Formation en SSI et ANSSI. E ric Jaeger, ANSSI Workshop Enseignement de la SSI, mardi 13 mai 2014

Documents pareils
Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

politique de la France en matière de cybersécurité

L Agence nationale de la sécurité des systèmes d information

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Systèmes et réseaux d information et de communication

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

sommaire dga maîtrise de l information LA CYBERDéFENSE

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

Prestations d audit et de conseil 2015

Division Espace et Programmes Interarméeses. État tat-major des armées

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Gestion des Incidents SSI

Rapport technique n 8 :

ISFA INSTITUT DE SCIENCE FINANCIÈRE ET D ASSURANCES GRANDE ÉCOLE D ACTUARIAT ET DE GESTION DES RISQUES

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

La cyberdéfense : un point de vue suisse

Maîtrise des Fournisseurs. La CAEAR. Commission d Acceptation des Entreprises en Assainissement Radioactif

AUDIT CONSEIL CERT FORMATION

ISO conformité, oui. Certification?

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

L'AUDIT DES SYSTEMES D'INFORMATION

L analyse de risques avec MEHARI

L hygiène informatique en entreprise Quelques recommandations simples

dans un contexte d infogérance J-François MAHE Gie GIPS

M. Jean-Yves Le Drian, Ministre de la défense. Discours d ouverture du colloque sur la cyberdéfense

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Les métiers du ministère des Affaires étrangères. m ti. é er. Direction des ressources humaines 2013

Schéma Régional d Intelligence Economique (SRIE) de la région CENTRE

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

PASSEPORT POUR LA MISE EN SITUATION PROFESSIONNELLE -MSP- HABILITATION DE L ARCHITECTE DIPLÔMÉ D ÉTAT À EXERCER LA MAITRISE D ŒUVRE EN SON NOM PROPRE

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

PASSI Un label d exigence et de confiance?

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

Le Cert-IST Déjà 10 ans!

Mesures détaillées. La cybersécurité des systèmes industriels

Objectifs pédagogiques de l enseignement «Métiers»

Module Projet Personnel Professionnel

Créer un tableau de bord SSI

La gestion globale des contenus d entreprise

Poursuivre ses études à l'université de Rouen Masters professionnels en Informatique et en Mathématiques. UFR Sciences et Techniques /18

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

CONTRIBUTION DU CH-FO Le dialogue social et la gestion des ressources humaines

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

MANUEL QUALITE HYGIENE SECURITE ET ENVIRONNEMENT

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Programme Hôpital numérique

APPEL A CANDIDATURES

CATALOGUE DE FORMATIONS

7ème. Forum International de la Cybersécurité. 20 et 21 janvier 2015 Lille Grand Palais. Cybersécurité et Transformation Numérique

La politique de recours à la sous-traitance au CEA. Situation de Cadarache. Réunion de la CLI de CADARACHE 4 juillet 2012 PAGE 1

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Qualité Sécurité Environnement

stratégie de communication

INDICATIONS DE CORRECTION

CODE DE CONDUITE FOURNISSEUR SODEXO

DECLARATION DES PERFORMANCES N 1

CQP Plasturgie Assemblage parachèvement finitions. Référentiels d activités et de compétences Référentiel de certification

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

Fonctionnalités HSE PILOT. Groupe QFI

La sécurité applicative

«ASSISTANT SECURITE RESEAU ET HELP DESK»

LES METIERS DU NUMERIQUE COMMUNICATION ET MARKETING

Panorama général des normes et outils d audit. François VERGEZ AFAI

SIGIPES OUTIL INFORMATIQUE D ACCOMPAGNEMENT DE LA REFORME DE DECONCENTRATION DE LA GESTION DU PERSONNEL ET DE LA SOLDE

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 33 du 4 juillet PARTIE PERMANENTE Administration Centrale. Texte 2

Catalogue de services standard Référence : CAT-SERVICES-2010-A

Cabinet d Expertise en Sécurité des Systèmes d Information

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

FORMATION DU PERSONNEL. Année. Plan prévisionnel 2015 des actions de formation du personnel de l Université du Havre

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

WHITE PAPER DES ASSISES 2011

Communication. Information. Normes juridiques. Litiges. Santé humaine / Soins aux animaux. Technologie de l information et de la communication

HySIO : l infogérance hybride avec le cloud sécurisé

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Formation Méthode MDM. Architecture et procédés de modélisation des données de référence

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

&RQVHLO5pJLRQDO 1RUG± 3DVGH&DODLV

Transcription:

Formation en SSI et ANSSI E ric Jaeger, ANSSI Workshop Enseignement de la SSI, mardi 13 mai 2014

