Réseaux et sécurité, Sécurité, synthèses et référentiels ISO, CISSP...

(1)

Réseaux et sécurité, Sécurité, synthèses et référentiels ISO, CISSP...

De nos jours, la sécurité des informations devient une préoccupation critique des décideurs d'entreprise, des clients et fournisseurs. Les séminaires Orsys s'adressent à tous ceux qui ont à définir une politique de sécurité et de continuité, à la mettre en &oelig;uvre au moyen d'une organisation et de solutions adaptées, ou encore à auditer un système déjà en place. Une place importante est donnée à la maîtrise des normes et référentiels (ISO 27001, ISO 27005, CISSP, PCI-DSS, etc.), et à la préparation des certifications associées.

Séminaires

Sécurité des systèmes d'information, synthèse.... ( p12 ) Sécurité réseaux/Internet, synthèse.... ( p17 )

Sécurité VPN, sans-fil et mobilité, synthèse.... ( p21 ) Cloud Computing, sécurité.... ( p25 )

Audit, indicateurs et contrôle de la sécurité.... ( p26 ) Implémenter et gérer un projet ISO 27001:2013.... ( p27 )

ISO 27001:2013 Bridge, passer de la version 2005 à la version 2013.... ( p31 ) ISO 27005:2011 Risk Manager, préparation à la certification.... ( p37 )

Plan de secours et de continuité.... ( p43 ) PCI-DSS, sécurité e-commerce.... ( p44 )

Sécurité des applications Web, synthèse.... ( p45 ) Annuaire et gestion d'identité.... ( p46 )

Authentifications et autorisations, architectures et solutions.... ( p47 ) SAML 2, fédération des identités, synthèse.... ( p48 )

Stages Pratiques

Cycle certifiant Responsable Sécurité SI.... ( p3 )

CISA, Certified IS Auditor, préparation à la certification.... ( p5 ) CISM, Certified IS Manager, préparation à la certification.... ( p7 ) Responsable sécurité SI Certificat universitaire.... ( p8 )

CLFE, Certified Lead Forensics Examiner, certification.... ( p14 ) ISO 27034, sécurité des applications, Foundation, certification.... ( p15 ) ISO 27034, sécurité des applications, Lead Auditor, certification.... ( p19 ) ISO 27034, sécurité des applications, Lead Implementer, certification.... ( p23 ) ISO 27001:2013 Lead Auditor, mise en pratique, certification.... ( p29 )

ISO 27001:2013 Lead Implementer, mise en pratique, certification.... ( p30 ) ISO 22301, Foundation, certification.... ( p32 )

ISO 22301, Lead Auditor, certification.... ( p33 ) ISO 22301, Lead Implementer, certification.... ( p34 )

CISSP, sécurité des SI, préparation à la certification.... ( p36 ) ISO 27005:2011 Risk Manager, certification.... ( p38 )

(2)

Mehari Risk Manager, certification.... ( p39 )

Méthode EBIOS, mise en oeuvre de la gestion des risques.... ( p40 ) Sécurité SI, mise en œuvre pratique d'une analyse de risques.... ( p41 ) Sécurité SI, sensibilisation des utilisateurs.... ( p49 )

(3)

Stage pratique de 12 jour(s)

Réf : KUR

Participants

Ingénieurs, experts, consultants en informatique.

Pré-requis

Bonnes connaissances en systèmes et réseaux informatiques.

Prix 2015 : 6910€ HT

Dates des sessions

Paris

16 juin 2015, 15 sep. 2015 3 nov. 2015

Composition du cycle

- Sécurité des systèmes d'information, synthèse

Réf : SSI, Durée : 3 j

- Sécurité réseaux/Internet, synthèse

Réf : SRI, Durée : 3 j

- ISO 27005:2011 Risk Manager, préparation à la certification

Réf : AIR, Durée : 3 j

- Plan de secours et de continuité

Réf : PDS, Durée : 2 j

- Certification Responsable Sécurité SI

Réf : KZX, Durée : 1 j

Dates d'examen

13 avril 15 03 juillet 15 14 septembre 15 14 décembre 15

Cycle certifiant Responsable Sécurité SI

certificat professionnel FFP

OBJECTIFS

Ce cycle vous apportera toutes les connaissances nécessaires à la définition et la mise en oeuvre de la politique de sécurité de l'entreprise. Vous apprendrez à répondre aux impératifs de sécurité dans les communications IT et l'architecture du système d'information. Ce cycle traitera aussi des normes ISO relatives à ce domaine, avec un focus particulier sur l'analyse de risques et la mise en place d'un plan de secours et de continuité.

1) La sécurité des systèmes d'information 2) Sensibilisation et communication 3) La sécurité des réseaux et de l'Internet

4) La sécurité des applications et la supervision 5) L'analyse de risques

6) Le plan de secours et de continuité

1) La sécurité des systèmes d'information

- La notion et les types de risque (potentialité, impact, accident, erreur, malveillance).

- La classification DIC. La gestion du risque (prévention, protection, report de risque, externalisation).

- RSSI, chef d'orchestre de la sécurité. Rôle et responsabilité.

- Les cadres normatifs et réglementaires. Vers la gouvernance informatique, les liens avec ITIL et CMMI.

- La norme ISO dans une démarche Systèmes de management. La certification ISO 27001.

- L'analyse de risque. Comment constituer sa propre base de connaissances menaces/vulnérabilités ? - Les méthodes en activité : EBIOS/FEROS, MEHARI.

- Les audits de sécurité. Les bonnes pratiques de la norme 19011 appliquées à la sécurité.

2) Sensibilisation et communication

- Mettre en place un plan de sensibilisation et de communication.

- La charte de sécurité, son existence légale, son contenu, sa validation.

- Couverture des risques. Plans de secours, de continuité, de reprise et de gestion de crise.

- Concevoir des solutions optimales. Démarche pour les solutions de sécurisation adaptées pour chaque action.

- Définition d'une architecture cible. Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.

- Déployer un projet PKI, les pièges à éviter. Les techniques d'authentification, SSO, fédération d'identité.

- Les principes juridiques applicables au SI. La responsabilité civile délictuelle et contractuelle.

- Recommandations pour une sécurisation légale du SI. La cybersurveillance des salariés, limites et contraintes légales.

3) La sécurité des réseaux et de l'Internet

- Evolution de la cybercriminalité. Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associés.

- Outils et méthodes d'intrusion par TCP-IP. Les attaques applicatives (DNS, HTTP, SMTP, etc.).

- Sécurité des postes clients. Les menaces : backdoor, virus, rootkit... Le rôle du firewall personnel et ses limites.

- Sécurité du sans-fil (Wi-Fi et Bluetooth). Attaques spécifiques (Wardriving, failles WEP et EAP).

- Technologie firewall et proxy. Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...).

- Techniques cryptographiques. Algorithmes à clé publique : Diffie Hellman, RSA... Scellement et signature électronique.

- Sécurité pour l'Intranet/Extranet. Les attaques sur SSL/TLS (sslstrip, sslnif...). Annuaire LDAP et sécurité.

- Réseaux Privés Virtuels (VPN). IPSec. Les modes AH et ESP, IKE et la gestion des clés.

4) La sécurité des applications et la supervision

- Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...).

- Le processus SDL (Security Development Lifecycle). Utilisation de la technique de "fuzzing".

- Les outils de revue de code orientés sécurité. Le Firewall applicatif (WAF). Hardening et vérification d'intégrité.

- Gestion et supervision active de la sécurité. Les tableaux de bord Sécurité. La norme ISO 27004.

- Les missions du RSSI dans le suivi de la sécurité. Les audits de sécurité (techniques ou organisationnels).

- Les tests de vulnérabilité ou tests d'intrusion. Les outils Sondes IDS, Scanner VDS, Firewall IPS.

- Consigner les preuves et riposter efficacement. Se tenir informé des nouvelles vulnérabilités.

- Gérer les mises à niveaux. Savoir réagir en cas d'incidents. Les services indispensables : où les trouver ?

5) L'analyse de risques

- Rappels sur les terminologies ISO 27000.

- Identification et classification des risques.

- L'analyse de risques selon l'ISO.

- Les méthodes d'analyse de risques EBIOS 2010 et MEHARI 2010. Les autres méthodes internationales.

(4)

- Comment choisir la meilleure méthode sur la base d'exemples et étude de cas pratiques ? - Une méthode globale ou une méthode par projet.

- Le vrai coût d'une analyse de risques.

6) Le plan de secours et de continuité

- Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards.

- Définir la stratégie de continuité.

- Les phases d'un projet plan de continuité.

- L'analyse des risques pour le plan de continuité.

- L'identification des activités critiques.

- Les éléments et le budget pour élaborer les scénarios.

- Les équipes de secours : constitution, rôles... Les principes de déclenchement du plan de secours.

(5)

Stage pratique de 5 jour(s) Réf : ISB

Participants

Directeurs des SI, auditeurs, responsables de la continuité d'activité ou de la sécurité, ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l'atteinte de leurs objectifs.

Pré-requis

Connaissances de base dans le fonctionnement des systèmes d'information.

Prix 2015 : 4450€ HT Eligible DIF

Dates des sessions

Paris

18 mai 2015, 5 oct. 2015 7 déc. 2015

Bruxelles

22 juin 2015, 7 sep. 2015 23 nov. 2015

Geneve

22 juin 2015, 7 sep. 2015 23 nov. 2015

Luxembourg 22 juin 2015, 7 sep. 2015 23 nov. 2015

CISA, Certified IS Auditor, préparation à la certification

OBJECTIFS

Ce cours permet de préparer l'examen CISA®, Certified Information Systems Auditor, en couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l'ISACA®, Information Systems Audit and Control Association. La certification CISA est reconnue dans le monde entier.

1) Domaine 1 : processus d'audit des systèmes d'information

2) Domaine 2 : gouvernance et gestion des systèmes d'information

3) Domaine 3 : acquisition, conception, implantation des SI

4) Domaine 4 : exploitation, entretien et soutien des systèmes d'information

5) Domaine 5 : protection des actifs informationnels

6) Préparation et certification

Certification

Une expérience de 5 ans est requise pour obtenir la certification CISA suite à la réussite de l'examen. Vous pouvez néanmoins passer l'examen d'abord, et pour cela vous devez vous inscrire sur le site de l'ISACA.

1) Domaine 1 : processus d'audit des systèmes d'information

- Les standards d'audit.

- L'analyse des risques d'audit et le contrôle interne.

- L'auto-évaluation des contrôles.

- La pratique d'un audit SI.

Travaux pratiques

Questions issues des précédentes sessions du CISA (ou d'examens comparables).

2) Domaine 2 : gouvernance et gestion des systèmes d'information

- La gouvernance des SI.

- La stratégie de la gouvernance du SI.

- Les procédures et le Risk management.

- La pratique de la gouvernance des SI.

- L'audit d'une structure de gouvernance.

- Les pratiques des plans de continuité et des plans de secours.

- L'audit des systèmes de continuité et de secours.

3) Domaine 3 : acquisition, conception, implantation des SI

- La gestion du cycle de vie des systèmes et de l'infrastructure.

- La gestion de projet : pratique et audit.

- Les pratiques de développement.

- L'audit de la maintenance applicative et des systèmes.

- Les contrôles applicatifs.

4) Domaine 4 : exploitation, entretien et soutien des systèmes d'information

- L'audit de l'exploitation des SI.

- L'audit des aspects matériels du SI.

- L'audit des architectures SI et réseaux.

5) Domaine 5 : protection des actifs informationnels

- La gestion de la sécurité : politique et gouvernance. L'audit et la sécurité logique et physique.

- L'audit de la sécurité des réseaux. L'audit des dispositifs nomades.

6) Préparation et certification

- Examen blanc. Simulation partielle de l'examen effectuée en fin de formation.

(6)

- Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l'examen.

- Déroulement de l'examen : 4 heures de QCM avec 200 questions à choisir préalablement en français ou en anglais.

(7)

Stage pratique de 3 jour(s) Réf : ISM

Participants

Directeurs des SI, auditeurs, responsables de la continuité d'activité ou de la sécurité ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l'atteinte de leurs objectifs.

Pré-requis

Connaissances de base dans le fonctionnement des systèmes d'information.

La compréhension de l'anglais est nécessaire car la documentation fournie est en anglais (la formation est donnée en français).

Dates des sessions

Paris

11 mai 2015, 7 sep. 2015 16 nov. 2015

Bruxelles

4 mai 2015, 31 aoû. 2015 26 oct. 2015, 14 déc. 2015 Geneve

4 mai 2015, 31 aoû. 2015 26 oct. 2015, 14 déc. 2015 Luxembourg

4 mai 2015, 31 aoû. 2015 26 oct. 2015, 14 déc. 2015

CISM, Certified IS Manager, préparation à la certification

OBJECTIFS

Ce cours permet de préparer l'examen CISM®, Certified Information Security Manager, couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l'ISACA®, Information Systems Audit and Control Association. La certification CISM est reconnue dans le monde entier.

1) Domaine 1 : gouvernance de la sécurité de l'information

2) Domaine 2 : gestion des risques de l'information et conformité

3) Domaine 3 : implémentation, gestion de programme sécurité de l'information

4) Domaine 4 : gestion des incidents de sécurité de l'information

5) Examen blanc et procédure de certification

Certification

Outre la réussite à l'examen, il faut justifier d'au moins 5 années d'expérience avec un minimum de trois ans dans le management de la sécurité de l'information dans trois domaines concernés par la certification. Pour le passage de l'examen, vous devez vous inscrire sur le site de l'ISACA.

1) Domaine 1 : gouvernance de la sécurité de l'information

- Alignement de la stratégie de sécurité de l'information sur la stratégie d'entreprise et de la direction.

- Développement de la politique de sécurité de l'information.

- Engagement de la haute direction et soutien à la sécurité informatique dans toute l'entreprise.

- Définition des rôles et responsabilités dans la gouvernance de la sécurité de l'information.

Questions issues des précédentes sessions du CISM (ou d'examens comparables).

2) Domaine 2 : gestion des risques de l'information et conformité

- Développement d'une approche systématique et analytique, ainsi que du processus continu de gestion des risques.

- Identification, analyse et évaluation des risques.

- Définition des stratégies de traitement des risques.

- Communication de la gestion des risques.

3) Domaine 3 : implémentation, gestion de programme sécurité de l'information

- L'architecture en sécurité de l'information.

- Méthodes pour définir les mesures de sécurité requises.

- Gestion des contrats et des prérequis de sécurité de l'information.

- Métriques et évaluation de la performance en sécurité de l'information.

4) Domaine 4 : gestion des incidents de sécurité de l'information

- Composantes d'un plan de gestion des incidents de sécurité.

- Concepts et pratiques en gestion des incidents de sécurité.

- Méthode de classification.

- Processus de notification et d'escalade.

- Techniques de détection et d'analyse des incidents.

