CATALOGUE DE FORMATION - 2019 AUDIT - CONSEIL - FORMATIONS - Polaris Secure Technologies
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
AUDIT – CONSEIL - FORMATIONS
EN CYBERSECUIRTÉ
CATALOGUE DE
FORMATION
2019
37 r u e d ' A l s a c e 6 9 8 0 0 S t - P r i e s t , F r a n c e www. polaris-st. com
+33786004779/+33478745080 contact@polaris-st. com
Polaris Secure Technologies
A Propos
Fondée en 2010, Polaris Secure
Technologies est une société de L'AUDACE dans l’approche, dans
conseil spécialisée dans la sécurité l’innovation, dans le choix des solutions, dans
l’ouverture à l’international, …
des systèmes d’information.
Elle est présente en France et en SATISFACTION CLIENT Par la qualité
Afrique. Polaris accompagne ses de nos prestations, par une écoute active, par
clients dans tous leurs projets de la confidentialité
sécurité informatique avec une
approche globale à travers ses trois PÉDAGOGIE ET SIMPLICITÉ Par la
offres de services : Audit, Conseil et facilité à rendre accessible les concepts
Formation, dans le but de leur garantir techniques les plus complexes de la sécurité.
une très bonne maîtrise de la sécurité
de leurs systèmes d’information.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 2NOS SESSIONS POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 3
ISO 27001 : 2013 – Le
socle commun
REF : ISO DUREE : 3 JOURS
Ce séminaire est le tronc commun permettant de donner PRÉ-REQUIS :
le socle théorique commun aux certifications ISO 27001 Connaissances de base de la
Lead Auditor et ISO 27001 Lead Implementer. sécurité informatique.
Il est associé aux cours de préparation aux certifications Base en qualité
Lead Auditor (ILA) et Lead Implementer (ILI).
PARTICIPANTS : RSSI, Risk Managers,
directeurs ou responsables informatiques,
Objectifs pédagogiques : MOE/ MOA, ingénieurs ou correspondants
Sécurité, chefs de projets, auditeurs
Acquérir les connaissances des normes nécessaires aux internes et externes, futurs "audités".
certifications ISO 27001 Lead Auditor et Lead Implementer
Commenter la démarche de mise en œuvre ou d’audit du SMSI.
PROGRAMME •
• La convergence avec les normes qualité 9001
Introduction et environnement 14001.
Rappels. Terminologie ISO 27000 et ISO Guide • L’apport des qualiticiens dans la sécurité.
73.
Définitions : menace, vulnérabilité, protection. La norme ISO 27001:2013
La notion de risque (potentialité, impact, gravité).
Définition d’un Système de Gestion de la
La classification CAID (Confidentialité,
Sécurité des Systèmes (ISMS).
Auditabilité, Intégrité, Disponibilité). Objectifs à atteindre par votre SMSI.
La gestion du risque (prévention, protection, L’approche “amélioration continue" comme
report, externalisation). principe fondateur, le modèle PDCA (roue de
Analyse de la sinistralité. Tendances. Enjeux. Deming).
Les réglementations SOX, PCI-DSS, COBIT. Pour La norme ISO 27001 intégrée à une
qui ? Pourquoi ? Interaction avec l’ISO. démarche qualité type SMQ.
Vers la gouvernance IT, les liens avec ITIL® et Détails des phases Plan-Do-Check-Act.
l’ISO 20000. De la spécification du périmètre SMSI au SoA
L’apport de l’ISO pour les cadres réglementaires. (Statement of Applicability).
L’alignement COBIT, ITIL® et ISO 27002. Les recommandations de l’ISO 27001 pour le
management des risques.
Les normes ISO 2700x De l’importance de l’appréciation des
Historique des normes de sécurité vues par l’ISO. risques. Choix d’une méthode type ISO
Les standards BS 7799, leurs apports à l’ISO. 27005:2011.
Les normes actuelles (ISO 27001, 27002). L’apport des méthodes EBIOS, MEHARI dans
Les normes complémentaires (ISO 27005, sa démarche d’appréciation.
27004, 27003…). L’adoption de mesures de sécurité
techniques et organisationnelles efficientes.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 4• Les audits internes obligatoires du SMSI.
Construction d’un programme. Les audits de sécurité ISO
• L’amélioration SMSI. La mise en œuvre d’actions 19011:2011
correctives et préventives.
• Les mesures et contre-mesures des actions
• Processus continu et complet. Étapes, priorités.
correctives et préventives.
• Les catégories d’audits, organisationnel,
• L’annexe A en lien avec la norme 27002.
technique…
• L’audit interne, externe, tierce partie, choisir son
Les bonnes pratiques, référentiel auditeur.
• Le déroulement type ISO de l’audit, les étapes
ISO 27002:2013 clés.
• Les objectifs d’audit, la qualité d’un audit.
