SP

Ob

Pu

Lese
scur
l'obli
d'Info
d'Info
noma
scur
cause
riche
conte
risqu
prve
faire
claire
spcif
Cette
secte
com
Le m
risque
en
Mast
Lacc
les a
lis
Resp
la S
Ing
MA
PECIALIT
bjectifs p
ublic
bouch
entreprisesd
rit informa
gation d'am
ormation.L'o
ormation R
ades,etc.,on
rit des infor
es de sinist
ssedesentre
exte, toute e
es.Ilfautid
ention en te
deschoix,p
ement aujou
ifique.
e formation s
eur informat
ptencesens
master SSI rp
esinformatiq
uvre,dvalu
erSSIestdet
centdelaform
aspects manag
lascuritd
ponsabledela
curit Inform
nieurRseaux
ASTERIN
TE:SC
pdagog
s
oiventfairef
atique. En
morcer un p
omniprsenc
partis, l'int
ntconsidrab
rmations de
tres. L'inform
eprises,elle
entreprise es
dentifier,va
nant compte
rendreenco
urdhui comm
sadresse aux
tique qui so
scuritdessy
pond aux atte
ues.Ilforme
erlascurit
traiterlascu
mationportan
gement de la
desrseauxet
aScuritdes
matique (DSI)
xetSystmes
NFORM
CURITD
giques

facedeno
effet, elles
processus d
cedelaMicr
terconnexion
blementmod
e l'entreprise
mation tan
estdepluse
st amene
luercesrisq
e du context
omptelesrisq
me un mtie
x jeunes dipl
ouhaitent ess
ystmesd'info
entes des en
desexpertsc
dessystmes
ritdeltatd
ntautantsur
a scurit, les
tdessystme
SystmesdI
, Conseiller e
s.
MATIQUE
DESSYS
(SSI)
ouveauxenje
s sont bien
d'ouverture d
roinformatiq
n des rseau
difilesrisqu
e et augmen
nt ou deven
enplusconvo
prendre, co
uespuisesti
te budgtair
quesrsidue
er ncessitan
ms et aux
sentiellement
ormation.
treprises sur
apablesdeco
sdinformatio
delartling
lesaspectste
mtiers viss
sdinformatio
nformation(R
en Scurit In
EPROFE
STMES
IN
euxenmati
n souvent
de leur Sys
que,lesSyst
ux, les emp
uesconcerna
t le nombre
nant la prem
oite.Dansu
onsciemment
imerlecot
re de l'entrep
els...Ceciapp
nt une form
professionnel
dvelopper
la prventio
oncevoir,dem
on.Lepointfo
nieriescuri
echniquesque
s sont les m
onprincipalem
RSSI),Directeu
nformatique (
ESSIONN
D'INFO
EC
NGENIERIEDE
rede
dans
stme
tmes
ploys
antla
e des
mire
untel
t, des
dela
prise,
parat
ation
ls du
des
on des
mettre
ortdu
it.
esur
tiers
ment
urde
(CSI),
NEL
ORMATIO
COLEDESHAU
SSYSTEMESD
Module1:
Initiationl
Servicesde
Systmes
Cryptograph
Contrleda
Authentifica
Scuritdes

Module2:
Systmes,R
Scuritphy
Scuritdes
dexploita
Scuritapp
Scuritdes
ScuritWi
Scuritdes

Module3:
scurit
Gestionetc
scurit
Auditedes
dInforma
Analysedu
Testsdintru
vulnrabi
Recherched
Veilletechn

Module4:
SecuringCis
ISO27002
ITILFondati
Cur

ON
HEI
UTESETUDES
DINFORMATIO
Etatdelart
lascurit
scuritdes
sdInformati
hie
accs
ation
schanges
Scuritdes
Rseauxetd
ysique
sSystmes
ation
plicative
sRseaux
fi
sDonnes
Ingnieried
conduitedep
curitdesS
ation
risque
usionetdte
lit
depreuves
nologique
Certification
scoNetwork
on
rsusSSI
SI
EN
ON

s
on
s
donnes
e
projets
Systmes
ectionde
n
Devices

Con
Cettefo
a
a
p
c
e
d

Pourpr
t
r
D


Org
Lemast
quison
dumm

Pro
Unproj
pratiqu
uneso

Mod

nditions
ormationesta
auxtitulaires
aux titulaires
professionnel
candidatsne
etentretiena
deleurpoten
rsentervotre
tlchargezle
retournez le
Dcembre.
ganisatio
terScuritd
torganissen
memodule.
ojet de f
jetdefindefo
elesconnaiss
outenancedu
dalits p

P
Dur
Nombrede
Janvier
Mai
Octobre
Examen
dadmis
accessible:
dundiplme
s dun dipl
le. Des drog
rpondantpa
avecunecomm
tieldvolutio
ecandidature
edossierdeca
dossier dm

on des e
desSystmes
n4moduless
fin de fo
ormation,sur
sancesacquise
unmmoire.
pratique
rixdelaform
edelaform
eplacesdispo
Con
Fvrier
Cours
Ju
Co
Nove e
ns
ssions
bac+5,
me de nive
gations laiss
asauxcritres
missionpdag
onversunpos
:
andidaturede
ment complt
enseigne
dInformation
successifs.Lav
ormation
aumoinsqua
esetdesaisir
s
ation F
F
ation 1
Lieu E
d
onible M
ntacts S
R

