Vos applications sont-elles sûres?

Dimension: px
Commencer à balayer dès la page:

Download "Vos applications sont-elles sûres?"

Transcription

1 Source: istock DOSSIER SÉCURITÉ APPLICATIVE Vos applications sont-elles sûres? Chaque mois, des entreprises suisses mettent en production de nouvelles applications qui les exposent. Bien souvent, seuls les impératifs de fonctionnalités et de performance sont pris en compte, au détriment de la sécurité. > page 28 Développement applicatif: parent pauvre de la sécurité de l information > page 29 Intégrer la sécurité dans le développement applicatif > page 30 Sécuriser un développement pour smartphone Portails B2B, banques en lignes, applications pour smartphones, de plus en plus d entreprises exploitent le potentiel technologique du web pour offrir des services attractifs à leur clientèle et à leurs partenaires ou pour augmenter la productivité de leurs collaborateurs en déplacement. Naturellement, le risque lié à la mise en production de ces applications de plus en plus sophistiquées et exposées augmente en parallèle, avec des dangers concrets tels que la perte de données, l usurpation d identité ou des dommages à la réputation des sociétés. Dans le monde mobile s ajoute encore le manque de maturité des technologies employées. En dépit de ces menaces, la sécurisation des applications est rarement vue comme une priorité. Security-by-design Cette sécurisation n est pas une gageure. D abord parce que les efforts en termes de sécurité déployés par les entreprises ont toujours tendance à se concentrer au niveau de la couche réseau. Ensuite parce que dans de nombreux cas, la sécurité se confronte à d autres impératifs comme la rapidité de lancement d une app sur le marché ou encore sa convivialité typiquement lorsqu il s agit de décider quelles données seront conservées sur un appareil mobile. Enfin, la prise en considération de la sécurité exige des changements au niveau des compétences et de la sensibilité des programmeurs et dans les processus de développement. Au final, les avantages ne manquent pas, outre la réduction des risques, une app bien sécurisée est aussi un argument marketing, sans compter qu il est toujours plus onéreux de résoudre des problèmes de sécurité une fois le développement achevé. < 27

