Vos applications sont-elles sûres?

Dimension: px
Commencer à balayer dès la page:

Download "Vos applications sont-elles sûres?"

Transcription

1 Source: istock DOSSIER SÉCURITÉ APPLICATIVE Vos applications sont-elles sûres? Chaque mois, des entreprises suisses mettent en production de nouvelles applications qui les exposent. Bien souvent, seuls les impératifs de fonctionnalités et de performance sont pris en compte, au détriment de la sécurité. > page 28 Développement applicatif: parent pauvre de la sécurité de l information > page 29 Intégrer la sécurité dans le développement applicatif > page 30 Sécuriser un développement pour smartphone Portails B2B, banques en lignes, applications pour smartphones, de plus en plus d entreprises exploitent le potentiel technologique du web pour offrir des services attractifs à leur clientèle et à leurs partenaires ou pour augmenter la productivité de leurs collaborateurs en déplacement. Naturellement, le risque lié à la mise en production de ces applications de plus en plus sophistiquées et exposées augmente en parallèle, avec des dangers concrets tels que la perte de données, l usurpation d identité ou des dommages à la réputation des sociétés. Dans le monde mobile s ajoute encore le manque de maturité des technologies employées. En dépit de ces menaces, la sécurisation des applications est rarement vue comme une priorité. Security-by-design Cette sécurisation n est pas une gageure. D abord parce que les efforts en termes de sécurité déployés par les entreprises ont toujours tendance à se concentrer au niveau de la couche réseau. Ensuite parce que dans de nombreux cas, la sécurité se confronte à d autres impératifs comme la rapidité de lancement d une app sur le marché ou encore sa convivialité typiquement lorsqu il s agit de décider quelles données seront conservées sur un appareil mobile. Enfin, la prise en considération de la sécurité exige des changements au niveau des compétences et de la sensibilité des programmeurs et dans les processus de développement. Au final, les avantages ne manquent pas, outre la réduction des risques, une app bien sécurisée est aussi un argument marketing, sans compter qu il est toujours plus onéreux de résoudre des problèmes de sécurité une fois le développement achevé. < 27