r Mars
uin
ours
embre D
Projet
eau bac+4 ju
es lapprc
sdfiniscides
gogiqueenfo
steresponsa
epuislesitew
t avec l'int
ements
n(SSI)sobtie
validationdes
n
atremois,don
rladimension
raisdtuded
raisdescolar
12mois
EcoledesHaut
dInformation
Maximum20
ecrtariat :In
Responsablep
s Av
Pau
Juillet
Dcembre
tdefindtu
ustifiant dau
ciation du jur
ssus.Lescand
nctiondeleu
abilits.
www.heisi.ma
gralit des
ntenprpara
smodulessef

nneauxpartic
nrelled'unp
dudossier :
it:45
testudesen
HEISI
nfo@heisi.ma
pdagogique:
vril
use
udes
Janvier
Aout
Pause
u moins 3 a
ry pourront
didatssontsl
rexprience,
pices dema
antlesunits
faitparcomp
cipantslaposs
rojetscurit
500dh
5000dh
Ingnieriede
06
m.zaro@heis
Sou
r
Septem
Cou
annes dexp
tre accorde
lectionnssur
deleurmotiv
andes avant
denseignem
pensationentr

sibilitdeme
.Leprojetdo
esSystmes
si.ma
Fvrier
utenances
mbre
urs
prience
es des
rdossier
vationet
t le 04
ent(UE)
relesUE
ttreen
onnelieu

Unit1:Initiationlascurit
Objectifs: Dune manire gnrale le systme dinformation concerne lensemble des moyens
(organisation, acteurs, procdures et systmes informatiques) ncessaires llaboration, au
traitement, au stockage, lacheminement et lexploitation des informations.
Dans les faits, de nos jours, lessentiel du systme dinformation est port par le systme
informatique et la notion de scurit informatique recouvre pour lessentiel la notion de scurit des
systmes dinformation (SSI).
Le concept de SSI recouvre donc un ensemble de mthodes, techniques et outils chargs de protger
les ressources dun systme informatique afin dassurer la disponibilit des services, la confidentialit
et lintgrit des informations.
Les changes au travers notamment dInternet ont rendu galement ncessaire le dveloppement de
proprits nouvelles comme lauthentification, la paternit et la traabilit de linformation.
La scurit fait donc appel diffrentes techniques complmentaires dont : le chiffrement de
linformation (cryptologie), la protection contre les signaux parasites compromettants, la protection
contre les intrusions dans les logiciels, mmoires ou banques de donnes (scurit informatique) et la
protection contre les accidents naturels et les actes malveillants (scurit physique)
Contenu
La notion de fiabilit, sret, scurit, menaces, risques, vulnrabilit.
Sources dinscurit
Codes malveillants et voies dinfection
Utilisation de cryptographie
Un survol doutils de protections et de dtection.

Unit2:ServicesdescuritdesSystmesdInformation
Objectifs:Au cours des dernires annes, le niveau de scurit informatique a t mis en doute
loccasion de diverses attaques provoquant des interruptions daccs au service (DoS, Denial of
Service), parvenant paralyser diffrents rseaux, serveurs et autres lments dinfrastructure. Lune
des conditions lmentaires dune communication scurise est dassurer quun change puisse
effectivement avoir lieu, cest--dire que personne ne puisse empcher les interlocuteurs (ou les
utilisateurs lgitimes) dutiliser linfrastructure en place pour communiquer. Le fait que, certaines
personnes aient un droit daccs lgitime au rseau et pas dautres, conduit tout naturellement la
notion de contrle daccs cest dire la vrification des droits des utilisateurs et la dfinition de
conditions dutilisation.
Contenu
Proprits de scurit et leur formalisation.
Modle de politique de scurit. Aspect syntactiques et smantiques.
Contrle daccs
Contrle du flot dinformation
Vrification de protocoles cryptographiques
Scurit des changes

Module1:Etatdelart

Unit3:Cryptographie
Objectifs:
Les sujets abords sont relatifs la scurit des rseaux et plus spcifiquement la scurit et la
cryptographie, aux systmes cryptographiques classiques, aux systmes symtriques ou cl
secrte, aux systmes asymtriques ou cl publique, aux systmes irrversibles, et la gestion des
cls.

Contenu
Scurit et cryptographie : introduction et gnralits
Systmes cryptographiques classiques
Systmes symtriques ou cl secrte
Systmes asymtriques ou cl publique
Systmes irrversibles
Gestion des cls

Unit4:Contrledaccs
Objectifs:
Le contrle daccs protge contre lemploi non autoris des ressources du rseau. Il assure que
seulslespersonnelsoulesdispositifsautorisspeuventaccderauxlmentsderseau,auxflux
dinformations,auxservicesetauxapplications.Plusieursniveauxdaccsdiffrentspeuventtre
mis en place aprs autorisation (contrle daccs en fonction des prrogatives, RBAC, rolebased
access control). Le plan de scurit du contrle daccs inclut les relations dauthentification et
daudit,ainsiqueceuxdelagestion.
Un parefeu (fire wall) est un quipement (fait de composants et de logiciels) qui est charg
disoler le rseau interne dune socit, permettant certains paquets de pntrer et en en
bloquant dautres. Les parefeux permettent en particulier aux administrateurs de rseau de
contrlerlaccsdesressourcesinternesdepuislextrieur(enrgulantlesfluxdetraficdepuis
et vers ces ressources). Les parefeux ne reprsentent en aucun cas une solution tous les
problmes de scurit. Ils saccompagnent en effet systmatiquement dun compromis entre le
niveau de communication autoris avec le monde extrieur et le niveau de scurit. Les filtres
tant incapables de dtecter la contrefaon dadresses IP et denumros daccs, ils ont souvent
par exemple recours des rgles catgoriques, nacceptant aucune exception. Les passerelles
peuvent prsenter des fautes de logiciel susceptibles dtre exploites par des personnes mal
intentionnes. Enfin, les parefeux perdent leur justification, si des communications gnres en
interne(parexemplesurdesterminauxsansfiloudespostesquipsdemodemstlphoniques)
sontautorisesrejoindrelextrieursanslestraverser.