5) Examen blanc et procédure de certification

- Simulation partielle de l'examen (examen blanc) effectuée en fin de formation.

- Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l'examen.

- Déroulement de l'examen : 4 heures de QCM avec 200 questions (examen disponible uniquement en anglais).

(8)

Stage pratique de 11 jour(s)

Réf : 1UC

Participants

Ingénieurs, experts, consultants en informatique.

Le public dispose de bonnes connaissances en systèmes et réseaux informatiques.

Pré-requis

Aucune connaissance particulière.

Dates des sessions

Paris 14 sep. 2015

Responsable sécurité SI Certificat universitaire

OBJECTIFS

Toutes les connaissances nécessaires à la définition et la mise en oeuvre de la politique de sécurité de l'entreprise. Vous apprendrez à : répondre aux impératifs de sécurité dans les communications IT et l'architecture du système d'information, connaître les normes ISO relatives à ce domaine, avec un focus particulier sur l'analyse de risques et la mise en place d'un plan de secours et de continuité.

1) Sécurité des systèmes d'information, synthèse

2) Sécurité réseaux/Internet, synthèse

3) ISO 27005:2011 Risk Manager, préparation à la certification

4) Plan de secours et de continuité

1) Sécurité des systèmes d'information, synthèse

Introduction - La notion de risque.

- Les types de risques.

- La classification DIC.

- La gestion du risque.

RSSI : chef d'orchestre de la sécurité - Quel est le rôle du RSSI ?

- Vers une organisation de la sécurité, le rôle des "Assets Owners".

- Le Risk Manager dans l'entreprise ; son rôle par rapport au RSSI.

Les cadres normatifs et réglementaires

- Les réglementations SOX, COSO, COBIT. Pour qui ? - Vers la gouvernance informatique, les liens avec ITIL et CMMI.

- La norme ISO dans une démarche Systèmes de management.

- La certification ISO 27001.

L'analyse de risque

- Comment constituer sa propre base de connaissances menaces/vulnérabilités ? - Les méthodes en activité : EBIOS/FEROS, MEHARI.

- La démarche d'analyse de risques dans le cadre 27001, l'approche PDCA.

- La méthode universelle ISO 27005, les évolutions des méthodes françaises.

Les audits de sécurité et le plan de sensibilisation - Processus continu et complet.

- Les catégories d'audits, de l'audit organisationnel au test d'intrusion.

- Les bonnes pratiques de la norme 19011 appliquées à la sécurité.

- Comment créer son programme d'audit interne, qualifier ses auditeurs ? - Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?

Le coût de la sécurité et les plans de secours - Les budgets sécurité.

- Les techniques d'évaluation des coûts/différences de calcul/au TCO.

- La couverture des risques et la stratégie de continuité.

- Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO...

- Développer un plan de continuité, l'insérer dans une démarche qualité.

Concevoir des solutions optimales

- Démarche de sélection des solutions de sécurisation adaptées pour chaque action.

- La norme ISO 1540 comme critère de choix.

- Comment déployer un projet PKI, les pièges à éviter?

- Les techniques d'authentification, vers des projets SSO, fédération d'identité.

- La démarche sécurité dans les projets informatiques, le cycle PDCA idéal.

Supervision de la sécurité

- Gestion des risques (constats, certitudes...).

- Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA.

- Externalisation : intérêts et limites.

Les atteintes juridiques au STAD

- Rappel, définition du Système de Traitement Automatique des Données (STAD).

- Types d'atteintes, contexte européen, la loi LCEN.

Recommandations pour une sécurisation "légale" du SI

- La protection des données à caractère personnel, sanctions prévues.

- De l'usage de la biométrie en France.

- La cybersurveillance des salariés : limites et contraintes légales.

(9)

2) Sécurité réseaux/Internet, synthèse

Introduction : qui fait quoi et comment ? - Concepts : risque, menaces, vulnérabilité...

- Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associés.

- Nouvelles techniques d'attaque et contre-mesures.

Outils et méthodes d'intrusion par TCP-IP - Les attaques par le stack IP.

- Les attaques applicatives (DNS, HTTP, SMTP, etc.).

- Utilisation d'un code mobile malveillant.

- Comprendre les techniques des hackers.

Sécurité des postes clients

- Les menaces : backdoor, virus, spyware, rootkit...

- Le rôle du firewall personnel et ses limites.

- Les logiciels anti-virus/anti-spyware : comparatif.

- Les attaques par les documents PDF.

- Comment sécuriser les périphériques amovibles ? - Contrôle de conformité de Cisco NAC, MS NAP.

- La sécurité intégrée dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...).

Sécurité du sans-fil (Wi-Fi et Bluetooth)

- Technologies de réseaux sans fil (standards 802.11).

- Attaques spécifiques (Wardriving, failles WEP et EAP).

- Sécurité des bornes (SSID, filtrage MAC).

- Vulnérabilités WEP. Faiblesse de l'algorithme RC4.

- Le standard de sécurité IEEE 802.11i (WPA et WPA2).

- Authentifier des utilisateurs (EAP, certificats, token...).

- Attaque sur les hotspots Wi-Fi (Rogue AP).

- Attaques spécifiques sur Bluetooth (Bluebug...).

- Audit et surveillance du réseau. Outils d'audit.

Technologie firewall/proxy

- Serveurs proxy, reverse proxy, masquage d'adresse.

- Principe des firewalls, périmètre fonctionnel.

- La mise en place de solutions DMZ.

- Sécurité liée à l'adressage.

- Notion de "dé-périmétrisation" du forum Jericho.

- Utilisation des firewalls dans la protection des environnements virtuels.

Techniques cryptographiques

- Terminologie, principaux algorithmes. Législation et contraintes d'utilisation.

- Algorithmes à clé publique : Diffie Hellman, RSA...

- Scellement et signature électronique : MD5, MAC...

- Mots de passe, token, carte à puce, certificats ou biométrie ?

- Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification.

- Sécurisation des clés de chiffrement (PFS, TPM...).

- Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X509.

Sécurité pour l'Intranet/Extranet - Les architectures à clés publiques.

- Les attaques sur SSL/TLS (sslstrip, sslnif...).

- Comment obtenir des certificats ? Comment les faire gérer ? - Annuaire LDAP et sécurité.

- Architectures "3A" (authentification, autorisation, audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs.

Réseaux Privés Virtuels (VPN)

- Analyse du besoin, conception et déploiement.

- La création d'un VPN site à site via Internet.

- IPSec. Les modes AH et ESP, IKE et la gestion des clés.

- Les produits compatibles IPSec, l'interopérabilité.

- Les produits VPN SSL, l'enjeu de la portabilité.

- Le VPN avec DirectAccess sous Windows 7.

Sécurité des applications

- Les principales techniques d'attaque des applications.

- Le processus SDL (Security Development Lifecycle).

- Utilisation de la technique de "fuzzing".

- Les outils de revue de code orientés sécurité.

- Le Firewall applicatif (WAF).

- Solution WAF Open source avec Apache en reverse proxy et mod_security.

- Le hardening et la vérification d'intégrité temps réel.

Gestion et supervision active de la sécurité

(10)

- L'apport des normes ISO 27001 et ISO 27002.

- Les tableaux de bord Sécurité. La norme ISO 27004.

- Les missions du RSSI dans le suivi de la sécurité.

- Les audits de sécurité (techniques ou organisationnels).

- Les tests de vulnérabilité ou tests d'intrusion.

- Mettre en place une solution de SIM.

- Gérer les mises à niveaux.

- Savoir réagir en cas d'incidents.

