1 Quelle est la différence entre Webroot SecureAnywhere et mon antivirus actuel?...

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................

Plus en détail

Le scan de vulnérabilité

Le scan de vulnérabilité 4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés

Plus en détail

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux

Plus en détail

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

10 bonnes pratiques de sécurité dans Microsoft SharePoint

10 bonnes pratiques de sécurité dans Microsoft SharePoint 10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft

Plus en détail

Protéger les données critiques de nos clients

Protéger les données critiques de nos clients La vision d Imperva Notre mission : Protéger les données critiques de nos clients Pour cela, Imperva innove en créant une nouvelle offre : Sécurité des données Vos données critiques se trouvent dans des

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

SERVICE CONTACT INSTANTANÉ GUIDE D UTILISATEUR

SERVICE CONTACT INSTANTANÉ GUIDE D UTILISATEUR SERVICE CONTACT INSTANTANÉ GUIDE D UTILISATEUR Table des matières Introduction... 3 Client Office Communicator 2007 R2 pour ordinateur... 4 Configuration manuelle d Office Communicator... 4 Dépannage...

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

Serveur FTP. 20 décembre. Windows Server 2008R2

Serveur FTP. 20 décembre. Windows Server 2008R2 Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée

Plus en détail

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation

Plus en détail

Trend Micro Deep Security

Trend Micro Deep Security Trend Micro Deep Security Sécurité des serveurs Protection du centre de données dynamique Livre blanc de Trend Micro Août 2009 I. SÉCURITÉ DU CENTRE DE DONNÉES DYNAMIQUE L objectif de la sécurité informatique

Plus en détail

Symantec MessageLabs Web Security.cloud

Symantec MessageLabs Web Security.cloud Symantec MessageLabs Web Security.cloud Point de vue de l analyste "Le Web est devenu la nouvelle cible privilégiée par les pirates informatiques et les cybercriminels pour diffuser des programmes malveillants,

Plus en détail

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Document de présentation technique d Allstream et de Dell SecureWorks 1 Table des matières Sommaire 1 État

Plus en détail

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires

Plus en détail

Atelier Sécurité / OSSIR

Atelier Sécurité / OSSIR Atelier Sécurité / OSSIR Présentation Produits eeye SecureIIS Retina elorrain@eeye.com & broussel@eeye.com Sommaire Page 2 Qui sommes nous? SecureIIS Protection Web Retina Scanner de Sécurité Questions

Plus en détail

Les utilités d'un coupe-feu applicatif Web

Les utilités d'un coupe-feu applicatif Web Les utilités d'un coupe-feu applicatif Web Jonathan Marcil OWASP Montréal Canada #ASFWS Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

DESCRIPTION DES PRODUITS ET MÉTRIQUES

DESCRIPTION DES PRODUITS ET MÉTRIQUES DESCRIPTION DES PRODUITS ET MÉTRIQUES DPM Adobe - Adobe Analytics (2015v1) Les Produits et Services décrits dans cette DPM sont soit des Services On-demand soit des Services Gérés (comme décrits ci-dessous)

Plus en détail

Petite définition : Présentation :

Petite définition : Présentation : Petite définition : Le Web 2.0 est une technologie qui permet la création de réseaux sociaux, de communautés, via divers produits (des sites communautaires, des blogs, des forums, des wiki ), qui vise

Plus en détail

Pilote KIP certifié pour AutoCAD. Guide de l utilisateur État de l imprimante KIP

Pilote KIP certifié pour AutoCAD. Guide de l utilisateur État de l imprimante KIP Pilote KIP certifié pour AutoCAD Guide de l utilisateur État de l imprimante KIP Table des matières Introduction... 2 Fonctions... 2 Installation et configuration requise... 3 Configuration requise...

Plus en détail

Banque en ligne et sécurité : remarques importantes

Banque en ligne et sécurité : remarques importantes Un système de sécurisation optimal Notre système de transactions en ligne vous permet d effectuer de manière rapide et confortable vos opérations bancaires en ligne. Pour en assurer la sécurité, nous avons

Plus en détail

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1

Plus en détail

La Sécurité des Données en Environnement DataCenter

La Sécurité des Données en Environnement DataCenter La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Architectures web/bases de données

Architectures web/bases de données Architectures web/bases de données I - Page web simple : HTML statique Le code HTML est le langage de base pour concevoir des pages destinées à être publiées sur le réseau Internet ou intranet. Ce n'est

Plus en détail

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale

Plus en détail

COTISATIONS VSNET 2015

COTISATIONS VSNET 2015 COTISATIONS VSNET 2015 Approuvées par le comité VSnet en séance du 18 mars 2015 SOMMAIRE 1. Principe 2. Réseau 3. Services internet 4. Ressources électroniques 5. Divers 1. PRINCIPE Les membres de l Association

