Vous êtes sur la page 1sur 115

Sécurité Applicative

Hamza KONDAH
Une formation
Sécurité Applicative

Key Credential
Authentication
Management Management

Geotagging Encryption White Listing

Meilleurs pratiques/
Une formation Sensibilisation
Merci
Meilleures pratiques

Hamza KONDAH
Une formation
Data Loss Prevention - DLP

Supervision des ressources


Aucune suppression
Traçabilité de l’utilisation des données
Travaille conjointement avec l’IDS

Une formation
Chiffrement

Software et Hardware
Veracrypt
TPM : Trusted Platform Module
Puce

Une formation
Merci
Introduction à
la cryptographie

Hamza KONDAH
Une formation
Plan
Définition
Substitution
Multi Alphabet Sub
Transposition
Enigma
Stéganographie
Lab : Cryptographie
Une formation
Définition

Transformation d’un message


Code incompréhensible
Envoi sécurisé
Protection
Email, data etc..
Une formation
Substitution

Une formation
Multi Alphabet Sub

Une formation
Transposition

Une formation
Enigma

Une formation
Stéganographie

L’art de la dissimulation
Faire passer un message dans un autre
Ce n’est pas de la crypto !!!
Combinaison possible

Une formation
Lab : Cryptographie

Une formation
Merci
La Crypographie Moderne

Hamza KONDAH
Une formation
Plan

Définition
Algorithmes symétriques
Algorithmes asymétriques
Le Hashage
Lab : La cryptographie Moderne

Une formation
Définition
Symétrique
Encryption Decryption

Dear Patrick , Szsddf


Dear Patrick , Dear Patrick ,
This is my A/C Sdsdsd
This is my A/C This is my A/C
Ssdfjnyn
Number Number
smu -_ Number
8956226854 8956226854
hfeè- 8956226854

Plain text Cipeher Text


Plain text

Asymétrique
Encryption Decryption

Dear Patrick , Szsddf


Dear Patrick , Dear Patrick ,
This is my A/C Sdsdsd
This is my A/C This is my A/C
Ssdfjnyn
Number Number
smu -_ Number
8956226854 8956226854
hfeè- 8956226854
Une formation
Plain text Cipeher Text
Plain text
Data Encryption Standard

Algorithme
Chiffrement par bloc
56 bits
Vulnérable 3DES

Une formation
Advanced Encryption Standard

Algorithme symétrique
Rijndael
Gouvernement USA
Chiffrement par bloc

Une formation
RC4, RC5 et RC6

RC4 :
RC6 : Bloc -
Chiffrement RC5 : Bloc
Rotation
continu

Une formation
DSA

Digital Signature Algorithm


Génération
Signature
Vérification

Une formation
RSA

Asymétrique
Très présent
De facto
Chiffrement + Signature
SSL, échange de clés …
Une formation
Le Hashage

Input Donné
Output Empreinte unique
Intégrité
Cryptographie

Une formation
MD5

5687 5d6f doo6 fe8g


M 5d8g 1459 s36d 04dz

My 48eg ed67 9fss e95e


Name 658e fsz1 5653 z8d9

My
566d 893d b258 6588
Name is
5d89 vf65 8546 5689
Patrick

Une formation
SHA

SHA1 : 160 bit – MD5


SHA2 : SHA 256-512 / 64 bits
SHA3 : Construction par éponge + XOR

Une formation
Lab: OpenSSL

Une formation
Merci
Méthodes de cryptanalyse

Hamza KONDAH
Une formation
Cryptanalyse

Frequency Chosen Related


Analysis plaintext key attack

Brute- Human
Force error
Une formation
Merci
PGP

Hamza KONDAH
Une formation
Plan

Définition
Lab : PGP

Une formation
Définition

Pretty Good Privacy


Chiffrement de données
Confidentialité + Authentification
Echange de mails
Hybride ☺
Une formation
Lab : PGP

Une formation
Merci
SSL/TLS

Hamza KONDAH
Une formation
Plan

Définition
Lab : SSL/TLS

Une formation
Définition

Secure Socket Layer (SSL)


Communication sécurisé
TCP-Based
Handshake Session

Une formation
Définition

Transport Layer Security (TLS)


Remplacer le SSL
SSL 3.1
Pas d’interopérabilité avec le SSL
IETF
Une formation
Lab : SSL/TLS

Une formation
Merci
Introduction à
l’administration sécurisée

Hamza KONDAH
Une formation
Plan

Introduction
Les tiers
Transitionning

Une formation
Introduction

Evolution continue
Technologies et Menaces
Challenges ?
Gérer la complexité
Flexibilité ou Sécurité ?
Security Awareness is the key ☺
Une formation
Les tiers

Obligation
Nouveaux challenges et objectifs en
sécurité
Qu’en est-il des standards et
politiques ?
Une formation
Transitionning

Début et fin d’une collaboration


Plus de problématiques relatives à la
sécurité informatique
Point de départ : Politique de sécurité
Exploitation des données
Backup
Confidentialité
Une formation
Merci
Veille en Cybersécurité