• Objectifs de sécurité : Disponibilité, Intégrité et • La démarche d’amélioration pour l’audit.
Confidentialité. • Les qualités des auditeurs, leur évaluation.
• Structuration en domaine/chapitres (niveau 1), • L’audit organisationnel : démarche, méthodes.
objectifs de contrôles (niveau 2) et contrôles • Apports comparés, les implications humaines.
(niveau 3).
• Les nouvelles bonnes pratiques ISO 27002:2013,
les mesures supprimées de la norme ISO Les bonnes pratiques juridiques
27001:2005. Les modifications.
• La norme ISO 27002:2013 : les 14 domaines et 113 • La propriété intellectuelle des logiciels, la
bonnes pratiques. responsabilité civile délictuelle et contractuelle.
• Exemples d’application du référentiel à son • La responsabilité pénale, les responsabilités des
entreprise : les mesures de sécurité clés dirigeants, la délégation de pouvoir, les sanctions.
indispensables. La loi LCEN.
• Conformité ISO et conformité juridique : le
nouveau domaine 18 de la norme ISO 27002:2013.
La mise en œuvre de la sécurité
dans un projet SMSI
La certification ISO de la sécurité
• Des spécifications sécurité à la recette sécurité. du SI – La relation auditeur-audité
• Comment respecter la PSSI et les exigences de
sécurité du client/MOA ? • Intérêt de cette démarche, la recherche du
• De l’analyse de risques à la construction de la “label".
déclaration d’applicabilité. • Les critères de choix du périmètre. Domaine
• Les normes ISO 27003, 15408 comme aide à la d’application. Implication des parties prenantes.
mise en œuvre. • L’ISO : complément indispensable des cadres
• Intégration de mesures de sécurité au sein des réglementaires et standard (SOX, ITIL®…).
développements spécifiques. • Les enjeux économiques escomptés.
• Les règles à respecter pour l’externalisation. • Organismes certificateurs, choix en France et en
• Assurer un suivi du projet dans sa mise en œuvre Europe.
puis sa mise en exploitation. • Démarche d’audit, étapes et charges de travail.
• Les rendez-vous “Sécurité" avant la recette. • Norme ISO 27006, obligations pour les
• Intégrer le cycle PDCA dans le cycle de vie du certificateurs.
projet. • Coûts récurrents et non récurrents de la
• La recette du projet ; comment la réaliser : test certification.
d’intrusion et/ou audit technique ?
• Préparer les indicateurs. L’amélioration continue.
• Mettre en place un tableau de bord. Exemples.
• L’apport de la norme 27004.
• La gestion des vulnérabilités dans un SMSI :
scans réguliers, Patch Management…
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 5ISO 27001 : 2013 –
LEAD AUDITOR
Certification
REF : ILA DUREE : 2 JOURS
PRÉ-REQUIS :
Ce stage est un complément au séminaire “Implémenter et Avoir suivi le module ISO
gérer un projet ISO 27001:2013" pour les candidats à Avoir un bac + 2 minimum ou 5 ans
l’examen “Lead Auditor 27001:2013". Il a pour objectif de d’expérience dans la sécurité ou la qualité
réviser les connaissances nécessaires à la certification et
vous préparer au passage de l’examen. Il se termine par PARTICIPANTS : RSSI, DSI,
l’examen proprement dit. architectes, développeurs, chefs de
projets, commerciaux avant-vente,
administrateurs système & réseau.
L’examen final a lieu la dernière demi-journée et certifie que
vous possédez les connaissances et les compétences Objectifs pédagogiques :
nécessaires pour auditer la conformité d’un SMSI suivant la
Préambule (administratif)
norme ISO/IEC 27001:2013. Cet examen est dirigé en
Révision des normes nécessaires à la
partenariat avec l’organisme de certification LSTI (accrédité certification
COFRAC). Exercices de préparation à, l’examen
Examen LSTI
PROGRAMME
Travaux dirigés
Examen
• Au cours de ce stage, une démarche L’examen écrit dure 3 heures 30 et comporte
pédagogique interactive vous sera proposée six parties :
avec exercices de mise en situations. un QCM sur la norme ISO/IEC 19011 et
• Tests de connaissances de type QCM et guides associés sur 20 points,
simulations d’interviews auditeur/audité. un QCM sur la norme ISO/IEC 27001 et
guides associés sur 20 points,
Corrections collectives un exercice de recherche de référence
Les résultats des exercices et travaux pratiques normative en fonction de constats d’audit
vous sont restitués sous forme de corrections sur 5 points,
collectives. un exercice relatif au cycle PDCA sur 5
Pendant cette restitution, les erreurs points,
éventuelles sont analysées et commentées. un exercice “faits et inférences" basé sur
un article de presse sur 10 points,
une étude de cas sur 35 points.
