Des modules adaptés aux réalités des métiers de la sécurité de l information

Transcription

1 Catalogue de formations SSI 2015

2 p. 2/75

3 ÉDITO Depuis plus de 10 ans, Lexsi délivre des formations auprès des professionnels de la sécurité du SI. Toujours au fait de l actualité, elles s attachent à suivre les évolutions rapides des risques et menaces qui pèsent sur les organisations. C est pourquoi les formations des filières de la «Sécurité SCADA» et de la «Sécurité dans les développements» ont eu un franc succès en Nous continuons notre partenariat avec Enigma Services/LSTI, au travers des formations ISO 2700X. Nous nous associons également avec 2 acteurs majeurs de la cybersécurité industrielle, Factory Systèmes et Diateam, pour proposer une formation de 3 jours en Sécurité SCADA, unique en France. Ce catalogue dédié à la sécurité et à la continuité d activité demeure l un des plus complets du marché et nous vous garantissons le maintien du niveau d excellence reconnu par les stagiaires qui ont suivi nos formations. Le Pôle Formation LA FORMATION CHEZ LEXSI Des formateurs avec un fort retour d expérience terrain Nos formateurs sont aussi des consultants, des auditeurs, des pentesters et des membres du CERT. Leurs missions sont autant de retours d expérience «en direct du terrain» qui sont partagés avec les stagiaires. Certains sont également des leaders d opinion dans la communauté de la Sécurité de l Information. Nous nous attachons à disposer d une équipe de formateurs experts et pédagogues. Des modules adaptés aux réalités des métiers de la sécurité de l information Les modules de formation répondent aux enjeux et besoins des fonctions clés de management des risques et de sécurité opérationnelle. Ils s adressent également à tous les acteurs qui contribuent à la sécurité de l information. De 1 à 5 jours, ces formations courtes permettent de rapidement acquérir les compétences et les expertises adéquates. Des formations certifiantes, techniques et organisationnelles Vous souhaitez valider votre expertise et votre parcours professionnel de spécialiste de la sécurité du SI. Nous nous sommes associés avec des partenaires agréés pour délivrer des formations ouvrant à des certifications reconnues à l international, notamment celles liées aux normes de la famille ISO p. 3/75

4 QUELQUES CHIFFRES TEMOIGNAGES CLIENTS «Formation très concrète et applicable. Le formateur maîtrise très bien son sujet.» (module Ethical Hacking) «Je suis très satisfait de mon parcours de formation chez vous. J'ai trouvé vos formations concrètes et claires, vos consultants expérimentés et pragmatiques. J'ai aussi apprécié de recevoir des modèles de livrables. Je n'hésiterai pas à conseiller ces formations autour de moi.» (modules de la filière PCA) «Je tiens à remercier Lexsi pour la qualité de l accueil et de leurs prestations. Les notions ont été clairement abordées et l ambiance était excellente» (cursus RSSI) «Grandes compétences de l animateur qui a su s adapter au niveau de chaque participant» (formation intra-entreprise module Infrastructure sécurisée) p. 4/75

5 CE QUI CHANGE EN 2015 Une nouvelle formation SCADA avec nos partenaires Factory Systèmes et Diateam Avec la publication de la Loi de Programmation Militaire (LPM), il est désormais temps d acquérir les connaissances nécessaires pour faire face aux risques liés à la cybersécurité industrielle. LEXSI s est associé avec 2 acteurs majeurs de ce domaine pour développer une formation de 3 jours unique et pragmatique : Factory Systèmes et Diateam. Une présentation succincte des 2 sociétés est faite en page 58. Un cursus ADN RSSI qui continue d évoluer À l écoute de nos clients, nous avons fait évoluer le cursus ADN RSSI de 5 jours pour aborder les domaines SMSI les plus couramment traités par la fonction. Nous avons renforcé la formation SMSI-F1 pour aborder les thèmes de «pilotage SSI», de «tableau de bord SSI», de «gestion des incidents», et d «intégration de la sécurité dans les projets». Nous avons également dédié une journée du parcours à la sensibilisation à la sécurité du SI. Ce programme de 5 jours s adresse toujours aux RSSI novices qui veulent rapidement acquérir les compétences et les connaissances nécessaires à leur prise de fonction. p. 5/75

6 DES FORMATIONS ADAPTEES ET MODULABLES Vous accueillir Lexsi Formation vous accueille dans ses 2 centres de formation à Paris et à Lyon. Mais nous ouvrons également des formations dans nos locaux de Lille. Nous mettons à votre disposition des salles de formation lumineuses, équipées de moyens techniques performants. Ces formations en inter-entreprises favorisent les échanges entre confrères partageant les mêmes objectifs. English-speaking instructors Nos modules peuvent être délivrés en langue anglaise, le support étant par défaut en français. Nous pouvons, à la demande, créer une version anglaise du support. Nos formateurs peuvent se déplacer également dans le monde entier sur vos sites à l international. Vous conseiller Les membres de Lexsi Formation peuvent vous accompagner pour identifier vos objectifs pédagogiques, définir vos besoins en formation et concevoir un parcours de formation adapté. Toutes nos formations sont éligibles au titre du DIF. Nous adapter Notre offre de formation en sécurité du SI est l une des plus complètes du marché. Chaque formation du catalogue peut être dispensée en intra-entreprise, uniquement avec des collaborateurs de votre entreprise, dans vos locaux. Si vous avez un besoin spécifique de formation en sécurité du SI qui ne se trouve pas dans notre catalogue, nous pouvons concevoir une formation sur mesure, spécifique à votre contexte. Pourquoi choisir les formations sur mesure? Elles ne rassemblent que des collaborateurs de votre organisation (4 participants minimum). Elles peuvent se dérouler dans vos locaux ou dans ceux de Lexsi si vous ne disposez pas des moyens logistiques adéquats. Elles peuvent faire l objet d adaptations dans le contexte de votre organisation et de vos activités métier. Elles permettent d aborder des problématiques internes et de poser des questions propres à votre organisation Les travaux pratiques et exercices peuvent être adaptés à votre environnement technologique et être conçus sur mesure. La session est planifiable selon les disponibilités des participants et au moment de votre choix p. 6/75

7 NOUS CONTACTER Vous souhaitez personnaliser une formation? Créer une formation sur mesure? Avoir plus d informations sur les modules et cursus de notre catalogue de formation? Prenez contact avec l équipe Pôle Formation de Lexsi qui est à votre disposition pour trouver la meilleure solution à vos besoins de formation. Votre contact Lætitia COGNARD Chargée du Développement du Pôle Formation Tel : Mobile : [email protected] Centre de formation agréé depuis 2001 Déclaré sous le n p. 7/75

8 ORGANISATION DES FORMATIONS LEXSI SMSI : Système de Management de la Sécurité du SI p.10 PCA : Plan de Continuité d Activité p.25 RISK : Management des Risques p.34 CRTF : Formations certifiantes p.39 CYB : Lutte contre la cybercriminalité p.43 HACK : Techniques de piratage & Ethical Hacking p.47 TECH : Sécurité technique p.48 SCADA : Sécurité des systèmes industriels p.58 DEV : Sécurité des applications et des développements p.62 ADN : Les cursus de formation LEXSI p.68 p. 8/75

9 Vous venez de prendre vos fonctions en tant que RSSI? Vous souhaitez valider vos connaissances sur les fondamentaux de la sécurité du SI? Inscrivez-vous au cursus «ADN RSSI» de Lexsi! Plus d informations en page 69 p. 9/75

10 SYSTEME DE MANAGEMENT DE LA SECURITE DU SI Les formations de la filière SMSI (Système de Management de la Sécurité du SI) se concentrent sur les compétences d organisation et de gestion de la sécurité du SI des organisations. Elles s appuient sur les normes de la famille ISO 2700X. Il est à noter que les formations SMSI-F1 et F2 ont été mises à jour avec les versions 2013 des normes ISO 2700X. Réf. Libellé Durée Page Fondamentaux SMSI-F1 Management de la Sécurité : Les fondamentaux 1J 11 SMSI-F2 S initier aux normes ISO et J 12 Approfondissement SMSI-A1 Appréhender la dimension juridique de la Sécurité de l Information 1J 13 SMSI-A2 Initier et mener une sensibilisation à la Sécurité de l Information 1J 14 SMSI-A3 Contrôler et évaluer la Sécurité de son Système d'information 1J 15 SMSI-A4 Piloter la Sécurité du SI via un Tableau de Bord 1J 16 SMSI-A5 SMSI-A6 Intégrer avec succès la sécurité dans les projets informatiques Maîtriser les enjeux de la sécurité des terminaux mobiles en entreprise 1J 17 1J 18 SMSI-A7 Usage des certificats en entreprise 1J 19 SMSI-A8 Sécurité de la dématérialisation et signature électronique 1J 20 Expertise SMSI-E1 Faire adhérer les décideurs autour de la sécurité de l'information 1J 21 SMSI-E2 Aller plus loin dans la sensibilisation à la Sécurité du SI : la sensibilisation 2.0 1J 22 SMSI-E3 Correspondant Informatique et Libertés (CIL) 1J 23 SMSI-E4 PCI-DSS : De la théorie à la pratique 1J 24 p. 10/75

11 SMSI-F1 Management de la Sécurité : Les fondamentaux 1 jour Niveau fondamental Mis à jour Maîtriser les définitions et notions essentielles de la Sécurité du SI (DICP, PDCA, SMSI ) Accompagner les RSSI dans leurs premiers projets de sécurité Comprendre les enjeux de la fonction RSSI dans une organisation Les RSSI débutants Les DSI Les consultants SSI Avoir des connaissances de base en informatique., en version papier Une copie du livre «Manager la Sécurité du SI» sera remise à chaque participant suite à la formation. Cours magistral, exercices I. État des lieux de la sécurité Les dernières menaces cybercriminelles Quelques événements marquants Quelques statistiques II. Notions fondamentales du SMSI Définitions Les 4 critères DICP La logique PDCA L approche par les risques Le soutien du management III. Écosystème ISO 270xx Les normes ISO 270xx La norme ISO La norme ISO La norme ISO Certification ISO IV. Mettre en place une filière SSI Rôle et missions du RSSI Politique de Sécurité et charte sécurité Déploiement des instances SSI Distribution des rôles de la filière SSI V. Piloter la SSI Tableaux de Bord SSI Audits et contrôles Sensibilisation des collaborateurs VI. Les premiers projets SSI Analyse de risques Contractualisation avec les tiers externes Gestion des habilitations Gestion des incidents VII. Ce qu il faut retenir p. 11/75

12 SMSI-F2 S initier aux normes ISO et jour Niveau fondamental Mis à jour Parcourir en détail les normes ISO et Déployer ces normes au sein de votre organisation Comprendre le chemin et l intérêt d une certification ISO de votre SI Les RSSI débutants Les DSI Les consultants et chefs de projet SSI Les auditeurs SSI Les responsables qualité Avoir des connaissances de base en informatique., en version papier Cours magistral, exercices I. Rappel Définitions Les 4 critères DICP La famille ISO 270xx II. Norme ISO 27001:2013 Présentation Différences entre les versions 2005 et 2013 Clause 4 : Contexte de l organisation Clause 5 : Leadership Clause 6 : Planification Clause 7 : Support Clause 8 : Fonctionnement Clause 9 : Évaluation des performances Clause 10 : Amélioration III. Norme ISO 27002:2013 Présentation Différences entre les versions 2005 et 2013 Politiques de Sécurité Organisation de la sécurité Sécurité liée aux ressources humaines Gestion des actifs Contrôle d accès Cryptographie Sécurité physique et environnementale Sécurité liée à l exploitation Sécurité des communications Acquisition, développement et maintenance des SI Relations avec les fournisseurs Gestion des incidents de sécurité Sécurité dans la gestion de la continuité d activité Conformité IV. Ce qu il faut retenir p. 12/75