2 Développement applicatif: parent pauvre de la sécurité de l information Au vu des statistiques actuelles, il est intéressant de s interroger sur les raisons du décalage existant entre le niveau de risque lié aux activités de développement applicatif et les efforts plutôt timides investis en matière de sécurité dans ce domaine. Stéphane Adamiste L adoption généralisée d internet en milieu professionnel, intervenue il y a une quinzaine d années maintenant, s est naturellement accompagnée d une pléthore de nouvelles menaces pour les organisations connectées. En réaction à ce phénomène, toute une industrie liée à la sécurité de l information a vu le jour et a connu un développement exponentiel, conduisant notamment à l établissement de normes ou référentiels de contrôle. Par ce biais, différents «domaines» de la sécurité sont désormais définis, avec des niveaux de conformité observés en entreprise ma foi très variables. Aujourd hui, le manque de considération des aspects de sécurité dans le monde du développement applicatif constitue indéniablement un sujet de préoccupation. Des chiffres sans équivoque L analyse de cas avérés de vol de données liés à des attaques informatiques illustre l ampleur du problème. Le Data Breach Investigations Report publié chaque année par Verizon fournit des statistiques relatives aux analyses forensiques menées par la société au cours de l année précédente. Le millésime 2010 montre que dans 54% des cas de vol de données par hacking, c est une vulnérabilité affectant une application web qui a été exploitée. Lorsque l on effectue le calcul sur la base du volume de données compromises, il s avère que 92% l ont été au travers de l exploitation d une faille web! Panorama des menaces Les applications web vulnérables sont soumises à plusieurs types de menaces qui peuvent se traduire en risques plus ou moins élevés selon le secteur d activité de l organisation, les fonctionnalités supportées par l application, la nature des données y traitées et, bien entendu, la criticité des vulnérabilités dont l application peut souffrir. Outre le vol de données évoqué précédemment, ces menaces incluent la modification de pages web dans le but de nuire à la réputation (defacement), l usurpation d identité d utilisateurs légitimes, la modification de code source dans le but de diffuser du contenu malveillant, le rebond dans le réseau interne de l organisation ciblée afin de mener une attaque de plus grande envergure, ou encore la mise en œuvre d attaques par déni de service. Certaines techniques comme l injection de données aléatoires dans les entrées de programmes (fuzzing) ou l analyse statique de code source mènent à l exécution de code sur des équipements, permettant de contourner les mesures de gestion des droits numériques par exemple, ou encore de prendre le contrôle complet de l équipement en question. C est ainsi qu en mars dernier, le dénommé Charlie Miller a remporté pour la quatrième année consécutive le challenge Pwn20wn qui consiste à craquer un iphone entièrement patché. Une faille dans le navigateur Safari a permis la prise de contrôle totale du téléphone. Un simple bug dans une application ou un progiciel peut représenter un risque non négligeable pour une entreprise en provoquant par exemple une dégradation des performances, un blocage de la production, ou encore en affectant l intégrité des données traitées. Un dernier type de menace est la pollution de code source par un cheval de Troie, une bombe logique ou tout autre type de code malveillant, discrètement inséré dans un système de gestion des versions. On peut aisément imaginer les retombées d une telle attaque menée à l encontre d un éditeur de logiciel bancaire! Les racines du problème En premier lieu, il faut souligner le fait que le développement applicatif est une discipline complexe, qui requiert des compétences multiples (gestion de projet, architecture, design, Source: istock techniques de développement, langages de programmation, utilisabilité, etc.) et qu elle est soumise à de nombreux risques, si bien que les aspects de sécurité sont souvent perçus comme une contrainte additionnelle nonprioritaire par rapport à des enjeux tels que la capacité à livrer un produit fonctionnel, la maîtrise des coûts ou encore le sacro-saint time to market. D autre part, le développement de l ebusiness implique la mise en ligne d un nombre de plus en plus important d applications (portails, extranets, applications mobiles, etc.), ce qui augmente de facto la surface d exposition des organisations aux attaques. Ces applications utilisent de surcroît des technologies de plus en plus complexes liées au web 2.0 (RIA, mashups, AJAX, etc.) ce qui rend d autant plus ardu l effort de sécurisation. Des dysfonctionnements d ordre organisationnel au sein des entreprises constituent un autre facteur bloquant. Historiquement, la sécurité a d abord été l apanage de spécialistes systèmes et réseau. Ainsi, les efforts en termes de sécurité sont aujourd hui encore principalement concentrés sur l infrastructure au sein de nombreuses entreprises, car c est à ce niveau que se positionne généralement l essentiel de l expertise sécurité, au détriment des équipes de développement (entre autres). Même si elles ne disposent pas d un processus de gestion des risques informationnels formalisé, les entreprises devraient être capables de refléter l évolution des menaces dans leur organisation de façon plus proactive. L expérience montre cependant que, dans bien des cas, la prise de conscience s effectue lorsque survient un incident de sécurité. < Stéphane Adamiste, Information Security Consultant chez Elca 28

