Formations en sécurité informatique - sysdream.com - SYSDREAM FORMATION
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Division Cybersécurité Hub One
SYSDREAM FORMATION
Formations en
sécurité informatique
Sécurité offensive
Ethical hacking Inforensique
Management Sécurité défensive
Edition 2021
Centre de formation agréé n°11 93 05949 93
sysdream.com
Tous nos cours sur sysdream.com
Editorial
F
ondée en 2004 par deux consultants passionnés de sécurité
informatique, par ailleurs rédacteurs pour la presse spécialisée
(Hackerz Voice & Hackademy Journal), Sysdream a bâti sa réputation
en proposant des programmes de formation orientés selon le point de vue
de l’attaquant (Sécurité offensive ou Ethical Hacking).
Pionniers dans cette approche, nous continuons aujourd’hui de nous
entourer des meilleurs profils techniques grâce à la communauté de
hackers (White Hat) initiée par l’un des fondateurs de Sysdream. Nos
consultants formateurs sont des experts passionnés et engagés selon une
charte éthique. Ils partagent leur activité entre l’audit technique, le pentest,
la recherche et la formation. Chaque programme dispensé par Sysdream
est ainsi l’occasion de partager avec vous notre expertise terrain.
Aujourd’hui, la formation est l’un des piliers d’une sécurité efficace.
Sysdream conçoit et anime à la fois des formations de haute expertise
technique et des programmes de sensibilisation pour les utilisateurs du
système d’information, que ce soit en présentiel ou à distance.
Nous formons plus de 1000 professionnels chaque année (techniciens,
consultants, analystes sécurité …), dont les équipes techniques des plus
grands groupes.
Bénéficiez des compétences uniques de nos consultants et de leurs années
d’expérience avec une approche de la sécurité toujours plus orientée vers
la pratique.
Olivier Franchi, Directeur Général
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 1
Division Cybersécurité Hub One
Tous nos cours sur sysdream.com
Nos engagements
Expérience de la Depuis 15 ans, Sysdream forme auMANAGEMENT
quotidien des dizaines de
formation professionnels sur plus d’une trentaine de thématiques. Dans
un souci d’amélioration perpétuelle, chaque stagiaire remplira
au terme de sa formation un questionnaire de satisfaction. Par
ailleurs, ce catalogue évolue régulièrement pour satisfaire les
besoins et attentes de nos clients.
Environnement de Un support technique de qualité est mis à la disposition de
travail complet chaque stagiaire durant sa formation. Un réseau virtuel
héberge tous les types de systèmes Microsoft, Linux et Unix,
favorisant ainsi le bon déroulement des travaux pratiques.
Travaux Dans toutes nos formations, l’accent est mis sur la mise en
pratiques application concrète des éléments étudiés au cours de
travaux pratiques dirigés par l’intervenant.
Formations à Afin de favoriser l’interaction et la pratique, nous mettons à
taille humaine disposition un poste informatique par stagiaire et gardons un
maximum de 12 à 15 personnes par formation pour assurer la
disponibilité du formateur.
Formateurs Tous nos intervenants font activement partie de plusieurs
laboratoires de recherche internationalement renommés
et sont, de plus, régulièrement consultants pour de grands
groupes industriels et ministères.
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
2 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub One
Tous nos cours sur sysdream.com
Nos références
Ils nous font confiance.
Nous formons plus de 1000 professionnels chaque année
ainsi que les équipes techniques des plus grands groupes.
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 3
Division Cybersécurité Hub One
Tous nos cours sur sysdream.com
Formations à distance
Nous proposons des programmes de formation en sécurité informatique
accessibles à distance, en Live et avec différents formats pour répondre à
tous vos besoins. Ces classes virtuelles offrent le même niveau de qualité
et d’interaction que les sessions en présentiel grâce aux ressources et aux
méthodes pédagogiques employées.
SYSLIVE
Nos formations Online offrent un format dense Nos formations hybrides comprennent des
et efficace pour les stagiaires qui souhaitent stagiaires en présentiel et d’autres en Live
être formés rapidement. Elles se déroulent en (Online). Nous mettons un point d’honneur à
journées complètes tout comme les sessions limiter le nombre de personnes à distance afin
en présentiel mais devant votre ordinateur ou de garantir une formation qualitative pour tous
tablette, en Live. les stagiaires.
Sessions
Codes Thématiques Online Hybride
J F M A M J J A S O N D
SAC Sensibilisation à la cybersécurité 7 8
HSF Hacking & Sécurité : Les Fondamentaux 11 10 16 9
SEC Social Engineering et contre-mesures 10 30 9
HSA Hacking & Sécurité : Avancé 15 14 20 13
CEH Certfied Ethical Hacker 15 14 20 6
Test d’intrusion : Mise en situation
PNT Nous contacter
d’audit
AUDWEB Audit de site Web Nous contacter
Mener un audit de sécurité : méthode
AUDSI Nous contacter
d’audit d’un SI
ISO 27001
ISO 27001 : Certified Lead Implementer Nous contacter
LI
ISO 27001
ISO 27001 : Certified Lead Auditor Nous contacter
LA
ISO 27005 ISO 27005 : Certified Risk Manager
Nous contacter
+ EBIOS avec EBIOS
Certified Information Systems Security
CISSP Nous contacter
Professional
BUG Bug Bounty de A jusqu’à € Nous contacter
SW Sécurisation Windows Nous contacter
EC-Council Certified Incident Handler
ECIHv2 Nous contacter
v2
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
4 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
Formations à distance
Nos formations Sys-Live ont un format flexible, adapté aux emplois du temps chargés
et qui permet, de par son étalement dans le temps, de maximiser la concentration des
stagiaires. Les sessions planifiées et proposées au planning auront lieu deux après-midi
par semaine, sur plusieurs semaines.
Codes Thématiques Sys-Live
SAC Sensibilisation à la cybersécurité
Les sessions
HSF Hacking & Sécurité : Les Fondamentaux Sys-Live
SEC Social Engineering et contre-mesures Sont programmées deux après-midi par
semaine, sur plusieurs semaines, selon le
nombre de demandes.