Émergence de la cybersécurité en France 2008 Le Livre Blanc identifie l attaque informatique contre les infrastructures nationales comme une menace majeure 1 2009 Création de l Anssi (décret n o 2009-834 du 7 juillet 2009) 2010 La menace évolue et les attaques informatiques de grande ampleur se multiplient ; Stuxnet est détecté 2011 L Anssi devient autorité nationale en matière de défense et sécurité des systèmes d information 2011 L attaque contre Bercy marque les esprits 2013 Nouveau Livre Blanc mettant une nouvelle fois en exergue la menace sur les systèmes d information 2013 L affaire E. Snowden 1. Dans les 15 prochaines années É. Jaeger, 13/05/2014 CFSSI 2/20

L Agence nationale de la SSI Service à compétence nationale rattaché au Secrétaire général de la défense et de la sécurité nationale (Premier ministre), l Anssi décide des mesures pour répondre aux crises affectant ou menaçant la sécurité des SI des autorités publiques et des OIV conçoit, fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques nécessaires aux hautes autorités propose des règles pour protéger les SI de l État et vérifie leur application met en œuvre un système de détection des incidents sur les SI de l État qualifie des produits de sécurité et des prestataires de service de confiance assure la formation des personnels qualifiés dans le domaine de la SSI favorise la prise en compte de la sécurité dans le développement des TIC participe à l orientation de la R&D de la SSI contribue à la promotion des des savoir-faire nationaux en SSI É. Jaeger, 13/05/2014 CFSSI 3/20

Le centre de formation à la SSI Au sein de la sous-direction expertise (SDE), le CFSSI développe et met en œuvre la politique formation de l ANSSI, avec notamment des stages courts (formation professionnelle) une formation longue et le titre d Expert en SSI 2 les relations avec les établissements de formation l intégration de la SSI dans les formations en informatique 2. Également accessible via Télécom SudParis É. Jaeger, 13/05/2014 CFSSI 4/20

Quelques adresses Site de l ANSSI www.ssi.gouv.fr Bonnes pratiques, recommandations, guides www.ssi.gouv.fr/fr/bonnes-pratiques/ Publications (dont articles de conférence) www.ssi.gouv.fr/fr/anssi/publications Formation www.ssi.gouv.fr/cfssi Portail de la sécurité informatique www.securite-informatique.gouv.fr É. Jaeger, 13/05/2014 CFSSI 5/20

Vocabulaire Cybersécurité : état recherché [...] permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l intégrité ou la confidentialité des données [...] et des services fait appel à des techniques de sécurité des systèmes d information [...] et sur la mise en place d une cyberdéfense [i.e.] d un ensemble de mesures techniques et non techniques La cybersécurité associe SSI (ou cyberprotection), cyberdéfense et lutte contre la cybercriminalité É. Jaeger, 13/05/2014 CFSSI 6/20

Plan 1 Retour d expérience sur la formation à la SSI 2 Intégration de la SSI 3 Autres perspectives É. Jaeger, 13/05/2014 CFSSI : Retour d expérience sur la formation à la SSI 7/20

Définir le sujet et les objectifs La cybersécurité ne se réduit pas à la préservation de la vie privée, à la protection du commerce en ligne ou à la défense contre les virus Il est souvent nécessaire de clarifier le sujet, les enjeux... et de mettre en évidence la variété de profils des acteurs du domaine architecte ou spécialiste SSI cyberdéfenseur auditeur pentesteur RSSI... Dans la suite, nous parlons surtout des formations SSI É. Jaeger, 13/05/2014 CFSSI : Retour d expérience sur la formation à la SSI 8/20

La SSI, un état d esprit Compléter le raisonnement fonctionnel avec l approche sécurité (duale) fonctionnel : trouver une solution apportant les services attendus sécurité : interdire ce qui n est pas autorisé, prendre en compte le dysfonctionnel, identifier l imprévu, etc. En évitant les confusions entre sûreté de fonctionnement et sécurité... Quelques exemples élémentaires réseaux : rôle exact du champ destination, présence et vérification du champ source parsing : Unzip(Zip(f )) = f et/ou ( f, Zip(f )=c) Unzip(c)= système : minimiser les privilèges (même ceux de root) shell : que fait rm * en présence d un fichier nommé -fr? É. Jaeger, 13/05/2014 CFSSI : Retour d expérience sur la formation à la SSI 9/20

Défensif ou offensif Les formations en SSI comportent souvent une partie offensive nécessaire à la sensibilisation et utile à la compréhension souvent assez facile, visuel... et très vendeur Pour autant connaître l offensif ne donne pas (toujours) les moyens de protéger ou défendre les limites juridiques sont-elles connues et respectées? risque de dérive, la sécurité par patches La juste répartition devrait découler des objectifs métier É. Jaeger, 13/05/2014 CFSSI : Retour d expérience sur la formation à la SSI 10/20

