Sécurité > Synthèses et référentiels

Synthèses
  • LI-SEC-036 Sécurité SI, sensibilisation des utilisateurs
    Sécurité SI, sensibilisation des utilisateurs
    SES / LI-SEC-036

    OBJECTIFS PEDAGOGIQUES

    Faire connaître les risques et les conséquences d’une action utilisateur portant atteinte à la sécurité du système d’information. Expliquer et justifier les contraintes de sécurité imposées par la politique de sécurité. Découvrir et comprendre les principales parades mises en place dans l’entreprise.

    A la fin du cours, le stagiaire sera capable de :

    Comprendre la typologie de risques liés à la sécurité SI et les conséquences possibles
    Identifier les mesures de protection de l’information et de sécurisation de son poste de travail
    Favoriser la conduite de la politique de sécurité SI de l’entreprise

    PUBLIC

    PRE-REQUIS

    Tous les utilisateurs ayant accès au système d’information via un poste informatique. Aucune connaissance particulière.

    CONTENU

    Introduction- Cadre général : qu’entend-on par sécurité informatique (menaces, risques, protection) ?- Comment une négligence peut créer une catastrophe.- Quelques exemples. La responsabilité.La sécurité informatique : comprendre les menaces/risques- Les composantes d’un SI et leurs vulnérabilités. Systèmes d’exploitation client et serveur.- Réseaux d’entreprise (locaux, site à site, accès par Internet).- Réseaux sans fil et mobilité. Les applications à risques : Web, messagerie …- Base de données et système de fichiers. Menaces et risques.- Sociologie des pirates. Réseaux souterrains. Motivations.

    - Typologie des risques. La cybercriminalité en France. Vocabulaire (sniffing, spoofing, smurfing, hijacking…).

     

    La protection de l’information et la sécurité du poste de travail

    - Vocabulaire. Confidentialité, signature et intégrité. Comprendre les contraintes liées au chiffrement.

    - Schéma général des éléments cryptographiques. Windows, Linux ou MAC OS : quel est le plus sûr ?

    - Gestion des données sensibles. La problématique des ordinateurs portables.

    - Quelle menace sur le poste client ? Comprendre ce qu’est un code malveillant.

    - Comment gérer les failles de sécurité ? Le port USB. Le rôle du firewall client.

     

    L’authentification de l’utilisateur et les accès depuis l’extérieur

    - Contrôles d’accès : authentification et autorisation.

    - Pourquoi l’authentification est-elle primordiale ?

    - Le mot de passe traditionnel.

    - Authentification par certificats et token.

    - Accès distant via Internet. Comprendre les VPN.

    - De l’intérêt de l’authentification renforcée.

     

    Comment s’impliquer dans la sécurité du SI

    - Analyse des risques, des vulnérabilités et des menaces.

    - Les contraintes réglementaires et juridiques.

    - Pourquoi mon organisme doit respecter ces exigences de sécurité.

    - Les hommes clés de la sécurité : comprendre le rôle du RSSI et du Risk manager.

     

    Agir pour une meilleure sécurité

    - Les aspects sociaux et juridiques. La CNIL, la législation.

    - La cyber-surveillance et la protection de la vie privée.

    - La charte d’utilisation des ressources informatiques.

    - La sécurité au quotidien. Les bons réflexes. Conclusion.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste sécurité informatique

    MODALITES PRATIQUES

    Durée : 1 jour soit 7 heures avec 7 heures par jour

    Prix stagiaire : 876 € TTC

    Horaires : 9h – 17h30

    ( )

  • Techniques et méthodes
  • LI-SEC-060 Sécurité des applications Web, perfectionnement
    Sécurité des applications Web, perfectionnement
    SEI / LI-SEC-060

    OBJECTIFS PEDAGOGIQUES

    Ce stage de perfectionnement vous permettra d’enrichir vos compétences pour vous protéger et mieux réagir face aux nombreuses menaces du Web. Vous verrez comment auditer la sécurité de vos applications, les tester et mettre en place les contre-mesures les plus adaptées

    PUBLIC

    PRE-REQUIS

    Administrateurs réseaux, systèmes, Webmaster. Bonnes connaissances systèmes et réseaux, connaissances de base en développement ou connaissances équivalentes à celles apportées par le cours ORSYS “Sécurité des applications Web” SEC-025 (SER).

    CONTENU

    Rappel sur les principales failles de sécurité- L’attaque Cross-Site Scripting (XSS).- L’injection de commandes et injection SQL.- Les attaques par Deni de Service (DoS).- Le Deni de Service Distribué (DDoS).- Le Buffer overflow (Débordement de pile).- Le projet OWASP (Open Web Application Security Project).Travaux pratiquesMise en place d’un serveur Web présentant des vulnérabilités pour en observer le comportement. Démonstration de l’exploitation d’un buffer overflow. 

    La sécurité des applications

    - Concept base et importance.

    - Les comptes créés pour effectuer les tests.

    - Les dossiers fictifs, peut-on s’en passer?

    - Les séquences de tests et de mise au point sont-elles encore présentes en production?

     

    Auditer et sécuriser une application web

    - Démarche et mise en place d’un audit. Bien gérer l’interaction avec la base de données.

    - Mettre en place une authentification sécurisée. Exploitation d’une faille d’authentification.

    - Gestion des erreurs, des exceptions et des logs.

    - Savoir effectuer l’analyse et la corrélation des informations de log.

    - Les bonnes pratiques pour avoir des formulaires sécurisés. Exemple d’exploitation d’un formulaire mal développé.

    Travaux pratiques

    Mise en oeuvre d’une infrastructure trois tiers, client, serveur web et bases de données. Simulation d’une tentative d’attaque. Analyse et solution.

     

    Le chiffrement

    - Rappels sur les principes de base.

    - Implémenter le chiffrement dans une application. Les exploitations possibles.

    - Tester si une application est bien protégée par le chiffrement.

    - Les applications de chiffrement du marché.

    Travaux pratiques

    Mise en oeuvre d’une autorité de certification privée avec intégration de certificats dans une application.

     

    Tester les applications

    - Comment tester avant la mise en production.

    - Le fingerprinting: l’identification des caractéristiques du serveur (moteur web, framework, applications).

