M31: Sécurité des réseaux et du Web (Master STRI, S3) 

Objectif du cours:

Ce module a pour but de permettre aux étudiants de comprendre les concepts fondamentaux de la protection des réseaux informatiques et du web. A la fin de ce cours l'étudiant doit être capable de :

• identifier les menaces, vulnérabilités, les risques et les vecteurs d'attaque courants pour la sécurité des réseaux et du web ;

• prendre conscience des limites des mécanismes de défense et protocoles de sécurité existants et de la manière de les éviter.

Prérequis pédagogiques:

• Réseaux Informatique 

• Notions de base en développement Web 

Mini projet du module:

• Cliquer ici pour voir la liste complet des sujets

• Fiche Individuelle

• Mise en forme du rapport 

• Version Word

• Overleaf (Latex): https://fr.overleaf.com/latex/templates/tagged/report

• Grille d'évaluation

Politique de cours sur l'IA générative et l'intégrité académique

Dans ce cours, les étudiants peuvent utiliser des outils d'IA générative (par exemple, ChatGPT, DALL-E, Google Gemini) pour explorer les sujets du cours lorsque cela leur est demandé. Des conseils sur l'utilisation et l'attribution appropriées seront fournis. Vous pouvez également utiliser ces outils pour corriger les erreurs de grammaire ou d'orthographe. Pour chaque utilisation d'un outil d'IA générative, vous devez fournir un paragraphe expliquant (1) quel outil d'IA vous avez utilisé, les (2) dates d'utilisation et les (3) requêtes ou prompts spécifiques que vous avez utilisées . Lorsque vous présentez des images générées par l'IA ou d'autres médias, assurez-vous d'une citation appropriée. Si vous avez besoin d'aide pour le référencement, contactez-moi pour obtenir de l'aide.

Toutefois, toute utilisation de l'IA en dehors de ces directives est considérée comme une malhonnêteté académique. Cela comprend :

1. Utiliser des outils d'IA pour effectuer des tâches, sauf autorisation spécifique.

2. Acheter ou faire réaliser un travail pour vous.

3. Faire en sorte qu'une autre personne complète une partie d'un TP ou du projet du module.

Toutes ces actions seront qualifiées de plagiat et seront sujettes à des mesures disciplinaires académiques.

Cours:

• Chapitre 1: Généralités sur la cybersécurité 

  • Partie 1

  • Partie 2

• Chapitre 2:  Introduction à la sécurité des réseaux 

  • Partie 1

  • Partie 2

  • DGSSI: Guide technique relatif à la sécurité des réseaux

  • ANSSI: Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu

  • ANSSI: RECOMMANDATIONS RELATIVES À L’INTERCONNEXION D’UN SYSTÈME D’INFORMATION À INTERNET

  • ANSSI: RECOMMANDATIONS POUR CHOISIR DES PARE-FEUX MAÎTRISÉS DANS LES ZONES EXPOSÉES À INTERNET

• Chapitre 3: Sécurisation des communications à l’aide du protocole SSL/TLS

  • Partie 1

  • Rapport PFE Master : A. Zineddine, Évaluation du déploiement de HTTPS sur les sites web nationaux, Master STRI (AU: 2020/2021)

• Chapitre 4: Sécurité du Web 

  • Partie 1 du chapitre

  • Partie 2 du chapitre

  • Rosen, L.S.R. Web Application Architecture: Principles, Protocol and Practices; John Wiley & Sons Ltd.: West Sussex, England, 2009.

  • Hoffman, A. (2020). Web Application security: exploitation and countermeasures for modern web applications. O'Reilly Media. 

  • Sadqi, Y., & Maleh, Y. (2022). A systematic review and taxonomy of web applications threats. Information Security Journal: A Global Perspective, 31(1), 1-27. 

  • Sadqi, Y., & Mekkaoui, M. (2021). Design Challenges and Assessment of Modern Web Applications Intrusion Detection and Prevention Systems (IDPS). In Innovations in Smart Cities Applications Volume 4: The Proceedings of the 5th International Conference on Smart City Applications (pp. 1087-1104). Springer International Publishing. 

TD

• TD1

• TD2

• TD3

TP:

• TP1

PFE:

1. Y. Lofti and Y Sadqi . A Collaborative and Decentralized IdPs-based Single Sign-On System using Blockchain Technology. 2023.

2. C. Moutachouiq and Y Sadqi . Etude des méthodologies et outils de test d’intrusion réseau. 2021.

3. N. Belfaik and Y Sadqi . Pentest des applications web : Evaluation des scanners de vulnérabilité Web à l’aide du benchmark OWASP. 2021.

4. N. Bel and Y Sadqi . Évaluation du déploiement de HTTPS sur les sites web nationaux. 2021.

5. O. Chakir and Y Sadqi . Détection et prévention des attaques web. 2020.

6. Y. Belfaik and Y Sadqi . Authentification unique, délégation d’autorisation et révocation d’accès dans le cas de détournement d’un compte du fournisseur d’identité (IdP) . 2019.

Livres et ressources utiles:

• Livres

  • Liste de livres recommandés sur des sujets liés à la cybersécurité

  • STALLINGS, William, BROWN, Lawrie, BAUER, Michael D., et al. Computer security: principles and practice, Third Edition.

  • Oppliger, R. (2016). SSL and TLS: Theory and Practice. Artech House.

  • Grigorik, I. (2013). High Performance Browser Networking: What every web developer should know about networking and web performance. " O'Reilly Media, Inc.". High Performance Browser Networking (O'Reilly) (hpbn.co) 

  • Pillou, J. F., & Bay, J. P. (2016). Tout sur la sécurité informatique-4e édition. Dunod.

  • Livre Blanc - Les enjeux de la cybersécurité au Maroc V6 (ausimaroc.com) 

  • Panorama des métiers de la cybersécurité (ANSSI, Edition 2020)

  • Guide Métiers cybersécurité (Edition 2024) 

  • 2023 Official Cybersecurity Jobs Report (Cybersecurity Ventures)

• Articles:

  • A quantitative security evaluation and analysis model for web applications based on OWASP application security verification standard - ScienceDirect 

• Guides Techniques:

  • https://www.ssi.gouv.fr/administration/bonnes-pratiques/

  • https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-ipsec-pour-la-protection-des-flux-reseau/

• Ressources Web:

  • https://www.hacksplaining.com/

  • https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/

  • https://online.champlain.edu/blog/top-cybersecurity-skills-in-high-demand

  • https://owasp.org/

  • https://www.gartner.com/reviews/market/network-firewalls

  • Resources for security Governance, Risk Management, Compliance and Audit professionals and enthusiasts : https://github.com/Arudjreis/awesome-security-GRC

  • RAPPORT MENACES ET INCIDENTS DU CERT-FR (Mars 2022): https://www.cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-002/

  • Métiers de la cybersécurité (en arabe)

  • https://github.com/nimari/IntroToCyberSecurity/blob/main/IntroToCyberSecurity.md

  • Steve Jobs: The Only Way to Do Great Work is to Love What You Do (youtube.com)

  •