HSA Hacking & Sécurité : Avancé
Contactez nous pour tout renseignement.
PNT Test d’intrusion : Mise en situation d’audit
formation@sysdream.com
AUDWEB Audit de site Web
Mener un audit de sécurité : méthode
AUDSI
d’audit d’un SI
Toutes les sessions sont dispensées en français mais accessibles partout dans le monde.
La plupart de nos formations vous permettent de vous entraîner, pratiquer et assimiler
au mieux vos acquis grâce à un accès prolongé (1 mois, à l’issue de la formation, sur les
TPs effectués durant votre session) à notre plateforme de cyber-entrainement Malice.
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 5
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
Planning Formations en présentiel 2021
Sessions
Durée
Codes Thématiques
J F M A M J J A S O N D
SECURITE OFFENSIVE - ETHICAL HACKING
SAC Sensibilisation à la cybersécurité 1 7 8
HSF Hacking & Sécurité : Les Fondamentaux 2 18 11 8 10 5 23 16 14 8 9
HSAv6 Hacking & Sécurité : Avancé v6 5 18 15 15 12 17 14 5 23 20 18 15 13
HSEv4 Hacking & Sécurité : Expert v4 5 22 19 21 27 22 13
CEHv11 Certfied Ethical Hacker v11 5 18 15 15 12 17 14 5 23 20 18 15 6
PNT Test d’intrusion : Mise en situation d’audit 5 22 3 5 27 29
AUDWEB Audit de site Web 3 26 28 3
Mener un audit de sécurité : Méthode d’audit
AUDSI 3 26 11
d’un SI
CPENT Certified Penetration Tester 5 19 21 22
Recherche et exploitation de vulnérabilités
REVA 3 1 7 28 3
sur applications Android
BUG Bug Bounty de A jusqu’à € 3 31 18
SEC Social Engineering et contre-mesures 1 10 30 9
HSL Hacking & Sécurité Logiciel 5 15 31 29
Bootcamp Exploitation de vulnérabilités
BEVA 5 21 15
applicatives
SVSM Sécurité VPN, sans-fil et mobilité 3 18 26 3
PYTPEN Python pour le Pentest 4 14 29
CISA Certified Information Systems Auditor 5 29 21 20 6
INFORENSIQUE
Analyse inforensique avancée et réponse
AIARI 3 7 7 15
aux incidents
CHFIv9 Computer Hacking Forensic Investigator v9 5 22 21 4 6
RILM Rétro-ingénierie de Logiciels Malveillants 5 3 20 13
Malwares : détection, identification et
MDIEv2 3 19 28 4 6
éradication
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
6 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
Planning : Formations en présentiel 2021
Sessions
Durée
Codes Thématiques
J F M A M J J A S O N D
MANAGEMENT
ISO 27001
ISO 27001 : Certified Lead Implementer 5 15 31 20 22
LI
ISO 27001
ISO 27001 : Certified Lead Auditor 5 22 7 27 13
LA
ISO 27005 + ISO 27005 : Certified Risk Manager avec
5 8 17 13 25 6
EBIOS EBIOS
ECIHv2 EC-Council Certified Incident Handler v2 3 7 3
CISM Certified Information Security Manager 3 14 27 22
Certified Information Systems Security
CISSP 5 22 12 31 5 13 18 15 13
Professional
Certified Information Systems Security
CISSP IPAD 5 22 12 31 5 13 18 15 13
Professional
CCISOv3 Certified Chief Information Security Officer 4 14 29
SECURITE DEFENSIVE
SL Sécurisation Linux 3 1 29 28 13 22
SW Sécurisation Windows 3 22 7 27 6
SR Sécurisation des Réseaux 3 26 28 29
CSA Certified SOC Analyst 3 21 22
LCP Lutte contre la cybercriminalité : Panorama 2 10 8
SDS Sensibilisation au développement sécurisé 2 7 14
Développement Sécurisé pour le Web :
DSWPHP 3 9 11
session PHP
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 7
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
Sommaire SYS-LIVE ONLINE HYBRIDE
Sécurité Offensive - Ethical Hacking 10
Sensibilisation à la cybersécurité 11
Hacking & Sécurité : Les Fondamentaux 12
Hacking & Sécurité : Avancé v6 13
Hacking & Sécurité : Expert v4 14
Certified Ethical Hacker v11 - CERTIFIANT 15
Certified Information Systems Auditor - CERTIFIANT 16
Certified Penetration Testing Professional - CERTIFIANT - NOUVEAU 17
Test d’intrusion : Mise en situation d’audit 18
Audit de site Web 19
Mener un audit de sécurité : Méthode d’audit d’un SI 20
Social Engineering et contre-mesures 21
Sécurité VPN, sans-fil et mobilité 22
Python pour le Pentest 23
Bootcamp Exploitation de vulnérabilités applicatives 24
Hacking & Sécurité Logiciel 25
Bug bounty de A jusqu’à € 26
Recherche et exploitation de vulnérabilités sur applications Android 27
Inforensique 28
Computer Hacking Forensic Inverstigator v9 - CERTIFIANT 29
Analyse inforensique avancée et réponse aux Incidents 30
Malwares: détection, identification et éradication v2 31
Rétro-ingénierie de Logiciels Malveillants 32
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
8 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
Sommaire SYS-LIVE ONLINE HYBRIDE
Management 33
ISO 27001 : Certified Lead Implementer - CERTIFIANT 34
ISO 27001 : Certified Lead Auditor - CERTIFIANT 35
ISO 27005 : Certified Risk Manager avec EBIOS - CERTIFIANT 36
CISSP Certified Information Systems Security Professional - CERTIFIANT 37
CCISO Certifed Chief Information Security Officer - CERTIFIANT 38
CISM Certified Information Security Manager - CERTIFIANT 39
EC-Council Certified Incident Handler v2 - CERTIFIANT 40
Sécurité Défensive 41
Sécurisation Linux 42
Sécurisation Windows 43
Sécurisation des Réseaux 44
Lutte contre la cybercriminalité : Panorama 45
Sensibilisation au développement sécurisé 46
Développement Sécurisé pour le Web : session PHP 47
Certified SOC Analyst - CERTIFIANT - NOUVEAU 48
Les atouts de Sysdream 49
Financer sa formation 50
Remises sur les réservations 51
Le centre de formation 53
Nos prestations sur mesure (formations et audits) 55
: Notre plateforme de cyber-entrainement 56
Nos évènements 57
Evènement : Hack In Paris (HIP) 57
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 9
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
Sécurité Offensive - Ethical Hacking
Destinées aux consultants et experts en sécurité ainsi qu’aux
administrateurs et techniciens, les formations Ethical Hacking
vous permettront d’acquérir les connaissances fondamentales
pour la mise en œuvre pratique de tests techniques avancés sur
les systèmes et équipements réseaux du SI, lors de vos audits
techniques et de vos tests de pénétration.
