C’est à
l’intention des responsables de la sécurité des Systèmes d’Information (SI),
consultants en TI et en sécurité, administrateurs de sécurité et autres
ingénieurs, que l’Agence Nationale de Sécurité Informatique (ANSI),
organise, en collaboration avec l’Association tunisienne pour le
développement de la technologie numérique et des ressources humaines (ATTR),
un séminaire de formation sur le thème : «Initiation aux 10 domaines
d’expertise de la sécurité des systèmes d’Information», du 9 au 11 mai 2007
à Tunis.
Selon l’ANSI,
ce séminaire abordera les 10 disciplines de sécurité du CBK ou ‘’Common
Body of Knowledge’’ qui constituent les fondements de l’expertise en matière
de sécurité des systèmes d’information et l’objet de la certification la
plus reconnue à l’échelle internationale : CISSP (Certified Information
System Security Professional). Il permet aussi de se préparer à obtenir la
moins ambitieuse certification SSCP (Systems Security Certified Practitioner,
qui se base sur uniquement 7 disciplines du CBK). Le CBK et ainsi le
programme de la certification concerne les dix domaines suivants: Bonnes
pratiques pour! la gestion de la sécurité, Sécurité physique,
Cryptographie, Sécurité des Télécommunications et des Réseaux, Architectures
et Modèles de Sécurité, Sécurité des opérations, Systèmes et Méthodologies
de contrôle d’accès, Sécurité des développements d’applications, Continuité
des opérations et plan de reprise en cas de désastre ; Loi, investigations
et éthique.
Des
démonstrations d’outils de sécurité open-source seront réalisées au cours du
séminaire en vue de démontrer les grandes potentialités, ainsi que les
éventuelles limites de ces outils de protection à usage gratuit.
Les dix domaines de la sécurité :
Enjeux et axes stratégiques en matière de sécurisation des systèmes
d’information nationaux.
Premier
domaine :
bases pratiques pour la gestion de la sécurité “Security Management
Practices”.
Deuxième
Domaine : Sécurité physique «Physical security» (les
menaces de nature physique, mécanismes de contrôle d’accès & de détection
d’incidents, aspects techniques de sécurisation des centres de calcul)…
Troisième Domaine :
La Cryptographie «cryptography» (les
concepts de base de la cryptographie : méthodes de chiffrement et de
scellement, les algorithmes à clé publique et privée : exemples, avantages
et inconvénients de chaque méthode ; les signatures électroniques et la
notarisation, pour garantir l’authenticité des transactions électroniques et
leur non répudiation ; les certificats électroniques : objet,
utilisations…).
Quatrième Domaine :
Sécurité des télécommunications et des réseaux «Telecommunications, Network,
and Internet Security»
(radioscopie et simulations d’exemples réels d’attaques de réseaux ; les
technologies de sécurisation des connections externes des réseaux et des
Extranets ; les technologies de sécurisation des réseaux internes (Firewalls
PC et distribués, Détecteur d’intrusion hôte (HIDS) ; les technologies de
protection contre les contenus malicieux (virus, spywares, (et spam) ;
configuration et administration d’outils open-source de protection de
réseaux et de chiffrement).
Cinquième Domaine :
Architectures et modèles de sécurité «Security Architecture and Models» :
modèles
d’architectures de sécurité optimales… ; preuve de concept open-source :
Mise en œuvre de la sécurisation totale d’un système d’information, en
utilisant des outils open-source ; sécurisation des réseaux multimédia
(téléphonie IP, vidéo-conférence…) ; les normes concernant le niveau de
sécurité des outils : la norme ISO 15408 (Common Criteria).
Sixième
Domaine :
Sécurité des opérations «OperationsSecurity» :
mécanismes et outils (open-source) d’administration de la sécurité (gestion
centralisée des outils de sécurité et des alertes, gestion des
sauvegardes) ; mécanismes et outils (open-source) de suivi de l’utilisation
des systèmes ; notion de Plan de Réaction, en cas d’intrusion et rôle des
CSIRTs…
Septième Domaine :
Systèmes et méthodologies de contrôle d’accès («Access
Control Systems and Methodology» :
radioscopie et exemple d’attaques des systèmes de
contrôle d’accès (Interception, rejout, crack de passwords, exploitation de
failles pour l’accès frauduleux) ; concepts
d’identification et d’authentification et bonnes pratiques pour la gestion
des attributs d’authentification et outils de gestion des utilisateurs
(LDAP ; techniques d’identification pour le contrôle d’accès aux
ressources (contrôleurs de domaines) ; techniques d’authentifica! tion pour
le contrôle d’accès aux ressources (Kerberos)…
Huitième
Domaine :
Sécurité des développements «Application Development Security» :
radioscopie et simulations réelles d’exemples réels d’attaques visant les
erreurs de programmation («Buffer overflow», Injection SQL, sites web :
Cross-site scripting/vol de session) ; les structures et contrôles de base
de la sécurité incorporés dans les applications (authentification des accès,
chiffrement, log des opérations, ..) ; comment les contrôles de la sécurité
sont insérés dans les applicatifs : API cryptographiques.
Neuvième
Domaine :
Continuité des opérations et plan de reprise en cas de désastre « Business
Continuity & Disaster Recovery Planning»:
Appréhender :
la différence entre la planification de la continuité et de la reprise
d’activité ; la planification de la continuité de service en termes de mise
en place et de portée du plan, d’analyse d’impact, de stratégies de reprise,
de développement et d’implémentation des plans ; la
planification de reprise après sinistre en termes de développement,
d’implémentation et de restauration d’un plan
Dixième
Domaine :
Lois, investigations et éthique «Law, Investigations, and Ethics» :
présentation des lois concernant la sécurité Informatique , les délits
informatiques, la protection de la vie privée et e respect de la propriété
intellectuelle ;
à
qui s’adresser en cas d’attaque (déclaration, plainte juridique) et
principes de preuve, en cas d’attaques cybernétiques ; comment le code
d’éthique de ! l’(ISC)2 et le RFC 1087 servent à résoudre les dilemmes
éthiques des professionnels de la sécurité ; aperçu sur d’autres
législations internationales, en matière de sécurité informatique.
site web : www.attr.org.tn
|