Module1:Etatdelart

Unit5:Authentification
Lauthentification assure la validit des identits dclares des entits en communication (par
exemple, une personne, un dispositif, un service ou une application) et donne lassurance quune
entit ne tente pas dusurper lidentit dune autre entit (mascarade, bal masqu, Man in the Middle)
ou de reprendre sans autorisation une prcdente communication. Deux types dauthentification sont
distinguer, celle qui porte sur lidentit implique dans lenvoi des donnes (la source des donnes),
la seconde concerne lidentit de lautorit qui soutient que la source des donnes est bien lorigine
de leur cration et envoi (Peer Entity Authentification). Lexpditeur et le destinataire doivent tous
deux tre en mesure de vrifier lidentit de leur interlocuteur, ce processus tant lgrement plus
complexe que dans le cadre dune communication directe avec reconnaissance visuelle.
Unit6:Scuritdeschanges
Confidentialit des donnes
Seul lexpditeur et le destinataire vis doivent tre en mesure dinterprter le contenu du message
transmis. Ceci implique que le contenu du message soit cod, cest--dire que ses donnes soient
travesties, de telle manire quil ne puisse tre donc compris que par une personne autorise. Les
techniques de cryptographie reposent souvent sur une ou plusieurs cls servant au codage/dcodage
des donnes. La mesure de confidentialit des donnes protge les donnes du risque de divulgation.
La confidentialit des donnes assure que le contenu des donnes ne pourra tre remis des entits
non autorises. Le chiffrement, les listes de contrle daccs et les permissions daccs aux fichiers
sont des mthodes souvent employes pour assurer la confidentialit des donnes. Les imprimantes
sans fil doivent maintenant faire partie de la protection gnrale lie la confidentialit de
linformation.
Intgrit des donnes
Lintgrit des donnes assure lexactitude ou la prcision des donnes restitues au destinataire. Les
donnes transmises sont garanties exemptes de toute modification, altration, suppression, cration
ou reproduction, mme si les donnes ont subi un traitement (stockage, transfert, gestion, "Intgrit
des systmes"). Mme si lexpditeur et le destinataire parviennent sauthentifier lun lautre, ils
peuvent galement vouloir tre certains que le contenu de leurs messages conserve son intgrit,
mme en cas dacte mal intentionn ou par pur accident, au cours de la transmission. Le destinataire
peut souhaiter "disposer de la preuve" quun message provient effectivement de lexpditeur dclar.
La vrification de lintgrit et la non rpudiation des messages reposent galement sur des
techniques de cryptographie. La signature numrique repose sur des oprations de chiffrement.
Non rpudiation
La mesure de non-rpudiation donne les moyens dempcher une personne ou une entit de nier
avoir excut une action particulire lie aux donnes. Elle assure la mise disposition de la preuve
qui peut tre prsente une entit tierce et peut tre utilise pour prouver quun certain type
dvnement ou daction a bien eu lieu.
Disponibilit
La disponibilit d'un quipement ou d'un systme est une mesure de performance qu'on obtient en
divisant la dure durant lequel ledit quipement ou systme est oprationnel par la dure totale
durant laquelle on aurait souhait qu'il le soit. On exprime classiquement ce ratio sous forme de
pourcentage. Il ne faut pas confondre la disponibilit et la rapidit de rponse que l'on appelle aussi
performance.

Module1:Etatdelart

Unit1:ScuritPhysique
Objectifs:La scurit physique est la premire scurit mettre en uvre. En effet, quel intrt
de se protger avec des mots de passe ou des logiciels compliqus si la premire personne venue
peut accder physiquement une ressource essentielle pour la voler, la modifier ou la dtruire ?
Tous les lments qui sont rpertoris comme importants ou vitaux pour lorganisation doivent
tre installs dans des locaux srs. Ces locaux constituent le primtre de scurit.

Contenu
Primtre de scurit physique
Rgles dans le primtre
Scurit lectrique des quipements
Maintenance
Scurit des quipements hors locaux
Mise en rebut ou rutilisation des quipements
Bureaux en ordre

Unit2:ScuritdesSystmesdexploitation
Objectifs:
Ce cours prsente les principaux problmes de scurit dans les systmes d'exploitation et les
mthodes pour y remdier. On s'intressera plus particulirement aux systmes de type Unix mme
si les questions abordes sont applicables aux autres systmes modernes.

Contenu
Pourquoi la scurit, pour protger quoi ? Politiques de scurit.
-Scurit de l'accs physique une machine (dmarrage depuis une disquette, mots de passe du BIOS,
etc.)
-Rappels sur les systmes d'exploitation.
-Protection entre les utilisateurs, gestion des droits, partage de donnes.
-Les attaques locales contre les utilisateurs : virus, vers, chevaux de Troie, etc.
-Scurit des diffrents mots de passe.
-Les attaques locales sur les programmes. La question du changement d'identit (programmes suid).
-Les attaques du noyau.
-Vrification de l'intgrit du systme, analyse des informations de log.
-Dtecter une attaque et y ragir.
-L'importance de la veille. Les sources d'information.

