A partir de cette page vous pouvez :
Retourner au premier écran avec les étagères virtuelles... |
Catégories
Faire une suggestion Affiner la recherche
Mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) au sein de la DSI de l’ONEE-BO / Laila SABAR / Sana HARCHICHE
Titre : Mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) au sein de la DSI de l’ONEE-BO Type de document : projet fin études Auteurs : Laila SABAR / Sana HARCHICHE, Auteur Année de publication : 2017 Langues : Français (fre) Catégories : Sécurité des systèmes d'information Mots-clés : SMSI, ISO/CEI 27000, ISO/CEI 27001, MEHARI, SOA, plan de traitement des risques,
cartographie des risques, contrĂ´les, indicateurs.Index. dĂ©cimale : 1737/17 RĂ©sumĂ© : Le présent document représente une synthèse du travail réalisé dans le cadre du projet de n
d’études eectué au sein de l’ONEE-BO. Le projet vise à mettre en place un Système de Management
de la Sécurité de l’Information (SMSI) conformément à la famille des normes ISO/CEI
27000, particulièrement la norme ISO/CEI 27001, qui a constitué le socle de notre réexion dans
ce travail.
La mise en place du SMSI a représenté une occasion pour mettre en avant l’importance de la
sécurité du SI et responsabiliser les métiers et les autres acteurs de la DSI sur les aspects de la
sécurité. Ceci, a contribué donc à la sensibilisation à la sécurité pour que chaque acteur du SI
acquière les réexes sécuritaires adéquats permettant d’assurer un bon fonctionnement du SI.
Dans le cadre de ce projet, notre mission a consisté à mettre en place le SMSI en suivant les étapes :
la planication (étude de l’existant, l’analyse des risques en utilisant la méthode MEHARI et la
rédaction de la déclaration d’applicabilité), l’implémentation (élaboration du plan de traitement
des risques, la cartographie des risques et le choix des indicateurs de mesure de l’ecacité des
contrôles), ainsi que la vérication (proposition d’un programme d’audits internes).
Comme il est évident qu’un SMSI ne prend sens que si les mesures de sécurité qu’il permet de sélectionner
et de mettre en oeuvre sont mises en place, nous avons implémenté l’authentication
forte par le TOTP comme procédure d’identication, mis en place un outil de gestion des Logs,
ainsi qu’un outil de Sandboxing.
Mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) au sein de la DSI de l’ONEE-BO [projet fin études] / Laila SABAR / Sana HARCHICHE, Auteur . - 2017.
Langues : Français (fre)
Catégories : Sécurité des systèmes d'information Mots-clés : SMSI, ISO/CEI 27000, ISO/CEI 27001, MEHARI, SOA, plan de traitement des risques,
cartographie des risques, contrĂ´les, indicateurs.Index. dĂ©cimale : 1737/17 RĂ©sumĂ© : Le présent document représente une synthèse du travail réalisé dans le cadre du projet de n
d’études eectué au sein de l’ONEE-BO. Le projet vise à mettre en place un Système de Management
de la Sécurité de l’Information (SMSI) conformément à la famille des normes ISO/CEI
27000, particulièrement la norme ISO/CEI 27001, qui a constitué le socle de notre réexion dans
ce travail.
La mise en place du SMSI a représenté une occasion pour mettre en avant l’importance de la
sécurité du SI et responsabiliser les métiers et les autres acteurs de la DSI sur les aspects de la
sécurité. Ceci, a contribué donc à la sensibilisation à la sécurité pour que chaque acteur du SI
acquière les réexes sécuritaires adéquats permettant d’assurer un bon fonctionnement du SI.
Dans le cadre de ce projet, notre mission a consisté à mettre en place le SMSI en suivant les étapes :
la planication (étude de l’existant, l’analyse des risques en utilisant la méthode MEHARI et la
rédaction de la déclaration d’applicabilité), l’implémentation (élaboration du plan de traitement
des risques, la cartographie des risques et le choix des indicateurs de mesure de l’ecacité des
contrôles), ainsi que la vérication (proposition d’un programme d’audits internes).
Comme il est évident qu’un SMSI ne prend sens que si les mesures de sécurité qu’il permet de sélectionner
et de mettre en oeuvre sont mises en place, nous avons implémenté l’authentication
forte par le TOTP comme procédure d’identication, mis en place un outil de gestion des Logs,
ainsi qu’un outil de Sandboxing.
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1737/17 1737/17 LAI Texte imprimé unité des PFE PFE/2017 Disponible Mise en place d’un système de management de la sĂ©curitĂ© des rĂ©seaux / ASSAID AYOUB
Titre : Mise en place d’un système de management de la sĂ©curitĂ© des rĂ©seaux Type de document : projet fin Ă©tudes Auteurs : ASSAID AYOUB, Auteur AnnĂ©e de publication : 2014 Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : ISO/CEI 27033, ISO/CEI 27001 Index. dĂ©cimale : 1358/14 RĂ©sumĂ© : Le présent document constitue une synthèse de notre projet de fin d’études, effectué à LMPS Group. Ce projet a pour but de concevoir et déployer un système de management de la sécurité des réseaux conforme à la norme ISO/CEI 27033.
Afin de répondre à la problématique soulevée par notre projet, il fallait, en premier lieu, comprendre la démarche et les recommandations de la norme ISO/CEI 27033 en analysant ses quatre parties disponibles afin de fournir un état des lieux de la sécurité du réseau de LMPS.
