Re 5

ORSYS
Informatique et Management
Rseaux / Scurit, Scurit, synthses et rfrentiels

Nos sminaires Scurit s'adressent tous ceux qui ont dfinir une politique de scurit et de continuit, la dcliner par une organisation et des solutions adaptes comme auditer un systme existant. Orsys propose un ensemble complet de cours pour vous apporter les connaissances ncessaires la matrise des normes internationales en ce domaine, et vous prparer aux certifications associes.
Sminaires
Scurit des SI, synthse..... ( p2 ) Plan de secours et de continuit..... ( p4 ) Audit, indicateurs et contrle de la scurit..... ( p6 ) Scurit rseaux/Internet, synthse..... ( p7 ) Scurit des applications Web, synthse..... ( p9 ) PCI-DSS, scurit e-commerce..... ( p11 ) Scurit VPN, sans-fil et mobilit..... ( p13 ) Annuaire et gestion d'identit..... ( p15 ) Authentifications et autorisations, architectures..... ( p17 ) Implmenter et grer un projet ISO 27001, 27002..... ( p18 ) Analyse de risques..... ( p22 )
Stages Pratiques
Lead Auditor 27001, mise en pratique..... ( p20 ) Lead Implementer 27001, mise en pratique..... ( p21 ) ISO 27005 Risk Manager, certification..... ( p24 ) Mthode EBIOS, Mise en uvre..... ( p25 ) Scurit des SI, certification CISSP..... ( p27 ) Scurit SI, sensibilisation des utilisateurs..... ( p28 )
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 1 / 28
Sminaire de 3 jour(s) Rf : SSI
Scurit des systmes d'information, synthse

OBJECTIFS
Ce sminaire a pour objectif de prsenter l'ensemble des actions et des solutions permettant de garantir la scurit des systmes d'information : de l'analyse des risques, la mise en oeuvre optimale de solutions de scurit. Il dveloppe aussi les thmes assurantiels et juridiques intimement lis l'application d'une politique de scurit.
Participants
Ingnieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingnieurs ou correspondants Scurit, chefs de projets intgrant des contraintes de scurit.
Pr-requis
Aucune connaissance particulire.
Prix 2011 : 2290 HT
1) Introduction 2) RSSI : chef d'orchestre de la scurit 3) Les cadres normatifs et rglementaires 4) L'analyse de risque 5) Les audits de scurit 6) Plan de sensibilisation et de communication 7) Le cot de la scurit Intervernants
8) Plans de secours 9) Concevoir des solutions optimales 10) Supervision de la scurit 11) Les principes juridiques applicables au SI 12) Les atteintes juridiques au STAD 13) Recommandations pour une scurisation " lgale " du SI
Dates des sessions

Paris
27 sep. 2011, 29 nov. 2011 13 mar. 2012, 12 juin 2012
Aix
18 oct. 2011
Pascal GOUACHE Consultant, chef de projet, spcialis dans la scurit des rseaux et des systmes d'information. Il dirige des projets de scurit active et de qualit de service pour des grandes entreprises mettant en oeuvre des technologies de type firewall rseau et applicatif, proxy, authentification, PKI, haute disponibilit et VPN. Il est spcialis dans la protection, la disponibilit et l'amlioration des performances des services en ligne. Cdric FRENEL Il est avocat au sein de l'quipe Technologies de l'Information et de la Communication du Cabinet Courtois Lebel.
1) Introduction
- La notion de risque (potentialit, impact, gravit). - Les types de risques (accident, erreur, malveillance). - La classification DIC. - La gestion du risque (prvention, protection, report de risque, externalisation).
2) RSSI : chef d'orchestre de la scurit

- Quel est le rle du RSSI ? - Vers une organisation de la scurit, le rle des " Assets Owners " - Gestion optimale des moyens et des ressources alloues. - Le Risk Manager dans l'entreprise ; son rle par rapport au RSSI.
3) Les cadres normatifs et rglementaires

- Les rglementations SOX, COSO, COBIT. Pour qui ? - Vers la gouvernance informatique, les liens avec ITIL et CMMI. - La norme ISO dans une dmarche Systmes de management. - Les liens avec ISO 15408 (Critres communs, ITSEC, TCSEC). - La certification ISO 27001.
4) L'analyse de risque
- Identification et classification des risques. - Risques oprationnels, physiques/logiques. - Comment constituer sa propre base de connaissances menaces/vulnrabilits ? - Les mthodes en activit : EBIOS/FEROS, MEHARI. - La dmarche d'analyse de risques dans le cadre 27001, l'approche PDCA. - La mthode universelle ISO 27005 # les volutions des mthodes franaises. - De l'apprciation au plan de traitement des risques : ce qu'il faut faire.
5) Les audits de scurit

- Processus continu et complet. - Les catgories d'audits, de l'audit organisationnel au test d'intrusion. - Les bonnes pratiques de la norme 19011 appliques la scurit - Comment crer son programme d'audit interne, qualifier ses auditeurs ? - Apports compars, dmarche rcursive, les implications humaines.
6) Plan de sensibilisation et de communication

- Sensibilisation la scurit : Qui ? Quoi ? Comment ? - Dfinition Morale/Dontologie/Ethique. - La charte de scurit, son existence lgale, son contenu, sa validation.
page 2 / 28
7) Le cot de la scurit
- Les budgets scurit. - La dfinition du Return On Security Investment (ROSI). - Les techniques d'valuation des cots/ diffrences de calcul/au TCO. - La notion anglo-saxonne du " payback period ".
8) Plans de secours
- Dfinitions. Couverture des risques et stratgie de continuit. Plans de secours, de continuit, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO... - Dvelopper un plan de continuit, l'insrer dans une dmarche qualit.
9) Concevoir des solutions optimales

- Dmarche de slection des solutions de scurisation adaptes pour chaque action. - Dfinition d'une architecture cible. - La norme ISO 1540 comme critre de choix. - Choisir entre IDS et IPS, le contrle de contenu comme ncessit. - Comment dployer un projet PKI, les piges viter. - Les techniques d'authentification, vers des projets SSO, fdration d'identit. - La dmarche scurit dans les projets informatiques, le cycle PDCA idal.
10) Supervision de la scurit

- Gestion des risques (constats, certitudes...). - Indicateurs et tableaux de bord cls, vers une dmarche ISO et PDCA. - Externalisation : intrts et limites.
11) Les principes juridiques applicables au SI

- Les bases du droit : comment s'applique une loi ? De la rgle de droit la dcision de justice. - La proprit intellectuelle des logiciels, la responsabilit civile dlictuelle et contractuelle. - La responsabilit pnale.
12) Les atteintes juridiques au STAD

- Rappel dfinition du Systme de Traitement Automatique des Donnes (STAD). - Types d'atteintes, contexte europen, la loi LCEN. - Quels risques juridiques pour l'entreprise, ses dirigeants, le RSSI ?
13) Recommandations pour une scurisation " lgale " du SI

- La protection des donnes caractre personnel, sanctions prvues en cas de non-respect. - De l'usage de la biomtrie en France. - La cyber surveillance des salaries : limites et contraintes lgales. - Le droit des salaris et les sanctions encourues par l'employeur.
page 3 / 28
Sminaire de 2 jour(s) Rf : PDS
Plan de secours et de continuit

se prparer et faire face la crise
OBJECTIFS
Ce sminaire vous propose une dmarche mthodologique et les meilleures pratiques pour mener bien un projet de secours informatique et/ou de continuit d'activit en accord avec les normes et standards du domaine (ISO17799, BS25999, ITIL V3...). De l'analyse des risques et de la conception des plans jusqu'aux tests et la cellule de crise.
Participants
Responsable Continuit, Risk Manager ou RSSI. Directeurs ou responsables informatiques, correspondants Scurit, chefs de projets MOA et MOE, auditeurs internes ou externes, consultants.
Pr-requis
Bonnes connaissances des architectures SI.
1) Pourquoi grer la continuit 2) Dfinitions et concepts 3) Le projet et sa gestion 4) Analyse des risques 5) L'identification des activits critiques
Prix 2011 : 1690 HT
6) Les moyens pour la conception des dispositifs 7) Plans de continuit 8) Procdures d'escalade et cellule de crise 9) L'organisation et le suivi des tests 10) La continuit d'activit en tant que processus ITIL
Dates des sessions

Paris
13 oct. 2011, 15 dc. 2011 12 avr. 2012, 21 juin 2012
1) Pourquoi grer la continuit

- L'volution des entreprises et de leur stratgie. - L'importance stratgique de l'information. - Les enjeux pour l'entreprise d'une stratgie de continuit : lois et rglementations, normes et standards.
Lyon
20 oct. 2011
2) Dfinitions et concepts
- Dfinir la stratgie de continuit. - Les diffrences entre plan de continuit d'activit (BCP), plan de secours informatique (DRP), plan de reprise. - Rappels de scurit : critres DICP et les 11 thmes ISO. - La feuille de route de la continuit.
3) Le projet et sa gestion
- Rappels sur la conduite de projet. - Les phases d'un projet plan de continuit. - Les particularits du projet plan de continuit.
4) Analyse des risques

- Les composantes du risque. - Les principes des diffrentes mthodes. - Les autres standards (COBIT, ISO...). - La notion de matrice d'incertitude. - L'analyse des risques pour le plan de continuit.
5) L'identification des activits critiques

- Dterminer les activits critiques (BIA) d'une entreprise. - Les paramtres fondamentaux de l'analyse d'impact. - La notion de Service Delivery Objectives.
6) Les moyens pour la conception des dispositifs

- Les lments et le budget pour laborer les scnarios. - Les diffrents sites de repli (hot, warm, cold sites, reciprocal agreement...) en interne ou externaliss. - Les critres de dcision.
7) Plans de continuit
- La construction des procdures. - Les quipes de secours : constitution, rles... - Un exemple de canevas d'un plan de secours.
8) Procdures d'escalade et cellule de crise

- La gestion de l'escalade en phase avec le RTO. - La constitution de la cellule de crise. - Les principes de dclenchement du plan de secours.
9) L'organisation et le suivi des tests

- Tests et entrainement des quipes de secours. - Les diffrents niveaux de tests selon les standards. - Le suivi des recommandations.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 4 / 28
10) La continuit d'activit en tant que processus ITIL

- L'importance du maintien en condition oprationnelle du plan au quotidien : le cycle de vie PDCA. - Le processus continuit et autres processus.
page 5 / 28
Sminaire de 2 jour(s) Rf : UDI
Audit, indicateurs et contrle de la scurit

OBJECTIFS
Contrler sa scurit est devenu indispensable afin de garantir que les investissements dans ce domaine sont la mesure des enjeux. Ce sminaire vous prsente les meilleures mthodes d'audit et de construction d'indicateurs, de tableaux de bord de scurit pour une mise en uvre efficace dans votre SI.
Participants
RSSI ou correspondants scurit, architectes de scurit, responsables informatiques, ingnieurs ou techniciens devant intgrer des exigences de scurit.
Pr-requis
Connaissances de base en scurit informatique.
1) Introduction le contrle de la scurit 2) Les audits de scurit 3) Les indicateurs et instruments de mesures
4) Les tableaux de bord et le pilotage de la scurit 5) Conclusion
1) Introduction le contrle de la scurit

Prix 2011 : 1690 HT
Dates des sessions

Paris
6 oct. 2011, 8 dc. 2011 29 mar. 2012, 31 mai 2012
- Rappels. Terminologie ISO 27000. - Mise en uvre du contrle de la scurit. - Evaluation de la scurit court-moyen-long terme. - Le pilotage de la scurit : la vue " manager ". - Les revues de scurit et les lments d'entre. - La lisibilit de sa scurit par rapport aux diteurs. - Rappel des contraintes rglementaires et normatives.
2) Les audits de scurit

- Le mtier de l'auditeur scurit. - Identifier le contexte de la mission. - La prparation de la mission, l'analyse du rfrentiel. - La classification des carts, dterminer les critres de risques retenus. - Revue documentaire. - La prparation des interviews. - Les tests techniques. - L'audit sur site : ce qu'il faut faire (et ne pas faire). - La rdaction des constats. - La prparation des conclusions, les objectifs atteindre. - La rdaction des pistes d'amlioration, actions correctives.
3) Les indicateurs et instruments de mesures

La prsentation des indicateurs et tableaux de bord, exemples de formats - Une typologie d'indicateurs. - A quoi sert mon indicateur ? - Le nombre et le choix des indicateurs en fonction du domaine d'application choisi. - L'inscription dans une dmarche ISO 27001. Les revues et rexamen de SMSI. - La norme 27004 " Information Security Management Measurements " : l'essentiel. Les exemples de la norme sur des contrles 27001 et mesures Annexe A.
4) Les tableaux de bord et le pilotage de la scurit

- Le suivi de la PSSI, la base de calcul de retour sur investissement. - Les tableaux de bord : pour qui pour quoi ? Suivi des actions et de la conformit PSSI pour le RSSI. Suivi des niveaux de risques acceptables pour les directions oprationnelles. - Le rfrentiel " Domaines - Bonnes pratiques " comme instrument de suivi. - Le rfrentiel " Type de pratiques/maturit " comme cible atteindre. - Exemples de tableaux de bord standard.
5) Conclusion
- Le choix des indicateurs. - La construction de mon premier tableau de bord. - Mise en situation audit.
Etude de cas Exercices sur projets types " Scurit logique ", " Protection des biens et des personnes ", Scurit des communications ", " Scurit Application ".
page 6 / 28
Sminaire de 3 jour(s) Rf : SRI
Scurit rseaux/Internet, synthse

OBJECTIFS
Ce sminaire vous montrera comment rpondre aux impratifs de scurit des communications de l'entreprise et intgrer la scurit dans l'architecture d'un systme d'information. Il comprend une analyse dtaille des menaces et des moyens d'intrusion ainsi que des techniques spcifiques de scurit, solutions et produits. A l'issue de ce sminaire, vous disposerez des lments techniques pour comprendre les technologies qui protgent votre systme d'information et scurisent son ouverture aux rseaux extrieurs Internet, Extranet et VPN.
Participants
Responsables scurit, dveloppeurs, concepteurs, chefs de projets intgrant des contraintes de scurit, responsables ou administrateurs rseau, informatique, systme.
Pr-requis
Bonnes connaissances des rseaux et des systmes.
Prix 2011 : 2290 HT
1) Introduction : qui fait quoi et comment ? 2) Outils et mthodes d'intrusion par TCP-IP 3) Scurit des postes clients 4) Scurit du sans-fil (Wi-fi et Bluetooth) 5) Technologie firewall/proxy Intervernants
6) Techniques cryptographiques 7) Scurit pour l'Intranet/Extranet 8) Rseaux Privs Virtuels (VPN) 9) Scurit des applications 10) Gestion et supervision active de la scurit
Dates des sessions

Paris
27 sep. 2011, 28 nov. 2011 20 mar. 2012, 19 juin 2012
Aix
15 nov. 2011, 27 mar. 2012 4 juin 2012
Lyon
15 nov. 2011, 27 mar. 2012 4 juin 2012
Pascal GOUACHE Consultant, chef de projet, spcialis dans la scurit des rseaux et des systmes d'information. Il dirige des projets de scurit active et de qualit de service pour des grandes entreprises mettant en oeuvre des technologies de type firewall rseau et applicatif, proxy, authentification,PKI, haute disponibilit et VPN. Il est spcialis dans la protection, la disponibilit et l'amlioration des performances des services en ligne. Boris MOTYLEWSKI Fondateur et directeur technique de la socit ExperLAN (Scurit des rseaux IP) devenue aujourd'hui Thales Security Solutions. Fondateur de la socit Axiliance, il conoit le firewall RealSentry et dirige la R&D de 2001 2005. Avec plus de 10 ans d'expertise dans la scurit, Boris Motylewski est un des meilleurs experts franais en scurit informatique.
Nantes
29 nov. 2011, 12 mar. 2012 11 juin 2012
1) Introduction : qui fait quoi et comment ?

- Concepts : risque, menaces, vulnrabilit... - Evolution de la cybercriminalit. - Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associs. - Nouvelles techniques d'attaque et contre-mesures.
Rennes
29 nov. 2011, 12 mar. 2012 11 juin 2012
Sophia-antipolis
15 nov. 2011, 27 mar. 2012 4 juin 2012
2) Outils et mthodes d'intrusion par TCP-IP

- Les attaques par le stack IP. - Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Utilisation d'un code mobile malveillant. - Comprendre les techniques des hackers. - Les sites (CERT, Security focus/bugtraq, CVE...).
3) Scurit des postes clients

- Les menaces : backdoor, virus, spyware, rootkit... - Le rle du firewall personnel et ses limites. - Les logiciels anti-virus/anti-spyware : comparatif. - Linux et Open Office vs Windows et MS Office ? - Les attaques par les documents PDF. - Comment scuriser les priphriques amovibles. - Contrle de conformit de Cisco NAC, MS NAP. - La scurit intgre dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...).
4) Scurit du sans-fil (Wi-fi et Bluetooth)

- Technologies de rseaux sans fil (standards 802.11). - Attaques spcifiques (Wardriving, failles WEP et EAP). - Scurit des bornes (SSID, Filtrage MAC). - Vulnrabilits WEP. Faiblesse de l'algorithme RC4. - Le standard de scurit IEEE 802.11i (WPA et WPA2). - Authentifier des utilisateurs (EAP, certificats, token...). - Les diffrentes mthodes Cisco LEAP, EAP-TLS, PEAP... - Attaque sur les hotspots Wi-fi (Rogue AP). - Attaques spcifiques sur Bluetooth (Bluebug...) - Comment se protger efficacement contre les attaques ? - Audit et surveillance du rseau. Outils d'audit.
5) Technologie firewall/proxy
- Serveurs proxy, reverse proxy, masquage d'adresse. - Filtrage. Firewall et proxy : quelle complmentarit ? - Principe des firewalls, primtre fonctionnel.
- La mise en place de solutions DMZ. - Scurit lie l'adressage. - Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...). - Notion de " d-primtrisation " du forum Jericho. - Utilisation des firewalls dans la protection des environnements virtuels.
6) Techniques cryptographiques
- Terminologie, principaux algorithmes. Lgislation et contraintes d'utilisation en France et dans le monde. - Algorithmes cl publique : Diffie Hellman, RSA... - Scellement et signature lectronique : MD5, MAC... - Mots de passe, token, carte puce, certificats ou biomtrie ? - Authentification forte : logiciels (S/key), cartes puces, calculettes d'authentification. - Scurisation des cls de chiffrement (PFS, TPM...). - Evaluation des systmes d'authentification : Radius, Tacacs+, Kerberos, X509. - Complter l'authentification par l'intgrit et la confidentialit de vos donnes.
7) Scurit pour l'Intranet/Extranet

- Les architectures cls publiques. - Les attaques sur SSL/TLS (sslstrip, sslnif...). - Un serveur de certificat interne ou public ? En France ou aux USA ? A quel prix ? Comment obtenir des certificats ? Comment les faire grer ? - Les risques lis aux certificats X509. L'apport des certificats X509 EV. - Annuaire LDAP et scurit. - Architectures "3A" (authentification, autorisation, audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs.
8) Rseaux Privs Virtuels (VPN)

- Analyse du besoin, conception et dploiement. - La cration d'un VPN site site via Internet. - IPSec. Les modes AH et ESP, IKE et la gestion des cls. - Les produits compatibles IPSec, l'interoprabilit. - Surmonter les problmes entre IPSec et NAT. - Les VPN SSL (quel intrt par rapport IPSec ?). - Les produits VPN SSL, l'enjeu de la portabilit. - Le VPN avec DirectAccess sous Windows 7. - Les offres VPN Oprateurs. VPN IPSec ou VPN MPLS ?
9) Scurit des applications

- Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...). - Le processus SDL (Security Development Lifecycle). - Utilisation de la technique de " fuzzing ". - Les outils de revue de code orients scurit. - Le Firewall applicatif (WAF). - Solution WAF Open source avec Apache en reverse proxy et mod_security. - Les critres d'valuation d'un WAF selon le Web Application Security Consortium (WASC). - Le hardening et la vrification d'intgrit temps rel.
10) Gestion et supervision active de la scurit

- L'apport des normes ISO 27001 et ISO 27002. - Les tableaux de bord Scurit. La norme ISO 27004. - Les missions du RSSI dans le suivi de la scurit. - Les audits de scurit (techniques ou organisationnels). - Les tests de vulnrabilit ou tests d'intrusion. - Les outils Sondes IDS, Scanner VDS, Firewall IPS. - Consigner les preuves et riposter efficacement. - Mettre en place une solution de SIM. - Se tenir inform des nouvelles vulnrabilits. - Grer les mises niveaux. - Savoir ragir en cas d'incidents. - Les services indispensables : o les trouver.
Travaux pratiques Intrusion dans un service Web en ligne. Mise en oeuvre d'un serveur HTTPS. Mise en oeuvre d'un tunnel de scurit de type IPSec. Protection avance d'un service Web ; dtection des attaques et parades en temps rel. Mise en oeuvre d'un IPS.
page 8 / 28
Sminaire de 2 jour(s) Rf : SEW
Scurit des applications Web, synthse

OBJECTIFS
Ce sminaire dresse un panorama complet des menaces du Web. Il dtaille les failles des navigateurs, les attaques sur les rseaux sociaux et le Web2.0, les nouvelles vulnrabilits sur SSL/TLS et les certificats X509, ainsi que les failles des applications J2EE, .NET et PHP. Illustr par de nombreuses dmonstrations, il prsente les solutions les plus efficaces pour protger et contrler la scurit de vos applications : dveloppement scuris avec SDL, scanner de vulnrabilits Web, Firewall applicatif et Firewall XML, etc.
Participants
DSI, RSSI, Responsables scurit, dveloppeurs, concepteurs, chefs de projets intgrant des contraintes de scurit, responsables ou administrateurs rseau, informatique, systme.
Pr-requis
Connaissances de base en informatique et en rseaux.
Prix 2011 : 1690 HT
1) Introduction 2) Menaces et vulnrabilits des applications Web 3) Les protocoles de scurit SSL et TLS 4) Les attaques cibles sur l'utilisateur et le navigateur
5) Les attaques cibles sur l'authentification 6) La scurit des Web services 7) Comment scuriser efficacement les applications Web ? 8) Contrler la scurit des applications Web
Dates des sessions

Paris
6 oct. 2011, 1 dc. 2011 15 mar. 2012, 21 juin 2012
1) Introduction
- Evolution des attaques protocolaires et applicatives. - Le monde des hackers : qui sont-ils ? - Statistiques et volution des failles lies au Web selon IBM X-Force IBM et OWASP. - Le protocole HTTP 1.0 et 1.1. - Redirection HTTP, host virtuel, proxy cache et tunneling. - Architecture rseau, Firewall, Proxy, Reverse Proxy...
2) Menaces et vulnrabilits des applications Web

- Les 10 risques majeurs des applications Web selon l'OWASP (2010). - Les attaques de type " Cross Site Scripting " alias XSS. - Les attaques en injection et sur les sessions. - Les nouvelles failles introduites par le Web 2.0. - Propagation de faille avec un Web Worm. - Attaques sur les configurations standard.
3) Les protocoles de scurit SSL et TLS

Mise en oeuvre des protocoles SSL et TLS - Les techniques cryptographiques SSL v2/v3 et TLS. - PKI, certificats X509 et autorit de certification. - Les nouveaux certificats validation tendue (X509 EV). - Quel est l'impact de SSL sur la scurit des firewalls UTM et des IDS/IPS ? Les failles et attaques sur SSL/TLS - Techniques de capture et d'analyse des flux SSL. - Attaque de type #Man In The Middle# avec sslsniff. - Attaque " HTTPS stripping " sur les liens scuriss. - Attaques sur la cryptographie SSLv2. - Attaques en rengociation sur SSLv3/TLS. - Attaques sur les certificats X509. - Attaques sur le protocole OCSP. Optimisation des performances SSL - SSL et les performances des applications Web. - Utilisation de carte crypto-hardware SSL/TLS.
4) Les attaques cibles sur l'utilisateur et le navigateur

Attaques sur les navigateurs Web - Le navigateur le plus sr. - Rootkit navigateur et poste utilisateur. - La scurit des Smartphones pour le surf sur le Net. Attaques sur l'utilisateur du Web - Codes malveillants et rseaux sociaux. - Les dangers spcifiques du Web 2.0. - Les techniques de Social engineering.
5) Les attaques cibles sur l'authentification

Les mcanismes d'authentification des utilisateurs - L'authentification via HTTP. - L'authentification via SSL par certificat X509 client.
page 9 / 28
- Comment mettre en oeuvre une authentification forte. - Autres techniques d'authentification par logiciel. - Solution de Web SSO non intrusive (sans agent). Les principales attaques sur les authentifications - Attaque sur les mots de passe. - Attaque 'Man in the Middle'. - Attaque sur les authentifications HTTPS.
6) La scurit des Web services

- Les protocoles et standards de scurit XML Encryption, XML Signature, WS-Security, WS-Reliability. - Les attaques d'injection (XML injection...). - Les attaques par brute force ou par rejeu. - Les Firewalls applicatifs pour les Web services. - Les principaux acteurs et produits sur le march.
7) Comment scuriser efficacement les applications Web ?

Etape 1 : durcissement des serveurs - En quoi consiste le durcissement ou " hardening " ? - Scuriser le systme et le serveur HTTP. - Techniques de virtualisation et scurit des applications Web. Etape 2 : intgration de la scurit dans le cycle de vie du logiciel - La scurit des environnements .NET, PHP et Java. - Les 5 phases du processus SDL. - Comment utiliser les techniques de " fuzzing " ? - Comment qualifier son application avec l'ASVS ? Etape 3 : ajout d'une protection active de type Firewall applicatif - Les limites des firewalls rseaux. - WAF : quelle efficacit, quelles performances ? - Construire son WAF en Open source avec Apache. - Les principaux produits sur le march. - Les critres d'valuation d'un WAF selon le WASC. Etape 4 : optimisation des performances et haute disponibilit - Utilisation des solutions de virtualisation. - L'quilibrage de charges par load et Web balancing. - L'acclration du protocole HTTP par compression. - " Benchmarker " son application Web.
8) Contrler la scurit des applications Web

La supervision de scurit des applications Web - Pentest vs audit de scurit. - Comment organiser une veille technologique efficace ? - Scanners de vulnrabilits Web : comment s'en servir ? Le contexte juridique - Les contraintes d'utilisation des outils de surveillance. - Cryptographie : le point sur la rglementation. - Que faire en cas d'intrusion sur votre application Web ? - Obligation de dclaration des incidents de scurit.
Dmonstration Attaque de type Cross Site Scripting sur une application J2EE. Cration et mise en oeuvre d'un serveur Web avec certificat X509 EV : analyse des changes protocolaires. Attaque de type " Man in the Middle " sur une application Web avec SSL/ TLS. Intrusion sur serveur par exploitation d'une faille de scurit critique sur le frontal HTTP. Attaque de type " HTTPS Stripping " : falsification de liens HTTPS la vole. Mise en oeuvre d'un firewall applicatif : dtection des attaques et parades en temps rel.
page 10 / 28
Sminaire de 2 jour(s) Rf : PCI
Conformit PCI-DSS, mise en oeuvre