3 Intégrer la sécurité dans le développement applicatif En réponse au transfert observé des menaces pesant sur les systèmes d information de la couche réseau vers la couche applicative, les organisations sont vouées à intégrer des activités de sécurité dans leurs processus de développement. Dans les faits, cette évolution ne s effectue pas sans heurts. Etat des lieux. Stéphane Adamiste Les premières activités à mener par les organisations désireuses de mûrir dans le domaine du développement (plus) sécurisé sont incontestablement la sensibilisation et la formation. En 2011, plus de dix ans après que les attaques par injection SQL ont été documentées pour la première fois, il est en effet malheureusement encore très fréquent d impressionner tout ou partie d un auditoire composé de développeurs, architectes et autres chefs de projet informatiques grâce à une apostrophe judicieusement placée au sein d une URL. De par leur réalisme, les démonstrations d attaque sur application vulnérable constituent, on l aura compris, un excellent moyen de prise de conscience. Eveiller les divers protagonistes aux menaces constitue une étape nécessaire mais loin d être suffisante. L étape suivante consiste à incorporer diverses activités de sécurité tout au long du cycle de développement. Développement et sécurité Une première évaluation des risques est à réaliser dès la phase de définition des besoins. Elle permet d identifier la criticité de l application et les principaux enjeux du projet en termes de sécurité, et d en déduire les zones d attention particulière ainsi que la profondeur de l action à mener. Prendre en compte les exigences de confidentialité, d intégrité, de disponibilité et de conformité tout au long du cycle de vie des projets. Source: Elca Durant la phase de design, un exercice de modélisation des menaces permet, sur la base d un schéma de flux entre les composants, de déterminer les scénarios hostiles, susceptibles de compromettre les données traitées par la future application. De cette modélisation découlent les spécifications de sécurité à intégrer dans le design et l architecture afin de mitiger les risques. En cours de développement, les aspects de sécurité sont contrôlés dans le cadre du plan d assurance qualité. La revue de code, statique ou dynamique, permet de vérifier la mise en œuvre des bonnes pratiques de développement sécurisé. L utilisation de scanners de vulnérabilités automatiques ou la réalisation de tests d intrusion permettent, quant à elles, d évaluer le niveau de sécurité effectif de l application. Au stade de la mise en production et durant la période de maintenance, outre la correction d éventuels bugs de sécurité, des activités non strictement liées au développement mais indispensables à la protection des données traitées au sein de l application ont lieu. Il convient d abord d opérer un renforcement des composants de l infrastructure: serveurs web et applicatifs, solutions de gestion d identité et d accès, bases de données, composants réseau. Par renforcement, on entend: l application des derniers patches de sécurité, la désactivation des services et applications non nécessaires, la restriction des accès à l application ainsi qu à ses fonctions d administration, la limitation des flux réseaux au strict nécessaire. Il convient ensuite de maintenir le niveau de protection obtenu dans le temps en mettant en œuvre de façon rigoureuse les processus de veille technologique, patch management et change management. Si ces tâches semblent couler de source a priori, il s avère que des dysfonctionnements apparaissent bien souvent, par manque de coordination entre les équipes de développement, projet et infrastructure. Les clés d une approche réussie On peut légitimement s étonner du manque d intégration des pratiques de sécurité dans les projets de développement au vu des avantages qu elles procurent. Tout d abord, en basant l approche sur le risque, on adapte les tâches de sécurité au contexte du projet, ce qui garantit une optimisation de l effort investi. De plus, la sécurité dans le développement génère du retour sur investissement. Il est en effet estimé, qu au même titre que tout autre type de bug, un problème de sécurité détecté en phase d analyse des besoins s avère de 20 à 100 fois moins onéreux à traiter que s il est détecté une fois l application 29

4 en production. Enfin, la sécurité a un effet éminemment structurant sur les projets. La modélisation de menaces par exemple apporte, de manière rationnelle, nombre d éléments permettant d orienter les choix dans le design, l architecture, les options de configuration. Autre illustration, les tests de sécurité visent à fournir un niveau d assurance sur les pratiques de codage suffisamment tôt dans le processus de développement pour permettre de gérer d éventuelles défaillances constatées, sans remettre en cause le délai de livraison prévu. Comme évoqué précédemment, le personnel impliqué dans les projets de développement n est généralement pas conscient des problématiques de sécurité, ni encouragé à s y intéresser d ailleurs. Une action d évangélisation est donc nécessaire, afin que les acteurs comprennent les enjeux et l intérêt de la sécurité dans leurs projets, qu ils adoptent un mode de pensée orienté risques, et qu ils fassent appel à des spécialistes pour certaines parties sensibles du projet dont ils ne maîtrisent pas eux-mêmes toutes les implications. Dans la pratique, une résistance au changement n est pas à exclure face à cette remise en question des pratiques de développement traditionnelles. Les personnes en charge de la sécurité du développement doivent donc faire preuve de pédagogie et de disponibilité, être capables de s adresser à divers types d acteurs (développeurs, architectes, gestionnaires de projet, métier) dans un langage compréhensible par chacun d entre eux et montrer que les activités de sécurité améliorent la qualité globale du projet. Sur le long terme, l intégration de la sécurité au sein des pratiques de développement de façon systématique implique la mise en place de processus spécifiques, supportant les activités précédemment décrites. Il existe à cet égard des modèles de maturité relatifs à la sécurité logicielle tels qu OpenSAMM, Microsoft SDL ou encore BSI-MM. La mise en œuvre de l un de ces modèles permet une transition progressive et mesurée vers une organisation du développement capable de lutter plus efficacement contre les menaces applicatives. Absence de volonté stratégique, manque de compétences spécialisées, difficulté à intégrer de nouvelles approches dans les processus existants constituent les obstacles principaux à un développement applicatif plus sécurisé. Les organisations qui se donnent les moyens d améliorer leur posture à ce niveau génèrent pourtant un retour sur investissement et se dotent d un avantage compétitif non négligeable. < Sécuriser un développement pour smartphone Au carrefour du PC et du téléphone mobile, les smartphones attirent toutes les convoitises, y compris celles des hackers! Pour les développeurs d'applications mobiles, le défi est de taille. Jean-Marc Bost ELCARDm transforme les smartphones en sésame d'authentification, de validation de transaction ou de signature de documents Il est devenu une banalité de dire, qu'aujourd'hui, l'essentiel des attaques informatiques cible les applications plutôt que les infrastructures réseau. Et l'impact peut être important si on se réfère aux attaques récentes contre des sociétés emblématiques comme RSA, Comodo ou Sony. Sécuriser un développement est devenu encore plus difficile, et ce pour de multiples raisons, à commencer par l'insuffisance des moyens mis à disposition. La priorité des budgets va en effet rarement à la sécurité alors que dans le même temps les environnements se complexifient, la pression des délais s'accroit, et la menace se perfectionne. S'il est un contexte révélateur, c'est bien celui du smartphone. L'engouement est unanime et les entreprises s'y précipitent pour connecter leurs clients, leurs partenaires ou leurs employés. Les technologies sont cependant encore très neuves et évoluent très vite. Quant à la menace, elle se concrétise beaucoup plus rapidement qu'escompté. A titre d exemple, nous menons actuellement plusieurs développements sur smartphone chez Elca. L'un d'entre eux consiste à fournir une alternative moderne aux cartes à grille d'authentification ELCARD. Il s'agit donc d'un développement qui met un accent tout particulier sur la sécurité, ce qui en fait un cas d'école pour illustrer le propos. Nommée ELCARDm, la version ELCARD pour smartphone compte tirer le meilleur parti de ce nouveau support. Loin des cartes plastiques, ce sont des logiciels personnels qui seront installés par les utilisateurs sur leur téléphone. Ces softtokens doivent, entre autre, exploiter les capacités cryptographiques de la plateforme, se fondre dans sa logique interactive, et reposer sur un deuxième canal plus sûr que le SMS. Les plateformes cible sont iphone et Android pour débuter. Jean-Marc Bost dirige la division sécurité chez ELCA Informatique SA à Genève 30

