SlideShare a Scribd company logo

Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web

Download as PPT, PDF
Faouzi Maddouri
Faouzi Maddouri

Seminaire sécurité 2016-v0 Comment s'y prondre, comment la fonder et la batir sur des faits du monde reel? Concepts de base de système d'information et de la sécurité des systèmes d'information (pilliers de base, principes, aspects et techniques) Tests d'Intrusion : usage pour l'analyse de risque, Solutions, outils et architectures de sécurité Etudes de case pratriques sur des maquettes réels

Education
1 of 12
Sécurité Informatique Politique de sécurité, de l’Analyse des risques vers la Sécurité Web Mr Maddouri Faouzi Universitaire [INSAT] Auditeur Certifié ANSI Consultant Expert Faouzi.Maddouri@yahoo.frFaouzi.Maddouri@yahoo.fr
Mr Maddouri Faouzi - Copyright 2016 © 2 Objectifs Maîtrise de la démarche (Enjeux) Audit de sécurité Normes Avoir une idée sur les outils logiciels Avoir une idée sur les architectures sécurisées et leurs composants
Mr Maddouri Faouzi - Copyright 2016 © 3 Planning  Durée : 3h  #Séances : 3  Pauses : 2x15mn  Support : papier + documents numériques  Méthodologie: Notions et concepts Ateliers pratiques Pré évaluation Post-évaluation
Mr Maddouri Faouzi - Copyright 2016 © 4 Plan  Définitions  SI (D+T+E+H)  SII  Sécurité, ISMS, RIAMS, RSSI  ROSI, AO, AP, AT, AR  Menaces, Hacking, cracking  Aspects de la sécurité et services  Confidentialité  Intégrité  Disponibilité  Non Répudiation  Solutions Techniques:  Chiffrement  Signature Numérique  Identif./Authentification  Solutions de Haute disponibilité  Redondance, Clustériser  VPN  Solutions Organisationnelles  Audit  Analyse des risques  Veuille et surveillance
Mr Maddouri Faouzi - Copyright 2016 © 5 Plan (suite)  Processus de sécurisation  Audit  Implémentation  Analyse des risques  Modèle PDCA  Planifier  Implémenter  Vérifier  Agir  Nécessités/Enjeux :  vérification continue  Approbation externe (audit)  Référentiels, standards et normes  Méthodologies
Mr Maddouri Faouzi - Copyright 2016 © 6 Plan (suite)  Types d’audit  Interne  Externe  Tierce partie (accréditation)  Niveaux d’audit  Organisationnel  Physique  Logique (technique)  Méthodologies d’audit  MEHARI  MARION  eBIOS  GAE  Méthodologies d’analyse de risques  SASA
Mr Maddouri Faouzi - Copyright 2016 © 7 Plan (suite)  Cadre juridique  Loi N° 5-2004, Fév 2004  Décret N°2004-1248, 1249 et 1250 du 25-Mai-2004 : Organisation de l'ANSI,Organisation de l'ANSI, Conditions de CertificationConditions de Certification des Auditeurs, et Systèmesdes Auditeurs, et Systèmes Informatiques audiblesInformatiques audibles  Décret N°97-389 du 21- Fevrier-1997 modifié et N°1226 et 1227 du 31-Mai- 2004 : Organisation etOrganisation et fonctionnement desfonctionnement des archives nationalesarchives nationales  Loi organique N°2004-63 du 27-Juillet-2004 : ProtectionProtection des données a caractèredes données a caractère personnelpersonnel  Normes  ISO 19011  BS 7799BS 7799  ISO 17799  ISO 27001  QuestionnaireQuestionnaire
Mr Maddouri Faouzi - Copyright 2016 © 8 Plan (suite - Sécurité logique)  MenacesMenaces  Codes malveillants :  Virus, Vers  Bombes logiques  Mochards/espiogiciels  Cheval de Troi-troyen (back- door)  Spam  Adwar  Attaques :  Intrusions  Deny Of Services (DoS)  Usurpation  Interposition  Empoisonnement(spoofing)  Espionnage/ecoute(sniffing)  Sources d’attaquesSources d’attaques  ExterneExterne  InterneInterne  VulnérabilitésVulnérabilités  Défaillance IIS  TCP three-way handshake  TCP Flood attack  NFS i-noeud attack  DoS et DDoS
Mr Maddouri Faouzi - Copyright 2016 © 9 Plan (suite - Sécurité logique)  Architectures de sécurité  DMZ  Intranet  Extranet  ZA  Réseau périphérique  Réseau Partenaire  Topologies Bastion  Cache et NAT/PAT  SNAT et DNAT  SPAT et DPAT  ACL  VLAN’s  Proxy, Reverse-Proxy, pot de miel (honey Pots)  Firewalls  Protocolaires/contenu  Matériel/Logiciel  Sondes(IDS,HIDS,NIDS)  Analyseurs Antivirus  Supervision et analyse réseau et logs système  Mises à Jours AntiV+S.E.
Mr Maddouri Faouzi - Copyright 2016 © 10 Conclusion  Pas de sécurité absolue  Pas sécurité définitive  La sécurité est coûteuse Cibler l’investissement de sécurité Minimiser l’impact (durée+dommages)  Le SI est en changement continue  Les Menaces évoluent  Les failles/vulnérabilités existent-se multiplient La Sécurité est un travail continue Nécessité d’un système de suivie : ISMS+RIAMS
Mr Maddouri Faouzi - Copyright 2016 © 11 Bibliographie-Webographie  Agence Tunisienne de la sécurité informatique www.ansi.tn  Club de la Sécurité de l'Information Français www.clusif.asso.fr  Club des développeurs francophones www.developpez.com  Cryptographie Théorieet pratique, Douglas STINSON,Int. THOMSON Pub. Paris, 1996.  Cryptography in C and C++, Michael Welschenbach,Apress, Berkely, 2001.  Sécurité Internet pour l’entreprise Pare-feux et au-delà, Terry Bernstein, Anish B. Bhimani, Eugene Schultz & Carol A. Siegel, WILEY. Paris, 1997.
Mr Maddouri Faouzi - Copyright 2016 © 12 Merci pour votre attention.. Bonne chasse..