SÉCURITÉ OFFENSIVE Sessions
CodesETHICAL HACKING Thématiques
J F M A M J J A S O N D
Fondamentaux
SAC Sensibilisation à la cybersécurité 7 8
HSF Hacking & Sécurité : Les Fondamentaux 18 11 8 10 5 23 16 14 8 9
SEC Social Engineering et contre-mesures 10 30 9
Avancé
HSAv6 Hacking & Sécurité : Avancé v6 18 15 15 12 17 14 5 23 20 18 15 13
CEHv11 Certified Ethical Hacker v11 - Certifiant 18 15 15 12 17 14 5 23 20 18 15 6
CPENT Certified Penetration Testing Professional 19 21 22
- Certifiant
PNT Test d’intrusion : Mise en situation d’audit 22 3 5 27 29
AUDWEB Audit de site Web 26 28 3
Mener un audit de sécurité : Méthode
AUDSI 26 11
d’audit d’un SI
SVSM Sécurité VPN, sans-fil et mobilité 18 26 3
PYTPEN Python pour le Pentest 14 29
Recherche et exploitation de vulnérabilités sur
REVA 1 7 28 3
applications Android
BUG Bug Bounty de A jusqu’à € 31 18
Expert
HSEv4 Hacking & Sécurité : Expert v4 22 19 21 27 22 13
Certified Information Systems Auditor
CISA 29 21 20 6
- Certifiant
BEVA Bootcamp Exploitation de vulnérabilités applicatives 21 15
HSL Hacking & Sécurité Logiciel 15 31 29
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
10 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneSÉCURITÉ OFFENSIVE - ETHICAL HACKING
Sensibilisation à la cybersécurité fondamentaux
Comprendre pour appréhender au mieux les menaces informatiques
Cette formation vise à sensibiliser les stagiaires aux menaces
informatiques. L’aspect organisationnel lié à la sécurité informatique au
sein de l’entreprise sera tout d’abord évoqué.
Une présentation des différentes attaques ainsi que des cas pratiques sera
ensuite réalisée, et cela dans l’objectif de démontrer techniquement la
faisabilité des attaques.
Enfin un ensemble de bonnes pratiques de sécurité sera présenté pour
permettre de pallier aux problèmes abordés.
Informations générales Programme
Code : SAC Introduction à la sécurité L’ingénierie sociale
Durée : 1 jour informatique Messagerie
Prix : 850 € HT (déjeuner offert)
Acteurs au sein de l’entreprise Téléphone
Horaires : 9h30 - 17h30
Système d’information (SI) Navigation web
Lieu : Levallois-Perret (92)
Sécurité des systèmes Pièce jointe
d’information (SSI)
Formats disponibles
Objectifs de la sécurité Exemple d’attaques par logiciel
informatique malveillant
Online, Sys-live, Hybride Vulnérabilités et attaques
informatiques Zeus
Objectifs Risques et enjeux pour l’entreprise Stuxnet
Motivations d’une attaque Locky
Découvrir et assimiler la WannaCry
sécurité informatique Le cadre législatif
Appréhender et comprendre Les mots de passe
les attaques informatiques Politique de sécurité
Charte informatique Rôle et usage
Identifier les menaces
informatiques Protection des données Importance de la complexité
Adopter les bonnes pratiques personnelles
Attaque par recherche
pour se prémunir RGPD exhaustive
LPM
Intérêt de la double
Public visé authentification
Les attaques locales
Utilité du stockage sécurisé
Toute personne désirant Ports USB
Post-attaque sur la machine
comprendre les menaces liées Ports d’extension haute vitesse
aux attaques informatiques (DMA) Problème lié à la réutilisation de
Câble Ethernet mots de passe
Pré-requis Disque dur interne Les protections et bons réfléxes
Accessible à tous Les attaques distantes Ports de communication (USB,
Firewire, PCI Express, etc.)
Interception sur le réseau
Ressources Chiffrement du disque
Téléchargement
Verrouillage du poste
Réseau sans-fil
Support de cours Mises à jour
Système non à jour
40% de démonstration Antivirus et pare-feu
40% de théorie Connexion sur un réseau inconnu
20% d’exercices pratiques Détection et remontée d’alertes
Optionnel: 1 PC par personne
/ Internet / Environnement
Windows
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 11
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Hacking & Sécurité : Les Fondamentaux fondamentaux
Apprenez les fondamentaux de la sécurité informatique ! (powered by MALICE )
Cette formation est une première approche des pratiques et des
méthodologies utilisées dans le cadre d’intrusions sur des réseaux
d’entreprises. Nous mettons l’accent sur la compréhension technique et la
mise en pratique des différentes formes d’attaques existantes. L’objectif est
de vous fournir les premières compétences techniques de base, nécessaires
à la réalisation d’audits de sécurité (tests de pénétration), en jugeant par
vous-même de la criticité et de l’impact réel des vulnérabilités découvertes
sur le SI.
Il s’agit d’une bonne introduction au cours HSA pour toute personne
souhaitant acquérir les connaissances techniques de base.
La présentation des techniques d’attaques est accompagnée de procédures
de sécurité applicables sous différentes architectures (Windows et Linux).
