1. Description et objectifs du cours

Acquérir des connaissances fondamentales en matière de sécurité des systèmes d’information.

Ce cours présente les techniques nécessaires pour sécuriser un système d’information et mettre en place une application sécurisée, par exemple, de type intranet ou internet. Elle aborde la problématique des attaques logiques internes au réseau local, ou vers l’extérieur, sur site web. Elle traite également la sécurisation des postes de travail, en entreprise ou au domicile.

Contenu du programme :

. 

• MANAGEMENT DE LA SÉCURITÉ :

• Organisation de la sécurité, approche managériale

• Normes ISO/CEI 27001 et 27002, politique de sécurité PSSI

• Gestion du risque 

• Normes ISO/CEI 27005, ISO 31000, méthodes d’analyse.

• QUELQUES DOMAINES D’APPLICATION DE LA SÉCURITÉ :

• La sécurité et le droit

• Continuité d’activité, vie privée

• Certification, évolution et tendances.

• CRYPTOGRAPHIE :

• Techniques logiques et cryptographie

• Historique et présentation du contexte

• Techniques cryptographiques

• Systèmes à clé secrète, systèmes à clé publique

• Algorithmes et taille des clés

• Mise en œuvre au sein de service d’authentification, de chiffrement et de signature électronique.

• APPLICATIONS SÉCURISÉES :

• Gestion de clés publiques, certificats

• Infrastructures à clés publiques (PKI) 

• Exemples d’applications sécurisées (applications client-serveur, dématérialisation, messagerie sécurisée, etc.) 

• Organisation de la sécurité d’un système d’information.

• PROTECTION DES DONNÉES PERSONNELLES :

• Gestion des identités

• Single Sign On (SSO)

• Privacy, respect de la vie privée

• Anonymat.

• CYBERCRIMINALITÉ :

• Eléments d’organisation de la cybercriminalité 

• Modèle économique de la cybercriminalité.

• ATTAQUES LOGIQUES :

• Gestion de mots de passe, outils de crackage de mots de passe

• Virus, vers, chevaux de Troie

• Classifications, exemples connus, modes de propagation (binaires, messagerie, macro), faux virus (hoax et spam)

• Principes de fonctionnement des anti-virus et exemples de produits

• Attaques logiques sur sites Web (ex. du script CGI).

• SÉCURITÉ DES PLATEFORMES :

• Problème de la sécurité des plateformes et des réseaux

• Architectures de sécurité

• Firewalls et DMZ

• Audits de sécurité.

• SÉCURITÉ DES ÉQUIPEMENTS :

• Sécurité des postes de travail

• Sécurité des OS / Cas de Windows, Unix

• Protection des sites Web / Vulnérabilités et attaques sur les applications Web (interprétation des URL, mauvais contrôle des données entrées par l’utilisateur, injection de code SQL, attaques sur les identifiants de session, cross site scripting, autres attaques)

• Règles de sécurité internet

• Composants d’une architecture de sécurité

• Construire un site Web sécurisé

• Conseils et exemples d’architectures 

• Application à la mise en place d’un SI sécurisé d’entreprise.

• SYNTHÈSE ET CONCLUSION.

2. Pré-requis

PRÉALABLE(S): 

• Aucun pour les titulaires d’une Licence en Cybersécurité à IPNET INSTITUTE OF TECHNOLOGY

• Pour tous les autres étudiants, il est recommandé de suivre au préalable les cours ci-dessous :

• CNS 340 Introduction à la sécurité informatique

• CNS 233 Cryptographie

• CNS 355 Sécurité Physique et Environnementale en Sécurité Informatique

• SY0-501 CompTIA Security +