Sécurité : la synthèse technique

Architectures sécurisées, cryptographie, sécurité des réseaux, des applications, du Cloud, de la virtualisation et des terminaux utilisateurs
Sommaire

Vol, chantage, sabotage, exfiltration de données, espionnage industriel,… Les cyberattaques augmentent de façon spectaculaire et n’épargnent plus aucun secteur d’activité. Face à une menace de plus en plus sophistiquée, comment peut-on assurer la sécurité de son système d’information ? Ce séminaire dresse l’état de l’art en matière de cybersécurité et passe en revue toutes les solutions techniques pour sécuriser l’information au sein de l’entreprise mais également sur les terminaux mobiles et dans le Cloud.

    Comprendre les nouvelles menaces : APT, Ransomware, zero-day, drive-by attack, exploit kit, etc.

    Comment mettre en œuvre des solutions d’authentification fortes (PKI, biométrie, U2F, HOTP, TOTP) ?

    Comprendre la cryptographie, la PKI et ses limites.

    Identifier les nouvelles solutions techniques (antivirus EDR, Firewall NG, WAF, CASB, etc.)

    Comprendre pourquoi l’antivirus sur le poste utilisateur n’est plus suffisant.

    Quels sont les nouveaux risques associés au Cloud Computing ? Comment les traiter ?

    Comprendre les attaques spécifiques du Web : XSS, CSRF, cookie poisoning, SQLi, etc.

    Comment détecter une intrusion ? Comment mettre en œuvre ou externaliser un SOC ?

LE MOT DE L’INTERVENANT

« Face à la sophistication et à l’augmentation drastique des cyberattaques, il est urgent d’organiser la riposte. Dans ce séminaire, je vous présente toutes les solutions techniques pour déjouer l’action des cybercriminels : antivirus de nouvelle génération (DRP), solutions CASB, pare-feux applicatifs, Firewall NG, offres SECaaS , SOC 2.0, etc. »

Boris Motylewski



Introduction à la cybersécurité


Panorama de la cybercriminalité

    Évolution de la cybercriminalité en France et dans le monde.

    Évolution des failles de sécurité, menaces APT et des vulnérabilités zero-day.

    Le rôle des crypto-monnaies (bitcoin, Dash, Monero ou Zcash) dans l’essor de la cybercriminalité.

    L’impact économique de la cybercriminalité et le modèle économique du « Crime as a Service »

Les principes fondamentaux de la cybersécurité

    Les principes de la SSI : politique de sécurité, défense à profondeur, réduction surface d’attaque, moindre privilège

    La gestion des risques et les méthodes MEHARI, EBIOS et ISO 27005

    Les principales ressources SSI : ANSSI, NIST, ISO, ENISA, CLUSIF, CSA, etc.

    La gestion des vulnérabilités (Patch management) : Quelle démarche pour une mise en œuvre efficace ?

    Panorama des normes ISO 2700x

Cyberattaques : définitions, typologies et techniques utilisées

    Attaques sur les systèmes (exploitation de vulnérabilité, ver, virus, spyware, ransomware, etc.).

    Attaques sur les applications (Cross Site Scripting, buffer overflow, SQL injection, etc.).

    Attaques sur les flux (« Man In The Middle » actif et passif).

    Attaques sophistiquées de type APT (Advanced Persistent Threat).

    Autres attaques (scam, spam, spear phishing, social engineering, FOVI, etc.).

Architectures sécurisées, virtualisation et cloud computing


Architectures sécurisées et firewall NG & UTM

    La mise en place de solutions DMZ (zones démilitarisées), DMZ front-office/back-office.

    Les solutions intégrées de type UTM avec VPN IPsec, IPS, Content filtering, WAF, etc.

    Les firewalls NG & UTM (évolutions de l’offre, principaux acteurs).

    Le filtrage des contenus (entrants et sortants), contraintes techniques et juridiques.

La sécurité de la virtualisation

    Panorama des menaces et vulnérabilités spécifiques à la virtualisation.