5 Le smartphone: un écosystème complexe et exposé Les défis techniques posés sont nombreux pour la sécurité du résultat. Tout d'abord, les deux plateformes cibles diffèrent substantiellement dans leur philosophie. Alors que l'iphone mise sur un écosystème où l usage est entièrement sous contrôle, Android prêche l'ouverture et met à disposition des développeurs une architecture et des outils qu'il leur appartient d utiliser judicieusement. Ensuite, le modèle de distribution normal pour smartphone prévoit la distribution d'application par une boutique publique accessible à tous et donc exposée. Ce modèle ne prévoit aucun mécanisme pour limiter les accès aux ayants droit et il faut faire confiance au fournisseur pour en maîtriser le contenu. Le cycle de vie des logiciels constitue une troisième difficulté. A tout moment en effet, il faut pouvoir patcher une application et, là encore, il faut suivre la procédure prévue avec de nouveaux efforts de sécurisation à anticiper. Et ce n'est pas tout: il faut aussi intégrer les possibilités de backup/restore qui permettent de sauvegarder son smartphone sur un PC et de le restaurer. Autant de points d'attaque potentiels. Quatrièmement, il est difficile de lier une application à un smartphone donné. C'est un avantage pour l'utilisateur qui change de téléphone ou qui restaure une version précédemment sauvegardée, mais également un risque pour l'authentification. Pour lier aussi fortement que possible l'application au smartphone, il faut avoir recours au code natif plutôt qu'à des langages abstraits comme Java, voire Javascript. Ces langages sont malheureusement aussi plus permissifs et ainsi plus susceptibles d'amener des failles de programmation. Pour terminer, les deux plateformes proposent un service de notification fourni et opéré par leur concepteur. Nommé APN par Apple et C2DN par Google, ces services ont l'ambition d'établir un canal gratuit, direct et privé entre le fournisseur d'une application et le smartphone de l'utilisateur. Ceci est évidemment très intéressant pour construire un deuxième canal plus sûr (et moins cher) que le SMS. Cependant, le concept est encore récent et inégalement documenté. iphone et Android mettent à disposition des mécanismes de sécurité qu'il convient d'utiliser au mieux. Ainsi, les mécanismes de licence permettent d'authentifier une application avant son installation, les mécanismes de cloisonnement des applications permettent de se protéger contre d'autres applications malintentionnées, les stockages sécurisés compliquent le vol des données, etc. Malheureusement, les sécurités offertes ne sont pas imparables. Si l on prend, par exemple, les mécanismes de licence ou de cloisonnement proposés par Android, il peuvent être assez facilement contournés en téléchargeant l'application et en éditant le code pour éviter le contrôle effectué (ou pour changer les permissions nécessaires). Le problème de fond sur Android est l'absence d'un mécanisme de certification de l'origine des applications. Quant aux contrôles de l'iphone, ils peuvent être désactivés par l'utilisateur en jailbreakant son appareil. Et les dernières tentatives d'apple pour empêcher la manipulation n'ont pas résisté bien longtemps. Tout aussi délicat, certaines fonctions standard peuvent compromettre la confidentialité des données hébergées. Ainsi, une API iphone permet de récupérer les données privées stockées par d'autres applications. Le mécanisme de backup prévu par l'iphone est lui aussi incriminé car il expose en clair des données privées qui étaient à l'abri dans le store sécurisé du smartphone. Pour terminer, les mécanismes de notification présentent eux aussi des faiblesses. Les deux concepts obligent le serveur émetteur à faire confiance à un intermédiaire qui voit passer les messages en clair et à l'identité donnée par les smartphones destinataires. Notons encore qu'android authentifie l'émetteur avec un simple mot de passe Gmail. Des analyses de menace itératives en support du développement A toutes ces difficultés spécifiques, s'ajoutent les menaces habituelles comme l'éventualité d'attaques MITM sur certains flux SSL, des manipulations internes par le personnel technique ou des erreurs de programmation. Un tel environnement hostile amène rapidement à une attitude paranoïaque. Celle-ci est justifiée mais doit être canalisée et filtrée pour être utile. Dans ce type de réalisation, avec une forte exposition et des technologies immatures, il faut bien sûr prévoir un audit final du système sous la forme de tests d'intrusion et de revue de code, mais ce n'est de loin pas suffisant. Il est avant tout important d'étudier la menace et de tenir compte du risque qu'elle représente tout au long du développement. Une bonne façon de procéder consiste alors à intégrer des analyses de menace itératives tout au long du développement. A chaque étape significative, on déclenche un ou plusieurs workshops. Ceux qui construisent la solution confrontent leur vision aux menaces et best practices qui leur sont proposées par les experts des domaines abordés. Il en ressort des directives pour la solution, pour son développement et pour les tests. Une étape significative correspond à la préparation d'un livrable ou à la communication des résultats d'une étude ou d'un prototype. Dans le cas d'elcardm, il a été décidé de renforcer la confidentialité des échanges avec du chiffrement applicatif ou encore de reconstruire les informations sensibles en RAM et d'en limiter le temps d'exposition au strict nécessaire. D'un point de vue conceptuel, la logique est autant que possible délocalisée sur le serveur (moins exposé), les échanges sont limités en reposant sur le cycle de vie des cartes ELCARD, les canaux de distribution sont multipliés pour compliquer les interceptions et le blocage du softtoken est géré sur le serveur pour éviter les attaques brute force. Toutes les mesures appliquées pour ELCARDm ramènent le risque à un niveau acceptable, du moins avec notre compréhension actuelle de la menace. Toutefois, il ne faut pas être naïf, cette dernière va évoluer, de même que les outils mis à disposition par les plateformes pour s'en préserver. La démarche adoptée pour la création de la solution sera alors utile pour sa maintenance. Sécuriser un développement sensible est un travail de Sisyphe. < Pour avoir osé défier les dieux, Sisyphe fut condamné à faire rouler éternellement, dans le Tartare, un rocher jusqu'en haut d'une colline dont il redescendait chaque fois avant de parvenir à son sommet, tel que raconté dans l Odyssée. (wikipedia) Source: istock 31