OBJECTIFS
Cette formation vous permettra de comprendre la nouvelle version du standard PCI-DSS relatif la protection des donnes de comptes bancaires, dont le paiement par carte et les lments de scurit cls ncessaires pour mettre en conformit son entreprise, tout en tenant compte des spcificits de son contexte. Il y aura des exemples trs concrets, qui vous permettront de comprendre exactement comment se positionner face au standard PCI DSS, se faire certifier et apprcier l'impact de PCI DSS dans le contexte franais et international.
Participants
RSSI ou correspondants scurit, architecte de scurit, ingnieurs scurit, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit rglementaires.
Pr-requis
Bonnes connaissances dans la gestion de la scurit des SI.
1) Introduction 2) Les six thmes et les douze exigences du standard PCI DSS 3) Les objectifs de conformit et la certification
4) La gestion de votre projet PCI-DSS 5) Conclusion
Prix 2011 : 1690 HT
1) Introduction
- L'historique et les objectifs du comit PCI (PCI Council). Les obligations respecter. - Quelles menaces spcifiques sur le e-commerce ? Les sources de menaces. - Le standard PCI DSS apporte-t-il des avantages pour votre mtier ? - Les obligations de PCI DSS 1.2 et 2.0. L'objectif de conformit incontournable. - Les domaines d'application du PCI DSS. - La relation entre PADSS et PCI DSS, les conditions et procdures d'valuation.
Dates des sessions

Paris
24 nov. 2011, 5 avr. 2012 28 juin 2012
2) Les six thmes et les douze exigences du standard PCI DSS

- Cration et gestion d'un rseau scuris. Condition 1 : Installer et grer une configuration de pare-feu pour protger les donnes des titulaires de cartes. Condition 2 : Ne pas utiliser les mots de passe systme et autres paramtres de scurit par dfaut dfinis par le fournisseur. - Protection des donnes des titulaires de cartes de crdit. Condition 3 : Protger les donnes de titulaires de cartes stockes. Condition 4 : Crypter la transmission des donnes des titulaires de cartes sur les rseaux publics ouverts. - Gestion d'un programme de gestion des vulnrabilits. Condition 5 : Utiliser des logiciels ou des programmes antivirus et les mettre jour rgulirement. Condition 6 : Dvelopper et grer des systmes et des applications scuriss. - Mise en oeuvre de mesures de contrle d'accs strictes. Condition 7 : Restreindre l'accs aux donnes des titulaires de cartes aux seuls individus qui doivent les connatre. Condition 8 : Affecter un ID unique chaque utilisateur d'ordinateur. Condition 9 : Restreindre l'accs physique aux donnes des titulaires de cartes. - Surveillance et test rguliers des rseaux. Condition 10 : Effectuer le suivi et surveiller tous les accs aux ressources rseau et aux donnes des titulaires de cartes. Condition 11 : Tester rgulirement les processus et les systmes de scurit. - Gestion d'une politique de scurit des informations. Condition 12 : Grer une politique de scurit des informations pour l'ensemble du personnel.
3) Les objectifs de conformit et la certification

- Quels sont les objectifs de conformit. Comment les dfinir. - Le champ d'application de l'valuation de la conformit aux conditions de la norme PCI DSS. Segmentation rseau. Technologie sans fil. Prestataires tiers/Sous-traitance. Echantillonnage des installations de l'entreprise et des composants du systme . - Contrles compensatoires. - Savoir se positionner dans le systme de classement. - Comment effectuer une auto-valuation et un audit blanc. - Quel primtre soumettre la certification ? Quels actifs sont concerns ? - Comment la conformit est vrifie ? Les organismes de validation # les auditeurs externes. - Comment se prparer et anticiper les carts classiques / rfrentiel.
4) La gestion de votre projet PCI-DSS

- La norme PCI-DSS en lien avec la conformit globale (ISO 27001, CoBIT, ITIL, etc.). - Les tudes de cas en appui de la dmarche PCI DSS. - Choisir les auditeurs et prparer la mthodologie de tests. - La formation du personnel. Le rle de l'organisation. - Dfinir une road map vers la certification PCI DSS.
5) Conclusion
- Les particularits du march franais, le positionnement de ses acteurs. - Le dploiement gnralis du paiement EMV. - Le fournisseur approuv par la norme PCI DSS. Quel avantage technique et ... commercial ? - L'mergence de nouveaux standards : du " sans contact " au paiement mobile. - Panorama des nouvelles mthodes de paiement : EMV, sans contact (Paypass et VisaWave) et paiement mobile.
page 11 / 28
- Les autres normes venir en lien avec le paiement.
page 12 / 28
Sminaire de 2 jour(s) Rf : VPN
Scurit VPN, sans-fil et mobilit, synthse

OBJECTIFS
Aujourd'hui, le rseau Internet, les technologies de communication sans fil (Wi-fi, Bluetooth) et les terminaux mobiles (notebook, Smartphone) facilitent grandement l'accs aux applications de l'entreprise. Mais qu'en est-il rellement de la scurit de ces accs ? Ce sminaire dresse le panorama complet des menaces et vulnrabilits et apporte des solutions concrtes pour s'en prmunir.
Participants
DSI, RSSI, Responsables scurit, chefs de projets, consultants, administrateurs, cadres utilisateurs de portables, Smartphones ou d'un accs VPN.
Pr-requis
Des connaissances de base sur l'informatique sont ncessaires.
1) Menaces et vulnrabilits 2) Les attaques sur l'utilisateur 3) Les attaques sur les postes clients Exemple
4) Scurit des rseaux privs virtuels (VPN) 5) Scurit des rseaux sans-fil 6) Scurit des Smartphones
Prix 2011 : 1690 HT
Approche thorique et pratique avec dmonstration, avantages et inconvnients des solutions, retours d'exprience.
Dates des sessions

Paris
15 sep. 2011, 17 nov. 2011 29 mar. 2012, 21 juin 2012
1) Menaces et vulnrabilits
- Evolution de la cybercriminalit en France. - Statistiques et volution des attaques. - Evaluation des risques dans un contexte de mobilit.
2) Les attaques sur l'utilisateur

Attaques cibles sur l'utilisateur - Les techniques d'attaques orientes utilisateur. - Les techniques de Social engineering. - Codes malveillants et rseaux sociaux. - Les dangers spcifiques du Web 2.0. - Attaque sur les mots de passe. - Attaque "Man in the Middle".
3) Les attaques sur les postes clients

- Risques spcifiques des postes clients (ver, virus...). - Le navigateur le plus sr. - Rootkit navigateur et poste utilisateur. - Quelle est l'efficacit relle des logiciels antivirus ? - Les risques associs aux priphriques amovibles. - Le rle du firewall personnel. - Scurit des cls USB. - Les postes clients et la virtualisation. - Les principales lacunes scuritaires des OS clients. - Amlioration de la scurit dans Windows.
4) Scurit des rseaux privs virtuels (VPN)

Les techniques de tunneling - Accs distants via Internet : panorama de l'offre. - Les protocoles PPT, LTP, L2F pour les VPN. - Le standard IPsec et les protocoles AH, ESP, IKE. - Les solutions de VPN pour les accs 3G. - Quelles solutions pour Blackberry, iPhone... ? - VPN SSL : la technologie et ses limites. - Le panorama de l'offre VPN SSL. Critres de choix. - IPsec ou VPN SSL : quel choix pour le poste nomade ? - Le VPN avec DirectAccess sous Windows 7.
5) Scurit des rseaux sans-fil

- La scurit des Access Point (SSID, filtrage MAC...) - Pourquoi le WEP est dangereux ? Qu'apportent WPA, WPA2 et la norme 802.11i ? - L'authentification dans les rseaux Wi-fi d'entreprise. - Technologies VPN (IPsec) pour les rseaux Wi-fi. - Comment est assure la scurit d'un hotspot Wi-fi ? - Les techniques d'attaques sur WPA et WPA2. - Les fausses bornes (Rogue AP). - Attaques spcifiques sur Bluetooth. - Les principales attaques : Bluebug, BlueSmack, BlueStack...
6) Scurit des Smartphones

- La scurit sur les mobiles (Edge, 3G, 3G+...).
- Les risques spcifiques des Smartphones. - Failles de scurit : le palmars par plateforme. - Virus et code malveillants : quel est le risque rel ? - Protger ses donnes en cas de perte ou de vol.
Dmonstration Mise en oeuvre d'un accs Wi-fi fortement scuris avec IPsec et EAP-TLS. Attaque de type " Man in the Middle " sur une application Web en HTTPS via un Smartphone (sslsnif et sslstrip). Accs au SI en VPN SSL avec authentification forte. Protection des donnes par le chiffrement (EFS, Bitlocker et Bitlocker to go).
page 14 / 28
Sminaire de 2 jour(s) Rf : GEI
Annuaire et gestion d'identit

OBJECTIFS
L'annuaire d'entreprise est un rfrentiel majeur du systme d'information. Ce sminaire vous prsente les diffrentes approches pour la gestion d'identit et la mise en place des annuaires d'entreprise.
Participants
Ce sminaire s'adresse aux directeurs informatiques, directeurs des tudes, architectes techniques, chefs de projet informatique.
Pr-requis
Connaissances de base des architectures techniques.
Prix 2011 : 1690 HT
1) Spcificits des annuaires LDAP 2) Modlisation d'un annuaire 3) Choix des outils 4) Dmarche d'urbanisation applique la gestion d'identit 5) Outils de gestion d'annuaires
6) Outils de provisioning 7) Outils de Single Sign On et PKI 8) Usages des annuaires d'entreprise et ROI 9) Synthse et perspectives
Dates des sessions

