Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

TIW4 – Sécurité des Systèmes d’Informations Livret d’exercices Romuald Thion Ma

TIW4 – Sécurité des Systèmes d’Informations Livret d’exercices Romuald Thion Master 2 Technologies de l’Information et Web (TIW) – 2019–2020 Table des matières 1 Politique de sécurité et analyse de risques 7 1.1 Analyse de risques Ebios : généralités . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.2 Analyse de risques Ebios : cas d’étude UCBL . . . . . . . . . . . . . . . . . . . . . 8 1.3 Analyse de risques Ebios : cas d’étude @RCHIMED . . . . . . . . . . . . . . . . . . 8 1.4 Politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2 Principes de la cryptographie 13 2.1 Principes de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.2 Analyse d’algorithmes de chiﬀrement simples . . . . . . . . . . . . . . . . . . . . . . 15 2.3 Authentiﬁcation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.4 Protocoles cryptographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.5 Cas d’étude : sauvegarde de clef pour un dossier médical . . . . . . . . . . . . . . . 19 3 Exploitation de vulnérabilités logicielles 23 3.1 Bonnes pratiques de développement logiciel . . . . . . . . . . . . . . . . . . . . . . 23 3.2 Reconnaissance et réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.3 Étude d’exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4 Gestion des autorisations 31 4.1 Modèles de contrôle d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.2 Modèles à rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.3 Contrôle d’accès dans web.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.4 Contrôle d’accès XACML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.5 Filtrage par pare-feux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5 Protection de la vie privée 41 5.1 Bases de données hippocratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 A Appendice 43 A.1 Traces nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 A.2 Syntaxe concrète web.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 A.3 Exemple XACML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 A.4 Délibérations de la CNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 A.5 Grille de critères pour l’analyse de la vie privée . . . . . . . . . . . . . . . . . . . . . 52 3 Liste des exercices Exercice 1 Bien supports et menaces génériques . . . . . . . . . . . . . . . . . . . . . . 7 Exercice 2 Évaluation des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Exercice 3 Étude du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Exercice 4 Détermination des objectifs de sécurité . . . . . . . . . . . . . . . . . . . . . 8 Exercice 5 étude du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Exercice 6 étude des événements redoutés . . . . . . . . . . . . . . . . . . . . . . . . . 10 Exercice 7 étude des scénarios de menaces . . . . . . . . . . . . . . . . . . . . . . . . . 10 Exercice 8 détermination des objectifs de sécurité . . . . . . . . . . . . . . . . . . . . . 10 Exercice 9 Critères non-fonctionnels des systèmes . . . . . . . . . . . . . . . . . . . . . 11 Exercice 10 Rentabilité d’une politique de sécurité . . . . . . . . . . . . . . . . . . . . . 11 Exercice 11 Niveau de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Exercice 12 Audit de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Exercice 13 Principe de Kerckhoﬀs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Exercice 14 Recherche exhaustive de clefs symétriques . . . . . . . . . . . . . . . . . . . 13 Exercice 15 Chiﬀrement symétrique et asymétrique . . . . . . . . . . . . . . . . . . . . 13 Exercice 16 Certiﬁcats x509 avec openssl . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Exercice 17 Chiﬀrement de César . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Exercice 18 Analyse du chiﬀrement de Vigenère . . . . . . . . . . . . . . . . . . . . . . 15 Exercice 19 Chiﬀrement et déchiﬀrement avec RSA . . . . . . . . . . . . . . . . . . . . 16 Exercice 20 Catégorie de procédés d’authentiﬁcation . uploads/Management/ tiw4-td-book-pdf.pdf