    - Utiliser un web spider pour détecter les liens brisés, les pages avec ou sans authentification et chiffrement.

    - Comment mesurer la disponibilité d’une application avec une simulation.

    Travaux pratiques

    Exemple de tentative d’attaques et fingerprinting. Comment écrire un web spider pour détecter les liens brisés. Vérifier l’authentification sur les pages.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste Sécurité avancée Web

    MODALITES PRATIQUES

    Durée : 3 jours soit 21 heures avec 7 heures par jour

    Prix stagiaire : 1 779,00 € TTC

    Horaires : 9h – 17h30

    ( )
  • LI-SEC-054 Tests d’intrusion, mise en situation d’audit
    Tests d’intrusion, mise en situation d’audit
    TEI / LI-SEC-054

    OBJECTIFS PEDAGOGIQUES

    Le test d’intrusion, ou “PenTest”, est une intervention technique qui permet de déterminer le réel potentiel d’intrusion et de destruction d’un pirate sur une infrastructure SI. Ce stage présente la démarche et les outils pour effectuer ce type de test et rédiger de manière professionnelle le rapport final d’audit.

    PUBLIC

    PRE-REQUIS

    Ingénieur/Administrateur systèmes et réseaux. Auditeur amené à faire du “PenTest”. Bonnes connaissances de la sécurité informatique. Expérience requise.

    CONTENU

    Introduction- Evolution de la sécurité des SI.- Etat des lieux de la sécurité informatique.- L’état d’esprit et la culture du hacker.- Quels risques et quelles menaces ?Méthodologie de l’audit- Qu’est-ce qu’un PenTest ? L’intérêt d’effectuer un test d’intrusion.- Comment intégrer le test d’intrusion dans un processus de sécurité général.- Apprendre à définir une politique de management de la sécurité et d’un « PenTest » itératif.

    - Organiser et planifier l’intervention. Comment préparer le référentiel?

    - La portée technique de l’audit. Réaliser le « PenTest ».

    - La prise d’information. L’acquisition des accès.

    - L’élévation de privilèges. Le maintien des accès sur le système.

    - Les traces de l’intrusion.

     

    Les outils de “PenTest”

    - Quels outils utiliser.

    - Les outils de Scan et de réseau.

    - Les outils d’analyse Système et d’analyse Web.

    - Les outils d’attaque des collaborateurs.

    - Quel outil pour le maintien des accès ?

    - Les frameworks d’exploitation.

    Travaux pratiques

    Les stagiaires vont auditer sur la base d’un scénario se rapprochant le plus possible d’un cas réel, un réseau d’entreprise.

     

    Vulnérabilités et exploitation

    - Découverte de nouvelles vulnérabilités.

    - Comment les exploiter?

    - Réaliser le planning.

    - La répartition des tâches.

    Travaux pratiques

    Identifier les nouvelles vulnérabilités. Exemple de réalisation d’un planning.

     

    Le rapport final

    - L’importance de la préparation du rapport. La collecte des informations.

    - Préparation du document et écriture du rapport.

    - L’analyse globale de la sécurité du système.

    - Comment décrire les vulnérabilités trouvées?

    - Formuler les recommandations de sécurité.

    - La synthèse générale sur la sécurité du système.

    - Transmettre le rapport. Les précautions nécessaires.

    - Que faire une fois le rapport transmis ?

    Travaux pratiques

    Réalisation d’un rapport suite à un test d’intrusion.

     

    Les équipements réseaux et le sans-fil

    - Les vulnérabilités des composants du réseau.

    - Comment les identifier ?

    - Exploiter une faille liée à un composant.

    - Le réseau sans fil.

    - Les faiblesses du réseau Wifi.

    - Les actions de suivi.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste Test d’intrusion

    MODALITES PRATIQUES

    Durée : 4 jours soit 28 heures avec 7 heures par jour

    Prix stagiaire : 2 226,00 € TTC

    Horaires : 9h – 17h30

    ( )
  • LI-SEC-052 Hacking et sécurité, expertise
    Hacking et sécurité, expertise
    HAC / LI-SEC-052
    OBJECTIFS PEDAGOGIQUES
    Cette formation avancée vous apprendra les techniques indispensables pour mesurer le niveau de sécurité de votre système d’information. A la suite de ces attaques, vous apprendrez à déclencher la riposte appropriée et à élever le niveau de sécurité de votre réseau.

    PUBLIC
    Responsables, architectes sécurité. Techniciens et administrateurs systèmes et réseaux.
    PRE-REQUIS
    Bonnes connaissances en sécurité SI, réseaux, systèmes (en particulier Linux) et en programmation. Ou connaissances équivalentes à celles du stage “Sécurité systèmes et réseaux, niveau 1” (réf. FRW).

    CONTENU

    Le Hacking et la sécurité
    - Formes d’attaques, modes opératoires, acteurs, enjeux.
    - Audits et tests d’intrusion, place dans un SMSI.

    Sniffing, interception, analyse, injection réseau
    - Anatomie d’un paquet, tcpdump, Wireshark, tshark.
    - Détournement et interception de communications (Man-in-the-Middle, attaques de VLAN, les pots de miel).
    - Paquets : Sniffing, lecture/analyse à partir d’un pcap, extraction des donnés utiles, représentations graphiques.
    - Scapy : architecture, capacités, utilisation.

    La reconnaissance, le scanning et l’énumération
    - L’intelligence gathering, le hot reading, l’exploitation du darknet, l’Ingénierie Sociale.
    - Reconnaissance de service, de système, de topologie et d’architectures.
    - Types de scans, détection du filtrage, firewalking, fuzzing.
    - Le camouflage par usurpation et par rebond, l’identification de chemins avec traceroute, le source routing.
    - L’évasion d’IDS et d’IPS : fragmentations, covert channels.
    - Nmap : scan et d’exportation des résultats, les options.
    - Les autres scanners : Nessus, OpenVAS.

