Objectifs de la formation
- Comprendre la qualification complexe des données
- Identifier les principaux risques touchant les solutions de traitement des données massives
- Maîtriser le cadre juridique (CNIL et PLA (Privacy Level Agreement))
- Connaître les principales solutions techniques de base pour se protéger des risques
- Mettre en oeuvre une politique de sécurité pour traiter les risques, les menaces, les attaques
Programme de la formation
Risques et menaces
- Introduction à la sécurité. Les sources d’information externes incontournables (ANSSI, CLUSIF, ENISA, etc.).
- Etat des lieux de la sécurité informatique.
- Le vocabulaire de la sécurité informatique.
- La classification DICT/P : Disponibilité, Intégrité, Confidentialité et Traçabilité/Preuve.
- Attaques "couches basses". La sécurité sur Hadoop. Intelligence gathering.
- Forces et faiblesses du protocole TCP/IP. HTTP : protocole exposé (SQL injection,Cross Site Scripting, etc.).
- Illustration des attaques de type ARP et IP Spoofing, TCPSYNflood, SMURF, etc
- Déni de service et déni de service distribué. DNS : attaque Dan Kaminsky. Attaques applicatives.
Travaux pratiques
Installation et utilisation de l'analyseur réseau Wireshark. Mise en œuvre d'une attaque applicative.
Architectures de sécurité
- Quelles architectures pour quels besoins ?
- Plan d'adressage sécurisé : RFC 1918. Translation d'adresses (FTP comme exemple).
- Le rôle des zones démilitarisées (DMZ). Exemples d'architectures.
- Sécurisation de l'architecture par la virtualisation.
- Firewall : pierre angulaire de la sécurité, firewalls et environnements virtuels.
- Proxy serveur et relais applicatif. Proxy ou firewall : concurrence ou complémentarité ?
- Evolution technologique des firewalls (Appliance, VPN, IPS,UTM...).
- Reverse proxy, filtrage de contenu, cache et authentification. Relais SMTP : une obligation ?
Travaux pratiques
Mise en œuvre d'un proxy cache/authentification.
Vérifier l'intégrité d'un système
- Les principes de fonctionnement.
- Quels sont les produits disponibles ?
- Présentation de Tripwire ou AIDE (Advanced Intrusion Detection Environment).
- L'audit de vulnérabilités.
- Principes et méthodes et organismes de gestion des vulnérabilités.
- Site de référence et panorama des outils d'audit.
- Définition d'une politique de sécurité.
- Etude et mise en œuvre de Nessus (état, fonctionnement, évolution).
Travaux pratiques
Audit de vulnérabilités du réseau et serveurs à l'aide de Nessus et Nmap. Audit de vulnérabilités d'un site Web.
Les atteintes juridiques au Système de Traitement Automatique des Données
- Rappel, définition du Système de Traitement Automatique des Données (STAD).
- Les risques sur les solutions de traitement des données massives.
- Types d’atteintes, contexte européen, la loi LCEN. Le règlement RGPD, CNIL, PLA.
- Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?