Informations générales
Jour 1 Jour 2
Code : HSF
Introduction Attaques locales
Durée : 2 jours
Prix : 1250 € HT (déjeuners offerts) Définitions Cassage de mots de passe
Horaires : 9h30 - 17h30 Objectifs Elévation de privilèges
Lieu : Levallois-Perret (92) Vocabulaire Attaque du GRUB
Méthodologie de test
Formats disponibles Ingénierie sociale
Prise d’information
Online, Sys-live, Hybride Utilisation de faiblesses humaines
Objectifs afin de récupérer des informations
Prise d’information passive sensibles et/ou compromettre des
Objectifs (WHOIS, réseaux sociaux, Google systèmes
Hacking, Shodan, etc.)
Comprendre et détecter les Prise d’information active Phishing
attaques sur un SI (traceroute, social engineering, Outils de contrôle à distance
Exploiter et définir l’impact et la etc.)
portée d’une vulnérabilité Base de vulnérabilités et d’exploits Attaques à distance
Corriger les vulnérabilités
Sécuriser un réseau et intégrer Réseau Introduction à Metasploit
les outils de sécurité de base Framework
Rappels modèles OSI et TCP/IP Scanner de vulnérabilités
Public visé Vocabulaire Attaques d’un poste client
Protocoles ARP, IP, TCP etUDP Attaques d’un serveur
RSSI NAT Introduction aux vulnérabilités
Ingénieurs / Techniciens Scan de ports Web
Administrateurs systèmes / Sniffing
réseaux ARP Cache Poisoning Se sécuriser
Toute personne s’intéressant à DoS / DDoS
la sécurité informatique Les mises à jour
Configurations par défaut et
Pré-requis bonnes pratiques
Introduction à la cryptographie
Connaissances de Windows Présentation de la stéganographie
Anonymat (TOR)
Ressources
Support de cours
70% d’exercices pratiques
1 PC par personne / Internet
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
12 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Hacking & Sécurité : Avancé v6 avancé
Pratiquez les attaques avancées pour mieux vous défendre (powered by MALICE )
Ce cours est une approche avancée et pratique des méthodologies utilisées
dans le cadre d’intrusions sur des réseaux d’entreprises.
Nous mettons l’accent sur la compréhension technique et la mise en pratique
des différentes formes d’attaques existantes.
L’objectif est de vous fournir les compétences techniques nécessaires à la réa-
lisation d’audits de sécurité (tests de pénétration), en jugeant par vous-même
de la criticité et de l’impact réel des vulnérabilités découvertes sur le SI.
La présentation des techniques d’attaques est accompagnée de procédures
de sécurité applicables sous différentes architectures (Windows et Linux).
Informations générales
Jour 1
Code : HSAv6 Introduction
Durée : 5 jours Rappel TCP/IP / Réseau Matériel Jour 3
Prix : 3500€ HT (déjeuners offerts) Protos / OSI - Adressage IP
Horaires : 9h30 - 17h30 Introduction à la veille Attaques Web
Lieu : Levallois-Perret (92) Vocabulaire Cartographie du site et
BDD de Vulnérabilités et Exploits identification des fuites
Formats disponibles d’information
Informations générales
Failles PHP (include, fopen, upload
Online, Sys-live, Hybride Prise d’information etc.)
Informations publiques Injections SQL
Objectifs Moteur de recherche Cross-Site Scripting (XSS)
Prise d’information active Cross-Site Request Forgery (CSRF)
Comprendre et détecter les
attaques sur un SI Scan et prise d’empreinte Bonnes pratiques
Définir l’impact et la portée
d’une vulnérabilité Enumération des machines
Réaliser un test de pénétration Scan de ports
Jour 4
Corriger les vulnérabilités Prise d’empreinte du système
d’exploitation Attaques applicatives
Sécuriser un réseau et intégrer
des outils de sécurité adéquats Prise d’empreinte des services
Escape Shell
Public visé Jour 2 Buffer overflow sous Linux
Attaques réseau L’architecture Intel x86
RSSI, DSI
Idle Host Scanning Les registres
Consultants en sécurité
Sniffing réseau La pile et son fonctionnement
Ingénieurs / techniciens
Spoofing réseau Présentation des méthodes
Administrateurs systèmes / d’attaques standards
réseaux Hijacking
Développeurs Attaques des protocoles sécurisés Ecrasement de variables
Dénis de service Contrôler EIP
Pré-requis
Attaques système Exécuter un shellcode
Administration Windows/Linux Scanner de vulnérabilités Prendre le contrôle du
Exploitation d’un service système en tant qu’utilisateur
TCP/IP root
vulnérable distant
Utilisation de Linux en ligne de
commande Elévation de privilèges
Espionnage du système Jour 5
Ressources Attaques via un malware
Challenge final
Support de cours Génération de malware avec
Metasploit Mise en pratique des
80% d’exercices pratiques connaissances acquises durant la
Encodage de payloads
1 PC par personne / Internet semaine sur un TP final
Metasploit Méthode de détection
Plateforme MALICE Cybertraining
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 13
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Hacking & Sécurité : Expert v4 expert
Une analyse poussée de l’attaque pour mieux vous défendre (powered by MALICE )
Ce cours vous permettra d’acquérir un niveau d’expertise élevé dans le do-
maine de la sécurité en réalisant différents scénarios complexes d’attaques.
Cette formation porte également sur une analyse poussée des vulnérabilités.
Cette formation est particulièrement destinée aux consultants, administra-
teurs et développeurs qui souhaitent pouvoir effectuer des tests techniques
évolués lors de leurs audits sur les systèmes internes ou externes, ou pour
appliquer des solutions de sécurité adaptées à leur SI.
Informations générales
Jour 1
Code : HSEv4
Réseau
Durée : 5 jours
Prix : 3600 € HT (déjeuners offerts) Options avancées de Nmap + NSE
Horaires : 9h30 - 17h30 Scapy
Lieu : Levallois-Perret (92) IPv6 - mitm6
HSRP / VRRP
Objectifs Introduction à la sécurité des protocoles de routage (OSPF, BGP, etc.)