    Les attaques Web
    - OWASP : organisation, chapitres, Top10, manuels, outils.
    - Découverte de l’infrastructure et des technologies associées, forces et faiblesses.
    - Côté client : clickjacking, CSRF, vol de cookies, , XSS, composants (flash, java). Nouveaux vecteurs.
    - Côté serveur : authentification, vol de sessions, injections (SQL, LDAP, fichiers, commandes).
    - Inclusion de fichiers locaux et distants, attaques et vecteurs cryptographiques.
    - Évasion et contournement des protections : exemple des techniques de contournement de WAF
    - Outils Burp Suite, ZAP, Sqlmap, BeEF

    Les attaques applicatives et post-exploitation
    - Attaque des authentifications Microsoft, PassTheHash.
    - Du C à l’assembleur au code machine. Les shellcodes.
    - L’encodage de shellcodes, suppression des NULL bytes
    - Exploitations de processus: Buffer Overflow, ROP, Dangling Pointers.
    - Protections et contournement: Flag GS, ASLR, PIE, RELRO, Safe SEH, DEP. Shellcodes avec adresses hardcodées/LSD.
    - Metasploit : architecture, fonctionnalités, interfaces, workspaces, écriture d’exploit, génération de shellcodes.
    - Les Rootkits.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Sécurité informatique

    MODALITES PRATIQUES
    Durée : 5 jours soit 35 heures avec 7 heures par jour
    Prix stagiaire : 3 013,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-SEC-051 Traiter efficacement les logs pour optimiser votre sécurité SI
    Traiter efficacement les logs pour optimiser votre sécurité SI
    LOG / LI-SEC-051
    OBJECTIFS PEDAGOGIQUES
    Cette formation vous permettra d’acquérir une vision d’ensemble des problématiques de la supervision, des obligations légales concernées en matière de conservation des données et de maîtriser rapidement les compétences nécessaires pour mettre en place une solution logicielle adaptée à votre besoin.

    PUBLIC
    Administrateurs systèmes et réseaux.
    PRE-REQUIS
    Bonnes connaissances des réseaux, des systèmes et de la sécurité des SI.

    CONTENU

    Introduction
    - La sécurité des systèmes d’information.
    - Les problématiques de la supervision et des logs.
    - Les possibilités de normalisation.
    - Quels sont les avantages d’une supervision centralisée ?
    - Les solutions du marché.

    La collecte des informations
    - L’hétérogénéité des sources. Qu’est-ce qu’un événement de sécurité ?
    - Le Security Event Information Management (SIEM). Les événements collectés du SI.
    - Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).
    - La collecte passive en mode écoute et la collecte active.

    Syslog
    - Le protocole Syslog.
    - La partie client et la partie serveur.
    - Centraliser les journaux d’événements avec Syslog.
    - Syslog est-il suffisant ? Avantages et inconvénients.

    Le programme SEC
    - Présentation de SEC (Simple Event Correlator).
    - Le fichier de configuration et les règles.
    - Comment détecter des motifs intéressants.
    - La corrélation et l’analyse avec SEC.

    Le logiciel Splunk
    - L’architecture et le framework MapReduce. Comment collecter et indexer les données ?
    - Exploiter les données machine. L’authentification des transactions.
    - L’intégration aux annuaires LDAP et aux serveurs Active Directory.

    La législation française
    - La durée de conservation des logs. Le cadre d’utilisation et législation. La CNIL. Le droit du travail.
    - La charte informatique, son contenu et le processus de validation.
    - Comment mettre en place une charte informatique ?
    - Sa contribution dans la chaîne de la sécurité.

    Conclusions
    - Les bonnes pratiques. Les pièges à éviter. Choisir les bons outils. Le futur pour ces applications.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Log

    MODALITES PRATIQUES
    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 1 314,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-SEC-026 Sécurité systèmes et réseaux, niveau 2
    Sécurité systèmes et réseaux, niveau 2
    SEA / LI-SEC-026

    OBJECTIFS PEDAGOGIQUES

    Ce stage avancé vous permettra de mesurer le niveau de sécurité de votre système d’information au moyen d’outils de détection d’intrusions, de détection de vulnérabilités, d’audit… Il vous apportera la connaissance de solutions avancées pour maintenir et faire évoluer dans le temps le niveau de sécurité souhaité au regard de vos besoins. Les travaux pratiques proposés permettront d’acquérir les compétences nécessaires à l’installation, la configuration et l’administration des applications les plus utilisées dans le domaine de la sécurité.

    PUBLIC

    PRE-REQUIS

    Responsable sécurité. Architecte sécurité. Direction informatique. Ingénieur/Consultant systèmes et réseaux. Administrateur réseaux. Bonnes connaissances de TCP/IP et de la sécurité des réseaux d’entreprise. Ou connaissances équivalentes à celles apportées par les stages “Sécurité systèmes et réseaux, niveau 1” (réf. FRW).

    CONTENU

    Rappels- L’importance d’un firewall dans une architecture réseau.- TCP/IP, le protocole par excellence des réseaux et de l’Internet.- Les avantages et limites d’un firewall réseau.- Les proxys, reverse-proxy, la protection applicative.- L’architecture et protocoles TCP/IP.- La translation d’adresses.Les solutions de sécurité

    - Les protocoles et les algorithmes fondamentaux des services de sécurité.

    - La place du protocole IPSEC.

    - Les échanges sécurisés avec les protocoles SSL/TLS.

     

    Les services de sécurité et cryptographie

    - Les services de la sécurité.

    - Les mécanismes cryptographiques.

     

    L’authentification

    - Les différentes méthodes qui permettent de vérifier l’identité d’une entité (personne, ordinateur…), afin d’autoriser l’accès aux ressources (systèmes, réseaux, applications…).

     

    Le protocole Kerberos

    - Le principe de fonctionnement.

    - Les apports et les limites du système.

    - Les systèmes Windows 2000/2003 et Kerberos.

     

    Le serveur d’authentification type AAA

    - Pourquoi un serveur dédié à l’authentification ?

    - Comment le placer dans l’architecture sécurité.

    - Les principaux serveurs disponibles sur le marché.

     

    L’annuaire LDAP

    - La sécurité de l’annuaire LDAP.

    - Qu’est-ce qu’un “ méta-annuaire ”, pourquoi l’utiliser ?

     

    Le protocole RADIUS

    - Présentation du protocole.

    - Son rôle dans l’authentification et l’autorisation.

