Présentation générale

Intervenant : B. Martin

Cybersécurité, initiation 3 cours, 2 séances de TD, 1 séance de TP

But : comprendre le fonctionnement et les usages des outils de
sécurité pour sécuriser :
Bruno Martin • une machine

Université Côte d’Azur

• un réseau local
• l’accès à un réseau externe
M2 MIAGE SIRIS Avec les notions pour comprendre les outils :
• introduction à la sécurité
• principes de cryptologie

Contenu Vu dans la presse

Introduction
Les risques informatiques
Ce qu’il faut protéger
Menaces et attaquants
Comment protéger ?
Politique de sécurité
Modèles de sécurité
Services et mécanismes
Critères d’évaluation
Métiers de la sécurité
Vu dans la presse Motivation

• Augmentation des échanges sur Internet :

↭ d’information
↭ commerciaux
• Modification des habitudes de travail :
↭ plus de communications
↭ plus de mobilité
↭ plus de sous-traitants
↭ plus de télétravail
Donc moins de contrôle de l’information

Vu au cinéma Environnement «réseau»

• Hier :
↭ centralisé
↭ échanges papier
↭ pas d’accès distants
• aujourd’hui :
↭ distribué, soit sur plusieurs sites, soit localement
↭ accès distants
↭ multiplication des partenariats
De + en + de dépendance à l’informatique : SI devient l’épine
dorsale des entreprises ; 98% des ents. avouent une
dépendance modérée ou forte.
Conséquences :
• Augmentation des communications, donc des risques :
↭ fraudes diverses
↭ piratage
 Revue factuelle Quelques chiffres
Dépenses cybersécurité :

327 milliards d’euros en 2014. 445 milliards de dollars en 2015

(budget de la France).

Quelques chiffres Incidents

58% erreurs de conceptions logicielle ou procédures

2 à 10$ prix moyen de la vente de numéros de cartes 47% perte services essentiels (EDF, comms...)
bancaires selon les pays et les plafonds 46% erreurs utilisation
5$ tarif de location d’1h de botnet pour saturer un site 44% vols ou disparitions
Internet
37% pannes internes (indisponibilité système)
2399 $ prix du malware Citadel permettant d’intercepter
36% infection virale
des numéros de cartes bancaires (et un
abonnement mensuel de 125 $) 8% catastrophes naturelles
Source : Cyberedu dans une moindre mesure : divulgation d’informations, attaques
logiques, actes d’atteinte à l’image, sabotages, intrusion,
fraudes, chantage, intrusion par wifi
 Coût des incidents Panorama des risques informatiques

CLUSIF-APSAD (France) : statistiques des erreurs sur 16 ans. Classification par le CLUSIF [http://www.clusif.fr/] basées
sur les déclarations de sinistres des entreprises :
Pertes en Me
Origine 1984 1994 2000 • accidents naturels : incendie, dégâts des eaux, etc.
Facteur humain 309 280 177 • perte des services essentiels : coupure courant, réseau,
Erreurs 269 426 338 rupture de stocks
Fraude 335 998 ??? • erreurs : tous les stades de l’activité : analyse, conception,
réalisation, mise en œuvre, utilisation
80% des pertes dûes à des fraudes des employés.
• malveillance : vol, vandalisme, fuite d’informations
voir la sécurité en quelques chiffres Voir les rapports annuels du CLUSIF.

Deux types de sécurité Les risques informatiques

Une équation simple :

• Sécurité des données : celles contenues au sein d’un Risque=Menace→Vulnérablité [→Coût]
système ; (traité par la crypto et la théorie des codes)
• Menace : ce contre quoi on veut se défendre (DoS,...)
• Sécurité des réseaux : pour les données qui transitent
• Vulnérabilité : faiblesse connue de l’architecture de
entre des systèmes, dans un environnement distribué ou sécurité (trop de points d’accès, faible authentification,...)
par un réseau.
• Coût : impact financier
Voir également là.
 Top 5 des menaces en 2020 Coût

• 800ke : coût moyen d’une violation de sécurité

• DNS hijacking (↑ MiTM) ↭ 330 ke pour une entreprise de taille intermédiaire
↭ 3.6 Me pour une grande entreprise
• Rançongiciels
• Remote Access Trojan • 9 semaines pour réparer les dégâts

• Office 365 Phishing • Préconisation : 5% du budget pour la cybersécurité

• Digital Extorsion Scams • Essayer de chiffrer au mieux l’impact financier de chaque

couple (menace, vulnérabilité) –voir plus loin, coût des
actifs–

Tant en interne qu’en externe (voir Cisco Threat Report)

Test de vulnérabilité Classification des risques

On estime la gravité (ou sévérité) sur une échelle de 3 ou de 5 :

1. Nul : risque jugé non significatif

2. Faible : événement génèrant une nuisance
organisationnelle, des pertes financières faibles, peu
gênant pour l’utilisateur
3. Sensible : événement occasionnant des pertes
financières significatives, nuisible à l’image, gênante pour
l’utilisateur
4. Critique : événement occasionnant des pertes financières
Connaitre les vulnérabilités permet de déterminer la surface innacceptables, une perte de clientèle
d’attaque 5. Stratégique : événement susceptible d’entraîner un arrêt
immédiat d’une activité de l’entreprise
 Matrice des risques Les risques informatiques (exemple)
• Elevé : apporter des
corrections au plus vite
• Modéré : appliquer des
mesures dans un délai
raisonnable
• Faible : accepter le
risque ou le réduire
Exemple : phishing
Etude: 14% des cibles donnent leurs identifiants.
probabilité : faible
gravité : élévée
Décision : risque modéré

Les risques informatiques Gestion des risques

Consiste en la réalisation et le maintien à jour :

• de l’inventaire des actifs
• de l’expression des besoins de sécurité de ces actifs
• de l’analyse des risques pesant sur les actifs
• du traitement de ces risques pour les réduire
Des méthodes (MEHARI ou EBIOS) aident au traitement du
risque.
Informer et la sensibiliser les personnels (chartes, lettre de
sécurité, RSS RSSI...)
Processus de traitement des risques Coût des actifs

• coût d’achat
• coût de remplacement
• valeur de la propriété intellectuelle
• coût de maintenance
• coût des responsabilités si des données personnelles sont
compromises
A noter qu’il existe maintenant des assurances contre les
risques de cybersécurité

Actifs/Assets ? Et que fait la police ?

4 services spécialisés traitent les intrusions en France :
Regroupent les biens et les RH ; 2 types : • brigade centrale de répression de la criminalité
informatique à compétence nationale
• primordiaux : processus métiers et informations, gérés par le SI
• de support :
• service d’enquêtes aux fraudes aux techniques de
↭ actifs techniques constituant le SI (logiciels, matériels, l’information sur Paris et la région parisienne
moyens de communication)
↭ actifs relatifs à l’environnement (personnes et bâtiments) • brigades spécialisées de gendarmerie
• DGSI
Actifs généralement inventoriés : ↭ saisie pour les piratages à connotation d’espionnage
96% actifs physiques (matériel info/comm) industriel ou scientifique
↭ enquêtes
93% logiciels
↭ de sécurité, traitement du cadre judiciaire
82% informations
↭ enquêtes informelles à la demande et en collaboration avec
57% services info/comm
les victimes, en dehors du dépot de la plainte
41% personnels et leurs compétences
↭ objectif : comprendre le plus rapidement possible les
20% valeurs immatérielles (réputation, image)
causes et l’orientation vers un autre service compétent.
Voir la page actualisée
 Que veut-on protéger ? Types d’attaques
• les données : informations conservées dans un système
• les ressources : systèmes (généralement les ordinateurs)
• la réputation de votre site • passives :
Caractéristiques essentielles de la protection des données : ↭ observation non autorisée
↭ accès non autorisé à de l’information
• Confidentialité : l’information doit rester secrète
• actives :
• Intégrité : l’information ne doit être ni altérée ni détruite ↭ contrôle non autorisé d’un système
par un utilisateur non autorisé ↭ modification de l’information
↭ accès à des services
• Authentification : déterminer si un individu ou un système
↭ refus de service aux utilisateurs légaux
est rééllement qui il prétend être.
• Disponibilité : l’information doit être disponible aux
utilisateurs autorisés.
• Preuve : traçabilité de l’information