13 SMSI-A1 Appréhender la dimension juridique de la Sécurité de l information 1 jour Niveau approfondissement Appréhender les responsabilités juridiques du RSSI et du DSI en matière de sécurité du SI Comprendre les droits et devoirs de l employeur et des employés Faire face aux risques juridiques des contextes spécifiques (I&L, prestataires IT ) Les RSSI Les DSI La Direction juridique Les consultants et chefs de projet SSI Avoir des connaissances de base en sécurité de l information. Cours magistral, cas pratiques, en version papier I. Les bases du droit La hiérarchie des normes Les ordres juridictionnels La responsabilité des personnes Les différentes sanctions Conditions nécessaires pour une sanction II. Responsabilité du RSSI Rôle Fautes Délégation de pouvoir III. Panorama du cadre réglementaire De la complexité Mais pas que des contraintes IV. Conservation Sauvegarde ou archivage Collecte de traces Valeur probante et signature électronique V. Données à caractère personnel Loi Informatique et Liberté Notions centrales Acteurs Droits des personnes concernées Formalités CNIL Conditions de collecte Contrôle CNIL Cas de la prospection par courrier électronique Exigences du «Paquet Télécom» Échange et commerce des DCP VI. Exemples de contrôle de l employeur Appels téléphoniques Messagerie électronique Fichiers présents sur le poste de travail Utilisation d Internet Géolocalisation Accès aux locaux Conservation des informations de contrôle Sanctions pour contrôle abusif VII. Charte d utilisation des moyens informatiques et télécoms Définition Accessibilité et opposabilité Exemple de structuration Évolution Rédaction Conditions de mise en œuvre VIII. Étude de cas Téléchargements illégaux, copie illicite, usurpation d identité IX. Dépôt de plainte Intrusion externe Intrusion interne Fuite de données p. 13/75

14 SMSI-A2 Initier et mener une sensibilisation à la Sécurité de l Information 1 jour Niveau approfondissement Concevoir son projet et son plan de campagne de sensibilisation Maîtriser les composantes essentielles d une campagne de sensibilisation (vecteurs, cibles, contributeurs ) Savoir évaluer l efficacité de sa campagne de sensibilisation Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Le livre blanc «Sensibilisation à la sécurité de l information 2.0» est offert en fin de la formation. Cours magistral, atelier, exercices I. Introduction Quelques chiffres Sécurité : la faille est humaine II. Sensibilisation : pourquoi? Informatisation accélérée des métiers (banques, industrie, santé) Ouverture des réseaux et des SI Réseaux sociaux et ingénierie sociale Mobilité et nomadisme Frontière ténue entre la sphère professionnelle et celle privée III. Principes de sensibilisation Qui sensibiliser? Les populations cibles Comment sensibiliser? Les moyens, médias et vecteurs Exemples de vecteurs : présentation et comparatif Qui impliquer? IV. Construction d une campagne de sensibilisation Synthèse sur la démarche Phase 1 : Construire la campagne Phase 2 : Exécuter la campagne Phase 3 : Évaluer la campagne Facteurs clés de succès Obstacles et erreurs souvent rencontrés V. Ce qu il faut retenir p. 14/75

15 SMSI-A3 Contrôler et évaluer la Sécurité de son Système d'information 1 jour Niveau approfondissement Identifier les besoins de contrôle et d évaluation de la SSI Être garant de la qualité d un audit de sécurité Découvrir des techniques pour mettre en place un contrôle efficace Tirer les bénéfices d un contrôle de la SSI Les RSSI Les Responsables du Contrôle Interne ou du Contrôle Permanent Les auditeurs SSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Cours magistral, cas pratiques I. Définitions Définitions Quelques statistiques II. Le besoin de contrôle Cycle PDCA Contraintes réglementaires Besoins internes III. d audit Types d audit Déroulement d un audit type Les attendus et livrables IV. Mise en place d'un contrôle efficace Types de contrôle Contrôle conçu en même temps que la mesure Approche pragmatique Vers le Tableau de Bord SSI Fiches de contrôle V. Ce qu il faut retenir p. 15/75

16 SMSI-A4 Piloter la Sécurité du SI via un Tableau de Bord 1 jour Niveau approfondissement Maîtriser le tableau de bord SSI comme un outil de communication de la sécurité Appréhender les 2 dimensions d un projet de conception d un tableau de bord SSI Concevoir des indicateurs de sécurité du SI Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Le livre blanc «Tableau de Bord Sécurité Une approche par la maturité» est offert en fin de formation. Cours magistral, exercices, ateliers I. Enjeux du tableau de bord SSI Pourquoi un Tableau de Bord? Quelques chiffres Définition et enjeux II. À qui cela s adresse L écosystème SSI Les destinataires Les contributeurs Atelier : réfléchir à sa position III. La norme ISO Présentation de la norme Les limites IV. De quel tableau de bord ai-je besoin? Évaluer son niveau de maturité V. Le Tableau de Bord SSI Les composantes du TBSSI Description des indicateurs Cinématique de calcul Template du Tableau de Bord Zoom sur les métriques de base Les atouts de l approche Les pièges à éviter VI. Ce qu il faut retenir p. 16/75

17 SMSI-A5 Intégrer avec succès la sécurité dans les projets informatiques - Mis à jour 1 jour Niveau approfondissement Comprendre les enjeux de Sécurité des Systèmes d Information dans les projets Appréhender la classification sécurité et les risques informatiques pesant sur le Système d Information Apprendre à concevoir / remplir une fiche de sécurité Les RSSI Les chefs de projet informatique Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information., en version papier Cours magistral, cas pratiques, exercices I. Introduction Quelques définitions La position de la sécurité au sein de l organigramme Les domaines de la sécurité II. Gestion de projet Rappel de la méthodologie projet Rôles et responsabilités III. Sécurité dans les projets Principes généraux Phases du projet Livrables types et résultats attendus existantes Comment convaincre d intégrer la sécurité dans les projets? Les bonnes pratiques Les pièges à éviter IV. Focus particuliers Analyse de risques & Recueil des besoins : en pratique Sécurité dans les développements Projets d externalisation : intégration de la sécurité dans les contrats V. Cas pratiques VI. Étude de cas VII. Ce qu il faut retenir p. 17/75

18 SMSI-A6 Gérer la flotte mobile de son entreprise et les problématiques de BYOD 1 jour Niveau approfondissement Présenter les risques de sécurité liés à l introduction des terminaux mobiles dans le SI Faire un état des lieux des bonnes pratiques et des solutions d organisation de la sécurité autour des Smartphones et du BYOD Se projeter vers les solutions et usages futurs de ces terminaux en entreprise Les RSSI Les DSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Un exemple de politique de sécurité de la flotte mobile est distribué. Cours magistral, cas pratiques I. La place de la flotte mobile en entreprise Les tendances Les enjeux et opportunités Et le BYOD? Les appareils Les OS II. Quels sont les risques? Panorama des menaces Analyse des risques III. Faut-il faire le grand saut du BYOD? Une petite histoire qui en dit long Une question de compromis Les différents points de vue Cas d implémentation IV. Les bonnes pratiques de gestion de la flotte mobile La politique de sécurité et charte Les solutions techniques L organisation La sensibilisation Les audits Comment m organiser si j ai dit oui au BYOD? V. Ce qu il faut retenir p. 18/75

19 SMSI-A7 Usage des certificats en entreprise 1 jour Niveau approfondissement Nouveau Présenter les concepts de base de la cryptographie et des infrastructures de gestion de clés (IGC), tant sur le plan technique qu organisationnel Démontrer les usages en entreprise Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier. Cours magistral, exercices I. Concepts de base Principes de la confiance Cryptographie symétrique Cryptographie asymétrique Algorithme de hash Exercices II. Gestion des clés et des certificats Présentation des certificats Présentation des autorités de certification Les processus organisationnels de gestion du cycle de vie des certificats Le corpus documentaire Exercices III. Architecture technique d une IGC Les composants de base Le stockage des secrets Les formats d échanges Les enjeux de sécurité (DICP) Exercices IV. Des certificats pour quels usages? Présentation des usages en entreprise Description détaillée du protocole SSL/TLS V. Les failles autour des certificats Exemple d une faillite annoncée: DIginotar VI. Ce qu il faut retenir p. 19/75

20 SMSI-A8 Sécurité de la dématérialisation et signature électronique 1 jour Niveau approfondissement Nouveau Comprendre les enjeux de sécurité d un projet de dématérialisation Présenter les concepts techniques et juridiques de la signature électronique et de l archivage Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Cours magistral, cas pratiques I. Dématérialisation et Sécurité Les composants de la dématérialisation Définition de la confiance et chaîne de sécurité Normalisation et référentiels II. La signature électronique Les composants de la dématérialisation Définition de la confiance et chaîne de sécurité Normalisation et référentiels III. L archivage numérique Les enjeux Définir sa politique d archivage Le coffre-fort électronique IV. La convention de preuve Les enjeux Définir sa convention V. Réussir son projet de dématérialisation Les étapes clés de la démarche Panorama des solutions du marché p. 20/75

21 SMSI-E1 Faire adhérer les décideurs autour de la sécurité de l'information 1 jour Niveau expertise Comprendre les difficultés pour convaincre les décideurs de l importance d une sécurité pérenne Lever les obstacles au travers de clés et de leviers fournis par l animateur Partager les retours d expérience avec les participants et l animateur Les RSSI Les consultants et chefs de projet SSI Disposer d un minimum de 3 ans d expérience dans un métier de la sécurité de l information. Cours magistral, atelier-débat Notes importantes Quelques lectures transmises par le formateur seront à parcourir au préalable. Une copie du livre «Manager la Sécurité du SI» sera remise à chaque participant suite à la formation., en version papier I. Le contexte de la SSI Pourquoi faire adhérer les décideurs? Une organisation idéale L influence du RSSI Une image négative Des leviers difficiles à activer Des budgets en tension II. Axe 1 : L accès initial aux décideurs Accès direct ou indirect Tribune et instances Le piège de l entremetteur DSI Les 20 ou 30 minutes gagnantes III. Axe 2 : La psychologie des décideurs Les préjugés des décideurs Comment lutter contre ces préjugés? IV. Axe 3 : Inscrire une relation dans la durée Networking interne Networking externe Indicateurs sécurité Influencer les décideurs V. Axe 4 : Des stratégies de communication Faire peur Exhumer la sinistralité Se comparer à un benchmark sectoriel Se comparer aux études standards Se mesurer aux normes Se mesurer au regard externe de l expert mondial Le pied de biche du test d intrusion VI. Axe 5 : Quelques principes de gestion du changement Principe 1: nous ne sommes pas égaux face au changement Principe 2: le changement se propage comme une contagion sociale Principe 3: la stratégie de gestion du changement doit tenir compte des principes 1 et 2 VII. Atelier-débat De bons et de mauvais exemples de communications pour décideurs Débat sur les difficultés rencontrées VIII. Ce qu il faut retenir p. 21/75

