de it fr

676 Examiner et évaluer la sécurité des applications et des services de serveurs

Module
Examiner et évaluer la sécurité des applications et des services de serveurs
Compétence
Examiner les applications et les services de serveurs dans les environnements de développement, de test et d'exploitation d'une organisation, évaluer leur degré de maturité quant à la sécurité de l'information et recommander des mesures en vue d'améliorer la sécurité des applications et des serveurs.
Objectifs opérationnels
1 Faire l'état des lieux de l'environnement serveurs et applications d'une organisation et documenter l'architecture sous une forme appropriée.
  Connaissances opérationnelles nécessaires:
1 Connaître les protocoles d'applications usuels dans les réseaux TCP/IP (p. ex. HTTP, protocoles de messagerie électronique, DHCP, DNS, services d'annuaires, protocoles de transfert des données, protocoles de gestion des réseaux).
2 Connaître les concepts d'architecture fondamentaux des réseaux (client-serveur, peer to peer, machine to machine) et pouvoir expliquer leurs caractéristiques et leur pertinence en termes de sécurité de l'information.
3 Connaître différentes solutions de clouds (p. ex. cloud privé, public, hybride, communautaire) et divers modèles de services (IaaS, PaaS, SaaS) et pouvoir expliquer leurs caractéristiques et différences en termes de sécurité de l'information.
4 Connaître des formes de représentation de la documentation relative aux architectures serveurs et applications (p. ex. modèle par couches, schéma fonctionnel ou schéma-bloc, diagrammes structurels UML pertinents).
 
2 Vérifier la sécurité de tout ou partie de l'environnement serveurs et applications au moyen de méthodes appropriées.
  Connaissances opérationnelles nécessaires:
1 Connaître les recommandations relatives à la sécurité et aux tests des applications Web issues du standard de facto de l'Open Web Application Security Project (OWASP) et de l'Open Source Security Testing Methodology Manual (OSSTMM).
2 Connaître des menaces et des vecteurs d'attaques déterminants pour la sécurité des serveurs et des applications (p. ex. maliciels, mauvaise configuration, attaques DDoS, attaque XSS ou cross-site scripting, injection de script, vol de session ou session hijacking, attaques DNS).
3 Connaître la différence entre un scan de vulnérabilité et un test de pénétration et pouvoir citer des méthodes et des outils couramment utilisés pour vérifier la sécurité des serveurs et des applications.
 
3 Evaluer la sécurité de l'environnement serveurs et applications sous l'angle des processus et identifier les améliorations potentielles.
  Connaissances opérationnelles nécessaires:
1 Connaître les exigences de sécurité déterminantes relatives à la séparation des environnements de développement, de test et d'exploitation.
2 Connaître les exigences de sécurité déterminantes relatives à l'administration des services de serveurs et des applications ainsi que le traitement du code source dans les environnements de développement (p. ex. contrôle de l'accès et gestion des clés).
3 Connaître les exigences de sécurité déterminantes relatives à la surveillance des services de serveurs et des applications ainsi que les dispositions légales et réglementaires pertinentes (p. ex. enregistrement d'événements, protection des données pour l'enregistrement de données sensibles, proportionnalité, durée de conservation des données enregistrées).
4 Connaître les exigences de sécurité déterminantes relatives à la gestion des versions, des mises à jour et de fin de vie des services de serveurs et des applications.
 
4 Evaluer la sécurité de l'environnement serveurs et applications d'un point de vue technique et identifier les améliorations potentielles.
  Connaissances opérationnelles nécessaires:
1 Connaître des mesures techniques contre les maliciels (p. ex. analyseur de virus, solutions anti-maliciels), contre les pourriels ou les maliciels contenus dans les e-mails (p. ex. liste blanche, grise ou noire sur les serveurs de messagerie, serveurs relais, restrictions relatives aux pièces jointes des e-mails, blocage de macros dans les documents Office).
2 Connaître les domaines d'application, les conditions préalables et les limites des solutions techniques (appliance) visant à détecter des attaques (p. ex. pare-feu WAF, système de détection d'intrusion IDS, système de prévention d'intrusion IPS, honeypot, menaces persistantes avancées ATP) ainsi que ceux de la gestion des événements et des informations de sécurité (SIEM).
3 Connaître des mesures techniques pour le contrôle de l'accès aux services des serveurs, aux applications et aux environnements de développement (p. ex. liste de contrôle d'accès ACL, authentification des utilisateurs, authentification multifactorielle).
4 Connaître différents systèmes pour le contrôle de l'accès physique aux infrastructures serveur (p. ex. clé, badge, systèmes biométriques).
 
5 Evaluer l'environnement serveurs et applications en regard de l'utilisation des mesures cryptographiques et identifier les améliorations potentielles.
  Connaissances opérationnelles nécessaires:
1 Connaître les principes du chiffrement symétrique, asymétrique et hybride et pouvoir expliquer leurs différences.
2 Connaître les procédures cryptographiques usuelles (p. ex. RSA, ECDHE, ECDSA, SHA, 3DES, AES) et leurs domaines d'utilisation applicative courants (p. ex. cryptage des fichiers et des bases de données).
3 Connaître le protocole de chiffrement TLS pour sécuriser la transmission des données et ses domaines d'utilisation courants (p. ex. HTTPS, SMTPS, SIPS, FTPS, SFTP, LDAPS).
4 Connaître le but des suites cryptographiques pour établir des connexions sécurisées et leurs domaines d'application typiques (p. ex. HTTPS, SMTPS).
5 Connaître les standards usuels du chiffrement de bout en bout (E2EE) des messages électroniques (p. ex. PGP, GPG S/MIME).
 
6 Elaborer, sur la base des points faibles identifiés, un catalogue de mesures permettant d'améliorer la sécurité des serveurs et des applications, formuler une recommandation et la présenter aux décideurs.
  Connaissances opérationnelles nécessaires:
1 Connaître le contenu et la structure d'un catalogue de mesures (p. ex. mesure, temps nécessaire, responsabilité, valeur ajoutée, estimation des coûts).
2 Connaître le contenu et la structure d'une bonne présentation et pouvoir expliquer l'influence des comportements déterminants sur le travail de persuasion.
 
Domaine de compétence
System Management
Objet
Environnement complexe de serveurs physiques ou virtualisés avec différentes applications et avec focalisation sur les couches session, présentation et application (couches OSI 5 à 7).
Niveau
6
Pré-requis
Implémenter la sécurité système (182); Implémenter la sécurité des applications (183)
Nombre de leçons
40
Reconnaissance
Diplôme fédéral d'informaticien
Publié: 27.09.2019 16:29:08
Il n'y a pas de directives d'évaluation des prestations pour cette version du module
Retour