Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)

Slides:



Advertisements
Présentations similaires
Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)
Advertisements

Projet de fin d'étude pour l'obtention du Diplôme Nationale d'Ingénieur en Informatique Conception et développement des modules de GED pour l’ indexation.
PREUVE DE CONCEPT POUR LES TRANSMISSIONS POSTE-A-POSTE DES ENTREPRISES ET DES INDIVIDUS Étudiant : Jean ANDRÉ Programme : Maîtrise en génie logiciel -
Cloud computing Présenté par Robert Ogryzek, Teddy Frontin, Kevin Lambert et Matthew Cronne.
Comment ça marche ? Les sciences pour répondre aux questions de notre société Santé Alimentation Énergie Habitat Sciences de l'Ingénieur.
Xen et l' Art de la Virtualization Antoine Nivard Responsable technique Adéquat région Ouest Responsable de Site francophone de XEN Computer.
Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.
Les besoins des entreprises en matière de maîtrise de leur S.I Les performances Métiers Le bon fonctionnement des Infrastructures Le dimensionnement des.
Réalisé par Ghribi Encadrés par M. (Suptech) M. (YAZAKI) 2014/2015 Projet de fin d’étude.
Windows NT/2000/XP Enjeux et contraintes techniques
LA SURETE DANS L' ENTREPRISE Intervention du
Licence Informatique DEVELOPPEUR ANDROID
Haute École Roi Baudouin CATÉGORIE ÉCONOMIQUE INFORMATIQUE DE GESTION
Bilan des travaux de la commission
Transformation digitale: Enjeu majeur pour les entreprises marocaines.
Evaluer par compétences
E.R.P. ou Progiciels de Gestion Intégrés
Les P G I Les Progiciels de Gestion Intégrés
Dominique PETRELLA – Frédéric GUINEPAIN - IA-IPR STI Versailles
Les axes directeurs de la rénovation
Gestion de projet: Quelques notions clés
BILAN D’ACTIVITES SEMESTRIEL 2014
Information et Système d’Information
BTS PILOTAGE de PROCÉDÉS
Vers une nouvelle gouvernance de la donnée personnelle
Brief de présentation.
Le stage informatique de l'IPN
BYOD (Bring your own device à traduire par AVEC Apportez votre équipement (personnel) de communication commence à se pratiquer, notamment en économie et.
«Trait d’Union-Sécurité »
Les Pare-Feu.
Les processus métiers : concepts, modèles et systèmes Claude Godart Université de lorraine. Esstin
Conception et développement d’une application web pour la gestion d’un tour opérateur Réalisé par : Mohamed Yosri YAHYAOUI Encadrés par: El Ayeb Faycel.
Module 1 : Introduction à l'infrastructure Active Directory.
P.Baracchini, La norme international OHSAS et la directive MSST Gérer la santé et la sécurité au travail.
Les applications de groupware
Hajri khalil Seyah mohamed Aziz El aid Oussama Mejri abir
PROJET FAIR Critères de responsabilité d’une innovation dans les services bancaires et d’assurance.
Najib ABEKIRI Safouane ELKOUIRI Définition d'internet des objets Les caractéristiques d’un objet connecté Les composantes d’un système IdO Les risques.
CYFORPRO Cyber Formation & Protection
GOUVERNANCE DES SYSTEMES D’INFORMATION IS governance.
Conception des SIG Entre construction théorique et mise en œuvre opérationnelle.
CONCEPTION D’UNE BASE DE DONNEES INTERACTIVE ENTRE LA DEPP ET LES AGENCES URBAINES Mai 2012 DIRECTION DES ETABLISSEMENTS PUBLICS, DU PARTENARIAT ET DE.
Expose : Web Application Firewall.
Plan d'urbanisation Version / 02 / Nov Mai 2013 Passation des marchés Sommaire Une vision unifiée de l'urbanisation et de l'approche.
1 IPSec : IP Security Protocole fournissant un mécanisme de sécurisation au niveau IP. RFC 2401 concernant IPSEC RFC 2402 concernant le mode AH (authentification)
CONCEPTION D’UN SYSTÈME INTELLIGENT DE MANAGEMENT D’UNE FLOTTE DE VEHICULES
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
L'impact de l'utilisation des technologies de l'information sur les professionnels de la comptabilité et de la finance Notes:
Mise en place d’une gestion de type ERP
17 mars 2015.
Exposé de système / réseaux IR3
La BOURSE aux idées aux besoins aux expertises.
Le département QIF Qualité, Innovation, Fiabilité
PESTEL Le diagnostic PESTEL. Points à traiter ⊸ Définition de l’outil ⊸ Utilisation ⊸ Forces et Faiblesses ⊸ Conclusion.
Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)
École Supérieure des Communications de Tunis AST
Formation des formateurs en Gouvernance de l’Internet FFGI
Adressé au panel des juges
Nicolas BRESSAND SIT MAZAGAN 11/05/2016
SCIENCES DE GESTION ET NUMERIQUE – 1ère STMG
PLATE FORME DE GESTION ÉLECTRONIQUE DE DOCUMENTS Présenté par: Amine LARIBI.
Le sol et ses mystères Compétences disciplinaires
Objectif éduquer au développement durable en quelques tableaux
Design, innovation et créativité
ADMINISTRATION NUMERIQUE
Innovation et son rôle dans l‘entreprise Préparé par : Mariem Bransi Sihem … Classe :
Business Intelligence en ACube OLAP et Reporting avec ACubeOLAP et GRaM.
UX DESIGN User exprérience en anglais Expérience Utilisateur en français Concevoir, Créer, dessiner UX DESIGN, consiste à penser et concevoir un site web.
Transcription de la présentation:

Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)

Référentiel de compétences Réseaux-Sécurité (1/2) (2016)

Référentiel de compétences Réseaux-Sécurité (2/2) (2016)

Rappels : quelques protocoles de base... Ethernet, HDLC, PPP, (R)ARP, IP, UDP, TCP, ICMP, SNMP, routage, authentification, IPSEC, ATM, POP, SMTP, HTTP, TELNET, NFS, DNS et algos : DES, RSA, MD5, SHA… L’objectif n’est pas de connaître ces protocoles par cœur mais de connaître leur structure et de comprendre leurs fonctionnalités et limitations

Application réseau / système réparti = système complexe (I) Concevoir une application réseau est un assemblage complexe comprendre les besoins installer - réserver les tuyaux (dimensionnement) structurer l’application patrons de sécurité (security patterns) sous-réseaux - réseaux virtuels - plan d’adressage tolérance aux fautes tolérance aux catastrophes survivabilité sécuriser l’application mécanismes d’authentification cryptage gestion de droits (autorisations) pare-feux - réseaux virtuels – VLAN - etc.

Application réseau = système complexe (II) définir les protocoles architecture logicielle schémas de communication librairie de communication algorithmique interfacer l’application interface systèmes sous-jacents (archives, SGBD, serveurs de noms, serveurs « sécurité », moteurs transactionnels…) administrer l’application architecture d’administration outils d ’administration, monitoring

KISS : Keep It Simple and (a bit) Stupid Transparence Le Graal des systèmes répartis La condition de leur utilisation Solutions et outils génériques Tolérance aux fautes et gestion de la qualité de service KISS : Keep It Simple and (a bit) Stupid Everything should be made as simple as possible [as it can be], but not simpler (A. Einstein)

Sécurité – Que retenir ? Une notion de base : le risque Toutes les informations/tous les sous-systèmes n’ont pas la même valeur Toutes les informations/tous les systèmes ne sont pas exposés aux mêmes menaces Risque = analyse « valeur vs menace » Rappel : définition ISO 31000-2009 : « Le risque est l’effet de l’incertitude sur les objectifs » Valeur/Menace/Risque ne sont pas des données statiques ; elles dépendent des processus métiers et de l’environnement et évoluent avec eux

Sécurité – Que retenir ? Menaces Comprendre les menaces et le fonctionnement de base des attaques Analyser les risques, c’est-à-dire relier structure du système et menaces/attaques Concevoir /Structurer un système en vue de minimiser les risques… tout en garantissant sa performance (fonctionnalités, facilité d’utilisation, évolutivité, tolérance aux fautes/robustesse, coût…) (minimiser l’impact sur les processus métier !)