Protéger Types d’attaques & risques

• Ses ressources • l’intrusion : quelle que soit sa provenance (par le réseau,
Coût des ressources (disque, imprimantes, CPU) qu’on ne par un terminal local ou par programme)
veut pas laisser à disposition d’un intrus.
• le refus de service : atteinte à la disponibilité. C’est une
On ne souhaite ni réinstaller le système de chaque hôte si conséquence classique des virus ou des attaques du type
les configurations ont été altérées ni laisser à un intrus le ping of death
loisir de se servir de ses propres ressources comme d’un • le vol d’informations : il n’est pas nécessaire de pénétrer
tremplin pour s’introduire dans un autre système. un système pour obtenir de l’information. Une attaque
• Sa réputation passive peut suffire (exemple du login).
Pourquoi ? • rançonnage : nouveau type de maliciel conçu pour
Cas où un indiscret usurpe votre identité et commet des interdire l’accès à un système tant qu’une rançon n’est pas
actions illicites en votre nom (problèmes légaux . . .) payée.
Même sans usurper votre identité, une faille dans votre site
conduit à une méfiance envers votre organisme.
 Qui écoute ou falsifie ? Comment protéger ?
• les états, pour déstabiliser un état, paralyser les services
essentiels, préparer une cyber-guerre :
↭ NSA aux états unis cf. Le Monde et, en plus technique • pas de protection ne rien ajouter à l’installation de base
↭ DGSE/DGSI en france • sécurité par l’obscurité masquer l’existence du système
en espérant que le serveur d’une petite entreprise ou une
• le crime organisé
machine domestique ne présente pas d’intérêt.
• les concurrents
• les pirates (hackers) • sécuriser l’hôte on sécurise chaque hôte séparément.
↭ Le hacker “canal historique” : pour le prestige, améliorer Cela marche bien pour des machines individuelles mais
la qualité des logiciels (espèce en voie de disparition) pas pour un grand nombre de machines du fait de leur
↭ le “hacktiviste” : pour faire passer un message politique diversité. Demande beaucoup de temps par machine.
(ex. anonymous)
↭ le cyber-délinquant : pour gagner de l’argent (espèce en • sécuriser le réseau On contrôle les accès réseau aux
différents hôtes et services proposés plutôt que sécuriser
forte croissance, jusqu’aux organisations mafieuses)
↭ le cyber-terroriste : pour marquer les esprits et hôte par hôte. Cette approche utilise les coupe-feux,
déstabiliser avec des attaques importantes. l’authentification et le chiffrement des données
↭ les cyber-mercenaires : comparables aux
cyber-terroristes mais agissant seul

Anatomie d’un hacker Où se porte la protection ?

La sécurité informatique recouvre à la fois :

• l’aspect physique : vols inondations incendie, accidents
électriques etc. . .
• l’aspect logique : intrusions, bombes logiques, virus,
sabotage, utilisation frauduleuse des ressources
Il faut éviter tout ce qui nuit à la disponibilité des systèmes et
aux services qui y résident.
La sécurité du système est celle de son plus faible maillon
 Politique de sécurité Politique de sécurité : mise en œuvre

Ensemble de règles qui définissent ce sur quoi porte la sécurité

1. identifier les besoins en terme de sécurité, les risques et
les conséquences
• définir l’importance de l’information contenue dans le
système, comment elle est protégée et quelles ressources 2. trouver les règles et procédures à mettre en œuvre pour
doivent être accessibles. les risques identifiés
• une politique de sécurité par organisme 3. surveiller et détecter les vulnérabilités du SI et effectuer
une veille technique
• une politique de sécurité peut couvrir le secret, l’intégrité
ou les deux 4. définir les actions à entreprendre et qui contacter en cas
de détection d’une menace.
• chaque politique de sécurité est mise en place par une
autorité

Politique de sécurité Qui la définit ?

Tous les membres d’une même organisation doivent être

But : informer les utilisateurs, personnels et responsables des d’accord avec la politique de sécurité pour qu’elle devienne
conditions à satisfaire pour protéger les avantages effective. Elle est plus spécifiquement définie par
technologiques et en information. • l’administrateur de sécurité du site (RSSI)
Elle définit les mécanismes qui permettent la protection et sert
de fil conducteur pour la configuration et l’audit des systèmes
• le personnel technique

d’information. • les chefs de service

Elle commence généralement par la phrase : • le groupe d’audit de sécurité
Tout ce qui n’est pas autorisé est interdit • des représentants des utilisateurs
Pour plus de détails, se reporter à la RFC2196
• le directeur général
• un conseiller juridique le cas échéant
Politique de sécurité : caractéristiques Flexibilité d’une politique de sécurité

