FC9CS04

Stage inter entreprise

Durée :

5 jour(s)

Prochaine(s) session(s)

  • Du 08/06/2020 au 12/06/2020 à Paris
  • Du 23/11/2020 au 27/11/2020 à Paris

Présentation

Cette formation présente, à travers des exemples précis et des démonstrations, les techniques nécessaires pour sécuriser un système d’information et pouvoir mettre en place des applications sécurisées, par exemple de type intranet ou internet. Elle aborde la problématique des attaques logiques internes, sur un réseau local, depuis l’extérieur ou à destination d’une infrastructure web, ainsi que la sécurisation des plateformes, équipements et postes de travail, en entreprise ou dans le cas d’accès distant. Cette formation traite également les aspects managériaux, réglementaires et normatifs, autour de la protection de l’information, et présente les éléments clés pour assurer une gouvernance sécurisée d’un Système d’Information. De nombreux exemples, démonstrations et études de cas sont présentés tout au long de la formation.

Objectifs

Comprendre les risques, les enjeux de sécurité et les éléments clés pour la sécurisation d’un Système d’Information, d’un point de vue technique et managérial. Concevoir, déployer, gérer ou évaluer des solutions de sécurisation des systèmes d’information.

  • Programme

    Sécurité des SI et protection des données

    • Introduction à la sécurité des SI
    • Exemples récents issus de l'actualité
    • Problématiques de sécurité dans les SI et réseaux
    • Sécurité des accès distants
    • Premiers conseils de sécurisation
    • Protection des données dans un SI

    Protection des données personnelles

    • Données à caractère personnel
    • Identification, biométrie et techniques d'authentification
    • Gestion des identités
    • Aspects juridiques et réglementaires (CNIL, RGPD…)
    • Anonymat, privacy, privacy by design, techniques d'anonymisation
    • Exemples réels

    Cryptographie pour la sécurité des SI

    • Techniques logiques et cryptographie
    • Historique et présentation du contexte
    • Techniques cryptographiques
    • Systèmes à clé secrète, systèmes à clé publique
    • Exemples d'algorithmes : DES, AES, RSA, DH, EC…
    • Recommandations de taille, cycle de vie et gestion de clés
    • Mise en œuvre concrète au sein de services d'authentification, de chiffrement et de signature électronique

    Applications sécurisées

    • Infrastructures à clé publique (PKI), certificat électroniqueet contraintes de déploiement en entreprise
    • Exemples d'applications sécurisées : applications intranet, SSL/TLS, dématérialisation de formulaires, messagerie sécurisée, accès distants, VPN...
    • Contraintes de sécurité en environnement cloud et big data

    Management de la sécurité

    • Introduction à la gouvernance de la sécurité
    • Organisation de la sécurité, approche managériale et rôle d'un RSSI
    • Normes ISO/CEI 27001 et 27002, PSSI
    • Gestion du risque
    • ISO/CEI 27005, ISO 31000, méthodes d'analyse et EBIOS
    • Référentiels tiers : ANSSI, ENISA…
    • Conseils concrets de management de la sécurité des SI

    Quelques domaines d'application de la sécurité

    • Sécurité et Droit
    • Continuité
    • Vie privée
    • Certification
    • Évolution et tendances

    Cybercriminalité, attaques, menaces

    • Eléments d'organisation de la cybercriminalité
    • Modèle économique de la cybercriminalité
    • Exemples d'attaques réelles réussies (compromission de données personnelles…)
    • Logiciels malveillants, malwares : principes, état de l'art et mécanismes de protection

    Audits de sécurité

    • Social engineering : principes, attaques et mécanismes de protection
    • Sécurité par mot de passe : principe, attaques, mécanismes de protection et outillage (John The Ripper, HashCat…)
    • Audits de sécurité : différentes catégories, principes, outils (NMAP, NESSUS, Arachni, Burp…)
    • Recherche de vulnérabilités non connues par « fuzzing » : théorie, pratique et découverte de vulnérabilités non connues dans des outils Open Source ou commerciaux

    Architectures de sécurité

    • Principes de construction d'architectures de sécurité réseau
    • Segmentation logique et physique par technologies de pare-feu (firewall)
    • Exemple d'architectures

    Sécurité des systèmes d'exploitation

    • Introduction à la sécurité des systèmes d'exploitation : principes et mécanismes de protection
    • Sécurité des antivirus : principes, avantages/inconvénients et techniques de contournement

    Supervision et gestion des événements de sécurité

    • Logiciels de détection et de prévention d'intrusion (IDS/IPS) : principes de fonctionnement et mise en œuvre opérationnelle
    • Security Event Information Management (SIEM) : gestion des journaux d'activité dans un contexte « sécurité »

    Protection des sites et infrastructures web

    • Sécurité des navigateurs Internet : comment surfer en toute sécurité
    • Sécurité Web : principes, classes de failles (XSS, SQLi…), attaques et mécanismes de protection
    • Démonstration des principales classes d'attaques et mesures de protection associées
  • Modalités pédagogiques

    Des exemples illustrent les concepts théoriques.

  • Public cible et prérequis

    Toute personne intéressée par la sécurité des Systèmes d’Information, RSSI, ingénieurs informatique, DSI, administrateurs …

    Une bonne connaissance des principes de base de la sécurité permet de tirer un meilleur parti de cette formation.

  • Responsables

    • Thierry BARITAUD

      Responsable Sécurité des Services et Réseaux à la Division Innovation d’Orange.

Prochaine(s) session(s)

  • Du 08/06/2020 au 12/06/2020 à Paris
  • Du 23/11/2020 au 27/11/2020 à Paris