Le Challenge FIC est ouvert à toutes celles et tous ceux qui disposent de compétences techniques en matière de sécurité informatique et se déroulera les 21 et 22 janvier prochains, à l'occasion du FIC 2014, l'événement de référence en matière de cybersécurité.

Le Challenge FIC vise à rassembler des passionnés, débutants ou expérimentés, étudiants ou professionnels et à distinguer quelques profils prometteurs.

Organisé en partenariat avec l'association ACISSI, avec les étudiants de la licence CDAISI de l'IUT de Valenciennes et l'Ecole d'ingénieur EPITA, et avec le parrainage du Réseau Cyberdéfense de la Réserve Citoyenne, le Challenge FIC consiste en deux séries d'épreuves informatiques de 4 heures. Ces épreuves comportent différents niveaux, de difficulté croissante, et sont menées sur un réseau fermé*.

Pour les participants, il s'agira d'utiliser toutes les techniques d'analyses forensic (PDF, Flash, image, analyse mémoire, traces réseau, Java et .Net…) pour résoudre entre 1 à 10 exercices par technologie pour pouvoir accéder au niveau suivant.

Pour s'inscrire et participer au Challenge FIC 2014 : http://bit.ly/15W2BKK -

Clôture des inscriptions : 15 décembre 2013 !

1er prix : une participation à une conférence de sécurité informatique européenne
2è prix : une certification Computer Hacking Forensic Investigation par EC-Council
3è prix : une Playstation 4
4è prix : un iPad mini

* Les participants doivent amener leur matériel. Un accès local et une connexion Internet seront mis à leur disposition.

Les autoroutes de l'information sont des voies de communication de moins en mois sûres. La donnée est devenue le cœur de toute entreprise. Pourtant, elle est de plus en plus soumise aux attaques des pirates informatiques. Tous les outils de communication (PC, Portable, PDA, clés USB…) sont devenus des matériels indispensables, mais aussi des vecteurs de menaces. Devant cette insécurité croissante, tous les acteurs de l'informatique sont concernés par la sécurité de leur SI.

Dans l'espace francophone, peu de conférences, exclusivement en Français, s'adressent sur un même lieu à la communauté technique (administrateurs, experts techniques) et à un public de managers (RSSI, DSI).

Les « GS Days, Les Journées Francophones de la Sécurité» ont pour objectif d'informer et de démontrer à la communauté SSI : la réalité des menaces actuelles, leur simplicité de mise en oeuvre et leurs impacts sur la SI. Ce Colloque souhaite également se tourner vers l'avenir en faisant la démonstration de nouveaux « Proof of Concept » qui pourraient menacer les SI.

Les conférences seront donc proposées sous les aspects techniques pour les administrateurs, organisationnels (pour les RSSI, DSI…) et des démonstrations réalisées, en partie, en collaboration avec les experts de l'ARCSI concernent ces deux typologies de public.

Plusieurs associations professionnelles reconnues sont partenaires de cet événement : CLUSIF, le Forum Atena, le Chapitre français de l'OWASP, ainsi que les magazines Programmez !, Solutions&Logiciels et Global Security Mag.

En parallèle à cet événement, un espace sera aussi ouvert à quelques sponsors spécialisés.

Le comité de Programme est assuré par Global Security Mag, Olivier Guérin, CLUSIF, Hervé Schauer, HSC, Philippe Humeau, NBS System, Paul Such, SCRT, Olivier Revenu, EdelWeb, Eric Doyen, Generali et Emmanuel Garnier, Systalians. Ce comité a pour objectif la sélection des conférenciers et du contenu technique du Colloque.

NOUS REMERCIONS NOS SPONSORS DE L'EDITION 2013 :

Sponsor Platinium : France Telecom-Orange Business Services

Sponsor Saphir : ProofPoint

Sponsors Silver : Quotium, Formation Terranova

Sponsors Bronze : HSC, ZF-Electronic-Cherry, Ilex, ITrust , Netasq, Deny All, NetIQ. Athena GS, Prim'X Technologies, Excelerate,

INFOS PRATIQUES

Date et lieu :
18 mars2013 - 8h30 – 18h30
Esapce Saint-Martin
www.gsdays.fr

Renseignements : www.gsdays.fr
Marc Brami ou Emmanuelle Lamandé
Tél. : 01 40 92 05 55
e-mail : marc.jacob@globalsecuritymag.com ou emmanuelle.lamande@globalsecuritymag.com

* citation de Jean-Marc Laloy, ARCSI

La 6ème édition des GS Days, qui se tiendra le 18 mars 2014 à l'Espace Saint-Martin - Paris 3ème, s'articulera autour du thème : « Protection des libertés individuelles et respect de la vie privée ». Pour cette 6ème édition, l'accent sera mis sur la protection des libertés individuelles et des données à caractère personnel, mise à mal par les pirates informatiques, les Etats, et potentiellement les solutions de sécurité elles-mêmes. Ainsi, pour cette édition, il s'agira de proposer des sujets (conférences, démonstrations…) sur des thèmes techniques, organisationnels et juridiques afin d'en montrer les dangers pour la vie privée des individus, comme pour les entreprises.

Quelques exemples de thèmes

Les thèmes techniques :

Les attaques :
Les malwares de haut niveau, botnets étatiques, worms complexes et ciblés
Les attaques ciblées
Les nouvelles tendances d'attaque : systèmes embarqués, Hacking hardware, etc.

L'évolution des moyens de protection :
WAF, outils de lutte anti-DDoS...
Les limites du sandboxing
Protection de l'information, récupération de données, effacement sécurisé, etc.

Les thèmes organisationnels :
Le rôle de l'état dans la SSI
Les hommes (ingénierie sociale)
Le e-commerce, m-commerce, m-paiement
L'évolution du renseignement, interception
L'intelligence économique passe-t-elle forcément par l'espionnage ?
La gouvernance de l'information, Big Data
Cyberguerre : implication des états, outils d'attaques/de détection, composants électroniques
Les nouveaux usages du SI : les réseaux sociaux et les applications en ligne
Communication de crise
BYOD
Quid de l'enseignement/formation, sensibilisation ? Rôle de l'éducation nationale dans le domaine des TIC ?

Les thèmes juridiques :
M-Payment et M-Banking
E-réputation : quel recours juridique ?
Le droit peut-il quelque chose pour la protection de l'information ?

Les présentations attendues devront proposer une vision technique ou scientifique. Les présentations à fin commerciale ou la présentation d'un produit ne seront pas acceptées. Cependant, les propositions présentant une analyse technique de la sécurité d'un produit, un comparatif fondé sur des tests scientifiques, et les retours d'expérience avec un aspect technologique, seront examinées avec attention. Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de questions.

Le comité de Programme est assuré par Global Security Mag, Olivier Guérin, CLUSIF, Hervé Schauer, HSC, Philippe Humeau, NBS System, Paul Such, SCRT, Olivier Revenu, EdelWeb, Maître Diane Mullenex, Cabinet Ichay et Mullenex, Eric Doyen, Président du Club 27001, et Emmanuel Garnier, Systalians. Ce comité a pour objectif la sélection des conférenciers et du contenu du Colloque.