Paris
6 oct. 2011, 8 dc. 2011 15 mar. 2012, 31 mai 2012
1) Spcificits des annuaires LDAP

- Les spcificits des annuaires vis--vis des bases de donnes relationnelles. L'historique de X500 LDAP. - Le rle du rfrentiel d'identit dans le SI. - Les concepts clefs des annuaires LDAP. Topologie : rplication et rpartition. - Les protocoles LDAP et DSML.
2) Modlisation d'un annuaire

- La dmarche de modlisation pas pas. - Conception du schma, de l'arborescence LDAP.
Travaux pratiques Sur la base d'un annuaire Open LDAP.
3) Choix des outils

- L'tat de l'art du march. - Les logiciels serveurs LDAP (Open LDAP, offres Sun, Novell, Microsoft, Oracle, IBM, etc.). Les logiciels clients LDAP (Softerra LDAP Browser, Java LDAP Browser, etc.). - Les API et frameworks de connexion aux annuaires (JNDI, PerlLDAP, ADSI, PHP-LDAP, etc.). - Les forces/faiblesses de chaque solution.
4) Dmarche d'urbanisation applique la gestion d'identit

- La cartographie des rfrentiels du SI. - L'analyse du contexte et des besoins. - La dfinition des rfrentiels cible et de leur circuit d'alimentation (provisioning). - Choix des outils. Conception des flux d'information.
5) Outils de gestion d'annuaires

- Les outils de DCMS. - Gestion et prsentation des contenus d'annuaire. Gestion par des profils non informaticiens. - Les forces/faiblesses de chaque solution.
6) Outils de provisioning
- Propagation des donnes d'identit. - Organiser les processus d'alimentation des annuaires. - Les forces/faiblesses de chaque solution (Sun, Novell, Microsoft, Oracle, IBM, etc.).
7) Outils de Single Sign On et PKI

- Propager les sessions applicatives. - Deux typologies d'architecture SSO : client/serveur et Reverse Proxy. Avantages et limites. Spcification SAML. - Quelques solutions du march. Intgration de PKI.
8) Usages des annuaires d'entreprise et ROI

- Entrept de donnes d'identit. - Rfrentiel centralis.. - Outil de gestion du parc informatique. - Les bnfices de la gestion d'identit. - Rationalisation de la gestion des collaborateurs.
9) Synthse et perspectives
- Synthse des outils de gestion d'identit actuels. - Notion de " fdration d'identit ".
- Ses spcifications : SAML, Liberty, WS-Trust et WS-Federation.
page 16 / 28
Sminaire de 2 jour(s) Rf : AAA
Authentifications et autorisations
architectures et solutions
OBJECTIFS
Ce sminaire propose une dmarche mthodologique pour mener bien un projet sur les services triple A : Authentication, Authorization, Accounting. Grce aux tudes de cas prsentes, vous apprendrez viter les problmes classiques et choisir la solution la plus approprie au besoin de l'entreprise.
Participants
Architecte et chef de projet rseau. Tout dcideur informatique, notamment les responsables technique/ infrastructure.
Pr-requis
Connaissances de base des architectures techniques.
1) Introduction 2) Les environnements 3) Les technologies
4) Les services et les architectures 5) Les produits du march 6) Conclusions
Prix 2011 : 1690 HT
Dates des sessions

Paris
9 nov. 2011, 29 mar. 2012 31 mai 2012
1) Introduction
- Le concept AAA. - Les services fournis. - La demande du march.
2) Les environnements
- Les mcanismes d'authentification et d'autorisation de Microsoft. - Authentifications et autorisations dans le monde Unix. - Mthodes d'accs aux rseaux d'entreprise. - Quel dispositif pour accder aux applications ?
3) Les technologies
- Les techniques de chiffrement. - Les algorithmes MD5, AES, RSA, etc. - Les infrastructures Kerberos, Radius, PAM, LDAP, etc. - Les protocoles de vrification comme WindBind, SASL, GSSAPI, etc. - Les API (JAAS ...). - La dfinition des autorisations. Les groupes et les rles. - Les modles d'organisation RBAC, PDP et PEP.
4) Les services et les architectures

- L'authentification forte. - L'authentification unique SSO et WebSSO. - Centraliser l'authentification. - L'Authentification/Autorisation/Attributs centraliss. - La gestion des mots de passe. - Les clefs et les certificats numriques. - Les autorisations. - L'accounting et l'audit.
5) Les produits du march

- Panorama sur les solutions " OpenSource ". - Les applications CAS, OpenSSO, tripleSec, etc. - Les produits commerciaux. - Les logiciels TAM, TIM, IDM, OAS, etc. - Avantage et inconvnients.
6) Conclusions
- Comprendre les besoins. - Savoir valuer la solution la plus approprie. - Les solutions de demain.
page 17 / 28
Sminaire de 3 jour(s) Rf : ASE
Implmenter et grer un projet ISO 27001, 27002

prparation aux certificats ISO Lead Implementer et Lead Auditor
OBJECTIFS
Ce sminaire a pour objectif de prsenter l'ensemble des normes ISO traitant de la scurit du systme d'information et de son management. Il dveloppe les thmes techniques, organisationnels et juridiques lis l'application d'un rfrentiel de scurit norm et sa mise en uvre.
Participants
RSSI, Risk Manager, directeurs ou responsables informatiques, MOE/ MOA, ingnieurs ou correspondants Scurit, chefs de projets intgrant des contraintes de scurit, Auditeurs internes et externes, futurs " audits ".
Pr-requis
Connaissances de base de la scurit informatique.
1) Introduction 2) Les normes ISO 2700x 3) L'analyse de risque, norme 27005 4) Les bonnes pratiques, rfrentiel ISO 27002
5) La mise en uvre de la scurit dans un projet (27003, 27004) 6) Les audits de scurit ISO 19011 7) Les bonnes pratiques juridiques 8) La certification ISO de la scurit du SI
Prix 2011 : 2290 HT
Intervernant Les animateurs sont tous reconnus comme des experts dans le domaine de la scurit du Systme d'Information. Certifis lead Auditor 27001 eux-mmes, ils vous feront partager leurs propres expriences d'implmentations russies de ISMS et d'audit ISO 27001-19011. Un avocat spcialis dans les IT viendra vous rappeler les rgles respecter pour mettre en conformit juridique avec les lois franaises et europennes votre Systme de Management de la Scurit.
Dates des sessions

Paris
13 sep. 2011, 15 nov. 2011 20 mar. 2012, 29 mai 2012
1) Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73. - Dfinitions : menace, vulnrabilit, protection. - La notion de risque (potentialit, impact, gravit). - La classification CAID (Confidentialit, Auditabilit, Intgrit, Disponibilit). - La gestion du risque (prvention, protection, report de risque, externalisation). - Analyse de la sinistralit. Tendances. Enjeux. - Les rglementations SOX, COSO, COBIT, psour qui ? pourquoi ? Vers la gouvernance SI, les liens avec ITIL et CMMI. - L'apport de l'ISO pour les cadres rglementaires. - L'alignement COBIT, ITIL et ISO 27002.
2) Les normes ISO 2700x

- Historique des normes de scurit vues par l'ISO. - Les standards BS 7799, leurs apports l'ISO. - Les normes actuelles (ISO 27001, 27002). - Les normes venir (27004, 27003). - Comment anticiper et se prparer efficacement ? - La convergence avec les normes qualit 9001 et environnement 14001. - L'apport des qualiticiens dans la scurit.
3) L'analyse de risque, norme 27005

- Dfinition d'un Systme de Gestion de la Scurit des Systmes (ISMS). Objectifs atteindre par votre ISMS. - L'approche " amlioration continue ". - La norme ISO 27001 dans une dmarche qualit, le modle PDCA (roue de Deming). - Les phases Plan-Do-Check-Act (sections 4 8). - De la spcification du primtre ISMS au SoA (Statement of applicability). - Importance de l'analyse, choix d'une mthode. - Les recommandations pragmatiques de l'ISO 27001 pour l'analyse des risques. - L'apport des mthodes EBIOS/FEROS, MEHARI dans sa dmarche de certification. - Les audits internes obligatoires. - Mise en uvre d'actions correctives et prventives. Mesures et contre-mesures des actions correctives et prventives. - L'annexe A en lien avec la norme 27002.
4) Les bonnes pratiques, rfrentiel ISO 27002

- Objectifs de scurit. - Structuration en domaine/chapitres (niveau 1), objectifs de contrles (niveau 2) et contrles (niveau 3). - Analyse complte et dtaille de chaque domaine (Politique de scurit, Organisation de la scurit, Classification et contrle des actifs, Scurit lie aux ressources humaines, Scurit physique et environnementale, Exploitation et rseaux, Contrle d'accs, Dveloppement et maintenance des systmes, Gestion des incidents, Continuit de service, Conformit). - Adaptation des bonnes pratiques son organisme. - Les dix bonnes pratiques incontournables. - Choix des indicateurs cls pour les mesures choisies.
5) La mise en uvre de la scurit dans un projet (27003, 27004)