Sécurité – Que retenir ? Outils pour la sécurité Outils méthodologiques : savoir que cela existe, en comprendre le principe et l’utilité Outils techniques : authentification/signature, certificats, contrôle d’accès, pare-feux, VLAN, VPN, etc. : en connaître les principes, les fonctionnalités, les utilisations, les limites Ce ne sont que des outils. L’« intelligence » et l’efficacité résident surtout dans la bonne utilisation de ces outils (sélection, intégration, coordination, placement, paramétrisation…)

Rappel - Sécurité : idées de base (I) Mettre en place une politique globale de gestion du risque Séparer les fonctions Minimiser les privilèges Centraliser les changements Cerner les IHM Mettre en place de plans de sauvegarde et de reprise

Rappel - Sécurité : idées de base (II) Cibler les éléments vitaux/essentiels Utiliser des techniques de conception et de programmation standardisées Monitorer l’ensemble des éléments de l’entreprise : systèmes informatiques, réseaux, personnel (traçabilité) Informer et former les personnels

Rappel - Sécurité : synthèse Sécurité = compréhension du fonctionnement de l’entreprise + de la méthodologie + un peu de technique + du bon sens + de la sensibilisation Il existe des outils puissants mais aussi beaucoup de failles de sécurité Outils techniques : IP secure, VLAN, VPN, IDS, pare-feux, DLP, ERM… Outils méthodologiques : PSSI, SMSI, security patterns, survivabilité, confiance, réputation… Passage d’une logique de « piratage » par un individu à un spectre composite de menaces : espionnage industriel et militaire, surveillance, criminalisation et mafia, attaques à grande échelle, cyberguerre Le facteur humain est central Complexification : « entreprise ouverte », externalisation, « cloudification », BYOD, botnets, « advanced persistent threats (APT) », « advanced evasion techniques (AET) »… Nécessité d’une prise en compte globale au niveau de l’entreprise Stuxnet : attaque des systèmes SCADA Siemens. Voir aussi Duqu (en partie lié à Stuxnet), Flame, Gauss. Advanced evasion techniques : utilisées pour rendre inopérants les FW et IDS afin de pouvoir lancer une attaque sans crainte de détection.

Rappel – Sécurité : retour à l’introduction (Le Monde, 3/2/2015) 6 questions fondamentales selon J. Evans (HSBC) Quels sont les données et les process critiques pour l’entreprise ? Qui peut menacer ces actifs (concurrent, Etat, consommateur…) ? Quel degré de risque accepte-t-on ? Qui doit gérer ce[s] risque[s] ? [Ces risques sont-ils] pris en compte dans les projets de développement ? Les fournisseurs ont-ils la même démarche 0,01% à 2% des données des entreprises seraient réellement critiques (Commission sur le vol de PI, Etats-Unis) « La cybersécurité est une question humaine avant d’être technologique »

Nouvelles frontières Informatique multi-échelle : de l’objet (du composant d’objet) au cloud Informatique partout ― Informatique pervasive BYOD Internet des objets – Cloud-IoT – Edge computing – Fog compuritng Informatique « user-centric » Informatique « business-centric » Ecosystèmes numériques Blockchain => systèmes de plus en plus ouverts... mais collaboratifs => forte évolution des risques et menaces => vers une « sécurité collective » : notion de confiance et de réputation => concepts de (protection de la) vie privée/confidentialité interrogés => notion d’identité/de « moi » numérique

Conclusion Votre rôle : comprendre-assembler-organiser-intégrer des solutions « vivantes » Numérisation de la société : un horizon créatif sans limite mais de nouveaux risques émergents intelligence économique dépendance au SI et risque systémique cyber-attaques traçage des personnes, conditionnement/influence/contrôle/surveillance des personnes, « Primum non nocere » (D’abord, ne pas nuire) ! Interrogez-vous sur les conséquences et risques de vos solutions (sur les processus métier de l’entreprise, sur l’organisation de l’entreprise, sur les performances du système impacté, en terme de respect de la vie privée des personnes, en terme de résistance aux attaques et dysfonctionnements… ) Derrière les réseaux, vivent des personnes : soyez des ingénieurs humanistes :-) !

Global State of Information Security Survey 2016 (PWC) Exactement, votre profil  !

Merci  !

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.