Gestion des Identités et des Accès

	See also...  Organization of the courses  Training sessions planning  Complete list of our services  HSC Newsletter  Internet/intranet Security  Formation RSSI  Gestion des mesures de sécurité et norme ISO 27002  Understanding PKI
Goals  Duration  Instructor(s)  Pre-requisite for attendants  Teaching method  Related courses  Material  Agenda  Methods of inscription

	Dates of the coming sessions: 14-16 January 2009 (Paris) 16-18 September 2009 (Paris) Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.

3 days.

This training is given by Thierry Durand and Anne Lupfer (Anne.Lupfer@hsc.fr) .

Understanding PKI

• Jour 1
• Le Paysage
• Définition
• Finalité de la gestion des identités
• Finalité de la gestion des accès
• Logique et physique
• Hier opposés... et maintenant
• Concernent-ils les mêmes populations ?
• Responsabilités
• Pourquoi veut-on gérer tous ces gens ?
• D'où viennent-ils ?
• Une première approche du "vrai" besoin ?
• Limites
• Les lois européennes sur le respect de la vie privée
• Les lois et contraintes normatives (LSF, BâleII, SOX, ISO 27001,...)
• Les requêtes de justice (commisssions rogatoires, enquêtes de police,...)
• Le besoin
• Où sont les risques
• Les biens concernés
• Leurs vulnérabilités, les contraintes associées, les règlements imposés
• Les menaces réelles ou supposées
• De qui parle-t-on ?
• L'individu
• Le contrat nominatif
• Le contrat de prestation ou commercial
• Le juste besoin d'en connaitre
• Quels moyens de connaître ce "juste besoin"
• Comment finaliser les attributs de chaque population
• Comment organiser des groupes homogènes gérables et limités
• Compatibilité avec les normes et les contraintes réglementaires
• Quel suivi
• Jour 2
• Exercice : Analyse du besoin
• L'implémentation
• Les vraies limites de la connaissance... et de la responsabilité
• Des gens connus
• Des gens inconnus
• Qui connait qui ?
• Faut-il "gérer" les visiteurs ?
• L'accostage avec les systèmes en place
• Le système RH
• Les outils de contrôle d'accès physique, logique,...
• Les systèmes de gestion des achats
• Le système de gestion des plans de prévention
• La fédération des identités
• Mode ou réponse à un besoin ?
• Différents cas déjà en place
• Plus ou moins de sécurité ?
• Conformité aux normes et aux lois ?
• La technologie suit-elle ?
• Identité... mais aussi rôle ?
• Les normalisations "métiers"
• Une vraie question : le périmètre
• Physique, en termes d'établissements, de zone...
• Logique, en termes de Systèmes d'information, de type d'accès
• Fonctionnel en termes de finalité
• Normatif, vis à vis du périmètre du SMSI (ISO 27001)
• Confiant, en termes de qualité d'authentification
• Exercice : définition du périmètre
• L'implémentation
• Tableaux de bord et indicateurs
• Ce qu'il faut tracer, ce qu'il faut enregistrer
• Les exigences des normes
• Les indicateurs
• Les tableaux de bord
• Quelle implication dans les cycle PDCA du SMSI (ISO27001)
• Exercice : Tableau de bord et indicateurs
• Les points complémentaires
• L'identification, signifiante ou non, code, adresse ou nom
• Le SSO
• Les moyens d'authentification, l'authentification forte
• Les procédures de dépannage et de diagnostic
• Les extensions applicatives
• Mettre à jour les annuaires de contrôle d'accès
• Les contrôles d'accès, l'exercice du droit, les traces
• La biométrie
• Définition de la biométrie
• Pourquoi la biométrie
• Les limites juridiques de la biométrie (de l'empreinte digitale à la trace ADN,...)
• Les techniques
• Les technologies et leurs limites
• Où conserver les données ?
• Comment valider les données ?
• Et ensuite, les liens vers l'applicatif
• Quelques cas concrets
• Un projet technique sans système de management (industrie)
• Des avantages (délai de mise en oeuvre, coût de réalisation, impact organisationnel limité)
• Des écueils (pas de vue d'ensemble à terme, un projet jamais terminé, pas d'indicateurs de suivi)
• Un risque avéré (une réalisation jetable, pas d'implication suffisante des décideurs, des priorisations sans valeur)
• Un bilan dur (coût de maintenance croissant, incapacité à évoluer, un chef d'oeuvre en péril)
• Une réconciliation inespérée (banque)
• Une estimation exorbitante (nombre d'utilisateurs, pas de référentiel en place, une mémoire d'entreprise perdue)
• Une méthode impossible (centralisation de la démarche, concentration des coûts)
• Une technique improbable (répartition de la charge, bénéfice utilisateur, un chantier d'adhésion et fondateur)
• Jour 3
• L'état de l'art
• Des réflexions, des études, des initiatives
• Commission Européenne, CNIL, Liberty Alliance, OASIS...
• Des acteurs, des solutions techniques et logicielles
• Un pionnier
• Des assemblages
• Des manques et des faiblesses
• Des architectures
• Méta versus Provisionning
• Quelles références, quelles fiabilités
• Des standards
• Un peu de technique
• Introduction
• Le concept d'annuaire
• Principes de base
• identification
• authentification
• gestion des accès
• gestion des identifications
• LDAP
• Du protocole...
• ... à l'annuaire
• Mécanismes de chiffrement et d'authentification (SASL)
• Architecture
• Avantages et inconvénients
• AD
• Protocoles
• Annuaire
• Structure
• Architecture
• Avantages et inconvénients
• Point sur la sécurité
• Conclusion

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 6 days before the course. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.