Il faut assurer la viabilité de la politique de sécurité, basée sur

un concept d’architecture de la sécurité. Elle doit être la plus
1. implémentable par l’administrateur indépendante possible de matériels et de logiciels spécifiques
2. améliorable par des mesures de sécurité et le cas échéant qui doivent être facilement remplacés.
par des sanctions
Ne pas oublier qu’il y a des exceptions à chaque règle. Il faut
3. définit les domaines de responsabilité de chacun essayer de tenir à jour une liste des exceptions de sécurité. P.e.
dans quel type de situation un administrateur a le droit
d’explorer le contenu d’un compte utilisateur.

Contenu d’une politique de sécurité Exemple : classification des

documents sensibles
• politique d’achat de matériel de sécurité
• une politique de respect des droits des individus (lecture • toute information possède un niveau de sécurité
d’e-mails) • toute personne dispose d’un niveau d’habilitation

• définir une politique d’accès et de droits sur les données • niveau de sécurité et le niveau d’habilitation consistent en
↭ un degré de confidentialité (non-classifié, confidentiel,
avec des messages d’alerte adéquats
secret, secret-défense)
• une politique de gestion des comptes qui définit les ↭ un ensemble de domaines (chiffre, OTAN, nucléaire,. . .)
responsabilités et les mesures d’audit ↭ des relations d’ordre :
non-classifié < confidentiel < secret < secret-défense
• définir une politique d’authentification des utilisateurs
ensemble de domaine A domine ensemble de domaine B
• définir la disponibilité des ressources pour gérer les si B ↓ A.
pannes et les mises à jour logicielles et matérielles
• la personne X a le droit de lire le document D si
• définir une charte de maintenance du système et des
habilitation(X ) ↔ confidentialité(D) et
ressources
ensemble de domaine(X )↗ ensemble de domaine(D)
• tenir à jour un cahier des intrusions et de leur type
Cette politique ne couvre pas l’intégrité de l’information.
Il faut adapter la politique de sécurité.
 Exemple « léger » Modèles de sécurité
• Matériel, périphériques et équipements
Expression formelle (mathématique) de la politique de sécurité
↭ utiliser un onduleur
↭ supprimer les données des vieux équipements et contrôler Un modèle de sécurité comprend :
l’infrastructure réseau • des variables d’état (p.e. sujets, objets, droits)
↭ verrouiller chaque poste de travail
• des fonctions de transition
• travail à distance But : prouver que chaque état possible d’un système est
↭ définir le cadre de travail d’un collaborateur extérieur cohérent avec un ensemble de propriétés souhaitées
↭ sensibiliser le personnel aux risques de l’utilisation d’un
ordinateur portable et du travail à distance
Example
Modèles de sécurité pour le secret :
• contrôle de l’accès au SI et à ses contenus
↭ avoir une authentification uniforme et centralisée
• modèles de contrôle d’accès de sujets à des objets.
↭ classifier l’information ; l’associer à des profils d’utilisateurs • modèles de flux d’information : contrôlent le transfert
↭ bien définir les rôles des utilisateurs d’informations
↭ avoir une politique de sélection des mots de passe
↭ Très peu de modèles traitent l’intégrité ; aucun la disponibilité.
placer les serveurs et équipements réseau dans des locaux
à accès restreint

Exemple « léger » Principes au cœur des modèles de

sécurité
• traitement de l’information • identité : est-ce que chaque utilisateur, programme, objet
↭ faire installer et gérer le réseau par des personnels qualifiés et ressource peut être identifié de manière unique ?
↭ limiter les actions d’administration à du personnel qualifié
• responsabilité : les utilisateurs peuvent-ils être tenus
responsables de leurs actions ?
• email et accès Internet/Intranet/Extranet
↭ utiliser des détecteurs de virus • audit : les actions des utilisateurs sont-elles enregistrées ?
↭ utiliser des outils de confidentialité
↭
• autorisations : gèrer qui a le droit de faire quoi.
mettre en place un firewall
↭ traiter avec précaution tout mail non sollicité • moindre privilège : quel est le minimum nécessaire pour
↭ vérifier from et to de tout email mener à bien le travail demandé ?
↭ limiter la taille d’expédition des messages • étanchéité : non interférence d’actions différentes
• redondance : gestion des sauvegardes et de la
redondance, gestion des pannes
 Modèle par matrice d’accès Services de sécurité
(Bell-Lapaluda)
Modèle de contrôle d’accès
• objets : entités passives du système Définis dans la norme ISO 7498-2 comme :
• sujets : entités actives qui peuvent accéder aux objets 1 authentification d’entités
• droits d’accès : {propriétaire, lire, écrire, exécuter, 2 contrôle d’accès
fusionner} 3 confidentialité avec/sans connexion
4 intégrité de connexion avec/sans récupération
• primitives de base : 5 non répudiation avec preuve d’origine
↭ accorder/refuser un droit non répudiation avec preuve de dépot
↭ créer/supprimer un sujet/objet