Dates importantes :

Date limite de soumission : 10 JANVIER 2014 uniquement par mail marc.jacob@globalsecuritymag.com
Notification aux auteurs : 24 janvier 2014
Présentation définitive : 10 mars 2014
Conférence : 18 mars 2014

Processus de soumission

Première étape : Les propositions de communication (1 à 2 pages) parviendront au comité de programme avant le 10 JANVIER 2014, par mail à l'adresse marc.jacob@globalsecuritymag.com. Le format recommandé est PDF. Figureront le titre de la communication et sa catégorie (Technique, Organisationnelle, Juridique ou Démonstration), les nom(s) et prénom(s) du ou des auteurs et leur affiliation, l'adresse de courrier électronique de l'un des auteurs, un résumé (15 lignes environ) et une liste de mots clés. Les auteurs seront prévenus de l'acceptation ou du rejet de leur proposition le 24 janvier 2014.
Seconde étape : Les auteurs fourniront pour le 10 mars 2014 une version définitive de leur présentation par mail à l'adresse marc.jacob@globalsecuritymag.com. Ces versions définitives tiendront compte des remarques du comité de programme. Elles seront fournies de préférence au format PDF ou PPT. Les communications seront rédigées uniquement en français. Les meilleures communications, désignées par le comité de programme, pourront faire l'objet d'une publication sur le site de Global Security Mag ou dans le magazine trimestriel.

Pour adresser vos soumissions : marc.jacob@globalsecuritymag.com

L'appel à communication est disponible au format pdf :

Date et lieu :
18 mars 2014 - 8h30 – 18h30
Espace Saint-Martin - 199 bis, rue Saint-Martin - 75003 Paris
www.gsdays.fr

La conférence annuelle du Club 27001 privilégie les retours d'expérience dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la mise en oeuvre d'une des normes, leur usage y compris sans certification, les difficultés rencontrées et les intérêts perçus.

Voici les thèmes sur lesquels nous attendons des propositions, sans que ceux-ci soient exhaustifs :

Mise en oeuvre d'un SMSI
. Retour d'expérience
. Reprise de l'existant
. Comment engager sa direction générale
. Comment surmonter la peur du SMSI
Gestion des risques liés à la sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc.
. Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
. Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
Versions 2013 des normes ISO27001 et ISO27002
Audits internes
. Mise en place d'audits internes pour le SMSI
. Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc)
. Utilisation de l'ISO 19011 et ISO 27006
Gestion des incidents liés à la sécurité
. Retours d'expérience
. Usage de l'ISO 27035
. Liens avec d'autres référentiels (NIST SP800-61rev1, etc)
Indicateurs, métriques et tableaux de bord
. Retours d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc)
Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management des risques _ . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec ISO 27001
. Mutualisation, opposition, complémentarité, déclencheur, etc.
. Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques), ISO 27013
. Coordination entre la SSI (ISO 27001) et la continuité d'activité : ISO 22301 (SMCA), ISO 27031 et ISO 22313 (ex-BS25599)
. CobiT (audit informatique, contrôle interne)
. Utilisations d'ISO 27001 dans le cadre ou concomitamment à d'autres référentiels de sécurité : RGS, PCI-DSS, SoX, Bâle II/Solvency II, hébergeur de données de santé, ARJEL, WLA, etc. _. Applications sectorielles de l'ISO 27001 : télécommunications, santé (27011, 27799, etc)
Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification, des auditeurs et des audités
. Contrôle de l'appréciation des risques
. Interprétations de la Déclaration d'Applicabilité
. Mise à jour des normes d'audit et de certification (ISO 19011, ISO 17021, ISO 27006)

Les propositions doivent faire part d'un retour d'expérience pratique, et ne doivent pas être la présentation d'une offre de service, d'un produit ou plus généralement d'une solution commerciale. Le comité de programme sera sensible à l'aspect pratique des propositions. Cependant, les propositions présentant une analyse ou un comparatif fondé sur des tests scientifiques pourraient être acceptées.

Les présentations feront de 35 à 45 minutes et seront en français ou en anglais.

Contenu des soumissions à envoyer àconference@club-27001.fr :

Nom de l'auteur, biographie et affiliation
Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Format libre

Calendrier

14 janvier 2013 : date limite de réception des soumissions
28 janvier 2013 : notification aux auteurs et publication du pré-programme
14 février 2013 : publication du programme définitif
3 mars 2013 : réception des présentations
18 mars 2013 : conférence

Le comité de programme est composé des membres de l'association élus au conseil d'administration, soit :
Bertrand Augé, Kleverware
Gérôme Billois, Solucom
Guillaume Corbillé, Laser
Claire Cossard, CNAM-TS
Francis Delbos, ID Nouvelles
Eric Doyen, Humanis
Emmanuel Garnier, Systalians
Loïc Guézo, Trendmicro
Anne Mur, On'X-Edelweb
Carl Roller, Akamai
Hervé Schauer, HSC

Lundi 25 novembre – Colloque "Financements innovants" du Cercle d'Intelligence Economique du Medef Ile-de-France. Inscription ici.

Mercredi 4 décembre –"PRISM, la faiblesse digitale européenne" de l'atelier Intelligence Economique de Forum ATENA. Inscription ici.

Lundi 9 décembre – Lundi de l'IE du Medef IdF "Le système d'information et les informations d'une organisation sont-ils assurables face aux cyberattaques ?". Inscription ici.

Les formateurs Olivier Dembour et Nicolas Collignon sont des consultants très expérimentés dans les tests intrusifs et les audits applicatifs d'applications web. Ils maîtrisent tous les référentiels autour du sujet (OWASP, PCI-DSS, WASC, etc)

De très nombreux cas réels sont expliqués permettant de balayer un grand panel d'erreurs commises avec des exemples concrets.

Les travaux pratiques permettent aux stagiaires de se mettre dans la peau de l'attaquant face à une infrastructure proche de la leur. La compréhension couplée aux travaux pratiques permet au stagiaire d'obtenir un regard critique et de savoir parfaitement sécuriser son infrastructure.

Objectifs, pré-requis, plan détaillé sur

http://www.hsc-formation.fr/formati...

http://www.hsc-formation.fr/formati...

La formation Sécurité des Serveurs et Applications Web a déjàété dispensée avec 100% de taux de satisfaction auprès d'organismes gouvernementaux, d'industriels et de SSII, en France et à l'étranger.

HSC propose des formations en sécurité depuis 21 ans et a été le premier offreur de formations sur la sécurité web, et n'a pas cessé de développer son expertise sur le sujet.

Durée de la formation : 3 jours

Prochain session du 10 au mai 2010 à Paris (session confirmée) Coût : 1770 euros HT, réductions possibles pour plusieurs inscriptions

Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh - Tél. : +33 141 409 704

Regroupés en 10 filières, nos modules de formation couvrent les aspects cybercriminalité, gestion de la sécurité, management des risques, techniques de hacking et sécurisation technique.

Découvrez notamment nos 3 « cursus ADN ». Ils s'adressent à des professionnels venant de prendre leurs fonctions et souhaitant acquérir les outils nécessaires à leurs missions (SSI ou PCA). Une attestation LEXSI est délivrée à la fin de la formation pour valider le suivi du cursus :

Cursus ADN du Responsable de Sécurité du SI
Cursus ADN du Responsable de Plan de Continuité d'Activité
Cursus ADN du Responsable de Plan de Secours Informatique

Nous vous proposons par ailleurs d'acquérir des certifications reconnues internationalement dans le domaine de la sécurité des systèmes d'information, délivrées LSTI :
Lead Auditor ISO/CEI 27001
Risk Manager ISO/CEI 27005

Téléchargez notre catalogue de formation en cliquant ici

Nous contacter pour plus de renseignements : 01 73 30 18 06
formation@lexsi.com
http://www.lexsi.fr/formations.html

Le SANS Institute est l'institut le plus reconnu et la plus importante source de formations et de certifications techniques à la sécurité des systèmes d'information dans le monde. Le SANS Institute développe, maintient et met à disposition la plus grande collection de documents de recherche sur tous les aspects de la SSI. Il exploite le réseau d'alerte "Internet Storm Center".

