Copyright et Licence
Copyright (c) 2000,2008 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".
Copyright (c) 2000,2008 Philippe Latu. Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.2 ou toute version ultérieure publiée par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copie de la présente Licence est incluse dans la section intitulée « Licence de Documentation Libre GNU ».
| Historique des versions | ||
|---|---|---|
| Version $Revision: 1173 $ | $Date: 2007-10-09 11:18:49 +0200 (mar, 09 oct 2007) $ | $Author: latu $ |
| Année universitaire 2006-2007. Passage à deux groupes de la promotion de M2. | ||
| Version Revision: 1044 | Date: 2007-01-28 18:44:48 +0100 (dim, 28 jan 2007) | Author: latu |
| Année universitaire 2005-2006. Nouveau découpage des séances en cours et travaux pratiques. | ||
Résumé
Ce document présente le syllabus du cours sur le thème Sécurité des systèmes d'information dispensé au niveau M2 (ex DESS) de la filière Systèmes de Télécommunications et Réseaux Informatiques (STRI) à l'Université Paul Sabatier - Toulouse III.
Table des matières
Il est possible d'aborder l'enseignement sur la sécurité des systèmes d'information suivant plusieurs axes pédagogiques. Dans le cas présent, l'objectif général est de faire «découvrir» l'importance des processus de sécurité à partir d'illustrations pratiques.
Il est bien entendu que ce choix ne prétend nullement être «la bonne méthode» pédagogique. Il est cependant complètement ridicule d'enfermer les choix pédagogiques dans une opposition artificielle entre un enseignement académique qui introduit le vocabulaire et les méthodologies sans aucune application et un enseignement cantonné dans la technique qui ne propose aucune prise de recul.
Ce cours est un module construit sur 7 séances de 3 heures en présentiel et une séance d'évaluation de 3 heures avec un groupe d'environ 27 étudiants.
Les 7 séances sont réparties de la façon suivante :
3 séances de cours avec le groupe complet.
4 séances de travaux pratiques en demi-groupe.
À la suite de la première séance de présentation, les étudiants sont répartis en 3 groupes pour travailler sur un projet. Ce projet consiste à étudier et déployer une maquette d'infrastructure d'entreprise suivant un scénario type.
Les objectifs pédagogiques sont multiples :
créer une émulation entre les groupes d'étudiants en «opposant» les rôles de chaque groupe,
évaluer l'importance des relations humaines, de la coordination et même de l'ingénierie sociale dans la sécurité des systèmes d'information en imposant une taille de groupe importante,
illustrer les problématiques des «métiers» de la sécurité informatique à partir du scénario d'entreprise type.
Les groupes sont définis comme suit :
Ce groupe est chargé de mettre en place l'infrastructure des services du scénario d'entreprise. Il doit rechercher les moyens les plus simples possibles pour se défendre contre les tentatives d'intrusion et de compromission entreprises par le groupe «attaque».
Du point de vue métier, les membres de ce groupe jouent le rôle d'exploitants des services. Comme les services peuvent être externalisés ou non, les membres peuvent être employés aussi bien chez un prestataire assurant l'externalisation qu'au sein même de l'entreprise où l'exploitation est directement assurée.
Ce groupe est chargé de collecter un maximum d'informations et de les analyser pour identifier les actions entreprises aussi bien en défense qu'en attaque.
Du point de vue métier, les membres de ce groupe jouent le rôle de consultants sécurité chargés de réaliser des audits. Au début du projet, ils sont étranger à la structure de l'entreprise. Par la suite, ils ne disposent que des informations et/ou des accès que leur fournissent les membres du groupe «défense».
Ce groupe est chargé de rechercher toutes les possibilités d'intrusion et de compromission les plus efficaces et les plus faciles à mettre en oeuvre.
Du point de vue métier, les membres de ce groupe jouent le rôle de consultants en sécurités chargés d'évaluer la solidité du système d'information défendu. Ils sont totalement étranger à la structure de l'entreprise. Les 2 autres groupes ne sont pas sensés leur communiquer la moindre information. Bien entendu, les membres du groupe «attaque» ne doivent pas se limiter aux moyens techniques pour collecter leurs informations.
Chaque groupe dispose d'une liste de diffusion de courrier électronique à laquelle est attachée un espace documentaire privatif. Ces listes sont l'outil principal de communication et surtout de coordination du groupe. Tous les comptes rendus de tests ou les synthèses hebdomadaires doivent passer par les listes de diffusion. L'objectif pédagogique est de modéliser le fonctionnement d'un travail d'équipe dont les membres ne sont pas forcément sur le même lieu. Compte tenu de la taille de chaque groupe, la qualité d'expression de la coordination est primordiale pour l'avancement du projet.
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 