• règles de transition : si Si a le droit Dj sur Ok alors

primitivel
A noter qu’il existe une généralisation récente par des ACL sur
tous les OS.

Services et mécanismes Service d’authentification

• politique de sécurité appliquée grâce aux services de

sécurité.
fournissent le moyen d’implémenter la politique de sécurité. Vérifier que la partie distante est bien qui elle prétend être
Certains services inutiles pour une politique donnée.
Exemple : une signature n’assure pas la confidentialité.
• intégrité de l’information d’identification
• fonctionnalité particulière pour les réseaux.
• chaque service traite un ensemble particulier de menaces manque un noyau global qui peut assurer l’intégrité des entités
Exemple : le service de confidentialité prémunit contre l’accès entre des entités communicantes
non-autorisé à l’information. dans un système centralisé, les ids de processus sont protégés
par le noyau du système
• les services de sécurité sont implémentés par les
mécanismes de sécurité
certains services peuvent utiliser le même mécanisme
Exemple : chiffrement utilisé par confidentialité, authentification.
 Service de contrôle d’accès Service d’intégrité des données

empèche l’utilisation non-autorisée de ressources empèche la modification accidentelle ou maligne des données
1. intégrité orientée connexion : protection des PDU avec ou
• information
sans récupération.
• entités (utilisateurs, terminaux, nœuds intermédiaires)
2. integrité sans connexion : protection des SDU.
• liens, connexions, routes
3. integrité sélective : concerne un ou plusieurs champs
• services (réseau ou application)
choisis.
Dépend fortement de la politique de sécurité.
Observons que l’integrité n’assure pas la confidentialité.

Services de confidentialité Service de non-répudiation

empèche la divulgation non-autorisée
confirme le fait qu’un sujet a accompli une opération malgré
• de l’information
une possibilité de démenti par le sujet
• du trafic
1. non-répudiation avec preuve d’origine : fournit la preuve de
1. confidentialité orientée connexion : protection des PDU l’origine au destinataire : empèche l’expéditeur de
(Protocol Data Units ou paquets) démentir l’envoi.
2. confidentialité sans connexion : protection des SDU 2. non-répudiation avec preuve de dépot : fournit la preuve de
(Service Data Units ou messages). dépot du message à l’expéditeur : empèche le destinataire
3. confidentialité sélective : protection de champs de démentir la réception.
sélectionnés d’un PDU ou d’un SDU. Ce service est indispensable pour les paiements électroniques
4. confidentialité d’un flux de données : protéger contre le EDI et EFT.
contrôle du trafic
 Mécanismes de sécurité Livre Orange
Origine : commande DoD US
Utilité : évaluation de la sécurité des systèmes informatiques.
Implémentent les services de sécurité
A 1 équivalents sauf sur
+sieurs
• chiffrement 3 spécification et vérification niveaux
• signatures numériques
sécurité
• mécanismes de contrôle d’accès B 2 analyse canaux de comm.
• mécanismes d’integrité des données
1 niveau confidentialité/donnée
• mécanismes d’authentification
• empaquetage pour le trafic
C
2
• contrôle de routage
1
1 seul niveau de sécurité
• tiers de confiance (notariat électronique)
D 1 le reste
• gestionnaire de sécurité (gestion des clés)
• audit A1
Description
fonctionnellement équivalent à B3 mais meilleure analyse de la sécurité
• détection d’intrusion B3
B2
B2+ robustesse aux attaques
B1+ politique de sécurité, gestion niveaux de sécurité, bonne auth.
B1 C2+ gestion niveaux sécurité, classification des données
C2 C1+ amélioration du login, audit, isolement des ressources (mémoire)
C1 protection des données sur le besoin d’en connaitre. Sépare util/données
D le reste

