Architecture informatique
Public
: Ce cours s'adresse à des architectes, chefs de projets, développeur,
responsables d’études...
La
connaissance préalable de l'administration système, des réseaux et protocoles
TCP/IP est nécessaire.
Objectifs : Comprendre les fondamentaux de la sécurité, appréhender
la démarche de sécurité, acquérir une culture générale autour des
technologies de sécurité, connaître le fonctionnement des infrastructures à
clés publiques (PKI), maîtriser la sécurisation des applications
informatiques et des Web services
Pédagogie : Alternance d’exercices pratiques sur micro-ordinateur et
de courts exposés théoriques,
Exercices différenciés suivant l’homogénéité du groupe,
Un
support de cours est distribué à chaque participant en fin de formation.
Contenu :
Fondamentaux et démarche Sécurité
Fondamentaux
Authentification / non
répudiation, confidentialité, intégrité, disponibilité, traçabilité
Les
problèmatiques de sécurité des architectures multi-tiers
Risques liés aux architectures
multi-tiers et à l’ouverture du Système d’Information vers Internet.
Démarche de
sécurité
w
Analyse
des risques
w
Démarche
de sécurité dans la démarche projet (phase conception, développement,
déploiement, test, exploitation)
w
Mise
en œuvre d’une politique de sécurité (norme ISO 27001)
LA PKI
Bases de la
cryptographie
Cryptographie à clé secrète, à clé
publique, hachage, signature numérique
Infrastructures
à clé publiques
w
Entitiés
d’une PKI : autorité de certification, autorité d’enregistrement,
opérateur de service certification
w
Relation
entre tiers de confiance
|
w
Certificats
X509 : types, classes, modes de stockage
w
Usage
pour l’authentification, la signature, le chiffrement
w
Architecture
possible : utilisation de PKI internalisée, externalisée, tierce.
Infrastructure
complémentaire
Tiers d’horodatage, tiers
d’archivage électronique
Authentification
et habilitations
w
Facteur
d’authentification
w
Politique
de mot de passe
w
Authentification
forte : tokens, OTP, biométrie
w
Annuaire
LDAP
w
Single
Sign On
Sécurisation des Systèmes et Réseaux
Sécurité Réseau
Firewalls, DMZ, Proxy, Reverse
Proxy
Sécurité des
Systèmes d’exploitation
w
Les
composants de sécurités d’Unix / Linux
w
Les
composants de sécurités de Windows
Sécurisation des
flux et persistance
w
Echanges :
SSL, VPN IPSEC et MPLS, S/MIME
w
Persistance :
confinement, chiffrement des données, gestion des mots de passes
Sécurité des développements applicatifs
Vulnérabilités
des développements
Prévention de l’ »injection
SQL » et du « Cross Site Scripting »
Sécurité des
développements
w
Environnement
JEE : JAAS, JNDI, JSE
w
Environnement
.NET : le framework .NET et le sécurité
w
Environement
PHP : composant Open Source
Sécurité des Web
Services
w
Rappels
sur les Web services
w
Sécurités
des messages SOAP : XML signature, XML
w
Encryption,
WS-Security, WS-SecureConversation
w
Intégration
avec les PKI ! XKMS
w
Délégation
d’authentification et habilitations : SAML, liberty, OpenID
Etude de cas
w
Télétéclaration
des impôts
Synthèse et perspectives
w
Recommandations
w
Bibliographie
et site Web utiles
|