Révision finale A cela s’ajoute une évaluation, par le
Pour clore la préparation, une révision finale est formateur, de l’attitude et de la démarche de
fournie.
l’auditeur sur 5 points.
Lors de cette révision, des trucs, astuces et
pièges à éviter vous seront communiqués
Les résultats
Les résultats de l’examen vous parviendront
par courrier environ 4-6 semaines plus tard.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 6ISO 27001 : 2013 –
LEAD IMPLEMENTER
Certification
DUREE : 2 JOURS
REF : ILI
PRÉ-REQUIS :
Ce stage est un complément au séminaire “Implémenter et Avoir suivi le module ISO
Avoir un bac + 2 minimum ou 5 ans
gérer un projet ISO 27001:2013" pour les candidats à l’examen d’expérience dans la sécurité ou la qualité
“Lead Implementer 27001:2013". Il a pour objectif de réviser les
connaissances nécessaires à la certification et vous préparer au PARTICIPANTS : Chefs de projet,
passage de l’examen. Il se termine par l’examen proprement dit. auditeurs, responsables ou toute personne
souhaitant préparer et assister une
organisation dans la mise en œuvre de son
L’examen final certifie que vous possédez les connaissances et SMCA.
les
compétences nécessaires pour mettre en œuvre un SMSI Objectifs pédagogiques :
suivant la norme ISO/IEC 27001:2013. L’examen a lieu la Préambule (administratif)
dernière demi-journée. Il est dirigé en partenariat avec Révision des normes nécessaires à la
certification
l’organisme de certification LSTI (accrédité Exercices de préparation à l’examen
COFRAC). Examen LSTI
PROGRAMME Révision finale
Travaux dirigés • Pour clore la préparation, révision finale.
• Trucs, astuces et pièges à éviter pour mieux
• Ce stage vous propose à titre de préparation de vous préparer au passage de la certification.
nombreux exercices, études de cas et travaux •
pratiques.
• Focus sur une préparation optimale pour le passage
de l’examen. Respect du règlement de certification •
officielle ISO.
• Des projets types de sécurité vous seront proposés Examen
afin d’expérimenter par la pratique.
• La mise en œuvre d’une démarche PDCA et de
bonnes pratiques ISO 27001 et ISO 27002. • L’examen écrit dure 3 heures 30.
• Vous construirez une déclaration d’applicabilité à • Le déroulement de l’examen écrit est
partir d’une analyse de risques de type ISO 27001 ou présenté par le formateur lors de la première
27005. journée de formation.
• Vous apprendrez à déterminer les indicateurs clés • Contenu de l’examen, règles à respecter.
d’une PSSI et d’un projet de sécurité. Normes ou autres documents mis à la
• Une démarche pédagogique interactive vous sera disposition des candidats.
proposée. • Modalités mises en œuvre pour respecter la
• Exercices écrits et oraux de mise en situations, tests confidentialité des copies.
de connaissance de type QCM. • Points minimaux requis pour l’obtention de
l’examen écrit.
• L’examen comporte un questionnaire à choix
Corrections collectives multiples relatif à la norme ISO/IEC 27001.
• L’examen comporte également des
• Les résultats des exercices et travaux pratiques vous exercices pratiques et une étude de cas.
sont restitués sous forme de corrections collectives. • Les résultats de l’examen vous parviendront
• Durant ces corrections, les erreurs éventuelles sont par courrier 4-6 semaines plus tard.
analysées et commentées.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 7
•CYBERSECURITE DES
RESEAUX, SYNTHESE
REF : CRI
Ce séminaire vous montre comment répondre aux DUREE : 2 JOURS
impératifs de sécurité des entreprises et intégrer la sécurité PRÉ-REQUIS : Des connaissances
dans l’architecture d’un système d’information. Il comprend générales sur l'informatique et le
une analyse détaillée des menaces et moyens d’intrusion réseau Internet sont nécessaires.
PARTICIPANTS : RSSI, DSI,
ainsi qu’un panorama des principales mesures de sécurité architectes, développeurs, chefs de
disponibles sur le marché. A l’issue de ce séminaire, vous projets, commerciaux avant-vente,
disposerez des éléments techniques et juridiques pour administrateurs système & réseau.
comprendre comment assurer et superviser la sécurité de
votre système d’information.
Objectifs pédagogiques :
Connaître l’évolution de la cybercriminalité et de ses enjeux
Maîtriser la sécurité du Cloud, des applications, des postes clients
Comprendre les principes de la cryptographie
Gérer les processus de supervision de la sécurité SI
PROGRAMME
• Différences entre firewalls UTM, enterprise,
Sécurité de l’information et NG et NG-v2.
• Produits IPS (Intrusion Prevention System) et
cybercriminalité IPS NG.
• La mise en place de solutions DMZ (zones
• Principes de sécurité : défense en profondeur, démilitarisées).
politique de sécurité. • Les vulnérabilités dans la virtualisation.