Module2:ScuritSystmes,RseauxetDonnes

Unit3:Scuritapplicative
Objectifs:
Avoir une vue densemble des aspects de scurit dans les dveloppements applicatifs
Aborder et dfinir les principes fondamentaux du dveloppement scuris

Contenu
Module Manager
Introduction la scurit.
Atelier : "cracker" des mots de passe Windows (base SAM).
Les menaces : Exemples dattaques.
Atelier : Exemple dexploitation dun buffer Overflow.
Atelier : Exemple dexploitation dune application vulnrable.
Scurit des SI et contraintes rglementaires (Ble II, LSF, CNIL, LCEN, autres).
La scurit et le cycle de dveloppement dune application.
Cycle de dveloppement : Focus sur la phase "Requirements".
Cycle de dveloppement : Focus sur la phase "Design".
Les grands principes de scurit.

Module dveloppeur
Conception et design scurit dune application.
Cryptologie.
Authentification et session.
Scurisation des donnes.
Audit du comportement de lapplication.
Rgles gnrales dcritures du code source.
Principales erreurs dimplmentation.
Accs concurrents des donnes sensibles (Race conditions).
Commentaires & dcompilation.
Validation des donnes.
Overflows (buffer, heap, format, string).

Module Dveloppeurs Web
Architectures N-tiers.
Scurisation du serveur.
Scurisation de lapplication.
Atelier : "cassage" du codage base 64.
Atelier : Prdire la valeur dun numro de session.
Atelier : "Path traversal" Accs des fichiers quelconques.
Atelier : Prsence dinformations sensibles en commentaire dans le code.
Atelier : Modification du prix dune tlvision dans un caddie virtuel.
Atelier : dtournement du site Web afin den faire un relai de SPAM.
Atelier : contourner des validations ct client.
Atelier : XSS dans un caddie virtuel.
Atelier : XSS sur un forum.
Atelier : Injection SQL numrique, Injection SQL en chaine de caractre, Injection SQL en aveugle.
Atelier : Illustration des encodages.
Atelier : Rcupration de la liste des utilisateurs par SQL injection.
Atelier : Blocage de lapplication cause du nombre de sessions applicatives actives.
Atelier : Requte manuelle vers un WebService.
Atelier : Injection SQL sur SOAP.

Module2:ScuritSystmes,RseauxetDonnes
Module2:ScuritSystmes,RseauxetDonnes

Unit4:ScuritdesRseaux
Contenu
1- Scurisation des rseaux
Objectif
Permettre la prise en compte de la scurit internet / intranet au sein des entreprises en dcrivant les
aspects importants du problme et les lments ncessaires pour la mise en uvre de solutions. Les
points traits sont :
- filtrage du trafic TCP/IP ;
- quipements dinterconnexion et adressage MAC et IP ;
- diffrents types de firewall : routeurs filtrants, passerelles applicatives ;
- scurisation des stations : contrle des droits daccs ;
- les vulnrabilits du rseau internet : attaques passives et actives ;
- les protocoles de scurit : SSL, HTTPS, Ipsec ;
- gestion de la scurit ;
- gestion des cls ;
- systmes cls publiques PKI et certificats X509 ;
- VPN (Virtual Private Network) ;
- interconnexion de sites ;
- connexion dutilisateurs nomades et mobiles.

2- Rseaux IP
Objectif
Le but de ce module est de comprendre la problmatique des architectures de rseaux IP
(Internet/intranet) ainsi que de la qualit de service offerte par ces rseaux.
Programme
- adressage IP (plans dadressage, protocoles de rsolution dadresses) ;
- rseaux multicast IP ;
- applications gnriques :
- transfert de fichiers FTP ;
- courrier lectronique SMTP, MIME, POP3 ;
- web http,
- qualit de service :
- gestion de la QoS ;
- architectures : INTSERV, DIFFSERV, RSVP ;
- dfinition des indicateurs, mtrologie, SLA (Service Level Agreement) ;
- gestion de la politique de QoS (COPS, LDAP),
- convergence : voix sur IP (H323, SIP) ;
- mobile IP.


Module2:ScuritSystmes,RseauxetDonnes

Unit5:ScuritWifi
Objectifs:Ce cours est une prsentation dtaille des mthodologies de scurit et dexploitation
des vulnrabilits sur les rseaux sans fil.
Laccent est mis sur ltude des protocoles, des logiciels et du matriel existant, puis sur la mise en
pratique des attaques et de lintgration de solutions de scurit adaptes.
La dernire partie prsente galement une procdure complte dintgration dun rseau Wireless
scuris authentification centralis (WPA,Radius ).

Contenu:
Les normes
802.11 (Wifi)
802.16 (Wimax)
A.R.C.E.P.
Le matriel Wifi et Wimax
Les cartes
Les antennes
Les amplificateurs
Les points daccs
Les modes Wifi
Ad-Hoc
Managed
Master
Point to point
Point to multipoint
Repeater
Configuration dune carte Wifi
Configuration dun point daccs
Linksys Firmware
Windows
Linux (debian)
Configuration dun point daccs
AP matriel
AP sous Linux
Attaques Wifi
Dtection de rseaux
Falsification adresse MAC
Mapping rseau
Sniffing
Cracking WEP / WPA / WPA2
Hijacking/DoS
Scurisation Wifi
Filtrage MAC
Leurre AP
Portail captif
Les points daccs
WEP/WPA
802.1x
VPN
Rseau WIFI scuris sous Linux
WPA Radius (mode entreprise)
FreeRadius
Host AP
Bluetooth
Prsentation du modle de communicationet spcifications
Configuration sous Linux
Prises dinformations HCI et SDP
Attaques Bluetooth
Scurisation Bluetooth