22 SMSI-E2 Aller plus loin dans la sensibilisation à la Sécurité du SI : la sensibilisation jour Niveau expertise Connaître les principes de sensibilisation Comprendre la génération Y Savoir tirer parti de la gestion du changement Savoir choisir les vecteurs de sensibilisation pour définir une tactique de sensibilisation efficace Les RSSI Les consultants et chefs de projet SSI Disposer d un minimum de 3 ans d expérience dans un métier de la sécurité de l information. Avoir l expérience du déploiement d une campagne de sensibilisation., en version papier Le livre blanc «Sensibilisation à la sécurité de l information 2.0» est offert en fin de formation. Cours magistral et cas pratiques assortis de 3 démonstrations : Outil d e-learning Outil de serious gaming point&click Outil de serious gaming 3D isométrique I. Rappel des principes de sensibilisation Pourquoi sensibiliser? Qui sensibiliser? Qui impliquer? Les étapes d une campagne de sensibilisation II. Pourquoi les campagnes classiques atteignent leurs limites? Positionnement inapproprié du porteur de la sensibilisation Mauvaise connaissance de la gestion du changement Communication inappropriée Spécificités de la génération Y III. Comment adapter sa tactique aux Y? Convaincre, communiquer et impliquer Faire court et original Penser interactif Tester les utilisateurs Apporter du soutien IV. Savoir utiliser la gestion du changement comme alliée La conduite du changement, qu est-ce que c est? Principe 1 : Nous ne sommes pas tous égaux face au changement Principe 2 : Le changement se propage comme une contagion sociale Principe 3 : La stratégie doit prendre en compte les principes 1 et 2 Principe 4 : Le changement doit être accompagné en amont et en aval V. Les vecteurs de sensibilisation vecteurs de sensibilisation comparés Cas d utilisation VI. La tactique de sensibilisation VII. Ce qu il faut retenir p. 22/75

23 SMSI-E3 Correspondant Informatique et Libertés (CIL) 1 jour Niveau expertise Comprendre les notions fondamentales de la loi Informatique et Libertés Connaître la CNIL : rôles et missions Maîtriser le droit des personnes et les obligations des responsables de traitement Faire un point sur les sanctions pénales Comprendre les rôles et missions du CIL (Correspondant Informatique et Libertés) Cette formation s adresse à tous les Correspondants Informatique et Libertés (CIL) qui prennent leurs fonctions et aux Responsables de la Sécurité du SI qui ont également les missions de CIL dans leur fiche de poste. Avoir suivi la formation «SMSI-A1 Dimension juridique» est un plus., en version papier Cours magistral I. Module 1 : Loi Informatique et Libertés Esprit et champ d application de la loi Informatique et Libertés Notions fondamentales Connaître la CNIL II. Module 2 : Droits et obligations Droits des personnes concernées par les traitements Missions et obligations des responsables de traitement Dispositif administratif de la CNIL Point sur les sanctions pénales III. Correspondant I&L Définition du CIL Missions administratives du CIL pour la prise de fonction : travaux pratiques p. 23/75

24 SMSI-E4 PCI-DSS : De la théorie à la pratique 1 jour Niveau expertise Nouveau Maîtriser le standard PCI- DSS Comprendre les contraintes et apports du standard Savoir mettre en œuvre cette norme dans le concret RSSI DSI Consultant sécurité Pas de pré-requis nécessaire., en version papier Cours magistral I. Introduction II. Présentation du PCI SSC Qu est-ce que le PCI SSC? Historique du PCI DSS Référentiel documentaire PCI DSS III. Standard PCI-DSS Données PCI DSS Vue d ensemble des obligations PCI DSS Entités impactées Périmètre Contrôle compensatoire IV. Détails des exigences de PCI DSS Lien avec la norme ISO Description de la norme Piste de mise en conformité Étude de cas V. L évolution du standard PCI DSS V3.0 VS V2.0 Les directives supplémentaires Les clarifications Les évolutions de la condition Les autres modifications (mineures) VI. La certification PCI-DSS Différents types d audits : QSA, ASV, Les différents types d approches : Marchand, Service Provider Approche priorisée VII. PCI DSS : Opportunité business ou contrainte réglementaire? p. 24/75

25 PLAN DE CONTINUITE D ACTIVITE La filière PCA (Plan de Continuité d Activité) se concentre sur tous les aspects de traitement des sinistres majeurs, qu ils soient informatiques ou métiers. Cela va de la gestion de crise à la maintenance et aux tests des dispositifs de PRA et de PCA. Toutes ces formations s articulent autour de la norme ISO Réf. Libellé Durée Page Fondamentaux PCA-F1 Continuité d Activité : Les fondamentaux 1J 26 PCA-F2 S initier à la norme ISO J 27 Approfondissement PCA-A1 Activer le dispositif PCA via une gestion de crise dédiée 1J 28 PCA-A2 Qualifier ses activités critiques : Réussir son BIA 1J 29 PCA-A3a Déployer un dispositif efficace de continuité métier 1J 30 PCA-A3b Mettre en œuvre un secours efficace de son SI 1J 31 PCA-A4a Réussir la maintenance et l organisation des tests PCA 1J 32 PCA-A4b Réussir l'organisation des tests de secours informatique 1J 33 p. 25/75

26 PCA-F1 Continuité d Activité : Les fondamentaux 1 jour Niveau fondamental Maîtriser les définitions et notions essentielles des PCA (RTO, RPO, PCA, PRA, BCP, DRP ) Appréhender les enjeux de la continuité d activités en entreprise Monter un projet selon la méthodologie E=MCA (Étapes vers le Management de la Continuité d Activité) Les Responsables de Plan de Continuité d Activité débutants Les Responsables de Plan de Secours Informatique débutants Les consultants et chefs de projet PCA Aucun., en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation. Cours magistral, atelier-débat I. Introduction Côté faits Côté chiffres Côté normes Entrée en matière Idées reçues II. La continuité d activité Définition et terminologie Les 4 piliers de la continuité Quelques pistes pour convaincre III. Projet E=MCA (Étapes vers le Management de la Continuité d Activité) Synthèse de la démarche Phase 1 : Mieux connaître son activité Phase 2 : Orienter la stratégie de continuité Phase 3 : Développer le PCA Phase 4 : Mettre en place les solutions techniques de secours Phase 5 : Déploiement et maintien en conditions opérationnelles Phase 6 : Piloter le MCA IV. À retenir Les 7 péchés capitaux Les 10 commandements p. 26/75

27 PCA-F2 S initier à la norme ISO jour Niveau fondamental Parcourir en détail la norme ISO Déployer cette norme au sein de votre organisation Auditer votre PCA selon cette norme Les Responsables de Plan de Continuité d Activité débutants Les Responsables de Plan de Secours Informatique débutants Les consultants et chefs de projet PCA Aucun., en version papier Cours magistral I. Rappel Définitions Les 4 piliers de la continuité II. Norme ISO Approche PDCA Clause 4 : Exigences générales Clause 5 : Implication de la Direction Clause 6 : Planification Clause 7 : Support Clause 8 : Opération Clause 9 : Évaluation Clause 10 : Amélioration III. Critères d audit PCA Éléments à évaluer Correspondances avec la norme IV. Ce qu il faut retenir p. 27/75

28 PCA-A1 Activer le dispositif PCA via une gestion de crise dédiée 1 jour Niveau approfondissement Comprendre les pièges de la gestion d une crise PCA au travers de cas pratiques Élaborer un dispositif de gestion de crise PCA Appréhender la dimension humaine d une crise, via de nombreux exemples et illustrations Les Responsables de Plan de Continuité d Activité Les Responsables de Plan de Secours Informatique Les DSI Les RSSI Les consultants et chefs de projet PCA Connaître les fondamentaux du PCA ou avoir suivi la formation SMSI-F1. Cours magistral, cas pratiques, en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation.. Module 1. Entrée en matière I. C est la crise! Introduction De quoi parle-t-on? Les 4 secteurs majeurs de crise II. «L impensable pensé» : matière à réfléchir Quatre exemples Notre perception des crises Retour sur la pire crise que vous ayez vécue III. Quelques leçons et quelques armes Leçons à tirer des exemples Leçons d ordre général Module 2. Méthodologie et outils I. Rappels et principes II. Organisation et processus III. Logistique et outils de crise IV. Exemples pratiques : 2 cas Module 3. Retours d expérience I. Les clés de la résolution II. Conseils et écueils III. Illustration p. 28/75

29 PCA-A2 Qualifier ses activités critiques : Réussir son BIA 1 jour Niveau approfondissement Identifier les activités essentielles de son organisation et les délais de reprise associés Réaliser une analyse de sinistralité Mener des entretiens BIA Les Responsables de Plan de Continuité d Activité Les Responsables de Plan de Secours Informatique Les consultants et chefs de projet PCA Connaître les fondamentaux du PCA ou avoir suivi la formation SMSI-F1. Cours magistral, étude de cas, exercices, en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation. I. Introduction Les 4 piliers de la continuité Méthodologie E=MCA II. Bilan d Impact sur l Activité Comment s y prendre? Les outils Ce qu il faut faire / ne pas faire III. Analyse de sinistralité Comment s y prendre? Ce qu il faut faire / ne pas faire IV. Exercices Concevoir sa grille d impacts BIA Élaborer sa fiche d entretien BIA Réaliser l étude de sinistralité Simulation d entretiens BIA Synthèse via la Matrice BIA V. Ce qu il faut retenir p. 29/75

30 PCA-A3a Déployer un dispositif efficace de continuité métier 1 jour Niveau approfondissement Connaître les avantages et limites des stratégies majeures de continuité métier Concevoir une Filière PCA efficace Partager des retours d expérience de déploiement de PCA métier Les Responsables de Plan de Continuité d Activité Les consultants et chefs de projet PCA Connaître les fondamentaux du PCA ou avoir suivi la formation SMSI-F1. Cours magistral, cas pratiques, en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation.. I. Introduction Les composantes d un PCA Les 4 piliers de la continuité II. Les composantes d un PCM efficace De l organisation De la logistique De la communication De l humain III. Une réponse par sinistre envisagé Les grandes stratégies PCM Destruction de bâtiment Inaccessibilité du bâtiment Pandémie / Indisponibilité RH Sinistre informatique Stratégie PCM : ce qu elle doit contenir IV. Exercices Coupure électrique du bâtiment Votre propre stratégie PCM V. Élaborer sa filière PCM Le Responsable PCA Rôles et responsabilités Instances de pilotage Livrables attendus VI. Ce qu il faut retenir p. 30/75

31 PCA-A3b Mettre en œuvre un secours efficace de son SI 1 jour Niveau approfondissement Faire un tour d horizon des solutions techniques de secours informatique Connaître les avantages et limites des stratégies majeures de secours informatique Partager des retours d expérience de déploiement de Plan de Secours Informatique (PCSI ou PRA) Les Responsables de Plan de Secours Informatique Les consultants et chefs de projet PCA Connaître les fondamentaux du PCA ou avoir suivi la formation SMSI-F1. Cours magistral, cas pratiques, en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation.. I. Introduction Les 4 piliers de la continuité Quelques statistiques II. Structure d un plan de secours informatique Les stratégies de secours informatique L externalisation vers un prestataire La DSI : un métier à secourir dans un PCA Stratégie PCSI : ce qu elle doit contenir III. Les solutions techniques Vue globale Couche Logistique Couche Physique/liaison Couche Réseau Couche Applicative Sauvegarde de données Réplication de données Virtualisation Étude de cas IV. Élaborer sa filière PCSI Le Responsable PCSI Rôles et responsabilités Instances de pilotage V. Ce qu il faut retenir p. 31/75