- Des spcifications scurit la recette scurit. - Comment respecter la PSSI et les exigences de scurit du client/MOA. - De l'analyse de risques la construction de la dclaration d'applicabilit. - Les normes ISO 27003, 15408 comme rfrentiel. - La scurit dans les dveloppements spcifiques. - Les rgles respecter pour l'externalisation. - Le suivi du projet pour la mise en uvre et l'exploitation. - Les rendez-vous " Scurit " avant la recette. - La recette : test d'intrusion et/ou audit technique ? Le choix d'un auditeur/testeur indpendant. - Intgrer le cycle PDCA dans le cycle de vie du projet. - Prparer les indicateurs. L'amlioration continue. - Mettre en place un tableau de bord. Exemples. - L'apport de la norme 27004. - Veille technologique spcifique du projet.
6) Les audits de scurit ISO 19011

- Processus continu et complet. Etapes, priorits. - Les catgories d'audits, organisationnel, technique... - L'audit interne, externe, tierce partie, comment choisir son auditeur ? - Le droulement type ISO de l'audit, les tapes cls. - Les objectifs d'audit, la qualit d'un audit. - La dmarche d'amlioration (type PDCA) pour l'audit. - Les qualits des auditeurs, leur valuation. - L'audit organisationnel : dmarche, mthodes. - Apports compars, les implications humaines.
7) Les bonnes pratiques juridiques

- Rappel : application d'une loi, d'une rgle de droit, d'une dcision de justice. Entre jurisprudence et constitution : hirarchie des rgles. - La proprit intellectuelle des logiciels, la responsabilit civile dlictuelle et contractuelle. - Responsabilit : pnale, des dirigeants, dlgation de pouvoir, sanctions, loi LCEN. - Entre conformit ISO et conformit juridique.
8) La certification ISO de la scurit du SI

- La relation auditeur/audit. - L'intrt de cette dmarche, la recherche du " label ". - L'ISO pour accompagner sa dmarche scurit. - L'intgration efficace des normes de scurit ISO. - L'ISO : complment indispensable des cadres rglementaires et standard (COBIT, ITIL). - Les enjeux conomiques escompts. - Organismes certificateurs, choix en France, en Europe. - Dmarche d'audit, tapes et charges de travail. - Norme ISO 27006, obligations pour les certificateurs. - Cots rcurrents et non rcurrents de la certification.
page 19 / 28
Stage pratique de 2 jour(s) Rf : LAU
Lead Auditor 27001

mise en pratique, certification
OBJECTIFS
Ce cours pratique, complment au sminaire "Implmenter et grer un projet ISO 27001" prpare l'examen " Lead Auditor 27001 ". Il a pour objectif de rviser le sminaire pour vous prparer au passage de l'examen et se termine par le passage de l'examen proprement dit.
Participants
Auditeurs internes, Risk Manager, RSSI, directeurs ou responsables informatiques, ingnieurs ou correspondants Scurit, chefs de projets intgrant des contraintes de scurit.
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et des normes 2700x. Avoir suivi le stage Orsys "Implmenter et grer un projet ISO 27001, 27002" (rf. ASE). Exprience souhaitable.
1) Exercices # Travaux pratiques 2) Corrections collectives
3) Rvision finale 4) Examen
1) Exercices # Travaux pratiques

- Au cours de ce stage, une dmarche pdagogique interactive vous sera propose avec exercices crits et oraux de mise en situations, tests de connaissances de type QCM, simulations d'interviews auditeur/audit...
2) Corrections collectives
- Les rsultats des exercices et travaux pratiques vous sont restitus sous forme de corrections collectives au cours desquelles les explications aux erreurs ventuelles sont analyses.
Prix 2011 : 1260 HT
Dates des sessions

Paris
22 sep. 2011, 24 nov. 2011 29 mar. 2012, 31 mai 2012
3) Rvision finale
- Pour clore la prparation, une rvision finale est fournie au cours de laquelle des trucs, astuces et piges viter vous seront communiqus.
4) Examen
- L'examen crit dure 3 heures 30 et comporte six parties : - un QCM sur la norme ISO/IEC 19011 et guides associs sur 20 points, - un QCM sur la norme ISO/IEC 27001 et guides associs sur 20 points, - un exercice de recherche de rfrence normative en fonction de constats d'audit sur 5 points, - un exercice relatif au cycle PDCA sur 5 points, - un exercice " faits et infrences " bas sur un article de presse sur 10 points, - une tude de cas sur 35 points : analyse de constats d'audit, analyse de fiches d'cart, laboration du plan d'une runion d'ouverture ou de clture ou d'un plan ou programme d'audit. - Les rsultats de l'examen vous parviendront par courrier environ deux trois semaines plus tard.
Travaux pratiques L'examen "Lead Auditor" certifie que vous possdez les connaissances et les comptences pour auditer la conformit d'un SMSI suivant la norme ISO/IEC 27001: 2005. Ce certificat ISO vous apportera la plus grande crdibilit dans la conduite de vos projets d'audit.
page 20 / 28
Stage pratique de 2 jour(s) Rf : LED
Lead Implementer 27001

mise en pratique, certification
OBJECTIFS
Ces deux journes sont un complment au sminaire "Implmenter et grer un projet ISO 27001" pour les candidats l'examen " Lead Implementer 27001 ". Elles ont pour objectif de rviser le sminaire prcdemment cit pour vous prparer au passage de l'examen et se terminent par le passage de l'examen proprement dit.
Participants
Risk Manager, RSSI, responsables informatiques, tout acteur SI qui doit intgrer des contraintes de scurit.
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et des normes 2700x. Avoir suivi le stage Orsys "Implmenter et grer un projet ISO 27001, 27002" (rf. ASE). Exprience souhaitable.
1) Exercices # Travaux pratiques 2) Corrections collectives
3) Rvision finale 4) Examen
1) Exercices # Travaux pratiques

- Au cours de ce stage, de nombreux exercices, tudes de cas et travaux pratiques vous apporteront une prparation optimale et efficace en vue du passage de l'examen officiel respectant le rglement de certification officiel ISO. - Des projets types de scurit vous seront proposs afin d'exprimenter par la pratique la mise en oeuvre d'une dmarche PDCA et de bonnes pratiques ISO 27001 et ISO 27002. - Vous construirez une dclaration d'applicabilit partir d'une analyse de risques de type ISO 27001 ou 27005. Vous apprendrez dterminer les indicateurs cls d'une PSSI et d'un projet de scurit. - Une dmarche pdagogique interactive vous sera propose avec exercices crits et oraux de mise en situations, tests de connaissance de type QCM.
Prix 2011 : 1260 HT
Dates des sessions

Paris
29 sep. 2011, 12 dc. 2011 5 avr. 2012, 7 juin 2012
- Les rsultats des exercices et travaux pratiques vous sont restitus sous forme de corrections collectives au cours desquelles les explications aux erreurs ventuelles sont analyses.
3) Rvision finale
- Pour clore la prparation, une rvision finale est fournie au cours de laquelle des trucs, astuces et piges viter vous seront communiqus.
4) Examen
- L'examen crit dure 3 heures 30. Le droulement de l'examen crit, son contenu et les rgles respecter (normes ou autres documents mis la disposition des candidats, modalits mises en oeuvre pour respecter la confidentialit des copies, points minimaux requis pour l'obtention de l'examen crit...) sont prsents par le formateur lors de la premire journe de formation. - L'examen comporte un questionnaire choix multiples relatif la norme ISO/IEC 27001, des exercices pratiques et une tude de cas. Les rsultats de l'examen vous parviendront par courrier 2-3 semaines plus tard.
Travaux pratiques L'examen final certifie que vous possdez les connaissances et les comptences ncessaires pour mettre en oeuvre un SMSI suivant la norme ISO/IEC 27001: 2005 " Technologies de l'information # Techniques de scurit # Systmes de management de la scurit de l'information # Exigences". Au travers l'examen approfondi des normes 27000, vous apprendrez bien les implmenter et les adapter votre contexte dans un primtre allant d'un projet informatique sensible l'ensemble de la Scurit du Systme d'information de votre organisme. Cet examen est dirig en partenariat avec l'organisme de certification LSTI (accrdit COFRAC). Il se droule pendant la dernire demi-journe. Ce diplme international officiel ISO vous apportera la plus grande crdibilit dans la conduite de vos projets d'implmentation de SMSI de type ISO 27001.
page 21 / 28
Sminaire de 3 jour(s) Rf : AIR
Analyse de risques
du choix des mthodes la pratique, prparation la certification 27005
OBJECTIFS
Ce sminaire a pour objectif de prsenter les meilleures mthodes d'analyse de risques. Il vous permettra de choisir une mthode adapte votre contexte et vous facilitera sa mise en oeuvre en vous prsentant une dmarche simple et pragmatique.
Participants
RSSI ou correspondants Scurit, architectes de scurit, directeurs ou responsables informatiques, ingnieurs, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit.
Pr-requis
Connaissances de base dans le domaine de la scurit informatique.
1) Introduction 2) Le concept " risque " 3) L'analyse de risques selon l'ISO
4) Les mthodes d'analyse de risques 5) Choix d'une mthode 6) Conclusion
Prix 2011 : 2290 HT
1) Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73. - Dfinitions de la Menace. Vulnrabilit, Risques, Mesures de protection. - Principe gnral de la scurit ISO 13335. - La notion de risque (potentialit, impact, gravit). - La classification CAID (Confidentialit, Auditabilit, Intgrit, Disponibilit). - Rappel des contraintes rglementaires et normatives (SOX, COBIT, ISO 27001, ...). - Le rle du RSSI versus le Risk Manager. - La future norme 31000, de l'intrt d'une norme " chapeau ".
Dates des sessions