Depuis 1998, chaque année, entre 4 et 10 consultants HSC suivent des formations SANS aux USA.

En 2000, alors qu'Hervé Schauer était formateur lors du SANS d'Orlando sur le cloisonnement de réseaux, il réitère auprès d'Alan Paller, CEO du SANS Institute, sa recommandation de venir en Europe et en France faite en mai 1999.

Quand SANS se lance en Espagne en 2002, HSC relance et entame une négociation pour collaborer. Cette négociation s'est concrétisée en 2010 et HSC est désormais partenaire de SANS.

Andrew Smith, directeur EMEA du SANS Institue, témoigne :
"SANS respects Hervé Schauer for all his contributions to the global infosec community. As we move our relationship with HSC forward in this partnership, our shared goal is to combine our expertise and resources in providing the best security training to meet the needs of the infosec community in France."

Hervé Schauer, directeur d'Hervé Schauer Consultants, se réjouit : "Les formations SANS sont sincèrement les meilleures formations techniques que j'ai eu la chance de suivre. Je remercie SANS d'avoir sélectionné HSC comme partenaire en France et ainsi permettre à mes consultants de proposer les formations SANS en français."

Les formations SANS organisées par HSC sont dispensées par les consultants HSC, avec la qualité et la rigueur qui font le succès des formations HSC depuis 23 ans.
Ce sont les mêmes consultants qui donnent déjà les formations HSC à succès comme les formations "Sécurité Windows", "Sécurité des Serveurs web" ou "Tests d'Intrusion par la pratique", qui sont certifiés GIAC, qui animent les formations SANS dispensées par HSC. Les formations se déroulent dans les locaux d'HSC à Levallois-Perret.

HSC fournit le matériel des travaux pratiques qui doit habituellement être apporté par les stagiaires chez SANS.
Les stagiaires auront la possibilité de passer un examen pour obtenir une certification GIAC.

Les certifications GIAC (www.giac.org) sont la valeur ajoutée des formations SANS : à chaque formation SANS correspond une certification GIAC. Le Global Information Assurance Certification (GIAC) a été fondé en 1999 pour valider les compétences des professionnels de la sécurité. Les certifications GIAC garantissent que les certifiés ont les meilleures pratiques de la profession, et les connaissances et compétences dans des domaines clés de la SSI. Les certifications GIAC sont les certifications techniques en sécurité les plus reconnues au monde, sans équivalent. Les certifications GIAC ne sont souvent pas des certifications accessibles à tous, mais seulement aux réels professionnels expérimentés, ce qui en fait une valeur sûre et reconnue dans les CV.

HSC proposera petit à petit les principales formations techniques de SANS, notamment celles des niveaux les plus élevés. HSC a sélectionné dans un premier temps deux formations haut de gamme parmi les plus attendues par notre public :

"Analyse inforensique avancée et réponse aux incidents" SANS FOR508 : "Computer Forensics, Investigations and Incidence Responses" permettant d'acquérir la certification GIAC GCFA (Certified Forensics Analyst)
Première session du 2 au 6 mai 2011 http://www.hsc-formation.fr/formati...

"Tests d'intrusion par la pratique" SANS SEC560 : "Network Penetration Testing & Ethical Hacking" permettant d'acquérir la certification GIAC GPEN (Certified Penetration Tester)
A partir de la session du 26 au 30 septembre 2011 la formation HSC aux tests d'Intrusion devient la version SANS.

Pour tout renseignement, et pour vous inscrire, contactez Elodie Helvin : formations@hsc.fr - +33 141 409 704

= := := := := := := := := := := := := := := := := := := := := := := := := := := := := := := := := := := :=

A propos d'HSC Fondée en 1989 par Hervé Schauer, HSC (Hervé Schauer Consultants), est une société de conseil, d'audit, d'expertise et de formation en sécurité des systèmes d'information. HSC est le pionnier de la formation en sécurité en France, Hervé Schauer ayant créé en 1989 la première formation à la sécurité Unix en 1990 la première formation à la sécurité TCP/IP. Plus de 3000 professionnels de la sécurité ont suivi une formation HSC.

HSC (Hervé Schauer Consultants) Contact : Hervé Schauer
Courriel : presse@hsc.fr
Tél : +33 141 409 700
http://www.hsc.fr/

= := := := := := := := := := := := := := := := := := := := := := := := := := A propos du SANS Institute

Fondé en 1989 par Alan Paller, le SANS (SysAdmin, Audit, Network, Security) Institute est un organisme collaboratif qui propose des formations et des certifications en sécurité. Plus de 165000 professionnels de la sécurité dans le monde ont suivi une formation SANS.

SANS Institute
Contact : Barbara Basalgete
Courriel : bbasalgete@sans.org
Tél mobile : +33 671 482 401
http://www.sans.org/

= := := := := := := := := := := := := := := := := := := := := := := := := :=

Présentation générale Demateus

*Contraction de dématérialisation et d'informatique, la dématique correspond à l'action de dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la dématérialisation des échanges et des processus métier en y incluant la composante légale.
Une formation à deux niveaux
De la bonne compréhension…

…à la totale maîtrise de vos projets de dématique et d'archivage électronique

Des formations pour comprendre l'envergure d'un projet de dématique et d'archivage électronique, les changements induits et les compétences requises :

o des sensibilisations d'une journée
o des ateliers de deux ou trois journées
o une formation certifiante sur 5 jours

Une formation de haut niveau

 Nos formations s'adressent aux DI, DSI, RSSI, DAF, DG, Risk Managers, les archivistes, documentalistes et directions métiers.
 Nos formateurs sont tous actifs et reconnus comme spécialistes chacun dans leur domaine
 Une réponse pluridisciplinaire, organisationnelle, technique et juridique, qui vous permettra de faire face à l'augmentation des volumes de données numériques, et à l'évolution des réglementations et autres obligations

Formule A – Formations à la Dématique sur une journée

A-F00.01 Fondamentaux : Concepts et techniques en matière d'archivage et dématique

A-M00.01 Réussir un projet de conservation de données numériques et de dématique

A-M10.01 Fondamentaux du management de projet

A-F10.01 Connaitre les technologies de stockage et critères de choix

A-S00.01 Dématique et sécurité

A-R00.01 Dématique, preuve «électronique » et risques

A-N00.01 Dématique, normes et certification d'un Système d'Archivage Electronique

A-N10.01 Certifications et démarches

A-N20.01 La norme NF Z42-020

A-J00.01 La conservation des données numériques au regard du droit : quelle sécurité juridique ?

