Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Sécurité : la synthèse technique Paris
Sécurité : la synthèse technique Paris
Sécurité : la synthèse technique Paris
Sécurité : la synthèse technique Paris
DURéE
3 jours
DATES
19-21 juin 2017
25-27 septembre 2017
6-8 novembre 2017
4-6 décembre 2017
LIEU
Paris
PRIX
2 615 € ht (3 138 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Sécurité : la synthèse technique

    >  Protection périmétrique, cryptographie, sécurité des réseaux, des applications, du cloud, de la virtualisation et des postes clients




    Vol, chantage, sabotage, exfiltration de données, espionnage industriel… Les cyber-attaques augmentent de façon spectaculaire et n’épargnent plus aucun secteur d’activité. Face à une menace de plus en plus sophistiquée, comment peut-on assurer la sécurité de son système d’information ? Ce séminaire dresse l’état de l’art en matière de cybersécurité et passe en revue toutes les solutions techniques pour sécuriser l’information au sein de l’entreprise mais également sur les terminaux mobiles et dans le Cloud.

    • Comprendre les nouvelles menaces : APT, zero-day, drive-by attack, exploit kit, etc.
    • Comment mettre en œuvre des solutions d’authentification fortes (PKI, 2-facteurs, biométrie, U2F, HOTP, TOTP).
    • Comprendre la cryptographie, la PKI et ses limites.
    • Pourquoi l’antivirus sur le poste client n’est-il plus suffisant ?
    • Quels sont les nouveaux risques associés au Cloud Computing ? Comment les traiter ?
    • Comprendre les attaques spécifiques du Web : XSS, CSRF, cookie poisoning, SQLi, etc.
    • Comment détecter une intrusion. Comment mettre en œuvre ou externaliser un SOC.


    Quelles attaques sur votre système d’information ?


    Panorama de la cybercriminalité

    • La gestion des risques SSI et panorama des normes ISO 2700x.
    • Évolution de la cybercriminalité en France et dans le monde.
    • Évolution des failles de sécurité, menaces APT et des vulnérabilités zero-day.
    • L’impact économique de la cybercriminalité et le modèle économique du « Crime as a Service »

    Les attaques : définitions, typologies et techniques utilisées

    • Attaques des systèmes (exploitation de vulnérabilité, ver, virus, spyware, etc.).
    • Attaques sur les applications (Cross Site Scripting, buffer overflow, SQL injection, etc.).
    • Attaques sur les contenus (failles PDF, flash, MS office, etc.).
    • Attaques sur les flux (« Man In The Middle » actif et passif).
    • Attaques sophistiquées de type APT (Advanced Persistent Threat).
    • Autres attaques (scam, spam, spear phishing, social engineering, etc.).

    Protection périmétrique, virtualisation et cloud computing


    Architecture sécurisée et firewall NG et UTM

    • La mise en place de solutions DMZ (zones démilitarisées), DMZ front-office/back-office.
    • Les solutions intégrées de type UTM avec VPN IPsec, IPS, Content filtering, WAF, etc.
    • Les firewalls NG et UTM (évolutions de l’offre, principaux acteurs).
    • Le filtrage des contenus (entrants et sortants), contraintes techniques et juridiques.

    La sécurité de la virtualisation

    • Panorama des menaces et vulnérabilités spécifiques à la virtualisation.
    • Attaques sur les machines virtuelles (VM Escape, Hopping, Theft, Sprawl) et sur l’hyperviseur (hyperkit).
    • Les solutions de sécurité VMware (VMsafe, vShield) et partenariats (Trendmicro, Symantec, etc.).
    • Les bonnes pratiques pour la sécurité des environnements virtuels et recommandations ANSSI / NIST.

    La sécurité dans le cloud computing

    • Comment identifier, valoriser et traiter les risques dans le Cloud Computing ?
    • L’intérêt des offres CASB (Cloud Access Security Broker).
    • Les travaux de la Cloud Security Alliance (CCM et CAIQ) et les certifications STAR.
    • Normes ISO 27017 et 27018 : quel apport pour la sécurité dans le cloud ?
    • L’intérêt de la méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité)
    • Les principales offres de sécurité SecaaS (Security as a Service).

