|
|
 |
 |
Dates of the coming sessions:
 29-30 April 2010 (Paris)
23-24 September 2010 (Paris)
Dates subject to modification without prior notice.
The sessions will only take place if the number of registered attendants is high enough.
|
|
|
Goals
Duration
2 days.
Instructor(s)
Pre-requisite for attendants
Teaching method
Lecture, with numerous examples of practical applications.
Related courses
Material
Agenda
Jour 1 :
- Introduction
- Contexte, objectifs, enjeux
- Risques et impacts métier
- Perte d'exploitation
- Chantage au déni de service
- Usurpation de comptes clients
- Détournement de facturation
- Sortie d'information sensible vers la concurrence
- Départ ou complicité de personnel stratégique
- Atteinte à l'image
- Fuite interne d'information RH
- "Defacement" du site web institutionnel
- "Phishing" (hameçonnage)
- Risques juridiques
- Hébergement illicite involontaire
- Utilisation frauduleuse du SI interne et traçabilité
- Limites du droit de l'employeur à surveiller l'activité du salarié (gestion des incidents)
- Solutions de sécurité
- rappels techniques
- protocoles réseau (IP, TCP, UDP, ICMP, IPsec)
- protocoles "lien" (Ethernet, ARP, 802.x, LAN, VPN, MPLS)
- exemple de protocole applicatif : HTTP(s)
- passerelles d'authentification
Jour 2 :
- Sécurité des réseaux et firewalls (grands principes)
- Cloisonnement et filtrage IP
- Objectifs, enjeux et principes
- Equipements et limites
- Exemple HSC d'attaque réussie (IP-spoofing sur contrôleur de domaine Windows)
- Relayage applicatif
- Objectifs, enjeux et principes
- Equipements et limites
- Exemple HSC d'attaque réussie (contournement de filtrage d'URL)
- Architecture sécurisée
- Objectifs, enjeux et principes
- Equipements et limites
- Exemple HSC d'attaque réussie (shell distant par un flux DNS de l'intérieur vers l'extérieur)
- DMZ : les bonnes pratiques
- Exemples précis de flux réseaux : matrice des flux, illustration schématique
- Applications concrètes
- Virtualisation
- Datacenters
- ToIP
- Sécurité des applications
- Attaques classiques et retour d'expérience HSC
- Fonctionnement des attaques Web classiques (injections SQL, XSS, CSRF)
- Serveurs Web, SSO
- Webservices et flux XML
- Attaques spécifiques : recherche WSDL et énumération de méthodes, déni de service
- Solutions de chiffrement (WS-Security)
- Solutions de filtrage (Firewall XML)
- Sécurité du navigateur (vulnérabilités Flash, Adobe, ActiveX)
- Sécurisation
- Gestion des droits et des accès, stockage des mots de passe
- Exemple HSC d'attaque réussie
- Fédération des identités (SSO)
- Avantage et dangers du SSO
- Exemple d'attaque SSO
- Bonnes pratiques de développement
- Veille en vulnérabilité
- Gestion des vulnérabilités techniques
- Critères de choix d'une solution de sécurité
- Panorama du marché et vocabulaire du marketing
- Produits et services
- Tests intrusifs et audits techniques de sécurité
- La gestion de la sécurité dans le temps
- Gestion des tiers (fournisseurs de service, prestataires, clients et partenaires)
- Comprendre et utiliser un rapport de test intrusif ou d'audit technique de sécurité
- Audits de sécurité et conformité
- Marché de la certification en SSI (produits, services et systèmes de management)
- Conclusion
 |
Methods of inscription
For registering an HSC course, please contact our training department by phone : +33 141 409 704
or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number.
Thoses informations enable us to send your the training agreement.
The training agreement must be return agreed with signature and company
stamp with you purchase order, at least 6 days before the course. The
purchase order should precise your billing address and our payment
regulations : net 30 days from our invoice date.
Registration is completed as soon as we received those two documents.
|