A-J10.01 Conditions de validité de l'écrit électronique, aspects juridiques et réglementaires, gestion des contentieux

A-J20.01 Ecrit numérique et réglementations spéciales

A-J30.01 Comment élaborer des contrats liés à l'environnement numérique

A-F20.01 Les fondamentaux en matière de signature électronique

Formule B – Formations approfondies aux méthodes : 2 jours

B-M00.01 Méthodologie et politique de conservation de données numériques

B-M10.01 Méthodologie d'archivage et rationalisation du stockage

B-S00.01 Sécurité et archivage électronique

B-M20.01 Méthodologie en matière de dématique et gestion des e-mails

B-N00.01 Les normes NF Z42-013 et NF Z42-020, les comprendre et les utiliser

B-N10.01 ISO 30300 et gestion des données d'activité (traduction officielle de Records Management), mise en œuvre

Formule C – Formations aux méthodologies d'archivage : 3 jours

C-M00.01 Méthodologies d'un projet de dématique et de conservation de données numériques, application aux e-mails

C-M10.01 Les profils documentaires et le Standard d'échange de données pour l'archivage (SEDA) Normes, techniques, travaux pratiques

Formule E – Formations certifiantes sur 5 jours

E-C00.01 Fondamentaux, méthodologie, normes, aspects juridiques et réglementaires

Tarifs

Formule A : 850 € HT/participant
Formule B : 1.600 € HT/participant
Formule C : 2.250 € HT/participant
Formule E : 4.500 € HT/participant

Les adhérents FedISA bénéficient de 20% de remise sur l'ensemble des formations courtes.
Conditions tarifaires avantageuses pour les inscriptions de groupe.

TARIF ET INSCRIPTION :

DEMATEUS - 111, Avenue Victor Hugo - 75116 Paris

Hubert Horeau
h.horeau@demateus.com
Tél. : +33 (0)6 77 63 84 74
Fax :+33 (0)1 76 50 81 51

DEMATEUS est agréé organisme de formation : N°11.75.42729.75

A l'occasion de cet événement, 4 thèmes, traités dans nos colonnes, seront abordés :
L'e-réputation, l'effacement sécurisé et/ou la récupération de données
PCA/PRA, gestion de crise
La cybersécurité avec STERIA en tant que GOLD SPONSOR
Les nouvelles menaces pour 2014 par

AGENDA

9h : Accueil avec petit déjeuner
9h30 : Message de bienvenue par Marc Jacob, rédacteur en chef de Global Security Mag
9h35 : Début des conférences
10h40 - 11h : pause café
11h : Reprise des conférences
12h - 12h15 : Questions/Réponses
12h15 - 14h : Déjeuner
14h - 15h : Visite libre du Musée du Vin

UNIQUEMENT 40 RSSI ou DSI sont attendus à cet événement.

Pour réserver votre place* : marc.jacob@globalsecuritymag.com ou Tél. 01 40 92 05 55

* Inscription gratuite mais obligatoire, réservée exclusivement aux RSSI et DSI, sous réserve du nombre de places disponibles.

Pour en savoir plus : http://www.globalsecuritymag.fr/De-...

Lieu : Musée du Vin de Paris
Rue des Eaux – 5/7 square Charles Dickens
75016 Paris
Métro : Passy

Vous retrouverez l'expertise technique issue de nos audits et tests d'intrusion dans nos modules dédiés aux problématiques techniques de la SSI. Ce socle historique est complété depuis 2003 par nos formations autour du management de la SSI dont 4 formations certifiantes dans lesquelles je m'implique en tant que formateur. Quelque soit votre métier, votre cursus ou vos projets vous trouverez dans ce catalogue une réponse toujours objective et pragmatique à vos besoins en sécurité des systèmes d'information.

A très bientôt lors de nos formations !

Hervé Schauer

Pour tout renseignement et inscription, contactez Lynda Benchikh

formations@hsc.fr

Téléphone : +33 141 409 704

Télécopie : +33 141 409 709

Module 1 - Sécurité des Réseaux

Essentiels techniques de la SSI (2 jours)
Maîtriser les concepts techniques de la Sécurité des Systèmes d'Information (SSI) : protocoles, architecture, attaques, fonctionnalités de base, est indispensable pour maintenir un système efficace et un niveau de sécurité répondant à ses besoins en sachant décoder les fonctionnalités affichées par les produits du marché. Ce cours, traitant à la fois de la sécurité périmétrique et applicative, apporte tous les éléments pour choisir les dispositifs de sécurité adaptés à vos objectifs de sécurité et votre environnement.
http://www.hsc-formation.fr/formati...

Fondamentaux et principes de la SSI – SEC 401 / Formation SANS - Certification GIAC (5,5 jours)
Cette formation est la formation de base des formations en sécurité du SANS Institute. Elle donne le vocabulaire et les principes théoriques de la sécurité des systèmes d'information, mais de manière très pratique, donc très concrète, pour des praticiens. C'est cette formation qui en couvrant tous les sujets, donne toutes les bases pour suivre les autres formations SANS. A la fin de la formation les stagiaire connaissent toutes les base de la sécurité opérationnelle, à la fois en sécurité réseau, en sécurité des systèmes Windows et Linux et en sécurité applicative.
http://www.hsc-formation.fr/formati...

Sécurité Wi-Fi (2 jours)
Ce cours aborde la technologie Wi-Fi en détaillant les différents éléments le composant, les différentes solutions de sécurité ainsi que leurs faiblesses et les attaques les ciblant. Il est basé sur un cours magistral ponctué de démonstrations et exercices permettant de mettre en pratique les différents aspects vus en cours, avec, pour terminer, un cas pratique d'installation d'une architecture Wi-Fi sécurisée.
http://www.hsc-formation.fr/formati...

Sécurité de la voix sur IP (1 jour)
Ce cours détaille les points importants à connaître pour gérer la sécurité de la VoIP. Il est illustré par de nombreuses démonstrations et exemples (Alcatel, Asterisk, Avaya, Cisco, etc) et vous permet d'être à même de mener efficacement la sécurisation des architectures de VoIP.
http://www.hsc-formation.fr/formati...

Sécurité SCADA (1 jour)
Les approches habituelles de la SSI ne peuvent s'appliquer telles quelles sur les systèmes SCADA, il faut comprendre le métier et les problématiques, savoir dialoguer avec les automaticiens, et connaître et comprendre les normes propres au monde industriel.
La formation "Sécurité SCADA" d'HSC propose une approche pragmatique, pratique et complète du sujet. Elle vous permettra d'une part d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer une politique de cyber-sécurité SCADA.
http://www.hsc-formation.fr/formati...

DNSSEC en partenariat avec l'AFNIC (2 jours)
A l'issue de ce cours, les participants auront acquis la connaissance technique du protocole DNS et de l'extension DNSSEC ; ils auront configuré en pratique une installation d'un résolveur (Unbound) validant les réponses avec DNSSEC ainsi qu'une infrastructure DNSSEC comprenant OpenDNSSEC pour gérer les clés et BIND pour servir les zones signées. Ils seront en mesure d'éviter les pièges du DNS et de déterminer l'intérêt réel d'un déploiement éventuel de DNSSEC dans leur environnement.
http://www.hsc-formation.fr/formati...