2 Développement applicatif: parent pauvre de la sécurité de l information Au vu des statistiques actuelles, il est intéressant de s interroger sur les raisons du décalage existant entre le niveau de risque lié aux activités de développement applicatif et les efforts plutôt timides investis en matière de sécurité dans ce domaine. Stéphane Adamiste L adoption généralisée d internet en milieu professionnel, intervenue il y a une quinzaine d années maintenant, s est naturellement accompagnée d une pléthore de nouvelles menaces pour les organisations connectées. En réaction à ce phénomène, toute une industrie liée à la sécurité de l information a vu le jour et a connu un développement exponentiel, conduisant notamment à l établissement de normes ou référentiels de contrôle. Par ce biais, différents «domaines» de la sécurité sont désormais définis, avec des niveaux de conformité observés en entreprise ma foi très variables. Aujourd hui, le manque de considération des aspects de sécurité dans le monde du développement applicatif constitue indéniablement un sujet de préoccupation. Des chiffres sans équivoque L analyse de cas avérés de vol de données liés à des attaques informatiques illustre l ampleur du problème. Le Data Breach Investigations Report publié chaque année par Verizon fournit des statistiques relatives aux analyses forensiques menées par la société au cours de l année précédente. Le millésime 2010 montre que dans 54% des cas de vol de données par hacking, c est une vulnérabilité affectant une application web qui a été exploitée. Lorsque l on effectue le calcul sur la base du volume de données compromises, il s avère que 92% l ont été au travers de l exploitation d une faille web! Panorama des menaces Les applications web vulnérables sont soumises à plusieurs types de menaces qui peuvent se traduire en risques plus ou moins élevés selon le secteur d activité de l organisation, les fonctionnalités supportées par l application, la nature des données y traitées et, bien entendu, la criticité des vulnérabilités dont l application peut souffrir. Outre le vol de données évoqué précédemment, ces menaces incluent la modification de pages web dans le but de nuire à la réputation (defacement), l usurpation d identité d utilisateurs légitimes, la modification de code source dans le but de diffuser du contenu malveillant, le rebond dans le réseau interne de l organisation ciblée afin de mener une attaque de plus grande envergure, ou encore la mise en œuvre d attaques par déni de service. Certaines techniques comme l injection de données aléatoires dans les entrées de programmes (fuzzing) ou l analyse statique de code source mènent à l exécution de code sur des équipements, permettant de contourner les mesures de gestion des droits numériques par exemple, ou encore de prendre le contrôle complet de l équipement en question. C est ainsi qu en mars dernier, le dénommé Charlie Miller a remporté pour la quatrième année consécutive le challenge Pwn20wn qui consiste à craquer un iphone entièrement patché. Une faille dans le navigateur Safari a permis la prise de contrôle totale du téléphone. Un simple bug dans une application ou un progiciel peut représenter un risque non négligeable pour une entreprise en provoquant par exemple une dégradation des performances, un blocage de la production, ou encore en affectant l intégrité des données traitées. Un dernier type de menace est la pollution de code source par un cheval de Troie, une bombe logique ou tout autre type de code malveillant, discrètement inséré dans un système de gestion des versions. On peut aisément imaginer les retombées d une telle attaque menée à l encontre d un éditeur de logiciel bancaire! Les racines du problème En premier lieu, il faut souligner le fait que le développement applicatif est une discipline complexe, qui requiert des compétences multiples (gestion de projet, architecture, design, Source: istock techniques de développement, langages de programmation, utilisabilité, etc.) et qu elle est soumise à de nombreux risques, si bien que les aspects de sécurité sont souvent perçus comme une contrainte additionnelle nonprioritaire par rapport à des enjeux tels que la capacité à livrer un produit fonctionnel, la maîtrise des coûts ou encore le sacro-saint time to market. D autre part, le développement de l ebusiness implique la mise en ligne d un nombre de plus en plus important d applications (portails, extranets, applications mobiles, etc.), ce qui augmente de facto la surface d exposition des organisations aux attaques. Ces applications utilisent de surcroît des technologies de plus en plus complexes liées au web 2.0 (RIA, mashups, AJAX, etc.) ce qui rend d autant plus ardu l effort de sécurisation. Des dysfonctionnements d ordre organisationnel au sein des entreprises constituent un autre facteur bloquant. Historiquement, la sécurité a d abord été l apanage de spécialistes systèmes et réseau. Ainsi, les efforts en termes de sécurité sont aujourd hui encore principalement concentrés sur l infrastructure au sein de nombreuses entreprises, car c est à ce niveau que se positionne généralement l essentiel de l expertise sécurité, au détriment des équipes de développement (entre autres). Même si elles ne disposent pas d un processus de gestion des risques informationnels formalisé, les entreprises devraient être capables de refléter l évolution des menaces dans leur organisation de façon plus proactive. L expérience montre cependant que, dans bien des cas, la prise de conscience s effectue lorsque survient un incident de sécurité. < Stéphane Adamiste, Information Security Consultant chez Elca 28

3 Intégrer la sécurité dans le développement applicatif En réponse au transfert observé des menaces pesant sur les systèmes d information de la couche réseau vers la couche applicative, les organisations sont vouées à intégrer des activités de sécurité dans leurs processus de développement. Dans les faits, cette évolution ne s effectue pas sans heurts. Etat des lieux. Stéphane Adamiste Les premières activités à mener par les organisations désireuses de mûrir dans le domaine du développement (plus) sécurisé sont incontestablement la sensibilisation et la formation. En 2011, plus de dix ans après que les attaques par injection SQL ont été documentées pour la première fois, il est en effet malheureusement encore très fréquent d impressionner tout ou partie d un auditoire composé de développeurs, architectes et autres chefs de projet informatiques grâce à une apostrophe judicieusement placée au sein d une URL. De par leur réalisme, les démonstrations d attaque sur application vulnérable constituent, on l aura compris, un excellent moyen de prise de conscience. Eveiller les divers protagonistes aux menaces constitue une étape nécessaire mais loin d être suffisante. L étape suivante consiste à incorporer diverses activités de sécurité tout au long du cycle de développement. Développement et sécurité Une première évaluation des risques est à réaliser dès la phase de définition des besoins. Elle permet d identifier la criticité de l application et les principaux enjeux du projet en termes de sécurité, et d en déduire les zones d attention particulière ainsi que la profondeur de l action à mener. Prendre en compte les exigences de confidentialité, d intégrité, de disponibilité et de conformité tout au long du cycle de vie des projets. Source: Elca Durant la phase de design, un exercice de modélisation des menaces permet, sur la base d un schéma de flux entre les composants, de déterminer les scénarios hostiles, susceptibles de compromettre les données traitées par la future application. De cette modélisation découlent les spécifications de sécurité à intégrer dans le design et l architecture afin de mitiger les risques. En cours de développement, les aspects de sécurité sont contrôlés dans le cadre du plan d assurance qualité. La revue de code, statique ou dynamique, permet de vérifier la mise en œuvre des bonnes pratiques de développement sécurisé. L utilisation de scanners de vulnérabilités automatiques ou la réalisation de tests d intrusion permettent, quant à elles, d évaluer le niveau de sécurité effectif de l application. Au stade de la mise en production et durant la période de maintenance, outre la correction d éventuels bugs de sécurité, des activités non strictement liées au développement mais indispensables à la protection des données traitées au sein de l application ont lieu. Il convient d abord d opérer un renforcement des composants de l infrastructure: serveurs web et applicatifs, solutions de gestion d identité et d accès, bases de données, composants réseau. Par renforcement, on entend: l application des derniers patches de sécurité, la désactivation des services et applications non nécessaires, la restriction des accès à l application ainsi qu à ses fonctions d administration, la limitation des flux réseaux au strict nécessaire. Il convient ensuite de maintenir le niveau de protection obtenu dans le temps en mettant en œuvre de façon rigoureuse les processus de veille technologique, patch management et change management. Si ces tâches semblent couler de source a priori, il s avère que des dysfonctionnements apparaissent bien souvent, par manque de coordination entre les équipes de développement, projet et infrastructure. Les clés d une approche réussie On peut légitimement s étonner du manque d intégration des pratiques de sécurité dans les projets de développement au vu des avantages qu elles procurent. Tout d abord, en basant l approche sur le risque, on adapte les tâches de sécurité au contexte du projet, ce qui garantit une optimisation de l effort investi. De plus, la sécurité dans le développement génère du retour sur investissement. Il est en effet estimé, qu au même titre que tout autre type de bug, un problème de sécurité détecté en phase d analyse des besoins s avère de 20 à 100 fois moins onéreux à traiter que s il est détecté une fois l application 29

4 en production. Enfin, la sécurité a un effet éminemment structurant sur les projets. La modélisation de menaces par exemple apporte, de manière rationnelle, nombre d éléments permettant d orienter les choix dans le design, l architecture, les options de configuration. Autre illustration, les tests de sécurité visent à fournir un niveau d assurance sur les pratiques de codage suffisamment tôt dans le processus de développement pour permettre de gérer d éventuelles défaillances constatées, sans remettre en cause le délai de livraison prévu. Comme évoqué précédemment, le personnel impliqué dans les projets de développement n est généralement pas conscient des problématiques de sécurité, ni encouragé à s y intéresser d ailleurs. Une action d évangélisation est donc nécessaire, afin que les acteurs comprennent les enjeux et l intérêt de la sécurité dans leurs projets, qu ils adoptent un mode de pensée orienté risques, et qu ils fassent appel à des spécialistes pour certaines parties sensibles du projet dont ils ne maîtrisent pas eux-mêmes toutes les implications. Dans la pratique, une résistance au changement n est pas à exclure face à cette remise en question des pratiques de développement traditionnelles. Les personnes en charge de la sécurité du développement doivent donc faire preuve de pédagogie et de disponibilité, être capables de s adresser à divers types d acteurs (développeurs, architectes, gestionnaires de projet, métier) dans un langage compréhensible par chacun d entre eux et montrer que les activités de sécurité améliorent la qualité globale du projet. Sur le long terme, l intégration de la sécurité au sein des pratiques de développement de façon systématique implique la mise en place de processus spécifiques, supportant les activités précédemment décrites. Il existe à cet égard des modèles de maturité relatifs à la sécurité logicielle tels qu OpenSAMM, Microsoft SDL ou encore BSI-MM. La mise en œuvre de l un de ces modèles permet une transition progressive et mesurée vers une organisation du développement capable de lutter plus efficacement contre les menaces applicatives. Absence de volonté stratégique, manque de compétences spécialisées, difficulté à intégrer de nouvelles approches dans les processus existants constituent les obstacles principaux à un développement applicatif plus sécurisé. Les organisations qui se donnent les moyens d améliorer leur posture à ce niveau génèrent pourtant un retour sur investissement et se dotent d un avantage compétitif non négligeable. < Sécuriser un développement pour smartphone Au carrefour du PC et du téléphone mobile, les smartphones attirent toutes les convoitises, y compris celles des hackers! Pour les développeurs d'applications mobiles, le défi est de taille. Jean-Marc Bost ELCARDm transforme les smartphones en sésame d'authentification, de validation de transaction ou de signature de documents Il est devenu une banalité de dire, qu'aujourd'hui, l'essentiel des attaques informatiques cible les applications plutôt que les infrastructures réseau. Et l'impact peut être important si on se réfère aux attaques récentes contre des sociétés emblématiques comme RSA, Comodo ou Sony. Sécuriser un développement est devenu encore plus difficile, et ce pour de multiples raisons, à commencer par l'insuffisance des moyens mis à disposition. La priorité des budgets va en effet rarement à la sécurité alors que dans le même temps les environnements se complexifient, la pression des délais s'accroit, et la menace se perfectionne. S'il est un contexte révélateur, c'est bien celui du smartphone. L'engouement est unanime et les entreprises s'y précipitent pour connecter leurs clients, leurs partenaires ou leurs employés. Les technologies sont cependant encore très neuves et évoluent très vite. Quant à la menace, elle se concrétise beaucoup plus rapidement qu'escompté. A titre d exemple, nous menons actuellement plusieurs développements sur smartphone chez Elca. L'un d'entre eux consiste à fournir une alternative moderne aux cartes à grille d'authentification ELCARD. Il s'agit donc d'un développement qui met un accent tout particulier sur la sécurité, ce qui en fait un cas d'école pour illustrer le propos. Nommée ELCARDm, la version ELCARD pour smartphone compte tirer le meilleur parti de ce nouveau support. Loin des cartes plastiques, ce sont des logiciels personnels qui seront installés par les utilisateurs sur leur téléphone. Ces softtokens doivent, entre autre, exploiter les capacités cryptographiques de la plateforme, se fondre dans sa logique interactive, et reposer sur un deuxième canal plus sûr que le SMS. Les plateformes cible sont iphone et Android pour débuter. Jean-Marc Bost dirige la division sécurité chez ELCA Informatique SA à Genève 30

