Formations sécurité informatique
Certifications sécurité informatique
AKAOMA Consulting vous propose différents cursus et cours de formation en sécurité informatique selon vos besoins. Consultez notre liste, accédez à des descriptions détaillées sur notre site internet.
Bonne formation! ;-)
• Risques
• Attaques, services et mécanismes
• Les attaques
• Services de sécurité
• Mécanismes de défense
• Politique de sécurité
• Architectures de sécurité
Gestion des risquesGestion des risquesGestion des risquesGestion des risquesGestion des risquesGestion des risquesGestion des risques
Formations sécurité informatique
Certifications sécurité informatique
AKAOMA Consulting vous propose différents cursus et cours de formation en sécurité informatique selon vos besoins. Consultez notre liste, accédez à des descriptions détaillées sur notre site internet.
Bonne formation! ;-)
• Risques
• Attaques, services et mécanismes
• Les attaques
• Services de sécurité
• Mécanismes de défense
• Politique de sécurité
• Architectures de sécurité
Gestion des risquesGestion des risquesGestion des risquesGestion des risquesGestion des risquesGestion des risquesGestion des risques
La sécurité dans un monde principalement mobile et Cloud.
Azure Active Directory
Protégez votre entreprise grâce à la gestion des identités et des accès dans le Cloud.
- Protection avec Windows 10.
- Office 365 Sécurité.
Authentification Multi-facteurs
Mobile Device Management
Rights Management
Data. Loss Prevention
Anti-malware / Anti-spam
Détection d’anomalies
Rapports d’activité
Remédiation (reset password, lock account, wipe device)
Contrôle sur le partage extérieur
- ATP : Sécurité avancée Messagerie
- Sécurité avancée des données AIP
- MDM Microsoft Intune
- Azure Security Center
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
Qu'est-ce qu'une Sécurité Informatique ?
Pourquoi la Sécurité Informatique?
Mise en œuvre d’une stratégie pour la Sécurité Informatique.
Concepts et Technologies: Cas Pratique
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.
Les cyberattaquesse multiplient chaque jour et nous sommes tous de potentielles victimes : Que faites-vous pour vous protéger ?, Prenez-vous les mesures nécessaires ? Syneidis vous invite à lire cette présentation où nous vous expliquons comment gérer vos informations confidentielles facilement et en toute sécurité. Si vous voulez en savoir en plus, cliquez sur cette page pour accéder à notre Whitepaper. https://bit.ly/2ys8p7i
La sécurité dans un monde principalement mobile et Cloud.
Azure Active Directory
Protégez votre entreprise grâce à la gestion des identités et des accès dans le Cloud.
- Protection avec Windows 10.
- Office 365 Sécurité.
Authentification Multi-facteurs
Mobile Device Management
Rights Management
Data. Loss Prevention
Anti-malware / Anti-spam
Détection d’anomalies
Rapports d’activité
Remédiation (reset password, lock account, wipe device)
Contrôle sur le partage extérieur
- ATP : Sécurité avancée Messagerie
- Sécurité avancée des données AIP
- MDM Microsoft Intune
- Azure Security Center
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
Qu'est-ce qu'une Sécurité Informatique ?
Pourquoi la Sécurité Informatique?
Mise en œuvre d’une stratégie pour la Sécurité Informatique.
Concepts et Technologies: Cas Pratique
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.
Les cyberattaquesse multiplient chaque jour et nous sommes tous de potentielles victimes : Que faites-vous pour vous protéger ?, Prenez-vous les mesures nécessaires ? Syneidis vous invite à lire cette présentation où nous vous expliquons comment gérer vos informations confidentielles facilement et en toute sécurité. Si vous voulez en savoir en plus, cliquez sur cette page pour accéder à notre Whitepaper. https://bit.ly/2ys8p7i
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
7. Copyright
Les Risques
Mesurés par la combinaison d’une menace et
des pertes qu’elles pourraient engendrées
Plusieurs éléments:
Méthode d’attaque
Éléments menaçants
Vulnérabilités des entités
9. Copyright
Les Objectifs
Protéger les données stockées ou en transit sur le
réseau contre :
modification (destruction) non autorisée
utilisation frauduleuse
divulgation non autorisée
Sécuriser l’accès aux systèmes, services et
données par :
vérification de l’identité déclinée par le requérant
gestion des droits d’accès et des autorisations
13. Copyright
Cryptographie: Clé
Asymétrique
Chaque communicant possède une paire de
clés associées : clé publique Kpb et clé privée
Kpv
Un message chiffré par l’une des clés
ne peut pas être déchiffré par cette même
clé
mais peut être déchiffré par l’autre clé de la
paire
14. Copyright
Cryptographie
La clé privée doit être conservée par son
propriétaire
Rien n’impose de la dévoiler à qui que ce
soit
La clé publique est diffusée sans restriction
idéalement avec un niveau de diffusion
comparable à l’annuaire téléphonique
Aucun moyen pratique de déduire l’une des
clés de la connaissance de l’autre clé
15. Copyright
Cryptographie : Avantages
Message chiffré avec la clé publique
• seul le propriétaire de la clé privée
correspondante peut en prendre
connaissance : confidentialité
• le receveur n’a aucune idée de
l’expéditeur puisque la clé publique
est accessible à tous
16. Copyright
Cryptographie : Avantages
Message chiffré avec la clé privée
• altération frauduleuse impossible car
nécessite la connaissance de la clé
privée : intégrité
• pas de confidentialité : la clé publique
peut être utilisée par tous pour lire
• la clé privée dévoile l’identité de
l’expéditeur
• propriétaire de la clé privée
17. Copyright
Cryptographie : Inconvénients
Algorithmes complexes et difficiles à
implémenter
Peu performant : long et gourmand en CPU
• 1000 plus lents que les algorithmes à
clés symétriques
Moins sûrs contre les attaques de « force
brute »
• nécessite des clés plus longues que les
algorithmes symétriques
18. Copyright
Cryptographie: le Hashage
Calcule un « condensé significatif » de taille
fixe, quelque soit la taille d’origine
irréversible : transformation inverse
impossible
déterministe : le même message produit le
même résumé
effets imprévisibles
L’intégrité du résumé significatif est une
garantie de l’intégrité du document d’origine
c’est une « empreinte digitale » du document
19. Copyright
Signature Electronique
Propriétés :
Ne peut être créée indépendamment
Sa validité peut être vérifiée par tous
• la clé publique est accessible librement
• les algorithmes utilisés sont connus
Elle révèle toute altération, frauduleuse ou
accidentelle
Falsification en principe impossible
• non-répudiation
20. Copyright
PKI (Public Key Infrastructure)
Ensemble des solutions techniques basées sur
la cryptographie à clé publique
Canal sécurisé inutile tiers de confiance CA
Signe clé publique
Assure véracité des informations
21. Copyright
PKI
Confiance directe
Modèle simple de confiance, l’utilisateur a
confiance dans la validité de la clé car il sait
d’où elle vient.
Confiance hiérarchique ou “arbre” de confiance
Le certificat est vérifié jusqu’à ce que le
certificat de type root soit trouvé.
Confiance décentralisée ou en réseau
Cumule des deux modèles.
22. Copyright
Complète les techniques de cryptographie par :
Les contrôles d’accès réseau (machines, serveurs)
• sur les paramètres utilisés pour l’établissement des
communications : adresses et ports, sens de la
connexion
• FIREWALL
Solutions et Dispositifs de Sécurisation :
Sécurité Architecturale
23. Copyright
Solutions et Dispositifs de
Sécurisation : Sécurité Architecturale
Des contrôles plus fins (et plus lourds) au niveau
du flot de données émis ou reçu par une
application
• serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
• SAS applicatifs spécialisés pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)
24. Copyright
Principaux standards :
S/MIME (Secured Multipurpose Internet Mail
Extensions)
• chiffrement et signature digitale (authentification et
confidentialité) des messages électroniques et
documents attachés au format MIME
• extension du standard d’interopérabilité MIME
Solutions et dispositifs de sécurisation :
Sécurité off-line
25. Copyright
Solutions et dispositifs de
sécurisation : Sécurité off-line
PGP (Pretty Good Privacy)
• système de cryptographie hybride (clés
symétriques et asymétriques)
• les données sont compressées puis
chiffrées pour économiser l’espace
disque.