Module 2 - Sécurité des systèmes

Sécuriser Windows - SEC 505 / Formation SANS - Certification GIAC (5 jours)
Basé sur le retour d'expérience de toute une communauté internationale d'experts en sécurité, le cours SANS "Sécuriser Windows" présente, de façon détaillée, les points importants à connaître pour mener à bien la sécurisation d'un environnement Windows.
Le cours SANS "Sécuriser Windows" (SEC505) comprend tous les sujets importants à connaître pour sécuriser les systèmes utilisant Microsoft Windows. Il adresse les problématiques telles que la construction des forêts Active Directory, comment utiliser les politiques de groupe pour sécuriser les postes de travail, déployer une IGC Microsoft avec des cartes à puce, déployer les politiques de pare-feu et IPSec sur tous les ordinateurs du domaine, sécuriser les serveurs web publics IIS, et l'écriture de scripts PowerShell.
Ce cours est à jour vis à vis de Windows 7 et Server 2008 R2, ainsi il inclut les sujets tels que Bitlocker, PowerShell, AppLocker, User Account Control, le Pare-feu Windows avec sécurité avancée et bien plus. Pour migrer de XP vers Windows 7, il est nécessaire de connaître les grandes améliorations de sécurité disponibles pour effectuer une transition efficace opérationnellement et financièrement. Même si le focus de la formation est fait sur 2008/Vista/7, la majorité du contenu s'applique également à Windows Server 2003 et XP. PowerShell est le futur de l'automatisation et de l'écriture de scripts sous Windows. Plus facile à apprendre et plus puissant que VBscript, PowerShell est un outil essentiel pour une gestion automatisée et à grande échelle. Si il n'y avait qu'une compétence vraiment profitable pour la carière d'un expert Windows, cela serait l'aptitude àécrire des scripts. SEC505 prépare également à l'examen pour obtenir la certification GIAC Certified Windows Security Administrator (GCWN) permettant de valider les compétences en sécurité Windows du stagiaire. Toutes les questions de l'examen sont issues des supports de cours de la formation.
C'est une formation pratique et interactive, potentiellement une vraie révélation même pour les administrateurs Windows expérimentés. La formation "Sécuriser Windows" vous montrera que la sécurité Windows ne se limite pas à appliquer des correctifs de sécurité et changer des mots de passe et vous fera découvrir pourquoi un réseau Windows a besoin d'un architecte sécurité.
http://www.hsc-formation.fr/formati...

Sécuriser Unix et Linux - SEC 506 / Formation SANS - Certification GIAC (5 jours)
Apprenez à gérer en profondeur les problèmes de sécurité liés aux Unix et à Linux. Examinez comment réduire ou éliminer les risques sur les systèmes d'exploitation de type Unix, incluant les vulnérabilités dans les systèmes d'authentification par mot de passe, les systèmes de fichiers, la mémoire système et les applications qui tournent couramment sur ces environnements. Cette formation s'articule autour de configurations spécifiques, de cas d'utilisation réels et de trucs et astuces. Tout au long de cette formation vous monterez en compétences sur les outils permettant de répondre aux incidents de sécurité tels que SSH, AIDE, sudo, lsof et bien d'autres. L'approche pratique voulue par SANS avec des travaux pratiques quotidiens se veut proche des environnements de production. Vous pourrez ainsi reproduire les mêmes actions au sein de votre système d'information. Ces outils seront aussi utilisés pour couvrir le cas d'une investigation inforensique simple après compromission d'un système.
http://www.hsc-formation.fr/formati...

Module 3 - Inforensique

Investigations inforensiques Windows – FOR 408 / Formation SANS - Certification GIAC (5 jours)
Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Investigations inforensique - Windows SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complètes sous Windows.
http://www.hsc-formation.fr/formati...

Analyse inforensique avancée et réponse aux incidents clients – FOR 508 / Formation SANS - Certification GIAC (5 jours)
Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Analyse inforensique avancée et réponse aux incidents SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complètes sur des environnements hétérogènes.
Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Analyse inforensique avancée et réponse aux incidents est interactif et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt àétudier efficacement toute situation : intrusion, fuite d'information, actions malveillantes d'un employé curieux.
A l'issue de cette formation, les stagiaires seront à même de mener efficacement des études inforensiques sur des systèmes Windows et Unix avec des outils tels que le Sleuthkit, foremost et le disque HELIX3 Pro Forensics Live CD.
http://www.hsc-formation.fr/formati...

Network Forensics – FOR 558 / Formation SANS - Certification GIAC (5 jours)
Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Inforensique réseau est interactif et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt àétudier efficacement toute situation : intrusion, fuite d'information, actions malveillantes d'un employé curieux.
A l'issue de cette formation, les stagiaires seront à même de mener efficacement des études inforensiques réseau avec des outils tels que Wireshark, Splunk, Snort. Cette formation est le cours Forensics 558 du SANS institute.
http://www.hsc-formation.fr/formati...

Investigations inforensiques sur équipements mobiles – FOR 563 / Formation SANS - Certification GIAC (5 jours)
Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Inforensique sur équipements mobiles est interactif et permet de découvrir les méthodologies et les outils nécessaires pour être prêt à analyser efficacement un téléphone portable, un PDA ou tout autre équipement mobile. A l'issue de cette formation, les stagiaires seront à même de mener efficacement des études inforensiques sur différents téléphones portables (iPhone, Android, Windows Mobile, Blackberry, Nokia et HP WebOS) avec les outils adéquats. Cette formation est le cours Forensics 563 du SANS Institute.
http://www.hsc-formation.fr/formati...

Module 4 – Tests d'intrusion

Tests d'intrusion applicatifs et hacking éthique – SEC 542/ Formation SANS - Certification GIAC (5 jours)
Ce cours permet l'acquisition des principes nécessaires à la sécurisation d'un serveur web et des applicatifs associés avec Apache et Internet Information Services (IIS). Cette formation débute par un rappel sur la sécurité des serveurs réseau et une initiation aux règles de choix, d'installation et de configuration et comporte de nombreuses démonstrations et travaux pratiques.
http://www.hsc-ormation.fr/formatio...

Network Penetration Testing and Ethical Hacking – SEC 560 / Formation SANS - Certification GIAC (5 jours)
La formation proposée par HSC en français et issue du SANS Institute permet à chaque stagiaire d'apprendre et de mettre en pratique les techniques d'intrusion les plus récentes sur les principales technologies du marché (systèmes d'exploitation, bases de données, applications Web, etc.). La formation se veut pragmatique : chaque stagiaire dispose d'un ordinateur pour réaliser les travaux pratiques élaborés par le SANS. _http://www.hsc-formation.fr/formati...

Tests d'Intrusion avancés, exploits, hacking éthique – SEC 660 / Formation SANS - Certification GIAC (5 jours)
La formation aux tests d'intrusion proposée par HSC depuis 2008 a été remplacée par la formation SANS SEC560. Or, celle-ci ne couvre pas toutes les problématiques qui étaient abordées auparavant. C'est pourquoi HSC propose une nouvelle formation, SANS Sec 660 "Advanced Penetration Testing", toujours en Francais, afin de compléter les différents aspects abordés en SEC 560. Elle permet ainsi d'atteindre les différents aspects de la formation aux Tests d'intrusion et la complète même par des chapitres nouveaux (exploitation mémoire avancée, désassemblage, Python, attaques réseaux avancées, etc.).
Cette formation, tout comme la SEC 560, est ponctuée d'exercices pratiques permettant de mettre en oeuvre les différentes techniques vues en cours. Les chapitres abordés vont de l'écriture de script Python dans le cadre d'attaque réseau ou de fuzzing, jusqu'aux exploits permettant de contourner les protections telles que le DEP ou l'ASLR en passant par les attaques réseaux avancées (contre les VLAN ou le NAC) et les attaques contre les services Windows ou Linux.
Une épreuve finale de type Capture The Flag permet d'utiliser les différentes connaissances acquises durant la semaine dans le cadre d'un cas concret et d'un concours entre les différents stagiaires.
http://www.hsc-formation.fr/formati...