32 PCA-A4a Réussir la maintenance et l organisation des tests PCA 1 jour Niveau approfondissement Maîtriser les principes fondamentaux de la maintenance d un dispositif PCA Bâtir une campagne de tests PCA pluri-annuels Comprendre les facteurs clés et les pièges à éviter dans l organisation des tests PCA Les Responsables de Plan de Continuité d Activité Les consultants et chefs de projet PCA Connaître les fondamentaux du PCA ou avoir suivi la formation SMSI-F1. Cours magistral, étude de cas, en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation.. I. Introduction Les composantes d un PCA Les 4 piliers de la continuité Quelques statistiques II. Principes de maintenance Les composantes d un PCA opérationnel Distribution des rôles de maintenance du PCA Principes de maintenance III. Campagne de tests PCA Types de tests PCA Déroulement d un test de repli utilisateur Le cas particulier du test de gestion de crise Bonnes pratiques et écueils à éviter Livrables attendus Débat autour du caractère probant d un test PCA IV. Étude de cas Analyse du déroulement d un test PCA qui a réussi avec écarts majeurs et mineurs V. Ce qu il faut retenir p. 32/75

33 PCA-A4b Réussir l'organisation des tests de secours informatique 1 jour Niveau approfondissement Maîtriser les notions de tests unitaires, partiels et complets de PCSI Bâtir un plan de test annuel de PCSI Comprendre les facteurs clés et les pièges à éviter dans l organisation des tests PCSI Définir le caractère probant d un test PCSI Les Responsables de Plan de Secours Informatique Les consultants et chefs de projet PCA Connaître les fondamentaux du PCA ou avoir suivi la formation SMSI-F1. Cours magistral, étude de cas, en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation.. I. Introduction Les composantes d un PCA Les 4 piliers de la continuité Quelques statistiques II. Principes de maintenance Les composantes d un PCSI opérationnel Distribution des rôles de maintenance du PCSI Bonnes pratiques et écueils à éviter III. Campagne de tests PCSI Types de tests PCSI Déroulement d un test PCSI Livrables attendus Bonnes pratiques et écueils à éviter Débat autour du caractère probant d un test PCSI IV. Étude de cas Analyse du déroulement d un test PCSI qui a réussi avec écarts majeurs et mineurs V. Ce qu il faut retenir p. 33/75

34 RISK MANAGEMENT La filière Risk Management est dédiée aux formations d analyse de risques informatiques et opérationnels. Elle permet de compléter les dispositifs de la filière SMSI. Ces formations s appuient sur 2 normes de référence : la norme ISO et la norme ISO Réf. Libellé Durée Page Fondamentaux RISK-F1 Gestion et analyse des risques : Les fondamentaux 1J 35 RISK-F2 Construire son processus de gestion des risques : ISO et ISO J 36 Approfondissement RISK-A1 Gérer le risque opérationnel 1J 37 RISK-A2 Gérer le risque informationnel 1J 38 p. 34/75

35 RISK-F1 Gestion et analyse des risques : Les fondamentaux 1 jour Niveau fondamental Maîtriser les définitions et notions essentielles sur la gestion des risques (menace, vulnérabilité, risque ) Comprendre les étapes et les méthodes importantes d une analyse de risques Partager le retour d expérience d une gouvernance des risques Les RSSI débutants Les Risk Managers débutants Les consultants et chefs de projets SSI Aucun., en version papier Cours magistral, étude de cas I. Principes et définitions Importance des mots Notion de risque Définitions Cartographie des risques II. Approcher le risque suivant les normes Les différentes approches du risque Introduction à l ISO Introduction à l ISO III. Les méthodes d analyse du risque Méthode EBIOS Méthode MEHARI IV. Analyse de risque des projets SI Approche et méthodologie Clés de réussite et difficultés V. Mise en pratique La démarche projet type Étude de cas VI. Ce qu il faut retenir p. 35/75

36 RISK-F2 Construire son processus de gestion des risques : ISO et ISO jour Niveau fondamental Parcourir en détail les normes ISO 27005, et Mettre en œuvre ces normes dans votre processus de gestion des risques Les RSSI débutants Les Risk Managers débutants Les consultants et chefs de projets SSI Aucun., en version papier Cours magistral, étude de cas I. Gestion des risques suivant la norme ISO Rappels et compléments d information Le processus de gestion des risques en détail Intérêts et limites II. Norme ISO & méthodes ISO en quelques mots ISO : une précieuse annexe Les principales techniques en détail III. Construire une gestion du risque adaptée à ses besoins Comprendre ses enjeux Retour et conseils sur la norme IV. Les méthodes EBIOS et MEHARI Liens entre les méthodes et les normes Applicabilité et sélection partielle des méthodes V. Ce qu il faut retenir p. 36/75

37 RISK-A1 Gérer les risques opérationnels SI 1 jour Niveau approfondissement Appréhender le risque opérationnel et la réglementation Bale II / Solvabilité II Présenter les principes permettant de faire apparaitre les risques opérationnels SI Présenter les types de chantiers pour couvrir ces risques Les RSSI Les Risk Managers Les consultants et chefs de projets SSI Avoir les connaissances de base en Gestion des risques ou avoir suivi la formation RISK-F1., en version papier Cours magistral, étude de cas I. Rappel Définitions clés Liens et concepts Norme ISO II. Définition du risque opérationnel Caractéristique du risque opérationnel Réglementation Risques opérationnels et ROI III. Comment identifier le risque opérationnel SI? Le risque opérationnel SI Cibler le périmètre d analyse Partenaires à animer Focus sur le Business Impact Analysis Préparer les outils d identification des risques Évaluer le risque opérationnel IV. Comment le traiter? Panorama des chantiers types Continuité d activité et processus SI Dépendances (contractualisation) Gestion du facteur humain Gestion du risque V. Ce qu il faut retenir p. 37/75

38 RISK-A2 Gérer les risques informationnels 1 jour Niveau approfondissement Appréhender le risque informationnel Comprendre comment construire une gestion du risque informationnel adaptée à ses besoins. Connaitre les grands chantiers de protection de l information. Les RSSI Les Risk Managers Les consultants et chefs de projets SSI Avoir les connaissances de base en Gestion des risques ou avoir suivi la formation RISK-F1., en version papier Cours magistral, étude de cas I. Introduction Rappels Le risque informationnel Réglementation II. Analyse des risques informationnels Cibler les enjeux de l organisme Définir son périmètre Choisir et sensibiliser ses Partenaires: le «coût» du risque Outillages d identification et de sélection III. Traitement des risques informationnels Les risques types à aborder Comprendre les grands chantiers de protection de son patrimoine informationnel IV. Mise en pratique Application sur des cas choisis par les participants V. Ce qu il faut retenir p. 38/75

39 FORMATIONS CERTIFIANTES LSTI en quelques mots LSTI est un organisme de certification privé spécialisé dans le domaine de la sécurité de l'information. Il est apte à délivrer notamment les certifications ISO 2700X à des personnes physiques et à des personnes morales. Il passe par l intermédiaire de formateurs agréés pour délivrer ces certifications. Plusieurs centaines de personnes sont certifiées en France par an.. Réf. Libellé Durée Page Certifications LSTI LI Lead Implementor ISO :2013 5J 40 LA Lead Auditor ISO :2013 5J 41 RM Risk Manager ISO :2013 3J 42 p. 39/75

40 LI Formation certifiante Lead Implementor ISO : jours Niveau approfondissement Nouveau Acquérir les compétences d auditeur pour les SMSI Former les personnes participant à l élaboration, la mise en œuvre, le maintien et l amélioration d un SMSI Les professionnels de la sécurité qui souhaitent certifier leurs compétences, leurs connaissances et leurs capacités pour réaliser un audit selon la norme ISO/CEI version Être professionnel de la sécurité du SI depuis plus de 3 ans. Tarif Le prix s entend hors prix de la certification., en version papier Cours magistral, étude de cas, exercices, examen blanc I. Principe et projet d un SMSI Introduction aux enjeux d un SMSI Présentation de la norme ISO 27001:2013 Le projet SMSI Panorama des normes complémentaires Processus de certification ISO II. Processus de Gestion du risque de l information Introduction à la norme ISO :2011 Principes et terminologie Modèle PDCA Établissement du contexte Appréciation des risques Traitement des risques Acceptation des risques Communication des risques Réexamen du processus de gestion des risques et de suivi des risques Conclusion III. Processus de gestion des mesures de sécurité Présentation de la norme ISO 27002:2013 Différentes catégories de mesures de sécurité IV. Processus Gestion des indicateurs Présentation de la norme ISO Principes Indicateurs de conformité Indicateurs d efficacité V. Exercices et mises en situation quotidiens VI. Examen blanc et préparation à l examen LSTI VII. Examen de certification A lieu lors de la dernière demi-journée p. 40/75

41 LA Formation certifiante Lead Auditor ISO : jours Niveau expertise Mis à jour Acquérir les compétences d auditeur ou de responsable d audit pour les SMSI Former les personnes participant à l élaboration, la mise en œuvre, le maintien et l amélioration d un SMSI Les professionnels de la sécurité qui souhaitent certifier leurs compétences, leurs connaissances et leurs capacités pour piloter un audit selon la norme ISO/CEI version Être professionnel de la sécurité du SI depuis plus de 3 ans. Tarif Le prix s entend hors prix de la certification., en version papier Cours magistral, étude de cas, exercices, examen blanc I. Système de gestion de la sécurité de l information - Exigences Introduction à la sécurité de l information Introduction au SMSI Série ISO Autres normes liées à la sécurité du SI II. Zoom sur la norme ISO Norme ISO :2013 Approche processus PDCA Clause 4 : Contexte de l organisation Clause 5 : Leadership Clause 6 : Planification Clause 7 : Support Clause 8 : Fonctionnement Clause 9 : Évaluation des performances Clause 10 : Amélioration III. Code de bonne pratique pour la gestion de la sécurité de l information La norme ISO Les 14 articles de l ISO relatifs aux mesures de sécurité IV. Activité d Audit Démarche d audit suivant l ISO «Lignes directrices pour l audit des systèmes de management de la qualité et/ou de management environnemental» applicable aux systèmes de management de la sécurité V. Exercices et mises en situation quotidiens VI. Examen blanc et préparation à l examen LSTI VII. Examen de certification A lieu lors de la dernière demi-journée p. 41/75

42 RM Formation certifiante Risk Manager ISO jours Niveau expertise Mis à jour Mener des analyses de risques liés à la sécurité de l information Acquérir les bases théoriques, les concepts et les grands principes de la gestion des risques liés à la sécurité de l information Les professionnels de la sécurité qui souhaitent certifier leurs compétences, leurs connaissances et leurs capacités pour conduire une analyse de risques selon la norme ISO/CEI Être professionnel de la sécurité du SI et/ou du Risk Management depuis plus de 5 ans. Tarif Le prix s entend hors prix de la certification., en version papier Cours magistral, étude de cas, exercices, examen blanc I. Principes et pratique Concept et notions de risques Typologies d actifs et valorisation Menaces, Vulnérabilités, Conséquences Mesures de sécurité Scénarii d incident Appréciation et traitement du risque II. Processus de gestion du risque et méthodologie ISO Approche processus et modèle PDCA Établissement du contexte Appréciation du risque Traitement du risque Acceptation du risque Communication du risque Surveillance et réexamen du risque III. Recommandations Étapes clés Conduite d entretiens Acteurs du processus Outillage IV. Exercices, études de cas et annexes V. Examen de certification A lieu lors de la dernière demi-journée p. 42/75