5 Le smartphone: un écosystème complexe et exposé Les défis techniques posés sont nombreux pour la sécurité du résultat. Tout d'abord, les deux plateformes cibles diffèrent substantiellement dans leur philosophie. Alors que l'iphone mise sur un écosystème où l usage est entièrement sous contrôle, Android prêche l'ouverture et met à disposition des développeurs une architecture et des outils qu'il leur appartient d utiliser judicieusement. Ensuite, le modèle de distribution normal pour smartphone prévoit la distribution d'application par une boutique publique accessible à tous et donc exposée. Ce modèle ne prévoit aucun mécanisme pour limiter les accès aux ayants droit et il faut faire confiance au fournisseur pour en maîtriser le contenu. Le cycle de vie des logiciels constitue une troisième difficulté. A tout moment en effet, il faut pouvoir patcher une application et, là encore, il faut suivre la procédure prévue avec de nouveaux efforts de sécurisation à anticiper. Et ce n'est pas tout: il faut aussi intégrer les possibilités de backup/restore qui permettent de sauvegarder son smartphone sur un PC et de le restaurer. Autant de points d'attaque potentiels. Quatrièmement, il est difficile de lier une application à un smartphone donné. C'est un avantage pour l'utilisateur qui change de téléphone ou qui restaure une version précédemment sauvegardée, mais également un risque pour l'authentification. Pour lier aussi fortement que possible l'application au smartphone, il faut avoir recours au code natif plutôt qu'à des langages abstraits comme Java, voire Javascript. Ces langages sont malheureusement aussi plus permissifs et ainsi plus susceptibles d'amener des failles de programmation. Pour terminer, les deux plateformes proposent un service de notification fourni et opéré par leur concepteur. Nommé APN par Apple et C2DN par Google, ces services ont l'ambition d'établir un canal gratuit, direct et privé entre le fournisseur d'une application et le smartphone de l'utilisateur. Ceci est évidemment très intéressant pour construire un deuxième canal plus sûr (et moins cher) que le SMS. Cependant, le concept est encore récent et inégalement documenté. iphone et Android mettent à disposition des mécanismes de sécurité qu'il convient d'utiliser au mieux. Ainsi, les mécanismes de licence permettent d'authentifier une application avant son installation, les mécanismes de cloisonnement des applications permettent de se protéger contre d'autres applications malintentionnées, les stockages sécurisés compliquent le vol des données, etc. Malheureusement, les sécurités offertes ne sont pas imparables. Si l on prend, par exemple, les mécanismes de licence ou de cloisonnement proposés par Android, il peuvent être assez facilement contournés en téléchargeant l'application et en éditant le code pour éviter le contrôle effectué (ou pour changer les permissions nécessaires). Le problème de fond sur Android est l'absence d'un mécanisme de certification de l'origine des applications. Quant aux contrôles de l'iphone, ils peuvent être désactivés par l'utilisateur en jailbreakant son appareil. Et les dernières tentatives d'apple pour empêcher la manipulation n'ont pas résisté bien longtemps. Tout aussi délicat, certaines fonctions standard peuvent compromettre la confidentialité des données hébergées. Ainsi, une API iphone permet de récupérer les données privées stockées par d'autres applications. Le mécanisme de backup prévu par l'iphone est lui aussi incriminé car il expose en clair des données privées qui étaient à l'abri dans le store sécurisé du smartphone. Pour terminer, les mécanismes de notification présentent eux aussi des faiblesses. Les deux concepts obligent le serveur émetteur à faire confiance à un intermédiaire qui voit passer les messages en clair et à l'identité donnée par les smartphones destinataires. Notons encore qu'android authentifie l'émetteur avec un simple mot de passe Gmail. Des analyses de menace itératives en support du développement A toutes ces difficultés spécifiques, s'ajoutent les menaces habituelles comme l'éventualité d'attaques MITM sur certains flux SSL, des manipulations internes par le personnel technique ou des erreurs de programmation. Un tel environnement hostile amène rapidement à une attitude paranoïaque. Celle-ci est justifiée mais doit être canalisée et filtrée pour être utile. Dans ce type de réalisation, avec une forte exposition et des technologies immatures, il faut bien sûr prévoir un audit final du système sous la forme de tests d'intrusion et de revue de code, mais ce n'est de loin pas suffisant. Il est avant tout important d'étudier la menace et de tenir compte du risque qu'elle représente tout au long du développement. Une bonne façon de procéder consiste alors à intégrer des analyses de menace itératives tout au long du développement. A chaque étape significative, on déclenche un ou plusieurs workshops. Ceux qui construisent la solution confrontent leur vision aux menaces et best practices qui leur sont proposées par les experts des domaines abordés. Il en ressort des directives pour la solution, pour son développement et pour les tests. Une étape significative correspond à la préparation d'un livrable ou à la communication des résultats d'une étude ou d'un prototype. Dans le cas d'elcardm, il a été décidé de renforcer la confidentialité des échanges avec du chiffrement applicatif ou encore de reconstruire les informations sensibles en RAM et d'en limiter le temps d'exposition au strict nécessaire. D'un point de vue conceptuel, la logique est autant que possible délocalisée sur le serveur (moins exposé), les échanges sont limités en reposant sur le cycle de vie des cartes ELCARD, les canaux de distribution sont multipliés pour compliquer les interceptions et le blocage du softtoken est géré sur le serveur pour éviter les attaques brute force. Toutes les mesures appliquées pour ELCARDm ramènent le risque à un niveau acceptable, du moins avec notre compréhension actuelle de la menace. Toutefois, il ne faut pas être naïf, cette dernière va évoluer, de même que les outils mis à disposition par les plateformes pour s'en préserver. La démarche adoptée pour la création de la solution sera alors utile pour sa maintenance. Sécuriser un développement sensible est un travail de Sisyphe. < Pour avoir osé défier les dieux, Sisyphe fut condamné à faire rouler éternellement, dans le Tartare, un rocher jusqu'en haut d'une colline dont il redescendait chaque fois avant de parvenir à son sommet, tel que raconté dans l Odyssée. (wikipedia) Source: istock 31

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013 CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI ARTICLE 1 : OBJET Dernière version en date du 07/11/2013 Les présentes conditions particulières, complétant les conditions générales de services

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI)

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) Dernière version du 02 Septembre 2014 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE Version en date du 22/04/2014 RCS Chartres 807 381 157 Code APE 6202B Page 1 sur 6 ARTICLE 1 : OBJET DU DOCUMENT Les présentes conditions particulières,

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau Cible de Sécurité rweb4 Certification Sécurité de Premier Niveau Version 1.3 26 Février 2013 Table des Matières 1. Identification... 3 1.1 Identification de la cible de sécurité... 3 1.2 Identification

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING Les avantages considérables promis par le cloud computing aux petites

Plus en détail

Bilan sur la sécurité des applications

Bilan sur la sécurité des applications Bilan sur la sécurité des applications De récents piratages ciblant les applications et systèmes d'exploitation mobiles ont compromis la sécurité d'une quantité jusque-là inégalée de données d'entreprise.

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Sécurité informatique : sensibiliser votre personnel

Sécurité informatique : sensibiliser votre personnel En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients DOSSIER SOLUTION CA Service Assurance Mai 2010 assurez la qualité et la disponibilité des services fournis à vos clients est un portefeuille de solutions de gestion matures et intégrées, qui contribue

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/03 Librairie ncode

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet www.vazee.fr sont édités par :

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet www.vazee.fr sont édités par : CONDITIONS GENERALES D UTILISATION ARTICLE PREMIER Mentions légales L application VAZEE et le site internet www.vazee.fr sont édités par : VAZEE Société par actions simplifiée au capital de 56.000 euros,

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

DocuWare Mobile Product Info. La GED au service de la mobilité. Avantages

DocuWare Mobile Product Info. La GED au service de la mobilité. Avantages DocuWare Mobile Product Info La GED au service de la mobilité DocuWare Mobile vous permet d'accéder à une armoire DocuWare directement à partir de votre smartphone ou tablette. Vous pouvez consulter des

Plus en détail

Description des prestations

Description des prestations 1. Dispositions générales La présente description de prestations a pour objet les services (ciaprès dénommés les «services») de Swisscom (Suisse) SA (ci-après dénommée «Swisscom»). Elle complète les dispositions

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2010 Les webshells, ou comment ouvrir les portes de son réseau?

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte d'usages du système d'information 1/8 Sommaire Préambule...3 Article I. Champ d'application...4 Article

Plus en détail

L usage de l iphone se généralise dans l entreprise Conseils aux départements informatiques pour concilier exigences utilisateurs et contraintes de

L usage de l iphone se généralise dans l entreprise Conseils aux départements informatiques pour concilier exigences utilisateurs et contraintes de L usage de l iphone se généralise dans l entreprise Conseils aux départements informatiques pour concilier exigences utilisateurs et contraintes de sécurité Tapez «iphone dans les entreprises» dans Google

Plus en détail

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection La sécurité des PABX IP Panorama des risques et introduction des mesures de protection Marc LEFEBVRE Consultant Sécurité Orange Consulting - 25 avril 2013 Consulting Services cybersécurité by Orange unité

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

MDM : Mobile Device Management

MDM : Mobile Device Management articlemai 2011 MDM : Mobile Device Management > Objectifs Cet article aura pour but : de décrire ce qu est le MDM ; donner un aperçu des acteurs majeurs sur le marché ; de fournir des données chiffrées

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Exemple d examen EXIN Cloud Computing Foundation Édition Septembre 2012 Droits d auteur 2012 EXIN Tous droits réservés. Aucune partie de cette publication ne saurait être publiée, reproduite, copiée, entreposée

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START ARTICLE 1 : OBJET Dernière version en date du 06/12/2013 Les présentes conditions particulières, complétant les conditions générales

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Réussir le Service Management avec ISO 20000-1 Novembre 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Introduction (1/2) Il existe une norme internationale sur le Service Management en plus d ITIL

Plus en détail

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Sponsored by Mentions relatives aux droits d'auteur 2011 Realtime Publishers. Tous droits réservés. Ce site contient des supports

Plus en détail

Conditions Générales de Services WebSure

Conditions Générales de Services WebSure Conditions Générales de Services WebSure ATHENA GLOBAL SERVICES, représentant exclusif de la marque Websure ; 20, allée Louis Calmanovic, 93320 Les Pavillons Sous Bois. 1 OBJET Websure, réalise certaines

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Charte de bonnes pratiques des prestataires TIC

Charte de bonnes pratiques des prestataires TIC Charte de bonnes pratiques des prestataires TIC Sommaire Editorial 3 Introduction 4 Propriété 4 Principe 4 Engagement 4 Déontologie : règles générales 5 Le respect des personnes 5 L attitude face aux clients

Plus en détail

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL Cette page doit fournir aux clients toutes les informations concernant la sécurité du site d internet banking transactionnel, en particulier les