Module2:ScuritSystmes,RseauxetDonnes

Unit6:ScuritdesDonnes
Objectifs:
La base de donnes constitue souvent un applicatif critique pour l'entreprise. Sa scurit, et le
respect de bonnes pratiques, s'avrent d'autant plus indispensables que l'ouverture du systme
d'information sur Internet a accru les risques. Le risque majeur pour les entreprises en termes
d'attaque est l'injection de code SQL.
Ce peut aussi tre un moyen, en maitrisant le SGBD, de prendre la main sur le systme d'exploitation
et de crer des comptes avec des droits administrateur afin de se connecter ensuite directement. Les
vulnrabilits ne sont pas seulement au niveau de l'applicatif, mais aussi de l'OS.
Contenu
Connatre son besoin : La scurit de la base de donnes commence par une rflexion sur les
usages et la population d'utilisateurs accdant celle-ci, ainsi que sur la manire dont la connexion
s'effectue. Est-ce directement par les utilisateurs ou par le biais d'un applicatif. Il est indispensable de
connaitre la mthode et la nature des accs afin de dfinir une politique de scurit adapte.
Une scurit en amont : Le dploiement d'une base de donnes est souvent la brique d'un projet
plus global. La scurit doit donc tre pense pour l'ensemble des lments, surtout dans le cas d'un
applicatif accdant la base. Celle-ci peut tre protge mais si l'outil utilis pour s'y connecter est
vulnrable, il ouvrira des portes.
Supervision : Un suivi des indicateurs de la base de donnes doit tre assur afin de dtecter les
anomalies, prvenir les interruptions de service et intervenir dans les meilleurs dlais. La majorit des
SGBD du march embarquent dsormais des systmes de supervision. Charge ensuite
l'administrateur de base de donnes (DBA) de concevoir des filtres appropris pour diagnostiquer
toute volution du mode de fonctionnement de la base.
Sensibiliser les DBA : L'administrateur doit tre sensibilis aux problmatiques de scurit, aux
risques, la criticit des contenus dont il a la charge et pas seulement la performance. Un DBA peut
avoir superviser une dizaine de bases sans bnficier de visibilit sur les donnes qu'elles hbergent
et risquer par consquent de ne pas avoir les bons rflexes.
Durcir le socle systme : Une base de donnes repose sur une couche systme. Cette dernire ne
doit donc pas tre nglige et faire l'objet d'un durcissement fort. Une base de donnes ne sera pas
en mesure de se dfendre contre une personne dtenant des droits administrateur sur l'OS. Ce
durcissement comprend l'application d'une politique de gestion des correctifs et du moindre privilge,
la limitation des services (rseau et systme) et applicatifs, la segmentation des droits ou encore une
authentification via des mots de passe fort.
Renforcer la couche BD : Tout comme le systme, les correctifs de scurit doivent tre appliqus
la base de donnes. Pour des exigences de disponibilit, le patch management est cependant
complexifi. Il faut veiller en outre au durcissement de l'installation par dfaut.
Gestion des comptes : Les comptes par dfaut doivent tre verrouills et les mots de passe
remplacs pour respecter les normes de scurit. La notion de politique du moindre privilge
s'applique. C'est--dire qu'un utilisateur n'ayant par exemple besoin que de consulter les donnes ne
doit en aucune faon disposer de droits en criture. De mme, la base doit tre correctement
segmente pour qu'une habilitation ne concerne qu'un primtre dfini des donnes.
Mthodes d'accs : L'entre sur la base de donnes doit tre autorise selon des mthodes
prcises. C'est ce niveau que le filtrage sera dfini. Si la connexion se fait depuis une application
Web, alors seule celle-ci et le DBA seront autoriss accder.
Chiffrer les flux de donnes : Les informations envoyes en rponse une requte ne doivent pas
circuler en clair sur le rseau. Nul besoin de durcir l'accs et l'OS, s'il suffit d'couter le trafic rseau.
Les flux seront par consquent chiffrs entre la base et les diffrents composants

Module2:ScuritSystmes,RseauxetDonnes

Unit1:Gestionetconduitedeprojetsscurit
Objectifs:
Aborder la question de la gestion de projets informatiques, tant du point de vue de la matrise
duvre que de la matrise douvrages.

Contenu
Introduction
Notion et types de risques.
Les consquences (directes et indirects, financires ou non).
La classification CAID (Confidentialit, Auditabilit, Intgrit, Disponibilit).
La gestion du risque (Prvention, protection, report de risque, externalisation).
La gestion dun projet de scurit, dfinir le type de projet, borner le champ dapplication de la
scurit.

Intgrer les contraintes rglementaires et normatives
Les contraintes rglementaires nationales et internationales (SOX, Ble II, ).
Les contraintes normatives ISO 27001, PCI DSS,
Inventorier les contraintes rglementaires dans le projet.
Traduire ces contraintes en pr-requis techniques pour le projet.
Apprendre planifier des actions de scurit.
Intgrer le projet de scurit dans un ensemble cohrent la rglementation.

Evaluer les risques sur le projet
Inventorier les actifs du projet Evaluer leurs valeurs sur le vecteur CAID.
Adapter une mthode danalyse de risques au type et primtre du projet.
Les objectifs dvaluation du risque atteindre.
Les mthodes EBIOS, MEHARI, exemples pratiques.
Comment choisir une mthode ? Etre ou ne pas tre <<ISO 19011 spirit>> ?
Les rgles cls pour russir son audit.
Choisir son rfrentiel et prparer les indicateurs et mesures dcarts.

Budgtiser le cot de la scurit dans le projet
Apprendre calculer un cot de solution.
Identifier les cots rcurrent/non rcurrents.
Identifier les critres de prsentation et justifications budgtaires.
Evaluer le risque rsiduel aprs la mise en uvre du projet.
Assurabilit dun risque, calcul financier du transfert lassurance.

