C'est à l'intention des responsables de la sécurité des Systèmes d'Information (SI), consultants en TI et en sécurité, administrateurs de sécurité et autres ingénieurs, que l'Agence Nationale de Sécurité Informatique (ANSI), organise, en collaboration avec l'Association tunisienne pour le développement de la technologie numérique et des ressources humaines (ATTR), un séminaire de formation sur le thème : «Initiation aux 10 domaines d'expertise de la sécurité des systèmes d'Information», du 9 au 11 mai 2007 à Tunis. Selon l'ANSI, ce séminaire abordera les 10 disciplines de sécurité du CBK ou 'Common Body of Knowledge'' qui constituent les fondements de l'expertise en matière de sécurité des systèmes d'information et l'objet de la certification la plus reconnue à l'échelle internationale : CISSP (Certified Information System Security Professional). Il permet aussi de se préparer à obtenir la moins ambitieuse certification SSCP (Systems Security Certified Practitioner, qui se base sur uniquement 7 disciplines du CBK). Le CBK et ainsi le programme de la certification concerne les dix domaines suivants: Bonnes pratiques pour! la gestion de la sécurité, Sécurité physique, Cryptographie, Sécurité des Télécommunications et des Réseaux, Architectures et Modèles de Sécurité, Sécurité des opérations, Systèmes et Méthodologies de contrôle d'accès, Sécurité des développements d'applications, Continuité des opérations et plan de reprise en cas de désastre ; Loi, investigations et éthique. Des démonstrations d'outils de sécurité open-source seront réalisées au cours du séminaire en vue de démontrer les grandes potentialités, ainsi que les éventuelles limites de ces outils de protection à usage gratuit. Les dix domaines de la sécurité : Enjeux et axes stratégiques en matière de sécurisation des systèmes d'information nationaux. Premier domaine : bases pratiques pour la gestion de la sécurité Security Management Practices. Deuxième Domaine : Sécurité physique «Physical security» (les menaces de nature physique, mécanismes de contrôle d'accès & de détection d'incidents, aspects techniques de sécurisation des centres de calcul) Troisième Domaine : La Cryptographie «cryptography» (les concepts de base de la cryptographie : méthodes de chiffrement et de scellement, les algorithmes à clé publique et privée : exemples, avantages et inconvénients de chaque méthode ; les signatures électroniques et la notarisation, pour garantir l'authenticité des transactions électroniques et leur non répudiation ; les certificats électroniques : objet, utilisations ). Quatrième Domaine : Sécurité des télécommunications et des réseaux «Telecommunications, Network, and Internet Security» (radioscopie et simulations d'exemples réels d'attaques de réseaux ; les technologies de sécurisation des connections externes des réseaux et des Extranets ; les technologies de sécurisation des réseaux internes (Firewalls PC et distribués, Détecteur d'intrusion hôte (HIDS) ; les technologies de protection contre les contenus malicieux (virus, spywares, (et spam) ; configuration et administration d'outils open-source de protection de réseaux et de chiffrement). Cinquième Domaine : Architectures et modèles de sécurité «Security Architecture and Models» : modèles d'architectures de sécurité optimales ; preuve de concept open-source : Mise en uvre de la sécurisation totale d'un système d'information, en utilisant des outils open-source ; sécurisation des réseaux multimédia (téléphonie IP, vidéo-conférence ) ; les normes concernant le niveau de sécurité des outils : la norme ISO 15408 (Common Criteria). Sixième Domaine : Sécurité des opérations «OperationsSecurity» : mécanismes et outils (open-source) d'administration de la sécurité (gestion centralisée des outils de sécurité et des alertes, gestion des sauvegardes) ; mécanismes et outils (open-source) de suivi de l'utilisation des systèmes ; notion de Plan de Réaction, en cas d'intrusion et rôle des CSIRTs... Septième Domaine : Systèmes et méthodologies de contrôle d'accès («Access Control Systems and Methodology» : radioscopie et exemple d'attaques des systèmes de contrôle d'accès (Interception, rejout, crack de passwords, exploitation de failles pour l'accès frauduleux) ; concepts d'identification et d'authentification et bonnes pratiques pour la gestion des attributs d'authentification et outils de gestion des utilisateurs (LDAP ; techniques d'identification pour le contrôle d'accès aux ressources (contrôleurs de domaines) ; techniques d'authentifica! tion pour le contrôle d'accès aux ressources (Kerberos) Huitième Domaine : Sécurité des développements «Application Development Security» : radioscopie et simulations réelles d'exemples réels d'attaques visant les erreurs de programmation («Buffer overflow», Injection SQL, sites web : Cross-site scripting/vol de session) ; les structures et contrôles de base de la sécurité incorporés dans les applications (authentification des accès, chiffrement, log des opérations, ..) ; comment les contrôles de la sécurité sont insérés dans les applicatifs : API cryptographiques. Neuvième Domaine : Continuité des opérations et plan de reprise en cas de désastre « Business Continuity & Disaster Recovery Planning»: Appréhender : la différence entre la planification de la continuité et de la reprise d'activité ; la planification de la continuité de service en termes de mise en place et de portée du plan, d'analyse d'impact, de stratégies de reprise, de développement et d'implémentation des plans ; la planification de reprise après sinistre en termes de développement, d'implémentation et de restauration d'un plan Dixième Domaine : Lois, investigations et éthique «Law, Investigations, and Ethics» : présentation des lois concernant la sécurité Informatique , les délits informatiques, la protection de la vie privée et e respect de la propriété intellectuelle ; à qui s'adresser en cas d'attaque (déclaration, plainte juridique) et principes de preuve, en cas d'attaques cybernétiques ; comment le code d'éthique de ! l'(ISC)2 et le RFC 1087 servent à résoudre les dilemmes éthiques des professionnels de la sécurité ; aperçu sur d'autres législations internationales, en matière de sécurité informatique. site web : www.attr.org.tn