    Sécurité des postes de travail


    • Comprendre toutes les menaces spécifiques aux postes clients : virus, ver, trojan, backdoor, spyware, adware, scareware, rootkit, etc.
    • Les logiciels antivirus : critères de choix, comparatif et déploiement.
    • Ransomware et crypto-virus : Comment se protéger efficacement ?
    • Gestion des vulnérabilités (cycle de vie et gestion des patchs).
    • Les failles dans les navigateurs et attaques de type « drive by download ».
    • Les vulnérabilités Adobe Flash player et ses conséquences sur la sécurité du poste de travail.
    • Les apports de Windows 7, 8 et 10 en matière de sécurité.
    • Le chiffrement des disques durs et des périphériques amovibles (disques externes, clés USB, etc.).
    • Le contrôle de conformité, IEEE 802.1X, Cisco NAC, Microsoft NAP.

    Cryptographie, PKI et signature électronique


    Notions fondamentales de cryptographie

    • Les objectifs techniques : confidentialité, intégrité, signature, non-répudiation.
    • Les algorithmes à clé publique (Diffie Hellman, ECDSA, RSA, etc.) et symétrique (AES, Camelia, 3DES, RC4, etc.).
    • Les fonctions de hachage MAC et HMAC avec MD5, SHA1, SHA2 et SHA3 et la résistance aux collisions.
    • Bonnes pratiques et recommandations de l’ANSSI, de l’ENISA, de l’EuroCrypt et du NIST.

    Les infrastructures PKI

    • Le certificat électronique X509 v3 : objectif, format, limitations et usages.
    • Le cycle de vie d’un certificat (demande, vérification, émission, enregistrement, révocation, expiration).
    • Le confinement hardware des clés (cartes et appliances HSM), certifications FIPS-140-2.
    • L’architecture d’une PKI (CA racines, CA intermédiaires, Autorités d’enregistrement, CPS).
    • Les solutions de PKI en Open Source (EJBCA) ou avec Windows Server 2012 / 2016.

    Comprendre la PKI Internet

    • L’écosystème mondial de la PKI Internet.
    • CA Root et CA intermédiaires : combien ? gérées par qui ? contrôlées comment ?
    • Les politiques de certification DV, OV et EV et le cas particulier de la CA Let’s Encrypt.
    • La gestion des autorités publiques et privées dans les principaux navigateurs du marché.

    Signature électronique

    • La signature électronique : principe et utilisation.
    • Les normes et formats de signature : P7, PDF Signature, XAdES, CAdES et PadES.
    • Signature personne physique vs personne morale : le cachet électronique.
    • La signature à valeur légale et la signature « présumée fiable ».

    Sécurité des communications


    Les protocoles SSH et IPsec

    • Le standard IPsec, protocoles AH, ESP, IKE et la gestion des clés.
    • Comment surmonter les problèmes entre IPsec et NAT ?
    • Les recommandations de l’ANSSI pour optimiser la sécurité IPsec.
    • Le protocole SSH, avantages et faiblesses.
    • Utilisation de SSH et OpenSSH pour l’administration distante sécurisée.

    La crypto API SSL/TLS et le protocole HTTPS

    • Historique et évolutions de SSL v2 à TLS v1.3.
    • Les failles de sécurité liées à l’implémentation logicielle (heartbleed, goto fail).
    • Les vulnérabilités SSL/TLS (BEAST, FREAK, Crime, POODLE, Logjam).
    • Les techniques d’attaques des flux https sur Internet.
    • les apports de Certificate Transparency, OCSP stapling, DANE, HSTS et HPKP.
    • Comment vérifier facilement la configuration TLS d’un serveur Web ?

    Les technologies VPN

    • Technologie et produits de VPN SSL et VPN Ipsec.
    • La création d’un VPN (Virtual Private Network) site à site via Internet.
    • IPSec ou VPN SSL : quel est le meilleur choix pour les postes nomades ?
    • Utilisation des techniques VPN et du réseau TOR pour anonymiser la navigation.