Largeur ou profondeur Des sujets incontournables dans une formation en SSI? Surtout un besoin de cohérence! Un spécialiste SSI formé à un outil doit en comprendre toutes les forces et faiblesses Quelques exemples élémentaires cryptographie : primitives, formats, modes, protocoles, génération de clés, architecture de clés, implémentations (bugs, canaux auxiliaires), aspects organisationnels (IGC), lois... applications web : architecture réseau, installation des serveurs, configuration des services, structure et rôles de la base de données, développement robuste, filtrage des données utilisateur... É. Jaeger, 13/05/2014 CFSSI : Retour d expérience sur la formation à la SSI 11/20

Technique ou normes La SSI, c est bien sûr de la technique, mais c est aussi de l humain et de l organisationnel du juridique et du réglementaire de la méthodologie et des normes... Le tout technique n est pas forcément approprié... mais le sans technique non plus ; la répartition appropriée fait souvent la part belle à la technique É. Jaeger, 13/05/2014 CFSSI : Retour d expérience sur la formation à la SSI 12/20

Plan 1 Retour d expérience sur la formation à la SSI 2 Intégration de la SSI 3 Autres perspectives É. Jaeger, 13/05/2014 CFSSI : Intégration de la SSI 13/20

Quelques préalables Communication du conseil des ministres, 25 mai 2011 La SSI sera incluse dans les formations supérieures, en commençant par les formations scientifiques et techniques, afin que l ensemble des étudiants acquièrent un socle commun de connaissances et de bonnes pratiques dans ce domaine. Discours de Patrick Pailloux, clôture des Assises de la SSI 2011 J appelle les écoles d ingénieurs et les universités à inclure dans leurs formations les règles d hygiène informatique élémentaires. Un projet informatique rendu avec des mots de passe en dur mérite zéro. Là encore nous allons publier un certain nombre de recommandations. É. Jaeger, 13/05/2014 CFSSI : Intégration de la SSI 14/20

Quelques préalables Feuille de route du Gouvernement sur le numérique, 28 février 2013 Un volet SSI sera intégré à toutes les formations supérieures aux métiers du numérique. Livre blanc sur la défense et la sécurité nationale, avril 2013 Il importe également d accroître le volume d experts formés en France et de veiller à ce que la sécurité informatique soit intégrée à toutes les formations supérieures en informatique. É. Jaeger, 13/05/2014 CFSSI : Intégration de la SSI 15/20

Intégration de la SSI dans l ES informatique La sécurité ne peut reposer que sur des experts, chaque acteur du SI doit être concerné et impliqué faciliter la coopération avec les spécialistes cybersécurité améliorer la vigilance et la réaction aux incidents prévenir l apparition des vulnérabilités plutôt que d attendre de l infrastructure qu elle pallie Tout informaticien devrait être sensibilisé, initié voire formé il ne s agit pas de former des experts en sécurité réciproquement il ne faut pas se limiter à l hygiène informatique tronc commun de type panorama 3... et surtout intégration dans les modules de spécialisation 3. Qui peut susciter des vocations É. Jaeger, 13/05/2014 CFSSI : Intégration de la SSI 16/20

Démarche Des relations et échanges avec le ministère en charge de l enseignement supérieur les universités, grandes écoles et établissements privés les agences d évaluation, commissions des titres, entreprises Mise à disposition de guides, programmes et contenus éléments disponibles à l ANSSI appel d offres CyberEdu Mise en place au CFSSI de stages pour les enseignants en informatique du 18 au 20 novembre 2014 du 11 au 13 mai 2015 É. Jaeger, 13/05/2014 CFSSI : Intégration de la SSI 17/20

Plan 1 Retour d expérience sur la formation à la SSI 2 Intégration de la SSI 3 Autres perspectives É. Jaeger, 13/05/2014 CFSSI : Autres perspectives 18/20

Activités en cours ou à venir Bâtir une liste de référence des métiers de la cybersécurité recenser les besoins en recrutement décliner les référentiels d activités et de compétences proposer des profils de carrière fournir des guides pour les formations en cybersécurité Favoriser la structuration d une communauté pour l enseignement de la cybersécurité, avec par exemple une plate-forme d échange de ressources Sensibiliser à la cybersécurité un plus large public É. Jaeger, 13/05/2014 CFSSI : Autres perspectives 19/20

À votre disposition pour toute question É. Jaeger, 13/05/2014 CFSSI : Autres perspectives 20/20

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back