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet www.vazee.fr sont édités par :

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet www.vazee.fr sont édités par : CONDITIONS GENERALES D UTILISATION ARTICLE PREMIER Mentions légales L application VAZEE et le site internet www.vazee.fr sont édités par : VAZEE Société par actions simplifiée au capital de 56.000 euros,

Plus en détail

Sécurité informatique : sensibiliser votre personnel

Sécurité informatique : sensibiliser votre personnel En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent

Plus en détail

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING Les avantages considérables promis par le cloud computing aux petites

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

L usage de l iphone se généralise dans l entreprise Conseils aux départements informatiques pour concilier exigences utilisateurs et contraintes de

L usage de l iphone se généralise dans l entreprise Conseils aux départements informatiques pour concilier exigences utilisateurs et contraintes de L usage de l iphone se généralise dans l entreprise Conseils aux départements informatiques pour concilier exigences utilisateurs et contraintes de sécurité Tapez «iphone dans les entreprises» dans Google

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013 CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI ARTICLE 1 : OBJET Dernière version en date du 07/11/2013 Les présentes conditions particulières, complétant les conditions générales de services

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Description des prestations

Description des prestations 1. Dispositions générales La présente description de prestations a pour objet les services (ciaprès dénommés les «services») de Swisscom (Suisse) SA (ci-après dénommée «Swisscom»). Elle complète les dispositions

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...

Plus en détail

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour

Plus en détail

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Faille dans Internet Explorer 7

Faille dans Internet Explorer 7 Janvier Faille dans Internet Explorer 7 Une faille a été découverte dans le nouveau navigateur, celle-ci permettrait à un pirate d'insérer du code malicieux. Lorsque le navigateur est lancé, des DLL sont

Plus en détail

Schéma Français. de la Sécurité des Technologies de l Information

Schéma Français. de la Sécurité des Technologies de l Information Schéma Français de la Sécurité des Technologies de l Information Ce document constitue le rapport de certification du produit Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK).

Plus en détail

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO VOLET 4 SECURITY BULLETIN KASPERSKY LAB Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO SOMMAIRE SOMMAIRE PRÉVISIONS 2015 3 Quand les cybercriminels s inspirent des APT 4 Les groupes se fragmentent, les attaques

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI)

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) Dernière version du 02 Septembre 2014 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI Prestation sécurité Benjamin Arnault Matthieu Hentzien Benjamin

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Progressons vers l internet de demain

Progressons vers l internet de demain Progressons vers l internet de demain Votre ordinateur, par extension votre système d information d entreprise, contient une multitude d informations personnelles, uniques et indispensables à la bonne

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE Version en date du 22/04/2014 RCS Chartres 807 381 157 Code APE 6202B Page 1 sur 6 ARTICLE 1 : OBJET DU DOCUMENT Les présentes conditions particulières,

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Sponsored by Mentions relatives aux droits d'auteur 2011 Realtime Publishers. Tous droits réservés. Ce site contient des supports

Plus en détail

ITIL V3. Transition des services : Principes et politiques

ITIL V3. Transition des services : Principes et politiques ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

développements: Atouts et maillons faibles

développements: Atouts et maillons faibles Clusir RhA groupe SSI ENE 24 novembre 2010 Sécurité dans les projets et développements: Atouts et maillons faibles Yves RAISIN / BIOMERIEUX Sébastien RAILLARD / COEXSI Lionel PRADES / LEXSI Sécurité des

Plus en détail

HTML5 Quels enjeux pour la mobilité et le RIA?

HTML5 Quels enjeux pour la mobilité et le RIA? HTML5 Quels enjeux pour la mobilité et le RIA? Julien Roche Philippe Guédez Ludovic Garnier 2 Sommaire Evolution des usages du Web Applications mobiles multiplateformes Contributions d HTML5 au RIA Conclusion

Plus en détail

Vulnérabilités et cybermenaces des SI modernes

Vulnérabilités et cybermenaces des SI modernes Vulnérabilités et cybermenaces des SI modernes CNIS Event, 1 er juillet 2014 Frédéric Connes Frederic.Connes@hsc.fr 1/16 Plan! Caractéristiques des SI modernes! Recours de plus en plus fréquent au cloud

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients DOSSIER SOLUTION CA Service Assurance Mai 2010 assurez la qualité et la disponibilité des services fournis à vos clients est un portefeuille de solutions de gestion matures et intégrées, qui contribue

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible les activités en ligne évoluent rapidement... Il y a quelques années, les clients entraient timidement

Plus en détail

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Sécuriser un équipement numérique mobile TABLE DES MATIERES Sécuriser un équipement numérique mobile TABLE DES MATIERES 1 INTRODUCTION... 2 2 REGLES DE BONNE CONDUITE CONCERNANT VOTRE MOBILE... 3 2.1 MEFIEZ-VOUS DES REGARDS INDISCRETS... 3 2.2 PREVOYEZ LE VOL OU

Plus en détail

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007 Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée Livre blanc Google - Février 2007 La sécurité dans Google Apps POUR PLUS D'INFORMATIONS En ligne : www.google.com/a

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

COMMENT CONDUIRE SON PROJET DE SITE WEB?

COMMENT CONDUIRE SON PROJET DE SITE WEB? COMMENT CONDUIRE SON PROJET DE SITE WEB? Lorraine Pour être efficace, un site web doit être réfléchi et en adéquation avec la stratégie de l entreprise. Cette notice présente les différentes possibilités

Plus en détail

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Comment choisir la solution de gestion des vulnérabilités qui vous convient? Comment choisir la solution de gestion des vulnérabilités qui vous convient? Sommaire 1. Architecture 2. Sécurité 3. Evolutivité et convivialité 4. Précision/Performance 5. Découverte/Inventaire 6. Analyse

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

AV-TEST teste 22 applications antivirus pour les smartphones et les tablettes Android

AV-TEST teste 22 applications antivirus pour les smartphones et les tablettes Android Applications de protection pour Android février 2013 AV-TEST teste 22 applications antivirus pour les smartphones et les tablettes Android Des millions de smartphones Android surfent sur Internet sans

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

Sauvegarde des données de l'utilisateur avec Kaspersky Cryptomalware Countermeasures Subsystem

Sauvegarde des données de l'utilisateur avec Kaspersky Cryptomalware Countermeasures Subsystem Sauvegarde des données de l'utilisateur avec Kaspersky Cryptomalware Les cybercriminels sont prompts à adopter les techniques développées par les criminels dans le monde réel, y compris en extorquant de