• Notions fondamentales : risque, actif, menace… • Les risques associés au Cloud Computing
• Les méthodes de gestion de risques (ISO selon l’ANSSI, l’ENISA et la CSA.
27005, EBIOS, MEHARI). Panorama des normes • Le Cloud Control Matrix et son utilisation
ISO 2700x. pour l’évaluation des fournisseurs de Cloud.
• Évolution de la cybercriminalité.
• L’identification des agents de menace.
• Les nouvelles menaces (APT, spear phishing,
Sécurité des postes clients
watering hole, exploit kit…).
• Les failles de sécurité dans les logiciels. • Comprendre les menaces orientées postes
• Le déroulement d’une cyberattaque (NIST). clients.
• Les failles 0day, 0day Exploit et kit • Le rôle du firewall personnel et ses limites.
d’exploitation. • Les logiciels anti-virus / anti-spyware.
• Comment gérer les correctifs de sécurité sur
les postes clients ?
Firewall, virtualisation et Cloud • Comment sécuriser les périphériques
Computing amovibles ?
• Le contrôle de conformité du client Cisco
• Les serveurs proxy, reverse proxy, le masquage NAC, Microsoft NAP.
d’adresse. • Les vulnérabilités des navigateurs et des
• La protection périmétrique basée sur les plug-ins.
firewalls. • Drive-by download.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 8Fondamentaux de la cryptographie • Mécanismes de sécurité des bornes.
• Vulnérabilités WEP. Faiblesse de l’algorithme
• Législation et principales contraintes d’utilisation RC4.
en France et dans le monde. • Description des risques.
• Les techniques cryptographiques. • Le standard de sécurité IEEE 802.11i.
• Les algorithmes à clé publique et symétriques. • Architecture des WLAN.
• Les fonctions de hachage. • Authentification des utilisateurs et des
• Les architectures à clés publiques. terminaux.
• Programmes de cryptanalyse de la NSA et du • L’authentification Wifi dans l’entreprise.
GCHQ. • Outils d’audit, logiciels libres, aircrack-ng,
Netstumbler, WifiScanner…
Authentification et habilitation
Sécurité des Smartphones
des utilisateurs
• Les menaces et attaques sur la mobilité.
• L’authentification biométrique et les aspects • iOS, Android, Windows mobile : forces et
juridiques.
faiblesses.
• L’authentification par challenge/response.
• Virus et codes malveillants sur mobile.
• Techniques de vol de mot de passe, brute force,
• Les solutions de MDM et EMM pour la gestion de
entropie des secrets.
flotte.
• L’authentification forte.
• Authentification carte à puce et certificat client
X509. Sécurité des applications
• Architectures “3A" : concept de SSO, Kerberos.
• Les plateformes d’IAM. • La défense en profondeur.
• La fédération d’identité via les API des réseaux • Applications Web et mobiles : quelles
sociaux. différences en matière de sécurité ?
• La fédération d’identité pour l’entreprise et le • Les principaux risques selon l’OWASP.
Cloud. • Focus sur les attaques XSS, CSRF, SQL injection
et session hijacking.
La sécurité des flux • Les principales méthodes de développement
sécurisé.
• Quelle clause de sécurité dans les contrats de
• Crypto API SSL et évolutions de SSL v2 à TLS
développement ?
v1.3.
• Le pare-feu applicatif ou WAF.
• Les attaques sur les protocoles SSL/TLS.
• Évaluer le niveau de sécurité d’une application
• Les attaques sur les flux HTTPS.
• Le confinement hardware des clés, certifications
FIPS-140-2. Gestion et supervision active de la
• Évaluer facilement la sécurité d’un serveur sécurité
HTTPS.
• Le standard IPsec, les modes AH et ESP, IKE et
la gestion des clés. • Les tableaux de bord Sécurité.
• Surmonter les problèmes entre IPSec et NAT. • Les audits de sécurité.
• Les VPN SSL. Quel intérêt par rapport à IPSec ? • Les tests d’intrusion.
• Utilisation de SSH et OpenSSH pour • Aspects juridiques des tests d’intrusion.
l’administration distante sécurisée. • Sondes IDS, scanner VDS, WASS.
• Déchiffrement des flux à la volée : aspects • Comment répondre efficacement aux attaques ?
juridiques. • Consigner les éléments de preuve.
• Mettre en place une solution de SIEM.
• Les labels ANSSI (PASSI, PDIS & PRIS) pour
Sécurité Wifi l’externalisation.
• Comment réagir en cas d’intrusion ?
• Attaques spécifiques Wifi. • L’expertise judiciaire : le rôle d’un expert
• Comment détecter les Rogue AP ? judiciaire (au pénal ou au civil).
