| |
|
|
 |
 |
 |
Cours : La sécurité des architectures Web («SE3») |
|
Dates
Le but de cette formation est de permettre aux participants d'être initiés, en deux jours, aux principaux principes de sécurité tels que les principes de «moindre privilège» et de «défense en profondeur». Cette formation qui, idéalement , suit le cours d'introduction Hacking pour administrateurs systèmes («HAK»), explorera la sécurité dans les différentes phases opérationnelles, tout en restant centré sur les architectures Web.
L'’accent de cette formation est mis sur les aspects de sécurité dans un contexte global, ainsi le cours ne se limite pas seulement aux meilleures pratiques (voir ISO 27001 et ISO 27002 ou le manuel de base) à adopter pour un développement sécurisé, mais va bien au-delà en abordant les menaces, les vulnérabilités et les attaques typiques contre les architectures Web ainsi que les moyens de les éviter.
|
|
| Objectifs |
| Au terme du cours, vous êtes en mesure de concevoir, implémenter, tester et maintenir des architectures Web, en respectant les meilleures pratiques en usage dans le domaine de la sécurité. |
|
| Profil des participants |
| Cette formation s'adresse à des profils type Manager ou chef de projets. |
|
| Pré-requis |
| Pas de connaissances spécifiques requises. |
|
| Contenu du cours |
|
- Principes généraux de la sécurité
- Définition de base: confidentialité, intégrité, disponibilité (CIA), traçabilité et objectif
- Les différents standards et principes de bases:
- Sécurité par l'obscurité
- Moindre privilège et fonctionnalités
- Opération «fail-safe»
- Données sensibles et data harvesting
- Prise d'informations et informations publiques (fingerprinting)
- Architecture Web
- Les avantages et les inconvénients:
- Modularité
- Flexibilité
- Sécurité
- Multiplication de la surface d'attaque
- Multiplication de la charge de travail
- Les risques Clients:
- Les failles du navigateur (cookies)
- Utilisation de composantes tiers
- Risques - serveurs Web
- Failles sur le serveur Web
- Erreurs de configuration
- Denial of Service
- Risques - serveurs d'applications et
serveur de données
- Filtrage et segmentation
- Segmantation
- Firewalling
- (Reverse)-proxying
- WAF
- IDS/IPS
- Terminaux mobiles
- Fonctionnalités de sécurité
- Authentification
- Authentification forte (Token, sms,..)
- Authentification: précautions
- Authentification: mots de passe
- Autorisation
- Logs
- Démarche de sécurité
- Objectifs: protéger les ressources internes, assurer un service de qualité aux clients, maîtriser les échanges, gérer les dysfonctionnements
- Sécurité - Échecs: intégration trop tardives, conséquences,...
- Politique de sécurité: politique globale
- Méthodologies: définitions des besoins, analyse des risques, méthodologies existantes
- ISO 27001 et ISO 27002/ISO27005
- Analyse des risques (impact et probabilité)
- Processus gestion des risques (CobIT 4.1, CobIT 5)
- Cryptographie
- Scytale: premier cryptage connu, algorithme, clef
- Transposition et substitution
- Vigenère
- Cryptographie: chiffrement par bloc, chiffrement par flux
- Cryptographie numérique
- Cryptographie à clé secrète
- Hachage
- Cryptographie à clé publique
- Signature numérique
- PKI
- Types de certificats
- Classes de certificats
- SSL
- Fonctionnement: initialisation de la session, utilisation de la session
- Établissement de la session
- SSL - Bilan: avantages & inconvénients
- VPN
- MPLS
- IPSEC Modes: mode transport, mode tunnel
- SSL-VPN
- Authentification
- Authentification faible: politique des mots de passe
- Authentification forte: token, sms (exemple Credit Suisse direct.net)
- Précautions d'authentification
- Biométrie
- Oauth
- OpenID
- Single Sign-On
- SSO
- Propagation des sessions
- Mécanismes de gestion
- Architecture client/serveur
- Bilan: client/serveur
- Architecture reverse proxy
- Bilan: reverse proxy
- Sécurité des base de données
- Types d'attaques (mauvaise configurations, SQL injection)
- Conseils de sécurité
|
|
| Suite du cursus |
| «CISSP» («SSP») |
|
| Durée |
| 2 jours |
|
| Prix du cours |
| CHF 1900.-- | |
Cours sur mesure / cours d'entreprise
Digicomp vous offre des conditions spéciales valant pour les entreprises qui ont besoin de former leurs
collaborateurs sur mesure, en se basant sur notre formation standard. Prenez contact
avec Marie-Christine Lagana! Elle se fera un plaisir de vous soumettre une offre à votre convenance.
|
|
|