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

Note technique. Recommandations de sécurité relatives aux ordiphones

Note technique. Recommandations de sécurité relatives aux ordiphones DAT-NT-010/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 19 juin 2013 de la défense et de la sécurité nationale N o DAT-NT-010/ANSSI/SDE/NP Agence nationale de la sécurité Nombre

Plus en détail

SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE

SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE Plus de sécurité pour la gestion de l eau et de l énergie 2 Système de conduite en danger? Éviter les manipulations indésirables Lorsqu'un voleur

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

Solution. collaborative. de vos relations clients.

Solution. collaborative. de vos relations clients. Solution collaborative de vos relations clients. Le Collaborative Relationship Management : une autre vision du CRM L un des enjeux majeurs dans les relations qu une entreprise entretient avec ses clients

Plus en détail

Le Dossier Médical Personnel et la sécurité

Le Dossier Médical Personnel et la sécurité FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

A propos de la sécurité des environnements virtuels

A propos de la sécurité des environnements virtuels A propos de la sécurité des environnements virtuels Serge RICHARD - CISSP (IBM Security Systems) serge.richard@fr.ibm.com La virtualisation, de quoi parlons nous «Virtualiser» un objet informatique, ou

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Spécifications de l'offre Surveillance d'infrastructure à distance

Spécifications de l'offre Surveillance d'infrastructure à distance Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)

Plus en détail

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde.

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde. Suite NCR APTRA La première plateforme logicielle libre-service financière au monde. UN PAS EN AVANT POUR L EXPERIENCE DES CLIENTS. Le secteur bancaire nous dit que la qualité de l expérience consommateur

Plus en détail

Impartition réussie du soutien d entrepôts de données

Impartition réussie du soutien d entrepôts de données La force de l engagement MD POINT DE VUE Impartition réussie du soutien d entrepôts de données Adopter une approche globale pour la gestion des TI, accroître la valeur commerciale et réduire le coût des

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

Etude de cas "App Store"

Etude de cas App Store Mastère Management et Nouvelles Technologies Economie d Internet 2009-2010 Examen Mardi 15 décembre 2009. Durée : 2h Sans documents Sans PC portable ou téléphone mobile Consignes générales : Cet examen

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

Concevoir des applications Web avec UML

Concevoir des applications Web avec UML Concevoir des applications Web avec UML Jim Conallen Éditions Eyrolles ISBN : 2-212-09172-9 2000 1 Introduction Objectifs du livre Le sujet de ce livre est le développement des applications web. Ce n est

Plus en détail

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization AGENT LÉGER OU SANS AGENT Guide des fonctionnalités Kaspersky Security for Virtualization Avec la généralisation de la virtualisation, le besoin de solutions de sécurité est une évidence. Bien qu'ils soient

Plus en détail

MDM : Mobile Device Management

MDM : Mobile Device Management articlemai 2011 MDM : Mobile Device Management > Objectifs Cet article aura pour but : de décrire ce qu est le MDM ; donner un aperçu des acteurs majeurs sur le marché ; de fournir des données chiffrées

Plus en détail

Kofax Livre blanc. Technologie mobile d automatisation avancée pour la Comptabilité Fournisseurs. Résumé

Kofax Livre blanc. Technologie mobile d automatisation avancée pour la Comptabilité Fournisseurs. Résumé Kofax Livre blanc Livre blanc Kofax Technologie mobile d automatisation avancée pour la Comptabilité Fournisseurs Résumé De nos jours, l interaction en entreprise avec les applications métier disponibles

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Surveillance de réseau : un élément indispensable de la sécurité informatique

Surveillance de réseau : un élément indispensable de la sécurité informatique Surveillance de réseau : un élément indispensable de la sécurité informatique Livre Blanc Auteur : Daniel Zobel, Responsable Developpement Logiciel, Paessler AG Publication : juillet 2013 PAGE 1 SUR 8

Plus en détail