Hamza KONDAH
Une formation
Plan

Citation
Définition
Processus de Veille
Lab : Veille en Cybersécurité

Une formation
Citation

Une formation
Définition

« La veille sécurité est l’ensemble des


techniques et outils qui permettent
d’identifier des menaces potentielles qui
pourraient porter atteinte à la pérennité de
l’organisme. »

Une formation
Processus de Veille

Comment Sélectionner les Mobiliser une


Où regarder ? Les filtres !
analyser ? sources équipe

Une formation
Lab : Veille en Cybersécurité

Une formation
Merci
Classification
de l'information

Hamza KONDAH
Une formation
Plan

Introduction
Information publique
Information privée
NDA

Une formation
Introduction

Une formation
Information publique
Informations disponibles pour le grand public
Politique d’exposition
Publication

Limited Full
Distribution Distribution
Une formation
Information privée

Information interne

Information restreinte
Une formation
NDA

Une formation
Merci
Régulation et lois

Hamza KONDAH
Une formation
Régulation et lois

Mise en place politique


Lois local et régulation étatique
Obligation et devoir
Risque de poursuite

Une formation
Régulation et lois

Health Insurance
portability and The patriot act
accountability act

Une formation
Merci
Périphériques mobiles

Hamza KONDAH
Une formation
Plan

Introduction
Mesures de sécurité
BYOD

Une formation
Introduction

Représente un risque tout comme


n’importe quel périphérique
Menaces de plus en plus
sophistiquées
Vol et Malware
Une formation
Mesures de Sécurité
Screenlock

Strong Password

Device Encryption

Remote Wipe

GPS Tracking

VOIP Encryption

Application control

Une formation Anti-Malware


BYOD

Bring Your Own Device


Plus de risque
Contrôle nécessaire
ANSSI

Une formation
Merci
Introduction à la continuité
d’activité et
La réponse aux incidents

Hamza KONDAH
Une formation
Introduction
La prévention n’est pas suffisante
La préparation au pire est primordiale
Recouvrement de données et
d’activité
Réponse aux incidents
Politique de sécurité
Une formation
Simulation
Merci
La continuité d’activité

Hamza KONDAH
Une formation
Plan

Définition
Mise en place d’un PCA
Mise en situation
Amélioration continue

Une formation
Définition

Garantir la survie de l’entreprise


Système d’information
Suite à un sinistre
Démarrer l’activité le plus rapidement
Point crucial en sécurité SI
Une formation
Mise en place d’un PCA

Une formation
Mise en situation

Une formation
Amélioration continue

Une formation
Merci
Le support fournisseur

Hamza KONDAH
Une formation
Plan

Introduction
SLA

Une formation
Introduction

Nécessaire pour mettre en place


des systèmes et applications solides
Valeur ROI
Contrat de support
Protection et Prévention

Une formation
SLA

Service Level Agreement


Contrat
Prestation technique
Qualité de service
Objectifs
Analyse et contrôle
Une formation
Merci
Les tests d’intrusion

Hamza KONDAH
Une formation
Plan

Introduction
Approches
Méthodologie

Une formation
Introduction

Test d’intrusion – Pénétration – Pentesting


Primordial
Mettre la casquette du hacker
Sécurité offensive
La meilleure défense est l’attaque

Une formation
Approches

White box Black box Grey Box

Une formation
Procédure

Une formation
Merci
Politique de sécurité

Hamza KONDAH
Une formation
Politique de sécurité

Définir la cible
Organiser la sécurité
Fédérer les équipes
Savoir mesurer la sécurité

Une formation
Politique de sécurité

Une formation
Merci
Gestion d’identité et Accès

Hamza KONDAH
Une formation
Introduction

L’authentification
Processus d’établissement d’identité
Exploitation de différentes
technologies
Authentification =! Autorisation
Gestion des accès et identités (IAM)
Une formation
Illustration

Une formation
Merci
Gestion du risque

Hamza KONDAH
Une formation
Plan

Introduction
Gestion du risque
Acceptation du risque

Une formation
Introduction

Domaine financier
Améliorer la sécurisation des SI
Justifier le budget alloué à la sécurité
Prouver la crédibilité du SI

Une formation
Gestion du risque

Une formation
Gestion du risque

« Le but de la gestion des risques est donc


d’assurer la sécurité des assets, autrement
dit, la confidentialité, intégrité et
disponibilité »

RISQUE = MENACE * VULNÉRABILITÉ


* IMPACT
Une formation
Acceptante du risque

Une formation
Merci
Conclusion

Hamza KONDAH
Une formation
Bilan

Menaces et vulnérabilités
Contrôle d’accès, Authentification et
Autorisation
Hôte, données et sécurité applicative
Cryptographie
Une formation
Bilan

Administration Sécurisé
Disaster Recovery et Incident
Reponse
Sécurité opérationnelle

Une formation
Que faire ?

Formations Hacking et Sécurité


Webinar
Ouvrages
Pratique !

Une formation
Merci

Vous aimerez peut-être aussi