    Travaux pratiques

    Génération de certificats, analyse et configuration des protocoles SSL/TLS.

     

    Evaluer le niveau de sécurité du SI

    - Comment maintenir un niveau de sécurité optimal au cours du temps ? Quels sont les outils disponibles ?

     

    Détecter les vulnérabilités

    - Les VDS (Vulnerability Detection System).

    - Les principes de fonctionnement, méthodes de détection.

    - Les acteurs du marché, panorama des systèmes et applications concernés.

    - Les scanners applicatifs.

    - L’application NESSUS, présentation d’un outil de référence.

    - L’activité réseau (netstat, arp, logs).

    - Les analyseurs (Tcpdump, Ethereal).

    - Injecteurs de paquets (libnet, hping, hunt, tcpreplay).

    - L’analyse interception (ettercap).

    - Les scans de réseaux et services (nmap).

    - Les attaques sur le réseau (arp spoofing, ip spoofing, smurf, dns spoofing).

     

    Détecter les intrusions

    - Les IDS (Intrusion Detection System).

    - Les avantages de ces technologies, leurs limites.

    - Comment le(s) placer dans l’architecture d’entreprise.

    - Panorama du marché, présentation de SNORT.

     

    Vérifier l’intégrité d’un système

    - Les principes de fonctionnement.

    - Quels sont les produits disponibles.

    - Présentation de l’offre Tripwire.

     

    Sécuriser le protocole SNMP

    - Un des protocoles fondamentaux de la supervision des équipements réseaux. Présentation du protocole.

    - Quelles sont les faiblesses de SNMP et comment faire pour en assurer une utilisation sécurisée.

    Travaux pratiques

    Analyse et scan des réseaux avec Ethereal et NMAP, montage d’attaques avec Hping. Installation et configuration de SNORT et NESSUS. Détection de vulnérabilités et d’intrusions.

     

    La sécurité des réseaux Wi-Fi

    - Comment sécuriser un réseau Wi-Fi ?

    - Les faiblesses intrinsèques des réseaux Wi-Fi.

    - Les outils d’attaque.

    - Le SSID Broadcast, le MAC Filtering, quel apport ?

    - Le WEP a-t-il un intérêt ?

    - Le protocole WPA, première solution acceptable.

    - Implémentation WPA en mode clé partagée, est-ce suffisant ?

    - WPA, Radius et serveur AAA, l’implémentation d’entreprise.

    - Les normes 802.11i et WPA2, quelle solution est la plus aboutie aujourd’hui ?

    Travaux pratiques

    Installation, configuration et mise à l’épreuve du point de vue sécurité d’un réseau Wi-Fi.

     

    La voix sur IP et la sécurité

    - Présentation des applications et concepts de la voix sur IP.

    - Comment se protéger ?

    - Présentation de l’architecture.

    - Le protocole SIP, standard ouvert de voix sur IP.

    - Les faiblesses du protocole SIP.

    - Les problématiques du NAT.

    - Les attaques.

    - Quelles sont les solutions de sécurité ?

     

    Gestion des événements de sécurité

    - Traitement des informations remontées par les différents équipements de sécurité.

    - La consolidation et la corrélation.

    - Présentation de SIM (Security Information Management).

    - Les tableaux de bord.

    - Les solutions du marché.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste sécurité réseaux

    MODALITES PRATIQUES

    Durée : 4 jours soit 28 heures avec 7 heures par jour

    Prix stagiaire : 2 226,00 € TTC

    Horaires : 9h – 17h30

    ( )
  • LI-SEC-025 Sécurité des applications Web
    Sécurité des applications Web
    SER / LI-SEC-025

    OBJECTIFS PEDAGOGIQUES

    L’intrusion sur les serveurs de l’entreprise représente un risque majeur. Il est essentiel de comprendre et d’appliquer les technologies et les produits permettant d’apporter le niveau de sécurité suffisant aux applications déployées et plus particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d’un service en ligne à partir d’exemples concrets d’attaques et de ripostes adaptées.

    PUBLIC

    PRE-REQUIS

    Administrateurs réseaux, systèmes, Webmaster. Connaissances de base en systèmes, réseaux et d’Internet.

    CONTENU

    Introduction- Statistiques et évolution des failles liées au Web selon IBM X-Force et OWASP.- Evolution des attaques protocolaires et applicatives.- Le monde des hackers : qui sont-ils ? Quelles sont leurs motivations, leurs moyens ?Constituants d’une application Web- Les éléments d’une application N-tiers.- Le serveur frontal HTTP, son rôle et ses faiblesses.

    - Les risques intrinsèques de ces composants.

    - Les acteurs majeurs du marché.

     

    Le protocole HTTP en détail

    - Rappels TCP, HTTP, persistance et pipelining.

    - Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.

    - Champs de l’en-tête, codes de status 1xx à 5xx.

    - Redirection, hôte virtuel, proxy cache et tunneling.

    - Les cookies, les attributs, les options associées.

    - Les authentifications (Basic, Improved Digest…).

    - L’accélération http, proxy, le Web balancing.

    - Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.

    Travaux pratiques

    Installation et utilisation de l’analyseur réseau Wireshark. Utilisation d’un proxy d’analyse HTTP spécifique.

     

    Les vulnérabilités des applications Web

    - Pourquoi les applications Web sont-elles plus exposées ?

    - Les risques majeurs des applications Web selon l’OWASP (Top Ten 2010).

    - Les attaques “ Cross Site Scripting “ ou XSS – Pourquoi sont-elles en pleine expansion ? Comment les éviter ?

    - Les attaques en injection (Commandes injection, SQL Injection, LDAP injection…).

    - Les attaques sur les sessions (cookie poisonning, session hijacking…).

    - Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode…).

    - Attaques sur les configurations standard (Default Password, Directory Transversal…).

    Travaux pratiques

    Attaque Cross Site Scripting. Exploitation d’une faille sur le frontal http. Contournement d’une authentification par injection de requête SQL.

     

    Le firewall réseau dans la protection d’application HTTP

    - Le firewall réseau, son rôle et ses fonctions.

    - Combien de DMZ pour une architecture N-Tiers.