Paris
11 oct. 2011, 6 dc. 2011 3 avr. 2012, 19 juin 2012
2) Le concept " risque "

- Identification et classification des risques. - Risques oprationnels, physiques / logiques. - Les consquences du risque (financier, juridique, humain ...). - La gestion du risque (prvention, protection, vitement de risque, transfert). - Matrise interne ou transfert vers un tiers (externalisation, assurance). - Assurabilit d'un risque, calcul financier du transfert l'assurance. - Les risques couverts/non couverts par l'assurance. - Les rles complmentaires du RSSI et du Risk Manager/DAF.
3) L'analyse de risques selon l'ISO

La mthode de la norme 27001 - Une dmarche plutt qu'une mthode. - L'intgration au processus PDCA. - La cration en phase Plan de la section 4. - La mise jour en phase Check. La norme 27005 Information Security Risk Management - L'essentiel de la norme. Objectifs et contexte d'application. - La mise en oeuvre d'un processus PDCA de management des risques. - Les tapes de l'analyse de risques. - Les critres d'acceptation du risque. - La dmarche temporelle d'analyse de risques. - Le choix du type de traitement de risques. - Du risque rsiduel au risque accept. - La prparation de la dclaration d'applicabilit (SoA).
4) Les mthodes d'analyse de risques

Les mthodes franaises - EBIOS 2010. tude du contexte, des scnarios de menaces, des vnements redouts, des risques, des mesures de scurit. EBIOS dans une dmarche ISO PDCA de type SMSI 27001. - MEHARI 2010. L'approche propose par le CLUSIF. L'analyse les enjeux majeurs et des vulnrabilits. La dtection et l'analyse des risques critiques. La base de connaissances et le rfrentiel " Bonnes pratiques ". laboration d'un plan d'actions bas les services de scurit. Alignement MEHARI # 27005 et rfrentiel # ISO 27002. Les autres mthodes (internationales) - CRAMM, OCTAVE... Historique, dveloppement, prsence dans le monde. Comparaisons techniques.
5) Choix d'une mthode

- Comment choisir la meilleure mthode sur la base d'exemples et tudes de cas pratique. - Les bases de connaissances (menaces, vulnrabilits, risques, actifs, chelles de gravit, ...). - L'accessibilit aux informations (libre et/ou payante).
page 22 / 28
- La convergence vers l'ISO, la ncessaire mise jour - Etre ou ne pas Etre " ISO spirit " : les contraintes du modle PDCA. - Comment optimiser la mise jour de son analyse de risques.
6) Conclusion
- L'analyse de risque : Pour qui ? Sur quoi ? Quand ? - Une mthode globale ou une mthode par projet. - Pratiquer et faire pratiquer simplement une mthode dans chaque projet. - Intgrer une mthode projet dans une mthode globale. - Le vrai cot d'une analyse de risques.
page 23 / 28
Stage pratique de 1 jour(s) Rf : IRM
ISO 27005 Risk Manager, certification

OBJECTIFS
Ce stage d'une journe est un complment au sminaire " Analyse de risques ". Il a pour objectif de rviser les sujets prsents lors du sminaire et de prparer au passage de l'examen " Risk manager 27005 ". Il se termine l'examen proprement dit. La dmarche de passage de l'examen est volontaire et individuelle.
Participants
RSSI ou correspondants Scurit, Architecte de scurit, directeurs ou responsables informatiques, ingnieurs, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit.
1) Exercices - Travaux pratiques 2) Corrections collectives
3) Rvision finale
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et des normes 27005. Avoir suivi le stage "Analyse de risques " (rf. AIR) ou une formation similaire (une attestation peut-tre demande). Exprience souhaitable.
1) Exercices - Travaux pratiques

- Au cours de ce stage, de nombreux exercices, tudes de cas et travaux pratiques vous apporteront une prparation optimale et efficace en vue du passage de l'examen officiel respectant le rglement de certification officiel ISO. - Une dmarche pdagogique interactive vous sera propose avec exercices crits et oraux de mise en situations, tests de connaissance de type QCM, tudes de cas, inventaire d'actifs, valuations menaces et vulnrabilits, laboration de plans de traitement des risques, ...
Prix 2011 : 760 HT
- Les rsultats des exercices et travaux pratiques vous sont restitus sous forme de corrections collectives au cours de laquelle les explications aux erreurs ventuelles sont analyses.
Dates des sessions

Paris
17 oct. 2011, 19 dc. 2011 12 mar. 2012, 29 mai 2012
3) Rvision finale
- Pour clore la prparation, une rvision finale est ralise au cours de laquelle des astuces seront fournies ainsi que les piges viter.
Examen L'examen crit dure 2 heures 30. De manire assurer l'anonymat lors de la correction des examens, les copies sont numrotes et seul le formateur connat la correspondance entre le numro de copie et l'identit du candidat et ceci jusqu' la transmission au formateur des rsultats finaux (note de l'examen crit + note du formateur). L'examen comporte au minimum un questionnaire relatif la norme ISO/IEC 27005, un exercice sur le modle PDCA, une tude de cas sur la gestion des risques. L'valuation faite par le formateur a pour but d'tablir si le candidat possde les qualits personnelles pour effectuer une gestion des risques au sein d'une entreprise. Elle est base sur : l'attitude gnrale (participation, ambiance de travail etc.), la capacit travailler en quipe, la capacit s'exprimer oralement : respect du temps imparti, esprit de synthse, clart. Cette valuation est sur 3 points. Elle s'ajoute la notation de l'examen crit pour donner un total de 100 points. Le candidat doit obtenir un minimum de 70 points (examen crit et valuation du formateur) pour tre certifi. Les rsultats de l'examen vous parviendront par courrier environ 6 semaines plus tard.
page 24 / 28
Stage pratique de 2 jour(s) Rf : EBI
Mthode EBIOS, mise en oeuvre

OBJECTIFS
La mthode EBIOS permet d'apprcier et de traiter les risques relatifs la scurit des SI en se fondant sur une exprience prouve en matire de conseil SI et d'assistance MOA. Ce stage vous apportera toutes les connaissances ncessaires sa mise en oeuvre en situation relle.
Participants
RSSI ou correspondants Scurit, architectes de scurit, directeurs ou responsables informatiques, ingnieurs, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit.
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et de la norme 27005 ou connaissances quivalentes celles apportes par le stage " Analyse de risques " (rf. ARI). Exprience en scurit souhaitable.
1) Introduction - Rappel 2) Etude du contexte 3) Etude des vnements redouts 4) Etude des scnarios de menaces Etude de cas
5) Etude des risques 6) Etude des mesures de scurit 7) Conclusion
laboration d'un cas concret par les participants (identification du domaine d'application projet, identification et valuation des actifs principaux). Rsolution par groupes de 2 4 personnes. Pratique de la mthode partir des outils et bases de connaissances intgrs la mthode.
Prix 2011 : 1260 HT
1) Introduction - Rappel
- Objectifs d4EBIOS 2010. Evolution EBIOS v2. - Compatibilits normatives 27001 et 27005. - Prsentation de la dmarche mthodologique. - Historique, rle de l'ANSSI et du club EBIOS. - Domaine d'application de la dmarche : cible secteur public ou priv, tailles et secteurs d'activit viss. - Application de la mthode sur systmes de scurit existants ou en cours de d'laboration. - Diffusion de la mthode EBIOS.
Dates des sessions

Paris
9 nov. 2011, 8 mar. 2012 10 mai 2012
2) Etude du contexte
- Caractristiques du contexte ; identification du domaine d'application. - Biens essentiels (actifs primaires) ; biens supports. - Les menaces principales. - Les enjeux de scurit du primtre.
Travaux pratiques Echanges interactifs sur pourquoi et comment grer les risques. dfinir quel est le sujet de l'tude.
3) Etude des vnements redouts

- Apprciation des vnements de scurit redouts. - Identification, analyse et valuation de chaque vnement.
Travaux pratiques Identification, avec changes interactifs, de l'ensemble des vnements craints. Identification des plus graves.
4) Etude des scnarios de menaces

- Apprciation des scnarios de menaces. Identification. - Analyse et valuation de chaque scnario de menace.
Travaux pratiques Dfinir les scnarios possibles. Dfinir ceux qui sont les plus vraisemblables.
5) Etude des risques

- Analyse et valuation des risques. - Identification des objectifs de scurit. - Traitement des risques : choix des options.
Travaux pratiques Cartographie des risques. Traiter les diffrents risques.
6) Etude des mesures de scurit

- Identifier les mesures de scurit mettre en oeuvre. - Evaluer le risque rsiduel (aprs application des mesures). - Apprciation des risques rsiduels. - Rdaction de la dclaration d'applicabilit. - Mise en oeuvre des mesures de scurit et laboration d'un plan d'action. - Suivi de l'efficacit des mesures. - Acceptation (homologation) des risques rsiduels.
Travaux pratiques Identification des mesures appliquer. Dfinir l'acceptabilit des risques rsiduels.
page 25 / 28
7) Conclusion
- Synthse sur la mthode EBIOS. - Comment personnaliser son analyse de risques. - Revue de l'analyse : vers une dmarche PDCA. - Intgration de la dmarche dans un SMSI.
page 26 / 28
Stage pratique de 5 jour(s) Rf : CIS
Scurit des SI, certification CISSP

