DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
|
|
- Pauline Prudhomme
- il y a 8 ans
- Total affichages :
Transcription
1 DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES De la théorie à la pratique Juillet Document confidentiel - Advens 2012
2 Développer des Applications Web Sécurisées Intervenants Agenda Frédéric Patouly Sales & Technical Unit Manager Quotium Etat des lieux Limites des processus et outils utilisés dans le cycle de développement Jérémie Jourdin Responsable R&D Advens Bénéfices d une approche «datacentric» dans la sécurité applicative L exemple Seeker Questions / Réponses 2
3 Déroulement La présentation vous sera envoyée par après le webinar Vous pouvez poser vos questions à tout moment dans la fenêtre de chat Nous y répondrons en fin de session pendant le Q&A Mais pour l instant, nous vous conseillons d afficher les slides en plein écran pour votre confort 3
4 Quotium Technologies Editeur français de solutions logicielles innovantes pour maîtriser la performance et la sécurité des applications métiers tout au long de leur cycle de vie: ü Qtest: Test de charge et diagnostic de la performance ü AppliManager: Monitoring du ressenti utilisateur ü Seeker: Test interactif de la sécurité applicative Éléments clés Côté au NYSE Euronext à Paris Bureaux à Paris, Toulouse, Tel Aviv, Londres et New-York 200+ références grands comptes Label EUREKA entreprise innovante décerné par l OSEO Chairman au Comité OWASP Nos différences Une suite intégrée assurant la continuité entre les équipes 8 ans d expérience en performance et sécurité des applications métier Une offre de solution logicielle en sécurité applicative, Seeker, distinguée par Gartner en 2011 et 2012 pour son innovation et sa performance 4
5 Qui sommes-nous? Advens Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Éléments clés Créée en 2000 CA 6 millions d euros 60 collaborateurs Bureaux à Paris et à Lille Organisme certificateur agréé par l ARJEL (*) * Autorité de Régulation des Jeux En Ligne Nos différences Un pôle R&D et une expertise sécurité adaptée au monde du développement Une approche métier s appuyant sur des compétences sectorielles Une offre unique pour délivrer la sécurité de bout en bout, comme un service Une approche pragmatique et des tableaux de bord actionnables Une vision globale et indépendante des technologies 5
6 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques WEB Des intrusions parfois difficiles à détecter APT: Plusieurs exemples d intrusion et de maintient durant plusieurs jours / semaines AET: Qui en parle? De nombreuses entreprises ne maitrisent pas leur exposition sur le Web Les métiers qui contractualisent en direct Architectures distribuées Externalisation de services Des exemples réguliers dans la presse Cyber-Espionnage Cyber-Crime Cyber-Activisme 6
7 Etat des lieux en 2012 Augmentation des interventions forensic / post-mortem en 2011 E-Commerce: Chantages à l injection SQL Jeux vidéo en Ligne: Vol de données joueur Collectivité: Défiguration de site institutionnel Les applications restent vulnérables Aux attaques par injection Au Cross Site Scripting Aux faiblesses dans l authentification Aux faiblesses dans la gestion des sessions Le niveau de sécurité des applications Web ne progresse pas. Plus de 85% des applications Web auditées par Advens en 2011 présentent des failles dans le top 5 de l OWASP. 7
8 Des causes multiples Manque de sécurité dans les cahiers des charges Manque de sensibilisation des développeurs et des chefs de projets Manque de communication entre les développeurs / les architectes / le réseau Time to Market: Pression du métier Contrôles de sécurité insuffisants ou inadaptés Un comportement inacceptable de certains éditeurs sur les logiciels de niche Un manque de maitrise dans les techniques de sécurisation Une sécurité «périphérique» (ex: focus sur le frontal Web) 8
9 Sécuriser le cycle de développement Suivi de l application en production Analyse des besoins et faisabilité Contrôles / Audits Recette Spécifications générales Tests de validation Conception de l architecture Tests d intégration Conception détaillée Tests unitaires Développement 9
10 Sécuriser le cycle de développement Es#ma#on des coûts de correc#on des anomalies Secure Development Life Cycle Concep'on QA Produc'on 1x 5x 10x Conception Développement Intégration 15x Qualification 30x Pré-production 10
11 Ne pas raisonner en silo Web App Web Service Base de données Web Service Base de données Prendre en compte la sécurité de toute la chaine applicative 11
12 Les limites des tests de sécurité L audit de code statique a ses limites Long et fastidieux s il est fait manuellement Limites et coûts des outils automatisés L audit de code ne permet pas de prendre du recul sur le fonctionnement global de l application Un audit de code est inadapté dans le cycle de développement Sauf s il est fait au fil du projet, de manière régulière et automatisée Ou pour valider de petites portions de code critique, qui ne seront plus modifiées par la suite (ex: Routines d authentification) Ne pas oublier qu un développeur n est pas un expert en sécurité Les outils existants sont très souvent des outils d experts Nécessité d analyser les résultats avec un œil d expert pour identifier les failles dans le code 12
13 Les limites des tests de sécurité Les contrôles en boîte noire sont insuffisants et pourtant ce sont les plus utilisés On se focalise généralement sur les «portes d entrée» L approche boite noire impose de tout tester On ne teste que ce que l on découvre (limites du crawling sur certain site) Certains mécanismes d authentification empêchent l utilisation de scanners Obligation de tester «à la main» L application ne renvoie pas toujours d informations à l attaquant (ex: blind SQL injection) Un scan de vulnérabilités peut se révéler lourd pour les applications Impact non négligeable sur les ressources (notamment les bases SQL) Un scan est parfois très long pour être exhaustif (activation des fonctions heuristiques) Un test en boîte noire est inadapté dans le cycle de développement Il est préférable de le mener juste avant la mise en production C est un peu tard 13
14 Les limites des tests de sécurité Les outils d analyse dynamique du flux de code applicatif sont plus pertinents dans le processus de développement 14
15 Choisir les outils et les processus pour une défense en profondeur Applications Web Autres Applications Politique de sécurité Middlewares Bases de données Systèmes d exploitation Autres Environnements Réseau, stockage Privilégier une approche «Data Centric» dans les contrôles Plus rapide, plus sûre (moins de faux-positifs) 15
16 Analyse du codeflow L exemple Seeker Analyse du code flow et du flux de données de l application lg = d*p#3$f pwd = quotium01 Fonction Authenticate (lg, pwd) { Vue utilisateur Analyseur lg = dana dynamique = quotium01 Fonction dologinpwd (lg, pwd) { Agent Console Seeker Seeker lg =pwd) d*p#3$f rt = Authenticate (lg, pwd = quotium01 if rt <> 0 { Mot de passe non encrypté en base de données XSS SQL Injection } else exit -1; } lg =from d*p#3$f Select login, passwd Authentication where login=lg and = pwd pwdpasswd = quotium01 //Authentication Succeed if.. { Agent.. Analyseur dynamique Seeker } else // Authentication failed; } Agent Seeker Document confidentiel - Advens 2012 Agent Seeker Analyseur dynamique 16
17 Analyse du codeflow L exemple Seeker Analyse du code flow et du flux de données de l application 1 2 Construction d un arbre d attaque Exploitation de chaque faille potentielle Elimination des faux positifs Diminution importante des faux négatifs 17
18 Analyse du codeflow L exemple Seeker Visualisation de l exploitabilité de chaque vulnérabilité Seeker visualise le code où se trouve la faille sans disposer des fichiers sources. Avec une grande précision, Seeker détermine si une vulnérabilité est exploitable et où elle se trouve dans le code source sans avoir accès au code source pour conduire cette analyse. Joseph Feiman, Gartner 18
19 Analyse du code flow - avantages L analyse dynamique de l application (suivi du flux de code) est plus efficace Elle permet d identifier les risques suivants avec davantage de pertinence Persistent Cross Site Scripting Cross Site Request Forgery Problématiques sur la politique de mots de passe Mots de passe en clair dans les bases de données Contournement de l authentification Manipulation de paramètres Les outils d analyse dynamique s intègrent plus facilement dans les processus de développement Ils sont installés sur les environnements de développement / de test Ils «surveillent» l exécution du code et remontent les anomalies sans que le développeurs n aient besoin de s en soucier Le management peut piloter la réduction continue du nombre d alertes dans le temps 19
20 Analyse dynamique et SDLC: L exemple Seeker Posi#onnement de Seeker dans le SDLC Secure Development Life Cycle Concep'on QA Produc'on Durant la phase de développement Durant la phase d intégration Durant la phase de qualification 20
21 Outils et processus L exemple Seeker Développement QA Management Communication automatique avec les logiciels de contrôle qualité Tickets d incident documentés envoyés aux systèmes de gestion des incidents Reporting avancé mettant à disposition toutes les informations nécessaires à la prise de décision 21
22 Outils et processus L exemple Seeker Évolution dans le temps du niveau de sécurité de l application 22
23 Outils et processus L exemple Seeker Communication facilitée entre les différents acteurs Pour chaque risque du top 10 OWASP, Seeker indique le nombre de vulnérabilités et leur Nombre de vulnérabilités de sévérité. l application classées par criticité Nombre de pages vulnérables de l application classées par criticité 23
24 En synthèse La sécurité des applications doit être gérée de manière globale Analyser l application dans son architecture globale Ne pas se limiter aux portes d entrée Nécessité d analyser le code-flow et le data-flow La sécurité des applications doit se placer au cœur du cycle de développement Elle doit s intégrer le plus simplement possible et de la façon la plus transparente possible Elle doit pouvoir être portée par tous les acteurs (développement / sécurité / risk management) Cela nécessite une gestion du changement et un accompagnement adapté La prise en compte de la sécurité dans le cycle de développement va nécessiter : Une solution adaptée La mise à niveau des processus existants Une prise en compte progressive pour obtenir l adhésion de tous La sécurité est l affaire de tous et pas seulement de quelques spécialistes 24
25 Développer des applications Web sécurisées Questions? Jérémie Jourdin - jeremie.jourdin@advens.fr Advens Frédéric Patouly - frederic.patouly@quotium.com 25
26 MERCI DE VOTRE PARTICIPATION Téléchargez notre avis d expert : Retrouvez-nous sur LinkedIn : Télécharger notre livre blanc sur la sécurité : Retrouvez Seeker en vidéo: Juillet Document confidentiel - Advens 2012
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailRevue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?
Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I
Plus en détailAnalyse statique de code dans un cycle de développement Web Retour d'expérience
Analyse statique de code dans un cycle de développement Web Retour d'expérience Laurent Butti et Olivier Moretti Orange France prenom.nom@orange.com Agenda Introduction Notre contexte L (in)sécurité des
Plus en détailAttaques ciblées : quelles évolutions dans la gestion de la crise?
3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailSécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailGestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?
Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailLa Sécurité des Données en Environnement DataCenter
La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement
Plus en détailPrincipales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement
Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.
Plus en détailOZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications
OZSSI NORD 4 JUIN 2015 - LILLE Conférence thématique: Sécurité des applications www.advens.fr Document confidentiel - Advens 2015 Présentation de la société Advens 2 La sécurité est source de valeur Pas
Plus en détailSolution de sauvegarde pour flotte nomade
Solution de sauvegarde pour flotte nomade > PRÉSENTATION D OODRIVE > Les enjeux LA SOLUTION > La solution AdBackup Laptop > Sécurité et options de protection > Monitoring et services > Hébergement (mode
Plus en détail«Sécurisation des données hébergées dans les SGBD»
Journée CLUSIR EST 28 septembre 2007 «Sécurité, Virtualisation et Bases de données» «Sécurisation des données hébergées dans les SGBD» Bruno Rasle bruno.rasle@cortina.fr Bruno Rasle Responsable des Offres
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailTom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!
Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des
Plus en détailTrusteer Pour la prévention de la fraude bancaire en ligne
Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailInfostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données
Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes
Plus en détailIDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?
IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council
Plus en détailTEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME
TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME Vo t r e s p e a k e r a u j o u r d h u i : F r a n ç o i s W e b S e c u r i t y M a n a g e r Agenda Partie
Plus en détailSécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Plus en détailSÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB
SWAT BROCHURE SÉCURITÉ DES APPLICATIONS WEB La sécurité des applications Web s est avérée être un énorme défi pour les entreprises ces dernières années, très peu de solutions appropriées étant disponibles
Plus en détailAdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com
AdBackup Laptop Solution de sauvegarde pour flotte nomade Société Oodrive www.adbackup-corporatesolutions.com Sommaire Présentation d Oodrive...3 Carte d identité...3 Références clients...3 Les enjeux...4
Plus en détailITIL et SLAs La qualité de service nous concerne tous!