43 LUTTE CONTRE LA CYBERCRIMINALITE Cette filière est dédiée aux formations traitant de la cybercriminalité. Elle va également aborder les aspects de forensique. Les formateurs sont des membres du CERT LEXSI, premier CERT privé d Europe. Réf. Libellé Durée Page Approfondissement CYB-A1 Faire face aux attaques ciblées et rôle d un CERT 1J 44 CYB-A2 Les réseaux sociaux : quels risques pour la sécurité du SI? 1J 45 CYB-E1 Analyse forensique en sécurité du SI 5J 46 p. 43/75

44 CYB-A1 Faire face aux attaques ciblées et rôle d un CERT 1 jour Niveau approfondissement Comprendre les principes et savoir détecter une attaque ciblée Se préparer à faire face à ce type d attaques Gérer un incident majeur de type «attaque ciblée» Comprendre et appréhender les missions types d un CERT Savoir mettre en œuvre un CERT au sein de son organisation Les professionnels de la sécurité qui souhaitent comprendre les risques liés aux actions cybercriminelles des APT et mettre en place les mesures adéquates pour y faire face. Maîtriser les fondamentaux de la sécurité du SI. Cours magistral, étude de cas, débat, en version papier Partie 1 : Attaques ciblées, les clés pour bien réagir I. Définition et étapes d une attaque ciblée APT menace réelle et terme galvaudé Reconnaissance / Intrusion Propagation / Persistance Collecte / Exfiltration II. Les prérequis pour faire face aux attaques ciblées La trousse de secours Rôle de l équipe de réponse à incident Établissement du périmètre de défense Sanctuarisation des données Gestion des logs Qualification des flux réseau III. Les moyens de détection Indices de compromission ou signaux faibles Supervision et connaissance du réseau IV. La gestion de crise en cas d attaque avérée Adapter le modèle classique de réponse à incident Modèle d organisation interne Exploiter les outils existants Compréhension et analyse de l attaque Élaboration et suivi d un plan de gestion de crise et entrevoir la sortie Partie 2 : Un CERT les tenants et les aboutissants I. Un CERT, une réponse aux défis de la cybercriminalité Un CERT, qu est-ce que c est? Typologies de CERT Les bonnes et mauvaises raisons de créer un CERT Les atouts et inconvénients d'un CERT interne II. Un CERT pour quoi faire? Description des services les plus courants Qui bénéficie des services en interne et/ou en externe Quels engagements peuvent être annoncés? Profils et compétences nécessaires au sein de l'équipe Quels services internaliser et lesquels externaliser? III. Plan d'action pour monter son CERT interne Coûts et délais de mise en œuvre Organisation interne, politiques et processus (y compris articulation possible entre CERT et SOC) Infrastructure (matériels, logiciels, etc.) et profils (formations, développement, conseil, etc.) nécessaires Présentation d un cas concret de déploiement d'un service prioritaire p. 44/75

45 CYB-A2 Les réseaux sociaux : quels risques pour la sécurité du SI? 1 jour Niveau approfondissement Faire un état des lieux sur les réseaux sociaux Rappeler leurs usages Appréhender les risques liés aux réseaux sociaux Faire face à ce type de risques Les professionnels de la sécurité qui souhaitent maîtriser les risques des réseaux sociaux pesant sur l organisation. Cette formation s adresse également aux Community Managers qui veulent un vernis sécurité dans leur fonction. Connaître les fondamentaux de la sécurité., en version papier Cours magistral, étude de cas I. Introduction : les réseaux sociaux au cœur des problématiques de sécurité de l'information II. Typologie des risques L'usurpation d'identité Les logiciels malveillants Les fuites d'informations confidentielles Les fausses nouvelles Utilisation pour la délinquance et la criminalité traditionnelles III. Les procédés d'ingénierie sociale Les risques de l ingénierie sociale pour la sécurité de l information Les leviers psychologiques mis en œuvre Recommandations Comment réagir face à un scénario en cours? IV. Les fuites d'informations confidentielles Quelles sont les informations sensibles? Comment estimer leur criticité? Dans la peau d'un acteur malveillant - Cas pratique Les bonnes pratiques à adopter - Paramétrage de sécurité sur les plateformes V. Étude de cas Étude de cas d actualité Formation par l'exemple : Sécurisation des pages personnelles des participants sur Viadeo, LinkedIn et Facebook VI. Réglementaire et juridique Responsabilité des employés en cas de fuite ou de diffusion d'informations confidentielles concernant leur activité professionnelle Risques juridiques, administratifs et disciplinaires pour le personnel Faire respecter les règles aux entités externes (prestataires, clients, personnels extérieurs) p. 45/75

46 CYB-E1 Analyse forensique en sécurité du SI 5 jours Niveau expertise Nouveau Comprendre les principes d investigation numérique Savoir réaliser un audit d intégrité Exploiter et analyser les données forensiques à disposition Les professionnels de la sécurité en charge de la gestion des incidents Membres d une équipe CERT Membres d une Red Team, Pentesteurs Analystes forensiques RSSI, en charge d une Cellule Opérationnelle de Sécurité Avoir des connaissances dans les aspects techniques des systèmes d exploitation., en version papier Cours magistral, étude de cas I. Principes généraux de l'investigation numérique II. Méthodologie d'audit d'intégrité Extraction et analyse des données volatiles Analyse en live Analyse post-mortem de la mémoire Analyse des communications réseau Extraction et analyse des données persistantes III. Méthodologie d'acquisition des données IV. Exploitation des données récoltées du disque Au niveau du système du fichier Au niveau des fichiers eux-mêmes V. Extraction et identification de la présence d'un fichier donné VI. Extraction de fichiers depuis les mécanismes de sauvegarde Microsoft Windows Vista, 7 et 2008 VII. Extraction des métadonnées de fichiers VIII. Génération et exploitation des lignes de temps (super-timelines) p. 46/75

47 TECHNIQUES DE PIRATAGE & ETHICAL HACKING Les formateurs de cette filière sont des auditeurs techniques expérimentés qui ont réalisé plusieurs centaines d audits dans leur carrière. La formation Ethical Hacking de 5 jours a été mise à jour et à niveau pour refléter les dernières techniques d attaque standards. De plus, à la différence de la formation CEH, elle est uniquement orientée TP et cas pratiques pour permettre aux participants de pratiquer tout au long de la formation. Une attestation «Ethical Hacking» LEXSI est délivrée à l issue de la semaine. Réf. Libellé Durée Page Approfondissement HACK-A1 Ethical Hacking : les techniques et la pratique 5J 48 p. 47/75

48 HACK-A1 Ethical Hacking : les techniques et la pratique 5 jours Niveau approfondissement Mis à jour Tarif : HT Faire un état des lieux des techniques de hacking Comprendre la méthodologie d attaque d un hacker Découvrir les techniques d attaque sur les composants du SI et savoir s en protéger Les RSSI, les auditeurs, les pentesteurs, les consultants et toute personne souhaitant pratiquer et comprendre en détail les outils et les méthodes employés pour pirater des systèmes et des équipements informatiques.. Disposer des connaissances techniques de base en sécurité du SI. Cours magistral, démonstrations, exercices, cas pratiques, en version papier À noter Une attestation de suivi du module «HACK-A1» est délivrée en fin de session. Module 1 : Découverte et cartographie de la cible I. Introduction Présentation Distribution Backtrack Les commandes Linux II. Les informations publiques Whois, dig, searchdns, google dork TheHarvester, foca, whatweb, maltego III. La cartographie réseau Rappel modèle OSI netcat, nmap, netstat Module 2 : Attaques web et applicatives I. Les vulnérabilités courantes Escape Shell, File Include & Upload, CSRF, XSS, SQLi II. Les outils de détection Burp, Wfuzz, Sqlmap, W3af, Xsser, Nikto Module 3 : Attaques sur les mécanismes d authentification I. Le bruteforce de comptes II. Le cassage de mots de passe III. Les attaques physiques Module 4 : Intrusion systèmes et réseaux I. Les protocoles dangereux DNS, SMTP, SNMP, SAMBA, listener Oracle II. Les attaques réseaux Vlan Hopping, MITM III. Les vulnérabilités logicielles OpenVas, Nessus, Metasploit IV. Les attaques WiFi V. Attaques ToIP/VoIP Module 5 : Maintien des accès et invisibilité I. Portes dérobées WebShell, Netcat, Bindhell II. Résilience des accès frauduleux SSH Port forwarding, Reverse Shell III. Invisibilité p. 48/75

49 SECURITE TECHNIQUE Cette filière regroupe toutes les formations de sécurité à connotation technique. Elles s adressent à tous les professionnels de l informatique qui souhaitent renforcer les systèmes qu ils administrent au quotidien. Réf. Libellé Durée Page Fondamentaux TECH-F1 Sécurité opérationnelle et technique : les fondamentaux 1J 50 Approfondissement TECH-A1 Sécurité d un environnement Windows 2J 51 TECH-A2 Sécurité d un environnement Unix / Linux 2J 52 TECH-A3 Sécurité de l Infrastructure et des interconnexions réseau 2J 53 TECH-A4 Sécurité des postes de travail Windows 1J 54 TECH-A5 Sécurité des données 1J 55 TECH-A6 Sécurité des environnements virtuels 1J 56 TECH-A7 Sécurité dans le Cloud 1J 57 p. 49/75

50 TECH-F1 Sécurité opérationnelle et technique : les fondamentaux 1 jour Niveau fondamental Comprendre les fondamentaux de la sécurité technique Organiser une filière de gestion opérationnelle de la sécurité du SI Les RSSI débutants, les consultants juniors et toute personne souhaitant acquérir les connaissances techniques suffisantes pour prendre en main la fonction de RSSI. Aucun., en version papier Cours magistral, démonstrations, cas pratiques I. Rappel des fondamentaux Disponibilité, Intégrité, Confidentialité, Traçabilité Plan, Do, Check, Act La défense en profondeur II. Sécurité des réseaux Sécurité périmétrique Malwares et solutions antivirales Firewalling IDS/IPS Surveillance et supervision Continuité de service III. Sécurité des systèmes Principes généraux IV. Cryptographie Principes généraux V. Gestion des identités et des accès Gestion des identités Authentification forte Authentification LDAP et SSO PKI et certificats Accès distants, VPN SSL VI. Sécurité applicative Architecture des applications webs Normes et standards de sécurité VII. Cellule de Sécurité Opérationnelle Gestion de la sécurité opérationnelle Rôle et missions Retour d expérience p. 50/75

51 TECH-A1 Sécurité d un environnement Windows 2 jours Niveau approfondissement Mis à jour Sécuriser l installation et la configuration d un serveur Windows Sécuriser l AD et DNS Utiliser des Group Policies Comprendre les mécanismes de sécurité Windows (chiffrement, authentification, outils) Les administrateurs Windows, Les ingénieurs systèmes Les membres d un support technique Les experts sécurité. Disposer de connaissances de base sur le fonctionnement d un environnement Windows., en version papier Cours magistral, démonstrations, cas pratiques JOUR 1 I. Présentation des nouveautés Active Directory et GPO Domain Name System Protection réseau Chiffrement de disque et périphérique Accès distant Sécurité du système II. Gestion des correctifs de sécurité Mise en place d une organisation Les points clés Présentation et apports de WSUS III. Virtualisation Présentation des différents types d hyperviseurs Présentation d Hyper-V Administration des machines virtuelles IV. Être attentif aux signaux faibles Introduction aux Advanced Persistent Threats Les points clés de la surveillance Comment sensibiliser les utilisateurs? JOUR 2 I. Techniques d attaque et mécanismes de protection Scan et recherche de vulnérabilités Obtention d accès frauduleux Création d une porte dérobée Récupération des mots passe stockés (disque, mémoire, registre, ) II. Bastion d administration Présentation III. Organisation de la sécurité Communication Gestion des incidents de sécurité p. 51/75

52 TECH-A2 Sécurité d un environnement Unix/Linux 2 jours Niveau approfondissement Mis à jour Sécuriser l installation et la configuration d un serveur Unix/Linux Gérer les droits et les privilèges Mettre en place la sécurité des processus et de la surveillance système Comprendre les mécanismes de sécurité Unix/Linux (chiffrement, authentification, outils) Sécuriser Apache, MySQL et PHP Les administrateurs Unix / Linux, les ingénieurs systèmes, les membres d un support technique, les experts sécurité. Disposer de connaissances de base sur le fonctionnement d un environnement Unix / Linux., en version papier Cours magistral, démonstrations, cas pratiques I. Introduction II. Attaques et contremesures Balayages / Scans Vulnérabilités logicielles Accès non autorisé Élévation de privilèges Accès aux données Codes malicieux III. Durcissement Durcissement Linux Durcissement AIX Serveur Web (Apache, Websphere) Base de données IV. Intégration Kerberos Directory (LDAP, AD) Management centralisé V. Outils additionnels Chiffrement Sécurité MAC Tester votre sécurité VI. En cas de doute Commandes et fichiers critiques Indicateurs de compromission Analyse réseau p. 52/75

53 TECH-A3 Sécurité de l Infrastructure et des interconnexions réseau 2 jours Niveau approfondissement Mis à jour Rappeler les principes et fondamentaux des réseaux (VLAN, DMZ, QoS, WiFi, ToIP.) Comprendre le fonctionnement des équipements actifs de sécurité Comprendre les méthodes d attaque réseau Maîtriser les bonnes pratiques de sécurité réseau (cloisonnement, filtrage, chiffrement, accès réseau ) Les administrateurs réseau, les ingénieurs réseau, les membres d un support technique, les experts sécurité. Disposer de connaissances de base sur les protocoles et l administration réseau., en version papier Cours magistral, démonstrations, cas pratiques I. Techniques cybercriminelles État des lieux Profils d attaquants Malware et botnets APT : Advanced Persistent Threats Faire face aux actions cybercriminelles II. L ingénierie sociale Les réseaux sociaux Les attaques d ingénierie sociale Un exemple concret III. État des lieux de la protection périmétrique Rappel des fondamentaux Pare-feu : aller plus loin WAF et FW XML IPS & IDS Next Generation Firewalls Lutter contre le DDoS Le DNS Les flux chiffrés : limites de l analyse IV. Le DLP Principes Mise en œuvre Le marché V. Virtualisation Principes Risques autour de la virtualisation Bonnes pratiques et renforcement VI. Cloud Computing Modèles et offres de Cloud Le prix du Cloud Risques autour du Cloud Bonnes pratiques de sécurité VII. Supervision et Exploitation Principes Zoom autour des SIEM Les bastions d administration p. 53/75

54 TECH-A4 Sécurité des postes de travail Windows 1 jour Niveau approfondissement Faire un état des lieux de la sécurité des postes de travail Windows Appréhender la sécurité du poste de travail utilisateur (installation, configuration, comptes, outils ) Comprendre les enjeux du nomadisme et du BYOD Aborder les spécificités de la sécurité Windows 7 et de la virtualisation des postes Les administrateurs bureautiques, les ingénieurs système, les membres d un support technique, les experts sécurité. Disposer de connaissances de base sur l administration de postes de travail Windows., en version papier Cours magistral, démonstrations, cas pratiques I. Menaces spécifiques aux postes Introduction Messagerie Internet Attaques via les interfaces Les malwares État des lieux II. Les logiciels de protection Antivirus Antispyware Protection antispam Firewall personnel III. Durcissement du poste Contrôle des accès physiques et logiques Sécurité réseau Sécurité des comptes Sécurité de Windows XP Sécurité de Windows 7 Audit et journalisation IV. Bonnes pratiques Faire face au BYOD Virtualisation du poste de travail Sécurité des smartphones & des tablettes Sécurité WiFi et Bluetooth Gestion des vulnérabilités et patch management Les 10 bons réflexes de l utilisateur V. Virtualisation du poste de travail p. 54/75

55 TECH-A5 Sécurité des données 1 jour Niveau approfondissement Nouveau Appréhender les concepts de protection de l information Prendre connaissance des solutions techniques autour de la sécurité des données, de leur création à leur destruction Approfondir les concepts d anonymisation des données et de suppression sécurisée des données Les responsables de sécurité du SI, Les architectes logiciels, Les responsables de projet, Les experts sécurité. Avoir suivi le cours TECH-F1 ou connaître les bases de la sécurité informatique., en version papier Cours magistral, exercices I. Introduction Cycle de vie d une information Cadre réglementaire Risques autour de l information II. Classification des informations Méthode de classification Atelier : identifier les catégories de données sensibles Règles de sécurité associées à la classification Marquage des documents et des courriels III. Stockage et sauvegarde Principes du chiffrement Environnement bureautique Sécurité des bases de données Techniques de sauvegarde IV. Utilisation Contrôle d accès IAM & gestion des droits Anonymisation des données en recette V. Partage et échange SSL, HTTPS, S/MIME, VPN (IPSEC, SSL) Sécurité dans le Cloud Plate-forme d échange sécurisée VI. Archivage Archivage vs. sauvegarde Un point sur les normes Techniques d archivage VII. Suppression sécurisée de suppression Solutions techniques p. 55/75

56 TECH-A6 Sécurité des environnements virtuels 1 jour Niveau approfondissement Rappeler les principes de la virtualisation Faire un état des lieux de la sécurité de la virtualisation Concevoir une architecture virtualisée sécurisée Comprendre les menaces, risques et vulnérabilités des infrastructures virtuelles Aborder la sécurité de vsphere (VMWare) Aborder la sécurité des postes de travail virtualisés Les administrateurs système, les ingénieurs système, les membres d un support technique, les experts sécurité. Disposer de connaissances de base en administration système., en version papier Cours magistral, cas pratiques I. Introduction Origines de la virtualisation Principes II. État des lieux Tendances Focus sur le Cloud Computing Risques et vecteurs d attaques III. Conception d une architecture virtuelle sécurisée IV. Menaces, risques et vulnérabilités Attaques physiques Contrôle d accès Vulnérabilités propres Anatomie d une attaque sur un environnement virtuel Contre-mesures V. Focus sur vsphere et VMWare VI. Sécurité des systèmes invités Windows et Linux Sécurité Windows invité Sécurité Linux invité VII. Sécurité des postes de travail virtualisés p. 56/75

57 TECH-A7 Sécurité dans le Cloud 1 jour Niveau approfondissement Faire un état des lieux de la sécurité des services de Cloud Appréhender les menaces et risques autour du Cloud Comprendre les enjeux de la sécurité des services hébergés en Cloud Les RSSI, les DSI, les administrateurs réseau & système, et tout professionnel de la sécurité qui souhaite apprendre les risques, menaces et mesures de sécurité autour des services liés au Cloud. Disposer de connaissances de base sur la sécurité de l information et des réseaux., en version papier Cours magistral, cas pratiques I. Présentation du Cloud Computing Les origines du Cloud Comment définir le Cloud? Quelques chiffres Modèles de Cloud / Services Exemples d utilisation du Cloud Avantages / inconvénients II. Le Cloud Computing : le cauchemar des RSSI? Complexité des différentes offres de Cloud La question délicate des coûts Remise en cause : les cas concrets Risques propres au Cloud III. Faut-il faire le grand saut? Aller ou non dans le Cloud? Quels sont les prérequis avant de mettre en place les services de Cloud? Mener un projet de Cloud Computing IV. À retenir Les 7 péchés capitaux Les 10 commandements p. 57/75

58 SECURITE DES SYSTEMES INDUSTRIELS La sécurité des systèmes industriels émerge dans les problématiques des RSSI. En effet, l univers IP commence à pénétrer de plus en plus profondément dans les réseaux informatiques industriels. Les contraintes liées à leur maintenance et à leur caractère critique rendent difficiles leur protection face aux menaces cybercriminelles. Suite à l attaque Stuxnet, il est désormais indispensable aux équipes industrielles et IT de se former aux risques et aux solutions pour y faire face. Pour la formation SCADA-E2, LEXSI s est associé avec Factory Systèmes et Diateam pour vous proposer une formation unique et concrète sur la sécurité des environnements industriels. FACTORY SYSTEMES en quelques mots FACTORY SYSTEMES est, depuis 25 ans, Distributeur de solutions Produits et Logiciels d'informatique Industrielle, et propose un ensemble de services d'accompagnement autour desdits produits. DIATEAM en quelques mots La société DIATEAM est une société d Ingénierie Numérique, R&D et Labos, concepteur notamment d une plateforme distribuée de simulation hybride pour la sécurité des systèmes d'information. Réf. Libellé Durée Page Approfondissement SCADA-A1 Sécurité des environnements industriels : les fondamentaux 1J 59 Expertise SCADA-E1 Sécurité des environnements industriels : Gérer les risques, maîtriser la technique 2J 60 SCADA-E2 Renforcer la sécurité des environnements industriels 3J 61 p. 58/75

59 SCADA-A1 Sécurité des environnements industriels : les fondamentaux 1 jour Niveau approfondissement Comprendre les nouvelles menaces et évaluer les nouveaux risques liés aux systèmes contrôle commande Maîtriser les principes fondamentaux de sécurité dans les environnements industriels Disposer de réponses pragmatiques pour sécuriser l existant et intégrer les meilleures pratiques de sécurité RSSI, DSI, Risk managers Équipes IT / informatique de gestion Automaticiens responsables et de production Responsables de sites industriels Équipes d audit interne Disposer de connaissances de base sur les environnements contrôle commande., en version papier Cours magistral, démonstrations I. Introduction Panorama cybersécurité industrielle Leçons du passé Définitions Présentation d événements de sécurité significatifs en environnement industriel Introduction sur les architectures Contrôle Commande II. Normes Panorama des normes en vigueur Rappels ISO2700x Focus CEI (ISA 99) Construire ses outils pour gérer les risques III. Pilotage SSI industriels Principes de pilotage Fondamentaux de la sécurité technique Gouvernance Organisation et équipes Outillage Passerelles entre bonnes pratiques IT et exigences contrôle commande Focus nouveaux projets : quelle sécurité pour une nouvelle infrastructure industrielle? IV. État des lieux du marché Catégories de produits Failles et faiblesses V. Les retours d expérience REX LEXSI Échanges inter participants V. Synthèse de la journée p. 59/75

60 SCADA-E1 Sécurité des environnements industriels : Gérer les risques, maîtriser la technique 2 jours Niveau expertise Comprendre les nouvelles menaces et évaluer les nouveaux risques Être en mesure de s autoévaluer Identifier les mesures de sécurité adaptées Tester les outils dans notre laboratoire Partager et échanger avec les autres participants RSSI, DSI, Risk managers Équipes informatiques de gestion Automaticiens et équipes de production Responsables de sites industriels Équipes d audit interne Disposer de connaissances de base sur les environnements contrôle commande., en version papier Cours magistral, démonstrations, travaux pratiques offensifs / défensifs sur plateforme Schneider, Siemens et FW Phoenix Contact, Arkoon et Fortinet. Note importante Ce cours est uniquement disponible en Intra-entreprise JOUR 1 I. Introduction et panorama Définitions Sûreté et sécurité Contraintes Panorama cybersécurité industrielle APT, IE, attaques ciblées, cyberguerre Les cibles dans l industrie française Focus transports, eau, énergie, nucléaire, OIV, défense Outils et premiers exercices II. Gouvernance SSI Industriels Panorama des normes en vigueur Rappels ISO2700x Focus CEI (ISA 99) SIL, SAL & gestion des risques Construire sa boite à outils Piloter la sécurité industrielle Sécuriser la technique Veille et sources d informations JOUR 2 I. Audits et diagnostics Diagnostic flash et pragmatique d une architecture industrielle Quantifier les risques, ROI de la sécurité industrielle Construire une stratégie de sécurisation Retours d expérience et cas pratiques Détecter et empêcher que ça sorte! Honey pot, IDS Snort, sondes, capacité forensic II. Travaux pratiques Introduction Phase de découverte indirecte Phase de découverte directe Phase d énumération Phase d exploitation & rebond Attaques spécifiques aux réseaux industriels Debrief - Contre-mesures - Conclusion p. 60/75

61 SCADA-E2 Renforcer la sécurité des environnements industriels 3 jours Niveau expertise Tarif : HT Comprendre les nouvelles menaces et évaluer les nouveaux risques Être en mesure de s auto-évaluer Identifier les mesures de sécurité adaptées Tester les outils dans notre laboratoire Partager et échanger avec les autres participants RSSI, DSI, Risk managers Équipes informatiques de gestion Automaticiens Responsables de sites industriels Direction des risques Équipes d audit interne Disposer de connaissances de base sur les environnements contrôle commande., en version papier Cours magistral, démonstrations, travaux pratiques offensifs / défensifs JOUR 1 I. Introduction et panorama Définitions Sûreté et sécurité Contraintes Panorama cybersécurité industrielle APT, IE, attaques ciblées, cyberguerre Les cibles dans l industrie française Focus transports, eau, énergie, nucléaire, OIV, défense Outils et premiers exercices II. Gouvernance SSI Industriels Panorama des normes en vigueur Rappels ISO2700x Focus CEI (ISA 99) SIL, SAL & gestion des risques Construire sa boite à outils Piloter la sécurité industrielle Sécuriser la technique Veille et sources d informations III. Audits et diagnostic Diagnostic flash pragmatique d une architecture industrielle Quantifier les risques, ROI de la sécurité industrielle Construire une stratégie de sécurisation Retours d expérience et cas pratiques Détecter et empêcher que ça sorte! Honey Pot, IDS Snort, sondes, capacité forensic JOUR 2 I. Sécurité des systèmes SCADA Architecture des systèmes SCADA Spécificités des systèmes SCADA en termes de cyber-sécurité Les éléments critiques d un système SCADA Stratégie des éditeurs logiciels, exemple Wonderware Présentation des protocoles terrains Bonnes pratiques de sécurité II. Outils pour la sécurisation des systèmes industriels (atelier pratique) Sécurisation des ports USB Mise en place d un firewall industriel sur le protocole OPC Protection des postes clients par la mise en place de clients légers Infrastructures critiques : Implémentation de diodes réseaux Mise en place et exploitation d un SIEM industriel JOUR 3 I. Scenarii et tests de pénétration de réseaux industriels (atelier pratique) Réplication d environnements industriels de test ou de production via Hynesim Stratégies de test de pénétration appliquées à des réseaux industriels et SCADA Comprendre le protocole Modbus/TCP Comprendre les commandes transportées par la charge utile du protocole Modbus/TCP Capture & attaque par rejeu de trames Modbus/TCP Attaques par Spoofing Modbus/TCP II. Mise en place de contre-mesures en vue de protéger les réseaux industriels (atelier pratique) Blocage des attaques Modbus/TCP à l aide d un firewall protocolaire Mise en place d une connexion VPN Utilisation d un boitier intégré : Gateway, VPN, Switch, Firewall industriel, Analyse protocoles terrain Sécurisation des accès utilisateurs, mise en place d un serveur MS Active Directory Protection par verrouillage des postes p. 61/75

62 SECURITE DES APPLICATIONS ET DES DEVELOPPEMENTS 80% des attaques sont réalisées sur la couche applicative. Avec la montée en compétences des équipes réseaux et systèmes, les pirates informatiques se tournent vers les moyens les plus vulnérables. Tout comme l informatique industrielle, la sécurité des développements et des applications devient un enjeu majeur dans la sécurité du SI car une faille sur un site web peut entraîner la corruption complète du SI. Il est donc indispensable de former les développeurs et les chefs de projet sur ce sujet. Réf. Libellé Durée Page Fondamentaux DEV-F1 Sécurité des applications web : les fondamentaux et l OWASP 1J 63 Approfondissement DEV-A1-PHP Sécurité des développements PHP 2J 64 DEV-A1-NET Sécurité des développements.net 2J 65 DEV-A1-JAVA Sécurité des développements JAVA 2J 66 DEV-A2 SDLC, audit de code et revue de conception 1J 67 p. 62/75

63 DEV-F1 Sécurité des applications web : les fondamentaux et l OWASP 1 jour Niveau fondamentaux Comprendre les risques pesant sur les applications web Découvrir les contributions et les apports de l OWASP Mettre en œuvre les moyens de protection de son code et de ses développements Les RSSI, les développeurs informatiques, les chefs de projet informatique, les chefs d équipe de développement et toute personne souhaitant acquérir les connaissances suffisantes pour sécuriser les applications web et leur développement. Aucun., en version papier Cours magistral, démonstrations, cas pratiques I. L insécurité des applications Web Évolution des applications Web La sécurité des applications Web (le cœur du problème, les facteurs clés) Le nouveau périmètre de sécurité La tendance II. Les technologies HTTP/HTML/ CSS Encodage (url, unicode, base64, entités HTML) Javascript SQL Langages de création de pages dynamiques (PHP, Java,.NET) AJAX JSON III. Les mécanismes essentiels de défense Contrôle des accès Contrôle des entrées/sorties Contrôle des attaquants Administration de l application IV. Présentation de l OWASP Qu est-ce que l OWASP? Les documents édités (TOP10, guides ) Les logiciels édités (DirBuster, Zed Attack Proxy (ZAP), ESAPI, WebGoat, GoatDroid, igoat ) V. Les applications compilées Compilation native / Machine virtuelle Attaque spécifique sur code natif (Buffer overflow, Format string) Attaque sur code «virtuel» : la décompilation p. 63/75

64 DEV-A1-PHP Sécurité des développements PHP 2 jours Niveau approfondissement Comprendre les risques pesant sur les applications développées en PHP Implémenter directement dans le code les moyens de protection face à ces risques Savoir sécuriser les frameworks de développement PHP Les développeurs PHP, les chefs d équipe de développement PHP et toute personne souhaitant acquérir les connaissances suffisantes pour sécuriser les applications développées en PHP. Avoir de bonnes connaissances en développement PHP., en version papier Cours magistral, démonstrations, exercices pratiques I. Rappel sur le langage PHP Historique PHP4/PHP5 II. Gestion de la session La session, pour quoi faire? Les principales fonctions Les attaques Vol de session Fixation de session Les bonnes pratiques III. Gestion des entrées Pourquoi gérer les entrées? Les principales fonctions (GET, POST, FILES, File_get_contents) Injection SQL (exercice) Injection XML/XPath Directory traversal (exercice) File upload (exercice) Les bonnes pratiques IV. Gestion des sorties Pourquoi gérer les sorties? Les principales fonctions (Echo, print) Reflected XSS (exercice) Stored XSS (exercice) Les bonnes pratiques V. Authentification Qu est-ce qu une authentification? Pourquoi s authentifier via SSL? Pourquoi hacher le mot de passe? Pourquoi saler le mot de passe? Pourquoi utiliser le champ input password? Pourquoi utiliser l option autocomplete à off? VI. Autorisation Les autorisations, pour quoi faire? Droits verticaux et horizontaux Les attaques : usurpation de privilège (verticaux/horizontaux) Le modèle RBAC (Role Base Access Control) VII. Journalisation Pourquoi journaliser? Que doit-on journaliser? Failles de journalisation Les bonnes pratiques VIII. Webservices IX. Frameworks Zend : présentation Symphony : présentation p. 64/75

65 DEV-A1-NET Sécurité des développements.net 2 jours Niveau approfondissement Comprendre les risques pesant sur les applications développées en.net Implémenter directement dans le code les moyens de protection face à ces risques Savoir sécuriser les frameworks de développement.net Les développeurs.net, les chefs d équipe de développement.net et toute personne souhaitant acquérir les connaissances suffisantes pour sécuriser les applications développées en.net. Avoir de bonnes connaissances en développement.net., en version papier Cours magistral, démonstrations, exercices pratiques I. Rappel sur le langage.net Historique Principales différences entre les versions II. Gestion de la session La session, pour quoi faire? Les principales fonctions Les attaques Vol de session Fixation de session Les bonnes pratiques III. Gestion des entrées Pourquoi gérer les entrées? Les principales fonctions Injection SQL (exercice) Injection XML/XPath Directory traversal (exercice) File upload (exercice) Les bonnes pratiques IV. Gestion des sorties Pourquoi gérer les sorties? Les principales fonctions Reflected XSS (exercice) Stored XSS (exercice) Les bonnes pratiques V. Authentification Qu est-ce qu une authentification? Pourquoi s authentifier via SSL? Pourquoi hacher le mot de passe? Pourquoi saler le mot de passe? Pourquoi utiliser le champ input password? Pourquoi utiliser l option autocomplete à off? VI. Autorisation Les autorisations, pour quoi faire? Droits verticaux et horizontaux Les attaques : usurpation de privilège (verticaux/horizontaux) Le modèle RBAC (Role Base Access Control) VII. Journalisation Pourquoi journaliser? Que doit-on journaliser? Failles de journalisation Les bonnes pratiques VIII. Webservices IX. Le framework NHibernate p. 65/75

66 DEV-A1-JAVA Sécurité des développements JAVA 2 jours Niveau approfondissement Comprendre les risques pesant sur les applications développées en JAVA Implémenter directement dans le code les moyens de protection face à ces risques Savoir sécuriser les frameworks de développement JAVA Les développeurs JAVA, les chefs d équipe de développement JAVA et toute personne souhaitant acquérir les connaissances suffisantes pour sécuriser les applications développées en JAVA. Avoir de bonnes connaissances en développement JAVA., en version papier Cours magistral, démonstrations, exercices pratiques I. Rappel sur le langage JAVA Historique Principales différences entre les versions II. Gestion de la session La session, pour quoi faire? Les principales fonctions Les attaques Vol de session Fixation de session Les bonnes pratiques III. Gestion des entrées Pourquoi gérer les entrées? Les principales fonctions Injection SQL (exercice) Injection XML/XPath Directory traversal (exercice) File upload (exercice) Les bonnes pratiques IV. Gestion des sorties Pourquoi gérer les sorties? Les principales fonctions Reflected XSS (exercice) Stored XSS (exercice) Les bonnes pratiques V. Authentification Qu est-ce qu une authentification? Pourquoi s authentifier via SSL? Pourquoi hacher le mot de passe? Pourquoi saler le mot de passe? Pourquoi utiliser le champ input password? Pourquoi utiliser l option autocomplete à off? VI. Autorisation Les autorisations, pour quoi faire? Droits verticaux et horizontaux Les attaques : usurpation de privilège (verticaux/horizontaux) Le modèle RBAC (Role Base Access Control) VII. Journalisation Pourquoi journaliser? Que doit-on journaliser? Failles de journalisation Les bonnes pratiques VIII. Webservices IX. Les frameworks Struts : présentation Hibernate : présentation JavaServer Faces : présentation Springs : présentation p. 66/75