• L’expertise judiciaire privée.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 9SECURITE SYSTEMES
ET RESEAUX
REF : SSR
Ce stage pratique vous montrera comment mettre en
œuvre les principaux moyens de sécurisation des systèmes DUREE : 3 JOURS
et des réseaux. Après avoir étudié quelques menaces
pesant sur le système d’information, vous apprendrez le PRÉ-REQUIS : Bonnes
rôle des divers équipements de sécurité dans la protection connaissances en réseaux et
de l’entreprise afin d’être en mesure de concevoir une systèmes.
architecture de sécurité et de réaliser sa mise en œuvre. PARTICIPANTS : Responsables,
architectes sécurité. Techniciens et
administrateurs systèmes et
réseaux.
Objectifs pédagogiques :
Connaître les failles et les menaces des systèmes d’information
Maîtriser le rôle des divers équipements de sécurité
Concevoir et réaliser une architecture de sécurité adaptée
Mettre en œuvre les principaux moyens de sécurisation des réseaux
Utiliser des outils de détection de vulnérabilités : scanners, sondes IDS
Sécuriser un système Windows et Linux
PROGRAMME
Architectures de sécurité Sécurité des données
• Quelles architectures pour quels besoins ? • Cryptographie.
• Plan d’adressage sécurisé : RFC 1918. • Chiffrements symétrique et asymétrique.
• Translation d’adresses (FTP comme exemple). Fonctions de hachage.
• Le rôle des zones démilitarisées (DMZ). • Services cryptographiques.
• Exemples d’architectures. • Authentification de l’utilisateur.
• Sécurisation de l’architecture par la virtualisation. • L’importance de l’authentification réciproque.
• Firewall : pierre angulaire de la sécurité. • Certificats X509. Signature électronique.
• Actions et limites des firewalls réseaux Radius. LDAP.
traditionnels. • Vers, virus, trojans, malwares et keyloggers.
• Évolution technologique des firewalls • Tendances actuelles. L’offre antivirale,
(Appliance, VPN, IPS, UTM…). complémentarité des éléments. EICAR, un
• Les firewalls et les environnements virtuels. “virus" à connaître.
• Proxy serveur et relais applicatif.
• Proxy ou firewall : concurrence ou
Travaux pratiques
complémentarité ?
• Reverse proxy, filtrage de contenu, cache et Déploiement d’un relais SMTP et d’un proxy
authentification. HTTP/FTP Antivirus. Mise en œuvre d’un
• Relais SMTP, une obligation ?
certificat serveur.
Travaux pratiques
Mise en œuvre d’un proxy Cache/Authentification.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 10Sécurité des échanges Audit et sécurité au quotidien
• Sécurité Wi-Fi. • Les outils et techniques disponibles.
• Risques inhérents aux réseaux sans fil. • Tests d’intrusion : outils et moyens.
• Les limites du WEP. Le protocole WPA et WPA2. • Détection des vulnérabilités (scanners, sondes
• Les types d’attaques. IDS, etc.).
• Attaque Man in the Middle avec le rogue AP. • Les outils de détection temps réel IDS-IPS,
• Le protocole IPSec. agent, sonde ou coupure.
• Présentation du protocole. • Réagir efficacement en toutes circonstances.
• Modes tunnel et transport. ESP et AH. • Supervision et administration.
• Analyse du protocole et des technologies • Impacts organisationnels.
associées (SA, IKE, ISAKMP, ESP, AH…). • Veille technologique.
• Les protocoles SSL/TLS.
• Présentation du protocole. Détails de la
négociation.
Étude de cas
• Analyse des principales vulnérabilités.
• Attaques sslstrip et sslsnif. • Étude préalable.
• Le protocole SSH. Présentation et • Analyse du besoin.
fonctionnalités. • Élaborer une architecture.
• Différences avec SSL. • Définir le plan d’action.
• Déploiement.
• Démarche pour installer les éléments.
Travaux pratiques • Mise en œuvre de la politique de filtrage.
Réalisation d’une attaque Man in the Middle sur
une session SSL. Mise en œuvre d’IPSec mode Travaux pratiques
transport/PSK. Élaboration d’une maîtrise de flux.
Sécuriser un système, le
“Hardening"
• Présentation.
• Insuffisance des installations par défaut.
• Critères d’évaluation (TCSEC, ITSEC et critères
communs).
• Sécurisation de Windows.
• Gestion des comptes et des autorisations.
• Contrôle des services.
• Configuration réseau et audit.
• Sécurisation de Linux.
• Configuration du noyau.
• Système de fichiers.
• Gestion des services et du réseau.