Différents critères Livre Orange

• National Computer Security Center (NCSC) 2 livres
↭ orange 1985 : Trusted computer system evaluation criteria
Au centre, modèle de sécurité de Bell & Lapadula
↭ rouge 1987 : Trusted network Interpretation of the TCSEC,
systèmes (matériel et logiciel) doivent satisfaire aux conditions
• Communauté Européenne requises en matière de politique de sécurité, gestion des
↭ Information Technology System Evaluation, 1991 comptes, assurance et documentation
↭ provient de travaux sur les modèles de sécurité
↭ important pour le marché gouvernemental et de la défense • gestion des comptes : identification, authentification, audit

• Bundesamt für Sicherheit in der Informationstechnik • assurance que le système vérifie bien ses specs en
↭ cahier des charges pour la sécurité des coupe-feux matière de sécurité avec tests, protection des mécanismes
↭ centres de certification de sécurité et sauvegarde/ restauration des mécanismes
de sécurité
• En France, l’ANSSI est l’héritier du service du chiffre, créé
pendant la guerre. Il évalue les procédés de chiffrement, • documentation sur les fonctionnalités de sécurité, les tests
les produits et systèmes relevant des technologies de et la conception
l’information et les procédés de protection contre les
signaux électronique compromettants.
 Livre Orange Vers une normalisation
ISO 17999 : importance particulière à des aspects de la sécurité :

Propose différents niveaux de sécurité pour les OS selon une

• le support des dirigeants quant à la mise en œuvre d’une
politique de sécurité et la détermination des moyens humains
sécurité croissante C1-C2-B1-B2-B3-A1
À titre d’exemple : • l’identification des menaces propres à l’organisation et
l’évaluation des risques associés
• A1 : SCOMP Honeywell
• la classification des informations afin de ne déployer les moyens
• B3 : Multics Honeywell, AIX IBM que sur celles qui le nécessitent
• B2 : SunOS, AIX-IBM
• les dispositions prendre pour instaurer une "culture sécurité".
• B1 : Solaris CMW, AIX IBM
En conjonction avec des guides techniques :
• C2 : Solaris BSM, Solaris 2.3, IBM, DEC..
• ISO13335 : concepts et modèles pour la gestion de la sécurité
Et initiatives type SELinux (security enhanced) fait par NSA qui
ajoute des règles de sécurité aux distribs standard. + de détails • ISO14516 : gestion et utilisation des services de certification

• ISO15408 : critères d’évaluation de la sécurité

• ISO18044 : gestion des incidents de sécurité

Vers une normalisation (ISO 27001-2) ISO 27002

Découpée en 15 articles (chapitres) ; 200 CHF ; aux US : NIST
ISO 17999 en 2000 maintenant 27002 pour la sécurité des SI.
handbook: Introduction to computer security
Destinée aux dirigeants, aux directeurs de système
d’information et aux responsables sécurité (Chief Security • 4 qui définissent le cadre de la norme
Officer, RSSI). Code de bonnes pratiques pour la gestion de la • 11 articles qui proposent 133 mesures définissant les
sécurité de l’information. objectifs de sécurité et les mesures à prendre :
ISO 27001 : norme de gestion de la sécurité de l’information :
Technologies de l’information- techniques de sécurité - • politique de sécurité • contrôle accès
Systèmes de gestion de sécurité de l’information - Exigences. • organisation de la SI • acquisition, dév. maint.
Tout comme la norme ISO9000 pour la qualité, la norme SI
• gestion des biens
ISO17999 a pour objectif d’établir un label de confiance • gestion des incidents
reconnu de tous en ce qui concerne la sécurisation de
• sécurité et RH

l’information sous un aspect global. • gestion télécom • continuité de l’activité

• conformité
ISO 27002 – critères de succès Métiers de la sécurité

• pointe et évalue les risques encourus

• mise en œuvre compatible avec culture entreprise
• soutien et engagement visible de la Dir.
• compétence et moyens pour mettre en place une politique
de sécurité
• formation appropriée à tous les échelons de l’entreprise
• accès pour tous aux normes et directives de sécurité

Métiers de la sécurité Métiers de la sécurité

Métiers de la sécurité Métiers de la sécurité

Métiers de la sécurité Métiers de la sécurité

Métiers de la sécurité