La mise en uvre du projet
Choix des solutions optimales.
Critre le choix des technologies et produits.
Rdaction du cahier des charges sassure de sa parfaite lisibilit/ lextrieur.
Les rgles fixes la consultation des intgrateurs-revendeurs.
Comparaison des offres critres de choix des partenaires sur le projet.
Assurer un suivi du projet dans sa mise en uvre.
Les tapes planifies la recette.
La recette du projet : comment la raliser.
Test dintrusion incontournable ? Audit technique ou pas ?
Le choix dun auditeur indpendant, interne ou externe ?
Le cycle de vie du projet.
La supervision scurit de votre projet dans la supervision active du SI.
Indicateurs et tableaux de bord cls.
Veille technologique spcifique du projet.
Que faire en cas dattaques ?
Module3:Ingnieriedescurit

Unit2:AuditdeScuritdesSystmesdInformation
Objectifs:
Comprendre la place de la scurit des SI.
Dfinir le primtre de la scurit des SI et comprendre son articulation avec la culture dentreprise.
Positionner lusage des principaux rfrentiels, normes et guides pratiques en matire daudit de
scurit SI.
Prsenter les diffrentes approches de laudit de scurit.
Maitriser les aspects techniques, organisationnels et humaines dune mission daudit de scurit SI.

Contenu
La scurit SI : Enjeux et principes de base
Les principes de base
Les enjeux et les nouvelles tendances
Les menaces et les vulnrabilits
Les dimensions organisationnelles, techniques et humaines

Laudite de scurit : Approche
Les tapes daudit de scurit
Les objectifs daudits de scurit
Le primtre de laudit de scurit

Les rfrentiels de laudit de scurit
Le panorama des rfrentiels existants.
Lutilisation de la norme ISO 27002.
Lutilisation du rfrentiels PCI DSS.

La ralisation de laudit
Prparation de laudit.
Lentretien de laudit de scurit.
La communication avec laudit.
Les outils de laudit de scurit.
Les facteurs cls de succs dune mission daudite de scurit.

Le rapport daudit
Les rubriques indispensables du rapport.
La structure du rapport.
Les fiches des vulnrabilits.
Ce quil faut viter dans un rapport de scurit.
Le plan daction de scurit.
La prsentation du rapport de scurit.


Module3:Ingnieriedescurit

Unit3:Analysedurisque
Objectifs:
Cette unit vous permettra de choisir une mthode d'analyse de risque adapte votre contexte et
de vous faciliter la mise en uvre par une dmarche simple et pragmatique.

Contenu
Introduction
Dfinitions de la Menace, Vulnrabilit, Risques, Mesures de protection.
La notion de risque (potentialit, impact, gravit).
La classification CAID (Confidentialit, Auditabilit, Intgrit, Disponibilit).
Rappel des contraintes rglementaires et normatives (SOX, COBIT, ISO 27001, ).
Le concept " risque "
Identification et classification des risques.
Les consquences du risque (financier, juridique).
La gestion du risque (prvention, protection, vitement de risque, transfert).
Matrise interne ou transfert vers un tiers.
Assurabilit d'un risque, calcul financier du transfert l'assurance.
Les risques couverts/non couverts par l'assurance.
Les rles complmentaires du RSSI et du Risk Manager/DAF.
L'analyse de risques selon l'ISO
La mthode de la norme 27001
L'intgration au processus PDCA.
La cration en phase Plan de la section 4.
La mise jour en phase Check.
La norme 27005 Information Security Risk Management
L'essentiel de la norme.
La mise en uvre d'un processus PDCA de management des risques.
Les tapes de l'analyse de risques.
Les critres d'acceptation du risque.
Du risque rsiduel au risque accept.
La prparation de la dclaration d'applicabilit (SoA).
Les mthodes d'analyse de risques
Les mthodes franaises
La mthode EBIOS. EBIOS dans une dmarche ISO PDCA de type SMSI 27001. Exemples.
La mthode MEHARI.
Elaborer un plan d'actions bas sur l'analyse des risques.
Les autres mthodes (internationales)
CRAMM, OCTAVE Comparaisons techniques.
Choix d'une mthode
Comment choisir la meilleure mthode.
Avantages/limites mthode par mthode.
Les bases de connaissances (vulnrabilits).
Optimiser la mise jour de son analyse de risques.


Module3:Ingnieriedescurit

Unit4:Testsdintrusionetdtectiondevulnrabilit
Objectifs:
Appliquer les connaissances acquises sur lanalyse des failles de scurit et des possibilits de
pntration de systme dans un projet complexe

Contenu
Introduction aux systmes de dtection d'intrusion
Utilit des systmes de dtection d'intrusions
Type de IDS
Outils de dtection d'intrusions et de vulnrabilit : logiciels libres et commerciaux et exemples
d'utilisation (TCPdump, Ethereal, Snort, Nessus, prelude, etc )
Architecture d'un systme de dtection d'intrusion : emplacement physique et logique dans le rseau,
dtection des anomalies et des abus, alertes, journalisation, compatibilit avec la passerelle de
scurit, seuil de tolrance et faux positifs
Gestion d'un systme de dtection d'intrusions
Problmes de scurit de TCP/IP, menaces existantes,
exemples et caractristiques de quelques attaques
Les HoneyPot
Le module de scurit SELinux.
Dveloppement de politiques de scurit en SELinux.


Module3:Ingnieriedescurit

Unit5:Recherchedepreuves(Cybercriminalit)
Objectifs:
Se familiariser avec larsenal juridique marocain en matire de la scurit des systmes
dinformation
Mieux grer les risques rglementaires

Contenu
1. Infractions relatives aux systmes de traitement automatis des donnes
Les intrusions.
Laccs frauduleux dans un STAD.
Le maintien frauduleux dans un STAD.
Les atteintes.
Les atteintes au fonctionnement dun STAD.
Les atteintes aux donnes.

