Cours sécurité informatique M&K HDHILI



Documents pareils
Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Sécurité des applications Retour d'expérience

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Sécurité du cloud computing

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Mise en place d une politique de sécurité

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

L'écoute des conversations VoIP

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Malveillances Téléphoniques

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Bibliographie. Gestion des risques

La sécurité IT - Une précaution vitale pour votre entreprise

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Sécurité des systèmes informatiques Introduction

Gestion du risque numérique

Introduction sur les risques avec l'informatique «industrielle»

Jusqu où aller dans la sécurité des systèmes d information?


Chapitre 02. Gestion de l'information

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Meilleures pratiques de l authentification:

Hébergement d Infrastructures Informatiques

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Sécurité des Postes Clients

Virtualisation et Sécurité

Sécurité et «Cloud computing»

Retour sur investissement en sécurité

Politique et charte de l entreprise INTRANET/EXTRANET

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Le top 10 des menaces de sécurité des bases de données. Comment limiter les principales vulnérabilités des bases de données?

Détection d'intrusions et analyse forensique

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

SECURIDAY 2013 Cyber War

Projet Sécurité des SI

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal Cédric Blancher

AUDIT CONSEIL CERT FORMATION

Fiche descriptive de module

Prestations d audit et de conseil 2015

Sécurité informatique: introduction

Gestion des incidents

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Protocoles cryptographiques

PRINCIPES DE BASE DE LA SAUVEGARDE POUR LA PROTECTION DE VOS DONNÉES ET DE VOTRE ACTIVITÉ

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Excellence. Technicité. Sagesse

Protection des données et des mobiles de l'entreprise

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Étudiant : Nicolas Favre-Félix IFIPS Info 3. Les One Time Passwords, Mots de passe à usage unique

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

SafeNet La protection

VOLUME I ETUDES DE CAS RELATIFS A DES PROJETS DE PASSATION ELECTRONIQUE DE MARCHES PUBLICS

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Chap. I : Introduction à la sécurité informatique

Ineo Télésécurité Services Télésurveillance et centre d appels. cofelyineo-gdfsuez.com

Technologie SDS (Software-Defined Storage) de DataCore

(In)sécurité de la Voix sur IP (VoIP)

JOURNÉE THÉMATIQUE SUR LES RISQUES

Audits énergétiques. L efficacité énergétique dans l industrie

Anaplan facilite la planification stratégique des effectifs dans une société de cloud computing en pleine expansion. Introduction. Cas d'usage.

LA PROTECTION DES DONNÉES

Aperçu technique Projet «Internet à l école» (SAI)

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Les vols via les mobiles

1 LE L S S ERV R EURS Si 5

Audits énergétiques. L efficacité énergétique dans les bâtiments

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Panorama général des normes et outils d audit. François VERGEZ AFAI

Extrait de Plan de Continuation d'activité Octopuce

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

ITIL V3. Objectifs et principes-clés de la conception des services

A.E.C. - Gestion des Applications, TI LEA.BW

DPS 14 septembre 06. Bilan de l avancée de la démarche à 6 mois AIPST Caen

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Dr. Ala eddine BAROUNI

Audit de la sécurité physique

Introduction aux services de domaine Active Directory

Etat des lieux sur la sécurité de la VoIP

2012 / Excellence. Technicité. Sagesse

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Si vous avez des questions ou bien si vous voulez tout simplement vous détendre, faite un tour sur le forum.