Acquérir un niveau d’expertise élevé dans le
domaine de la sécurité en réalisant différents
Jour 2
scénarios complexes d’attaques
En déduire des solutions de sécurité avancées Système
Exploitation avancée avec Metasploit
Public visé Attaque d’une infrastructure Microsoft (Responder / Pass-The-Hash / CME
/ ntlmrelayx)
Consultants en sécurité Elévation de privilèges
Ingénieurs / Techniciens
Techniques de contournements d’AV
Administrateurs systèmes / réseaux
Développeurs
Jour 3
Pré-requis Applicatif
Avoir suivi la formation HSA est très fortement Introduction aux Buffer Overflows 32-bits
recommandé Exploitations basiques de débordement de tampon en 32-bits
Être à l’aise dans l’utilisation des outils Exploitation via Ret2Libc (32-bits et 64-bits)
classiques du pentest (Kali)
Notions avancées sur les principales
Introduction et exploitation via ROP
techniques de hacking (buffer overflows Exploitation de débordement de tampon sous Windows
inclus)
Protections contre les Buffer Overflows
Développement occasionnel dans au moins un
langage de programmation: Python, PHP, C
Maîtrise de l’administration Linux (shell) et Jour 4
Windows
Maîtrise des technologies de virtualisation Web
(VirtualBox)
Connaissance fondamentale des protocoles SQL injection avancées
réseau (TCP/IP, routage) XXE
SSRF
Ressources Injection d’objets / Deserialization
Exploitation sur NodeJS
Support de cours
etc.
Plateforme de cyber-entrainement Malice avec
un accès prolongé d’un mois à l’issue de la
formation sur les TP réalisés lors de la session Jour 5
80% d’exercices pratiques
1 PC par personne / Internet CTF final
Environnement Windows de démonstration
(Windows XP, 2000, 2003 …), et Linux CTF sur une journée avec TP MALICE
Metasploit
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
14 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Certified Ethical Hacker v11 Certifiant
Préparez-vous à la certification CEH en apprenant les dernières techniques d’Ethical Hacking - avancé
« Accredited Training Center » by EC-Council
Le Certified Ethical Hacker (CEHv11) est une formation reconnue et respectée, dont
chaque professionnel de la sécurité aura besoin.
Depuis sa création en 2003, le Certified Ethical Hacker est largement diffusé dans le
monde entier, c’est une certification respectée et accréditée en conformité ANSI 17024,
ce qui ajoute de la crédibilité et de la valeur aux membres certifiés.
Le cours en est maintenant à sa 10ème version, il a été mis à jour afin de vous apporter
les outils et techniques utilisés par les pirates et les professionnels de la sécurité,
susceptibles de pénétrer dans n’importe quel système d’information.
Ce cours va vous plonger dans « l’état d’esprit du Hacker » dans le but de vous enseigner à penser comme un
pirate afin de mieux vous défendre.
Vous apprendrez notamment comment scanner, tester, hacker et sécuriser un système visé. Le cours couvre
les cinq phases de l’Ethical Hacking : Reconnaissance, Obtention d’accès, Enumération, Maintien de l’Accès et
Disparition des traces. Les outils et techniques de chacune de ces 5 phases seront présentés lors de la formation.
Informations générales
Code : CEHv11
Programme
Durée : 5 jours
Prix : 3950 € HT (déjeuners offerts) Plan de cours
Horaires : 9h30 - 17h30 Module 1: Introduction to Ethical Hacking Module 11: Session Hijacking
Lieu : Levallois-Perret (92) Module 2: Footprinting and Reconnaissance Module 12: Evading IDS, Firewalls, and Honeypots
Examen CEH: Inclus* Module 3: Scanning Networks Module 13: Hacking Web Servers
Module 4: Enumeration Module 14: Hacking Web Applications
Formats disponibles Module 5: Vulnerability Analysis Module 15: SQL Injection
Module 6: System Hacking Module 16: Hacking Wireless Networks
Online, Hybride
Module 7: Malware Threats Module 17: Hacking Mobile Platforms
Module 8: Sniffing Module 18: IoT Hacking
Objectifs Module 9: Social Engineering Module 19: Cloud Computing
Module 10: Denial-of-Service Module 20: Cryptography
Cette formation vous aidera à maitriser
une méthodologie de piratage éthique
qui pourra aussi bien être utilisée dans un Certification CEH (incluse avec la formation)
test d’intrusion que dans une situation de
piratage éthique. Vous quitterez le cours avec Passage de l’examen Titre de l’examen : Certified Ethical Hacker (version
des compétences en piratage éthique qui
L’examen CEH (312-50) aura lieu dans les locaux de ANSI)
sont hautement recherchées, tout comme,
globalement, la certification Certified Ethical Sysdream. Format de l’examen : QCM
Hacker! Cette formation vous préparera à Il est également possible de passer l’examen à Nombre de questions: 125
l’examen de certification Certified Ethical distance depuis le lieu de votre choix (en option)
Durée : 4 heures
Hacker 312-50. mais il faudra alors en faire la demande au moment
de votre inscription à la formation. Langue: anglais
Score requis: il se situe entre 70% et 78%, selon la
Public visé difficulté du set de questions proposées.
Résultat En conséquence, si le stagiaire a des « questions
Responsables sécurité
faciles », il devra au minimum avoir 78% tandis que
Auditeurs Directement disponible en fin d’examen. celui qui tombe sur les « questions difficiles » sera
Professionnels de la sécurité Maintien de la certification reçu avec un score de 70%.
Administrateurs de site Pour maintenir la certification, il faudra obtenir 120 crédits dans les 3 ans avec un minimum de 20 points chaque
Toute personne concernée par la stabilité des année. Pour plus d’information, vous pouvez consulter le site d’EC-Council.
systèmes d’information
Certification CEH Practical (en option)
Pré-requis
Presentation
Connaissances de TCP/IP, Linux et Windows Le CEH Practical est un examen rigoureux de 6 heures, qui demandera aux participants de prouver leurs
Server compétences en ethical hacking. Ils seront interrogés sur des sujets comme l’identification de vecteurs
de menace, le scan de réseau, la détection OS, l’analyse de vulnérabilité, hacking de système ou encore
Pour la certification CEH Practical : Toute
d’applications web, le but étant de réussir l’ensemble des challenges en lien avec un audit de sécurité.
personne officiellement et dûment certifiée
CEH (ANSI) pourra se présenter à l’examen CEH Les candidats auront un temps limité, exactement comme pour un exercice réel. Cet examen a été développé
Practical. par un panel d’experts, il inclut 20 scénarios tirés de véritables expériences avec des questions visant à valider
les compétences essentielles requises dans le domaine de l’ethical hacking.
Ressources Passage de l’examen Processus d’éligibilité
Cet examen est le premier à être complètement en Les candidats intéressés par ce programme devront
Support de cours officiel en anglais ligne, en direct et automatiquement supervisé par un au préalable remplir un formulaire d’éligibilité.
Accès au cours en version numérique Proctor à distance. Cette éligibilité, qui est généralement validée entre
pendant un an 5 et 10 jours par EC-Council, est ensuite valable pour
Titre de l’examen : Certified Ethical Hacker
Cours donné en français (Practical) 3 mois.
20% d’exercices pratiques Nombre de challenges pratiques: 20 A réception du code Dashboard, à activer sous
ASPEN, le candidat aura également 3 mois pour
1 PC par personne / Internet Durée : 6 heures tester et compléter les différents challenges
* Valable 10 mois pour un passage de Langue: anglais proposés.
l’examen dans les locaux de Sysdream. Score requis : 70%
Passage de l’examen à distance depuis le lieu
de votre choix disponible en option.
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 15
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Certified Information Systems Auditor Certifiant expert
Préparation à la certification CISA
La formation prépare à la certification CISA (Certified Information Systems
Auditor), seule certification reconnue mondialement dans le domaine de la
gouvernance, de l’audit, du contrôle et de la sécurité des SI.
Son excellente réputation au niveau international vient du fait que cette
certification place des exigences élevées et identiques dans le monde entier.
Elle couvre donc la totalité du cursus CBK (Common Body of Knowledge),
tronc commun de connaissances en sécurité défini par l’ISACA® (Information
Systems Audit and Control Association).
Informations générales Programme
Code : CISA La formation couvre les 5 domaines sur lesquels porte l’examen
Durée : 5 jours
Domaine 1 : Processus d’audit des systèmes d’information
Prix : 3600 € HT (déjeuners offerts)
Les standards d’audit
Horaires : 9h30 - 17h30
L’analyse de risque et le contrôle interne
Lieu : Levallois-Perret (92)
La pratique d’un audit SI
Examen non inclus *
Domaine 2 : Gouvernance et gestion des systèmes d’information
Objectifs
La stratégie de la gouvernance du SI
Les procédures et Risk management
Analyser les différents domaines du
La pratique de la gouvernance des SI
programme sur lesquels porte l’examen
L’audit d’une structure de gouvernance
Assimiler le vocabulaire et les idées
directrices de l’examen
S’entraîner au déroulement de l’épreuve Domaine 3 : Acquisition, conception, implantation des SI
et acquérir les stratégies de réponse au
questionnaire La gestion de projet: pratique et audit
Se préparer au passage de l’examen de Les pratiques de développement
certification CISA L’audit de la maintenance applicative et des systèmes
Les contrôles applicatifs
Public visé
Domaine 4 : Exploitation, entretien et soutien des systèmes d’information
Auditeurs L’audit de l’exploitation des SI
Consultants IT L’audit des aspects matériels du SI
Responsables IT L’audit des architectures SI et réseaux
Responsables de la sécurité
Directeurs des SI Domaine 5 : Protection des actifs informationnels
La gestion de la sécurité : politique et gouvernance
Pré-requis L’audit et la sécurité logique et physique
L’audit de la sécurité des réseaux
Connaissances générales en L’audit des dispositifs nomades
informatique, sécurité et audit
Connaissances de base dans le
fonctionnement des systèmes
Préparation à l’examen
d’information
Ressources
Support de cours en français
Cours donné en français * Inscription à l’examen sur le site de l’ISACA
Le passage de l’examen est disponible
dans plusieurs langues, dont l’anglais et le
français.
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
16 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Certified Penetration Testing Professional Certifiant avancé
Une certification exigeante pour les pentesters
Le programme CPENT vous apprend à réaliser un pentest efficace dans un environnement de réseau
d’entreprise qui doit être attaqué, exploité, contourné et défendu.
Si vous n’avez travaillé que dans des réseaux classiques, le programme CPENT vous apprendra à passer à
la vitesse supérieure en vous montrant comment tester les systèmes IoT, les systèmes OT, comment écrire
vos propres exploits, construire vos propres outils, réaliser des exploitations binaires avancées, double-
pivoter pour accéder à des réseaux cachés, et aussi personnaliser les scripts/exploits pour pénétrer dans les
segments les plus intimes du réseau.
Le cœur du programme CPENT consiste à vous aider à maîtriser vos compétences en pentesting, en les
mettant en pratique sur nos cyber ranges. Les gammes CPENT ont été conçues pour être dynamiques
afin de vous offrir un programme de formation en situation réelle, de sorte que, tout comme les cibles et la
technologie continuent à évoluer dans les réseaux en direct, les ranges d’entrainement et d’examen du CPENT
imiteront cette réalité alors que notre équipe d’ingénieurs continuera à ajouter des cibles et des défenses tout
au long de la durée de vie du cours CPENT.
