C01 Aspects et enjeux de la sécurité
- Définitions
- Divers aspects de la sécurité. Typologie des risques. Exemples dans chaque catégorie de la typologie : nature, attaquants (menaces), impact
- Une remise en cause face à de nouvelles menaces
- Enjeux et problématiques de la sécurité
- Les piliers de la sécurité : Assurer la disponibilité. Assurer l’intégrité. Assurer la continuité. Assurer le contrôle de la preuve et la non-répudiation des transactions
- Recenser les actifs à protéger
- Identifier les risques
- Evaluer les risques. Classer les risques. Concept de Risque Maximal Tolérable (RMT)
- Etude de cas : Evaluation du RMT.
C02 Enjeux économiques et modes d’action
- Enjeux économiques. Le coût de la sécurité
- La management de la sécurité dans l’entreprise
- Comment construire un Plan sécurité. Le rôle du RSSI
- Les référentiels : Certs, Clusif, Cigref, Afai, Portail gouvernemental de la sécurité informatique, etc.
- Analyse des risques. Les méthodes (Ebios, Marion, Melisa, Mehari). Comparatif. Avantages et inconvénients
- Les aspects normatifs et la réglementation : ISO. CNIL. RGPD
- Assurance et financement des risques.
C03 Plan de secours et plan de continuité des activités
- Processus clefs en sécurité
- Plan de Reprise d’Activité (PRA), Plan de Secours Informatique (PSI - Disaster Recovery),
- Plan de Continuité d’Activité (PCA - Business Continuity)
- Etude de cas : Inondation chez GoodWater.
C04 Sécurité et commerce électronique. Sécurité et banque
- Le besoin de sécurité dans le commerce en ligne
- Sécurisation des paiements : SET et 3-D Secure. Porte monnaie électronique
- Le risque SI parmi les autres risques bancaires
- Intranet bancaire
- Sécurisation de la banque en ligne
C05 Renforcer la sécurité des données. Cryptographie et cryptanalyse
- Définitions, théorie et pratique
- Evolution des législations.
C06 Architectures de sécurité
- Chiffrement à clef privée
- Chiffrement à clef publique
- Algorithmes de chiffrage
- PGP et GnuPGP
- Mise en place d’une architecture PKI. Certification et enregistrement
C07 Renforcer la sécurité des réseaux et des systèmes
- Analyse de la vulnérabilité des réseaux et des systèmes
- Modes d’attaque. Nouvelles menaces
- Face à ces menaces, le sécurité périmétrique multi-niveaux
- Concept de Network Access Control
- Détection (IDS) et prévention (IPS) des intrusions
- Procédures types pour un réseau Win2K
- Evolution. Exemple des architectures Cisco : de SAFE à SecureX
- Nouvelle problématique de sécurité avec le cloud. Sécurité dans les clouds publics, privés et hybrides
- Serveurs et réseaux de haute disponibilité.
C08 Renforcer la sécurité des accès et des contrôle d’identités
- Identification et authentification des utilisateurs. Mots de passe. Sécurité du poste de travail
- Authentifications fortes. Systèmes biométriques
- Authentification LDAP et SSO
- Nouvel enjeu pour la fédération d'identités : intégrer le SaaS. SAML comme norme d'échange.
C09 Renforcer la sécurité des applications et des services
- Analyse de la vulnérabilité des applications et des services
- Sécurité du web. Protocoles (HTPP + SSL/TLS => HTTPS)
- Sécurité des applications web. L’Open Web Application Security Project
- Sécurisation des web services
- Principes du développement sécurisé.
C10 Renforcer la sécurité des dispositifs mobiles
- Radius et extension radius
- Sécurisation wifi.
C11 Evaluer la sécurité
- Qualifier et auditer la sécurité
- Comportement personnel. Principes essentiels et bonnes pratiques.
C12 Manager les risques dans les projets SI
- Nature des risques dans un projet SI
- Typologie des risques projet
- Analyse quantitative du risque
- Analyse qualitative du risque
- Maîtriser le risque projet
- Le coût de la sécurité.
C13 Bilan et perspectives.
Ce cours a été dispensé dans le cadre de l’Executive MBA « Leadership, innovation and managing people ».
Ce MBA a été créé en partenariat par l’IAE Aix-en-Provence, l’Institut de Gestion Sociale, Télécom École de Management
et l’École Nationale Supérieure d'Arts et Métiers.
Il a été actualisé pour les besoins d’un séminaire pour le centre de Gradignan de la Banque Postale.
L’activité industrielle et commerciale est par nature risquée. Certains risques, endogènes, sont dans la
nature même du business. D’autres sont exogènes et ne sont que facteurs de perturbation pour le bon déroulement des affaires.
L’effet de tels évènements est accentué par les nouvelles pratiques de gestion qui privilégient l’interdépendance et
la minimisation des sécurités spatiales (stocks) et temporelles (délais).
Ces réductions ont été rendues possibles par la capacité à disposer d’informations accessibles en permanence
et actualisées en temps réel. La fiabilité du Système d’Information est donc devenue un élément clef.
Ce module a pour objectif de sensibiliser les informaticiens et les utilisateurs à la problématique de la sécurité
es systèmes d’information.
A la fin de la formation, chaque participant devra :
- avoir recensé les principaux risques pesant sur le bon fonctionnement d’un système d’information ;
- avoir identifié les différents modes d’actions envisageables pour réduire les risques, atténuer leur impact et remédier à leurs conséquences.
Formation continue :
- Responsables en charge de la prescription, de la conception, du développement, du déploiement, de la mise en œuvre et de l’évaluation ou de l’audit de systèmes d’information, confrontés à la dimension sécurité de ces systèmes ;
- Chefs de projets devant proposer des solutions adaptées pour la sécurité et la continuité dans le périmètre des projets dont ils ont la charge.
Formation initiale :
- Élèves des écoles de commerce et de management, des écoles d'ingénieur ;
- Étudiants de niveau Master dans les cursus abordant le domaine des systèmes d’information.
Version in English language
Contactez-nous
Bonnes feuilles