    Authentification des utilisateurs


    Authentification des utilisateurs

    • L’authentification biométrique (empreinte digitale, iris, visage…) et aspects juridiques.
    • Les attaques sur les mots de passe (brute force, sniffing, credential stuffing, keylogger, phishing).
    • Les coffres-forts de mots de passe (Dashlane, keepass, 1password, Lastpass).
    • L’authentification par carte à puce et certificat client X509.
    • Les systèmes non rejouables OTP (One Time Password), soft token et hard token.
    • l’Open Authentication (OATH), les standards HOTP et TOTP et le client Google authenticator.
    • Les standards UAF et U2F de l’alliance FIDO (Fast ID Online).
    • Quelles solutions pragmatiques pour gérer la multitude de mots de passe ?

    Sécurité des réseaux sans fil et des mobiles


    Sécurité WiFi

    • Comment sécuriser un réseau WLAN (SSID, filtrage MAC, firewall, etc.) ?
    • Quels risques via les hotspots publics et via la borne à la maison ?
    • Les failles WEP, WPA, WPS et leurs techniques d’exploitation. Comment y remédier ?
    • La sécurité apportée par WPA2 et la norme IEEE 802.11i.
    • Les méthodes d’authentification spécifiques (IEEE 802.1X, EAP-TLS, EAP-TTLS, etc.).
    • Les recommandations de l’ANSSI pour la sécurité des réseaux WiFi.

    Sécurité des tablettes et smartphones

    • Panorama des attaques (perte, vol, malware, vulnérabilités, etc.).
    • Le point sécurité pour les principales plates-formes (iPhone, Android, Blackberry, Windows Phone).
    • Virus et codes malveillants : quel est le risque réel ? Quel est l’intérêt d’un antivirus ?
    • Les recommandations de l’ANSSI pour la sécurité des ordiphones.

    Sécurité des applications Web et mobiles


    La sécurité applicative

    • Comment appliquer le principe de la défense en profondeur pour sécuriser les applications Web en production ?
    • Applications Web et mobiles : quelles différences en matière de sécurité ?
    • Les dix risques de sécurité des applications : Top Ten OWASP) et les principales attaques : buffer overflow, XSS, CSRF, SQL injection, vol de session, etc.
    • Les méthodes de développement sécurisé (SDLC, CLASP, INCAS, etc.)
    • Les apports de la norme ISO 27034 pour la sécurité applicative.
    • Les firewalls applicatifs, aspects techniques et retours d’expérience.

    L’évaluation de la sécurité des applications

    • Valider son application via les techniques de « fuzzing ».
    • Les outils de validation de code (SCA).
    • Les produits VDS et WASS (Web Application Security Scanning) pour la détection des vulnérabilités.
    • L’évaluation de la sécurité applicative avec ASVS (Application Security Verification Standard).

    Gestion et supervision de la sécurité


    Comment gérer la sécurité au quotidien ?

    • Comment construire un tableau de bord Sécurité ?
    • L’apport des normes ISO 27004 (métriques du SMSI) et ISO 27035 (gestion des incidents).
    • Comment mettre en œuvre une gestion des incidents de sécurité efficace ?

    Comment contrôler le niveau de sécurité ?

    • Les audits de sécurité et les tests d’intrusion (black box, gray box, white box et red team).
    • Comment procéder à une évaluation de sécurité ? Aspects techniques et juridiques.
    • Les logiciels de scan avancés VDS : Qualys, Nessus, Mandiant, iTrust, etc.
    • La veille technologique : comment se tenir informé des nouvelles failles ou vulnérabilités ?

    Détection et remédiation des incidents de sécurité

    • Le Security Information and Event Management (SIEM) et la gestion centralisée des logs.
    • Comment mettre en œuvre ou externaliser un SOC (Security Operation Center) ?
    • Les référentiels de qualification de l’ANSSI (PASSI, PDIS et PRIS).
    • Temps moyen de détection (MTTD) et de remédiation (MTTR) : comment les optimiser ?
    • Que faire en cas d’intrusion ? Le rôle d’un expert judiciaire.