Programme
Informations générales
Plan de cours
Code : CPENT
Durée : 5 jours Module 1 : Introduction to Penetration Testing and Methodologies
Prix : 3950 € HT (déjeuners offerts) Module 2 : Penetration Testing Scoping and Engagement
Horaires : 9h00 - 17h00 Module 3 : Open Source Intelligence (OSINT)
Lieu : Levallois-Perret (92) Module 4 : Social Engineering Penetration Testing
Examen CPENT: Inclus Module 5 : Network Penetration Testing Methodology - External
Passage de l’examen examen pratique Module 6 : Network Penetration Testing Methodology - Internal
entièrement en ligne et surveillé à distance. Module 7 : Network Penetration Testing - Perimeter Devices
Module 8 : Web Application Penetration Testing
Module 9 : Wireless Penetration Testing Methodology
Objectifs
Module 10 : IoT Penetration Testing
Module 11 : OT/SCADA Penetration Testing
Apprendre à mener un pentest efficace Module 12 : Cloud Penetration
Module 13 : Binary Analysis and Exploitation
Public visé Module 14 : Report Writing and Post Testing Actions
Administrateurs réseaux Certification (incluse avec la formation)
Administrateurs pare-feu
Analystes sécurité Passage de l’examen
Administrateurs de système
Le CPENT est un examen entièrement en ligne, surveillé à distance, qui met les candidats au défi de passer un
Professionnels de l’évaluation des risques.
examen pratique de 24 heures basé sur les performances. L’examen peut aussi être divisé en deux sessions de 12
heures chacune, qui mettront les candidats à l’épreuve en les obligeant à se surpasser à chaque nouveau défi.
Pré-requis Chaque candidat est donc libre de choisir son challenge: soit deux sessions de 12 heures, soit un seul examen de
24 heures.
Titre de l’examen : Certified Penetration Tester
Les stagiaires doivent posséder une
expérience des systèmes d’exploitation Format de l’examen : examen pratique en ligne puis soumission d’un rapport de PenTest(dans les 7 jours
Windows et/ou UNIX/LINUX, ainsi que des suivant la fin de l’examen).
connaissances en réseau et TCP/IP Durée de l’examen en ligne : 1 session de 12h ou 2 sessions de 24h
La certification CEH est un pré-requis Langue: anglais
vivement recommandé
Score requis: 70% (CPENT) - 90% (LPT Master)
Résultat
Ressources
Après soumission du rapport, celui-ci est examiné et noté sous 7 jours par le comité d’examen selon une grille de
notation afin de s’assurer que tous les éléments ont été identifiés et signalés avec succès.
Support de cours officiel en anglais
Lorsque la note est supérieure à 70 %, les candidats deviennent CPENT et si la note est supérieure à 90 %, ils
Accès au cours en version numérique deviennent à la fois LPT (Master) et CPENT.
pendant un an
Cours donné en français
Exercices pratiques
1 PC par personne / Internet
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 17
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Test d’instrusion : Mise en situation d’audit
avancé
Le PenTest par la pratique (powered by MALICE )
Ce cours vous apprendra à mettre en place une véritable procédure d’audit de type PenTest ou Test
d’Intrusion sur votre S.I.
Les stagiaires seront plongés dans un cas pratique se rapprochant le plus possible d’une situation réelle
d’entreprise.
En effet, le PenTest est une intervention très technique, qui permet de déterminer le potentiel réel d’intrusion
et de destruction d’un pirate sur l’infrastructure à auditer, et de valider l’efficacité réelle de la sécurité
appliquée aux systèmes, au réseau et à la confidentialité des informations.
Vous y étudierez notamment l’organisation et les procédures propres à ce type d’audit ; ainsi qu’à utiliser vos
compétences techniques (des compétences équivalentes au cours HSA sont recommandées) et les meilleurs
outils d’analyse et d’automatisation des attaques (outils publics ou privés développés par nos équipes) pour la
réalisation de cette intervention.
Informations générales Jour 1 Jours 2, 3 & 4
Méthodologie de l’audit Une Mise en situation d’audit sera faite afin
Code : PNT d’appliquer sur un cas concret les outils
Durée : 5 jours La première journée sera utilisée pour poser les bases méthodologiques et techniques vus lors de la
méthodologiques d’un audit de type test d’intrusion. première journée.
Prix : 3350 € HT (déjeuners offerts)
L’objectif principal étant de fournir les outils L’objectif étant de mettre les stagiaires face à un
Horaires : 9h30 - 17h30 méthodologiques afin de mener à bien un test scénario se rapprochant le plus possible d’un cas réel,
Lieu : Levallois-Perret (92) d’intrusion. un réseau d’entreprise.
Les points abordés seront les suivants : Le système d’information audité comportera
Formats disponibles diverses vulnérabilités (Web, Applicatives, etc.) plus
Objectifs et types de PenTest ou moins faciles à découvrir et à exploiter. L’objectif
étant d’en trouver un maximum lors de l’audit et de
Online, Sys-Live, Hybride Qu’est-ce qu’un PenTest? fournir au client les recommandations adaptées afin
Le cycle du PenTest que ce dernier sécurise efficacement son système
Objectifs Différents types d’attaquants
d’information.
Pour ce faire, le formateur se mettra à la place d’un
Types d’audits client pour qui les stagiaires auront à auditer le
Organiser une procédure d’audit de sécurité (Boîte Noire, Boîte Blanche, Boîte Grise) système d’information. Ces derniers seront laissés
de type test de pénétration sur son SI Avantages du PenTest en autonomie et des points méthodologiques
Se mettre en situation réelle d’audit Limites du PenTest et techniques seront régulièrement faits par le
formateur afin de guider les stagiaires tout au long de
Mettre en application vos compétences Cas particuliers la mise en situation.
techniques des cours HSF/HSA dans le cadre (Dénis de service, Ingénierie sociale)
d’une intervention professionnelle Le formateur aura un rôle de guide afin de :
Apprendre à rédiger un rapport d’audit Aspect règlementaire faire profiter les stagiaires de son expérience de
professionnel terrain
Responsabilité de l’auditeur
mettre en pratique la partie théorique de la
Contraintes fréquentes première journée
Public visé Législation : articles de loi élaborer un planning
Précautions aider les stagiaires à trouver et exploiter les
Consultants en sécurité Points importants du mandat vulnérabilités présentes
Ingénieurs / Techniciens formater les découvertes faites en vue d’en faire
Exemples de méthodologies et d’outils un rapport pour le client
Administrateurs systèmes / réseaux
Préparation de l’audit
(Déroulement, Cas particuliers: habilitations, Jour 5
Pré-requis dénis de service, ingénierie sociale)
Déroulement de l’audit (Reconnaissance, Analyse Le dernier jour sera consacré au rapport. La rédaction
des vulnérabilités, Exploitation, Gain et maintien de ce dernier et les méthodes de transmission seront
Avoir suivi ou avoir le niveau du cours HSA d’accès, Comptes rendus et fin des tests) abordées.
