Gestion des Identités et des Accès

	Voir aussi...  Organisation des formations  Planning des formations inter-entreprises  Sécurité Internet/intranet  Formation RSSI  Gestion des mesures de sécurité et norme ISO 27002  Fonctionnement des PKI
Objectifs  Durée  Formateur(s)  Public visé et prérequis  Méthode pédagogique  Cours associés  Support  Plan  Modalités d'inscription

	Dates des prochaines sessions : 1-3 mars 2010 (Paris) 27-29 septembre 2010 (Paris) Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.

Gestion des identités, annuaire partagé, IAM, role-based-management, etc, facile à dire et entendu partout... Mais quand votre décision sera prise il ne vous restera plus qu'à :

• comprendre, s'approprier
• expliquer,
• convaincre,
• architecturer, dimensionner,
• financer,
• choisir une solution technique,
• organiser, encore expliquer, encore convaincre, désigner, sensibiliser, former ...

La formation "Gestion des Identités et des Accès" conçue par Phorcys (www.phorcys.fr) et HSC vous permet de disposer des moyens en terme de méthode et d'approche pour définir et justifier le juste besoin de votre organisme en matière de gestion des identités et des accès, d'en évaluer les conditions de réalisation, lotissement, chiffrage et planification, et d'en optimiser les chances de succès.
Des exercices réalistes et des études de cas réels sont proposés en séance pour une parfaite appropriation de ces moyens.

3 jours.

La formation est dispensée par

• Thierry Durand, Phorcys, précédemment responsable du référentiel unique chez Peugeot il a jeté les bases de ce qui est devenu la gestion des identités et des accès chez Peugeot.
  Certifié ISO 27001 Lead Auditor et ISO 27001 Lead Implementer par LSTI
• Emeric Laroche (Emeric.Laroche@hsc.fr)

Cette formation s'adresse aux RSSI, DSI et à tous les chefs de projet sécurité ou gestion des identités, ainsi qu'aux auditeurs de ces derniers et aux responsables métier.
Des connaissances de base en informatique sont souhaitables.

Cours magistral illustré d'exemples pratiques et réels, complété par des exercices réalisés individuellement ou en groupe.

Fonctionnement des PKI

• Jour 1
• Le Paysage
• Définition
• Finalité de la gestion des identités
• Finalité de la gestion des accès
• Logique et physique
• Hier opposés... et maintenant
• Concernent-ils les mêmes populations ?
• Responsabilités
• Pourquoi veut-on gérer tous ces gens ?
• D'où viennent-ils ?
• Une première approche du "vrai" besoin ?
• Limites
• Les lois européennes sur le respect de la vie privée
• Les lois et contraintes normatives (LSF, BâleII, SOX, ISO 27001,...)
• Les requêtes de justice (commisssions rogatoires, enquêtes de police,...)
• Le besoin
• Où sont les risques
• Les biens concernés
• Leurs vulnérabilités, les contraintes associées, les règlements imposés
• Les menaces réelles ou supposées
• De qui parle-t-on ?
• L'individu
• Le contrat nominatif
• Le contrat de prestation ou commercial
• Le juste besoin d'en connaitre
• Quels moyens de connaître ce "juste besoin"
• Comment finaliser les attributs de chaque population
• Comment organiser des groupes homogènes gérables et limités
• Compatibilité avec les normes et les contraintes réglementaires
• Quel suivi
• Jour 2
• Exercice : Analyse du besoin
• L'implémentation
• Les vraies limites de la connaissance... et de la responsabilité
• Des gens connus
• Des gens inconnus
• Qui connait qui ?
• Faut-il "gérer" les visiteurs ?
• L'accostage avec les systèmes en place
• Le système RH
• Les outils de contrôle d'accès physique, logique,...
• Les systèmes de gestion des achats
• Le système de gestion des plans de prévention
• La fédération des identités
• Mode ou réponse à un besoin ?
• Différents cas déjà en place
• Plus ou moins de sécurité ?
• Conformité aux normes et aux lois ?
• La technologie suit-elle ?
• Identité... mais aussi rôle ?
• Les normalisations "métiers"
• Une vraie question : le périmètre
• Physique, en termes d'établissements, de zone...
• Logique, en termes de Systèmes d'information, de type d'accès
• Fonctionnel en termes de finalité
• Normatif, vis à vis du périmètre du SMSI (ISO 27001)
• Confiant, en termes de qualité d'authentification
• Exercice : définition du périmètre
• L'implémentation
• Tableaux de bord et indicateurs
• Ce qu'il faut tracer, ce qu'il faut enregistrer
• Les exigences des normes
• Les indicateurs
• Les tableaux de bord
• Quelle implication dans les cycle PDCA du SMSI (ISO27001)
• Exercice : Tableau de bord et indicateurs
• Les points complémentaires
• L'identification, signifiante ou non, code, adresse ou nom
• Le SSO
• Les moyens d'authentification, l'authentification forte
• Les procédures de dépannage et de diagnostic
• Les extensions applicatives
• Mettre à jour les annuaires de contrôle d'accès
• Les contrôles d'accès, l'exercice du droit, les traces
• La biométrie
• Définition de la biométrie
• Pourquoi la biométrie
• Les limites juridiques de la biométrie (de l'empreinte digitale à la trace ADN,...)
• Les techniques
• Les technologies et leurs limites
• Où conserver les données ?
• Comment valider les données ?
• Et ensuite, les liens vers l'applicatif
• Quelques cas concrets
• Un projet technique sans système de management (industrie)
• Des avantages (délai de mise en oeuvre, coût de réalisation, impact organisationnel limité)
• Des écueils (pas de vue d'ensemble à terme, un projet jamais terminé, pas d'indicateurs de suivi)
• Un risque avéré (une réalisation jetable, pas d'implication suffisante des décideurs, des priorisations sans valeur)
• Un bilan dur (coût de maintenance croissant, incapacité à évoluer, un chef d'oeuvre en péril)
• Une réconciliation inespérée (banque)
• Une estimation exorbitante (nombre d'utilisateurs, pas de référentiel en place, une mémoire d'entreprise perdue)
• Une méthode impossible (centralisation de la démarche, concentration des coûts)
• Une technique improbable (répartition de la charge, bénéfice utilisateur, un chantier d'adhésion et fondateur)
• Jour 3
• L'état de l'art
• Des réflexions, des études, des initiatives
• Commission Européenne, CNIL, Liberty Alliance, OASIS...
• Des acteurs, des solutions techniques et logicielles
• Un pionnier
• Des assemblages
• Des manques et des faiblesses
• Des architectures
• Méta versus Provisionning
• Quelles références, quelles fiabilités
• Des standards
• Un peu de technique
• Introduction
• Le concept d'annuaire
• Principes de base
• identification
• authentification
• gestion des accès
• gestion des identifications
• LDAP
• Du protocole...
• ... à l'annuaire
• Mécanismes de chiffrement et d'authentification (SASL)
• Architecture
• Avantages et inconvénients
• AD
• Protocoles
• Annuaire
• Structure
• Architecture
• Avantages et inconvénients
• Point sur la sécurité
• Conclusion

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 6 jours ouvrés avant la formation. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.