Module 5 – Sécurité dans les développements

Durcissement des applications web – DEV 522 / Formation SANS - Certification GIAC (5 jours)
Basé sur le retour d'expérience de toute une communauté internationale d'experts en sécurité, le cours SANS "Defending Web Applications Security Essentials" présente, de façon détaillée, les points importants à connaître pour protéger au mieux les applications web vis-à-vis des attaques actuelles.
Couvrant le Top 10 de l'OWASP, DEV-522 permet de mieux comprendre les tenants et les aboutissants des vulnérabilités d'une application web et d'appliquer par la suite les mesures adéquates permettant de les combler.
Des stratégies de défense possibles au sein des infrastructures, des architectures et des implémentations d'applications web seront présentées et basées sur des exemples issus du retour d'expérience des formateurs. L'élaboration et la mise en œuvre de tests applicatifs est également traitée afin de donner les éléments nécessaires permettant de s'assurer qu'une application web est correctement protégée contre les vulnérabilités décrites lors de cette formation.
DEV-522 couvre aussi bien les applications web classiques que celles basées sur les nouvelles technologies telles que le Web 2.0 (Ajax) et les web services. L'état de l'art des méthodes de protection est présenté telles que les applications profitant pleinement des nouveaux mécanismes de sécurité intégrés aux navigateurs récents. Afin que cette formation soit bénéfique à un plus large public, le focus est porté principalement sur les stratégies de sécurité plutôt que sur le niveau implémentation.
DEV-522 s'adresse à toute personne jouant un rôle dans l'architecture, l'implémentation, l'administration et la sécurisation des applications web. Elle convient particulièrement aux experts en sécurité, développeurs et architectes d'applications web.
La formation est accompagnée d'exercices pratiques réguliers et se conclue par un exercice final du type Capture The Flag (CTF) renforçant les différentes notions acquises au cours de la semaine.
http://www.hsc-formation.fr/formati...

Module 6 - Sécurité et juridique

Juridique de la SSI (2 jours)
Ce cours permet de répondre à toutes ces questions que se posent les professionnels de la SSI. Conçue par des consultants expérimentés en sécurité pour être directement applicable sur le terrain, cette formation s'appuie sur des formations universitaires juridiques, une veille juridique permanente de la SSI, la participation à plusieurs groupes de travail et associations juridico-techniques, le retour d'expérience de nos clients, et la validation par des docteurs en droit.
http://www.hsc-formation.fr/formati...

Correspondant Informatique et Libertés (CIL) (2 jours) - Labellisée par la CNIL
L'objectif de la formation est de donner aux personnes exerçant ou devant exercer les fonctions de correspondant informatique et libertés (CIL) les connaissances indispensables à l'accomplissement de leurs missions. La formation est conçue par un docteur en droit, également ingénieur en informatique et spécialisé en sécurité des systèmes et réseaux. Elle apporte aux participants les éléments juridiques et techniques dont ils auront besoin pour mener à bien leurs missions, par une approche se voulant résolument pratique et proche des problèmes concrets auxquels un CIL est confronté quotidiennement. La formation traite notamment des notions indispensables de sécurité de l'information.
http://www.hsc-formation.fr/formati...

Module 7 - Management de la sécurité

Formation CISSP (5 jours)
La "Formation CISSP" d'HSC est une préparation à la réussite de l'examen. Elle part du principe que les stagiaires on acheté le CBK officiel de l'ISC², parce que c'est indispensable, et qu'ils l'on lu. Ainsi la méthode pédagogique utilise des questions, dans un thème donné, et les stagiaires répondent avec un boitier électronique. Chaque question est alors discutée et particulièrement lorsqu'un stagiaire a fait une mauvaise réponse. Les animateurs sont les consultants HSC spécialistes du thème traité.
http://www.hsc-formation.fr/formati...

Formation RSSI (5 jours)
La formation RSSI permet d'acquérir les compétences indispensables à l'exercice de la fonction responsable de la sécurité des systèmes d'information, des stratégies de prise de fonction aux connaissances techniques de base en passant tous les aspects organisationnels, management, sensibilisation, juridiques, et le marché de la sécurité. De nombreux spécialistes et un RSSI interviennent au cours de la semaine.
http://www.hsc-formation.fr/formati...

Essentiel de PCI-DSS (1 jour)
Cette formation a pour objectif de présenter les différents acteurs de PCI-DSS ainsi que son fonctionnement général. Pour cela, la formation insiste sur les points clé d'un projet PCI tel que la sélection d'un périmètre, elle présente aussi le référentiel puis, explique comment se passe une évaluation PCI-DSS.
http://www.hsc-formation.fr/formati...

Essentiel du RGS (Référentiel Général de Sécurité) (1 jour)
Le référentiel général de sécurité s'impose aux autorités administratives comme définit dans l'ordonnance 2005-1516.
Il impose la mise en place d'un niveau de sécurité des systèmes d'information adaptéà l'autorité administrative. Pour cela plusieurs étapes sont nécessaires : définition d'une politique de sécurité, la réalisation de l'appréciation des risques, homologation des systèmes.
L'objectif de cette formation est de présenter le RGS, les obligations ou recommandations issues du référentiel s'appliquant aux autorités administratives ou à leurs prestataires. Par ailleurs les moyens de mettre en œuvre ces recommandations seront présentés.
http://www.hsc-formation.fr/formati...

Sécurité du Cloud Computing (3 jours)
Ce cours permet d'apprendre à gérer les relations avec les tiers qui interagissent avec la sécurité de l'information de tout organisme qu'ils soient fournisseurs, partenaires ou clients. Dans une démarche projet ou dans la gestion de services externalisés, il est nécessaire de procéder à une appréciation des risques afin de déterminer les impacts sécurité et les mesures nécessaires pour autoriser l'accès aux informations ou aux moyens de traitement à des tiers. Ces informations doivent être contractualisées et formalisés par des écrits qui encadreront la sécurité du SI durant le cycle de vie d'un projet ou d'un service entre l'organisme et ses tiers. La formation explique la démarche de chacune de ces étapes, de la rédaction du Plan d'Assurance Sécurité et Service Level Agreements (SLA) dédiés sécurité aux moyens de contrôle par les audits et les indicateurs constituant le tableau de bord de suivi.
http://www.hsc-formation.fr/formati...

Module 8 - Management de la sécurité avec les normes ISO 2700X

Essentiel de la série ISO 27001 (1 jour)
Ce cours présente les bases de la norme ISO 27001 et des normes qui lui sont associées. Elle donnera aux décideurs une vue claire des tâches indispensables à la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI) conforme à la norme ISO 27001. Ceci permettra d'évaluer la pertinence de la mise en place d'un tel système.
http://www.hsc-formation.fr/formati...