Éléments de rédaction d’un rapport Préparation du rapport
Ressources Mise en forme des informations collectées lors
Importance du rapport de l’audit
Composition Préparation du document et application de la
Support de cours (Synthèse générale, Synthèse technique) méthodologie vue lors du premier jour
80% d’exercices pratiques Evaluation de risque
Écriture du rapport
1 PC par personne / Internet Exemples d’impacts
Environnement virtualisé Windows de Se mettre à la place du mandataire Analyse globale de la sécurité du système
démonstration (Windows 2003 …) et Linux Description des vulnérabilités trouvées
Une revue des principales techniques d’attaques et
Chaque participant a accès à une
outils utilisés sera également faite afin de préparer au Transmission du rapport
infrastructure virtualisée permettant
mieux les stagiaires à la suite de la formation.
l’émulation de systèmes d’exploitation Précautions nécessaires
modernes
Méthodologie de transmission de rapport
Le test d’intrusion s’effectue sur un SI simulé
Que faire une fois le rapport transmis ?
et mis à disposition des participants
Plateforme MALICE Cybertraining
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
18 CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com
Division Cybersécurité Hub OneTous nos cours sur sysdream.com
SÉCURITÉ OFFENSIVE - ETHICAL HACKING
Audit de site Web L’audit web par la pratique (powered by MALICE ) avancé
Ce cours vous apprendra à mettre en place une véritable procédure d’audit
de site Web. Vous serez confronté aux problématiques de la sécurité des
applications Web. Vous y étudierez le déroulement d’un audit, aussi bien
d’un côté méthodologique que d’un côté technique. Les différents aspects
d’une analyse seront mis en avant à travers plusieurs exercices pratiques.
Cette formation est destinée aux personnes qui souhaitent pouvoir
effectuer des tests techniques lors d’un audit ou d’un déploiement de sites
Web.
Vulénarabilités Web
Jour 1
Mise en place d’un solution de Proxy (Burp Suite)
Introduction Cross-site Scripting (XSS)
Informations générales
Rappel méthodologie d’audit XSS réfléchie
XSS Stockée
Boite noire
XSS Dom-Based
Code : AUDWEB Boite grise
Contournement des protections
Plan d’action
Durée : 3 jours Démonstration avec l’outil d’exploitation
Prise d’information BeEF
Prix : 2250 € HT (déjeuners Scan Contremesures
offerts) Recherche et exploitation de vulnérabilités Cross-site Request Forgery (CSRF)
Rédaction du rapport
Horaires : 9h30 - 17h30 Exploitation d’un CSRF
Reconnaissance Contremesures
Lieu : Levallois-Perret (92)
Reconnaissance passive Injection SQL
Base de données WHOIS Injection dans un SELECT
Formats disponibles Services en ligne Injection dans un INSERT
Moteurs de recherche Injection dans un UPDATE
Réseaux sociaux Injection dans un DELETE
Online, Sys-Live, Hybride Outils Technique d’exploitation - UNION
Reconnaissance active Technique d’exploitation - Injections
booléennes
Visite du site comme un utilisateur Technique d’exploitation - Injections dans les
Recherche de page d’administration
Objectifs Recherche de fichiers présents par défaut
messages d’erreurs
Technique d’exploitation - Injection par délais
robots.txt, sitemap Technique d’exploitation - Injection dans des
Détection des technologies utilisées fichiers
Comprendre et exploiter les Contremesures Exempls d’utilisation avec SQLMap
différentes vulnérabilités d’un Limiter l’exposition réseau
Contremesures
site Web Filtrer les accès aux pages d’administration et Injection de commandes
Augmenter le champ aux pages sensibles Chainage de commandes
Remplacer les messages d’erreurs verbeux
d’exploitation des vulnérabilités par des messages génériques
Options des commandes
Exploitation
pour un test d’intrusion Scan Exemples d’exploitation avec commix
Etre en mesure de réaliser un Les différents types de scanners
Contremesures
audit d’application Web Scanner de ports
Service Site Includes (SSI)
Scanner de vulnérabilité Exemples d’attaques
Scanners dédiés Contremesures
Public visé Limites des scanners Injection d’objet
Exploitation
Jour 2 Contremesures
Consultants en sécurité Vulnérabilités
Développeurs Jour 3
Vulnérabilités de conception
Ingénieurs / Techniciens Politique de mise à jour Vulnérabilités Web (suite)
Chiffrement des communications Inclusion de fichier
Politique de mot de passe Inclusion de fichers locaux (LFI)
Pré-requis Mots de passe par défaut Inclusion de fichiers distants (RFI)
Mots de passe faibles Contremesures
Stockage des mots de passe Envoi de fichiers (Upload)
Niveau cours HSA Isolation intercomptes Exploitation basique
Vérification de Content-type
Maitrise des outils Linux Accès aux données d’autres utilisateurs
Blocage des extensions dangereuses
Modification d’informations personnelles
Connaissance des langages Gestion des sessions
Contremesures
de développement Web XML External Entity (XXE)
Sessions prédictibles
Session transitant dans l’URL Les entités
Découverte de la vulnérabilité
Ressources Contremesures Exploitation de la vulnérabilité
Mise à jour des applications et des Contremesures
systèmes Service Side Template Injection (SSTI)
Chiffrement des communications
Support de cours Utilisation et stockage des mots de passe
Exemple d’utilisation de Twig
Exemple d’exploitation sur Twig
70% d’exercices pratiques Vérification des droits utilisateurs
Exemple d’exploitation sur Flask
Système de session non prédictible avec
1 PC par personne / Internet une entropie élevée
Contremesures
Plateforme MALICE Cybertraining Drapeaux des cookies Challenge Final
Mise en situation d’audit d’une application Web
CENTRE DE FORMATION AGRÉÉ N° 11 93 05949 93
CONTACT : (+33) 01 78 76 58 00 - info@sysdream.com 19
Division Cybersécurité Hub OneVous pouvez aussi lire