En second lieu, nous avons réalisé la planification de la mise en conformité en se basant sur le plan d’action dégagé lors de l’audit. Cette planification est décrite selon les processus définis par la norme.
Finalement, on a mené la mise en conformité du réseau via le déploiement de l’architecture de sécurisée adaptée aux différents contrôles et besoins définis dans la partie de planification en décrivant la démarche technique d’installation et de configuration.
Mise en place d’un système de management de la sécurité des réseaux [projet fin études] / ASSAID AYOUB, Auteur . - 2014.
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : ISO/CEI 27033, ISO/CEI 27001 Index. dĂ©cimale : 1358/14 RĂ©sumĂ© : Le présent document constitue une synthèse de notre projet de fin d’études, effectué à LMPS Group. Ce projet a pour but de concevoir et déployer un système de management de la sécurité des réseaux conforme à la norme ISO/CEI 27033.
Afin de répondre à la problématique soulevée par notre projet, il fallait, en premier lieu, comprendre la démarche et les recommandations de la norme ISO/CEI 27033 en analysant ses quatre parties disponibles afin de fournir un état des lieux de la sécurité du réseau de LMPS.
En second lieu, nous avons réalisé la planification de la mise en conformité en se basant sur le plan d’action dégagé lors de l’audit. Cette planification est décrite selon les processus définis par la norme.
Finalement, on a mené la mise en conformité du réseau via le déploiement de l’architecture de sécurisée adaptée aux différents contrôles et besoins définis dans la partie de planification en décrivant la démarche technique d’installation et de configuration.
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1358/14 1358/14 ASS Texte imprimé unité des PFE PFE/2014 Disponible ModĂ©lisation de VulnĂ©rabilitĂ©s PHP pour une detection automatique dans le code source d’applications / IBN SEDDIK Abderrahmane
Titre : Modélisation de Vulnérabilités PHP pour une detection automatique dans le code source d’applications Type de document : projet fin études Auteurs : IBN SEDDIK Abderrahmane, Auteur Langues : Français (fre) Catégories : Sécurité des systèmes d'information Mots-clés : SAST, Yag-Suite, open source, sécurité applicative, Owasp, PHP, PHP Code Sniffer,
Apprentissage automatique, rĂ©duction de faux positif.Index. dĂ©cimale : 2002/18 RĂ©sumĂ© : Ce mémoire constitue la synthèse de mon projet de fin d’études que j’ai réalisé au sein de
Yagaan Software Security, une entreprise qui produit la Yag-Suite, qui est une solution d’analyse
statique de sécurité des applications (SAST) avec un volet innovant qui porte sur l’apprentissage
automatique pour la réduction des faux positifs.
Dans sa perspective d’expansion commerciale, Yagaan a pour objectif de supporter plusieurs
langages de programmation et technologies, en commençant évidemment par les langages les plus
utilisés. D’où mon projet sur le PHP.
Ce projet concerne l’intégration du support de la détection des vulnérabilités, principalement
celles dans l’Owasp top 10, pour le langage PHP et ses principales technologies. Il a également pour
objectif, l’intégration des résultats de solutions SAST open source pour tester les capacités de l’outil à
faire de l’apprentissage automatique sur revues de sécurité réalisées par des outils externes.
Ma mission consistait donc d’un côté la mise en place, pour chaque vulnérabilité dans l’Owasp
top 10 les différents détecteurs qui permettraient de détecter les symptômes qui forment cette faille.
Ensuite faire les tests de validation de chaque modèle de vulnérabilité en les essayant sur un référentiel
conçus pour vérifier les performances dans la détection des vraies alertes (vrais positifs) et la capacité à
ignorer des cas qui se « rapprochent » du cas vraisemblable mais qui ne sont pour autant pas des vraies
alertes.
D’un autre côté assurer le développement d’outils qui permettent l’intégration dans la Yag-
Suite, une solution SAST externe, PHP Code Sniffer et la possibilité de mesurer les performances de
l’apprentissage automatique sur cet outil. Le but étant évidemment d’analyser des projets par l’outil
externe, revoir manuellement les alertes remontées. Puis prendre de simples échantillons de vrais et de
faux positifs pour nourrir l’algorithme de l’apprentissage. Et finalement mesurer les performances de
l’algorithmes et chercher les moyens de l’améliorer.
Enfin, après analyse des résultats et comparaison des performances avec les conclusions de la
revue manuelle de projets, détecter les faiblesses de détection et les corriger par la création de nouveaux
symptômes qui affineront à la fois l’apprentissage et la détection des vulnérabilités
Modélisation de Vulnérabilités PHP pour une detection automatique dans le code source d’applications [projet fin études] / IBN SEDDIK Abderrahmane, Auteur . - [s.d.].
Langues : Français (fre)
Catégories : Sécurité des systèmes d'information Mots-clés : SAST, Yag-Suite, open source, sécurité applicative, Owasp, PHP, PHP Code Sniffer,
Apprentissage automatique, rĂ©duction de faux positif.Index. dĂ©cimale : 2002/18 RĂ©sumĂ© : Ce mémoire constitue la synthèse de mon projet de fin d’études que j’ai réalisé au sein de
Yagaan Software Security, une entreprise qui produit la Yag-Suite, qui est une solution d’analyse
statique de sécurité des applications (SAST) avec un volet innovant qui porte sur l’apprentissage
automatique pour la réduction des faux positifs.
Dans sa perspective d’expansion commerciale, Yagaan a pour objectif de supporter plusieurs
langages de programmation et technologies, en commençant évidemment par les langages les plus
utilisés. D’où mon projet sur le PHP.
Ce projet concerne l’intégration du support de la détection des vulnérabilités, principalement
celles dans l’Owasp top 10, pour le langage PHP et ses principales technologies. Il a également pour
objectif, l’intégration des résultats de solutions SAST open source pour tester les capacités de l’outil à
faire de l’apprentissage automatique sur revues de sécurité réalisées par des outils externes.
Ma mission consistait donc d’un côté la mise en place, pour chaque vulnérabilité dans l’Owasp
top 10 les différents détecteurs qui permettraient de détecter les symptômes qui forment cette faille.
Ensuite faire les tests de validation de chaque modèle de vulnérabilité en les essayant sur un référentiel
conçus pour vérifier les performances dans la détection des vraies alertes (vrais positifs) et la capacité à
ignorer des cas qui se « rapprochent » du cas vraisemblable mais qui ne sont pour autant pas des vraies
alertes.
D’un autre côté assurer le développement d’outils qui permettent l’intégration dans la Yag-
Suite, une solution SAST externe, PHP Code Sniffer et la possibilité de mesurer les performances de
l’apprentissage automatique sur cet outil. Le but étant évidemment d’analyser des projets par l’outil
externe, revoir manuellement les alertes remontées. Puis prendre de simples échantillons de vrais et de
faux positifs pour nourrir l’algorithme de l’apprentissage. Et finalement mesurer les performances de
l’algorithmes et chercher les moyens de l’améliorer.
Enfin, après analyse des résultats et comparaison des performances avec les conclusions de la
revue manuelle de projets, détecter les faiblesses de détection et les corriger par la création de nouveaux
symptômes qui affineront à la fois l’apprentissage et la détection des vulnérabilités
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 2002/18 2002/18 IBN Texte imprimé unité des PFE PFE/2018 Disponible Monitoring application on android for security issus / Ayache Meryeme
Titre : Monitoring application on android for security issus Type de document : projet fin études Auteurs : Ayache Meryeme, Auteur Année de publication : 2012 Langues : Français (fre) Catégories : Sécurité des systèmes d'information Index. décimale : 1047/12 Monitoring application on android for security issus [projet fin études] / Ayache Meryeme, Auteur . - 2012.
Langues : Français (fre)
Catégories : Sécurité des systèmes d'information Index. décimale : 1047/12 Réservation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1047/12 1047/12 AYA Texte imprimé unité des PFE PFE/2012 Disponible organisation et sĂ©curitĂ© du système d'information et de communication selon les normes ISO 27 001/2/5 et l'approche MEHARI au sein du cabinet MAZARS / Alaoui Youssef
Titre : organisation et sĂ©curitĂ© du système d'information et de communication selon les normes ISO 27 001/2/5 et l'approche MEHARI au sein du cabinet MAZARS Type de document : projet fin Ă©tudes Auteurs : Alaoui Youssef, Auteur AnnĂ©e de publication : 2014 Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Audit de sĂ©curitĂ©, Analyse de risque, ISO 27005, MEHARI, Tests d’intrusion, Plan de continuitĂ© d’activitĂ© Index. dĂ©cimale : 1241/14 RĂ©sumĂ© : Le présent document constitue une synthèse du travail réalisé dans le cadre du projet de fin d’études, effectué au sein de la société MAZARS. Il avait pour but d’y mener un audit du système d’information afin d’évaluer son niveau de maturité en terme de sécurité. Cette mission d’audit comporte aussi bien un audit organisationnel qu’un audit technique comportant une phase de tests d’intrusion.
A ce propos, nous avons suivi une démarche en trois phases. Tout d’abord, il a fallu définir le périmètre de l’audit et les objectifs à atteindre en concertation avec le Responsable de Sécurité des Systèmes d’Informations (RSSI) et le top management. Ce qui nous a permis d’identifier les personnes à questionner afin de connaître l’état des lieux en matière de sécurité au regard de la politique de sécurité en vigueur. La deuxième phase a été consacrée à l’analyse de risques qui est la phase clé de toute mission d’audit organisationnel. Pour cela, nous avons jugé convenable de commencer par une étude comparative entre les différentes méthodes d’analyse de risque (EBIOS, MEHARI,…) afin de choisir celle qui correspond le mieux au cas de MAZARS. La troisième phase s’est basée sur un ensemble de tests d’intrusion et d’analyse de vulnérabilités pour réaliser un audit technique du périmètre préalablement défini. Enfin, il va sans dire que la dernière phase de notre mission d’audit consistait à produire un ensemble de livrables portant essentiellement sur les recommandations et les mesures organisationnelles et techniques à mettre en place pour la mise à niveau de la politique de sécurité et ce en se basant sur les normes ISO 27001/2. En plus de la mission d’audit et pour assurer la continuité des activités et des processus métier de MAZARS en cas de crise ou d’incident majeur, nous avons élaboré une première version de la démarcher du plan de continuité d’activité.
organisation et sécurité du système d'information et de communication selon les normes ISO 27 001/2/5 et l'approche MEHARI au sein du cabinet MAZARS [projet fin études] / Alaoui Youssef, Auteur . - 2014.
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Audit de sĂ©curitĂ©, Analyse de risque, ISO 27005, MEHARI, Tests d’intrusion, Plan de continuitĂ© d’activitĂ© Index. dĂ©cimale : 1241/14 RĂ©sumĂ© : Le présent document constitue une synthèse du travail réalisé dans le cadre du projet de fin d’études, effectué au sein de la société MAZARS. Il avait pour but d’y mener un audit du système d’information afin d’évaluer son niveau de maturité en terme de sécurité. Cette mission d’audit comporte aussi bien un audit organisationnel qu’un audit technique comportant une phase de tests d’intrusion.
A ce propos, nous avons suivi une démarche en trois phases. Tout d’abord, il a fallu définir le périmètre de l’audit et les objectifs à atteindre en concertation avec le Responsable de Sécurité des Systèmes d’Informations (RSSI) et le top management. Ce qui nous a permis d’identifier les personnes à questionner afin de connaître l’état des lieux en matière de sécurité au regard de la politique de sécurité en vigueur. La deuxième phase a été consacrée à l’analyse de risques qui est la phase clé de toute mission d’audit organisationnel. Pour cela, nous avons jugé convenable de commencer par une étude comparative entre les différentes méthodes d’analyse de risque (EBIOS, MEHARI,…) afin de choisir celle qui correspond le mieux au cas de MAZARS. La troisième phase s’est basée sur un ensemble de tests d’intrusion et d’analyse de vulnérabilités pour réaliser un audit technique du périmètre préalablement défini. Enfin, il va sans dire que la dernière phase de notre mission d’audit consistait à produire un ensemble de livrables portant essentiellement sur les recommandations et les mesures organisationnelles et techniques à mettre en place pour la mise à niveau de la politique de sécurité et ce en se basant sur les normes ISO 27001/2. En plus de la mission d’audit et pour assurer la continuité des activités et des processus métier de MAZARS en cas de crise ou d’incident majeur, nous avons élaboré une première version de la démarcher du plan de continuité d’activité.
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1241/14 1241/14 ALA Texte imprimé unité des PFE PFE/2014 Disponible Participation Ă l’implĂ©mentation d’une solution intelligente et auto-adaptative pour la sĂ©curisation des Web services / Lakssiouer Ahmed
Titre : Participation Ă l’implĂ©mentation d’une solution intelligente et auto-adaptative pour la sĂ©curisation des Web services Type de document : projet fin Ă©tudes Auteurs : Lakssiouer Ahmed, Auteur AnnĂ©e de publication : 2016 Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Web services(SOAP), SĂ©curitĂ© des Web services, Apprentissage Automatique Index. dĂ©cimale : 1541/16 RĂ©sumĂ© : Le présent document constitue une synthèse de mon projet de fin d’études, effectué au sein de SafeDemat. Ce projet a pour objectif d’implémenter un prototype d’une solution intelligente et auto-adaptative pour la sécurisation des applications web à base de Web services. Ce travail est en complément d'un cadre plus global de travaux de recherche menés dans le cadre de l'université Med V entre l'EMI - Laboratoire SIR et la société SafeDemat à travers un brevet d'invention déposé N°38593.
Il s’agit d’implémenter un prototype capable de protéger et de mettre à jour la politique de sécurité d’un système d’informations à base de Web services continuellement dans le temps.
Nous proposons un mécanisme ayant un double objectif : celui de détecter rapidement les attaques, de les catégoriser et d'y répondre de façon vigoureuse, rapide et efficace et surtout automatique afin d'éviter des conséquences néfastes.
Ainsi il fallait commencer, en premier lieu, par comprendre la problématique posée et les objectifs à atteindre. En deuxième lieu, une étude approfondie sur la technologie des Web services, les attaques qu’ils subissent et les spécifications standardisées pour les sécuriser. De plus on a réalisé une étude sur les types et les étapes d’un apprentissage automatique pour finir avec un benchmark de quelques algorithmes d’apprentissage automatique afin de décider de l’algorithme convenant à nos besoins.
La phase de la conception a été abordée ensuite, afin d’élaborer et de décrire une architecture capable de répondre rapidement et efficacement aux attaques et de mettre à jour la politique de sécurité de manière autonome.
En dernier lieu, nous nous sommes concentrés sur la phase de démonstration de la faisabilité.
Dans le cadre de cette phase, nous avons commencé par réaliser un schéma de déploiement, nous permettant de tester l’architecture et les outils choisis pour l’implémentation de notre solution.
Participation à l’implémentation d’une solution intelligente et auto-adaptative pour la sécurisation des Web services [projet fin études] / Lakssiouer Ahmed, Auteur . - 2016.
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Web services(SOAP), SĂ©curitĂ© des Web services, Apprentissage Automatique Index. dĂ©cimale : 1541/16 RĂ©sumĂ© : Le présent document constitue une synthèse de mon projet de fin d’études, effectué au sein de SafeDemat. Ce projet a pour objectif d’implémenter un prototype d’une solution intelligente et auto-adaptative pour la sécurisation des applications web à base de Web services. Ce travail est en complément d'un cadre plus global de travaux de recherche menés dans le cadre de l'université Med V entre l'EMI - Laboratoire SIR et la société SafeDemat à travers un brevet d'invention déposé N°38593.
Il s’agit d’implémenter un prototype capable de protéger et de mettre à jour la politique de sécurité d’un système d’informations à base de Web services continuellement dans le temps.
Nous proposons un mécanisme ayant un double objectif : celui de détecter rapidement les attaques, de les catégoriser et d'y répondre de façon vigoureuse, rapide et efficace et surtout automatique afin d'éviter des conséquences néfastes.
Ainsi il fallait commencer, en premier lieu, par comprendre la problématique posée et les objectifs à atteindre. En deuxième lieu, une étude approfondie sur la technologie des Web services, les attaques qu’ils subissent et les spécifications standardisées pour les sécuriser. De plus on a réalisé une étude sur les types et les étapes d’un apprentissage automatique pour finir avec un benchmark de quelques algorithmes d’apprentissage automatique afin de décider de l’algorithme convenant à nos besoins.
La phase de la conception a été abordée ensuite, afin d’élaborer et de décrire une architecture capable de répondre rapidement et efficacement aux attaques et de mettre à jour la politique de sécurité de manière autonome.
En dernier lieu, nous nous sommes concentrés sur la phase de démonstration de la faisabilité.
Dans le cadre de cette phase, nous avons commencé par réaliser un schéma de déploiement, nous permettant de tester l’architecture et les outils choisis pour l’implémentation de notre solution.
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1541/16 1541/16 LAK Texte imprimé unité des PFE PFE/2016 Disponible Prise en compte du processus de dĂ©veloppement sĂ©curisĂ© au sein de Poste Maroc. / Zakariae ELOUAZZANI / Faiza TAZI
Titre : Prise en compte du processus de dĂ©veloppement sĂ©curisĂ© au sein de Poste Maroc. Type de document : projet fin Ă©tudes Auteurs : Zakariae ELOUAZZANI / Faiza TAZI, Auteur AnnĂ©e de publication : 2014 Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Index. dĂ©cimale : 1359/14 RĂ©sumĂ© : Le présent document constitue une synthèse de notre projet de fin d’études pour l’obtention du diplôme d’ingénieur d’état en informatique de l’année 2014, effectué au sein de la direction de l’Organisation et Systèmes d’Information de Barid Al-Maghrib.
Ce projet a pour objectif de contribuer à l’amélioration de la sécurité du système d’information de POSTE MAROC. Il s’agit plus précisément de sécuriser le cycle de développement de POSTE MAROC lors de toutes ses phases commençant par la spécification des besoins jusqu’aux tests de pénétration et ce en se basant sur l’approche SDL (Security Development Life cycle) de Microsoft tout en l’adaptant aux besoins de POSTE MAROC.
Pour ce faire, il a fallu commencer, en premier lieu, par une étude détaillée de cette approche en la confrontant avec l’approche CLASP de l’OWASP (Open Web Application Security Project), afin de mieux cerner ses points forts ainsi que ses faiblesses et ce dans le but de l’adapter aux besoins de Barid Al-Maghrib. Par ailleurs, nous avons jugé convenable de faire un ‘mapping’ de la méthodologie Microsoft SDL avec les normes ISO 27001/27002 pour vérifier la conformité de SDL à ces normes.
En dernier lieu, nous avons procédé à l’application de cette approche au cycle de développement du projet E-barkia ce qui nous a permis d’assurer la sécurité de cette application.Prise en compte du processus de dĂ©veloppement sĂ©curisĂ© au sein de Poste Maroc. [projet fin Ă©tudes] / Zakariae ELOUAZZANI / Faiza TAZI, Auteur . - 2014.
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Index. dĂ©cimale : 1359/14 RĂ©sumĂ© : Le présent document constitue une synthèse de notre projet de fin d’études pour l’obtention du diplôme d’ingénieur d’état en informatique de l’année 2014, effectué au sein de la direction de l’Organisation et Systèmes d’Information de Barid Al-Maghrib.
Ce projet a pour objectif de contribuer à l’amélioration de la sécurité du système d’information de POSTE MAROC. Il s’agit plus précisément de sécuriser le cycle de développement de POSTE MAROC lors de toutes ses phases commençant par la spécification des besoins jusqu’aux tests de pénétration et ce en se basant sur l’approche SDL (Security Development Life cycle) de Microsoft tout en l’adaptant aux besoins de POSTE MAROC.
Pour ce faire, il a fallu commencer, en premier lieu, par une étude détaillée de cette approche en la confrontant avec l’approche CLASP de l’OWASP (Open Web Application Security Project), afin de mieux cerner ses points forts ainsi que ses faiblesses et ce dans le but de l’adapter aux besoins de Barid Al-Maghrib. Par ailleurs, nous avons jugé convenable de faire un ‘mapping’ de la méthodologie Microsoft SDL avec les normes ISO 27001/27002 pour vérifier la conformité de SDL à ces normes.
En dernier lieu, nous avons procédé à l’application de cette approche au cycle de développement du projet E-barkia ce qui nous a permis d’assurer la sécurité de cette application.RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1359/14 1359/14 ZAK Texte imprimé unité des PFE PFE/2014 Disponible RĂ©alisation d'une architecture orientĂ©e services pour la gestion des autorisations et habilitations / Elqasry Abdelwahed
Titre : Réalisation d'une architecture orientée services pour la gestion des autorisations et habilitations Type de document : projet fin études Auteurs : Elqasry Abdelwahed, Auteur Année de publication : 2013 Langues : Français (fre) Catégories : Sécurité des systèmes d'information Index. décimale : 1186/13 Réalisation d'une architecture orientée services pour la gestion des autorisations et habilitations [projet fin études] / Elqasry Abdelwahed, Auteur . - 2013.
Langues : Français (fre)
Catégories : Sécurité des systèmes d'information Index. décimale : 1186/13 Réservation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1186/13 1186/13 ELQ Texte imprimé unité des PFE PFE/2013 Disponible RĂ©alisation d’une mĂ©thode de gestion de risques conforme Ă la norme ISO 27005 et dĂ©ploiement sur le pĂ©rimètre DATAPROTECT / Ghizlane EL KAOUI
Titre : RĂ©alisation d’une mĂ©thode de gestion de risques conforme Ă la norme ISO 27005 et dĂ©ploiement sur le pĂ©rimètre DATAPROTECT Type de document : texte imprimĂ© Auteurs : Ghizlane EL KAOUI, Auteur AnnĂ©e de publication : 2017 Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Gestion de risques SI, Management de la sĂ©curitĂ© des systèmes d’information, ISO 27005, ISO 27001, EBIOS, MEHARI, OWASP Risk Rating Methodology, CVSS. Index. dĂ©cimale : 1845/17 RĂ©sumĂ© : Le présent rapport est la synthèse du travail réalisé dans le cadre de mon projet de fin d’études au sein de la société DATAPROTECT. L’objectif de ce projet consiste en la réalisation d’une méthode de gestion de risques implémentant la norme ISO 27005 et mêlant l’aspect technique à l’aspect organisationnel dans sa démarche, tout en étant adaptée à la clientèle de DATAPROTECT.
La réalisation de ce projet s’est déroulée selon la démarche suivante. Premièrement la prise en connaissance des différentes normes et méthodes de gestion de risques existantes, puis l’élaboration des spécifications de la méthode à mettre en place. Ensuite, la conception et la rédaction de la méthode et la réalisation de son outil d’analyse de risques. Et enfin, le déploiement de la méthode sur le périmètre de l’entreprise DATAPROTECT.
Réalisation d’une méthode de gestion de risques conforme à la norme ISO 27005 et déploiement sur le périmètre DATAPROTECT [texte imprimé] / Ghizlane EL KAOUI, Auteur . - 2017.
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Gestion de risques SI, Management de la sĂ©curitĂ© des systèmes d’information, ISO 27005, ISO 27001, EBIOS, MEHARI, OWASP Risk Rating Methodology, CVSS. Index. dĂ©cimale : 1845/17 RĂ©sumĂ© : Le présent rapport est la synthèse du travail réalisé dans le cadre de mon projet de fin d’études au sein de la société DATAPROTECT. L’objectif de ce projet consiste en la réalisation d’une méthode de gestion de risques implémentant la norme ISO 27005 et mêlant l’aspect technique à l’aspect organisationnel dans sa démarche, tout en étant adaptée à la clientèle de DATAPROTECT.
La réalisation de ce projet s’est déroulée selon la démarche suivante. Premièrement la prise en connaissance des différentes normes et méthodes de gestion de risques existantes, puis l’élaboration des spécifications de la méthode à mettre en place. Ensuite, la conception et la rédaction de la méthode et la réalisation de son outil d’analyse de risques. Et enfin, le déploiement de la méthode sur le périmètre de l’entreprise DATAPROTECT.
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1845/17 1845/17 GHI Texte imprimé unité des PFE PFE/2017 Disponible RĂ©alisation d'une plateforme d'aide Ă l'analyse des risques. / Essalih Moncif / Latimi Issam
Titre : Réalisation d'une plateforme d'aide à l'analyse des risques. Type de document : projet fin études Auteurs : Essalih Moncif / Latimi Issam, Auteur Année de publication : 2013 Langues : Français (fre) Catégories : Sécurité des systèmes d'information Index. décimale : 1171/13 Réalisation d'une plateforme d'aide à l'analyse des risques. [projet fin études] / Essalih Moncif / Latimi Issam, Auteur . - 2013.
Langues : Français (fre)
Catégories : Sécurité des systèmes d'information Index. décimale : 1171/13 Réservation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1171/13 1171/13 ESS Texte imprimé unité des PFE PFE/2013 Disponible RĂ©alisation d’une plateforme de test des vulnĂ©rabilitĂ©s WEB « ALMOKHTABAR » / Azoud Mouncif
Titre : RĂ©alisation d’une plateforme de test des vulnĂ©rabilitĂ©s WEB « ALMOKHTABAR » Type de document : projet fin Ă©tudes Auteurs : Azoud Mouncif, Auteur Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Application Web, Tests de VulnĂ©rabilitĂ©s, Plateforme, Challenges. Index. dĂ©cimale : 2140/19 RĂ©sumĂ© : Jour après jour, les attaques informatiques se multiplient, de nouvelles vulnérabilités sont découvertes et les motivations des attaquants s’agrandissent. Auparavant, la plupart des attaques avaient comme première cible l’infrastructure réseau des organismes, mais avec l’apparition des technologies web.2.0, et le succès des applications Web, ces dernières sont devenues la cible privilégiée des attaques. En effet, de par leur ouverture sur le net elles deviennent la composante du système d’information la plus exposée aux attaques informatiques, ciblant souvent leur disponibilité, leur intégrité ainsi que leur confidentialité.
Dans ce contexte, mon projet de fin d’études, effectué au sein d’Alxyr, vise la création d’une plateforme de test de vulnérabilités des applications web, qui traitera en premier lieu les vulnérabilités OWASP top 10 2017 tout en étant extensible à d’autres types de vulnérabilités. La logique de la plateforme suivra celle des compétitions de hack (CTF) pour permettre à l’utilisateur de faire face à un certain nombre de challenges représentant chaque type de vulnérabilité.
Le présent rapport décrit les principales phases de l’élaboration de cette plateforme : de l’étude comparative des plateformes existantes jusqu’à la réalisation et les tests des différentes fonctionnalités en passant par la conception et la sécurisation de la plateforme.
Réalisation d’une plateforme de test des vulnérabilités WEB « ALMOKHTABAR » [projet fin études] / Azoud Mouncif, Auteur . - [s.d.].
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : Application Web, Tests de VulnĂ©rabilitĂ©s, Plateforme, Challenges. Index. dĂ©cimale : 2140/19 RĂ©sumĂ© : Jour après jour, les attaques informatiques se multiplient, de nouvelles vulnérabilités sont découvertes et les motivations des attaquants s’agrandissent. Auparavant, la plupart des attaques avaient comme première cible l’infrastructure réseau des organismes, mais avec l’apparition des technologies web.2.0, et le succès des applications Web, ces dernières sont devenues la cible privilégiée des attaques. En effet, de par leur ouverture sur le net elles deviennent la composante du système d’information la plus exposée aux attaques informatiques, ciblant souvent leur disponibilité, leur intégrité ainsi que leur confidentialité.
Dans ce contexte, mon projet de fin d’études, effectué au sein d’Alxyr, vise la création d’une plateforme de test de vulnérabilités des applications web, qui traitera en premier lieu les vulnérabilités OWASP top 10 2017 tout en étant extensible à d’autres types de vulnérabilités. La logique de la plateforme suivra celle des compétitions de hack (CTF) pour permettre à l’utilisateur de faire face à un certain nombre de challenges représentant chaque type de vulnérabilité.
Le présent rapport décrit les principales phases de l’élaboration de cette plateforme : de l’étude comparative des plateformes existantes jusqu’à la réalisation et les tests des différentes fonctionnalités en passant par la conception et la sécurisation de la plateforme.
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 2140/19 2140/19 REA Texte imprimé unité des PFE PFE/2019 Disponible RĂ©alisation d’une solution d’automatisation des tests d’intrusion : Cartographie rĂ©seau et applicative, exploitation des failles applicatives de manière non destructive / Mehdi EL OUAKOUAK
Titre : RĂ©alisation d’une solution d’automatisation des tests d’intrusion : Cartographie rĂ©seau et applicative, exploitation des failles applicatives de manière non destructive Type de document : projet fin Ă©tudes Auteurs : Mehdi EL OUAKOUAK, Auteur Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : SSL247, Pentest et Audit, Tests d’intrusion, Python, BASH, missions, clients, audit technique. Index. dĂ©cimale : 2003/18 RĂ©sumĂ© : Ce mémoire constitue une synthèse de mon projet de fin d’études réalisé au sein de la société SSL247 dans ses locaux à Lille.
Ce projet concerne la réalisation d’un outil d’automatisation des tests d’intrusion au profit de l’équipe « Pentest et Audit sécurité ». Dans ce sens, le projet est une application regroupant différents outils et technologies dans le domaine de la sécurité informatique.
Tout d’abord, il était indispensable de se familiariser avec les notions et les étapes des tests d’intrusion, et les outils nécessaires pour la réalisation de ce projet. Ensuite nous sommes passés à la phase de pré-étude qui s’est terminée par l’élaboration d’un plan d’action qui nous a permis de planifier et définir l’ensemble des ressources nécessaires pour l’élaboration du projet. Dans la seconde partie, nous avons entamé la phase d’analyse et de conception en précisant les spécifications fonctionnelles et techniques, ainsi qu’à l’étude conceptuelle de la solution. Finalement, la dernière étape fut dédiée à la réalisation et au test de la solution. À ce niveau, nous avons fait appel à l’utilisation de nouveaux outils dédiés aux tests d’intrusion, et la programmation système basée sur : Python, BASH, etc.
En parallèle avec la réalisation de mon Projet de fin d’études, j’ai participé à des missions de tests d’intrusions applicatives et externes pour des clients de grands comptes, ce qui m’a permis de m’initier au métier de conseil en audit technique de sécurité des systèmes d’informations.
À travers ce document, nous allons décrire avec plus de détails chaque partie de la réalisation de ce projet.
Réalisation d’une solution d’automatisation des tests d’intrusion : Cartographie réseau et applicative, exploitation des failles applicatives de manière non destructive [projet fin études] / Mehdi EL OUAKOUAK, Auteur . - [s.d.].
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : SSL247, Pentest et Audit, Tests d’intrusion, Python, BASH, missions, clients, audit technique. Index. dĂ©cimale : 2003/18 RĂ©sumĂ© : Ce mémoire constitue une synthèse de mon projet de fin d’études réalisé au sein de la société SSL247 dans ses locaux à Lille.
Ce projet concerne la réalisation d’un outil d’automatisation des tests d’intrusion au profit de l’équipe « Pentest et Audit sécurité ». Dans ce sens, le projet est une application regroupant différents outils et technologies dans le domaine de la sécurité informatique.
Tout d’abord, il était indispensable de se familiariser avec les notions et les étapes des tests d’intrusion, et les outils nécessaires pour la réalisation de ce projet. Ensuite nous sommes passés à la phase de pré-étude qui s’est terminée par l’élaboration d’un plan d’action qui nous a permis de planifier et définir l’ensemble des ressources nécessaires pour l’élaboration du projet. Dans la seconde partie, nous avons entamé la phase d’analyse et de conception en précisant les spécifications fonctionnelles et techniques, ainsi qu’à l’étude conceptuelle de la solution. Finalement, la dernière étape fut dédiée à la réalisation et au test de la solution. À ce niveau, nous avons fait appel à l’utilisation de nouveaux outils dédiés aux tests d’intrusion, et la programmation système basée sur : Python, BASH, etc.
En parallèle avec la réalisation de mon Projet de fin d’études, j’ai participé à des missions de tests d’intrusions applicatives et externes pour des clients de grands comptes, ce qui m’a permis de m’initier au métier de conseil en audit technique de sécurité des systèmes d’informations.
À travers ce document, nous allons décrire avec plus de détails chaque partie de la réalisation de ce projet.
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 2003/18 2003/18 MEH Texte imprimé unité des PFE PFE/2018 Disponible Refonte de la solution de reporting rĂ©glementaire bancaire pour les marchĂ©s des changes et monĂ©taires (BRS MCM) / Belghoul Ilham
Titre : Refonte de la solution de reporting réglementaire bancaire pour les marchés des changes et monétaires (BRS MCM) Type de document : projet fin études Auteurs : Belghoul Ilham, Auteur Année de publication : 2013 Langues : Français (fre) Catégories : Sécurité des systèmes d'information Index. décimale : 1185/13 Refonte de la solution de reporting réglementaire bancaire pour les marchés des changes et monétaires (BRS MCM) [projet fin études] / Belghoul Ilham, Auteur . - 2013.
Langues : Français (fre)
Catégories : Sécurité des systèmes d'information Index. décimale : 1185/13 Réservation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1185/13 1185/13 BEL Texte imprimé unité des PFE PFE/2013 Disponible Renforcement du dispositif de sĂ©curitĂ© Datacenter, Ă©tablissement d'un dossier d'Ă©tude / ElGhali Ouafae / Charaf Safae
Titre : Renforcement du dispositif de sécurité Datacenter, établissement d'un dossier d'étude Type de document : projet fin études Auteurs : ElGhali Ouafae / Charaf Safae, Auteur Année de publication : 2013 Langues : Français (fre) Catégories : Sécurité des systèmes d'information Index. décimale : 1152/13 Renforcement du dispositif de sécurité Datacenter, établissement d'un dossier d'étude [projet fin études] / ElGhali Ouafae / Charaf Safae, Auteur . - 2013.
Langues : Français (fre)
Catégories : Sécurité des systèmes d'information Index. décimale : 1152/13 Réservation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1152/13 1152/13 ELG Texte imprimé unité des PFE PFE/2013 Disponible Renforcement de l’outillage technique dĂ©diĂ© Ă la sĂ©curisation du système d’information de BKAM / Taha BELLAHCENE
Titre : Renforcement de l’outillage technique dĂ©diĂ© Ă la sĂ©curisation du système d’information de BKAM Type de document : projet fin Ă©tudes Auteurs : Taha BELLAHCENE, Auteur Langues : Français (fre) CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : La veille vulnĂ©rabilitĂ©, test d’intrusion, Scanner de vulnĂ©rabilitĂ©s. Index. dĂ©cimale : 1659/16 RĂ©sumĂ© : Le présent rapport est une synthèse de mon projet de fin d’étude effectué au sein de la direction de l’organisation et des systèmes d’information de Bank Al-Maghrib. L’objectif de ce projet consiste en le renforcement de l’outillage technique dédié à la sécurisation du système d’information de Bank Al-Maghrib.
Ma mission dans le cadre de ce projet est devisée en deux partie, La première est consacrée à l’étude et proposition de solutions pour le suivi de l’évolution de l’état de santé du système d’information de BKAM en terme de veille vulnérabilités. La deuxième partie est consacrée à l’étude, proposition et mise en oeuvre d’un outillage technique dédié au processus de test d’intrusion.
L’ensemble des solutions proposées a été testé sur un environnement de test offert par Bank Al-maghrib , dans le but de montrer l’efficacité et la pertinence de ces dernières utilisées dans le déroulement d’un test d’intrusion .
Renforcement de l’outillage technique dédié à la sécurisation du système d’information de BKAM [projet fin études] / Taha BELLAHCENE, Auteur . - [s.d.].
Langues : Français (fre)
CatĂ©gories : SĂ©curitĂ© des systèmes d'information Mots-clĂ©s : La veille vulnĂ©rabilitĂ©, test d’intrusion, Scanner de vulnĂ©rabilitĂ©s. Index. dĂ©cimale : 1659/16 RĂ©sumĂ© : Le présent rapport est une synthèse de mon projet de fin d’étude effectué au sein de la direction de l’organisation et des systèmes d’information de Bank Al-Maghrib. L’objectif de ce projet consiste en le renforcement de l’outillage technique dédié à la sécurisation du système d’information de Bank Al-Maghrib.
Ma mission dans le cadre de ce projet est devisée en deux partie, La première est consacrée à l’étude et proposition de solutions pour le suivi de l’évolution de l’état de santé du système d’information de BKAM en terme de veille vulnérabilités. La deuxième partie est consacrée à l’étude, proposition et mise en oeuvre d’un outillage technique dédié au processus de test d’intrusion.
L’ensemble des solutions proposées a été testé sur un environnement de test offert par Bank Al-maghrib , dans le but de montrer l’efficacité et la pertinence de ces dernières utilisées dans le déroulement d’un test d’intrusion .
RĂ©servation
RĂ©server ce document
Exemplaires
Code barre Cote Support Localisation Section DisponibilitĂ© 1659/16 1659/16 TAH Texte imprimé unité des PFE PFE/2016 Disponible