3) ISO 27005:2011 Risk Manager, préparation à la certification

Introduction

- Définitions de la Menace. Vulnérabilité. Risques.

- Principe général de la sécurité ISO 13335.

- La classification CAID.

- Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO 27001...).

- Le rôle du RSSI versus le Risk Manager.

Le concept "risque"

- La gestion du risque (prévention, protection, évitement de risque, transfert).

- Assurabilité d'un risque, calcul financier du transfert à l'assurance.

L'analyse de risques selon l'ISO - La méthode de la norme 27001:2013.

- L'intégration au processus PDCA.

- La création en phase Plan de la section 4.

- La norme 27005:2011 : Information Security Risk Management.

- La mise en œuvre d'un processus PDCA de management des risques.

- La préparation de la déclaration d'applicabilité (SoA).

Les méthodes d'analyse de risques - Les méthodes françaises. EBIOS 2010.

- EBIOS dans une démarche ISO PDCA de type SMSI 27001.

- MEHARI 2010. L'approche proposée par le CLUSIF.

- Elaboration d'un plan d'actions basé les services de sécurité. Alignement MEHARI 27005 et référentiel ISO 27002.

Choix d'une méthode

- Les bases de connaissances (menaces, risques...).

- La convergence vers l'ISO, la nécessaire mise à jour.

- Etre ou ne pas être "ISO spirit" : les contraintes du modèle PDCA.

Conclusion

- Une méthode globale ou une méthode par projet.

- Le vrai coût d'une analyse de risques.

4) Plan de secours et de continuité

Pourquoi gérer la continuité

- L'évolution des entreprises et de leur stratégie.

- Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards.

Définitions et concepts

- Définir la stratégie de continuité.

- Rappels de sécurité : critères DICP et les 11 thèmes ISO.

- La feuille de route de la continuité.

Le projet et sa gestion

- Les phases d'un projet plan de continuité.

- Les particularités du projet plan de continuité.

Analyse des risques - Les composantes du risque.

- Les principes des différentes méthodes.

- L'analyse des risques pour le plan de continuité.

L'identification des activités critiques

- Déterminer les activités critiques (BIA) d'une entreprise.

- Les paramètres fondamentaux de l'analyse d'impact.

- La notion de Service Delivery Objectives.

Les moyens pour la conception des dispositifs - Les éléments et le budget pour élaborer les scénarios.

- Les différents sites de repli en interne ou externalisés.

- Les critères de décision.

(11)

Plans de continuité

- La construction des procédures.

- Les équipes de secours : constitution, rôles...

- Un exemple de canevas d'un plan de secours.

Procédures d'escalade et cellule de crise - La gestion de l'escalade en phase avec le RTO.

- La constitution de la cellule de crise.

- Les principes de déclenchement du plan de secours.

- La continuité d'activité en tant que processus ITIL.

- Le processus continuité et autres processus.

(12)

Séminaire de 3 jour(s) Réf : SSI

Participants

Ingénieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants sécurité, chefs de projet intégrant des contraintes de sécurité.

Pré-requis

Aucune connaissance particulière.

Dates des sessions

Paris

15 juin 2015, 15 sep. 2015 3 nov. 2015

Bruxelles

9 juin 2015, 8 sep. 2015 17 nov. 2015

Geneve

9 juin 2015, 8 sep. 2015 17 nov. 2015

Sécurité des systèmes d'information, synthèse

OBJECTIFS

Avec l'explosion du digital qui a multiplié les opportunités de développement, le management de la sécurité des systèmes d'information est devenu un enjeu majeur pour toutes les entreprises. Ce séminaire très riche vous présentera l'ensemble des actions et des solutions permettant d'assurer la sécurité de votre SI : de l'analyse des risques à la mise en œuvre optimale de solutions de sécurité. Vous verrez également les thématiques assurantielles et juridiques intimement liées à l'application d'une politique de sécurité.

1) Introduction à la gestion des risques 2) RSSI : chef d'orchestre de la sécurité 3) Les cadres normatifs et réglementaires 4) Le processus d'analyse des risques 5) Les audits de sécurité et le plan de sensibilisation

6) Le coût de la sécurité et les plans de secours 7) Concevoir des solutions optimales

8) Supervision de la sécurité 9) Les atteintes juridiques au STAD

10) Recommandations pour une sécurisation

"légale" du SI

1) Introduction à la gestion des risques

- La notion de risque : potentialité, impact, gravité.

- Les types de risques : accident, erreur, malveillance.

- La classification DIC : Disponibilité, Intégrité et Confidentialité d'une information.

- Les mesures en gestion des risques : prévention, protection, report de risque, externalisation.

2) RSSI : chef d'orchestre de la sécurité

- Quel est le rôle et les responsabilités du RSSI ?

- Vers une organisation de la sécurité, le rôle des "Assets Owners".

- Gestion optimale des moyens et des ressources alloués.

- Le Risk Manager dans l'entreprise; son rôle par rapport au RSSI.

3) Les cadres normatifs et réglementaires

- Les réglementations SOX, COSO, COBIT. Pour qui ? Pour quoi ? - Vers la gouvernance du SI, les liens avec ITIL et CMMI.

- La norme ISO dans une démarche systèmes de management.

- Les liens avec ISO 15408 : critères communs, ITSEC, TCSEC.

- Les atouts de la certification ISO 27001 pour les organisations.

4) Le processus d'analyse des risques

- Risques opérationnels, physiques, logiques.

- Comment constituer sa propre base de connaissances des menaces/vulnérabilités ? - Utiliser les méthodes et référentiels : EBIOS/FEROS, MEHARI.

- La démarche d'analyse de risques dans le cadre de l'ISO 27001, l'approche PDCA.

- Le standard ISO 27005 et les évolutions des méthodes françaises.

- De l'appréciation des risques au plan de traitement des risques : les bonnes pratiques.

5) Les audits de sécurité et le plan de sensibilisation

- Processus continu et complet.

- Les catégories d'audits, de l'audit organisationnel au test d'intrusion.

- Les bonnes pratiques de la norme 19011 appliquées à la sécurité.

- Comment créer son programme d'audit interne ? Comment qualifier ses auditeurs ? - Apports comparés, démarche récursive, les implications humaines.

- Sensibilisation à la sécurité : qui ? Quoi ? Comment ? - Définitions de Morale/Déontologie/Ethique.

- La charte de sécurité, son existence légale, son contenu, sa validation.

6) Le coût de la sécurité et les plans de secours

- Les budgets sécurité.

- La définition du Return On Security Investment (ROSI).

- Les techniques d'évaluation des coûts, les différentes méthodes de calcul, le Total Cost of Ownership (TCO).

- La notion anglo-saxonne du "Payback Period".

- La couverture des risques et la stratégie de continuité.

- Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO.

- Développer un plan de continuité, l'insérer dans une démarche qualité.

7) Concevoir des solutions optimales

(13)

- Démarche de sélection des solutions de sécurisation adaptées pour chaque action.

- Définition d'une architecture cible.

- La norme ISO 1540 comme critère de choix.

- Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.

- Comment déployer un projet PKI ? Les pièges à éviter.

- Les techniques d'authentification, vers des projets SSO, fédération d'identité.

- La démarche sécurité dans les projets SI, le cycle PDCA idéal.

8) Supervision de la sécurité

- Gestion des risques : constats, certitudes...

- Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA.

- Externalisation : intérêts et limites.

9) Les atteintes juridiques au STAD

- Rappel, définition du Système de Traitement Automatique des Données (STAD).

- Types d'atteintes, contexte européen, la loi LCEN.

- Quels risques juridiques pour l'entreprise, ses dirigeants, le RSSI ?

10) Recommandations pour une sécurisation "légale" du SI

- La protection des données à caractère personnel, sanctions prévues en cas de non-respect.

- De l'usage de la biométrie en France.

- La cybersurveillance des salariés : limites et contraintes légales.

- Le droit des salariés et les sanctions encourues par l'employeur.

(14)

Stage pratique de 5 jour(s) Réf : CLF

Participants

Spécialiste investigation informatique, analyste de données, spécialiste en recherche et récupération de preuves informatiques, membre d'équipe sécurité, consultant, analyste de media électronique.

Pré-requis

Bonne connaissance en informatique et en sécurité de l'information.

Dates des sessions

Paris

22 juin 2015, 21 sep. 2015 30 nov. 2015

CLFE, Certified Lead Forensics Examiner, certification

informatique judiciaire, récupération et analyse des preuves

Le défi de l'investigation légale informatique est de trouver les données, les collecter et les présenter devant une cour de justice. Ce cours intensif permet aux participants de développer l'expertise nécessaire pour relever ce défi et aussi de passer l'examen de certification officiel, accrédité par PECB.

OBJECTIFS PEDAGOGIQUES

Comprendre les principes scientifiques spécifiques à l'investigation informatique Expliquer la structure des ordinateurs et des systèmes d'exploitation

Expliquer l'investigation réseau, Cloud et appareils mobiles Maîtriser les outils et les méthodologies d'investigation

1) Principes scientifiques spécifiques à l'investigation informatique

2) Structure des ordinateurs et des systèmes d'exploitation

3) Investigation réseau, Cloud et appareils mobiles

4) Outils et méthodologies d'investigation 5) Examen de certification

Méthodes pédagogiques

Exposé des concepts, échange et retours d'expérience, exercices basés sur les examens.

Certification

Un certificat de "Certified Lead Forensic Examiner" est délivré aux participants qui auront réussi l'examen et qui remplissent l'ensemble des autres exigences relatives à cette certification.

1) Principes scientifiques spécifiques à l'investigation informatique

- Présentation des principes scientifiques spécifiques à l'investigation informatique.

- Introduction à l'approche de l'investigation informatique. Principes fondamentaux.

- Analyse et mise en œuvre des opérations d'analyse.

- Préparation et exécution des procédures d'investigation.

2) Structure des ordinateurs et des systèmes d'exploitation

- Identification et sélection des composants d'un ordinateur.

- Identification et sélection des périphériques et autres composants.

- Compréhension des systèmes d'exploitation (OS).

- Extraction et analyse des structures de fichiers.

3) Investigation réseau, Cloud et appareils mobiles

- Comprendre les réseaux, le Cloud et les environnements virtuels.

- Méthodes génériques pour l'extraction de données dans un environnement virtuel.

- Examen d'un téléphone mobile ou d'une tablette.

- Stockage des informations sur les appareils mobiles.

4) Outils et méthodologies d'investigation

- Enumération et examen des composants matériels et logiciels des ordinateurs.

- Choix et test des technologies d'investigation.

- Analyse et sélection des procédures adaptées pour les opérations d'investigation.

- Découverte, documentation et retour des preuves sur site.

- Analyse et prise en compte du contexte.

5) Examen de certification

- Domaine 1 : principes scientifiques spécifiques à l'investigation informatique.

- Domaine 2 : principes fondamentaux de l'investigation informatique.

- Domaine 3 : structure des ordinateurs.

- Domaine 4 : systèmes d'exploitation et structures de fichier.

- Domaine 5 : investigation des réseaux, dans le Cloud ou dans les environnements virtuels.

- Domaine 6 : investigation réseau et des appareils mobiles.

- Domaine 7 : outils et méthodologies d'investigation.

- Domaine 8 : examen, acquisition et préservation des preuves électroniques.

Examen

Examen de 3 heures.

(15)

Stage pratique de 2 jour(s) Réf : IFD

Participants

Gestionnaires de projets ou consultants qui désirent maîtriser les exigences d'ISO/IEC 27034. Membre de l'équipe de sécurité de l'information. Développeurs seniors.

Pré-requis

Connaissances de base en programmation.

Dates des sessions

Paris

1 juin 2015, 8 oct. 2015 10 déc. 2015

ISO 27034, sécurité des applications, Foundation, certification

Ce stage initie les participants aux concepts et principes proposés par l'ISO 27034 sur la sécurité applicative.

Il permet de comprendre cette norme afin d'aider une organisation à gérer des applications sécurisées dans son contexte et cela, à un coût qui lui est acceptable.

Comprendre la portée et les limites de la conformité d'une organisation ou d'une application à la norme ISO/

IEC 27034

Expliquer les concepts clés de sécurité du développement applicatif selon ISO/IEC 27034

Etablir les relations entre la gestion du risque, les contrôles, les preuves et la conformité aux exigences

1) Introduction : la sécurité applicative et ses concepts selon ISO/CEI 27034

2) Les parties de la norme ISO/CEI 27034

3) Implémentation de la sécurité applicative au niveau d'une organisation

4) La sécurité applicative au niveau d'un projet d'application

Présentation des concepts et éléments clés de la démarche de sécurité applicative selon ISO/IEC 27034.

Exercices pratiques basés sur une étude de cas.

Certification

Après réussite de l'examen, les participants se verront remettre un certificat "Certified ISO/IEC 27034 Application Security Foundation". Aucune expérience préalable n'est nécessaire. Frais de certification inclus.

Certificat valable à vie.

1) Introduction : la sécurité applicative et ses concepts selon ISO/CEI 27034

- Introduction à la sécurité applicative et à la vision globale amenée par ISO/CEI 27034.

- Principes fondamentaux en sécurité de l'information.

- Présentation globale des concepts, principes et définitions de la sécurité applicative.

- Périmètre, composants, processus et acteurs impliqués en gestion de la sécurité applicative.

- Présentation des concepts implicites intégrés.

Réflexion collective

Echange et réflexion collective autour des concepts et problématiques de la sécurité applicative.

2) Les parties de la norme ISO/CEI 27034

- ISO/IEC 27034-1 : vue globale et concepts.

- ISO/IEC 27034-2 : la sécurité applicative dans une organisation.

- ISO/IEC 27034-3 : la sécurité applicative dans un projet.

- ISO/IEC 27034-4 : validation, vérification et certification de la sécurité applicative.

- ISO/IEC 27034-5 : les exigences de structure de la sécurité applicative.

- ISO/IEC 27034-5-1 : schémas XML.

- ISO/IEC 27034-6 : exemples et étude de cas.

Etude de cas

Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC 27034 à travers une étude de cas.

3) Implémentation de la sécurité applicative au niveau d'une organisation

- Buts de la sécurité applicative au niveau d'une organisation.

- Le Cadre Normatif de l'Organisation (CNO). Le comité CNO.

- Le processus de gestion du CNO. L'intégration des éléments d'ISO/CEI 27034 dans les processus existants.

- Les CSA. La bibliothèque de CSA.

- La matrice de traçabilité de la sécurité applicative. Le processus de certification.

Etude de cas

Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC 27034 à travers une étude de cas.

4) La sécurité applicative au niveau d'un projet d'application

- Le processus de gestion de la sécurité d'une application.

- Fournir et opérer une application.

- Maintenir le niveau de confiance actuel au niveau de confiance cible.

Examen

(16)

Examen de certification "ISO 27034 Application Security Foundation".

(17)

Séminaire de 3 jour(s) Réf : SRI

Participants

Responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système.

Pré-requis

Bonnes connaissances des réseaux et des systèmes.

Dates des sessions

Paris

23 juin 2015, 22 sep. 2015 24 nov. 2015

Bruxelles

9 juin 2015, 15 sep. 2015 17 nov. 2015

Geneve

9 juin 2015, 15 sep. 2015 17 nov. 2015

Sécurité réseaux/Internet, synthèse

OBJECTIFS

Avec la multiplication des cyberattaques et la préoccupation montante de la cybersécurité auprès des dirigeants, ce séminaire vous montre comment répondre aux impératifs de sécurité des communications de l'entreprise. Il comprend une analyse détaillée des menaces et des moyens d'intrusion ainsi que des techniques spécifiques de sécurité et les solutions et produits associés. A l'issue de ce séminaire, vous disposerez des éléments techniques pour comprendre les technologies qui protègent votre système d'information et sécurisent son ouverture aux réseaux extérieurs, Internet, Extranet et VPN.

1) L'évolution de la cybersécurité

2) Outils et méthodes d'intrusion par TCP-IP 3) Sécurité des postes clients

4) Sécurité du sans-fil (Wi-Fi et Bluetooth) 5) Technologie firewall/proxy

6) Techniques cryptographiques 7) Sécurité pour l'Intranet/Extranet 8) Réseaux Privés Virtuels (VPN) 9) Sécurité des applications

10) Gestion et supervision active de la sécurité

1) L'évolution de la cybersécurité

- Définition des concepts : risques, menaces, vulnérabilité...

- Evolution de la cybercriminalité, cyberattaque.

- Risques associés aux nouveaux usages : Web 2.0, virtualisation, Cloud Computing...

- Nouvelles techniques d'attaque et contre-mesures.

2) Outils et méthodes d'intrusion par TCP-IP

- Les attaques par le stack IP.

- Les attaques applicatives (DNS, HTTP, SMTP, etc.).

- Utilisation d'un code mobile malveillant.

- Comprendre les techniques des hackers.

- Les sites (CERT, Security focus/bugtraq, CVE...).

3) Sécurité des postes clients

- Les menaces : backdoor, virus, spyware, rootkit...

- Le rôle du firewall personnel et ses limites.

- Les logiciels anti-virus/anti-spyware : comparatif.

- Linux et Open Office vs Windows et MS Office ? - Les attaques par les documents PDF.

- Comment sécuriser les périphériques amovibles ? - Contrôle de conformité de Cisco NAC, MS NAP.

- La sécurité intégrée dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...).

4) Sécurité du sans-fil (Wi-Fi et Bluetooth)

- Technologies de réseaux sans fil (standards 802.11).

- Attaques spécifiques (Wardriving, failles WEP et EAP).

- Sécurité des bornes (SSID, filtrage MAC).

- Vulnérabilités WEP. Faiblesse de l'algorithme RC4.

- Le standard de sécurité IEEE 802.11i (WPA et WPA2).

- Authentifier des utilisateurs (EAP, certificats, token...).

- Les différentes méthodes Cisco LEAP, EAP-TLS, PEAP...

- Attaque sur les hotspots Wi-Fi (Rogue AP).

- Attaques spécifiques sur Bluetooth (Bluebug...).

- Comment se protéger efficacement contre les attaques ? - Audit et surveillance du réseau. Outils d'audit.

5) Technologie firewall/proxy

- Serveurs proxy, reverse proxy, masquage d'adresse.

- Filtrage. Firewall et proxy : quelle complémentarité ? - Principe des firewalls, périmètre fonctionnel.

- La mise en place de solutions DMZ.

- Sécurité liée à l'adressage.

- Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...).

- Notion de "dé-périmétrisation" du forum Jericho.

- Utilisation des firewalls dans la protection des environnements virtuels.

6) Techniques cryptographiques

- Terminologie, principaux algorithmes. Législation et contraintes d'utilisation en France et dans le monde.

- Algorithmes à clé publique : Diffie Hellman, RSA...

- Scellement et signature électronique : MD5, MAC...

(18)

- Mots de passe, token, carte à puce, certificats ou biométrie ?

- Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification.

- Sécurisation des clés de chiffrement (PFS, TPM...).

- Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X509.

- Compléter l'authentification par l'intégrité et la confidentialité des données.

7) Sécurité pour l'Intranet/Extranet

- Les architectures à clés publiques.

- Les attaques sur SSL/TLS (sslstrip, sslnif...).

- Un serveur de certificat interne ou public ? En France ou aux USA ? A quel prix ? - Comment obtenir des certificats ? Comment les faire gérer ?

- Les risques liés aux certificats X509. L'apport des certificats X509 EV.

- Annuaire LDAP et sécurité.

- Architectures "3A" (Authentification, Autorisation, Audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs.

8) Réseaux Privés Virtuels (VPN)

- Analyse du besoin, conception et déploiement.

- La création d'un VPN site à site via Internet.

- IPSec. Les modes AH et ESP, IKE et la gestion des clés.

- Les produits compatibles IPSec, l'interopérabilité.

- Surmonter les problèmes entre IPSec et NAT.

- Les VPN SSL (quel intérêt par rapport à IPSec ?).

- Les produits VPN SSL, l'enjeu de la portabilité.

- Le VPN avec DirectAccess sous Windows 7.

- Les offres VPN Opérateurs. VPN IPSec ou VPN MPLS ?

9) Sécurité des applications

- Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...).

- Le processus SDL (Security Development Lifecycle).

- Utilisation de la technique de "fuzzing".

- Les outils de revue de code orientés sécurité.

- Le Firewall applicatif (WAF).

- Solution WAF Open source avec Apache en reverse proxy et mod_security.

- Les critères d'évaluation d'un WAF selon le Web Application Security Consortium (WASC).

- Le hardening et la vérification d'intégrité temps réel.

10) Gestion et supervision active de la sécurité

- L'apport des normes ISO 27001 et ISO 27002.

- Les tableaux de bord Sécurité. La norme ISO 27004.

- Les missions du RSSI dans le suivi de la sécurité.

- Les audits de sécurité (techniques ou organisationnels).

- Les tests de vulnérabilité ou tests d'intrusion.

- Les outils Sondes IDS, Scanner VDS, Firewall IPS.

- Consigner les preuves et riposter efficacement.

- Mettre en place une solution de SIM.

- Se tenir informé des nouvelles vulnérabilités.

- Gérer les mises à niveaux.

- Savoir réagir en cas d'incidents.

- Les services indispensables : où les trouver ? Démonstration

Intrusion dans un service Web en ligne. Exemple d'un serveur HTTPS et d'un tunnel de sécurité de type IPSec. Protection avancée d'un service Web; détection des attaques et parades en temps réel. Usage d'un IPS.

(19)

Stage pratique de 5 jour(s) Réf : LAD

Participants

Auditeurs internes ou externes, gestionnaires de projets, consultants, membres de l'équipe SI d'une organisation, développeurs, directeurs et gestionnaires des applications.

Pré-requis

Connaissances de base de la norme ISO/IEC 27034. Une expérience dans le domaine de l'audit applicatif n'est pas indispensable mais constitue un plus.

Dates des sessions

Paris

18 mai 2015, 21 sep. 2015 16 nov. 2015

ISO 27034, sécurité des applications, Lead Auditor, certification

Ce cours intensif de 5 jours permet aux participants de comprendre les principes et les concepts de la sécurité applicative selon ISO 27034, mais aussi de développer l'expertise nécessaire pour préparer et réaliser des audits internes et externes soit pour une organisation soit pour une application.

Acquérir l'expertise requise pour réaliser un audit interne ISO 27034 qui respecte les exigences de la norme ISO 19011

Acquérir l'expertise pour réaliser un audit de certification ISO 27034 qui respecte les exigences d'ISO 17021 et 27006

Acquérir l'expertise requise pour gérer une équipe d'audit en Sécurité Applicative

Comprendre la portée, le cycle de vie et les limites de conformité d'une organisation ou d'une application à ISO 27034

1) Introduction aux concepts de la sécurité applicative

2) Introduction à l'audit de la sécurité applicative 3) L'audit de sécurité applicative selon ISO 27034

4) Audit au niveau de l'organisation 5) Audit au niveau des applications 6) Examen de certification

Présentation des concepts clés et des exigences de la norme ISO 27034. Exercices et étude de cas pratique.

Jeux de rôles et simulation d'audit.

Certification

Après l'examen, les participants peuvent obtenir une certification «Certified ISO 27034 Application Security Provisional Auditor», «Certified ISO 27034 Application Security Auditor» ou «Certified ISO 27034 Application Security Lead Auditor» selon leur niveau d'expérience.

1) Introduction aux concepts de la sécurité applicative

- Revue des principes fondamentaux en sécurité de l'information.

- Vision globale de la norme ISO 27034.

- Concepts, principes, définitions, portée, composants, processus et acteurs impliqués en sécurité applicative.

- Concepts implicites intégrés à la norme.

- Avantages et limites de ISO 27034.

- Différences et complémentarité avec les critères communs et le CMMI.

- Le Cadre Normatif de l'Organisation (CNO) et le processus de certification ISO/CEI 27034.

- Présentation détaillée des sections 6 à 8 d'ISO/IEC 27034-1:2011.

2) Introduction à l'audit de la sécurité applicative

- Concepts d'audit fondamentaux et principes selon ISO 19011.

- La communication durant un audit.

- Procédures d'audit.

- L'audit documentaire.

- Audit sur site et formulation des constats d'audit, documenter les non-conformités.

- Revue de qualité de l'audit.

- Évaluation des plans d'actions correctives.

3) L'audit de sécurité applicative selon ISO 27034

- Approche basée sur la priorisation des risques de sécurité inacceptables et sur la production de preuves.

- Audit de surveillance ISO /CEI 27034.

- Programme de gestion d'audit interne ISO/CEI 27034.

- Préparation d'un audit de certification ISO 27034.

- Entente sur le périmètre de l'audit de sécurité applicative.

- Détermination des applications dans le périmètre.

- Détermination des éléments de sécurité applicative dans le périmètre pour chaque application.

4) Audit au niveau de l'organisation

- Entente sur le périmètre de l'audit de SA pour l'organisation.

- Le Cadre Normatif de l'Organisation (CNO).

- La gestion du CNO.

- Les objectifs de sécurité applicative de l'organisation.

5) Audit au niveau des applications

(20)

- Entente sur le périmètre de l'audit de sécurité applicative pour l'application.

- Le cadre normatif de l'application (CNA).

- Le processus de gestion de la sécurité applicative au niveau du CNA.

- Niveau de confiance et CSA.

- ISO 27034 - Révision finale.

- Questions-réponses.

6) Examen de certification

Examen

Examen de certification ISO 27034 Lead Auditor.

(21)

Séminaire de 2 jour(s) Réf : VPN

Participants

DSI, RSSI, responsables sécurité, chefs de projets, consultants, administrateurs, cadres utilisateurs de portables, Smartphones ou d'un accès VPN.

Pré-requis

Des connaissances de base sur l'informatique sont nécessaires.

Dates des sessions

Paris

9 juin 2015, 8 oct. 2015 10 déc. 2015 Bruxelles

9 juin 2015, 22 oct. 2015 17 déc. 2015

Geneve

9 juin 2015, 22 oct. 2015 17 déc. 2015

Luxembourg 9 juin 2015, 22 oct. 2015 17 déc. 2015

Sécurité VPN, sans-fil et mobilité, synthèse

OBJECTIFS

Aujourd'hui, les technologies de communication sans fil et les terminaux mobiles facilitent grandement l'accès aux applications de l'entreprise. Afin de préserver la sécurité de ces accès, ce séminaire dresse un panorama complet des menaces et des vulnérabilités, et apporte des solutions concrètes pour s'en prémunir.

1) Menaces et vulnérabilités 2) Les attaques sur l'utilisateur 3) Les attaques sur les postes clients

4) Sécurité des réseaux privés virtuels (VPN) 5) Sécurité des réseaux sans-fil

6) Sécurité des Smartphones

Exemple

Approche théorique et pratique avec démonstration, avantages et inconvénients des solutions, retours d'expérience.

1) Menaces et vulnérabilités

- Evolution de la cybercriminalité en France.

- Statistiques et évolution des attaques.

- Evaluation des risques dans un contexte de mobilité.

2) Les attaques sur l'utilisateur

- Les techniques d'attaques orientées utilisateur.

- Les techniques de Social engineering.

- Codes malveillants et réseaux sociaux.

- Les dangers spécifiques du Web 2.0.

- Attaque sur les mots de passe.

- Attaque "Man in the Middle".

3) Les attaques sur les postes clients

- Risques spécifiques des postes clients (ver, virus...).

- Le navigateur le plus sûr.

- Rootkit navigateur et poste utilisateur.

- Quelle est l'efficacité réelle des logiciels antivirus ? - Les risques associés aux périphériques amovibles.

- Le rôle du firewall personnel.

- Sécurité des clés USB.

- Les postes clients et la virtualisation.

4) Sécurité des réseaux privés virtuels (VPN)

- Les techniques de tunneling. Accès distants via Internet : panorama de l'offre.

- Les protocoles PPT, LTP, L2F pour les VPN.

- Le standard IPsec et les protocoles AH, ESP, IKE.

- Les solutions de VPN pour les accès 3G.

- Quelles solutions pour Blackberry, iPhone... ? - VPN SSL : la technologie et ses limites.

- Le panorama de l'offre VPN SSL. Critères de choix.

- IPsec ou VPN SSL : quel choix pour le poste nomade ?

5) Sécurité des réseaux sans-fil

- La sécurité des Access Point (SSID, filtrage MAC...).

- Pourquoi le WEP est dangereux ? Qu'apportent WPA, WPA2 et la norme 802.11i ? - L'authentification dans les réseaux Wi-Fi d'entreprise.

- Technologies VPN (IPsec) pour les réseaux Wi-Fi.

- Comment est assurée la sécurité d'un hotspot Wi-Fi ? - Les techniques d'attaques sur WPA et WPA2.

- Les fausses bornes (Rogue AP).

- Attaques spécifiques sur Bluetooth.

6) Sécurité des Smartphones

- La sécurité sur les mobiles (Edge, 3G, 3G+...).

- Les risques spécifiques des Smartphones.

- Failles de sécurité : le palmarès par plateforme.

- Virus et code malveillants : quel est le risque réel ? - Protéger ses données en cas de perte ou de vol.

Démonstration

(22)

Mise en oeuvre d'un accès Wi-Fi fortement sécurisé avec IPsec et EAP-TLS. Attaque de type "Man in the Middle" sur une application Web en HTTPS via un Smartphone (sslsnif et sslstrip).

(23)

Stage pratique de 5 jour(s) Réf : LAI

Participants

Gestionnaires des SI, chefs de projet, développeurs de logiciel, propriétaires d'application, managers SI, architectes SI, analystes programmeurs/testeurs.