    - Pourquoi le firewall réseau n’est pas apte à assurer la protection d’une application Web.

     

    Sécurisation des flux avec SSL / TLS

    - Rappels des techniques cryptographiques utilisées dans SSL et TLS.

    - Gérer ses certificats serveurs, le standard X509.

    - Qu’apporte le nouveau certificat X509 EV ?

    - Quelle autorité de certification choisir ?

    - Les techniques de capture et d’analyse des flux SSL.

    - Les principales failles des certificats X509.

    - Utilisation d’un reverse proxy pour l’accélération SSL.

    - L’intérêt des cartes crypto hardware HSM.

    Travaux pratiques

    Mise en oeuvre de SSL sous IIS et Apache. Attaques sur les flux HTTPS avec sslstrip et sslsnif.

     

    Configuration du système et des logiciels

    - La configuration par défaut, le risque majeur.

    - Règles à respecter lors de l’installation d’un système d’exploitation.

    - Linux ou Windows. Apache ou IIS ?

    - Comment configurer Apache et IIS pour une sécurité optimale ?

    - Le cas du Middleware et de la base de données. Les V.D.S. (Vulnerability Detection System).

    Travaux pratiques

    Procédure de sécurisation du frontal Web (Apache ou IIS).

     

    Principe du développement sécurisé

    - Sécurité du développement, quel budget ?

    - La sécurité dans le cycle de développement.

    - Le rôle du code côté client, sécurité ou ergonomie ?

    - Le contrôle des données envoyées par le client.

    - Lutter contre les attaques de type “ Buffer Overflow ”.

    - Les règles de développement à respecter*.

    - Comment lutter contre les risques résiduels : Headers, URL malformée, Cookie Poisoning…

     

    L’authentification des utilisateurs

    - L’authentification via HTTP : Basic Authentication et Digest Authentication ou par l’application (HTML form).

    - L’authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov…

    - Autres techniques d’authentification par logiciel : CAPTCHA, Keypass, etc.

    - Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.

    - Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie poisoning).

    - Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit…).

    Travaux pratiques

    Attaque “ Man in the Middle “ sur l’authentification d’un utilisateur et vol de session (session hijacking).

     

    Le firewall “ applicatif ”

    - Reverse-proxy et firewall applicatif, détails des fonctionnalités.

    - Quels sont les apports du firewall applicatif sur la sécurité des sites Web ?

    - Insérer un firewall applicatif sur un système en production. Les acteurs du marché.

    Travaux pratiques

    Mise en oeuvre d’un firewall applicatif. Gestion de la politique de sécurité. Attaques et résultats.

    SESSIONS PROGRAMMEES

     Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste Sécurite Web

    MODALITES PRATIQUES

    Durée : 3 jours soit 21 heures avec 7 heures par jour

    Prix stagiaire : 1 752 € TTC

    Horaires : 9h – 17h30

    ( )
  • LI-SEC-019 PKI, mise en oeuvre
    PKI, mise en oeuvre
    PKI / LI-SEC-019

    OBJECTIFS PEDAGOGIQUES

    Ce cours vous montrera comment mener un projet PKI dans les meilleures conditions. Les travaux pratiques vous apprendront à déployer une autorité de certification, à générer des certificats et à mettre en oeuvre une messagerie sécurisée et une solution Single Sign-On (SSO).

    PUBLIC

    PRE-REQUIS

    Ingénieurs/Administrateurs systèmes et réseaux. Bonnes connaissances en systèmes, réseaux et sécurité informatique.

    CONTENU

    Introduction- Les faiblesses des solutions traditionnelles.- Pourquoi la messagerie électronique n’est-elle pas sécurisée ?- Peut-on faire confiance à une authentification basée sur un mot de passe ?- Usurpation d’identité de l’expéditeur d’un message.Travaux pratiquesUtilisation des lacunes protocolaires. Cryptographie- Concepts et vocabulaire.- Algorithmes de chiffrement symétrique et asymétrique.

    - Fonctions de hachage : principe et utilité.

    - Les techniques d’échange de clés.

    - Installation et configuration d’un serveur SSH.

    - SSH et Man in the Middle.

    - SSH, l’usage du chiffrement asymétrique sans certificat.

     

    Certification numérique

    - Présentation du standard X509 et X509v3.

    - Autorités de certifications.

    - La délégation de confiance.

    - Signature électronique et authentification.

    - Certificats personnels et clés privées.

    - Exportation et importation de certificats.

    Travaux pratiques

    Magasins de certificats Microsoft.

     

    L’architecture PKI

    - Comment construire une politique de certification ?

    - Autorité de certification. Publication des certificats.

    - Autorité d’enregistrement (RA).

    - Modèles de confiance hiérarchique et distribuée.

    - Présentation du protocole LDAP v3.

    - Mise en oeuvre d’une autorité de certification racine.

    - Génération de certificats utilisateurs et serveurs.

    Travaux pratiques

    Mise en oeuvre d’une hiérarchie d’autorités de certification.

     

    Gestion des projets PKI : par quelles applications commencer ?

    - Les différentes composantes d’un projet PKI.

    - Choix des technologies.

    - La législation.

     

    Panorama des offres du marché

    - L’approche Microsoft.

    - Les offres commerciales dédiées : Betrusted (ex-Baltimore) et Entrust.

    - OpenPKI : la communauté Open Source.

    - IdealX, entre solution commerciale et open source.

    - Les offres externalisées Certplus, Versign…

    Travaux pratiques

    Authentification Web-SSO type SSL v3 avec firewall applicatif. Authentification forte par certificat X509. Mise en œuvre d’un serveur de messagerie sécurisé et d’un annuaire pour les certificats.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste PKI

    MODALITES PRATIQUES

    Durée : 4 jours soit 28 heures avec 7 heures par jour

    Prix stagiaire : 2 226,00 € TTC

    Horaires : 9h – 17h30

    ( )
  • LI-SEC-015 Détection d’intrusions, comment gérer les incidents de sécurité
    Détection d’intrusions, comment gérer les incidents de sécurité
    INT / LI-SEC-015
    OBJECTIFS PEDAGOGIQUES
    Cette formation à la fois théorique et pratique présente les techniques d’attaque les plus évoluées à ce jour et montre comment y faire face. A partir d’attaques réalisées sur cibles identifiées (serveurs Web, clients, réseaux, firewall, bases de données…), le participant apprendra à déclencher la riposte adaptée (filtrage d’anti-trojan, filtrage d’URL mal formée, détection de spam et détection d’intrusion en temps réel avec sonde IDS).