+ Le 9 Avril 2013 ITIL et SLAs La qualité de service nous concerne tous! + Introduction Intervenants Yannick Goubet: Responsable Commercial GSX Solutions Yann Baudic: Technical Account Manager GSX Solutions
Plus en détailGestion des incidents de sécurité. Une approche MSSP
Gestion des incidents de sécurité Une approche MSSP Agenda Présentation du ThreatManagement Center Le rôle d un MSSP dans la supervision de sécurité La gestion d incidents 2 Agenda Présentation du ThreatManagement
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailTech-Evenings Sécurité des applications Web Sébastien LEBRETON
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détail<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts
La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion
Plus en détailNouveau usages, nouvelle gestion des identités?
28 juin 2013 Nouveau usages, nouvelle gestion des identités? Patrick MARACHE, Manager Sécurité de l Information patrick.marache@solucom.fr Solucom, conseil en management et système d information Cabinet
Plus en détailwww.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»
www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations
Plus en détailÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA
ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA Plan d évolution du Big Data en matière d analyse prédictive de la sécurité AVANTAGES CLÉS Ce livre blanc aborde les points suivants : La complexité
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailPrésentation de la démarche : ITrust et IKare by ITrust
Présentation de la démarche : ITrust et IKare by ITrust 1.1. ITrust La société ITrust est composée d Ingénieurs CISSP et LeadAuditor 27001. ITrust édite depuis 2007 un catalogue de services autour : -
Plus en détailCybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007
QUELLE PLACE POUR UN FRAMEWORK CLOUD SÉCURISÉ? Cybersecurite Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007 Fondateurs Jean-Nicolas Piotrowski
Plus en détailApps Password Vault. 15 Janvier 2015
BY Apps Password Vault 15 Janvier 2015 Les Solutions Cyber-Ark, éditeur de solutions spécialisées dans la sécurisation et la gestion des utilisateurs privilégiés, d'applications et d'informations hautement
Plus en détailHomologation ARJEL : Retour d expérience
Homologation ARJEL : Retour d expérience Ossir Paris / Juin 2013 Thibaud Binétruy Consultant Sécurité Thibaud.Binetruy@intrinsec.com 1 Homologation ARJEL : Retour d expérience Intrinsec? Petite présentation!
Plus en détailla mutation de la fonction commerciale à l heure du digital méthode & outils
la mutation de la fonction commerciale à l heure du digital méthode & outils Le monde a changé, sachez vous adapter! 1. Laissez vos prospects s informer avant de les contacter. 2. Usez du digital pour
Plus en détailRecovery as a Service
Recovery as a Service Quand le Cloud Computing vole au secours des entreprises Membres du groupe : KIRCHHOFER Nicolas BUISSON Marc DJIBRINE Rayanatou DUVAL Fabien JOUBERT Yohan PAQUET Jérôme 1 Coachés
Plus en détailGé nié Logiciél Livré Blanc
Gé nié Logiciél Livré Blanc Version 0.2 26 Octobre 2011 Xavier Blanc Xavier.Blanc@labri.fr Partie I : Les Bases Sans donner des définitions trop rigoureuses, il faut bien commencer ce livre par énoncer
Plus en détailContrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs
Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué INTERDATA Présentation Q1Labs Agostinho Rodrigues Séminaire Aristote 11 juin 2009 2 Les Problématiques Actuelles Volume
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailCréer un tableau de bord SSI
Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailIngénierie et Manufacture Votre guide SMS
Votre guide SMS Le SMS, un outil de communication efficace Beaucoup d entreprises intègrent l envoi de SMS dans leurs applications. Cette tendance est de plus en plus marquée puisque le SMS est l outil
Plus en détailQUI SOMMES-NOUS? Cette solution s adresse aussi bien aux PME/PMI qu aux grands groupes, disposant ou non d une structure de veille dédiée.
PRESENTATION QUI SOMMES-NOUS? La société VIEDOC, formée d ingénieurs expérimentés, conseille depuis 2004 les entreprises dans les domaines de la veille, de l intelligence économique et de l innovation.
Plus en détailMettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité
Mettre en oeuvre l authentification forte au sein d une banque d investissement Alain ROUX Consultant sécurité GS Days Présentation EdelWeb Décembre 2009 Agenda Présentation d EdelWeb Contexte Les solutions
Plus en détailConférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détailLe scan de vulnérabilité
4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés
Plus en détailJSSI 2012 13 mars 2012 Laurent Butti Orange France DMGP/PORTAIL laurent.butti@orange.com
Retour d'expérience sur les outils d'audit d'applications Web en «boite noire» JSSI 2012 13 mars 2012 Laurent Butti Orange France DMGP/PORTAIL laurent.butti@orange.com À propos Expérience en R&D (Orange
Plus en détailDenyAll Detect. Documentation technique 27/07/2015
DenyAll Detect Documentation technique 27/07/2015 Sommaire 1. A propos de ce document... 3 1.1 Objet... 3 1.2 Historique... 3 1.3 Contexte... 3 2. Liste des tests... 4 2.1 Découverte réseau (scan de ports)...