Gestion des mesures de sécurité et norme ISO 27002 (2 jours)
Ce cours permet de comprendre les exigences de la norme 27001 en termes de mesures de sécurité, d'être capable de choisir les mesures de sécurité appropriées dans l'ISO 27002 à partir des résultats d'une appréciation des risques, de comprendre la structure PDCA d'une mesure de sécurité et de savoir élaborer une mesure de sécurité, rédiger la procédure opérationnelle associée, identifier les indicateurs pertinents et déterminer des méthodes d'audit appropriées. Enfin ce cours explique comment démontrer la conformité de votre mise en oeuvre des mesures de sécurité ISO 27002 à un auditeur.
http://www.hsc-formation.fr/formati...

Gestion des incidents de sécurité / ISO 27035 (1 jour)
La gestion des incidents de sécurité dans un délai court et leur prise en compte dans la gestion des risques et l'amélioration continue sont imposés par l'ISO 27001. Le processus de gestion des incidents de sécurité est un processus fondamental pour le succès d'une bonne organisation de la sécurité des systèmes d'information. Un guide, la norme ISO27035, explicite en détail comme organiser ce processus.
http://www.hsc-formation.fr/formati...

Indicateurs et tableaux de bord de la SSI / ISO 27004 (1 jour)
Ce cours donne tous les éléments nécessaires pour mettre en place des indicateurs dans un SMSI, pour mesurer l'efficacité des mesures de sécurité, et faire en sorte qu'ils soient à la fois conformes aux exigences de la norme, pertinents, faciles à exploiter dans le temps, et permettent un tableau de bord utile aux prises de décision.
http://www.hsc-formation.fr/formati...

ISO 27001 Lead Auditor (ISMS Lead Auditor) (5 jours) / Certification
Formation certifiante avec travaux pratiques. Ce cours vous permet de devenir auditeur ou responsable d'audit (Lead Auditor 27001) pour les systèmes de management de la sécurité de l'information (SMSI), soit pour les organismes de certification, soit comme auditeur interne ou auditeur conseil. Le cours vous permet d'acquérir la connaissance des normes de SMSI (ISO 27001 et les autre normes ISO 2700x) et la maîtrise pratique des normes d'audit (ISO 19011, ISO 17021 et ISO 27006).
http://www.hsc-formation.fr/formati...

ISO 27001 Lead Implementer (ISMS Lead Implementer) (5 jours) / Certification
Formation certifiante avec travaux pratiques.
Ce cours vous apprend à mettre en œuvre votre SMSI et à devenir responsable d'implémentation ISO 27001, en utilisant l'ISO 27001 et tous les guides associés. La formation explique les normes et comment s'en servir concrètement, avec des exemples pour que chacun puisse les reproduire chez lui, en sachant organiser son projet et le dimensionner. Les exercices conçus à partir des retours d'expérience des consultants permettent, par des études de cas, d'apprendre à mettre en œuvre et à prendre les bonnes décisions.
http://www.hsc-formation.fr/formati...

ISO 27005 Risk Manager (3 jours) / Certification
Formation certifiante avec travaux pratiques.
Ce cours vous apprend à mettre en oeuvre votre gestion de risque en sécurité de l'information, par la mise en oeuvre de la méthode normalisée ISO 27005, aussi bien dans le cadre d'un SMSI selon l'ISO 27001 que dans d'autres circonstances. La partie pratique et exercices prédomine sur la théorie pour donner les moyens au stagiaire de réaliser son appréciation des risques et réussir l'examen.
http://www.hsc-formation.fr/formati...

Gestion des risques avancée (2 jours)
La formation gestion des risques avancée a pour objectif d'approfondir les différentes phases de la gestion des risques SI, d'un point de vue théorique comme pratique, au-delà de ce qui est vu en formation ISO27005 Risk Manager et au-delà de la norme IS0-27005.
La formation fournit les clés pour réaliser une gestion des risques pragmatique et présente les différents problèmes concrets auxquels les consultants HSC ont été confrontés. Elle propose des solutions théoriques et pratiques pour composer sa boîte à outils en utilisant au mieux les différentes méthodes proposées sur le marché en fonction des spécificités des contextes.
http://www.hsc-formation.fr/formati...

ISO 22301 Lead Auditor (ISMS Lead Auditor) (5 jours) / Certification
Formation certifiante avec travaux pratiques.
Face aux attentes des parties prenantes et des décideurs et aux nombreuses exigences de continuitéà respecter, le Responsable de la Continuité d'Activité est souvent désarmé.
Un Système de Management de la Continuité d'Activité (SMCA) est la meilleure organisation possible pour gérer la continuité des activités jugées critiques Depuis sa publication en juin 2012, la norme ISO22301 fournit un cadre de référence pour développer, mettre en œuvre et maintenir son SMCA. L'adoption des bonnes pratiques de la norme ISO 22301 et à terme la certification du SMCA sont des gages d'excellence internationalement reconnus valorisant la mission des acteurs de la continuité.
http://www.hsc-formation.fr/formati...

ISO 22301 Lead Implementer (ISMS Lead Implementer) (5 jours) / Certification
Formation certifiante avec travaux pratiques.
Les activités de surveillance et réexamen comprennent des tâches d'audit, celles-ci permettent de détecter tout dysfonctionnement potentiel qui apparaitrait dans un SMCA. Savoir réaliser des audits de façon méthodique et structurée, conformément aux normes ISO est devenu pour tout consultant une compétence à faire valoir auprès de ses clients et de ses employeurs. La formation certifiante ISO 22301 Lead Auditor, dispensée par HSC, permet de répondre à tous ces besoins en matière d'audits internes ou d'audits de certification.
http://www.hsc-formation.fr/formati...

Pour tout renseignement et inscription, contactez Lynda Benchikh
formations@hsc.fr
Téléphone : +33 141 409 704
Télécopie : +33 141 409 709

Pour télécharger le bulletin d'inscription :

Le SMS Tour se déplacera du 11 avril au 17 décembre avec ses 15 partenaires Editeurs et Constructeurs dans un format salon qui a déjà fait ses preuves et accueillera une cinquantaine de revendeurs par date de 9h à 14h, dans une ambiance conviviale et professionnelle proche des valeurs du groupe. Seront présents sur le Tour de France : Sandisk, Netasq, Imation, F-Secure, Barracuda, Arkeia, Overland, Ucopia, AirMagnet, AVer, Atto, Peer Software, Emulex, Lancom et Nasstor.

Les partenaires d'Exer, Avirnet et Additional Design ( membres du Groupe Exer), profiteront de leur passage sur les 15 stands pour discuter avec des spécialistes des dernières technologies porteuses sur les marchés de la Sécurité, de la Mobilité et du Stockage, assister aux démos produits et échanger avec leurs interlocuteurs privilégiés chez le Distributeur et les Constructeurs. La matinée se terminera par un cocktail déjeunatoire et des tirages au sort avec de nombreux lots à la clé.

Le SMS Tour 2013 aura lieu le 11 avril au Grand Stade Lille Métropole, à Aix le 16 mai, à Bordeaux le 20 juin, à Metz le 17 septembre, à Nantes le 24 octobre, à Lyon le 21 novembre et à Paris le 17 décembre.

Infos et inscriptions : http://www.exer.fr/smstour/liste.htm

Préoccupations majeures, la sécurité des process et la sûreté des collaborateurs sont au cœur du développement des entreprises. Comme chaque année le Colloque annuel du CDSE rassemblera plus de 600 professionnels des grandes entreprises et des institutions publiques. En mettant l'accent sur l'anticipation et l'échange, principes fondateurs du CDSE, le Colloque viendra nourrir la réflexion stratégique et opérationnelle autour de ce double paradigme : Éthique et Sécurité.