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

THEME 1 : Le contrôle des ressources financières allouées au secteur de la santé publique

Transcription:

Cours sécurité informatique Mohamed Houcine HDHILI med_elhdhili@yahoo.es Karima MAALAOUI karima.maalaoui@yahoo.fr 1

Objectifs du cours Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d information Services, Attaques, Mécanismes Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques. Acquérir des connaissances sur les méthodes cryptographique intervenant dans la plupart des mécanismes de sécurité 2

Plan du cours Enjeux de la sécurité informatique Vulnérabilités protocolaires et attaques réseaux Vulnérabilités logicielles et attaques Web Cryptographie Parefeux Système de détection et de prévention d'intrusions 3

Chapitre 1: Enjeux de la sécurité informatique 4

Définition Sécurité: Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le soient. Sécurité des systèmes d informations Système d information: Ensemble d activités consistant à gérer les informations: acquérir, stocker, transformer, diffuser, exploiter Fonctionne souvent grâce à un système informatique Sécurité du système d information = sécurité du système informatique 5

Perimètre de la sécurité Bases de données Réseaux Personnel Web SÉCURITÉ DE QUI? DE QUOI? Locaux Systèmes d exploitation Applications Matériel 1) Sécurité logique 2) Sécurité - physique Des données, des applications, des OS et des communications réseaux - Contrôle d accès physique - Anti-incendie, dégâts d eau - Climatisation 3) Périmètre organisationnel: répartition des responsabilités, sensibilisations des utilisateurs, contrôle, politique et guide de sécurité 6

Nécessité de la sécurité (1/2) Avant...ça ne nous intéresse pas Ce n'est pas urgent Je suis occupé Ce n'est pas un problème Les performances d'abord Ça coute trop cher La communication d'abord Mais, je n'ai rien à cacher... 7

Nécessité de la sécurité (2/2) Aujourd'hui... Besoin d'une stratégie de sécurité pour tous les domaines Contrats Législation Informaticien Réseaux SÉCURITÉ néssaire pour : Entreprises utilisateur Logiciel Matériel - 8

Aspects de la sécurité Actions exécutées pour casser les services de la sécurité en détournant les mécanismes (2) ATTAQUES (1) SERVICES (3)MÉCANISMES Fonctionnalités requises pour assurer un environnement sécurisé en faisant appel aux mécanismes Moyens utilisés pour assurer les services de la sécurité en luttant contre les attaques 9

Aspects de la sécurité: services Authentification Assurance de l'identité d'un objet de tout type qui peut être une personne (identification), un serveur ou une application. Intégrité Garantie qu'un objet (document, fichier, message, etc.) ne soit pas modifié durant la communication. Services Non répudiation Assurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir reçu. Confidentialité Assurance qu une information ne soit pas comprise par un tiers qui n en a pas le droit Disponibilité Assurance que les services ou l'information soient utilisable et accessible par les utilisateurs autorisés 10

Attaques (1/2) Système Attaque interne Attaque externe Attaques passives Type d'attaque interception interruption injection modification fabrication Propriétés visées confidentialité disponibilité Integrité Confidentialité Integrité authenticité Attaques actives 11

Aspects de la sécurité: mécanismes 12

Risque Le risque: Le fait qu un événement puisse empêcher de Maintenir une situation donnée Maintenir un objectif dans des conditions fixées Satisfaire une finalité programmée 13

Politique de sécurité(1/2) Elaboration Après l'analyse des risques Objectifs Sécurisation adaptée aux besoins de l entreprise Compromis sécurité - fonctionnalité. Permet d analyser un audit de sécurité Composantes politique de confidentialité politique d accès politique d authentification Politique de responsabilité Politique de maintenance politique de rapport de violations Etc. 14

Politique de sécurité(2/2) Etapes d élaboration: Identifier les risques et leurs conséquences. Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés. Surveillance et veille technologique sur les vulnérabilités découvertes. Actions à entreprendre et personnes à contacter en cas de détection d'un problème. Etapes de mise en place: Mise en œuvre Audit et tests d'intrusion Détection d'incidents Réactions Restauration 15

Audit sécurité Audit: Mission d examen et de vérification de la conformité (aux règles) d une opération, d une activité ou de la situation générale d une entreprise Objectifs: Voir si la politique de sécurité est respectée Découvrir les risques Effectuer des tests techniques de vulnérabilité Proposer des recommandations Proposer un plan d action 16

A venir Attaques réseaux vulnérabilités protocolaires 17

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back