HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Conférences > Tutoriel sécurité du commerce électronique
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Tutoriel sécurité du commerce électronique  
blah Conférences
Voir aussi...
o Planning des formations inter-entreprises
o Tutoriel Reed-OIP - Détection d'intrusion avancée
o Lieu et date
o Organisateur et inscription
o Objectifs et public visé
o Durée
o Programme


Lieu et date

Date : 5 décembre 2001, au CNIT La Défense (Paris)

Cadre : Tutoriel organisé dans le cadre du salon de la sécurité informatique


Organisateur et inscription

Reed Exhibitions
Reed Exhibitions

Courriel : securite@reedexpo.fr
Tél : +33 (0) 141 904 702
Fax : +33 (0) 141 904 769

Inscription en ligne


Objectifs et public visé

Ce tutoriel présente une vue globale de la problématique de la sécurité dans le commerce électronique, et comment s'organiser en conséquence. Le tutoriel début par des exemples concrets d'attaques, et traite l'ensemble des technologies et des architecture du serveur web au back-office, en passant par SSL et XML. Il permet d'apprendre à intégrer la sécurité dans son projet de commerce électronique et à bâtir des solutions de commerce électronique robustes et sécurisées.

Ce tutoriel s'adresse aux responsables de sécurité, aux responsables informatique, aux chef de projet commerce électronique, aux architectes commerce électronique, aux ingénieurs travaillant dans le monde du commerce électronique.


Durée


Programme

Ce tutoriel dure une journée ; il est dispensé en langue française.

  • Les attaques contre les systèmes de commerce électronique
    • Techniques d'intrusions des serveurs WWW et applications du commerce électronique
      • HTTP
      • Envoi de cookie
      • Envoi de données à des scripts distants
      • Suppression des contrôles Javascript
      • Visualisation de l'authentification
      • HTTPS
    • Dénis de service
      • Techniques de dénis de service
      • Les denis de services répartis
      • Exemple d'inondation
      • Exemple d'attaque en dénis de service sur HTTPS avec Shutup
    • Techniques d'attaque sur le DNS
      • Rôle du DNS
      • exemple d'attaque sur le DNS
      • vol de nom de domaine
    • Conséquences des attaques
  • Architectures sécurisées de commerce électronique
    • Les architecture multi-strates (n-tier)
    • Le contrôle d'accès
    • Le cloisonnement par le filtrage IP
    • Utilités et limites des architectures multi-strates
    • La haute-disponibilité
      • Exemple avec IP-Filter
  • Les systèmes de sécurité internet (firewalls)
    • Fonctionnement d'un filtre IP
    • Fonctions de sécurité
    • Limites d'un filtre IP
    • Utilisation des relais applicatifs
    • Usages des réseaux privés virtuels chiffrés (VPN)
  • Sécurité des serveurs WWW
    • Sécurisation du serveur WWW
      • Exemples sur Apache
    • Sécurisation du système d'exploitation
      • Exemple sur Linux et Windows 2000
    • Scellement du système
    • Gestions des correctifs de sécurité
  • Intégration des outils
    • Sécurisation des developpements
      • exemples Shellscript Unix, Perl, ASP, PHP, Java Servlet
      • principe du débordement de buffer
      • recommandations
    • Exemples d'achitectures sécurisées
      • Linux, Apache, PHP, MySQL
      • Windows 2000, IIS, ASP, DCOM, SQLServer
      • Solaris, Netscape, Servlets
      • Exemple d'architecture avec des logiciels personalisation (Broadvision, Signature, etc)
      • Exemple d'architecture avec des logiciels de CRM
  • Sécurisation des échanges
    • Le protocole SSL/TLS
      • Principes
      • Implémentations
      • Exemple d'Achilles
      • Exemple de dsniff webmitm
    • Les certificats serveur
      • Rôle du certificat
      • Exemple d'une attaque sur HTTPS
      • Recommendations pour les utilisateurs
    • Authentification des utilisateurs
      • Authentification basique
      • Authentification HTTP
      • Authentification WNT (dans le cas d'IIS)
      • Certificat
      • Utilisations de serveurs LDAP
    • Les certificats client
    • Gestion des sessions
      • Cookie
      • Champs cachés
      • Session-ID
    • Limites de la sécurisation des échanges
      • Exemple d'erreurs
  • Sécurité XML
    • Les principes de XML
    • Les signatures XML
      • exemple d'architecture avec Webmethods
    • Le chiffrement XML
    • Les protocoles d'échange SOAP et XML-RPC
    • Les risques
      • classiques
      • exemples d'attaques sur l'API DOM avec SOAP ou XML-RPC
      • les canaux cachés / contournement de firewall
  • La détection d'intrusion
    • Description de la détection d'intrusion
      • exemple d'utilisation de snort
    • Limites de la détection d'intrusion
    • La journalisation
  • Méthodologie
    • Processus d'intégration de la sécurité dans le projet
    • La plateforme de tests ou validation ou homologation
    • Intégration de la sécurité dans l'architecture
    • Analyse externe de l'architecture réseau et applicative retenue
    • Sécurité dans le développement des applications
    • Rôles et responsabilités
    • Formalisation des procédures d'exploitation
    • Procédures d'urgence en cas de problème
      • défigurations de son serveur (defacement), dénis de service, etc
    • Plan de secours
    • Audit par un tiers
    • Tests d'intrusions
    • Modèles économiques
    • Infogérance
  • Pourquoi nous n'avons pas parlé de
    • Internet Explorer
    • Carte à puce
    • SET, CSET
    • PKI
  • Conclusion
  • Ressources
Dernière modification le 2 juin 2006 à 14:07:46 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants