HERVÉ SCHAUER CONSULTANTS CATALOGUE Sécurité des systèmes d'informa on. Sécurité Technique Sécurité Organisa onnelle.

Transcription

1 H E R V É S C H A U E R C O N S U L T A N T S CATALOGUE 2015 Sécurité des systèmes d'informa on Sécurité Technique Sécurité Organisa onnelle Forma ons HERVÉ SCHAUER CONSULTANTS

2 Les forma ons HSC Les forma ons HSC, une histoire de passion! Notre secteur d'ac vité imposant une évolu on rapide et constante des compétences et des connaissances, HSC s'est toujours évertuée à parfaire ses forma ons et à en créer de nouvelles afin que chacun puisse trouver, auprès de nous, le transfert des compétences et d'informa ons indispensables à votre évolu on professionnelle, voire personnelle. Les forma ons HSC, c'est, avant tout l'esprit de partage et de retour d'expériences par des consultants seniors. Conviviales, pragma ques et studieuses, certaines d entre elles sont dispensées en province pour votre confort. L exigence et l implica on apportées par chacun des maillons HSC nous a permis d obtenir en février 2010 la cer fica on ISO9001:2008* par Moody Interna onal (h p:// sur le périmètre des forma ons cer fiantes ISO et ISO Lead Auditor et Implementer, ISO et Ebios Risk Manager, de la forma on labellisée Correspondant Informa que et Libertés (CIL) et de l'ensemble des forma ons SANS. * Cer ficat d'enregistrement n accordé à HSC en date du 5 février De plus, l'office Professionnel de Qualifica on des organismes de Forma on (Cf h p:// a qualifié HSC le 26 octobre 2011 pour ses forma ons. Ce e qualifica on, obtenue dans le domaine "informa que" pour une durée de quatre ans, reconnaît le professionnalisme et le sérieux d'hsc en tant qu'organisme de forma on. Elle a este notamment du respect de la réglementa on, de l'adéqua on des compétences et des moyens techniques et humains mis en œuvre aux ac ons de forma on, de la sa sfac on des clients et de la pérennité financière d'hsc. Le professionnalisme d'hsc a été apprécié par l'isq-opqf au travers d'une instruc on rigoureuse conforme à la norme AFNOR NF X en quatre étapes : recevabilité du dossier, analyse au fond de la demande par un expert de la forma on professionnelle con nue appelé instructeur, émission d'un avis collégial par une commission d'instruc on et décision par le comité de qualifica on. La qualifica on OPQF vient ainsi dis nguer la qualité des forma ons HSC, elle préjuge d'une rela on de confiance client/ prestataire de forma on et elle est le gage d'une coproduc on réussie et donc efficace. Nous sommes persuadés que vous trouverez auprès des forma ons HSC l'ou l indispensable à vos besoins. N'hésitez pas à parcourir ce catalogue 2015 et à prendre connaissance des nouveautés HSC. Nous espérons vous recevoir bientôt parmi nous. A NOTER... Le suivi des forma ons HSC vous permet de déclarer des CPE (Con nuing Professional Educa on), et de maintenir, ainsi, les cer fica ons qui l'imposent telles que CISA, CISM, CGEIT de l'isaca, CISSP, SSCP d'isc²... Pour plus d'informations, contactez le service formation par téléphone au ou par courriel à formations@hsc.fr 2

3 Notre poli que qualité 3

4 Organismes de cer fica on Perme re de monter en compétences et développer celles-ci a toujours été pour HSC une priorité. Grâce au sou en de trois organismes renommés et accrédités, HSC propose aux stagiaires, à l'issue des forma ons qu'elle dispense, les cer fica ons les plus reconnues dans le monde: La cer fica on CISSP (Cer fied Informa on Systems Security Professional), accréditée ISO aux USA par l'ansi (www. ansica.org) depuis 2004, est la première cer fica on mondiale de compétences en sécurité des systèmes d'informa on, détenue par plus de professionnels dans plus de 135 pays. Elle est délivrée par (ISC)², qui édite également le recueil de sécurité CBK (Common Body of Knowledge), et a este de la connaissance de l'ensemble des sujets liés à la sécurité des systèmes d'informa on. Depuis le 1er janvier 2014, HSC est le partenaire officiel d'isc² en France. HSC est le seul à pouvoir vendre l'examen CISSP. Examen : L'examen est un QCM en français et/ou en anglais, qui se déroule dans un centre d'examen Pearson VUE (h p://www. pearsonvue.com), à la date choisie par le stagiaire. HSC est le seul, en France, habilité à vendre le coupon d'examen. pour les forma ons ISO Lead Auditor, ISO Lead Implementer, ISO Risk Manager, EBIOS Risk Manager, ISO Lead Auditor et ISO Lead Implementer. LSTI est un organisme de cer fica on spécialisé dans le domaine de la sécurité des systèmes d'informa on, et le seul organisme de cer fica on français en SSI. LSTI a été le premier organisme à proposer des cer fica ons d'entreprises à l'iso 27001, et demeure le seul à réaliser des cer fica ons RGS (Référen el Général de Sécurité). Les cer fica ons de compétences de LSTI ont été les premières au monde à obtenir l'accrédita on ISO en 2007 par le () pour les cer fica ons ISO Les cer fica ons délivrées par LSTI sont mondialement reconnues et détenues par plus de 2000 professionnels francophones. Examen : Les examens se déroulent à l'issue de la forma on dans les locaux d'hsc. Ce sont des examens de type universitaire, en français ou en anglais, corrigés manuellement par deux examinateurs (double correc on). Pour plus d'informations, contactez le service formation par téléphone au ou par courriel à formations@hsc.fr 4

5 Organismes de cer fica on pour les forma ons SANS Ins tute GIAC (Global Informa on Assurance cer fica on) a été fondé en 1999 par le SANS Ins tute pour valider les compétences des professionnels de la sécurité. Seuls les stagiaires ayant suivi des forma ons SANS peuvent tenter des cer fica ons GIAC. Certaines cer fica ons GIAC sont accréditées ISO aux USA par l'ansi. Les cer fica ons GIAC sont les cer fica ons techniques en sécurité les plus reconnues au monde, sans équivalent. Elles s'adressent à des professionnels avisés (et ne sont donc pas accessibles à tous), ce qui en fait une valeur sûre et reconnue dans les CV. Depuis janvier 2011, HSC est partenaire de SANS (Community SANS), le seul en France depuis janvier 2014 et organise tout le programme des forma ons SANS Ins tute à Paris. Les forma ons SANS se caractérisent par leur grande qualité de support de cours, leur TP et leur technicité. Examen Les examens sont des QCM en anglais et se déroulent dans un centre d'examen Pearson Vue (h p:// com/) à une date choisie par le stagiaire dans les 4 mois qui suivent la forma on. LPI (Linux Professionnal Ins tute), est l'organisme de cer fica on interna onalement reconnu dans le monde du logiciel libre. Il a été créé en 1999 pour perme re la reconnaissance professionelle dans les technologies Linux et Open Source et personnes dans le monde dé ennent une cer fica on LPI. Ces cer fica ons sont indépendantes des éditeurs et des distribu ons. Depuis septembre 2013, HSC est partenaire de la société Linagora, distributeur exclusif des cer fica ons LPI en Ilede-France, et propose la forma on Expert Sécurité Linux perme ant d'a eindre le niveau LPIC-3, le plus élevé de la cer fica on LPI. Examen L'examen est un QCM en anglais, qui se déroule soit chez Linagora, soit dans un centre d'examen Pearson VUE, à la date choisie par le stagiaire. 5

6 Classement des forma ons HSC par mé er Classement des forma ons HSC par mé er Mon métier Informaticien / Administrateur systèmes et réseaux Consultant en sécurité réalisant des audits techniques ou des tests d intrusion Formations adaptées Fondamentaux et principes de la SSI - SEC 401 (page 10) Sécurité Wi-Fi (page 11) Sécurité de la voix sur IP (page 12) Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 (page 15) Sécuriser un serveur Linux - LPI 303 (page 16) Principe et mise en oeuvre des PKI (page 37) Sécurité du Cloud Computing (page 39) Essentiel ISO 27001:2013 (page 41) Gestion des mesures de sécurité et norme ISO (page 42) Fondamentaux et principes de la SSI - SEC 401 (page 10) Formation CISSP (page 34) Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 (page 15) Expert Sécurité Linux - LPI 303 (page 16) Sécurité Wi-Fi (page 11) Investigations Inforensiques Windows - FOR 408 (page 17) Analyse Inforensique avancée et réponse aux incidents - FOR 508 (page 18) Rétroingénierie de logiciels malfaisants - FOR 610 (page 21) Techniques de hacking, exploitation failles gestion des incidents - SEC 504 (p 22) Tests d intrusion des applications web et hacking éthique - SEC 542 (page 23) Tests d intrusion et hacking éthique - SEC 560 (page 25) Tests d intrusion avancés des applications web et hacking éthique - SEC 642 (p24) Tests d intrusion avancés, exploitation de failles hacking éthique - SEC 660 (p26) Sécurité SCADA (page 13) ISO Lead Auditor (page 46) Développeur Chef de projet Essentiels techniques de la SSI (page 9) techniques de la SSI Fondamentaux et principes de la SSI - SEC 401 (page 10) Tests d intrusion des applications web et hacking éthique - SEC 542 (page 23) Protéger les applications web - DEV 522 (page 28) Formation sur-mesure au développement en toute sécurité (page 27) Principe et mise en oeuvre des PKI (page 37) Inngénieur sécurité dans un CSIRT (Computer Security Incident Response Team) ou SOC (Security Operation Center) Essentiels techniques de la SSI (page 9) Fondamentaux et principes de la SSI - SEC 401 (page 10) Techniques de hacking, exploitation failles gestion des incidents - SEC 504 (p 22) Gestion des incidents de sécurité / Norme ISO (page 44) Gestion de crise IT/SSI (page 45) Investigations Inforensiques Windows - FOR 408 (page 17) Analyse Inforensique avancée et réponse aux incidents - FOR 508 (page 18) Analyse et investigation numérique avancées dans les réseaux - FOR 572 (p 19) Rétroingénierie de logiciels malfaisants - FOR 610 (page 21) Investigation numérique avancée sur téléphones portables - FOR 585 (page 20) ISO Lead Implementer (page 47) Pour plus d'informations, contactez le service formation par téléphone au ou par courriel à formations@hsc.fr 6

7 Classement des forma ons HSC par mé er Mon métier RSSI RPCA ou Consultant accompagnant un RPCA dans ses missions Consultant accompagnant un RSSI dans ses missions Formations adaptées Formation RSSI (page 35) Essentiels juridiques pour gérer la SSI (page 30) Principes et mise en oeuvre des PKI (page 37) Sécurité du Cloud Computing (page 39) Essentiel (page 51) Essentiel ISO 27001:2013 (page 41) Indicateurs et tableaux de bord de la SSI / ISO (page 43) Gestion des mesures de sécurité et norme ISO (page 42) Gestion des incidents de sécurité / ISO (page 44) Gestion de crise IT / SSI (page 45) ISO Lead Auditor / ISO Lead Implementer (p46-47) ISO Risk Manager (page 48) Essentiels techniques de la SSI (page 9) Fondamentaux et principes de la SSI - SEC 401 (page 10) Principes et mise en oeuvre des PKI (page 37) ISO Lead Auditor (page 52) ISO Lead Implementer (page 53) Essentiel ISO (page 51) ISO Lead Auditor (page 52) ISO Lead Implementer (page 53) Gestion de crise IT / SSI (page 45) Formation CISSP (page 34) Principes et mise en oeuvre des PKI (page 37) Sécurité du Cloud Computing (page 39) Essentiel ISO 27001:2013 (page 41) Indicateurs et tableaux de bord de la SSI / ISO (p 43) Gestion des mesures de sécurité et norme ISO (p42) Gestion des incidents de sécurité / ISO (page 44) Gestion de crise IT / SSI (page 45) Fondamentaux ISO Lead Auditor / ISO Lead Implementer (p 46-47) techniques de la SSI ISO Risk Manager (page 48) Gestion des Risques Avancée (page 49) Ebios Risk Manager (page 50) Classement des forma ons HSC par mé er Correspondant Informatique et Libertés (CIL) Auditeur Essentiels informatique & Libertés (page 31) Essentiels juridiques pour gérer la SSI (page 30) Correspondant Informatique et Libertés (CIL) (page 32) Essentiels techniques de la SSI (page 9) Formation CISSP (page 34) Essentiel RGS v2 (Référentiel Général de Sécurité) (page 38) Essentiel PCI DSS 3.0 (page 36) Sécurité du Cloud Computing (page 39) Essentiel ISO 27001:2013 (page 41) Indicateurs et tableaux de bord de la SSI / ISO (page 43) Gestion des mesures de sécurité et norme ISO (page 42) ISO Lead Auditor (page 46) ISO Lead Auditor (page 52) Essentiels techniques de la SSI (page 9) Fondamentaux et principes de la SSI - SEC 401 (page 10) Sécurité SCADA (page 13) Investigations Inforensiques Windows - FOR 408 (page 17) Analyse inforensique avancée et réponses aux incidents - FOR 508 (p 18) 7

8 Sommaire Sécurité Technique 8 SÉCURITÉ DES RÉSEAUX ET DES INFRASTRUCTURES Essen els techniques de la SSI 9 Fondamentaux et principes de la SSI - SEC Sécurité Wi-Fi 11 Sécurité de la Voix sur IP 12 Sécurité SCADA 13 DNSSEC 14 SÉCURITÉ DES SYSTÈMES Sécuriser Windows et résister aux logiciels malfaisants - SEC Expert Sécurité Linux - LPI INFORENSIQUE Inves ga ons Inforensiques Windows - FOR Analyse inforensique avancée et réponse aux incidents - FOR Analyse et inves ga on numérique avancées dans les réseaux - FOR Inves ga on numérique avancée sur téléphones portables - FOR Rétroingénierie de logiciels malfaisants : Ou l et techniques d'analyse - FOR TESTS D'INTRUSION Techniques de hacking, exploita on de failles et ges on des incidents - SEC Tests d'intrusion des applica ons web et hacking éthique - SEC Tests d'intrusion avancés des applica ons web et hacking éthique - SEC Tests d'intrusion et hacking éthique - SEC Tests d'intrusion avancés, exploita on de failles et hacking éthique - SEC SÉCURITÉ DANS LES DÉVELOPPEMENTS Forma on des développeurs à la sécurité 27 Protéger les applica ons web - DEV Programma on sécurisée en PHP 29 Sécurité Organisa onnelle 27 SÉCURITÉ ET JURIDIQUE Essen els juridiques pour gérer la SSI 30 Essen el Informa que et Libertés 31 Correspondant Informa que et Libertés (CIL) 32 MANAGEMENT DE LA SÉCURITÉ Sensibilisa on à la SSI 33 Forma on au CISSP 34 Forma on RSSI 35 Essen el de PCI DSS Principes et mise en oeuvre des PKI 37 Essen el du RGS v2 38 Sécurité du Cloud Compu ng 39 MANAGEMENT DE LA SÉCURITÉ AVEC LES NORMES ISO 2700X Présenta on des forma ons ISO 2700x 40 Essen el ISO 27001: Ges on des mesures de sécurité et norme ISO Indicateurs et tableaux de bord SSI / ISO Ges on des incidents de sécurité / ISO Ges on de crise IT / SSI 45 ISO Lead Auditor 46 ISO Lead Implementer 47 ISO Risk Manager 48 Ges on des Risques Avancée 49 EBIOS Risk Manager 50 MANAGEMENT DE LA CONTINUITÉ D'ACTIVIÉ AVEC LES NORMES ISO 2230X Essen el ISO ISO Lead Auditor 52 ISO Implementer 53 INFORMATIONS PRATIQUES 8 Calendrier des forma ons Le saviez-vous? 57 Modalités d'inscrip on / Bulle n de pré-inscrip on Condi ons générales de vente 60

9 Sécurité Technique Essen els techniques de la SSI Forma on théorique à la Sécurité des Systèmes d Informa on, ce cours apportera au personnel technique et aux chefs de projets une approche d'un système d'informa on sous l'angle des a aquants et donnera les bonnes pra ques pour sécuriser et maintenir un niveau de sécurité correct dans vos systèmes d informa on. Connaître les principales a aques et les contre-mesures adéquates est devenu primordial pour toute entreprise u lisant l'informa que et les réseaux comme support de travail. VOUS ALLEZ APPRENDRE À Iden fier les points faibles des systèmes d'informa on Définir les règles de sécurité fondamentales pour sécuriser un périmètre Comprendre la portée des a aques informa ques Personnel ayant besoin d'engranger de nouvelles connaissances en sécurité Administrateurs systèmes ou réseaux Une connaissance informa que de base ainsi que des bases en réseaux TCP/IP. : Cours magistral Démonstra ons Supports au format papier en français Forma on non cer fiante. Durée : 2 jours / 14 heures JOUR 1 Introduc on Contexte, Objec fs, Enjeux Risques et impacts mé er Fuite d'informa on A einte à l'image Risques juridiquesr Typologie des a aques Sources de menace Cybercriminalité Espionnage Rappels techniques Protocoles réseau (IP, TCP, UDP, ICMP, IPsec) Protocoles lien (Ethernet, ARP, 802.x, LAN, VPN, MPLS) Exemple de protocole applica f : HTTP JOUR 2 Sécurité des réseaux et firewalls (grands principes) Cloisonnement et filtrage IP, Relayage applica f, architecture sécurisée - Objec fs, enjeux et principes - Equipements et limites Architecture sécurisée - DMZ : les bonnes pra ques - Equipements et limites Sécurité des applica ons Web A aques classiques et retour d'expérience HSC - Fonc onnement des a aques Web classiques (injec ons SQL, XSS) A aques spécifiques : - Sécurité du navigateur (vulnérabilités Flash, Adobe, Ac vex) Sécurisa on Ges on des droits et des accès Stockage des mots de passe - Exemple HSC d'a aque réussie Fédéra on des iden tés (SSO) Bonnes pra ques de développement Veille en vulnérabilité Ges on des vulnérabilités techniques Critères de choix d une solu on de sécurité Panorama du marché et vocabulaire du marke ng Comprendre et u liser un rapport de test intrusif ou d'audit technique de sécurité Audits de sécurité et conformité La ges on de la sécurité dans le temps Ges on des ers (fournisseurs de service, prestataires, clients et partenaires) Conclusion Essen els techniques de la SSI Plan de forma on validé en collabora on avec l'anssi ESSENTIELS TECHNIQUES DE LA SSI 2 au 3 avril 2015 Paris 24 au 25 septembre 2015 Paris 9

10 Fondamentaux et principes de la SSI - SEC 401 Sécurité Technique Fondamentaux et principes de la SSI - SEC 401 Forma on ini ale à la Sécurité des Systèmes d Informa on, la SANS SEC 401 perme ra d apporter au personnel technique les connaissances nécessaires à l implémenta on et au main en de la Sécurité dans vos systèmes d informa on. Savoir implémenter les bonnes mesures de sécurité est devenu pour tout ingénieur ou administrateur système ou réseau un enjeu primordial perme ant d assurer la sécurité de tout SI. VOUS ALLEZ APPRENDRE À Maîtriser le vocabulaire et la théorie de la sécurité de l informa on Elaborer la sécurité des réseaux informa ques Capitaliser sur le concept de défense en profondeur Maîtriser la sécurité des systèmes d exploita on et des applica ons U liser les mesures de sécurité organisa onnelles Personnel technique souhaitant se reconver r dans la sécurité des systèmes d informa on Administrateurs systèmes ou réseaux Consultants en Système d Informa on Une réelle connaissance informa que est nécessaire. : Cours magistral Travaux pra ques Ordinateurs portables mis à disposi on du stagiaire Supports intégralement en anglais provenant du SANS Ins tute Ce e forma on prépare à l'examen de cer fica on GIAC Security Essen als (GSEC). Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe dans un centre agréé GIAC. Durée : 5,5 jours / 43 heures Principes de base de réseaux Types (LAN WAN MAN) et topologies de réseaux Protocoles du réseaux local et WAN (d'ethernet au MPLS) Equipements réseaux Bases de IP Formats de paquets et d'adresses Protocoles, ports et services IP,TCP,UDP,ICMP Résolu on de noms avec le DNS Fonc onnement de IP Acquisi on de paquets avec TCPDump Analyse de paquets de différents protocoles Virtualisa on Usages, Mise en oeuvre, Sécurisa on Principes de bases de la SSI Défense en profondeur et sa mise en oeuvre La triade Confiden alité, Intégrité, Disponibilité - Typologie de menaces - Modélisa on du risque - Stratégies de mise en oeuvre de la sécurité Authen fica on et autorisa on Ges on des Vulnerabilités Poli ques de sécurité informa que Principe, Structure et organisa on des poli ques, rôles et responsabilités Ges on de la con nuité d'ac vité Plan de Con nuité d'ac vité (PCA) Plan de Reprise d'ac vite (PRA) Analyse des impacts mé ers- "Business impact analysis" Ges on du contrôle d'accès Classifica on de l'informa on Authen fica on, autorisa on et traçabilité (AAA) Modèles MAC and DAC Ges on des mots de passe Cassage de mot de passe Windows et Unix Authen fica on forte (Tokens, biométrie) Single Sign On et RADIUS Ges on des incidents de sécurité Prépara on, iden fica on et confinement Eradica on, recouvrement et retour d'expérience Techniques d'enquête et criminalis- que informa que Aspects légaux Guerre de l'informa on offensive et défensive Sécurité Web Formats et protocoles Sécurisa on du web A aque et défense des applica ons web Méthodes d'a aques Comment l'adversaire pénètre les réseaux Exemple au travers de l'a aque Mitnick sur Shimomura Pare-feu et périmètres Typologies, avantages et inconvénients Posi onnement de pare-feu Pots de miel Inforensique et pots de miel Typologie: honeypots, honeynet, honeytokens Détec on d'intrusion au niveau de l'hôte Détec on d'intrusion Préven on de l'intrusion Tripwire et HIDS, HIPS Avantages et inconvénients Détec on d'intrusion au niveau du réseau Stratégie de mise en oeuvre Snort et NIDS, NIPS Evolu ons, Avantages et inconvénients Audit et apprécia on des risques Méthode d'apprécia on du risque Approches de ges on du risque Calcul du risque, SLE, ALE Cryptographie Besoin et usages Types de mécanismes cryptographiques (symétrique/asymétrique, condensats, signature) Cryptosystèmes dans la réalité A aques sur la cryptographie VPNs et accès distants Infrastructure de Ges on de Clés publiques(pki), cer ficats X509 et séquestre Stéganographie: déclinaisons, applica ons, détec on Réseaux sans fil Protocoles et typologies communs Idées fausses et problèmes de sécurité Sécuriser les réseaux sans fil Voix sur IP (VoIP) Usage et fonc onnement Avantages, défauts et limita ons Stratégies de déploiment Sécurisa on de la VoIP Sécurité opéra onelle Exigences légales et organisa onnelles Besoin d'en connaître Opéra ons privilégiées Procédures opéra onelles Infrastructure de sécurité Windows Types et ges on des comptes systèmes Ac ve Directory: principes, architecture, groupes, u lisateurs et domaines Kerberos, NTLMv2, cartes à puce Architecture d'ad Service packs et main en en version Sauvegarde et restaura on Ges on des drivers - Permissions et droits: NTFS, partages Chiffrement de disque avec BitLocker Ges on de la sécurité Windows Poli ques de sécurités et modèles (GPO et template) Poli ques de ges on de mots de passe et d'accès et de restric on logicielles Sécurisa on des services réseau - Pare-feu, IPSec et VPNs Remote desktop protocol (RDP) Audi ng and Automa sa on de la sécurité Windows Ou llage: Microso baseline security analyzer, SECEDIT Ges onnaire d'evenement Windows et Journaux IIS Audit NTFS et base de registre Créa on de "baseline" Scrip ng et programma on de tâches Environnement Linux et UNIX Ges on des processus Informa on de configura on réseau Par onnement, Arborescence de fichiers et installa on Ges on des u lisateurs: permissions, UID/ GID, déléga on Ges on des mots de passe: paramétrage des mécanismes, PAM Ges on de la sécurité Linux Ges on des services et de leur configura on Propriétaires et accès sur le systeme de fichier et les périphériques de stockage - Maintenance, supervision et audit Voies communes de compromission Main en en version, sauvegarde Journaux: paramétrage et collecte Ou ls communs de sécurité sous Linux Surveillance de l'intégrité de fichiers CIS hardening guides Bas lle linux FONDAMENTAUX ET PRINCIPES DE LA SSI SEC au 18 avril 2015 Paris 26 au 31 octobre 2015 Paris 10

11 Sécurité Technique Sécurité Wi-Fi Aujourd hui, les réseaux Wi-Fi sont devenus omniprésents dans le paysage réseau. Les entreprises ont dû s'adapter et me re en place ces technologies pour perme re plus de souplesse aux u lisateurs ou pour étendre le réseau local ; souplesse qui souvent affaiblit la sécurité globale de l'entreprise. Apprenez à connaître ces technologies pour mieux sécuriser vos infrastructures. VOUS ALLEZ APPRENDRE Les différents éléments composant la technologie Wi-Fi Les solu ons de sécurité et leurs faiblesses Les a aques ciblant le Wi-Fi - Les a aques contre le protocole - L'usurpa on d'iden té ou Wi-Phishing - Le cassage de clés WEP et WPA-PSK Le fonc onnement des protocoles d'authen fica on forte Les différentes solu ons de cryptographie disponibles et leurs limites Comment me re en place une solu on Wi-Fi sécurisée d'entreprise Responsable sécurité Responsable informa que Administrateurs réseaux et telecoms Chefs de projet La connaissance préalable des réseaux et des protocoles TCP/IP est nécessaire. : Cours magistral avec exemples pra ques Travaux pra que finaux d'une demi -journée perme ant la mise en œuvre d une architecture sécurisée Supports au format papier en français Forma on non cer fiante. Généralités sur les réseaux sans fils Technologies Normes Matériel (composants) Probléma ques liées à la sécurité - Propriétés du média - Déni de service Principes Canaux et fréquences Éléments d architecture Services Trames Caractéris ques de la technologie Physique Antenne et environnement Portée des réseaux sans-fil Posi onnement dans l architecture A aques sur la technologie Wi-Fi Généralités A aque sur le Brouillage - Exemple de brouillage Usurpa on de borne Inonda on de messages Wi-Fishing Audit et ou ls Scanners (ac fs / passifs) Cas pra que d'u lisa on basique Aircrack Cas pra que d'u lisa on basique Matériel (antenne, sta on, etc.) WEP Principe Faiblesses et vulnérabilités A aques Cas pra que : cassage de clé WEP 802.1X Introduc on Principe Chiffrement Authen fica on Radius EAP, TLS, PEAP, etc. WPA/WPA2 Principe Différentes normes et configura ons Faiblesses A aques personnel (PSK), a aques TKIP Ges on des réseaux Wi-Fi Gérer ses réseaux Wi-Fi - Acteurs et rôles La sécurité intrinsèque des bornes Architecturer correctement ses réseaux Wi-Fi Authen fier les u lisateurs de WLAN Mise en place d une architecture Wi-Fi sécurisée Probléma ques Exemples d'architectures Préconisa ons - PEAP/MSCHAPv2 - EAP/TLS - Cloisonnement - Configura on des postes clients - Configura on centralisée des équipements Cas pra que final Sécurité Wi-Fi Durée : 2 jours / 14 heures Cas pra que : cassage WPA/WPA2 Plan de forma on validé en collabora on avec l'anssi SÉCURITÉ WI FI 9 au 10 novembre 2015 Paris 11

12 Sécurité Technique Sécurité de la voix sur IP Sécurité de la voix sur IP Basé sur le retour d'expérience des consultants acquis lors d'audits et de tests d'intrusion sur des platesformes de VoIP, le cours Sécurité de la voix sur IP d'hsc présente, de façon détaillée, les points importants à connaître pour gérer la sécurité de la VoIP. VOUS ALLEZ APPRENDRE Les principaux protocoles u lisés dans la VoIP et leurs usages dans le domaine de la sécurité Les bonnes pra ques en vigueur afin d implémenter des architectures sécurisées Les pra ques d a aques VoIP et les mesures pour s en protéger Responsables informa ques Responsables sécurité Responsables réseaux Chefs de projet technique Administrateurs réseaux La connaissance préalable des réseaux et des protocoles TCP/IP sont nécessaires. : Cours magistral avec exemples pra ques Supports au format papier en français Forma on non cer fiante. Introduc on Présenta on de la VoIP Principaux équipemen ers (Alcatel, Cisco, Asterisk) Solu ons So phone (Skype, etc.) Codage / Qualité de la voix Protocoles courants dans la VoIP (H.323, SIP, MGCP, Megaco/H.248, RTP) Usages Architecture Filtrage Mécanismes de sécurité Extensions de sécurité Protocoles media transport (RTP, RTCP, RTSP, etc.) U lisa on de wireshark Risques spécifiques à la VoIP Risques introduits par la VoIP Intercep on d'appels Dénis de service Fraudes Exfiltra on de données Introduc on de logiciels malfaisants Exemples de vulnérabilités découvertes Sécurisa on de la VoIP/ToIP Architectures sécurisées Chiffrement dans la VoIP QoS Sécurité des équipements de voix Sécurité des terminaux Tests d'intrusion des infrastructures VoIP/ToIP Durée : 1 jour / 7 heures Plan de forma on validé en collabora on avec l'anssi SÉCURITÉ DE LA VOIX SUR IP Sur demande en intra-entreprise 12