Recommended

Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...
Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...
Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...
Faouzi Maddouri
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
polenumerique33
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 

Recommended

Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...
Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...
Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y p...
Faouzi Maddouri
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
polenumerique33
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Mécanismes de sécurité
Mécanismes de sécuritéMécanismes de sécurité
Mécanismes de sécurité
Ghazouani Mahdi
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
Sylvain Maret
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
SOCIALware Benelux
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
ALTITUDE CONCEPT SPRL
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v21 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
Sylvain Maret
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
Sylvain Maret
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
JUNIOR SORO
 
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
CERTyou Formation
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
Johan Moreau
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)
YousraChahinez
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
alexartiste
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle Electronique
Sylvain Maret
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sébastien Rabaud
 

More Related Content

What's hot

1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v21 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
 
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
CERTyou Formation
 

What's hot (19)

Mécanismes de sécurité
Mécanismes de sécuritéMécanismes de sécurité
Mécanismes de sécurité
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v21 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
 
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
Jips formation-decouvrir-les-fonctionnalites-de-junos-intrusion-prevention-sy...
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 

Similar to Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web

La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle Electronique
Sylvain Maret
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sébastien Rabaud
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
CloudAcademy
 
Intervention de Cybersécurité en BTS SIO
Intervention de Cybersécurité en BTS SIOIntervention de Cybersécurité en BTS SIO
Intervention de Cybersécurité en BTS SIO
MauriceLambert1
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
CERTyou Formation
 

Similar to Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web (20)

IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle Electronique
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014
 
Open source-si
Open source-siOpen source-si
Open source-si
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Windows 10 - Nouvelles menaces et nouvelles réponses
Windows 10 - Nouvelles menaces et nouvelles réponsesWindows 10 - Nouvelles menaces et nouvelles réponses
Windows 10 - Nouvelles menaces et nouvelles réponses
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Intervention de Cybersécurité en BTS SIO
Intervention de Cybersécurité en BTS SIOIntervention de Cybersécurité en BTS SIO
Intervention de Cybersécurité en BTS SIO
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 

Recently uploaded

Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
ikospam0
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
AmgdoulHatim
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
Faga1939
 

Recently uploaded (18)

COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdfCOURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
 
Chapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon CoursChapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon Cours
 
L application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptxL application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptx
 
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projetFormation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
 
Computer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptxComputer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptx
 
Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.
 
La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film français
 
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
 
Apolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaireApolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaire
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film français
 
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
 
Les roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptxLes roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptx
 
Formation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptxFormation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptx
 