Travaux pratiques
Exemple de sécurisation d’un système Windows et
Linux.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 11SECURITE DES
APPLICATIONS WEB
REF : SAW
L’intrusion sur les serveurs de l’entreprise représente un
risque majeur. Il est essentiel de comprendre et d’appliquer
les technologies et les produits permettant d’apporter le DUREE : 2 JOURS
niveau de sécurité suffisant aux applications déployées et PRÉ-REQUIS : Des connaissances
plus particulièrement aux applications à risque comme les de base en systèmes, réseaux et
services extranet et la messagerie. Résolument pragmatique, d’internet.
ce stage vous apportera les clés de la protection d’un service PARTICIPANTS : Administrateurs
en ligne à partir d’exemples concrets d’attaques et de réseaux, systèmes & Webmaster.
ripostes adaptées.
Objectifs pédagogiques :
Appréhender les différents algorithmes de chiffrement symétrique et asymétrique
Mettre en œuvre une hiérarchie d’autorités de certification
Mettre en œuvre une messagerie sécurisée
Mettre en œuvre une authentification forte par certificat X509
Méthodes et Support de cours
Cours magistral
Travaux dirigés
Travaux pratiques
PROGRAMME
•
Introduction o Champs de l’en-tête, codes de status 1xx à
5xx.
o Redirection, hôte virtuel, proxy cache et
• Statistiques et évolution des failles liées au
tunneling.
Web selon IBM X-Force et OWASP.
o Les cookies, les attributs, les options
• Evolution des attaques protocolaires et
associées.
applicatives.
o Les authentifications (Basic, Improved
• Le monde des hackers : qui sont-ils ? Quels Digest…).
sont leurs motivations, leurs moyens ? o L’accélération http, proxy, le Web balancing.
o Attaques protocolaires HTTP Request
Constituants d’une application Smuggling et HTTP Response splitting.
Web
Travaux pratiques
• Les éléments d’une application N-tiers. Installation et utilisation de l’analyseur réseau
• Le serveur frontal HTTP, son rôle et ses
faiblesses. Wireshark. Utilisation d’un proxy d’analyse
• Les risques intrinsèques de ces composants. HTTP spécifique.
• Les acteurs majeurs du marché.
Les vulnérabilités des
Le protocole HTTP en détail applications Web
•
o Rappels TCP, HTTP, persistance et pipelining. § Pourquoi les applications Web sont-elles
o Les PDU GET, POST, PUT, DELETE, HEAD et plus exposées ?
TRACE.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 12•
o Les risques majeurs des applications Web selon Configuration du système et des
l’OWASP (Top Ten 2010).
§ Les attaques “Cross Site Scripting" ou XSS –
logiciels
Pourquoi sont-elles en pleine expansion ?
Comment les éviter ? La configuration par défaut, le risque
§ Les attaques en injection (Commandes injection, majeur.Règles à respecter lors de l’installation
SQL Injection, LDAP injection…). d’un système d’exploitation.
§ Les attaques sur les sessions (cookie Linux ou Windows. Apache ou IIS ?
poisonning, session hijacking…). Comment configurer Apache et IIS pour une
§ Exploitation de vulnérabilités sur le frontal HTTP sécurité optimale ?
(ver Nimda, faille Unicode…). Le cas du Middleware et de la base de données.
§ Attaques sur les configurations standard Les V.D.S. (Vulnerability Detection System).
(Default Password, Directory Transversal…).
Travaux pratiques
Travaux pratiques Procédure de sécurisation du frontal Web
Attaque Cross Site Scripting. Exploitation d’une (Apache ou IIS).
faille sur le frontal http. Contournement d’une
Principe du développement
authentification par injection de requête SQL.
sécurisé
Le firewall réseau dans la o
protection d’applications HTTP § Sécurité du développement, quel budget ?
§ La sécurité dans le cycle de développement.
§ Le firewall réseau, son rôle et ses fonctions. § Le rôle du code côté client, sécurité ou
§ Combien de DMZ pour une architecture N-Tiers ergonomie ?
? § Le contrôle des données envoyées par le client.
§ Pourquoi le firewall réseau n’est pas apte à § Lutter contre les attaques de type “Buffer
assurer la protection d’une application Web ? Overflow".
§ Les règles de développement à respecter.
§ Comment lutter contre les risques résiduels :
Sécurisation des flux avec SSL/TLS Headers, URL malformée, Cookie Poisoning… ?
§ Rappels des techniques cryptographiques L’authentification des utilisateurs
utilisées dans SSL et TLS.
§ Gérer ses certificats serveurs, le standard X509.
§ Qu’apporte le nouveau certificat X509 EV ? § L’authentification via HTTP : Basic Authentication
§ Quelle autorité de certification choisir ? et Digest Authentication ou par l’application
§ Les techniques de capture et d’analyse des flux (HTML form).
SSL. § L’authentification forte : certificat X509 client,
§ Les principales failles des certificats X509. Token SecurID, ADN digital Mobilegov…
§ Utilisation d’un reverse proxy pour l’accélération § Autres techniques d’authentification par logiciel :
SSL. CAPTCHA, Keypass, etc.