67 DEV-A2 SDLC, Audit de code et Revue de conception 1 jour Niveau approfondissement Comprendre les différentes méthodes de développement sécurisé Mettre en œuvre les audits de code Réaliser un design review lors d un projet de développement applicatif Les développeurs, les chefs de projet informatique, les chefs d équipe de développement et toute personne souhaitant intégrer dans ses projets de développement applicatif les bonnes pratiques de sécurité. Avoir des connaissances fondamentales de la sécurité des développements., en version papier Cours magistral, démonstrations, études de cas I. Secure Development Life- Cycle (SDLC) Qu est-ce que le Secure Development Life Cycle? Les phases d un SDLC Planification Implémentation Test/Recette Documentation Déploiement & Mise en production Maintenance Panorama des différentes méthodes (Agile, Scrum, Microsoft SDL ) II. L audit de code Qu est-ce que l audit de code? Audit de Code / Pentest? Acteurs impliqués Étapes à suivre Résultats attendus Les outils d audit automatique III. Le Design Review Qu est-ce qu un Design Review? Pour quoi faire? Les points à aborder Infrastructure Validation des entrées/sorties Authentification Autorisation Gestion de la configuration Données sensibles Gestion de la session cryptographiques Gestion des exceptions Journalisation Mise en œuvre d un Design Review p. 67/75

68 CURSUS ADN DE FORMATION LEXSI Lexsi vous propose 3 Cursus appelés «Cursus ADN». Ils s adressent à des professionnels qui viennent de prendre leurs fonctions et qui souhaitent acquérir les compétences et les connaissances nécessaires à leurs missions (SSI ou PCA). Ces programmes ont été conçus sur la base des modules de notre catalogue de formation et sont pensés pour répondre aux besoins des participants. Ils sont basés sur notre retour d expérience et sur les retours de précédents participants. Pourquoi «ADN»? Lexsi considère que les sujets abordés par chaque cursus doivent faire partie de l ADN du professionnel de la sécurité du SI ou de la continuité d activité. Réf. Libellé Durée Page ADN-RSSI Cursus ADN du Responsable de Sécurité du SI 5J 69 ADN-RPCA Cursus ADN du Responsable Plan de Continuité d Activité 5J 70 ADN-RPCSI Cursus ADN du Responsable Plan de Secours Informatique 5J 71 p. 68/75

69 ADN-RSSI Cursus ADN du Responsable de Sécurité du SI 5 jours Mis à jour Tarif : HT Acquérir les compétences nécessaires à la prise de fonction du rôle de RSSI d une organisation RSSI débutant Consultant junior Aucun., en version papier sécurité Cours magistral, démonstrations, exercices pratiques, étude de cas À noter Chaque participant reçoit un livre «Manager la Sécurité du SI» de Matthieu BENNASAR et une attestation du programme ADN-RSSI. Jour 1 : Les fondamentaux du Management de la Sécurité (SMSI-F1) État des lieux de la sécurité Notions fondamentales Écosystème ISO 270xx Mettre en place une filière SSI Piloter la SSI Premières actions de sécurisation du SI Jour 2 : Les fondamentaux de la gestion et de l analyse des risques (RISK-F1) Principes et définition Norme ISO Mise en pratique Analyse de risques des projets SI Jour 3 : Les fondamentaux de la sécurité opérationnelle et technique (TECH-F1) Rappel des fondamentaux Sécurité des réseaux Sécurité des systèmes Cryptographie Gestion des identités et des accès Sécurité applicative Cellule de Sécurité Opérationnelle (SOC) Jour 4 : Appréhender la dimension juridique de la Sécurité de l information (SMSI-A1) Les bases du droit Responsabilité du RSSI Panorama du cadre réglementaire Conservation Données à caractère personnel Exemples de contrôle de l employeur Charte d utilisation des moyens informatiques et télécoms Étude de cas Dépôt de plainte Jour 5 : Initier et mener une campagne de sensibilisation (SMSI-A2) Quelques chiffres de social engineering Sensibiliser : pourquoi? Principes de sensibilisation Construction d une campagne de sensibilisation Test de validation de connaissance p. 69/75

70 ADN-RPCA Cursus ADN du Responsable Plan de Continuité d Activité 5 jours Acquérir les compétences de mise en place d un plan de continuité des activités métier d une organisation Faciliter la prise de fonction du rôle de RPCA d une organisation RPCA débutant Consultant PCA junior Aucun., en version papier Cours magistral, démonstrations, exercices pratiques, étude de cas À noter Chaque participant reçoit un livre «Plan de Continuité d Activité» et une attestation du programme ADN-RPCA. Jour 1 : Les fondamentaux de la continuité d activité (PCA-F1) Introduction La continuité d activité Projet E=MCA (Étapes vers le Management de la Continuité d Activité) À retenir Jour 2 : Activer le dispositif PCA via une gestion de crise dédiée (PCA-A1) Entrée en matière «L impensable pensé» : matière à réfléchir Quelques leçons et quelques armes Méthodologie et outils Exemples pratiques Les clés de la résolution Conseils et écueils Jour 3 : Qualifier ses activités critiques : Réussir son BIA (PCA-A2) Introduction Bilan d Impact sur l Activité Analyse de sinistralité Exercices Jour 4 : Déployer un dispositif efficace de continuité métier (PCA-A3a) Introduction Les composantes d un PCM efficace Une réponse par sinistre envisagé Exercices Élaborer sa filière PCM Jour 5 : Réussir la maintenance et l organisation des tests PCA (PCA-A4a) Introduction Principes de maintenance Campagne de tests PCA Étude de cas Ce qu il faut retenir Test de validation de connaissance p. 70/75

71 ADN-RPCSI Cursus ADN du Responsable Plan de Continuité du SI 5 jours Acquérir les compétences de mise en place d un plan de secours informatique d une organisation Faciliter la prise de fonction du rôle de RPCSI d une organisation RPCSI débutant Consultant PCSI junior Aucun., en version papier Cours magistral, démonstrations, exercices pratiques, étude de cas À noter Chaque participant reçoit un livre «Plan de Continuité d Activité» et une attestation du programme ADN-RPCSI. Jour 1 : Les fondamentaux de la continuité d activité (PCA-F1) Introduction La continuité d activité Projet E=MCA (Étapes vers le Management de la Continuité d Activité) À retenir Jour 2 : Activer le dispositif PCA via une gestion de crise dédiée (PCA-A1) Entrée en matière «L impensable pensé» : matière à réfléchir Quelques leçons et quelques armes Méthodologie et outils Exemples pratiques Les clés de la résolution Conseils et écueils Jour 3 : Qualifier ses activités critiques : Réussir son BIA (PCA-A2) Introduction Bilan d Impact sur l Activité Analyse de sinistralité Exercices Jour 4 : Mettre en œuvre un secours efficace de son SI (PCA-A3b) Introduction Structure d un plan de secours informatique Les solutions techniques Élaborer sa filière PCSI Jour 5 : Réussir la maintenance et l organisation des tests de secours informatique (PCA- A4b) Introduction Principes de maintenance Campagne de tests PCSI Étude de cas Ce qu il faut retenir Test de validation de connaissance p. 71/75

72 MODALITES D INSCRIPTION Lexsi vous propose 4 manières différentes de vous inscrire à nos formations : Sur internet Vous y trouverez les modules, cursus, programmes détaillés, dates et lieux. Vous pouvez vous pré-inscrire en remplissant notre formulaire en ligne. Par le formulaire papier Vous trouverez en dernière page de notre catalogue un formulaire à remplir et à renvoyer par fax, ou par courrier. Par téléphone au Notre équipe est à votre disposition pour vous informer et trouver la session, la date et le lieu répondant à vos attentes. Via votre contact commercial Lexsi Si vous avez un contact commercial Lexsi attitré, vous pouvez prendre contact avec lui pour vous guider et vous conseiller dans votre recherche de formation. Que comprend le prix de la formation? Les prix comprennent la session de formation, les documentations pédagogiques, le petitdéjeuner et le repas de midi. Les prix des formations sur mesure font l objet d un devis personnalisé, qui est établi par un consultant spécialiste en ingénierie pédagogique. Après votre inscription Vous recevrez un courrier électronique de Lexsi pour confirmer votre inscription, accompagné d une convention de formation à renvoyer datée et signée. Une convocation vous sera adressée quelque temps avant la session. Elle précisera le lieu (plan d accès), l horaire et la date de la session. Lexsi se réserve le droit de reporter une formation pour des raisons de force majeure ou en cas d un nombre insuffisant de participants. Après la formation Vous recevrez une facture établie à l issue de la session, accompagnée de la feuille de présence émargée par les participants. p. 72/75

73 DEMANDE D INSCRIPTION Votre demande d inscription est à retourner : Par courrier (adresse au dos de cette page) Par fax : +33 (0) Par mail : [email protected] La société ou l établissement :. Nom du chargé de l inscription :. Adresse :..... Téléphone : Référence du module ou du cursus Date(s) Lieu Nom et prénom du participant Fonction du participant du participant Prix du module ou du cursus ( HT) Nom du signataire :.. Fonction du signataire : Date :.. Signature et cachet de l entreprise

74 QUELQUES MOTS SUR LE GROUPE LEXSI 15 ans d histoire ont fait de Lexsi la première société de service spécialisée en cybersécurité en France. Avec le plus important CERT indépendant d Europe et une base de threat intelligence faisant référence sur le marché, Lexsi veille sur la sécurité de plus de 500 clients dans le monde. Le portfolio de Lexsi compte des services d audit, de conseil, de réponse à incident et de formation, ainsi qu une offre logicielle aboutie, essentiellement disponible en SaaS. Ces produits s articulent naturellement autour d une démarche de défense structurée faite d anticipation et de riposte. Lexsi en quelques chiffres 21M de chiffre d affaire Croissance à 2 chiffres depuis plus de 5 ans 200+ experts 4 pôles : audit, conseil, formation, CERT 1er CERT privé d Europe 15 ans d expérience

75 Siège Social : Les Mercuriales 40 rue Jean Jaurès BAGNOLET Lexsi LYON Bois des côtes 1, Bât. A 300 route Nationale Limonest Tél Lexsi LILLE Synergie Parc 4 rue Louis Broglie Lille-Lezennes Tél Lexsi CANADA rue St-Denis H2X 3L3 Montréal, Québec Tél Lexsi SINGAPOUR 46, East Coast Road Eastgate - # Singapore Tél Lexsi TUNISIE La Résidence du Lac, Bât. A Rue du Lac Victoria Les Berges du Lac 1053 Tunis Tél