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
 

Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web

  • 1. Sécurité Informatique Politique de sécurité, de l’Analyse des risques vers la Sécurité Web Mr Maddouri Faouzi Universitaire [INSAT] Auditeur Certifié ANSI Consultant Expert Faouzi.Maddouri@yahoo.frFaouzi.Maddouri@yahoo.fr
  • 2. Mr Maddouri Faouzi - Copyright 2016 © 2 Objectifs Maîtrise de la démarche (Enjeux) Audit de sécurité Normes Avoir une idée sur les outils logiciels Avoir une idée sur les architectures sécurisées et leurs composants
  • 3. Mr Maddouri Faouzi - Copyright 2016 © 3 Planning  Durée : 3h  #Séances : 3  Pauses : 2x15mn  Support : papier + documents numériques  Méthodologie: Notions et concepts Ateliers pratiques Pré évaluation Post-évaluation
  • 4. Mr Maddouri Faouzi - Copyright 2016 © 4 Plan  Définitions  SI (D+T+E+H)  SII  Sécurité, ISMS, RIAMS, RSSI  ROSI, AO, AP, AT, AR  Menaces, Hacking, cracking  Aspects de la sécurité et services  Confidentialité  Intégrité  Disponibilité  Non Répudiation  Solutions Techniques:  Chiffrement  Signature Numérique  Identif./Authentification  Solutions de Haute disponibilité  Redondance, Clustériser  VPN  Solutions Organisationnelles  Audit  Analyse des risques  Veuille et surveillance
  • 5. Mr Maddouri Faouzi - Copyright 2016 © 5 Plan (suite)  Processus de sécurisation  Audit  Implémentation  Analyse des risques  Modèle PDCA  Planifier  Implémenter  Vérifier  Agir  Nécessités/Enjeux :  vérification continue  Approbation externe (audit)  Référentiels, standards et normes  Méthodologies
  • 6. Mr Maddouri Faouzi - Copyright 2016 © 6 Plan (suite)  Types d’audit  Interne  Externe  Tierce partie (accréditation)  Niveaux d’audit  Organisationnel  Physique  Logique (technique)  Méthodologies d’audit  MEHARI  MARION  eBIOS  GAE  Méthodologies d’analyse de risques  SASA
  • 7. Mr Maddouri Faouzi - Copyright 2016 © 7 Plan (suite)  Cadre juridique  Loi N° 5-2004, Fév 2004  Décret N°2004-1248, 1249 et 1250 du 25-Mai-2004 : Organisation de l'ANSI,Organisation de l'ANSI, Conditions de CertificationConditions de Certification des Auditeurs, et Systèmesdes Auditeurs, et Systèmes Informatiques audiblesInformatiques audibles  Décret N°97-389 du 21- Fevrier-1997 modifié et N°1226 et 1227 du 31-Mai- 2004 : Organisation etOrganisation et fonctionnement desfonctionnement des archives nationalesarchives nationales  Loi organique N°2004-63 du 27-Juillet-2004 : ProtectionProtection des données a caractèredes données a caractère personnelpersonnel  Normes  ISO 19011  BS 7799BS 7799  ISO 17799  ISO 27001  QuestionnaireQuestionnaire
  • 8. Mr Maddouri Faouzi - Copyright 2016 © 8 Plan (suite - Sécurité logique)  MenacesMenaces  Codes malveillants :  Virus, Vers  Bombes logiques  Mochards/espiogiciels  Cheval de Troi-troyen (back- door)  Spam  Adwar  Attaques :  Intrusions  Deny Of Services (DoS)  Usurpation  Interposition  Empoisonnement(spoofing)  Espionnage/ecoute(sniffing)  Sources d’attaquesSources d’attaques  ExterneExterne  InterneInterne  VulnérabilitésVulnérabilités  Défaillance IIS  TCP three-way handshake  TCP Flood attack  NFS i-noeud attack  DoS et DDoS
  • 9. Mr Maddouri Faouzi - Copyright 2016 © 9 Plan (suite - Sécurité logique)  Architectures de sécurité  DMZ  Intranet  Extranet  ZA  Réseau périphérique  Réseau Partenaire  Topologies Bastion  Cache et NAT/PAT  SNAT et DNAT  SPAT et DPAT  ACL  VLAN’s  Proxy, Reverse-Proxy, pot de miel (honey Pots)  Firewalls  Protocolaires/contenu  Matériel/Logiciel  Sondes(IDS,HIDS,NIDS)  Analyseurs Antivirus  Supervision et analyse réseau et logs système  Mises à Jours AntiV+S.E.
  • 10. Mr Maddouri Faouzi - Copyright 2016 © 10 Conclusion  Pas de sécurité absolue  Pas sécurité définitive  La sécurité est coûteuse Cibler l’investissement de sécurité Minimiser l’impact (durée+dommages)  Le SI est en changement continue  Les Menaces évoluent  Les failles/vulnérabilités existent-se multiplient La Sécurité est un travail continue Nécessité d’un système de suivie : ISMS+RIAMS
  • 11. Mr Maddouri Faouzi - Copyright 2016 © 11 Bibliographie-Webographie  Agence Tunisienne de la sécurité informatique www.ansi.tn  Club de la Sécurité de l'Information Français www.clusif.asso.fr  Club des développeurs francophones www.developpez.com  Cryptographie Théorieet pratique, Douglas STINSON,Int. THOMSON Pub. Paris, 1996.  Cryptography in C and C++, Michael Welschenbach,Apress, Berkely, 2001.  Sécurité Internet pour l’entreprise Pare-feux et au-delà, Terry Bernstein, Anish B. Bhimani, Eugene Schultz & Carol A. Siegel, WILEY. Paris, 1997.
  • 12. Mr Maddouri Faouzi - Copyright 2016 © 12 Merci pour votre attention.. Bonne chasse..