§ L’intérêt des cartes crypto hardware HSM. § Attaque sur les mots de passe : sniffing, brute
force, phishing, keylogger.
§ Attaque sur les numéros de session (session
Travaux pratiques hijacking) ou sur les cookies (cookie poisoning).
§ Attaque sur les authentifications HTTPS (fake
Mise en œuvre de SSL sous IIS et Apache. server, sslsniff, X509 certificate exploit…).
Attaques sur les flux HTTPS avec sslstrip et sslsnif.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 13Le firewall “applicatif"
o
§ Reverse-proxy et firewall applicatif, détails des
fonctionnalités.
§ Quels sont les apports du firewall applicatif sur
la sécurité des sites Web ?
§ Insérer un firewall applicatif sur un système en
production. Les acteurs du marché.
Travaux pratiques
Mise en œuvre d’un firewall applicatif. Gestion de
la politique de sécurité. Attaques et résultats.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 14ARCHITECTURE PKI,
MISE EN ŒUVRE
REF : PKI
DUREE : 3 JOURS
Ce cours vous montrera comment mener un projet PKI dans PRÉ-REQUIS : Bonnes connaissances
les meilleures conditions. Les travaux pratiques vous en systèmes et sécurité informatique
apprendront à déployer une autorité de certification, à
générer des certificats et à mettre en œuvre une PARTICIPANTS : Ingénieurs,
administrateurs système & réseau.
messagerie sécurisée et une solution Single Sign-On (SSO).
Objectifs pédagogiques :
Appréhender les différents algorithmes de chiffrement symétrique et asymétrique
Mettre en œuvre une hiérarchie d’autorités de certification
Mettre en œuvre une messagerie sécurisée
Mettre en œuvre une authentification forte par certificat X509
Méthodes et Support de cours
Cours magistral
Travaux dirigés
Travaux pratiques
PROGRAMME Travaux pratiques
Introduction Installation et configuration d’un serveur SSH.
Manipulation des objets cryptographiques
• Les faiblesses des solutions traditionnelles. (algorithmes, fonctions de hachage, clés, …)
• Pourquoi la messagerie électronique n’est-elle
pas sécurisée ?
• Peut-on faire confiance à une authentification
Certification numérique
basée sur un mot de passe ?
• Usurpation d’identité de l’expéditeur d’un • Présentation du standard X509 et X509v3.
message. • Autorités de certification.
• La délégation de confiance.
• Signature électronique et authentification.
Travaux pratiques • Certificats personnels et clés privées.
Utilisation des lacunes protocolaires. • Exportation et importation de certificats.
Cryptographie Travaux pratiques
Magasins de certificats Microsoft. Mettre en
• Concepts et vocabulaire.
• Algorithmes de chiffrement symétrique et œuvre la signature et le chiffrement de
asymétrique. messages.
• Fonctions de hachage : principe et utilité.
• Les techniques d’échange de clés.
• Installation et configuration d’un serveur SSH.
• SSH et Man in the Middle.
• SSH, l’usage du chiffrement asymétrique sans
certificat.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 15L’architecture PKI
• Comment construire une politique de
certification ?
• Autorité de certification. Publication des
certificats.
• Autorité d’enregistrement (RA).
• Modèles de confiance hiérarchique et
distribuée.
• Présentation du protocole LDAP v3.
• Mise en oeuvre d’une autorité de certification
racine.
• Génération de certificats utilisateurs et serveurs.
Travaux pratiques
Mise en œuvre d’une autorité de certification
racine. Génération de certificats utilisateurs et
serveurs.
Gestion des projets PKI
• Les différentes composantes d’un projet PKI.
• Par quelles applications commencer?
• Choix des technologies.
• La législation.
•
• Travaux pratiques
Mise en oeuvre d’une hiérarchie d’autorités de
certification (autorité racine, autorités
intermédiaires, …).
Panorama des offres du marché
• L’approche Microsoft.
• Les offres commerciales dédiées : Cybertrust et
Entrust.
• OpenPKI : la communauté Open Source.
• IDnomic (anciennement OpenTrust), entre
solution commerciale et open source.
• Les offres externalisées Certplus, Symantec
(anciennement Versign)…
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 16CURSUS RSSI
REF : CRS
Ce séminaire vous prépare à la fonction de RSSI aussi bien
en abordant autant les aspects opérationnels, juridiques et
managériaux de la fonction. DUREE : 5 JOURS
PRÉ-REQUIS :
Objectifs pédagogiques : De bonnes connaissances techniques
S’approprier des compétences opérationnelles de la fonction RSSI ou managériales
Appréhender la dimension juridique de la fonction Connaissances en qualité
Connaitre comment s’y prendre pour piloter, manager la sécurité de Connaissance en analyse de risques
l’information
Connaitre l’importance de la sensibilisation et les vecteurs de PARTICIPANTS : Les RSSI
sensibilisation débutants, Consultants sécurité.