    PUBLIC
    Responsables, architectes sécurité. Techniciens et administrateurs systèmes et réseaux.
    PRE-REQUIS
    Bonnes connaissances des réseaux TCP/IP. Connaissances de base en sécurité informatique.

    CONTENU

    Le monde de la sécurité informatique
    - Définitions “officielles” : le hacker, le hacking.
    - La communauté des hackers dans le monde, les “gurus”, les “script kiddies”.
    - L’état d’esprit et la culture du hacker.
    - Les conférences et les sites majeurs de la sécurité.

    TCP/IP pour firewalls et détection d’intrusions
    - IP, TCP et UDP sous un autre angle.
    - Zoom sur ARP et ICMP.
    - Le routage forcé de paquets IP (source routing).
    - La fragmentation IP et les règles de réassemblage.
    - De l’utilité d’un filtrage sérieux.
    - Sécuriser ses serveurs : un impératif.
    - Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy.
    - Panorama rapide des solutions et des produits.

    Comprendre les attaques sur TCP/IP
    - Le “Spoofing” IP.
    - Attaques par déni de service.
    - Prédiction des numéros de séquence TCP.
    - Vol de session TCP : Hijacking (Hunt, Juggernaut).
    - Attaques sur SNMP.
    - Attaque par TCP Spoofing (Mitnick) : démystification.

    Intelligence Gathering : l’art du camouflage
    - Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche.
    - Identification des serveurs.
    - Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage, cas spécifiques.

    Protéger ses données
    - Systèmes à mot de passe “en clair”, par challenge, crypté.
    - Le point sur l’authentification sous Windows.
    - Rappels sur SSH et SSL (HTTPS).
    - Sniffing d’un réseau switché : ARP poisonning.
    - Attaques sur les données cryptées : “Man in the Middle” sur SSH et SSL, “Keystoke Analysis” sur SSH.
    - Détection de sniffer : outils et méthodes avancées.
    - Attaques sur mots de passe.

    Détecter les trojans et les backdoors
    - Etat de l’art des backdoors sous Windows et Unix.
    - Mise en place de backdoors et de trojans.
    - Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs.
    - Les “Covert Channels” : application client-serveur utilisant ICMP.
    - Exemple de communication avec les Agents de Déni de Service distribués.

    Défendre les services en ligne
    - Prise de contrôle d’un serveur : recherche et exploitation de vulnérabilités.
    - Exemples de mise en place de “backdoors” et suppression des traces.
    - Comment contourner un firewall (netcat et rebonds) ?
    - La recherche du déni de service.
    - Les dénis de service distribués (DDoS).
    - Les attaques par débordement (buffer overflow).
    - Exploitation de failles dans le code source. Techniques similaires : “Format String”, “Heap Overflow”.
    - Vulnérabilités dans les applications Web.
    - Vol d’informations dans une base de données.
    - Les RootKits.

    Comment gérer un incident ?
    - Les signes d’une intrusion réussie dans un SI.
    - Qu’ont obtenu les hackers ? Jusqu’où sont-ils allés ?
    - Comment réagir face à une intrusion réussie ?
    - Quels serveurs sont concernés ?
    - Savoir retrouver le point d’entrée et le combler.
    - La boîte à outils Unix/Windows pour la recherche de preuves.
    - Nettoyage et remise en production de serveurs compromis.

    Conclusion : quel cadre juridique ?
    - La réponse adéquate aux hackers.
    - La loi française en matière de hacking.
    - Le rôle de l’Etat, les organismes officiels.
    - Qu’attendre de l’Office Central de Lutte contre la Criminalité (OCLCTIC) ?
    - La recherche des preuves et des auteurs.
    - Et dans un contexte international ?
    - Le test intrusif ou le hacking domestiqué ?
    - Rester dans un cadre légal, choisir le prestataire, être sûr du résultat.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Sécurité informatique

    MODALITES PRATIQUES
    Durée : 4 jours soit 28 heures avec 7 heures par jour
    Prix stagiaire : 2 226,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-SEC-014 Introduction à la cryptographie
    Introduction à la cryptographie
    CYP / LI-SEC-014
    OBJECTIFS PEDAGOGIQUES
    Ce stage présente les différentes techniques cryptographiques ainsi que les principales applications. Les chiffrements symétrique et asymétrique, le hachage, les algorithmes les plus utilisés ainsi que les méthodes de gestion des clés seront expliqués en détail.

    PUBLIC
    Responsables sécurité, développeurs, chefs de projets.
    PRE-REQUIS
    Aucune connaissance particulière.

    CONTENU

    Introduction
    - Histoire des premiers documents chiffrés.
    - Services cryptographiques.
    - Concepts mathématiques.
    - Sécurité cryptographique et techniques d’attaque.

    Chiffrement de flux (Stream Ciphers)
    - Présentation du concept.
    - Linear Feedback Stream Register (LFSR) : détails du fonctionnement, Galois LFSR, applications.
    - Autres formes de chiffrement par flux : RC4, SEAL.

    Chiffrement par blocs (Block Ciphers)
    - Présentation du concept.
    - Les différentes formes : Electronic CodeBook (ECB), Cipher-Bloc Chaining (CBC), Cipher FeedBack (CFB)…
    - Comparaison des chiffrements de flux et par blocs.
    - Data Encryption Standard (DES).
    - Triple DES (3DES) : présentation, modes opératoires.
    - Advanced Encryption Standard (AES).
    - Algorithmes complémentaires : IDEA, RC5, SAFER.

    Chiffrement asymétrique
    - L’algorithme RSA en détail. Sécurité et taille des clés. Attaques et défi RSA. Applications pratiques.
    - Chiffrement ElGamel. ElGamel dans DSA.