2. Echange lectronique de donnes juridiques
La preuve.
La redfinition de la preuve littrale.
La conscration de la force probante de lcrit lectronique.
La signature lectronique.
La reconnaissance juridique de la signature lectronique.
Les prestataires de services de certification

3. Protection des personnes physiques lgard du traitement des donnes
caractre personnel.
La nature des donnes protger.
Les droits de la personne concerne.
Le droit linformation.
Le droit daccs.
Le droit de rectification.
Le droit dopposition.
Les obligations du responsable du traitement.
Dclaration pralable.
Autorisation pralable.
Obligation de confidentialit et de scurit des traitements et de secret professionnel.


Module3:Ingnieriedescurit

Unit6:Veilletechnologique
Objectifs:
Ce cours est une approche mthodologie et pratique de la veille technologique, du besoin jusqu la
mise en place dun systme automatis de veille technologique.
Laccent est mis sur la pertinence des sources, les mthodes de rcolte dinformation, ainsi que sur
les applicatifs permettant la collecte et le tri de ces informations.
Lobjectif de lunit est de dresser dune part un tat des lieux des donnes accessibles via internet, et
dautre part de fournir les mthodes et les outils ncessaires la veille technologique.

Contenu
Rechercher sur Internet
Les annuaires
Les moteurs de recherche
Fonctions avances des moteurs de recherche
Interrogation automatique et API
Les mta-moteurs
Le Web invisible
Base de donnes
Bibliothques
Les sources de donnes
Les types de sources
Les sources dalertes scurit
Les sources dexploits
Construction dune base documentaire et capitalisation de linformation
Les aspirateurs de site
Les outils de recherche documentaire offline
Mise en uvre dagent intelligent de veille
Problmatique du data-mining
Recherche documentaire et collaboration.

Module3:Ingnieriedescurit

Unit1:SecuringCiscoNetworkDevices(SND642552)
Objectifs:
Ce cours pour objectif d'amliorer les tches pour scuriser les routeurs et les commutateurs en
utilisant les caractristiques disponibles au travers de l'interface de ligne de commande et des
Interfaces graphiques web.

Contenu
Lesmenacesconcernantlesinfrastructures
rseauxmodernes
Lesmenacescourantessurlesinstallationsphysiques
Lesmthodesusuellesd'attaquesrseau
Lesvers,lesvirus,lestrojan
Lecycledeviedelascurit
Lespolitiquesdescurit
Ladescriptiondel'architectured'autodfensedeCisco
ScurisationdesrouteursCisco
ScurisationdesrouteursgrceauSDM(SecurityDevice
Manager)
Scurisationdesdroitsd'accspourl'administrationdes
routeurs
Privilgesd'accsmultiples
Scurisationdel'imageIOSetdesfichiersdeconfiguration
Implmentationd'AAAsurlesrouteurs
Cisco
Lesfonctionsd'AAA(Authentication,Authorizationet
Accounting)
LespropritsdesprotocolesRADIUSetTACACS+
Mthodesd'authentificationpourfournirunaccsaurouteur
outraversunrouteur
LesACLS
Rappelsurleslistesdecontrled'accs
ConfigurationetvrificationdesACLpourviterlesdenisde
service
ConfigurationdesACLpourviterl'usurpationd'identit(IP
addressspoofing)
Implmentationdumanagementdela
scuritrseauetdureporting
Planificationdelascurit
ConfigurationdeSSH
ConfigurationdeSyslog
SNMPv3etNTPv3
Evitementdesattaquesdecouche2
Lesattaquescommunesdecouche2:VLANhopping,STP
attacks,ARPspoofing,MACspoofing,CAMoverflow...
Lespropritsdescuritauniveaudescommutateurs
CatalystCisco(PVLAN,SPANport,IBNS...)
Lesattaquescommunessurlesrseauxsansfil
Lesprincipalesfonctionsdescuritduprotocole802.11
Miseenplacedel'IOSFirewall
Prsentationdesprincipauxavantagesetinconvnientsdes
diffrentstypesdefirewall(parefeu)
Lestablesd'tat
LaconfigurationduNATsurunparefeu
ConfigurationdufirewallgrceSDM

ImplmentationdeCiscoIPS
Dtectiond'intrusionbasesurlerseauousurleclient
Dfinitiondestechnologiesdedtectiond'intrusion,des
rponsesauxattaquesetdesoptionsdemonitoring
Activationdel'IPSetconfiguration
ConfigurationduVPNIPSecsurunrouteur
Cisco
IKEProtocol
Lehachagedesmessages(HMAC)
Lesmthodesdecryptage
LaclDiffieHellman
L'authentificationIPSec
L'environnementPLI
Configurationetvrificationd'unVPNintersitesavecdescls
partages
CiscoEasyVPNServeretCiscoEasyVPNRemote
Configurationd'accsdistantsVPN
Atelierspratiques
Scurisationd'unrouteurCisco
Alafindecetatelier,lestagiaireestcapabledescuriserles
accsadministratifsunrouteurCiscogrceauxfonctions
OneSteplockdown,auxmotsdepassecrypts,auxexec
timoutetauxdiffrentsprivilgesd'accs
Leslistesdecontrlesd'accs
LorsdeceTP,lestagiaireapprendraconfigurer,optimiseret
dpannerleslistesdecontrled'accsafind'viterles
attaquesparTelnet,SNMP,IPSpoofingouencorelesattaques
pardnisdeservicedistribus.
SSHetSyslog
CetatelierenseigneraaustagiaireconfigurerunlienSSHsur
desrouteursCiscoafind'enscuriserlesaccsetdeconfigurer
unserveurSyslogquirecueilleratouslesmessagesd'alerte.
Lesparefeuxetlessystmesdedtection
d'intrusion
CeTPconsisteconfigurerlefirewalletl'IPSCiscosurun
routeurpartirdelaconsoledegestiondescuritSDM
Cisco.
LeVPN
Alafindecetatelier,lestagiaireestenmesuredeconfigurer
uneliaisonVPNentre2sites,ouencoredeconfigurerun
routeurCiscoafinqu'ilacceptelesconnexionsd'accsrseau
distance.