Plus en détailSingle Sign-on (Gestion des accès sécurisés)
1 Single Sign-on (Gestion des accès sécurisés) Témoignage du C.H.R de la Citadelle 2 AGENDA A propos du CHR Genèse du projet Projet Bilan de la situation et Conclusions 3 A PROPOS DU C.H.R -Intercommunale
Plus en détailCette solution s adresse aussi bien aux PME/PMI qu aux grands groupes, qu ils disposent ou non d une structure de veille dédiée.
PRESENTATION QUI SOMMES-NOUS? La société VIEDOC, formée d ingénieurs expérimentés, conseille depuis 2004 les entreprises dans les domaines de la veille, de l intelligence économique et de l innovation.
Plus en détailPrésentation de la solution Open Source «Vulture» Version 2.0
Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org
Plus en détailSQL Parser XML Xquery : Approche de détection des injections SQL
SQL Parser XML Xquery : Approche de détection des injections SQL Ramahefy T.R. 1, Rakotomiraho S. 2, Rabeherimanana L. 3 Laboratoire de Recherche Systèmes Embarqués, Instrumentation et Modélisation des
Plus en détailRemote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)
Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...
Plus en détailDEMANDE D INFORMATION RFI (Request for information)
DIRECTION DE LA COMPTABILITE RFI Demande d information Dématérialisation des factures fournisseurs Réf. : RFI2011_DEMAFAC_V1.3_2011-05-04.docx Page 1/6 DEMANDE D INFORMATION RFI (Request for information)
Plus en détailLA PROTECTION DES DONNÉES
LA PROTECTION DES DONNÉES PROTECTION DES BASES DE DONNÉES 22/11/2012, Swissôtel Métropole INTRODUCTION UNE CIBLE DE CHOIX Contient énormément de données confidentielles Rarement protégée autrement que
Plus en détaildans un contexte d infogérance J-François MAHE Gie GIPS
Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion
Plus en détailAtelier Sécurité / OSSIR
Atelier Sécurité / OSSIR Présentation Produits eeye SecureIIS Retina elorrain@eeye.com & broussel@eeye.com Sommaire Page 2 Qui sommes nous? SecureIIS Protection Web Retina Scanner de Sécurité Questions
Plus en détailProtéger les données critiques de nos clients
La vision d Imperva Notre mission : Protéger les données critiques de nos clients Pour cela, Imperva innove en créant une nouvelle offre : Sécurité des données Vos données critiques se trouvent dans des
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailGarantir une meilleure prestation de services et une expérience utilisateur optimale
LIVRE BLANC Garantir une meilleure prestation de services et une expérience utilisateur optimale Mai 2010 Garantir une meilleure prestation de services et une expérience utilisateur optimale CA Service
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailOffre Technique Tunis, Décembre 2013. Société d Ingénierie Informatique Spécialiste en Infrastructure de Pointe et des Systèmes d Information
Version 1.0 H. Wali P: 00 / 00 Indice: Madame, Monsieur, Les nouvelles technologies de l information et de la communication engendrent la nécessité pour les entreprises de traiter de plus en plus rapidement
Plus en détailSystème d information : démystification, facteur de croissance et conduite du changement
Système d information : démystification, facteur de croissance et conduite du changement Patrick CONVERTY Directeur Commercial www.cibeo-consulting.com Approche globale de la performance Stratégie Système
Plus en détailComment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur
Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences
Plus en détailUn business model d éditeur open source
Un business model d éditeur open source Paris, le 7 juin 2007 Stéfane Fermigier CEO Agenda Le pôle Ouverture Notre marché: l ECM Notre métier: éditeur open source De la plateforme à l écosystème 0. Ouverture
Plus en détailCircuit du médicament informatisé
Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N
Plus en détailSécurité des applications web. Daniel Boteanu
I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet
Plus en détailLes Bonnes PRATIQUES DU TEST LOGICIEL
Les Bonnes PRATIQUES DU TEST LOGICIEL SOMMAIRE Qu est-ce que le test logiciel? Pourquoi le test est-il un maillon crucial de l ingénierie logicielle? Quels sont les différents types de tests? Qu est-ce