PROGRAMME • Sécurité des réseaux
• Sécurité des systèmes
Jour 1 • Cryptographie
• Gestion des identités et des accès
• Sécurité applicative
• Management de la Sécurité
• Cellule de Sécurité Opérationnelle (SOC)
• Les fondamentaux
• État des lieux de la sécurité
• Notions fondamentales Jour 4
• Écosystème ISO 270xx
• Mettre en place une filière SSI • Appréhender la dimension juridique de la
• Piloter la SSI Sécurité de l’information
• Premières actions de sécurisation du SI • Les bases du droit
• Responsabilité du RSSI
Jour 2 • Panorama du cadre réglementaire
• Conservation
• Données à caractère personnel
• Gestion et de l’analyse des risques
• Exemples de contrôle de l’employeur
• Les fondamentaux
• Charte d’utilisation des moyens
• Principes et définition
• informatiques et télécoms
• Norme ISO 27005
• Étude de cas
• Mise en pratique
• Dépôt de plainte
• Analyse de risques des projets SI
Jour 3 Jour 5
• Initier et mener une campagne de
• Sécurité opérationnelle et technique – Les
sensibilisation
fondamentaux
• Quelques chiffres de social engineering
• Rappel des fondamentaux
• Sensibiliser : pourquoi ?
• Principes de sensibilisation
• Construction d’une campagne de
sensibilisation
o
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 17CALENDRIER POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 18
SESSIONS DATE LIEU PRIX1
Certification ISO 27001 Lead Auditor
Réf. ISO : 22-24/04 22-26 avril Dakar 990 000 FCFA
Réf. ILA : 25-26/04
Certification ISO 27001 Lead Implementer 22-24 avril
Réf. ISO : 22-24/04 puis Dakar 990 000 FCFA
Réf. ILI : 29-30/04 29-30 avril
Certification ISO 27001 Lead Auditor
Réf. ISO : 10-12/06 10-14 juin Lyon 1 900 €
Réf. ILA : 13-14/06
Certification ISO 27001 Lead Implementer 10-12 juin
Réf. ISO : 22-24/04 puis Lyon 1 900 €
Réf. ILI : 29-30/04 24-25 juin
Certification ISO 27001 Lead Auditor
Réf. ISO : 22-24/04 1er-05 juillet Abidjan 990 000 FCFA
Réf. ILA : 25-26/04
Certification ISO 27001 Lead Implementer 1er-03 juillet
Réf. ISO : 22-24/04 puis Abidjan 990 000 FCFA
Réf. ILI : 29-30/04 8-9 juillet
CYBERSECURITE DES RESEAUX, SYNTHESE
11-12 juillet Abidjan 690 000 FCFA
Réf. CRI
Certification ISO 27001 Lead Auditor
Réf. ISO : 22-24/04 15-19 juillet Cotonou 990 000 FCFA
Réf. ILA : 25-26/04
Certification ISO 27001 Lead Implementer 15-18 juillet
Réf. ISO : 22-24/04 puis Cotonou 990 000 FCFA
Réf. ILI : 29-30/04 22-23 juillet
CYBERSECURITE DES RESEAUX, SYNTHESE 25-26 juillet Cotonou 690 000 FCFA
Réf. CRI
CYBERSECURITE DES RESEAUX, SYNTHESE 15-16 août Saly 690 000 FCFA
Réf. CRI
Certification ISO 27001 Lead Auditor
Réf. ISO : 19-21/08 19-23 août Saly 990 000 FCFA
Réf. ILA : 22-23/08
Certification ISO 27001 Lead Implementer 19-21 août
Réf. ISO : 19-21/08 puis Saly 990 000 FCFA
Réf. ILA : 26-27/08 26-27 août
Certification ISO 27001 Lead Auditor
Réf. ISO : 07-09/10 07-11 octobre Conakry 990 000 FCFA
Réf. ILA : 08-09/10
Certification ISO 27001 Lead Implementer 07-09 octobre
Réf. ISO : 07-09/10 puis Conakry 990 000 FCFA
Réf. ILI : 14-15/10 14-15 octobre
1
Prix, hors taxe, le cas échéant, frais d’examen compris.
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 19AUDIT - CONSEIL - FORMATIONS
EN CYBERSECURITE
FRANCE SÉNÉGAL
37 RUE D'ALSACE 69800 LIBERTÉ 6 EXT, LOGEMENT N°26
ST-PRIEST, FRANCE BP 21207 DAKAR PONTY -
SÉNÉGAL
+33 4 78 74 50 80
+221 77 508 28 36
+33 7 86 00 47 79
contact@polaris-st.com
POLARIS SECURE TECHNOLGIES - CATALOGUE DE FORMATIONS 2019 20
www.polaris-st.comVous pouvez aussi lire
