Objectifs
À l’issue de la formation, les stagiaires seront capables de :
- définir les principaux dangers de la sécurité dans les usages de l’Internet
- décrire les concepts du domaine de la sécurité des systèmes d’information,
- appréhender les menaces et les attaques internes et externes Web, mail, réseaux sociaux, et adopter les comportements adaptés
- décrire les principes de la cryptographie et de la gestion des identités, clé publique, privée et certificat
- identifier les principaux éléments de l’offre du marché, tant hardware que solutions
- (firewall, Proxy, authentification, VPN, chiffrement, outils de surveillance, détection d’intrusion) et en appréhender les technologies, avantages et limites
- expliquer les spécificités de la sécurité VoIP, ToIP, et les précautions à prendre
- prendre en compte la protection de la souveraineté, des données sensibles, des données personnelles dans la gestion de la sécurité et de l’intelligence économique
Programme
La sécurité sur Internet, pourquoi, comment ?
- historique, sécurité publique, privée, politique de sécurité, ISO 17799 ou BS 7799
- obligations, dangers, responsabilité, législation
- disponibilité, intégrité, confidentialité, authenticité, protection
- prévention, détection, réaction, reprise, gestion de crise
- spécificité des usages fixes et mobiles, rôles des administrateurs
Quel comportement adopter, démarche de sécurité
- la sécurité selon les enjeux, différencier, sécurité physique, logique, statistique
- erreurs et malveillance, comportements à risque
- audits, plan de secours, gestion de crise
- importance de l’ergonomie, l’acceptation des utilisateurs
Risques et attaques
- indisponibilités, altération, écoute, intrusion, injection de codes : virus, cheval de Troie, ver, attaques structurées et non structurées, DDOS, attaques composites
- usurpation d’identité, l’enjeux de l’authentification forte
Les services de sécurité
- filtrage, chiffrement, contrôle d’accès, authentification, certificat, PKI , confidentialité, hachage, intégrité, disponibilité, facilité d’utilisation
- problématique de stockage et sauvegardes, différenciation
Les technologies et solutions
- les firewalls routeur, proxies, serveurs d’authentification, DPI, IDS
- Radius, protocoles sécurisés : S-HTTP, SSL, S/MIME
- architecture, DMZ, et DMZ étendue
- solutions génériques : carte à puce, VPN : IPSec et SSL, certificats
La sécurité dans le Cloud
- enjeux de la souveraineté, de la sécurité à l’intelligence économique
- différencier les solution de cloud public / privé, acteurs, spécificités
RGPD, la protection des données personnelles et souveraineté
- comprendre les enjeux, méthodologie de mise en place de la conformité RGPD
- souveraineté et protection des données sensibles vs intelligence économique
Vulnérabilités réseaux & TCP/IP
- architecture des réseaux LAN et WAN, rôle des VPN
- les services du réseau Internet, historique, contexte, usages, acteurs
- acteurs et rôles, IPV4, IPV6, politique de sécurité, gouvernance
Sécurité et Poste de travail
- postes et utilisation : PC et Mac, smartphone WiFi, télétravail, BYOD
- les systèmes d’exploitation informatique, fixe, mobile, propriétaire ou ouvert
- contexte, spécificité VoIP, les dangers, les protections
Méthodes, modalités d’évaluation
Les exposés théoriques sont illustrés d’exemples concrets et de représentations schématiques. L'atteinte des objectifs est contrôlée au fur et à mesure du stage, tout au long de la formation, par des jeux de questions-réponses et des discussions, permettant d’intégrer les notions de base et de les manipuler en groupe.
Une évaluation plus formelle est faite chaque matin à la reprise du cours, afin de valider la bonne progression du groupe et de chacun des stagiaires, par un jeu de questions-réponses.
Une évaluation par quizz ludique est organisée pendant et à la fin de la formation.
Le support de cours (env. 100 pages), impression couleur, reproduisant les slides projetées, est complété de textes, articles, témoignages.
Personnes concernées, prérequis
Toutes personnes devant être sensibilité à l’importance de la sécurité des systèmes d’information. Aucun pré requis n’est nécessaire pour cette formation d’introduction, de bonnes bases informatiques sont nécessaires.