Plus en détailPrésentation Level5. Editeur de Logiciels. «If it s not monitored, it s not in production» Theo Schlossnagle #velocityconf
Editeur de Logiciels Présentation Level5 «If it s not monitored, it s not in production» Theo Schlossnagle #velocityconf «If you can not measure it, you can not improve it» Lord Kelvin vous accompagne
Plus en détailGRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation
GRIFES Gestion des risques et au-delà Pablo C. Martinez TRMG Product Leader, EMEA Symantec Corporation Gestion des risques et conformité Principaux soucis Se conformer aux mandats Rester loin des menaces
Plus en détailUne protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre
Une protection ICT optimale Du conseil à la gestion en passant par le développement et la mise en oeuvre 1 Sommaire Cette brochure vous donne de plus amples informations sur la manière dont Telenet peut
Plus en détailLa sécurité des PABX IP. Panorama des risques et introduction des mesures de protection
La sécurité des PABX IP Panorama des risques et introduction des mesures de protection Marc LEFEBVRE Consultant Sécurité Orange Consulting - 25 avril 2013 Consulting Services cybersécurité by Orange unité
Plus en détailTraçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente
Traçabilité des administrateurs internes et externes : une garantie pour la conformité Marc BALASKO Ingénieur Avant-vente Quelles normes? Sécurité des données des titulaires de cartes bancaires Régulation
Plus en détailNOVA BPM. «Première solution BPM intégr. Pierre Vignéras Bull R&D
NOVA BPM «Première solution BPM intégr grée» Pierre Vignéras Bull R&D Définitions Business Process Pratiques existantes qui permettent aux personnes et systèmes de travailler ensemble Business Process
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailRéf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement
La sécurisation des transactions électroniques a toujours été au cœur des préoccupations des acteurs du paiement, qu'ils soient commerçants, institutions financières ou fournisseurs de services. L'industrie
Plus en détailAdopter une approche unifiée en matière d`accès aux applications
Adopter une approche unifiée en matière d`accès aux applications Présentée par Jean-Steve Shaker Architecte de solutions - Virtualisation 2012 Technologies Metafore Inc. L évolution 2012 Technologies Metafore
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailTRAFFIC EXPERT. LA SOLUTION INTELLIGENTE POUR LES SYSTEMES DE GESTION DE TRAFFIC L expérience de STERIA à SINGAPOUR. Nabil DJEMAME (Steria)
TRAFFIC EXPERT LA SOLUTION INTELLIGENTE POUR LES SYSTEMES DE GESTION DE TRAFFIC L expérience de STERIA à SINGAPOUR LILLE : 8h30 TRAFIC FLUIDE Postes Opérateurs Ecran de gauche Ecran de droite Dédié aux
Plus en détailComment choisir la solution de gestion des vulnérabilités qui vous convient?
Comment choisir la solution de gestion des vulnérabilités qui vous convient? Sommaire 1. Architecture 2. Sécurité 3. Evolutivité et convivialité 4. Précision/Performance 5. Découverte/Inventaire 6. Analyse
Plus en détailFrontRange SaaS Service Management Self-Service & Catalogue de Service
FrontRange SaaS Solutions DATA SHEET 1 FrontRange SaaS Service Management Self-Service & Catalogue de Service ACTIVATION DE LA PRESTATION DE SERVICE ET DE SUPPORT VIA L AUTOMATISATION Proposez des Opérations
Plus en détailMy Poker Manager Guide Utilisateur. Guide Utilisateur
«My Poker Manager» Guide Utilisateur Sommaire My Poker Manager Guide Utilisateur Sommaire... 2 My Poker Manager... 3 Tous les outils... 4 1 Système d alerte... 5 2 Composant de stacking ou pile de tables...
Plus en détailManaged VirusScan et renforce ses services
VirusScan ASaP devient Managed VirusScan et renforce ses services Protection antivirus administrée, automatique et permanente pour les postes de travail, les nomades et les serveurs de fichiers. Avec la
Plus en détailWeb Application Firewalls (WAF)
Web Application Firewalls (WAF) Forum CERT-IST Paris le 9 Juin 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) French Chapter Leader Copyright 2009 - The OWASP Foundation Permission is granted to copy,
Plus en détailPRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans
Plus en détail