• chaque utilisateur est sa propre autorité
de certification
XML (eXtensible Markup Language)
Signature
XML Encryption
26. Copyright
Protections assurées
attaque passive
attaque active
usurpation (émetteur)
répudiation (émetteur)
protection de bout en bout
Protections non assurées
usurpation (récepteur)
intrusion
répudiation (récepteur)
Solutions et dispositifs de sécurisation :
Sécurité off-line
27. Copyright
Principaux protocoles :
SSL/TLS (Secured Socket Layer/ Transport Layer
Security)
SSH (Secured SHell)
Protections assurées
attaque passive
attaque active
usurpation
Intrusion
Protections non assurées
répudiation
protection de bout en bout
Solutions et dispositifs de sécurisation :
Sécurité de transport
29. Copyright
Définition
Ensemble formalisé dans un document applicable, des
directives, procédures, codes de conduite, règles
organisationnelles et techniques, ayant pour objectif la
protection des systèmes d’information de l’organisme.
31. Copyright
Audit
Identifier / Classer les risques et leurs
menaces:
Quels sont les risques ?
Quelle en est la probabilité ?
Quels sont leurs impacts ?
Identifier les besoins :
État des lieux du SI
32. Copyright
Les risques
Répertoriés les risques encourus
Estimer leur probabilité:
Faible: menace peu de chance de se
produire
Moyenne: la menace est réelle
Haute: la menace a de très grande chance
de se produire
Etudier leur impact (coût des dommages)
35. Copyright
Les Cibles des Failles de la
Sécurité
R&D
Services financiers
Marketing
Réseaux de vente (! Distributeurs et clients trop bavards)
Le service achat
Le Personnel: sensibiliser l’ensemble
du personnel, attention aux licenciés,
mécontents …
37. Copyright
Actions
Simples à mettre en œuvre et pourtant
pas toujours existantes !
Entrées et sorties contrôlées
Surveiller et piéger les BD dans
entreprise
Méfiance au téléphone …
38. Copyright
Acteurs & Rôles
Pourquoi ?
Quoi
Qui ? Quand ?
Comment ?
Direction Générale
Responsable SSI
Responsable Fonctionnel
Responsable Projet
CHARTES
REGLES GENERALES
PROCESSUS & CONTROLES
PROCEDURES OPTIONNELLES
39. Copyright
Thèmes
Classification et contrôle du patrimoine matériel et immatériel
Rôle des personnes
Protection des locaux et équipements
Contrôle des accès et gestion des habilitations
Gestion des communications et des opérations
Développement et maintenance des systèmes d’information
Continuité des activités
Obligations légales
40. Copyright
Réussite PSSI
Etre simple et réaliste pour que tout le monde la
comprenne et puisse la respecter
Faire vivre
41. Copyright
Stratégie
PSSI doit faire partie intégrante de la stratégie
de la société :
défaut de sécurité coûte cher !
Inclure une notion générale de la sécurité
reposant sur 4 points:
Protection des applicatifs aux métiers du SI
qualifiés de sensible
Diminution des vulnérabilités
Sécurité proprement dite du SI
Continuité en cas de sinistre
42. Copyright
Normes et Méthodes
Normes = bonnes pratiques
Méthodes = évaluation globale du SI en terme
de:
Risques
Protection
43. Copyright
Normes
ISO 27 001:
Approche processus (PDCA)
133 mesures base dans l’élaboration
du plan
ISO 17 799: découpage par thèmes
45. Copyright
Méthodes
Cobit: Control Objectives for Business and
related Techonology
Ebios: Expression des besoins et identification
et des objectifs de sécurité
Marion
Mehari: Méthode harmonisée d’analyse des
risques
46. Copyright
Ebios
Etude du contexte: éléments essentiels
(ensemble d’entités de différents types)
Expression des besoins: critères de sécurité
impact
Etude des menaces: type/cause
Expression des objectifs de sécurité
Détermination des exigences de sécurité
47. Copyright
ISMS (Information Security Management
System)
Application au domaine de la sécurité
informatique de la roue de Deming
Planifier Faire
Vérifier
(Ré)Agir
48. Copyright
ISMS (Information Security Management
System)
Planifier: passer d’une posture réactive à
proactive
Faire: développer des processus en suivant un
référentiel de sécurité
Contrôler: audits et tests d’intrusion
Agir: analyse des risques des besoins et enjeux