    Fonctions de hachage
    - Concept et objectifs.
    - Principes algorithmiques. Propriétés mathématiques.
    - Justifications pratiques des différentes propriétés.
    - Sécurité et longueur du hachage.
    - Hachage simple (Unkeyed) et sécurisé (Keyed) : chiffrement par blocs. Fonction MD4.
    - Attaques avancées sur les fonctions de hachage.
    - Présentation technique des fonctions de hachage : SHA-1, SHA-256 et SHA-512. MD5. Haval. RIPEMD-128…

    Intégrité et authentification
    - Présentation. Standards CBC-MAC. HMAC.
    - Signature électronique. Signature D.S.A et R.S.A.

    Gestion des clés
    - Echange de clés avec le chiffrement symétrique et asymétrique. Détail des échanges.
    - Algorithme Diffie-Hellman. Attaque de l’homme du milieu.
    - Gestion et certification des clés publiques.
    - Révocation, renouvellement et archivage des clés.
    - Certificats au format X509, norme PKIX.
    - L’infrastructure de gestion des clés (IGC/PKI).

    Tierces parties de confiance
    - Présentation et standards. Architectures.
    - Autorité de certification. Kerberos.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION
    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Cryptographie

    MODALITES PRATIQUES
    Durée : 3 jours soit 21 heures avec 7 heures par jour
    Prix stagiaire : 1 779,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-SEC-013 Sécurité systèmes et réseaux, niveau 1
    Sécurité systèmes et réseaux, niveau 1
    FRW / LI-SEC-013
    OBJECTIFS PEDAGOGIQUES
    Ce stage pratique vous montrera comment mettre en œuvre les principaux moyens de sécurisation des systèmes et des réseaux. Après avoir étudié quelques menaces pesant sur le système d’information, vous apprendrez le rôle des divers équipements de sécurité dans la protection de l’entreprise afin d’être en mesure de concevoir une architecture de sécurité et de réaliser sa mise en œuvre.

    PUBLIC
    Responsables, architectes sécurité. Techniciens et administrateurs systèmes et réseaux.
    PRE-REQUIS
    Bonnes connaissances en réseaux et systèmes.

    CONTENU

    Risques et menaces
    - Introduction à la sécurité.
    - Etat des lieux de la sécurité informatique.
    - Le vocabulaire de la sécurité informatique.
    - Attaques “couches basses”.
    - Forces et faiblesses du protocole TCP/IP.
    - Illustration des attaques de type ARP et IP Spoofing, TCP-SYNflood, SMURF, etc.
    - Déni de service et déni de service distribué.
    - Attaques applicatives.
    - Intelligence gathering.
    - HTTP, un protocole particulièrement exposé (SQL injection, Cross Site Scripting, etc.).
    - DNS : attaque Dan Kaminsky.

    Architectures de sécurité
    - Quelles architectures pour quels besoins ?
    - Plan d’adressage sécurisé : RFC 1918.
    - Translation d’adresses (FTP comme exemple).
    - Le rôle des zones démilitarisées (DMZ).
    - Exemples d’architectures.
    - Sécurisation de l’architecture par la virtualisation.
    - Firewall : pierre angulaire de la sécurité.
    - Actions et limites des firewalls réseaux traditionnels.
    - Evolution technologique des firewalls (Appliance, VPN, IPS, UTM…).
    - Les firewalls et les environnements virtuels.
    - Proxy serveur et relais applicatif.
    - Proxy ou firewall : concurrence ou complémentarité ?
    - Reverse proxy, filtrage de contenu, cache et authentification.
    - Relais SMTP, une obligation ?

    Sécurité des données
    - Cryptographie.
    - Chiffrements symétrique et asymétrique. Fonctions de hachage.
    - Services cryptographiques.
    - Authentification de l’utilisateur.
    - L’importance de l’authentification réciproque.
    - Certificats X509. Signature électronique. Radius. LDAP.
    - Vers, virus, trojans, malwares et keyloggers.
    - Tendances actuelles. L’offre antivirale, complémentarité des éléments. EICAR, un “virus” à connaître.

    Sécurité des échanges
    - Sécurité Wi-Fi.
    - Risques inhérents aux réseaux sans fil.
    - Les limites du WEP. Le protocole WPA et WPA2.
    - Les types d’attaques.
    - Attaque Man in the Middle avec le rogue AP.
    - Le protocole IPSec.
    - Présentation du protocole.
    - Modes tunnel et transport. ESP et AH.
    - Analyse du protocole et des technologies associées (SA, IKE, ISAKMP, ESP, AH…).
    - Les protocoles SSL/TLS.
    - Présentation du protocole. Détails de la négociation.
    - Analyse des principales vulnérabilités.
    - Attaques sslstrip et sslsnif.
    - Le protocole SSH. Présentation et fonctionnalités.
    - Différences avec SSL.

    Sécuriser un système, le “Hardening”
    - Présentation.
    - Insuffisance des installations par défaut.
    - Critères d’évaluation (TCSEC, ITSEC et critères communs).
    - Sécurisation de Windows.
    - Gestion des comptes et des autorisations.
    - Contrôle des services.
    - Configuration réseau et audit.
    - Sécurisation de Linux.
    - Configuration du noyau.
    - Système de fichiers.
    - Gestion des services et du réseau.

    Audit et sécurité au quotidien
    - Les outils et techniques disponibles.
    - Tests d’intrusion : outils et moyens.
    - Détection des vulnérabilités (scanners, sondes IDS, etc.).
    - Les outils de détection temps réel IDS-IPS, agent, sonde ou coupure.
    - Réagir efficacement en toutes circonstances.
    - Supervision et administration.
    - Impacts organisationnels.
    - Veille technologique.

    Etude de cas
    - Etude préalable.
    - Analyse du besoin.
    - Elaborer une architecture.
    - Définir le plan d’action.
    - Déploiement.
    - Démarche pour installer les éléments.
    - Mise en œuvre de la politique de filtrage.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION
    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Réseaux

    MODALITES PRATIQUES
    Durée : 4 jours soit 28 heures avec 7 heures par jour
    Prix stagiaire : 2 226,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-RES-009 Réseaux Privés Virtuels, mise en oeuvre
    Réseaux Privés Virtuels, mise en oeuvre
    VPI / LI-RES-009

    OBJECTIFS PEDAGOGIQUES

    Ce cours pratique vous apportera toutes les connaissances nécessaires à la conception, à la mise en place et à l’administration d’un réseau privé virtuel VPN, dans le cadre de l’architecture IPSEC en environnement Linux, Cisco, ou en environnement hétérogène. Les différentes solutions seront analysées et comparées.