Module4:Certification

Unit2:ISO27002
Objectifs:
ComprendrelecadrederfrenceISO27000,sesprocessusetsesexigences
Prendreconnaissancedesbonnespratiquesenmatiredescuritdessystmesdinformation.
AssimilerleprocessusdecertificationISO27000.
Seprparerl'examenISO/IEC27002Foundation.

Contenu
Introductionauxnormesdelasrie27000etlacertificationassocie
Introductionauxsystmesdemanagementetlagestiondesrisques
PrsentationdelanormeISO27000Origine,conceptsetterminologie
PrsentationduprocessusdecertificationISO27001

ISO27001:Exigencesetmiseenuvre

PrsentationdelanormeISO27001:NotiondeSMSI,dePDCA,tracesouenregistrements,
inventairedesactifs,apprciationdurisque,traitementdurisque
PrsentationdesprincipauxthmescouvertspaslanormeISO27002
Prsentationdeladmarched'auditISO19011appliqueauxauditsISO27001

Conceptsetbonnespratiquesenscuritdelinformation

Scuritdelinformation
Menacesetrisques
Approcheetorganisation
Miseenplacedunsystmedemesure
Conformitlarglementation

Rvisionsetprparationlexamen

Etudedecas
Questionsouvertes
Examenblanc

Module4:Certification

Unit3:ITILFondation
Objectifs:
ITIL V3 (Information Technology Infrastructure Library) est un ensemble de publications publies par
lOGC (UK) et regroupant les meilleures pratiques pour structurer et amliorer l'efficacit, la
performance et les cots des services informatiques. Ce cours ITIL V3 permettra aux participants de :
Introduire les principaux concepts et le vocabulaire ITIL.
Montrer lintrt de lITIL dans une dmarche de gestion des Services.
Comprendre les implications de la mise en uvre de lITIL.
Acqurir les rflexes ITIL.
Obtenir la certification ITIL

Contenu
1.PRESENTATIONGENERALEI.T.I.L.
Origines,acteursetphilosophieduconcept
PrsentationdelapprocheaxesurlesMeilleuresPratiques
I.T.I.L.etlesdiffrentesnormesetdmarchesqualitdentreprise:positionnementetcomplmentarit
2.PRESENTATIONDESCINQNOUVEAUXLIVRESITILV3
ServiceStratgie
ServiceDesign(laconceptiondesservices)
ServiceTransition
ServiceOpration
Servicedamliorationcontinue
3.ETUDEDESCONCEPTS,ROLEETFONCTION
LeServiceStratgie
Lesdiffrentstypesdefournisseurdeservice
Positionnement
LaConceptiondesServices
Laconceptiondesprocessus
Laconceptiond'unportefeuilledeservice
L'laborationdestechnologies
LaTransitiondesServices
Lagestiondesconfigurationsetdesactifs
LemodledeserviceselonITILV3
LeServiceOpration
Lecentredeservice
Laqualitdeservice
Lecotdeservice
L'amliorationcontinuedesServices
Laplanificationdesservices
Lesobjectifsmtiers
Missionsetciblesmtiers
4PREPARATIONALEXAMENDECERTIFICATIONITILV3
TermesI.T.I.L.etnonI.T.I.L.:reprageetdiscrimination
ChoisirlarponseparapprocheVRAI/FAUX
Comprhensiondequestionscomplexesetrepragedespigesinhrentslasyntaxe
Gestiondutempsdelexamen
5EXAMENDECERTIFICATIONAGREEEXIN
Modalitsdtaillesdcritesdurantlasession
Module4:Certification

E
d
1
O
R
0

S
0

w

EcoledesH
desSystme
14,RueAbou
Omarau2
m
Responsable
067989454
Secrtariat
052900443
www.heisi.m
autesEtude
esdInform
uAbdellahN
e
tage,Ma
pdagogiqu
46m.zaro@
34info@he
ma
MASTER
Spcialit
Une form
faonp
avec succ
poursuiva
offrega
rseau d
Scuritd
Les ensei
la scur
pdagogi
unfacteu
esenIngn
ation
Nafii,Centre
arif,Casablan
ue
@heisi.ma
eisi.ma
INGE
INFORMAT
:Scurit
mation de
permettre
cs ses tu
antsesact
lementla
de relatio
desSystm
gnants, ex
rit, lenv
que et les
ressentiel
ierie
Ben
nca.
ECOL
ENIERIEDESS
TIQUEPRO
desSyst
e haut niv
uncadre
udes de sp
tivitsprof
possibilit
ns dans
mesdInfor
xperts reco
vironneme
s entrepris
ldelaqual
LEDESHAUTE
YSTEMESDIN
OFESSIONN
mesdInfo
veau cons
eenposte
pcialisatio
fessionnell
desecon
le domai
mation
onnus du m
ent, lenc
ses parten
litdeceM
HEISI
ESETUDESEN
NFORMATION
NEL
ormation
struite de
demener
on tout en
es.Ellelui
nstruireun
ne de la
monde de
cadrement
aires sont
Master.
I
N
N