Plus en détail

CQP Développeur Nouvelles Technologies (DNT)

CQP Développeur Nouvelles Technologies (DNT) ORGANISME REFERENCE STAGE : 26572 20 rue de l Arcade 75 008 PARIS CONTACT Couverture géographique : M. Frédéric DIOLEZ Bordeaux, Rouen, Lyon, Toulouse, Marseille Tél. : 09 88 66 17 40 Nantes, Lille, Strasbourg,

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Approche holistique en huit étapes pour la sécurité des bases de données

Approche holistique en huit étapes pour la sécurité des bases de données Gestion de l information Livre blanc Approche holistique en huit étapes pour la sécurité des bases de données De Ron Ben Natan, Ph. D., ingénieur émérite IBM, et chef de la technologie, gestion intégrée

Plus en détail

Pourquoi choisir ESET Business Solutions?

Pourquoi choisir ESET Business Solutions? ESET Business Solutions 1/6 Que votre entreprise soit tout juste créée ou déjà bien établie, vous avez des attentes vis-à-vis de votre sécurité. ESET pense qu une solution de sécurité doit avant tout être

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Tous les autres noms de produits ou appellations sont des marques déposées ou des noms commerciaux appartenant à leurs propriétaires respectifs.

Tous les autres noms de produits ou appellations sont des marques déposées ou des noms commerciaux appartenant à leurs propriétaires respectifs. Apache, Mod_proxy et 4D Par Timothy PENNER, Technical Services Team Member, 4D Inc. Note technique 4D-201003-05-FR Version 1 - Date 1 mars 2010 Résumé Cette note technique porte sur l utilisation du serveur

Plus en détail

PCI (Payment Card Industry) Data Security Standard

PCI (Payment Card Industry) Data Security Standard PCI (Payment Card Industry) Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Modifications apportées au document Version Description Pages Octobre 2008

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications

OZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications OZSSI NORD 4 JUIN 2015 - LILLE Conférence thématique: Sécurité des applications www.advens.fr Document confidentiel - Advens 2015 Présentation de la société Advens 2 La sécurité est source de valeur Pas

Plus en détail

Editeurs de logiciels. Votre guide SMS

Editeurs de logiciels. Votre guide SMS Votre guide SMS SMS et logiciels Les éditeurs de logiciels intègrent de plus en plus le SMS dans leurs produits, notamment pour permettre l envoi d alertes, de rappels de rendez-vous ou encore de notifications.

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

Récapitulatif des modifications entre les versions 2.0 et 3.0

Récapitulatif des modifications entre les versions 2.0 et 3.0 Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Récapitulatif des modifications entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte

Plus en détail

Défense en profondeur des applications Web

Défense en profondeur des applications Web LES DOSSIERS TECHNIQUES Défense en profondeur Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11 rue de Mogador 75009 Paris Tél : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 clusif@clusif.asso.fr

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les Critères

Plus en détail

Critères d évaluation pour les pare-feu nouvelle génération

Critères d évaluation pour les pare-feu nouvelle génération Critères d évaluation pour les pare-feu nouvelle génération Ce document définit un grand nombre des caractéristiques et fonctionnalités importantes à prendre en compte dans l appréciation des pare-feu

Plus en détail

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...

Plus en détail

Mise à jour de sécurité

Mise à jour de sécurité Release Notes - Firmware 1.6.3 Mise à jour de sécurité Pourquoi ce firmware? Cette mise à jour a pour objectif de renforcer la sécurité du produit MailCube et apporte également des nouvelles fonctionnalités

Plus en détail

Sécurité des Applications Web Comment Minimiser les Risques d Attaques les plus Courants

Sécurité des Applications Web Comment Minimiser les Risques d Attaques les plus Courants GUIDE: Sécurité des Applications Web Comment Minimiser les Risques d Attaques les plus Courants Sommaire I. L essentiel II. Les bases de la sécurité des applications Web III. Types de vulnérabilités inhérentes

Plus en détail

FileMaker Server 14. Guide de démarrage

FileMaker Server 14. Guide de démarrage FileMaker Server 14 Guide de démarrage 2007-2015 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker et FileMaker Go sont des marques

Plus en détail

FileMaker Server 11. Publication Web personnalisée avec XML et XSLT

FileMaker Server 11. Publication Web personnalisée avec XML et XSLT FileMaker Server 11 Publication Web personnalisée avec XML et XSLT 2007-2010 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker est une

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail