Sasha Pons, Security Architect, CASINO Group sapons [at] groupe-casino [.] fr
|
|
- César Forget
- il y a 8 ans
- Total affichages :
Transcription
1 Sasha Pons, Security Architect, CASINO Group sapons [at] groupe-casino [.] fr Merci à Damien Cazenavepour sa présence lors de cette présentation, pour ces illustrations qu il a su transmettre très pédagogiquement. Merci à mon stagiaire, Mathias Roussillon, pour tous les éléments qu il a pu m apporter. 1
2 /!\ La sécurité applicative est un processus, pas une technologie /!\ Description du cycle de développement d une application : # design : pour cdiscount, revue des chartes projets tous les 15 jours auxquelles le responsable de la sécurité applicative participe. La charte projet contient un slidesécurité obligatoire, rempli par les chefs de projet fonctionnels, listant 20 questions simples (baseline) auxquelles ils doivent répondre par oui/non. Pour les réponses ne correspondant pas aux standards, une censure est posée et un comité spécifique est organisé. # develop: revue de code croisée, avec un focus plus particulièrement appuyé sur le TOP10 OWASP. Action réalisée prioritairement sur les processus critiques de l application. REX : permet aussi d optimiser le code. # test : scan automatique quotidien des environnements de recette et préproduction. # deploy: # maintain: awarness annuel des acteurs de ce processus cyclique. Le responsable de la sécurité applicative tire chaque domaine de l activité d une direction de la sécurité des systèmes d information approche plus pragmatique qu une approche par silo (sécurité applicative, sécurité opérationnelle, compliance) s interfaçant difficilement autour des nombreux projets pilotage 3
3 par le risque. Son objectif est de construire une application «hack resilient», en jouant sur 2 leviers : # diminuer la surface d attaque # diminuer l impact en cas d attaque Fiche de mission d un responsable de la sécurité applicative qui accompagne ce cycle : # design : rédige une politique de sécurité complète, notamment avec des procédures opérationnelles s interface entre les différentes contraintes légales / le métier / l IT, modélise le risque. # develop: sensibilise les développeurs à la sécurité applicative fournit des règles de codage, orientées menaces et pas forcément pour la beauté du geste! relit manuellement le code présentant un niveau de risque élevé # test : fournit les outils au testingpour la détection des failles de sécurité (progressez en partant des vulnérabilités à portée de main, puis en passant par l OWASP/10 et en finissant par CWE/25) forme les testeurs à la recherche des failles rejetteles demandes de mise en production en cas de déficience # deploy/ maintain: audit régulièrement les applications de production pour vérifier qu il n y a pas eu de dégradation. Permet de tester que les acteurs savent utiliser les procédures en cas d intrusion ou de fuite de donnée alerteen cas de découverte d une faille 0 daypar exemple investigue dans un cas de compromission reportedes indicateurs fiables et pédagogiques. A basic tenet of software engineering is that you can't control what you can't measure T. De Marco 2011 Top Cyber Security Risks Report de HP DVLabs: Ainsi, 36 %de toutes les vulnérabilités toucheraientdes applications web à but commercial. Ensuite parce que si le nombre des vulnérabilités diminue, leur exploitation augmente via «l émergence d un marché privé d échange des vulnérabilités». Le rapport cite les kits d exploits vendus en ligne qui rencontrent un réel succès et afficheraient un taux de 3
4 réussite élevé. Les taux d infection sur certaines vulnérabilités s affichent exceptionnellement élevés, reflet des faiblesses des systèmes en place et finalement de la relative facilité que rencontrent les hackers pour dérober des données sensibles. Enfin, professionnalisation des criminels et émergence d hacktiviste désintéressés. 3
5 Différents types de site : # Corporate: publie principalement des données statiques. L objectif de sécurité est principalement de lutter contre le défacement, la disponibilité n est pas primordiale. # Réseau Social et site communautaire : cvous: site communautaire destiné aux consommateurs dans le but d avoir un impact sur les produits et les services du quotidien dans leurs magasins. 1) créer du lien entre les consommateurs et 2) co-crééerdes produits qui seront intégrer au panel des enseignes partenaires (Géant Casino, Casino Supermarchés, Casino Proximité, Franprix, Leader Price). la fourmiliére: forum d échange dédié à la relation client, permet de proposer des services proches des canaux de vente traditionnelle: conseils, SAV, astuces. Une utilisation induite est la surveillance du phisinget la communication en réaction à une situation dangereuse. l enjeu de sécurité est principalement la modération du contenu posté et la disponibilité de la plateforme # B2C, B2B: cdiscount: pure player dans les sites d ecommerce un des enjeu principal est la lutte contre les tentatives de 4
6 phishinget malware avec un plan de réponse à incident Banque Casino : site de ebanking Gold Franchise : interface de commande à destination des magasins franchisés. Fréquemment, franchisé signifie que le SI du magasin n est pas managé par l IT de la maison mère, il s agit souvent d un PC personnel connecté à une box. Souvent un point faible des SI d entreprise, car ces réseaux de franchisés sont faciles à compromettre et permettent un accès au plus ou moins complet au SI de la maison mère. TMS (Transport Management System) : site de gestion permettant le suivi opérationnel et administratif du transport de la supplychain(interface entre les fournisseurs et le distributeur). Pour tous ces sites, les enjeux sont les suivants : confidentialité des données personnelles, des données bancaires, patrimoine informationnel de l entreprise haute-disponibilité intégrité des données manipulées pour garantir le moins d impact opérationnel possible Compliance? # PCI : est la norme la plus directive et la plus verticale. C est une norme qui nécessite le passage d une certification à renouveler régulièrement. exemple d un travail effectué par cdiscountde valorisation des contraintes apportées par la norme PCI pour la mise en œuvre d un service SaaSde paiement. # I&L : impose la protection des données personnelles mais sans préciser les modalités minimales à mettre en œuvre avant d être coupable de manquement. Due Diligence? 4
7 Coquetterie : parler de défense en hauteur (plutôt qu en profondeur) car, en sécurité applicative, on remonte les couches du modèle OSI =========================== Firewall & IPS =========================== # Le FW permet de tracer et éventuellement détecter des comportements précurseurs d attaques. 2 mots clés : ACCEPT et DENY # L IDS permet de détecter des activités anormales ou suspectes en s appuyant entre autre sur un système de signature. L éditeur publie régulièrement des signatures avec un conseil d action : ALLOW et BLOCK. =========================== Reverse Proxy =========================== # ré-écritureprogrammable des URLspour masquer et contrôler l'architecture d'un site web interne # EncryptionSSL : terminaison SSL par le biais de matériel dédié # Load Balancer # compression : optimiser la compression du contenu des sites 5
8 # cache : décharger les serveurs Web de la charge de pages/objets statiques (pages HTML, images) par la gestion d'un cache local. =========================== Cache =========================== Utilisation d un CDN (Content DeliveryNetwork): # ensemble de nœud en «bordure» d Internet permettant de mettre à disposition du contenu au plus rapide et au plus proche de l utilisateur # basé sur une requête DNS qui redirige l utilisateur vers son nœud de contenu le plus proche # Akamaiou Limlightsont les grands noms, mais des fédérations de CDN TelCosont en train de voir le jour, permettant de concurrencer les acteurs historiques dont les coûts sont importants. # possibilité de loadbalancerle contenu entre plusieurs CDN pour l optimisation de la facture en fin de mois ;-) =========================== WAF =========================== # Un web application firewall peut se décliner sous la forme d une appliance, d un plugin pour un web server ou tout simplement d un ensemble de filtre appliqués directement sur un webserver. # Cet ensemble de règle couvre les attaques communes comme par exemple les XSS et les injections SQL. La personnalisation pour couvrir des attaques plus sophistiquées ou intégrant la dimension business du site demande un travail important et doit être entièrement intégrer au cycle de développement de l application à protéger. 5
9 Modèle de sécurité + : consiste à n accepter que ce qui est spécifiquement autorisé. C est la notion de liste blanche. # modèle présentant le niveau de sécurité le plus fort. # c est aussi le moins facilement gérable, notamment pour des sites construit autour de CMS pour lesquels des webmasters produisent du contenu plus ou moins riche. Modèle de sécurité -: consiste à bloquer ce qui explicitement spécifié. # modèle le plus automatisable # adhérence faible avec le contexte protégé Modèle (liste noire) Modèle + (liste blanche) FW #Deny@ anonymous/ TOR #Allow80 / 443 IPS WAF #Deny signature #Allow exceptions after false-positive detection #Deny URL pour CMS #Allow identified values in sensitives fields #Deny HTTP Method 6
10 #learn then blocked #Bufferoverflow #Deny IP from Korean/Ukraine #SQL injection Description du graphique : Evolution du niveau de sécurité en fonction du temps # le cloudpermet d augmenter le niveau de sécurité plus rapidement que la configuration de matériel hébergé sur site. # le passage d un modèle de sécurité négatif à positif se fait aux environs de 80%. Il arrive donc plus tôt lorsque le service est dans le cloud. # l écart résiduel persistant couvre les failles zéro-daysainsi que les failles technologiques et business non-maitrisées # plus la courbe de correction est verticale moins cela coûte cher, plus elle est horizontale plus le coût est important 6
11 =========================== Réseau =========================== Tous ces composants sont eux aussi concernés par le patch management! Routeur / Firewall / IPS / Reverse Proxy / LoadBalancing # auditez régulièrement les routes/règles en place. Des outils d optimisation existent permettant de rationaliser lorsque l on a atteint un degré de complexité trop important. # limitez le NAT, il n est pas nécessaire d avoir 3 NAT en DMZ avant d atteindre le serveur web, surtout cela permet de limiter le nombre de sessions TCP # exemple : mauvaise configuration du FW où le nombre de session TCP n étaient pas limité. La configuration d un FW internet n est pas la même chose que celle d un FW cœur de réseau. # faites des tests de charge poussés si vous souhaitez faire faire de l analyse applicative par votre FW. L overloadest important et ce n est pas forcément le meilleur équipement pour le faire. # les technologies de type Virtual Routing and Forwarding (VRF) aide à la segmentation d une plateforme mutualisée. # un mythe: la publication via un reverse proxy n estpas uneobligation pour faire de la terminaisonssl. Possible de le faire avec des WAF de niveaul2. 7
12 =========================== Hôte =========================== Patch Management # alerting: inscription à un CERT, permettant de déclencher les opérations. # operating : négociation d un créneau quotidien de redémarrage de la plateforme. La haute disponibilité est un voeuxpieux mais pas toujours réalisable (ex SharePoint). Attention donc à la mutualisation à outrance. Le patch virtuel n est encore qu une notion marketing. # tracking: s assurer du déploiement exhaustif et de l inclusion dans les nouvelles versions de master par exemple. Services # construction de l hôte en sécurité positive gain d exploitation important # similairement, ajoutez uniquement les modules nécessaires à votre serveur web. Les fichiers de configuration httpd.confou web.configne doivent pas être ésotériques pour vos administrateurs, ils doivent être en mesure de vous les expliquer. Protocoles/Ports # n utilisez plus les protocoles que vous utilisez peut-être encore à la maison : POP3, SMTP, FTP et surtout Telnet ne sont pas des protocoles d entreprise. Des alternatives sécurisées existent pour chacun. # faites des scan de port réguliers et automatiques (Nessus) pour vous assurer que vos machines ne sont pas compromises. Accounts # privilégiez la centralisation d administration des comptes # optez pour un typage fort. Pour rappel, 3 types de compte peuvent être utilisés : compte d utilisateur, compte de service, compte d application, les deux derniers devant être strictement habilités suivant le principe du juste droit # auditez et positionnez des alertes sur les comptes sensibles # prévoyez plus que moins de compte d application ou de service # prévoyez aussi une politique de pwdfort et de lockout des comptes. Confickera eu un point positif : celui de repérer les programmes s exécutant avec des comptes built-in de Microsoft. # utilisez des coffres fort de mot de passe (KeePass est bien souvent suffisant) Partage 7
13 # supprimez aussi les partages administratifs. Hébergez les logs dans des locations nonaccessibles par le webserver. # les logs web exposent beaucoup d information. Accessible depuis Internet, l intrusion est proche! Registre # Interdisez l accès au registre à distance. Exemple d un antivirus avec un pwdde protection facilement contournable par un accès au registre (pourtant en v10!) Auditing and Logging # ils contiennent toute la matière utile à la compréhension de l application et de l hôte. Entrainez les équipes à rechercher des informations à l intérieur. Mieux vaut savoir les exploiter que les stocker! =========================== Application =========================== Validation des paramètres d entrée : # les mots magiques sont par ordre d importance : SQL injection Cross-site scripting Canonicalization: /etc/shadow passé en argument GET peut ne pas être vérifié utilisez des chemins relatifs, vérifiez les paramètres requestencodinget responseencodingdu fichier Web.configpour valider qu ils sont en relation avec la langue du site. Buffer overflows Authentification : # utilisez le verrouillage de compte pour éviter les attaques par dictionnaire, informez les utilisateurs lors d un changement de mot de passe ou en cas de désactivation du compte suite à une période d inactivité trop importante, prévoyez un processus de recoveryen cas de perte/vol. # évidemment le triptyque de Sainte Authentification : hash du pwd chiffrement du canal de communication stockage du hash dans la base de d authentification # vol de session : exemple d un cookie de session admin(n expirant jamais) qui était passé en paramètre GET. L adminavait rendu les logs du site web visible depuis Internet, il était très facile de pouvoir utiliser le cookie Adminpour s authentifier sur la DB et 7
14 l aspirer entièrement. Autorisation : # la principale menace est l élévation de privilège. L objectif de toutes les contresmesuresà apporter à cette faille est de rendre impossible l accès à l hôte en administrateur local ou root. # la connexion au serveur de base de donnée en SA illustre plusieurs problèmes : une méconnaissance de la part des développeurs des principes de sécurité, peut-être liés en partie à l absence de CodingRules? une faille dans le contrôle opéré par les gestionnaires applicatifs en charge du déploiement de l application en production une faille aussi dans le code/config review opéré par les équipes de sécurité Gestion de la configuration : # accès aux interfaces d administration, de supervision, de gestion de contenu. Exemple d un SharePoint hébergé, proposant du webmasteringaux propriétaires des données, de l administration des collections de site pour la création/modification/suppression des sites publiés, de l administration des serveurs applicatifs par des «Application Manager» (rafraichissement des caches de données par exemple), de l administration des serveurs web (IIS ou tout autre middleware), de l administration de base de donnée, Authentification forte pour les sections le nécessitant (ex de l administration des taux d intérêt sur un site d ebanking) contrôle d accès nominatif basé sur un modèle RBAC (attention aux demandes de type comptes d astreintes en passwordneverexpires). logginget audit plus particulièrement des procédures, des fichiers de configuration afin de vérifier que les informations type loging/pwdrestent bien confidentielles, qu ils sont bien stockés en dehors de l arborescence de fichier accessible à partir du webserver. documentation et archivage des configurations. Données confidentielles : # données d authentification, personnelle,... Attention à la portée d une donnée : un numéro de carte de fidélité peut s avérer tentant comme identifiant unique mais peut aussi être utiliser comme moyen de paiement avec une autre donnée personnelle stockée dans la DB et accessible aux administrateurs. Cryptographie : # La robustesse d un mécanisme de cryptographie (symétrique ou asymétrique) repose principalement sur la sécurité mise en œuvre autour du secret (soit la clé privée, soit le secret partagé). Une clé de longueur trop faible, avec une durée de vie trop longue, stockée dans le file system sans ACLs, ou dans le fichier de configuration du serveur web sont les faiblesses fréquemment rencontrées lors des audits de plateforme web. 7
15 # la compréhension de l implémentation est primordial. Exemple d un calcul de MD5 via un JavaScript local puis envoyé au serveur => aussi efficace que l envoi du pwden clair! Gestion des sessions : # ne respecte pas le modèle OSI, car fait au niveau 7 # l attaque la plus fréquemment utilisée est le vol de cookie, soit localement sur le poste (malware), soit en écoutant la conversation si elle est en clair. Utiliser du HTTPspour éviter les écoutes, les fonctions logoutet des durées d expiration de cookies réalistes. Pour les fonctions critiques (type tunnel de paiement), re-demandersystématiquement l authentification de l utilisateur et re-calculer un HMAC par exemple. Manipulation des paramètres : # URL : tous les paramètres passés dans l URL, facilement accessibles via un browser. Exemple du calcul incrémentiel d un code de retrait permettant de modifier une commande. # champs des formulaires : entrées postées via un formulaire. Souvent les développeurs répondent : pas d inquiétude, des contrôles sont fait localement sur le client avant l envoi au serveur. L intention est bonne mais inutile car ces contrôles sont facilement contournables en n exécutant pas le JS localement. # cookies : modification des valeurs contenues qui sont parfois trop explicites. Chiffrement ou signature du cookie pour valider l intégrité des informations transmises. /?\qui possède un inventaire des cookies délivrés par son application? Cet inventaire est-il en conformité avec la loi sur le paquet telecompassé en application en Août 2011 /?\ # http headers : exemple de l http refererutilisé de manière important dans les mécanismes de fédération d identité pour retourné au site web après un paiement/authentification. Un mécanisme de protection est la vérification de la provenance par un canal directement entre les 2 serveurs par exemple. Gestion des exceptions : #nécessite souvent un travail avec le métier pour imaginer un comportement le plus acceptable par l utilisateur. #l erreur redirige-t-elle vers une 404, une 404 chartée, renvoie un reset TCP? 7
16 Classiquement, le traitement d un risque d attaque est réalisé par un ensemble de composant de sécurité (réseaux & applicatifs), représentés ici par un simple firewall. L objectif étant bien entendu la protection du SI ainsi protégé. L évolution des menaces suit 2 axes distinct : # attaques distribuées, le DDoSest un bon exemple. Elles sont perpétrées par des réseaux de botnets, contrôlés ou loués par des cyberhacktivistesou des groupes de type anonymous. # attaques ciblées, précises, complexe dont l objectif peut-être le vol d information, du cyber chantage, du défacement, de l injection de donnée erronées. L évolution des architectures opère elle aussi un glissement dans le Cloud et couvre tous les composants applicatifs : Le traitement des attaques distribuées peut se faire dans le cloud. On parle aussi de dwaf pour Distributed WAF. Quels sont les avantages? # PME/PMI : service hébergé, éventuellement opéré. Modèle de sécurité négatif. # dimension géographique dans les requêtes : un centre de contrôle peut détecter des requêtes en provenance d une certaine partie du globe, les identifier comme malsaines, et prendre comme décision de 8
17 les bloquer sans impacter le flux français par exemple. La commande d un panier sur CASINO Express est-elle valide lorsqu elle est réalisée depuis l inde? # Réputation des requêtes : basée sur la réputation des IPs, en provenance de proxy anonyme? d IP du réseau TOR ou identifiées comme infectantes? # Shift d une présentation du contenu via un site web vers des architecture d application mobile consommant des webservices. cycle de développement intégrant des équipes extérieures, sur des technologies peu matures, agrégeant des technologies composites. Les plateformes n intègrent pas encore tous les mécanismes de sécurité que l on rencontre sur un poste de travail classique Les attaques spécialisées et les vulnérabilités vont se vérifier tout au long de la chaine. C est une corrélation d événements applicatifs (SIEM?) qui permettra l identification d une menace précise. # DataBaseFirewall (DBF) : à l identique du WAF mais dédié aux protocoles SQL et autres. Les éditeurs ont tirés les enseignements du WAF en proposant 1) un module d apprentissage automatique identifiant et classifiant les données sensibles sur le LAN (convergence avec DLP?), 2) d enregistrer les accès à ces données et 3) d en déduire des règles de contrôle d accès. # File FireWall(FFW) : approche identique à DBF avec découverte, apprentissage et construction de règles de contrôle d accès. Dans ces 2 cas, pouvoir bénéficier de log précis sur la provenance et la destination, la nature applicative de l attaque (quel utilisateur applicatif de connexion à la DB est utilisé pour passer l injection SQL? ) permet du forensicen impactant le moins possible le fonctionnement de l application. Service d hygiène du flux web : service de protection contre la fraude et le vol d identité basé sur des technologies d éditeurs anti-fraude (ex Trusteer). # est-ce un robot ou un humain? Injection d un cookie aléatoire ou d un JS qui n est pas ou mal interprété par le client. Analyse statistique de la navigation pour la comparer aux précédentes navigations. # Permet de s assurer de l état de santé du browser, sans agent. Ce afin de lutter contre les attaques de type Man in The Browser. Peut aussi mettre à disposition un browser sécurisé, assurant que les informations d identité (cookie ou autre) n ont pas été subtilisées. # Fraude, sécurisation espace client et scoringcommande pour détecter les commandes frauduleuses 8
18 Exemple du protocole SPDY Impulsé par Google, ce protocole à pour objectif de transporter du contenu web plus rapidement et ce afin d améliorer le protocole HTTP. # SPDY s appuiera obligatoirement sur une couche 5/6 TLS/SSL. Nativement, le protocole embarquera la protection de la couche applicative dans un tunnel SSL, allégeant la charge de développement. # /?\ Multiplexage des sessions http dans une même session TCP # Push d information à l initiative du serveur # /?\ Factorisation des headers http (lequels par exemple ) # compression systématique des requêtes envoyées # priorisation des requêtes faite par le client (priorité au contenu, aux images, aux publicités, ) Pourquoi ne pas faire ces améliorations au niveau TCP, couche en charge de la gestion des sessions? # parce que cela impliquerai une mise à jour massive des éléments réseaux constitutifs de la stacktcp/ip. L exemple de la lenteur d adoption de IPv6 est suffisamment parlant alors même que les équipements sont compatibles. # stratégie quick wins, car la couche HTTP n est pas parfaite et que c est la plus simple à mettre à jour. Pourquoi? Parce que tous les internautes sont habitués à 9
19 monter la version de leurs browsers (le saint graal du patch management ;-) ) et parce que la mise à jour d un web server est plus simple que les changements d équipements réseaux, voir même le simple upgrade de firmware les rendant compatibles. 9
20 Stockage des données dans le cloud (cloud storage) Serge RICHARD - CISSP (IBM Security Systems) serge.richard@fr.ibm.com Source : Livre blanc publié par Syntec numérique (en libre téléchargement sur le site numerique
21 Etat des lieux Une récente étude menée par SafeNet auprès de 170 cadres de sécurité informatique de la zone EMEA, confirme que la sécurité en environnement Cloud constitue une priorité absolue pour 52% des personnes interrogées 70% des personnes interrogées ont indiqué avoir déjà stocké des données sensibles dans des machines virtuelles (35%), dans un Cloud privé (26%) ou public (9%). Les données hébergées dans un environnement multi-utilisateurs constituent par conséquent une préoccupation majeure pour 55% des responsables de sécurité informatique. 53% d entre eux s inquiètent de ce que les administrateurs du Cloud disposent d un accès illimité aux données, tandis que 50% des personnes interrogées se plaignent du manque de visibilité sur les conditions de stockage des données dans le Cloud. Pourtant, lorsqu il s agit de mettre en place des politiques d entreprise pour gérer l accès aux données, 69% des entreprises indiquent s en tenir uniquement au nom d utilisateur et au mot de passe pour protéger l accès aux informations. 2
22 Qui a le contrôle? 3
23 Sécurité des données (1) RESPONSABILITÉ JURIDIQUE DE LA SÉCURITÉ ET DE LA CONFIDENTIALITÉ DES DONNÉES DANS LE CLOUD Le Client est juridiquement responsable de ses données et de leur utilisation, notamment de tout ce qui concerne leur conformité aux obligations juridiques. Le Prestataire est soumis à des obligations techniques et organisationnelles. Il s engage g à préserver l intégrité et la confidentialité des données, notamment en empêchant tout accès ou utilisation fraudeuse et en prévenant toutes pertes, altérations et destructions. Sa responsabilité juridique peut être engagée dans le cas où il aurait transféré les données de son client en dehors de l UE sans l en prévenir et sans s assurer que les déclarations nécessaires ont été faites. De façon générale, plus l infrastructure est confiée au fournisseur Cloud, plus sa responsabilité est importante. Dans les cas de PaaS et de SaaS, le client ne contrôle que le contenu de ses données. 4
24 Sécurité des données (2) PROTECTION ET RÉCUPÉRATION DES DONNÉES Mettre ses données dans un «Cloud» est une chose mais quelle garantie a-t-on sur l intégrité et sur la disponibilité des données? Faut-il continuer à sauvegarder et restaurer ses données? Quel plan de secours mettre en œuvre en cas de sinistre? En réalité, il s agit d un déplacement des responsabilités vers l hébergeur, fournisseur (ou «Cloud Provider»). Infrastructure «Always On» : Dans un environnement Cloud storage, il ne peut y avoir d arrêt (même planifié) pour des opérations de maintenance, de mises à jour ou pour garantir la performance définie par les SLAs. Sauvegardes et Snapshots La protection des données passe par la mise en œuvre de sauvegardes soit sur disques pour une restauration rapide et un RTO plus court soit sur bandes plus orientées long terme avec une externalisation. La copie sur disques de snapshot permet des sauvegardes plus fréquentes. Miroirs distants : En cas de sinistre, il est important de mettre en place une solution de miroir qui permet de protéger les données critiques. La réplication peut être synchrone ou asynchrone, en effectuant le cas échéant de la compression pour réduire le RPO. Administration : Une administration à base de politique ou de règles est cruciale pour un «Provider». L automatisation des tâches est également un point important de la sécurité évitant les erreurs de configurations ou de manipulations. En environnement «Cloud storage» il est nécessaire de pouvoir gérer les relations entre les différents systèmes en miroirs et aussi de surveiller la bonne application des règles de protection mises en oeuvre à partir d une interface unique. Recovery Time Objective : mesure le temps acceptable ou toléré de rétablissement du service lors d une panne. Recovery Point Objective : mesure la quantité de données que l on s accorde ou tolère à perdre due à une panne ou au processus de restauration. 5
25 Sécurité des données (3) INTÉGRITÉ DES DONNÉES (RBAC) Pour un «Cloud» plus sûr il est important aussi de réfléchir au contrôle d accès de ce même «Cloud» en implémentant la fonctionnalité de «Role Based Access Control» ou RBAC. C est une méthode qui permet de définir un certain nombre d actions que peut réaliser un utilisateur ou un administrateur au sein du «Cloud». En fait il s agit de la définition de plusieurs rôles qui auront chacun des permissions et des privilèges différents puis en associant des collaborateurs, des clients, des partenaires à ces mêmes groupes selon leurs fonctions. C est donc une fonctionnalité qui idéalement est présente sur l ensemble de la chaîne «Cloud», des serveurs virtualisés, des équipements réseaux jusqu aux entités virtualisées du stockage. 6
26 Sécurité des données (4) CHIFFREMENT LIÉ À LA DONNÉE Les défis de la cryptographie dans le Cloud sont complexes, notamment lorsqu il s agit de protéger les données hébergées contre des accès non-autorisés de la part de l hébergeur. Des travaux sont en cours chez les grands offreurs de l IT, pour la mise en œuvre d un chiffrement adapté à ces situations et qui fournisse un équilibre satisfaisant entre sécurité, efficacité et fonctionnalité. Un chiffrement requêtable permet de manipuler et d effectuer des recherches sur des données chiffrées sans déchiffrer les données, ainsi que d en vérifier l intégrité. (Voir ma dernière présentation sur les évolutions de la sécurité des environnements Cloud) 7
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailLa Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet
REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification
Plus en détailLa Sécurité des Données en Environnement DataCenter
La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement
Plus en détailExpérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet
Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailRéseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!
Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez
Plus en détailPrincipales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement
Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détail10 bonnes pratiques de sécurité dans Microsoft SharePoint
10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailFICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement
COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie
Plus en détailDenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.
DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d
Plus en détailAperçu technique Projet «Internet à l école» (SAI)
Aperçu technique Projet «Internet à l école» (SAI) Contenu 1. Objectif 2 2. Principes 3 3. Résumé de la solution 4 4. Adressage IP 4 5. Politique de sécurité 4 6. Mise en réseau Inhouse LAN 4 7. Organisation
Plus en détailL identité numérique. Risques, protection
L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailPourquoi OneSolutions a choisi SyselCloud
Pourquoi OneSolutions a choisi SyselCloud Créée en 1995, Syselcom est une société suisse à capitaux suisses. Syselcom est spécialisée dans les domaines de la conception, l intégration, l exploitation et
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailVulnérabilités et sécurisation des applications Web
OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailXi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?
Xi Ingénierie La performance technologique au service de votre e-commerce Comment exploiter les cookies sur vos applications web en toute légalité? Copyright 2012 Xi Ingénierie Toute reproduction ou diffusion
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel
ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014 SEMINAIRE DE Joly Hôtel aristide.zoungrana at arcep.bf AGENDA 2 Définitions Les incidents rencontrés par
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES De la théorie à la pratique Juillet 2012 www.advens.fr Document confidentiel - Advens 2012 Développer des Applications Web Sécurisées Intervenants Agenda Frédéric
Plus en détailKonica Minolta, un leader aux standards de sécurité les plus élevés du marché
SéCURITé Konica Minolta, un leader aux standards de sécurité les plus élevés du marché A l ère du numérique, les communications mondiales connaissent une croissance sans précédent, et les risques de failles
Plus en détailSécurisation des paiements en lignes et méthodes alternatives de paiement
Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude
Plus en détailLa surveillance réseau des Clouds privés
La surveillance réseau des Clouds privés Livre blanc Auteurs : Dirk Paessler, CEO de Paessler AG Gerald Schoch, Rédactrice technique de Paessler AG Publication : Mai 2011 Mise à jour : Février 2015 PAGE
Plus en détailPrésentation de la solution Open Source «Vulture» Version 2.0
Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailEtude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria
Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailComment choisir la solution de gestion des vulnérabilités qui vous convient?
Comment choisir la solution de gestion des vulnérabilités qui vous convient? Sommaire 1. Architecture 2. Sécurité 3. Evolutivité et convivialité 4. Précision/Performance 5. Découverte/Inventaire 6. Analyse
Plus en détailLinux sécurité des réseaux
Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.
Plus en détailCatalogue «Intégration de solutions»
Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus
Plus en détailEXIN Cloud Computing Foundation
Exemple d examen EXIN Cloud Computing Foundation Édition Septembre 2012 Droits d auteur 2012 EXIN Tous droits réservés. Aucune partie de cette publication ne saurait être publiée, reproduite, copiée, entreposée
Plus en détailTraitement des Données Personnelles 2012
5 ème Conférence Annuelle Traitement des Données Personnelles 2012 Paris, le 18 janvier 2012 Les enjeux de protection des données dans le CLOUD COMPUTING Xavier AUGUSTIN RSSI Patrick CHAMBET Architecte
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailTechnologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage
Technologies du Web Créer et héberger un site Web Page 1 / 26 Plan Planification Choisir une solution d hébergement Administration Développement du site Page 2 / 26 Cahier des charges Objectifs du site
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11933-X
Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle
Plus en détailPrésentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.
Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche
Plus en détailE-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg
E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour
Plus en détailPACK SKeeper Multi = 1 SKeeper et des SKubes
PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailFiche Technique. Cisco Security Agent
Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit
Plus en détailRetour d expérience sur Prelude
Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailCHAPITRE 3 : INTERVENTIONS SUR INCIDENTS
CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailGestion des incidents de sécurité. Une approche MSSP
Gestion des incidents de sécurité Une approche MSSP Agenda Présentation du ThreatManagement Center Le rôle d un MSSP dans la supervision de sécurité La gestion d incidents 2 Agenda Présentation du ThreatManagement
Plus en détailDNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS
Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailCHARTE INFORMATIQUE LGL
CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification
Plus en détailFormations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397
Formations «Règles de l Art» Nos formations Réf. ART01 14 Heures Authentification Réf. ART02 14 Heures Durcissement des systèmes Réf. ART03 14 Heures Firewall Réf. ART04 14 Heures Logs Réf. ART05 7 Heures
Plus en détailLivre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés
Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailUn concept multi-centre de données traditionnel basé sur le DNS
Confiez vos activités critiques à un expert S il est crucial pour vos activités commerciales que vos serveurs soient disponibles en continu, vous devez demander à votre hébergeur de vous fournir une solution
Plus en détailSécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailFormations. «Produits & Applications»
Formations «Produits & Applications» Nos formations Réf. PAP01 14 Heures ANTIVIRUS - McAfee : Endpoint Réf. PAP02 7 Heures ANTIVIRUS - ESET NOD32 Réf. PAP03 28 Heures FIREWALL - Check Point Réf. PAP04
Plus en détailTech-Evenings Sécurité des applications Web Sébastien LEBRETON
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,
Plus en détailLyon, mardi 10 décembre 2002! "#$%&"'"# &(
é é Lyon, mardi 10 décembre 2002! "#$%&"'"# &( - LEXSI - Méthodologies des audits sécurité - Formalisation des résultats - CF6 TELINDUS - Retour expérience sur tests intrusifs - ARKOON - Nouvelles menaces,
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailUne approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot
Une approche positive du filtrage applicatif Web Didier «grk» Conchaudron Sébastien «blotus» Blot 1 Un peu de background 2 Une hécatombe Juste en 2011: Sony, RSA, Orange, MySQL.com, HBgary & 600+ autres
Plus en détailMSP Center Plus. Vue du Produit
MSP Center Plus Vue du Produit Agenda A propos de MSP Center Plus Architecture de MSP Center Plus Architecture Central basée sur les Probes Architecture Centrale basée sur l Agent Fonctionnalités démo
Plus en détailMenaces du Cyber Espace
Menaces du Cyber Espace Conférence 02-04-2014 David WARNENT Police Judiciaire Fédérale Namur Regional Computer Crime Unit Faits Divers Tendances Social Engineering Hacktivisme Anonymous et assimilés Extorsions
Plus en détailIDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?
IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailRSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION
RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION Augmenter la visibilité et l analyse des événements de sécurité dans le système d information Jérôme Asseray Senior PreSales Engineer 1 Agenda Sécurité,
Plus en détailCloud Computing et SaaS
Cloud Computing et SaaS On a vu fleurir ces derniers temps un grands nombre de sigles. L un des premiers est SaaS, Software as a Service, sur lequel nous aurons l occasion de revenir. Mais il y en a beaucoup
Plus en détaile need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France
e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France Sommaire Cloud Computing Retours sur quelques notions Quelques chiffres Offre e need e need Services e need Store
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détaildonnées à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;
1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de
Plus en détailDNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet
DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailTechnique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation
Technique et architecture de l offre Suite infrastructure cloud Les partenaires de l offre Cloud Computing SFR Le focus HP Les principes de mise en œuvre réseau Les principes de fonctionnement de la solution
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailChapitre 1 Windows Server 2008 11
Chapitre 1 Windows Server 2008 11 1.1. Les fondations du système... 15 1.2. La virtualisation... 16 1.3. La sécurité... 18 1.4. Le Web... 20 1.5. Fonctionnalité disponible dans Windows Server 2008... 21
Plus en détailFiche Technique Windows Azure
Le 25/03/2013 OBJECTIF VIRTUALISATION mathieuc@exakis.com EXAKIS NANTES Identification du document Titre Projet Date de création Date de modification Fiche Technique Objectif 25/03/2013 27/03/2013 Windows
Plus en détailLa sécurité dans les grilles
La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailla sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information
la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,
Plus en détailCLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.
CLOUD CP3S La virtualisation au service de l entreprise Virtualisation / Cloud Évolutivité Sécurité Redondance Puissance SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE SOLUTION D INFRASTRUCTURE
Plus en détailDossier Solution - Virtualisation CA arcserve Unified Data Protection
Dossier Solution - Virtualisation CA arcserve Unified Data Protection La virtualisation des serveurs et des postes de travail est devenue omniprésente dans la plupart des organisations, et pas seulement
Plus en détailAlcatel-Lucent VitalQIP Appliance Manager
Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec
Plus en détailCAHIER DES CLAUSES TECHNIQUES
CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement
Plus en détailDr.Web Les Fonctionnalités
Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise
Plus en détailTransformation vers le Cloud. Premier partenaire Cloud Builder certifié IBM, HP et VMware
Transformation vers le Cloud Premier partenaire Cloud Builder certifié IBM, HP et VMware 1 Sommaire Introduction Concepts Les enjeux Modèles de déploiements Modèles de services Nos offres Nos Références
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détail