Au service de la gouvernance et notamment de la RSE, la sécurité est-elle seulement un levier ou un enjeu stratégique ? Sécurité et éthique sont-ils antinomiques ? Quel est le champ ouvert par la réglementation (FCPA, UK Bribery Act, directive européenne en matière de protection des données personnelles…) ?

Alain Juillet, Président du CDSE, précise : « Dans le contexte actuel de la mondialisation et du récent scandale d'espionnage des données, la déontologie peut-être dans le pire des cas invoquée comme l'argument fallacieux pour ne rien faire, mais elle peut également constituer une base solide pour un développement de l'entreprise sécurisé et pérenne. »

Cette journée permettra de mieux appréhender les rapports entre éthique, vie des affaires et sécuritéà l'international, et enfin de réunir les directeurs sécurité, sûreté, compliance et éthique internationaux.

PROGRAMME

Animation de la matinée par Laurance N'kaoua, journaliste, Les Échos.

8h30 Accueil

9h15 - 10h00 Ouverture : Alain Juillet, Président du CDSE Introduction Christophe De Margerie, PDG Total

10h05 - 11h15 Comment les professionnels de la sécurité intègrent-ils l'éthique dans leur management ?
Cette table ronde a pour objet de faire un état des lieux des bonnes pratiques dans les organisations publiques et privées en matière de sécurité (système de management, gouvernance de la sûreté, procédures, chartes & politiques, formations spécifiques, code de déontologie…)et vise à mieux formaliser les relations entre les fonctions Éthique et Sécurité ?

Participants :
Hélène Martini, Directrice, ENSP Jean-Marc Berlioz, Directeur de l'éthique, Renault Eric Delbecque, Directeur du département sécuritééconomique, INHESJ Jean-Michel Chereau, Directeur de la protection, Areva Sylvie Le Damany, Avocat, Cabinet Jeantet

11h45 - 12h45 Les technologies au service de la sécurité : quel cadre pour garantir le respect des droits des personnes ?

Comment mettre en place au sein des organisations une éthique dans l'utilisation des technologies à des fins de sécurité (fichiers, vidéo, puces, GPS… ) ?
Quelles sont les relations envisageables entre le RSSI et le Directeur de la sécurité en matière de sécurité informatique afin d'assurer la sécurité des données et le respect de la vie privée ?

Participants :
Stéphane Volant, Secrétaire général, SNCF* Yann Padova, Senior Counsel, Backer & Mc Kenzie Guillaume Capois, Directeur de la sûreté, EADS Jean-Philippe Bouilloud, Professeur, ESCP Europe

Conclusion de la matinée - Eduard Emde, Président d'ASIS International

Animation de l'après-midi : Jean-Dominique Merchet, Journaliste, l'Opinion

14h30 - 15h00 Le rôle de la sécurité pour favoriser l'éthique des affaires ?
Quels liens entre compliance et sécurité ? La sécurité est-elle un moyen de promouvoir la RSE ? Comment la sécurité participe-t-elle à la lutte contre les fraudes et la corruption dans l'entreprise ? Comment la sécurité aide-t-elle à préserver l'ordre public en aidant à lutter contre des délinquants (blanchiment, par exemple) ?

Participants :
Catherine Delhaye, Directrice de l'éthique et de la Compliance, Valeo, Secrétaire général du Cercle de la Compliance Dominique Lamoureux, Directeur éthique et responsabilité d'entreprise, Président de la commission IE du Medef, Thales

15h05 - 16h05 Protection des salariés à l'international et co-développement
Quel est le devoir de protection des salariés à l'étranger ? Comment intègre-t-on le respect des droits de l'homme dans les opérations de sécurité ? Comment la sécurité peut- elle être un facteur de lien avec les communautés locales ?

Participants :
Jean-Louis Fiamenghi, Directeur sûreté, Veolia Didier le Bret, Directeur du centre de crise du Ministère des Affaires Etrangères Mivil Deschenes, Directeur de la sûreté, Rio Tinto Vincent Dufief, Investor Relations Manager, Total Emile Perez, Directeur de la DCI, Ministère de l'Intérieur

16h10 -17h10 L'investigation, monopole des services d'Etat ?
Les techniques d'investigations étatiques peuvent-elles être utilisées par d'autres et notamment par l'entreprise (exemple de l'investigation journalistique) ? Quelles limites légales et éthiques à l'investigation privée ? Quand l'entreprise doit-elle dénoncer des faits à la justice ?

Participants :
Jean-Jacques Urvoas, Député du Finistère, Président de la commission des lois de l'Assemblée Nationale Patrick Maisonneuve, Avocat, Cabinet Maisonneuve Edwy Plenel, Président et fondateur du journal Mediapart

Synthèse de la journée - Cécile Wendling, Directrice d'études, Futuribles

17h15 Clôture - Manuel Valls, Ministre de l'Intérieur*

Pour en savoir plus : www.cdse.fr

Date et heure : jeudi 12 décembre 2013 14:00, Heure de l'Europe (Paris, GMT+01:00)

Numéro de l'événement : 958 936 459

Mot de passe d'inscription : Cet événement n'exige pas de mot de passe pour l'inscription.

Pour afficher les autres fuseaux horaires ou langues disponibles, cliquez sur le lien : https://itrust.webex.com/itrust/ons...

Pour obtenir de l'aide

Vous pouvez contacter Conference ITrust au : conference@itrust.fr

http://www.webex.com

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Scripting de WordPress Captura Pro, afin d'exécuter du code JavaScript dans le contexte du site web.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 22/11/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin WordPress Captura Pro permet de créer des captures.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Captura Pro, afin d'exécuter du code JavaScript dans le contexte du site web.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut déréférencer un pointeur NULL dans le pilote win2k.sys de Windows, afin de mener un déni de service.

Produits concernés : Windows 2003, Windows 2008, Microsoft Windows 2012, Windows 7, Windows 8, Windows Vista, Windows XP

Gravité : 1/4

Date création : 04/12/2013

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction NtUserValidateHandleSecure() vérifie un handle Windows. Elle appelle la fonction IsHandleEntrySecure() du pilote win2k.sys.

Cependant, la fonction IsHandleEntrySecure() ne vérifie pas si le pointeur pW32Job est NULL, avant de l'utiliser.

Un attaquant peut donc déréférencer un pointeur NULL dans le pilote win2k.sys de Windows, afin de mener un déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un buffer overflow dans la conversion des nombres réels par Ruby, afin de mener un déni de service, et éventuellement d'exécuter du code.

Produits concernés : Debian, Fedora, MBS, MES, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme)

Gravité : 2/4

Date création : 22/11/2013

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction "to_f" du langage Ruby permet de convertir une chaîne représentant un nombre réel ("1.234") en nombre réel (1,234). Cette fonction est par exemple utilisée par JSON.parse pour convertir des données JSON.

Un nombre réel est composé d'une partie entière, et d'une partie décimale. Cependant, si la taille de la partie décimale est supérieure à la taille du tableau de stockage allouée, un débordement se produit.

Un attaquant peut donc provoquer un buffer overflow dans la conversion des nombres réels par Ruby, afin de mener un déni de service, et éventuellement d'exécuter du code.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/R...