Pré-requis

Connaissance de base de la norme ISO/IEC 27034. Une expérience dans le domaine du développement applicatif ou de la gestion de projets de mise en œuvre d'applications constitue un plus.

Dates des sessions

Paris

1 juin 2015, 28 sep. 2015 23 nov. 2015

ISO 27034, sécurité des applications, Lead Implementer, certification

Ce stage intensif vous permettra de comprendre les principes et les concepts de la sécurité applicative selon l'ISO 27034. Vous apprendrez à mettre en œuvre cette norme au sein des organisations pour les aider à intégrer la sécurité dans les applications tout au long de leur cycle de développement.

Comprendre l'implémentation de la SA selon la norme internationale ISO/CEI 27034

Obtenir une compréhension des concepts, approches, normes, méthodes et techniques requises pour gérer efficacement la SA

Comprendre comment la SA intègre la gestion de risque, les contrôles et la conformité avec les exigences des tiers

Acquérir l'expertise nécessaire pour aider une organisation à implémenter, gérer et maintenir sa SA, selon ISO 27034

Acquérir l'expertise nécessaire pour gérer une équipe qui mettra en œuvre ISO 27034

Conseiller des organisations sur les pratiques recommandées pour la gestion de la Sécurité Applicative Améliorer sa capacité d'analyse et de prise de décision dans un contexte de Sécurité Applicative

1) Introduction aux concepts de la Sécurité Applicative

2) Implémentation de la Sécurité Applicative basée sur ISO/CEI 27034

3) Implémentation de la sécurité applicative basée sur ISO/CEI 27034 (suite)

4) Validation de la sécurité applicative

5) Protocoles et structures de données des CSA 6) Guides pour organisations et applications spécifiques

7) Examen de certification

Présentation des concepts clés et des exigences de la norme ISO 27034, étude de cas pratique, suivi d'une gestion complète de sécurité applicative.

Certification

Après l'examen, les participants peuvent demander une reconnaissance comme "Certified ISO 27034 AS Provisional Implementer", "Certified ISO 27034 AS Implementer" ou "Certified ISO 27034 AS Lead Implementer" selon leur niveau d'expérience.

1) Introduction aux concepts de la Sécurité Applicative

- Introduction à la Sécurité Applicative et à la vision globale amenée par ISO/CEI 27034.

- Revue des principes fondamentaux en sécurité de l'information.

- Concepts, principes, définitions, périmètres, composants, processus et acteurs impliqués en Sécurité Applicative.

- Concepts implicites, intégrés.

- Présentation de la série 27034 : organisation, projets, validation/vérification/certification, structure, schémas XML.

2) Implémentation de la Sécurité Applicative basée sur ISO/CEI 27034

- Buts de la Sécurité Applicative au niveau d'une organisation.

- Le cadre normatif de l'organisation (CNO).

- Le comité du CNO.

- Le processus de gestion du CNO.

- L'intégration des éléments d'ISO/CEI 27034 dans les processus existants de l'organisation.

- Design, validation, implémentation, vérification, opération et évolution des CSA.

- Biibliothèque et matrice de traçabilité de CSA.

- Ébaucher le processus de certification.

3) Implémentation de la sécurité applicative basée sur ISO/CEI 27034 (suite)

- Le processus de gestion de la sécurité d'une application.

- Fournir et opérer une application.

- Maintenir le niveau de confiance actuel au niveau de confiance cible.

- Développement de la validation de la SA.

4) Validation de la sécurité applicative

- Audits interne de la sécurité applicative.

- Minimiser le coût d'un audit. S'assurer que toutes les preuves sont disponibles.

- Validation et certification de la sécurité applicative selon ISO 27034 : organisation et projet.

(24)

5) Protocoles et structures de données des CSA

- Un langage formel gratuit pour communiquer : les CSA.

- Schémas XML proposés par ISO 27034 (structure de données, descriptions, représentation graphique).

6) Guides pour organisations et applications spécifiques

- 27034 pour aider à résoudre la mise en place de CSA répondant aux exigences de lois conflictuelles dans une application.

- Développer des CSA.

- Acquérir des CSA.

7) Examen de certification

Examen

Examen de certification ISO 27034 Lead Implementer.

(25)

Séminaire de 2 jour(s) Réf : OUD

Participants

DSI, RSSI, responsables sécurité, chefs de projets, consultants, administrateurs.

Pré-requis

Des connaissances de base sur l'informatique sont nécessaires.

Dates des sessions

Paris

5 mai 2015, 1 oct. 2015 3 déc. 2015

Cloud Computing, sécurité

OBJECTIFS

Comment peut-on assurer la sécurité des informations dispersées dans "le nuage" ? Ce séminaire dresse un panorama complet de ce problème majeur du Cloud. A l'issue, les participants auront acquis les connaissances essentielles permettant de se présenter au passage de la certification CCSK de la Cloud Security Alliance.

1) Introduction à la sécurité du Cloud Computing 2) La sécurité des environnements virtuels 3) La sécurité des accès réseaux au Cloud 4) Les travaux de la Cloud Security Alliance (CSA)

5) La sécurité du Cloud Computing selon l'ENISA 6) Les recommandations du NIST pour la sécurité

7) Contrôler la sécurité du Cloud 8) Aspects juridiques

1) Introduction à la sécurité du Cloud Computing

- Définition du Cloud Computing (NIST, Burton Group).

- Les principaux fournisseurs et les principales défaillances déjà constatées.

- SecaaS (Security as a Service).

- Les clés d'une architecture sécurisée dans le Cloud.

2) La sécurité des environnements virtuels

- Les apports de la virtualisation pour la sécurité.

- Menaces et vulnérabilités spécifiques.

- Trois modèles d'intégration de la sécurité : Virtual DataCenter, Appliance matérielle et Appliance virtuelle.

- Les solutions de sécurité dédiées à la virtualisation.

3) La sécurité des accès réseaux au Cloud

- Vulnérabilités et enjeux de la sécurité d'accès.

- La sécurité native dans IP v4, IPsec et IP v6.

- Les protocoles : PPTP, L2TP, IPsec et VPN SSL.

- L'accès au Cloud via le Web sécurisé (https).

- Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs.

4) Les travaux de la Cloud Security Alliance (CSA)

- Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing.

- Les treize domaines de sécurité. Les sept principales menaces.

- La suite intégrée GRC.

- CloudAudit, Cloud Controls Matrix, Consensus Assessments Initiative Questionnaire, Cloud Trust Protocol.

- La certification CCSK (Certificate of Cloud Security Knowledge).

5) La sécurité du Cloud Computing selon l'ENISA

- Evaluation et gestion des risques du Cloud par la norme ISO 27005.

- Les trente-cinq risques identifiés par l'ENISA. Les recommandations ENISA pour la sécurité des Clouds gouvernementaux.

6) Les recommandations du NIST pour la sécurité

- Les lignes directrices pour la sécurité et la confidentialité dans le Cloud Computing public.

- Analyse des standards NIST 800-144 et NIST 800-146.

7) Contrôler la sécurité du Cloud

- Quel label de sécurité pour les fournisseurs : Cobit, ISO2700x, critères communs ISO 15401 ? - Comment auditer la sécurité dans le Cloud ?

- Les outils de contrôle de sécurité orientés Cloud (Metasploit & VASTO, openVAS, xStorm, etc.).

8) Aspects juridiques

- Du Cloud privé au Cloud public : conséquences juridiques. Responsabilités des différents acteurs.

- La conformité réglementaire (PCI-DSS, CNIL, SOX...).

- Les précautions pour la rédaction d'un contrat.