13 Sécurité Technique Sécurité SCADA SCADA, DCS et d autres réseaux de contrôle de processus propre au monde industrie contrôlent les infrastructures vitales de la société, depuis les réseaux électriques au traitement de l eau, de l industrie chimique au transport ; ils sont présents partout. Avec la généralisa on des interconnexions de réseaux, entre réseaux industriels et bureau que, les télémaintenances et l u lisa on d internet et avec la migra on de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses. VOUS ALLEZ APPRENDRE À Connaître le mé er et les probléma ques Savoir dialoguer avec les automa ciens Connaître et comprendre les normes propres au monde industriel Auditer vos systèmes SCADA Développer une poli que de cyber-sécurité Responsables sécurité, sûreté, cyber sécurité, sécurité industrielles Responsables informa que ou sécurité souhaitant étendre leur compétences aux systèmes SCADA Consultants et auditeurs en sécurité Une bonne connaissance générale en informa que et en sécurité des systèmes d informa on (ex : une cer fica on GIAC GSEC Security Essen als Cer fica on ou (ISC²) CISSP est nécessaire : Cours magistral avec exemples pra ques. Supports au format papier en français Forma on non cer fiante. Durée : 3 jours / 21 heures Automates PLC / télétransme eurs RTU / Automates de sécurité SIS Services couramment présents Vulnérabilités rencontrées Protocoles courants - Modbus : Faiblesses du protocole - DNPS : Authen fica on / chiffrement - etc... Déni de service / robustesse des automates IHM (Interfaces Homme-Machine) Vulnérabilités rencontrées Systèmes d'exploita on Windows Vulnérabilités courantes Présenta on d'opc Accès distants RTC VPN boî ers de télétransmission sans-fil (Wi-Fi, liaisons radio) Problèmes des automates et IHM exposés sur Internet (exemples avec Shodan et Eripp) Démonstra ons pra ques avec simulateur Hynesim et automates Schneider et Siemens Simula on d'un réseau SCADA avec des simulateurs Maître/Esclave Modbus/TCP (Modsak) Compréhension des vunérabilités du protocole Modbus/TCP et u lisa on de Wireshark Injec on de paquets contrefaits sur Modbus/TCP Simula on des relais de protec on Smart Grid et compréhension du protocole DNP3 Rebond d'un réseau d'entreprise vers un réseau industriel Détec on de tenta ves d'a aques avec des signatures IDS SNORT et CheckPoint GAiA Démonstra on de SCADAVirt (a aque via BTR3+Metasploit) Référen els sur la sécurité des systèmes d'informa on industriels Introduc onl Détec on de tenta ves d'a aques avec des signatures IDS SNORT et CheckPoint GAiA - Secteurs d'ac vité cibles, typologie, popula on cible, incontournables Guide ANSSI : Maîtriser la SSI pour les systèmes industriels Guide ANSSI : Méthode de classifica on et mesures Normes IEC (ISA 99) - IEC IEC Autres référen els - NIST SP800-82, NERC CIP, ISO 27019, etc Exemples de compromissions et d'incidents publics Incidents non ciblés A aques ciblées (de l'amateur à Stuxnet) Au delà du système industriel (Aramco...) Exemples d'audits & tests d'intrusion effectués lors des missions HSC Mesures de sécurité Architecture, Filtrage IP, Journalisa on Incidents non ciblés Sécurité organisa onnelle du réseau industriel : exercices pra ques Architecture SCADA - Détermina on des zones et conduites - Points sensibles - Sécurisa on d'architecture Détermina on des niveaux de classifica on ANSSI - Analyse basée sur le guide ANSSI rela f aux réseaux industriels Exercices techniques Analyse de traces réseaux (pour débuter) Comprendre les vulnérabilités du protocole Modbus/TCP Forger des a aques ModBus Explora on des limites du cloisonnement SÉCURITÉ SCADA 27 au 29 mai 2015 Paris 16 au 18 novembre 2015 Paris Sécurité SCADA 13

14 Sécurité Technique DNSSEC DNSSEC Le DNS est indispensable au bon fonc onnement d'intérêt et de tout réseau privé. S'il s'agit d'un des plus anciens protocoles, c'est aussi l'un des plus sensibles et des plus méconnus, dont la sécurité n'a été étudiée que tardivement. DNSSEC tente de remédier à certaines faiblesses de DNS, mais les contraintes et les nouveaux risques liés à la DNSSEC sont réels et ne par cipent pas à son déploiement rapide. Afin de maîtriser les risques et difficultés techniques du protocole DNS, afin d'évaluer l'u lité réelle de DNSSEC pour la sécurité, il convient de maîtriser le fonc onnement de DNS et DNSSEC, par la théorie comme la pra que. VOUS ALLEZ APPRENDRE Les connaissances techniques du protocole DNS et de l extension DNSSEC Configurer en pra que une installa on d un resolver (Unbound) validant les réponses avec DNSSEC Configurer une installa on DNSSEC avec OpenDNSSEC pour gérer les clefs et BIND pour servir les zones signées Eviter les pièges du DNS Déterminer l intérêt réel d un déploiement de DNSSEC dans votre environnement Administrateurs systèmes et réseaux Responsable d exploita on Architecte Des connaissances préalables en administra on système et des protocoles réseaux TCP/IP sont nécessaires. : Cours magistral Travaux pra ques Supports au format papier en français Ordinateurs portables mis à disposi on du stagiaire Forma on non cer fiante. Durée : 2 jours / 14 heures DNS : spécifica ons et principes Vocabulaire - arbres, zones... - resolver, cache, authorita ve, fowarder... Organisa on - TLD, autres domaines, déléga ons... Protocole - RRSet, entêtes, couche de transport et EDNS - Problèmes liés aux pare-feux Les enregistrements (RR) - A, AAAA, PTR, SOA, NS, MX... Fonc onnement interne - récursion et itéra on, fonc onnement de la résolu on,... Logiciels Les couches logicielles - "stub resolver", résolveur, rôle de l'application... - Alterna ves à BIND Ou ls sur le DNS - zonecheck, dig, delv... Sécurité du DNS Les risques : modifica on non autorisée des données, piratage des serveurs, a aque via le routage ou autre "IP spoofing", emmpoisonnement de cache... Ce qu'a apporté l'a aque Kaminsky. Cryptographie Pe t rappel cryptographie asymétrique, longueur des clés, sécurité de la clé privée... DNSSEC Clés : l'enregistrement DNSKEY. Méta-données des clés. Algorithmes et longueurs des clés. Signature des enregistrements : l'enregistrement RRSIG. Méta-données des signatures. Déléga on sécurisée : l'enregistrement DS Preuve de non-existence : les enregistrements NSEC et NSEC3 DNSSEC en pra que Objec fs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC. Protocole - bit DO et couche de transport (EDNS) - Problèmes liés aux pare-feux Créer une zone signée à la main -"dnssec-keygen, -signzone, named-checkzone/conf Configurer le résolveur Unbound pour valider Vérifier avec dig et delv Déboguage Déléga on d'une zone. Tests avec dnsviz Renouvellement de clés Créer une zone signée avec DNSSEC Retour d'expérience Zone racine Domaines de premier niveau (.fr,.se,.org,...) Zones ordinaires signées Stockage des clés. Les HSM. Problèmes opéra onnels (re-signature, supervision) Conclusion En partenariat avec l' Plan de forma on validé en collabora on avec l'anssi DNSSEC 11 au 12 juin 2015 Paris 12 au 13 novembre 2015 Paris 14

15 Sécurité Technique Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 Par e intégrante des réseaux d entreprise, les systèmes Windows sont souvent u lisés à tous les niveaux d une architecture. Sécuriser et administrer efficacement Windows est indispensable et incontournable afin de réduire les risques d incident de sécurité sur des éléments clefs de l architecture. Basé sur le retour d'expérience de toute une communauté interna onale d'experts en sécurité, ce cours SANS présente les points importants à connaître. VOUS ALLEZ APPRENDRE À Sécuriser un parc de système Windows Sécuriser les communica ons Garan r la confiden alité Sécuriser le serveur Web IIS Administrer avec PowerShell Administrateurs Windows Expert en sécurité Architecte sécurité Windows Responsables sécurité Avoir au minimum deux ans d expérience en administra on Windows ou Avoir suivi la forma on SANS SEC 401 (Fondamentaux et principes de la SSI) Cours magistral, avec de nombreuses démonstra ons pouvant être reproduites immédiatement Forma on dispensée en françaismateriel Ordinateurs portables mis à disposi on du stagiaire Supports intégralement en anglais provenant du SANS Ins tute. Ce e forma on prépare à l'examen de cer fica on GIAC Cer fied Windows Security Administrator (GCWN) perme ant de valider les compétences du stagiaire en sécurité des systèmes Windows. Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe dans un centre agréé GIAC. Système d'exploita on Windows et renforcement applica f Au-delà de l'analyse an virus Renforcement du système d'exploita on avec les patrons de sécurité Renforcement (global) avec les Objets de Stratégie de Groupe Forcer les contrôles de sécurité applica fs (pour les applica ons) Cibles recherchées & Conten on d'une compromission (d'un compte) administra f Compromission administra ve (de droits administra fs) Ac ve Directory : Permissions & Déléga ons Mise à jour de logiciels vulnérables IGC Windows, Bitlocker et Secure Boot Pourquoi avoir une IGC Comment installer une IGC Windows Comment gérer votre IGC Déployer des cartes à puce Chiffrement de disque Bitlocker IPSec, Pare-feux Windows et réseaux sans-fil Pourquoi IPSec? Créer des poli ques IPSec Pare-feu Windows Sécuriser des réseaux sans fils RADIUS pour Ethernet et les réseaux sans fil Durcissement des serveurs et contrôle d'accès dynamique Protocoles dangereux Durcissement des serveurs Probléma ques des serveurs exposés sur internet Contrôle d'accès dynamique (DAC) Écriture de scripts PowerShell Généralités sécurité Familiarisa on avec PowerShell Exemples de commande Ecrire vos propres scripts Windows Management Instrumenta on (WMI). Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 Durée : 5 jours / 40 heures SÉCURISER WINDOWS ET RÉSISTER AUX LOGICIELS MALFAISANTS SEC au 18 décembre

16 Expert Sécurité Linux - LPI 303 Sécurité Technique Expert Sécurité Linux - LPI 303 Sécuriser un serveur Linux passe par la réponse aux probléma ques de sécurité classiques : authen fica on, accès au système de fichier, de la mémoire, des applica ons et compréhension des méthodes d a aque. La ges on de la sécurité Unix s appuyant sur la maîtrise d ou ls libres, la forma on LPI 303 met en situa on le stagiaire avec de nombreux exercices pra ques. VOUS ALLEZ APPRENDRE À Gérer en profondeur les problèmes de sécurité liés aux systèmes Linux Réduire ou éliminer les risques sur les systèmes de type Linux Configurer les services courants pour qu ils soient robustes avant leur mise en produc on (Apache, BIND, ) S assurer de l intégrité des données sur les serveurs Linux Maîtriser les ou ls perme ant de répondre aux incidents de sécurité Professionnels de la sécurité Administrateurs systèmes expérimentés Auditeurs et ges onnaires d incidents Avoir les bases en administra on de systèmes Unix (3 à 5 ans d expérience) Ou avoir la cer fica on LPIC-2 Cours magistral avec manipula ons et exercices pra ques Forma on dispensée en françaismateriel Cryptographie OpenSSL U lisa on avancée de GPG Systèmes de fichiers chiffrés Contrôle d'accès Contrôle d'accès selon l'hôte A ributs étendus et ACL SELinux Autres systèmes de contrôle d'accès obligatoire Sécurité applica ve BIND/DNS Services de courrier électronique Apache/HTTP/HTTPS FTP OpenSSH NFSv4 Syslog Opéra ons de sécurité Ges on de configura on Sécurité réseau Détec on d'intrusion Balayage pour la sécurité réseau Supervision réseau ne ilter/iptables OpenVPN Ordinateurs mis à disposi on du stagiaire Supports en français. Ce e forma on prépare à l'examen de cer fica on n 303 "LPI- Security" perme ant de valider les compétences du stagiaire en sécurité Linux. Ce e cer fica on "LPI-Security" permet d'obtenir la cer fica on "LPIC-3", le niveau le plus élevé de cer fica on Linux. Pour avoir la cer fica on "LPIC-3", il faut : soit avoir le niveau "LPIC-2" et réussir l'examen n 303 "LPI- Security", soit avoir réussi les examens 101, 102, 201, 202 et 303. Il n'y a pas d'ordre de passage donc vous pouvez passer ces examens après votre examen 303 "LPI-Security". L'examen se passe soit chez Linagora à l'issue de la forma on, soit dans un centre d'examen Pearson VUE a la date de votre choix. En partenariat avec LINAGORA Durée : 5 jours / 35 heures EXPERT SÉCURITÉ LINUX LPI au 27 novembre 2015 Paris 16

17 Sécurité Technique Inves ga ons Inforensiques Windows - FOR 408 L inves ga on inforensique permet de collecter et d analyser des éléments ayant valeur de preuve en vue d une procédure judiciaire. L objec f principal est donc la récupéra on et l analyse de données prouvant un délit numérique. VOUS ALLEZ APPRENDRE À Mener à bien des études inforensiques de systèmes Windows (de XP à 8.1)" Collecter et analyser l informa on se trouvant sur les systèmes informa ques pour retrouver les traces des ac vités d u lisateurs Réaliser des acquisi ons de média et analyses de données U liser les ou ls inforensiques Professionnels de l IT Tout membre d une équipe de réponse à un incident de sécurité Membres d agences gouvernementales ou détec ves Responsables de la Sécurité des Systèmes d Informa on Avocats et techniciens juridiques Avoir des bases en informa que Être intéressé par le sujet Cours magistral Travaux pra ques Forma on dispensée en françaismateriel Ordinateurs portables mis à disposi on du stagiaire Kit «SANS Inves ga ve Forensic Toolkit» (SIFT) version Windows et licence Windows 8 pour chaque stagiaire Bloqueur en écriture Wiebetech Ultradock v5 avec connec que (IDA, SATA, Firewire, USB 3.0) Clef USB de 64Go avec les données des exercices Des licences d'essai pour AccessData FTK, Internet Evidence Finder, NUIX et les ou ls TZWorks Supports intégralement en anglais provenant du SANS Ins tute. Ce e forma on prépare à l'examen de cer fica on GIAC Cer fied Forensic Examiner (GCFE). Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe dans un centre agréé GIAC. 1. Inforensique Windows et triage avancé des données Objec f et principes de l'inforensique Acquisi on des données - Mémoire vive - Disque dur, image disque personnalisée - Fichiers protégés Iden fica on des disques chiffrés L'inforensique et les SSD Montage et analyse d'images disques Bases des systèmes de fichiers FAT et NTFS Recherche de mots clefs et acquisi- on de fichiers supprimés Documents et méta-données 2. Inforensique Windows - Première par e - Analyse de la base de registre et des disposi fs USB Inforensique en profondeur de la base de registres - Ruches, Clés, et valeurs - Dernier accès en écriture - Authen fica on - Découverte des noms d'u lisateurs et les SID associés - Dernière connexion - Dernier échec de connexion - Nombre de connexions - Poli que de mots de passe Informa ons système - Iden fica on du jeu de contrôle courant (Current Control Set) - Nom du système et sa version - Fuseau horaire - Adresse IP - Réseaux Sans fil/ethernet/3g - Partages réseau - Date du dernier arrêt système Preuves diverses - Exécu on d'un programme - Téléchargement d'un fichier - Accès à un fichier / répertoire Historique de recherche sous XP et Win7 Accès aux URLs Documents récents Boites de dialogue 'Ouvrir / Sauvegarder / Exécuter' Historique de l'exécu on d'applica- on Éditeur/Créa on/version Numéro de série unique Le re du dernier disque Nom des volumes Disposi fs USB (téléphones intelligents, clefs, etc.) - Nom d'u lisateur ayant u lisé l'usb - Date de première u lisa on - Date de première u lisa on après le dernier reboot - Date de dernière u lisa on Regripper, d'harlan Carvey Registry Viewer, d'access Data 3. Inforensique Windows - Seconde par e Analyse des courriers électroniques Inforensique des s s Microso Outlook/Outlook Express/Windows s des WebMails Microso Exchange Lotus Notes 4. Inforensique Windows - Troisième par e - Analyse des artefacts et fichiers de journalisa on Analyse mémoire, mémoire virtuelle et espace non alloué Conversa ons Facebook live, MSN Messenger, Yahoo, AIM, GoogleTalk URLs d'ie8 InPrivate/Recovery WebMails de Yahoo, Hotmail, Gmail Inforensique des fichiers contenant des preuves sensibles Analyse inforensique des journaux d'évènements de Windows Iden fica on des exécu ons de programmes (prefetch, jump list, MRU, etc.)analyse inforensique des journaux d événements de Windows 5. Inforensique Windows - Troisième par e - Inforensique du navigateur web Inforensique des navigateurs web (Historique, cache, recherches, télé chargements) Internet Explorer - Localisa on des fichiers clés de l'inforensique Internet Explorer - Horodatage des fichiers d'historique Index.dat (Maître, Quo diens, Hebdomadaires) - Horodatage des fichiers de cache Index.dat - Naviga on InPrivate - Analyse du répertoire de restaura- on de session - Applica ons MetroUI Windows 8 Firefox - Emplacements des artefacts - Le format Mork et les fichiers.sqlite - Historique des téléchargements - Examen des fichiers de cache - Historique des URLs - Analyse des données de restora on Chrome - Emplacements des artefacts - Analyse de l'historique, du cache et des téléchargementsanalyse des «cookies flash», les cookies Google Analy cs, stockage HTML5 6. Mise en situa on Cas pra que final perme ant aux stagiaires d'u liser l'ensemble des ou ls et méthodes découverts tout au long de la forma on afin de construire un rapport inforensique sur un cas d'étude spécialement mis en place. L'ensemble est orchestré comme une analyse inforensique en situa on réelle. Inves ga ons Inforensiques Windows - FOR 408 Durée : 5 jours / 40 heures INVESTIGATIONS INFORENSIQUES WINDOWS FOR au 24 avril 2015 Paris 14 au 18 septembre 2015 Paris 17

18 Analyse Inforensique avancée et réponse aux incidents - FOR 508 Sécurité Technique Analyse Inforensique avancée et réponse aux incidents - FOR 508 Aujourd'hui, de plus en plus d'entreprises sont vic mes d'a aques complexes mo vées par l'espionnage économique. Êtes-vous armé pour la réponse aux incidents et l'inves ga on d'a aques persistantes avancées (APT)? En s appuyant sur les connaissances acquises en forma on FOR 408, la forma on FOR 508 vous prépare à une réac on efficace à ces a aques. VOUS ALLEZ APPRENDRE À Répondre aux incidents avancés Analyser les systèmes de fichiers Windows Faire l acquisi on et l analyse de mémoire Construire un historique étendu d événements ( meline) Iden fier les logiciels malveillants et les techniques an -inforensiques Membres d une équipe de réponse à incident Professionnels de l inforensique Membres d agences gouvernementales ou détec ves Responsables en sécurité de l informa on Avoir suivi la forma on "FOR Inves ga ons Inforensiques Windows ou Maîtriser les no ons suivantes : inforensique du registre Windows, des artefacts, des messages électroniques, des journaux EventLog et des navigateurs web. Cours magistral Travaux pra ques Forma on dispensée en français Ordinateurs portables mis à disposi on du stagiaire Kit «SANS Inves ga ve Forensic Toolkit» (SIFT) Advance pour chaque stagiaire Le livre "File System Forensic Analysis" écrit par Brian Carrier Une clef USB de 64Go avec les exercices Supports intégralement en anglais provenant du SANS Ins tute. Ce e forma on prépare à l'examen de cer fica on GIAC Cer fied Forensic Analyst ( GCFA). Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe dans un centre agréé GIAC. 1. Réponse à incidents en entreprise Présenta on de la sta on de travail SIFT La démarche de l'inforensique et de la réponse aux incidents Structures des disques Montage de par ons pour analyse Acquisi on disque et mémoire distante avec F-Response Obten on de données en «live» (Sysinternals, Mandiant Redline) 2. Analyse de la mémoire Acquisi on de la mémoire Fichiers d'hiberna on, de pagina on et de mémoire des machines virtuelles Analyse de la mémoire (avec Redline et Vola lity) - Iden fica on de processus suspects - Iden fica on de rootkits, injec ons de code - Acquisi on de processus et drivers - Analyse des registres en mémoire 3. Analyse de l'historique ( meline) Analyse de meline - généralités Créa on et analyse de meline de système de fichier Créa on et analyse de "Super meline" 4. Analyse inforensique des systèmes de fichiers Analyse des points de restaura on de Windows XP Analyse des volumes shadow copy de Windows Vista/7/2008 Récupéra on de données basée sur les systèmes de fichiers - examen de la couche de données - examen de la couche de métadonnées - examen de la couche de nom de fichiers Récupéra on de données basée sur le contenu Tri de fichiers et comparaison d'empreintes Analyse approfondie du fonc onnement de NTFS - MFT (Master File Table) - Fichiers systèmes de NTFS - A ributs de NTFS - Iden fica on de date manipulée Aperçu de FAT et exfat 5. Analyse d'intrusion L'art de détecter des logiciels malveillants inconnus Méthodologie de réduc on de fichiers à analyser U lisa on d'ioc (Indicators Of Compromise) Recherche de persistence Iden fica on de fichiers «packés» Analyse des journaux, anomalies dans la meline, etc. Fichiers, clefs de registres supprimés U lisa on d'ou ls de suppression sécurisée 6. Challenge inforensique Inves ga on d'un APT en environnement Windows Durée : 5 jours / 40 heures ANALYSE INFORENSIQUE ET RÉPONSE AVANCÉE AUX INCIDENTS FOR au 6 novembre 2015 Paris 18

19 Sécurité Technique Analyse et inves ga on numérique avancées dans les réseaux - FOR 572 Le nombre d'a aques explosant depuis quelques années, l'inves ga on réseau est un besoin grandissant au sein des entreprises et pour les analystes inforensiques afin d'iden fier la source de l'intrusion et les canaux cachés mis en place par les a aquants pour exfiltrer des informa ons sensibles. VOUS ALLEZ APPRENDRE À Extraire des fichiers de captures réseaux et de caches de serveur mandataire Analyser des protocoles réseaux "customs" et propriétaires Déchiffrer des flux SSL/TLS Iden fier des mo fs de comportements suspects (réseau filaire et sans-fil) Iden fier des a aques réseaux (ex: homme du milieu) Améliorer des configura ons des disposi fs réseaux (pare-feu, IDS) pour faciliter l'inves ga on Membres d'une équipe de réponse à incident Professionnels de l inforensique Ingénieur/Administrateur réseaux/sécurité Membres d'agences gouvernementales, police, gendarmerie ou détec ves Avocats et techniciens juridiques Toute personne intéressée par l'analyse inforensique de flux réseau Des connaissances (technique/méthodologie) en inforensique (FOR408 et/ou FOR508) sont un plus Le fonc onnement des réseaux informa ques Connaître les bases de Linux Cours magistral Travaux pra ques Forma on dispensée en français Ordinateurs portables mis à disposi on du stagiaire Kit "SANS Inves ga ve Forensic Toolkit" (SIFT) en version Windows et Linux Licence Windows 8 Clef USB 64Go contenant les exercices, exemples et documenta ons Supports intégralement en anglais provenant du SANS Ins tute Ce e forma on prépare à l'examen de cer fica on GIAC Cer fied Network Forensic Analyst (GNFA). Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe dans un centre agréé GIAC. Durée : 6 jours / 47 heures TM ACCRÉDITATION Jour 1 - Introduc on Objec fs des inves ga ons inforensiques (Types et pré-requis) Fondamentaux du processus d'inforensique réseau Introduc on à tcpdump (format pcap, BPF) Introduc on à Wireshark (interface, filtres, analyse) Sources et types des preuves réseaux ("hubs", "taps", NetFlow, journalisa on) Ges on d'un cas/enquête et manipula on des preuves (Aspects législa fs, intégrité) Analyse des proxies web (Squid, analyse automa sée, exfiltra on des informa- ons en cache) Défis et possibilités dû aux différentes architectures réseaux (TAP réseau, réseaux sans-fil) Applica ons et données de captures de paquets Jour 2 : Protocoles réseaux Analyse des informa ons en provenance de protocoles réseaux DHCP et DNS - Baux DHCP, Journalisa on des serveurs, Tunneling et fast-flux DNS HTTP (Analyse des requêtes et réponses, extrac on d'artefactes) HTTPS et SSL - Eléments u les du processus de négocia on SSL, - Autres usages de SSL autre que HTTPS Capture et Analyse de flux FTP (File Transfer Protocol) NTP (U lité lors de l'inves ga on, Analyse du protocole) Présenta on de solu ons commerciales et open-source Protocoles Microso (Exchange, SMB, Sharepoint, etc.) SMTP Jour 3 : Analyse NetFlow et de réseaux sans-fil Introduc on à NetFlow (protocole et composants) Approches de collecte d'informa ons NetFlow - U lisa on des fonc onalités de Splunk pour l'analyse de données NetFlow - Collecteurs NetFlow présents en entreprise Ou ls open-source d'analyse de flux (nfcapd, nfdump, nfsen, SiLK) Solu ons commerciales d'analyse de données NetFlow (Scru nizer, SolarWinds, Lancope, WhatsUpGold, Riverbed) Analyse comportementale et "Profiling" (U lisa on de mo fs afin d'iden fier des anomalies, etc.) Techniques et ou ls de visualisa on - Traitement de ressources de type "Big Data" - Visualisa on de mo fs, anomalies,... Inforensique de réseaux sans-fil - Mise en rela on de l'analyse de réseaux câblés avec les réseaux sans-fil - Méthodes de capture, Champs u les des protocoles sans-fil pour l'inforensique, Faiblesses liées aux réseaux sans-fil Jour 4 : Journalisa on Syslog (Fonc onnement, configura on, protocole et analyse d'événements) Journaux d'événements Windows (architecture, possibilités et analyse) Journaux de serveur HTTP (format des journaux, méthode d'analyse) Pare-feu et Systèmes de détec on d'intrusion (IDS) - Adapta on des infrastructures pour améliorer les inves ga ons inforensiques - Pare-feu (syntaxe et format des journaux, iptables, etc.) - Systèmes de détec on d'intrusion (IDS) : règles, signatures, journalisa on, etc. - Agréga on/corréla on de journaux et analyse - Ou ls de SIEM (Security Informa on and Event Management) - Inves guer sur des données en temps réel en limitant les risques Jour 5 : Chiffrement, Analyse inverse de protocole et automa sa on Introduc on au chiffrement (encodage, chiffrement symétrique et asymétrique) Homme du milieu (méthodes existantes, ou ls, etc.) Analyse de trafic chiffré Analyse de charges u les (méthodes d'encapsula on et de décapsula on, etc.) Rétro ingénierie de protocoles réseaux (iden fica on de mo fs,...) Ou ls automa sés et bibliothèques perme ant l'analyse de grandes quan tés de données Jour 6 : Cas pra que final Analyse inforensique de preuves réseaux Rédac on de rapport, documenta on Analyse et inves ga on numérique avancées dans les réseaux - FOR 572 ANALYSE ET INVESTIGATION NUMÉRIQUE AVANCÉES DANS LES RÉSEAUX FOR au 6 juin 2015 Paris 19

20 Inves ga on numérique avancée sur téléphones portables - FOR 585 Sécurité Technique Inves ga on numérique avancée sur téléphones portables - FOR 585 Les téléphones intelligents étant de plus en plus présent en société et contenant toujours plus d'informa ons (données confiden elles, accès VPN, géolocalisa on, etc.), leur analyse va perme re de compléter l'analyse classique des postes de travail. VOUS ALLEZ APPRENDRE À Extraire et u liser les informa ons des téléphones Android, ios, Blackberry, Windows Phone, Symbian Acquerir les données à par r de plusieurs méthodes différentes Iden fier des logiciels malfaisants Eviter le risque de perte ou destruc on de données de valeurs sur ces équipements Récupérer des artefacts de l'ac vité de l'u lisateur (applica ons erces, données GPS) Analyser les systèmes de fichiers pour par exemple récupérer des données effacées Déchiffrer les fichiers de sauvegarde et outre-passer les verrouillages des téléphones Créer une " meline" de l'incident Membres d'une équipe de réponse à incident Professionnels de l inforensique Membres d'agences gouvernementales, police, gendarmerie ou détec ves Toute personne intéressée par l'analyse inforensique de téléphones intelligents Des connaissances (technique/méthodologie) en inforensique (FOR408 et/ou FOR508) sont un plus. Cours magistral Travaux pra ques Forma on dispensée en français Ordinateurs portables mis à disposi on du stagiaire Kit "SANS Inves ga ve Forensic Toolkit" (SIFT) en version Windows Licence Windows 8 Clef USB contenant les exercices, exemples et documenta ons Supports intégralement en anglais provenant du SANS Ins tute Ce e forma on n'est pas cer fiante. Durée : 6 jours / 47 heures Jour 1 : Fondamentaux de l'inves ga on sur téléphones intelligents Introduc on aux téléphones intelligents (fonc onnalités, systèmes de fichiers, inforensique sur mémoire flash, etc.) Manipula on des téléphones (préserva on des preuves et de la perte de données) Acquisi on (logique, physique, au niveau du système de fichiers, méthodes avancées) Découverte des ou ls existants (recherche de mots clés, extrac on de données effacées, recherche de logiciel malfaisant, export d'informa ons, rapport) Composants des téléphones. - Manipula on et recherche d'informa on sur : carte SIM, carte mémoire (SD) - Décodage et recupéra on de données Annexes (répara ons, acquisi on de cartes SIM, etc.) Présenta on de la sta on de travail SIFT Jour 2 : Inforensique Android et les logiciels malfaisants Introduc on à l'inforensique Android (architecture du système d'exploita on, mémoire Flash NAND) Système de fichiers d'android (structure de fichiers, formats de stockage, etc.) Emplacements des preuves (analyse de bases SQLite, principaux emplacements de preuves, décodage manuel des données, etc.) Manipula on de mobiles Android verrouillés (op ons de sécurité d'android, obten on d'informa ons de déverrouillage, outrepassage de protec ons) Traces d'ac vité de l'u lisateur (SMS/MMS, appels, contacts, géolocalisa on, récupéra on de données et enregistrements SQLite effacés...) Logiciels espions et malfaisants (types, iden fica on, isola on/désinfec on) Annexes (méthodes d'acquisi on, papiers spécialisés, etc.) Jour 3 : Inforensique ios (iphones, ipad) Introduc on à l'inforensique ios (architecture, versions) Manipula on d'appareils ios verrouillés (op ons de sécurité d'ios, problèmes d'acquisi on, outrepassage de protec ons de sécurité ios) Système de fichiers d'ios (structure de fichiers, formats de stockage, extrac on de données effacées, etc.) Emplacements des preuves (analyse de bases SQLite, principaux emplacements de preuves, décodage manuel des données, etc.) Traces d'ac vité de l'u lisateur (SMS/MMS, appels, naviga on, géolocalisa on, récupéra on de données et enregistrements SQLite effacés...) Annexes (méthodes d'acquisi on, papiers spécialisés, etc.) Jour 4 : Inforensique de BlackBerry et de fichiers de sauvegarde Introduc on des fichiers de sauvegarde des mobiles (ios, BlackBerry, Android, Nokia) Créa on et analyse des sauvegardes Preuves présentes dans les sauvegardes (journaux, bases de données, fichiers PList, décodage des données) Déchiffrement des sauvegardes verrouillées (ios, BlackBerry) Introduc on à l'inforensique sur BlackBerry Acquisi on et bonnes pra ques de l'inforensique BlackBerry Système de fichiers et emplacements des preuves Analyse inforensique de BlackBerry (recherche de mots clés, récupéra on de données depuis une acquisi on physique) Annexes (méthodes d'acquisi on de BlackBerry, acquisi on de sauvegardes de mobiles, papiers spécialisés, etc.) Jour 5 : Inforensique d'autres mobiles et applica ons erces Applica ons erces (formats de données, méthodes de décodage, etc.) Inforensique Nokia/Symbian (fonc onnalités, preuves, etc.) Inforensique Windows Phone et Windows Mobile (fonc onnalités, preuves, etc.) Jour 6 : Cas pra que final INVESTIGATION NUMÉRIQUE AVANCÉE SUR TÉLÉPHONES PORTABLES FOR au 21 novembre 2015 Paris 20