    PUBLIC

    PRE-REQUIS

    Ingénieurs systèmes, administrateurs réseaux, consultants, architectes et responsables de sécurité. Bonnes connaissances en systèmes et réseaux.

    CONTENU

    Introduction- Faiblesses propres aux réseaux TCP/IP.- Impératifs du réseau d’entreprise.- Solution “ Réseau Privé Virtuel ”.Solutions d’interconnexion IP- TCP/IP : rappels. Principaux protocoles de la pile.- Technologies RTC, RNIS, internet et xDSL.- Les bases du sans-fil. La technologie MPLS.

     

    Cryptographie

    - Les besoins numériques. Document, échange : Authentification sûre.

    - Chiffrements symétrique, asymétrique et autorités de certification.

    - Authentification et signature électronique. La non-répudiation.

    - Cryptographie et réseaux privés virtuels.

     

    Tunnels, les protocoles

    - Point-to-Point Tunneling Protocol (PPTP), L2F, L2TP.

    - IPSec, le standard IETF. Authentification, confidentialité, intégrité, anti-rejeu.

    - Modes tunnel et transport. SA (Security Association), SPD (Security Policy Database). Protocoles ESP et AH.

    Travaux pratiques

    Réalisation d’un tunnel SSH over PPP. Mise en oeuvre de deux passerelles VPN over SSH.

     

    ISAKMP et IKE

    - En-tête ISAKMP. Les phases de négociation.

    - Le Pre-shared key, les certificats. La phase 1 et la phase 2. L’agressive mode. Le mode config, Xauth.

    Travaux pratiques

    Exemples et analyse des échanges.

     

    Sécurité de l’infrastructure réseau

    - Rôle du firewall. Authentification des utilisateurs. Faiblesses de la solution login/mot de passe.

    - Solution SecurID. Protocole Kerberos. Certificats.

    - RADIUS et LDAP. Sécurité du poste client, le maillon faible.

    - OS, firewall personnel, antivirus, sensibilisation des utilisateurs.

    - Wi-Fi et réseaux privés virtuels.

    Travaux pratiques

    Utilisation de protocole IPSec en mode transport dans un réseau sous Windows. Création d’une politique de sécurité et de règles de filtrage.

     

    L’offre

    - VPN, firewall, Internet Appliance et open source.

    - Les clients VPN. L’outil Open VPN.

    - Les plates-formes VPN : routeurs, firewalls, VPN firewall, concentrateurs VPN, le VPN Appliance.

    Travaux pratiques

    Mise en place d’OpenVPN. Exemples de configuration en Site-to-site et client-to-site.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste VPN

    MODALITES PRATIQUES

    Durée : 4 jours soit 28 heures avec 7 heures par jour

    Prix stagiaire : 2 226,00 € TTC

    Horaires : 9h – 17h30

    ( )
  • LI-DSI-130 ISO 27034, sécurité des applications, Foundation, certification
    ISO 27034, sécurité des applications, Foundation, certification
    IFD / LI-DSI-130
    OBJECTIFS PEDAGOGIQUES
    Ce stage initie les participants aux concepts et principes proposés par l’ISO 27034 sur la sécurité applicative. Il vous permettra de maîtriser cette norme afin d’aider votre organisation à gérer des applications sécurisées dans son contexte, pour un coût qui lui est acceptable, et aussi d’obtenir la certification.

    PUBLIC
    Gestionnaires de projets ou consultants qui désirent maîtriser les exigences d’ISO/IEC 27034. Membres de l’équipe de sécurité de l’information. Développeurs seniors.
    PRE-REQUIS
    Connaissances de base en programmation. Etre capable de lire l’anglais (le support est en anglais). Examen traduit en français, possibilité de répondre en français ou en anglais.

    CONTENU

    Introduction : la sécurité applicative et ses concepts selon ISO/CEI 27034
    - Introduction à la sécurité applicative et à la vision globale amenée par ISO/CEI 27034.
    - Principes fondamentaux en sécurité de l’information.
    - Présentation globale des concepts, principes et définitions de la sécurité applicative.
    - Périmètre, composants, processus et acteurs impliqués en gestion de la sécurité applicative.
    - Présentation des concepts implicites intégrés.

    Travaux pratiques
    Echange et réflexion collective autour des concepts et problématiques de la sécurité applicative.

    Les parties de la norme ISO/CEI 27034
    - ISO/IEC 27034-1 : vue globale et concepts.
    - ISO/IEC 27034-2 : la sécurité applicative dans une organisation.
    - ISO/IEC 27034-3 : la sécurité applicative dans un projet.
    - ISO/IEC 27034-4 : validation, vérification et certification de la sécurité applicative.
    - ISO/IEC 27034-5 : les exigences de structure de la sécurité applicative.
    - ISO/IEC 27034-5-1 : schémas XML.
    - ISO/IEC 27034-6 : exemples et étude de cas.

    Etude de cas
    Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC 27034 à travers une étude de cas.

    Implémentation de la sécurité applicative au niveau d’une organisation
    - Buts de la sécurité applicative au niveau d’une organisation.
    - Le Cadre Normatif de l’Organisation (CNO). Le comité CNO.
    - Le processus de gestion du CNO. L’intégration des éléments d’ISO/CEI 27034 dans les processus existants.
    - Les CSA. La bibliothèque de CSA.
    - La matrice de traçabilité de la sécurité applicative. Le processus de certification.

    Etude de cas
    Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC 27034 à travers une étude de cas.

    La sécurité applicative au niveau d’un projet d’application
    - Le processus de gestion de la sécurité d’une application.
    - Fournir et opérer une application.
    - Maintenir le niveau de confiance actuel au niveau de confiance cible.

    Examen
    Examen de certification “ISO 27034 Application Security Foundation”.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste ISO 27034

    MODALITES PRATIQUES
    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 2 082,00 € TTC
    Horaires : 09h00 – 17h30

    ( )