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Solutions mobiles de services bancaires

Solutions mobiles de services bancaires We make your business move > Apps Solutions mobiles de services bancaires Services bancaires sur smartphones et tablettes pour les clients entreprises > Solutions mobiles innovantes pour les clients entreprises

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

10 conseils infaillibles pour garantir la sécurité de votre activité. your

10 conseils infaillibles pour garantir la sécurité de votre activité. your 10 conseils infaillibles pour garantir la sécurité de votre activité on en keep top your 10 conseils infaillibles pour garantir la sécurité de votre activité Avec l évolution et le développement constant

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

2 PHP est-il plus dangereux que d autres langages?

2 PHP est-il plus dangereux que d autres langages? S. G. D. S. N Agence nationale de la sécurité des systèmes d information CERTA PREMIER MINISTRE Paris, le 20 mars 2007 N o CERTA-2007-INF-002 Affaire suivie par : CERTA NOTE D INFORMATION DU CERTA Objet

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

ACCÉDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.

Plus en détail

Vulnérabilités et cybermenaces des SI modernes

Vulnérabilités et cybermenaces des SI modernes Vulnérabilités et cybermenaces des SI modernes CNIS Event, 1 er juillet 2014 Frédéric Connes Frederic.Connes@hsc.fr 1/16 Plan! Caractéristiques des SI modernes! Recours de plus en plus fréquent au cloud

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME

Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME Des applications disponibles en permanence de la gestion quotidienne des systèmes à la reprise des

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde.

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde. Suite NCR APTRA La première plateforme logicielle libre-service financière au monde. UN PAS EN AVANT POUR L EXPERIENCE DES CLIENTS. Le secteur bancaire nous dit que la qualité de l expérience consommateur

Plus en détail

A P P L I C A T I O N D E L A M É T H O D E E B I O S À L E N T R E P R I S E O L D R H U M. Étude de cas M A S T E R

A P P L I C A T I O N D E L A M É T H O D E E B I O S À L E N T R E P R I S E O L D R H U M. Étude de cas M A S T E R A P P L I C A T I O N D E L A M É T H O D E E B I O S À L E N T R E P R I S E O L D R H U M Étude de cas M A S T E R S É C U R I T É D E S S Y S T È M E S D I N F O R M A T I O N Novembre 2006 Version

Plus en détail

Dossier Solution - Virtualisation Arcserve Unified Data Protection

Dossier Solution - Virtualisation Arcserve Unified Data Protection Dossier Solution - Virtualisation Arcserve Unified Data Protection La virtualisation des serveurs et des postes de travail est devenue omniprésente dans la plupart des organisations, et pas seulement au

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI Prestation sécurité Benjamin Arnault Matthieu Hentzien Benjamin

Plus en détail

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES LOT 2 Fourniture et installation d un système de GED pour la Mairie de La Wantzenau. Fiche technique Cahier des Charges

Plus en détail

A propos de la sécurité des environnements virtuels

A propos de la sécurité des environnements virtuels A propos de la sécurité des environnements virtuels Serge RICHARD - CISSP (IBM Security Systems) serge.richard@fr.ibm.com La virtualisation, de quoi parlons nous «Virtualiser» un objet informatique, ou

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Dématérialisation administrative en matière urbanistique et environnementale

Dématérialisation administrative en matière urbanistique et environnementale 32 Environnement Dématérialisation administrative en matière urbanistique et environnementale Arnaud Ransy Conseiller En réaction aux diverses initiatives existantes en matière de dématérialisation administrative

Plus en détail

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Notre plan C pour situations d'urgence et de crise La sécurité n'est pas une valeur absolue. Une gestion de risque peut éventuellement

Plus en détail

Les Logiciels Libres au Service de la Sécurité

Les Logiciels Libres au Service de la Sécurité Retour d expérience sur le déploiement de logiciels libres pour la sécurité des systèmes d information cedric.blancher@eads.net -- http://sid.rstack.org/ Centre Commun de Recherche EADS FRANCE Journée

Plus en détail

Politique de sécurité

Politique de sécurité Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales,

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Tableau Online Sécurité dans le cloud

Tableau Online Sécurité dans le cloud Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des

Plus en détail

SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE

SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE Plus de sécurité pour la gestion de l eau et de l énergie 2 Système de conduite en danger? Éviter les manipulations indésirables Lorsqu'un voleur

Plus en détail