Tutoriel sécurité du commerce électronique

	Voir aussi...  Planning des formations inter-entreprises  Tutoriel Reed-OIP - Détection d'intrusion avancée
Lieu et date  Organisateur et inscription  Objectifs et public visé  Durée  Programme

Date : 5 décembre 2001, au CNIT La Défense (Paris)

Cadre : Tutoriel organisé dans le cadre du salon de la sécurité informatique

Reed Exhibitions

Courriel : securite@reedexpo.fr
Tél : +33 (0) 141 904 702
Fax : +33 (0) 141 904 769

Inscription en ligne

Ce tutoriel présente une vue globale de la problématique de la sécurité dans le commerce électronique, et comment s'organiser en conséquence. Le tutoriel début par des exemples concrets d'attaques, et traite l'ensemble des technologies et des architecture du serveur web au back-office, en passant par SSL et XML. Il permet d'apprendre à intégrer la sécurité dans son projet de commerce électronique et à bâtir des solutions de commerce électronique robustes et sécurisées.

Ce tutoriel s'adresse aux responsables de sécurité, aux responsables informatique, aux chef de projet commerce électronique, aux architectes commerce électronique, aux ingénieurs travaillant dans le monde du commerce électronique.

Ce tutoriel dure une journée ; il est dispensé en langue française.

• Les attaques contre les systèmes de commerce électronique
• Techniques d'intrusions des serveurs WWW et applications du commerce électronique
• HTTP
• Envoi de cookie
• Envoi de données à des scripts distants
• Suppression des contrôles Javascript
• Visualisation de l'authentification
• HTTPS
• Dénis de service
• Techniques de dénis de service
• Les denis de services répartis
• Exemple d'inondation
• Exemple d'attaque en dénis de service sur HTTPS avec Shutup
• Techniques d'attaque sur le DNS
• Rôle du DNS
• exemple d'attaque sur le DNS
• vol de nom de domaine
• Conséquences des attaques
• Architectures sécurisées de commerce électronique
• Les architecture multi-strates (n-tier)
• Le contrôle d'accès
• Le cloisonnement par le filtrage IP
• Utilités et limites des architectures multi-strates
• La haute-disponibilité
• Exemple avec IP-Filter
• Les systèmes de sécurité internet (firewalls)
• Fonctionnement d'un filtre IP
• Fonctions de sécurité
• Limites d'un filtre IP
• Utilisation des relais applicatifs
• Usages des réseaux privés virtuels chiffrés (VPN)
• Sécurité des serveurs WWW
• Sécurisation du serveur WWW
• Exemples sur Apache
• Sécurisation du système d'exploitation
• Exemple sur Linux et Windows 2000
• Scellement du système
• Gestions des correctifs de sécurité
• Intégration des outils
• Sécurisation des developpements
• exemples Shellscript Unix, Perl, ASP, PHP, Java Servlet
• principe du débordement de buffer
• recommandations
• Exemples d'achitectures sécurisées
• Linux, Apache, PHP, MySQL
• Windows 2000, IIS, ASP, DCOM, SQLServer
• Solaris, Netscape, Servlets
• Exemple d'architecture avec des logiciels personalisation (Broadvision, Signature, etc)
• Exemple d'architecture avec des logiciels de CRM
• Sécurisation des échanges
• Le protocole SSL/TLS
• Principes
• Implémentations
• Exemple d'Achilles
• Exemple de dsniff webmitm
• Les certificats serveur
• Rôle du certificat
• Exemple d'une attaque sur HTTPS
• Recommendations pour les utilisateurs
• Authentification des utilisateurs
• Authentification basique
• Authentification HTTP
• Authentification WNT (dans le cas d'IIS)
• Certificat
• Utilisations de serveurs LDAP
• Les certificats client
• Gestion des sessions
• Cookie
• Champs cachés
• Session-ID
• Limites de la sécurisation des échanges
• Exemple d'erreurs
• Sécurité XML
• Les principes de XML
• Les signatures XML
• exemple d'architecture avec Webmethods
• Le chiffrement XML
• Les protocoles d'échange SOAP et XML-RPC
• Les risques
• classiques
• exemples d'attaques sur l'API DOM avec SOAP ou XML-RPC
• les canaux cachés / contournement de firewall
• La détection d'intrusion
• Description de la détection d'intrusion
• exemple d'utilisation de snort
• Limites de la détection d'intrusion
• La journalisation
• Méthodologie
• Processus d'intégration de la sécurité dans le projet
• La plateforme de tests ou validation ou homologation
• Intégration de la sécurité dans l'architecture
• Analyse externe de l'architecture réseau et applicative retenue
• Sécurité dans le développement des applications
• Rôles et responsabilités
• Formalisation des procédures d'exploitation
• Procédures d'urgence en cas de problème
• défigurations de son serveur (defacement), dénis de service, etc
• Plan de secours
• Audit par un tiers
• Tests d'intrusions
• Modèles économiques
• Infogérance
• Pourquoi nous n'avons pas parlé de
• Internet Explorer
• Carte à puce
• SET, CSET
• PKI
• Conclusion
• Ressources