    Attaques sur les machines virtuelles (VM Escape, Hopping, Theft, Sprawl) et sur l’hyperviseur (hyperkit).

    Les risques majeurs de la virtualisation : comment y remédier ?

    Les solutions de sécurité VMware (VMsafe, vShield) et partenariats (Trendmicro, Symantec, etc.).

    Les bonnes pratiques pour la sécurité des environnements virtuels et recommandations ANSSI, ENISA et NIST.

La sécurité dans le cloud computing

    Comment identifier, valoriser et traiter les risques dans le Cloud Computing ?

    L’intérêt des offres CASB (Cloud Access Security Broker).

    Les solutions de sécurité en mode SECaaS (Security as a Service).

    Normes ISO 27017 & 27018 : quel apport pour la sécurité dans le cloud ?

    L’intérêt de la méthodologie EFICAS et de la matrice d’évaluation des risques dans le cloud (MERC)

Sécurité du poste utilisateur


    Comprendre toutes les menaces spécifiques aux postes clients : virus, ver, trojan, backdoor, spyware, adware, scareware, rootkit, etc.

    Les logiciels antivirus (EPP & EDR) : critères de choix, comparatif et déploiement.

    Ransomware et crypto-virus : Comment se protéger efficacement ? Quels enseignements après Wannacry et not Petya ?

    Les failles dans les navigateurs et attaques de type « drive by download ».

    Les vulnérabilités Adobe Flash player et ses conséquences sur la sécurité du poste de travail.

    Les évolutions de Microsoft Windows en matière de sécurité.

    Le chiffrement des disques durs et des périphériques amovibles (disques externes, clés USB, etc.).

Cryptographie, certificats et PKI


Notions fondamentales de cryptographie

    Les algorithmes à clé publique (Diffie Hellman, ECDSA, RSA, etc.) et symétriques (AES, Camelia, 3DES, RC4, etc.).

    Les fonctions de hachage MAC et HMAC avec MD5, SHA1, SHA2 et SHA3 et la résistance aux collisions.

    Bonnes pratiques et recommandations de l’ANSSI, de l’ENISA, de l’EuroCrypt et du NIST.

Les infrastructures PKI

    Le certificat électronique X509 v3 : objectif, format, limitations et usages.

    Le cycle de vie d’un certificat (demande, vérification, émission, enregistrement, révocation, expiration).

    Le confinement hardware des clés (cartes et appliances HSM), certifications FIPS-140-2.

    L’architecture d’une PKI (CA racines, CA intermédiaires, Autorités d’enregistrement, CPS).

Comprendre la PKI Internet

    L’écosystème mondial de la PKI Internet.

    CA Root et CA intermédiaires : combien ? gérées par qui ? contrôlées comment ?

    Les politiques de certification DV, OV et EV et le cas particulier de la CA Let’s Encrypt.

    La gestion des autorités publiques et privées dans les principaux navigateurs du marché.

Sécurité des communications


Les protocoles SSH et IPsec

    Le standard IPsec, protocoles AH, ESP, IKE et la gestion des clés.

    Les recommandations de l’ANSSI pour optimiser la sécurité IPsec.

    Le protocole SSH, avantages et faiblesses.

    Utilisation de SSH et OpenSSH pour l’administration distante sécurisée.

La crypto API SSL/TLS et le protocole HTTPS

    Historique et évolution de SSL v2 à TLS v1.3.

    Les failles de sécurité liées à l’implémentation logicielle (heartbleed, goto fail).

    Les vulnérabilités SSL/TLS (BEAST, FREAK, Crime, POODLE, Logjam).

    les apports de Certificate Transparency, OCSP stapling, DANE, HSTS et HPKP.

    Comment vérifier facilement la configuration TLS d’un serveur Web ?

Les technologies VPN

    Technologie et produits de VPN SSL et VPN Ipsec.

    La création d’un VPN (Virtual Private Network) site à site via Internet.

    IPSec ou VPN SSL : quel est le meilleur choix pour les postes nomades ?

    Utilisation des techniques VPN et du réseau TOR pour anonymiser la navigation.

Authentification des utilisateurs


Authentification des utilisateurs

    L’authentification biométrique (empreinte digitale, iris, visage,…) et aspects juridiques.

    Les attaques sur les mots de passe (brute force, sniffing, credential stuffing, keylogger, phishing).

    Les attaques en brute force off-line via CPU, GPU, FPGA et ASIC NG.

    Les coffres-forts de mots de passe (Dashlane, keepass, 1password, Lastpass).

    L’authentification par carte à puce et certificat client X509.

    Les systèmes non rejouables OTP (One Time Password), soft token et hard token.

    l’Open Authentication (OATH), les standards HOTP et TOTP et le client Google authenticator.

    Les standards UAF et U2F de l’alliance FIDO (Fast ID Online).

    Quelles solutions pragmatiques pour gérer la multitude de mots de passe ?

Sécurité des réseaux sans fil et des mobiles


Sécurité WiFi

    Comment sécuriser un réseau WLAN (SSID, filtrage MAC, firewall, etc.) ?

    Quels risques via les hotspots publics et via la borne WiFi à domicile ?

    Les failles WEP, WPA, WPS et leurs techniques d’exploitation. Comment y remédier ?

    La sécurité apportée par WPA2 et la norme IEEE 802.11i.

    Les méthodes d’authentification spécifiques (IEEE 802.1X, EAP-TLS, EAP-TTLS, etc.).

Sécurité des tablettes & smartphones

    Panorama des attaques (perte, vol, malware, vulnérabilités, etc.).

    Le point sécurité pour les principales plates-formes (iPhone, Android, Blackberry, Windows Phone).

    Virus et codes malveillants : quel est le risque réel ? Quel est l’intérêt d’un antivirus ?

    Les solutions de MDM et EMM pour la gestion de flotte.

    Chiffrement iPhone ou Android : un frein réel pour les enquêtes judiciaires ?

Sécurité des applications Web et mobiles


La sécurité applicative

    Comment appliquer le principe de la défense en profondeur pour sécuriser les applications Web en production ?

    Applications Web et mobiles : quelles différences en matière de sécurité ?

    Les dix risques de sécurité des applications : Top Ten OWASP) et les principales attaques : buffer overflow, XSS, CSRF, SQL injection, vol de session, etc.

    Les méthodes de développement sécurisé (SDLC, CLASP, OpenSAMM, etc.)

    Les firewalls applicatifs, aspects techniques et retours d’expérience.

L’évaluation de la sécurité des applications

    Valider son application via les techniques de "fuzzing".

    Les outils de validation de code (SCA).

    Les produits VDS et WASS (Web Application Security Scanning) pour la détection des vulnérabilités.

    La conception et l’évaluation de la sécurité applicative avec la méthodologie ASVS de l’OWASP.

Gestion et supervision de la sécurité


Comment gérer la sécurité au quotidien ?

    Comment construire un tableau de bord Sécurité ?

    L’apport des normes ISO 27004 (métriques du SMSI) et ISO 27035 (gestion des incidents).

    Comment mettre en œuvre une gestion des incidents de sécurité efficace ?

Comment contrôler le niveau de sécurité ?

    Les audits de sécurité et les tests d’intrusion (black box, gray box et white box).

    Comment procéder à une évaluation de sécurité ? Aspects techniques et juridiques.

    Intérêt des plates-formes de « bug bounty » pour identifier les failles de sécurité.

    La veille technologique : comment se tenir informé des nouvelles failles ou vulnérabilités ?

Détection et remédiation des incidents de sécurité

    Le Security Information and Event Management (SIEM) et la gestion centralisée des logs.

    Comment mettre en œuvre ou externaliser un SOC (Security Operation Center) ?

    Les référentiels de qualification de l’ANSSI (PASSI, PDIS et PRIS).

    Que faire en cas d’intrusion ? Le rôle d’un expert judiciaire.