Certified Information Systems Security Professional
OBJECTIFS
Ce stage dtaille les concepts de scurit ncessaires l'obtention de la certification CISSP. Il vous prparera au passage de l'examen en couvrant l'ensemble du Common Body of Knowledge (CBK), le tronc commun de connaissances en scurit dfini par l'International Information Systems Security Certification Consortium (ISC).
Participants
Responsable de la scurit des SI ou toute autre personne jouant un rle dans la politique de scurit des SI.
Pr-requis
Connaissance de base sur les rseaux et les systmes d'exploitation ainsi qu'en scurit de l'information. Connaissance de base des normes en audit et en continuit des affaires.
1) Scurit du SI et le CBK de l'(ISC) 2) Gestion de la scurit et scurit des oprations 3) Architecture, modles de scurit et contrle d'accs
4) Cryptographie et scurit des dveloppements 5) Scurit des tlcoms et des rseaux 6) Continuit des activits, loi et thique et scurit physique
Prix 2011 : 2580 HT
1) Scurit du SI et le CBK de l'(ISC)

- La scurit des systmes d'information. - Le pourquoi de la certification CISSP. - Prsentation du primtre couvert par le CBK.
Dates des sessions

Paris
12 sep. 2011, 14 nov. 2011 2 avr. 2012, 4 juin 2012
2) Gestion de la scurit et scurit des oprations

- Pratiques de gestion de la scurit : rdaction de politiques, directives, procdures et standards en scurit, programme de sensibilisation la scurit, pratiques de management, gestion des risques, etc. - Scurit des oprations : mesures prventives, de dtection et correctives, rles et responsabilits des acteurs, meilleures pratiques, scurit lors de l'embauche du personnel, etc.
3) Architecture, modles de scurit et contrle d'accs

- Architecture et modles de scurit : architecture de systme, modles thoriques de scurit de l'information, mthodes d'valuation de systmes, modes de scurit oprationnels, etc. - Systmes et mthodologies de contrle d'accs : catgories et types de contrles d'accs, accs aux donnes, accs aux systmes, systmes de prvention des intrusions (IPS) et de dtection d'intrusions (IDS), journaux d'audit, menaces et attaques relis au contrle des accs, etc.
4) Cryptographie et scurit des dveloppements

- Cryptographie : concepts, cryptographie symtrique et asymtrique, fonctions de hachage, infrastructure clef publique, etc. - Scurit des dveloppements d'applications et de systmes : bases de donnes, entrepts de donnes, cycle de dveloppement, programmation orient objet, systmes experts, intelligence artificielle, etc.
5) Scurit des tlcoms et des rseaux

- Scurit des rseaux et tlcoms : notions de base, modle TCP/IP, quipement rseaux et de scurit, protocoles de scurit, attaques sur les rseaux, sauvegardes des donnes, technologies sans fils, VPN...
6) Continuit des activits, loi et thique et scurit physique

- Continuit des oprations et plan de reprise en cas de dsastre : plan de continuit des activits, plan de rtablissement aprs sinistre, mesures d'urgence, programme de formation et de sensibilisation, communication de crise, exercices et tests, etc. - Loi, investigations et thique : droit civil, criminel et administratif, proprit intellectuelle, cadre juridique en matire d'investigation, rgles d'admissibilit des preuves, etc. - Scurit physique : menaces et vulnrabilits lies l'environnement d'un lieu, primtre de scurit, exigences d'amnagement, surveillance des lieux, protection du personnel, etc.
page 27 / 28
Stage pratique de 1 jour(s) Rf : SES
Scurit, sensibilisation des utilisateurs

OBJECTIFS
Faire connatre les risques et les consquences d'une action utilisateur portant atteinte la scurit du systme d'information. Expliquer et justifier les contraintes de scurit imposes par la politique de scurit. Dcouvrir et comprendre les principales parades mises en place dans l'entreprise.
Participants
Tous les utilisateurs ayant accs au systme d'information via un poste informatique.
Pr-requis
Aucune connaissance particulire.
1) Introduction 2) La scurit informatique : comprendre les menaces/risques 3) Vers une utilisation responsable et scurise
4) Comment s'impliquer dans la scurit du SI 5) Agir pour une meilleure scurit
Prix 2011 : 760 HT
Dates des sessions

Paris
12 sep. 2011, 14 nov. 2011 12 mar. 2012, 11 juin 2012
1) Introduction
- Cadre gnral : qu'entend-on par scurit informatique (menaces, risques, protection) ? - Comment une ngligence peut crer une catastrophe. Quelques exemples. La responsabilit.
2) La scurit informatique : comprendre les menaces/risques

Les composantes d'un SI et leurs vulnrabilits - Systmes d'exploitation client et serveur - Rseaux d'entreprise (locaux, site site, accs par Internet). Rseaux sans fils et mobilit. - Les applications risques : Web, messagerie ... - Base de donnes et systme de fichiers. Menaces et risques - Sociologie des pirates. Rseaux souterrains. Motivations. - Typologie des risques. La cybercriminalit en France. - Vocabulaire (sniffing, spoofing, smurfing, hijacking...).
3) Vers une utilisation responsable et scurise

La protection de l'information - Vocabulaire. - Confidentialit, signature et intgrit. - Comprendre les contraintes lies au chiffrement. - Schma gnral des lments cryptographiques. La scurit du poste de travail - Windows, Linux ou MAC OS : quel est le plus sr ? - Gestion des donnes sensibles. - La problmatique des ordinateurs portables. - Quelle menace sur le poste client ? - Comprendre ce qu'est un code malveillant. - Comment grer les failles de scurit ? - Le port USB : fuite, attaque et confidentialit. - Le rle du firewall client. L'authentification de l'utilisateur - Contrles d'accs : authentification et autorisation. - Pourquoi l'authentification est-elle primordiale ? - Le mot de passe traditionnel. - Authentification par certificats et token. Les accs depuis l'extrieur - Accs distant via Internet. Comprendre les VPN. - De l'intrt de l'authentification renforce.
4) Comment s'impliquer dans la scurit du SI

- Analyse des risques, des vulnrabilits et des menaces. - Les contraintes rglementaires et juridiques. - Pourquoi mon organisme doit respecter ses exigences de scurit. - Les hommes cls de la scurit : comprendre le rle du RSSI et du Risk manager.
5) Agir pour une meilleure scurit

- Les aspects sociaux et juridiques. La CNIL, la lgislation. - La cyber-surveillance et la protection de la vie prive. - La charte d'utilisation des ressources informatiques. Conclusion. Au quotidien - Les bons rflexes.
page 28 / 28

Re 5

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Re 5

Transféré par

Droits d'auteur :

Formats disponibles

ORSYS

Rseaux / Scurit, Scurit, synthses et rfrentiels

Sminaire de 3 jour(s) Rf : SSI

Scurit des systmes d'information, synthse

Prix 2011 : 2290 HT

Dates des sessions

2) RSSI : chef d'orchestre de la scurit

3) Les cadres normatifs et rglementaires

5) Les audits de scurit

6) Plan de sensibilisation et de communication

9) Concevoir des solutions optimales

10) Supervision de la scurit

11) Les principes juridiques applicables au SI

12) Les atteintes juridiques au STAD

13) Recommandations pour une scurisation " lgale " du SI

Sminaire de 2 jour(s) Rf : PDS

Plan de secours et de continuit

Prix 2011 : 1690 HT

Dates des sessions

1) Pourquoi grer la continuit

4) Analyse des risques

5) L'identification des activits critiques

6) Les moyens pour la conception des dispositifs

8) Procdures d'escalade et cellule de crise

9) L'organisation et le suivi des tests

10) La continuit d'activit en tant que processus ITIL

Sminaire de 2 jour(s) Rf : UDI

Audit, indicateurs et contrle de la scurit

4) Les tableaux de bord et le pilotage de la scurit 5) Conclusion

1) Introduction le contrle de la scurit

Dates des sessions

2) Les audits de scurit

3) Les indicateurs et instruments de mesures

4) Les tableaux de bord et le pilotage de la scurit

Sminaire de 3 jour(s) Rf : SRI

Scurit rseaux/Internet, synthse

Prix 2011 : 2290 HT

Dates des sessions

1) Introduction : qui fait quoi et comment ?

2) Outils et mthodes d'intrusion par TCP-IP

3) Scurit des postes clients

4) Scurit du sans-fil (Wi-fi et Bluetooth)

7) Scurit pour l'Intranet/Extranet

8) Rseaux Privs Virtuels (VPN)

9) Scurit des applications

10) Gestion et supervision active de la scurit

Sminaire de 2 jour(s) Rf : SEW

Scurit des applications Web, synthse

Prix 2011 : 1690 HT

Dates des sessions

2) Menaces et vulnrabilits des applications Web

3) Les protocoles de scurit SSL et TLS

4) Les attaques cibles sur l'utilisateur et le navigateur

5) Les attaques cibles sur l'authentification

6) La scurit des Web services

7) Comment scuriser efficacement les applications Web ?

8) Contrler la scurit des applications Web

Sminaire de 2 jour(s) Rf : PCI

Conformit PCI-DSS, mise en oeuvre

4) La gestion de votre projet PCI-DSS 5) Conclusion

Prix 2011 : 1690 HT

Dates des sessions

2) Les six thmes et les douze exigences du standard PCI DSS

3) Les objectifs de conformit et la certification