HERVÉ SCHAUER CONSULTANTS CATALOGUE Sécurité des systèmes d'information. Sécurité Technique Sécurité Organisationnelle E-learning.

Transcription

1 H E R V É S C H A U E R C O N S U L T A N T S CATALOGUE 2014 Sécurité des systèmes d'information Sécurité Technique Sécurité Organisationnelle E-learning Formations HERVÉ SCHAUER CONSULTANTS

2 Les formations HSC Les formations HSC, une histoire de passion! Notre secteur d'activité imposant une évolution rapide et constante des compétences et des connaissances, HSC s'est toujours évertuée à parfaire ses formations et à en créer de nouvelles afin que chacun puisse trouver, auprès de nous, le transfert des compétences et d'informations indispensables à votre évolution professionnelle, voire personnelle. Les formations HSC, c'est, avant tout l'esprit de partage et de retour d'expériences par des consultants seniors. Conviviales, pragmatiques et studieuses, certaines d entre elles sont dispensées en province pour votre confort. L exigence et l implication apportées par chacun des maillons HSC nous a permis d obtenir en février 2010 la certification ISO9001:2008* par Moody International ( sur le périmètre des formations certifiantes ISO et ISO Lead Auditor et Implementer, ISO Risk Manager, de la formation labellisée Correspondant Informatique et Libertés (CIL) et de l'ensemble des formations SANS. * Certificat d'enregistrement n accordé à HSC en date du 5 février De plus, l'office Professionnel de Qualification des organismes de Formation (Cf a qualifié HSC le 26 octobre 2011 pour ses formations. Cette qualification, obtenue dans le domaine "informatique" pour une durée de quatre ans, reconnaît le professionnalisme et le sérieux d'hsc en tant qu'organisme de formation. Elle atteste notamment du respect de la réglementation, de l'adéquation des compétences et des moyens techniques et humains mis en œuvre aux actions de formation, de la satisfaction des clients et de la pérennité financière d'hsc. Le professionnalisme d'hsc a été apprécié par l'isq-opqf au travers d'une instruction rigoureuse conforme à la norme AFNOR NF X en quatre étapes : recevabilité du dossier, analyse au fond de la demande par un expert de la formation professionnelle continue appelé instructeur, émission d'un avis collégial par une commission d'instruction et décision par le comité de qualification. La qualification OPQF vient ainsi distinguer la qualité des formations HSC, elle préjuge d'une relation de confiance client/ prestataire de formation et elle est le gage d'une coproduction réussie et donc efficace. Nous sommes persuadés que vous trouverez auprès des formations HSC l'outil indispensable à vos besoins. N'hésitez pas à parcourir ce catalogue 2014 et à prendre connaissance des nouveautés HSC. Nous espérons vous recevoir bientôt parmi nous. A NOTER... Le suivi des formations HSC vous permet de déclarer des CPE (Continuing Professional Education), et de maintenir, ainsi, les certifications qui l'imposent telles que CISA, CISM, CGEIT de l'isaca, CISSP, SSCP d'isc²... Pour plus d'informations, contactez le service formation par téléphone au ou par courriel à 2

3 Notre politique qualité 3

4 Organismes de certification Permettre de monter en compétences et développer celles-ci a toujours été pour HSC une priorité. Grâce au soutien de trois organismes renommés et accrédités, HSC propose aux stagiaires, à l'issue des formations qu'elle dispense, les certifications les plus reconnus dans le monde: Hervé Schauer Certifié en 2004 La certification CISSP (Certified Information Systems Security Professional), accréditée ISO aux USA par l'ansi (www. ansica.org) depuis 2004, est la première certification mondiale de compétence en sécurité des systèmes d"information, détenue par plus de professionnels dans plus de 135 pays. Elle est délivrée par (ISC)², qui édite également le recueil de sécurité CBK (Common Body of Knowledge), et atteste de la connaissance de l'ensemble des sujets liés à la sécurité des systèmes d'information. (ISC)² n'a pas de relations contractuelles avec les organismes de formation préparant à l'examen du CISSP comme HSC. Examen : L'examen est un QCM en français et/ou en anglais, qui se déroule dans un centre d'examen, à la date choisie par le stagiaire, et qui doit être acheté directement par le stagiaire auprès de Pearson VUE ( pour les formations ISO Lead Auditor, ISO Lead Implementer, ISO Risk Manager, EBIOS Risk Manager, ISO Lead Auditor et ISO Lead Implementer. LSTI est un organisme de certification spécialisé dans le domaine de la sécurité des systèmes d'information, et le seul organisme de certification français en SSI. LSTI a été le premier organisme à proposer des certifications d'entreprises à l'iso 27001, et demeure le seul à réaliser des certifications RGS (Référentiel Général de Sécurité). Les certifications de compétences de LSTI ont été les premières au monde à obtenir l'accréditation ISO en 2007 par le COFRAC ( pour les certifications ISO Les certifications délivrées par LSTI sont mondialement reconnues et détenues par plus de 2000 professionnels francophones. Examen : Les examens se déroulent à l'issue de la formation dans les locaux d'hsc. Ce sont des examens de type universitaire, en français ou en anglais, corrigés manuellement par deux examinateurs (double correction). Pour plus d'informations, contactez le service formation par téléphone au ou par courriel à 4

5 Organismes de certification pour les formations SANS Institute GIAC (Global Information Assurance certification) a été fondé en 1999 par le SANS Institute pour valider les compétences des professionnels de la sécurité. Seuls les stagiaires ayant suivi des formations SANS peuvent tenter des certifications GIAC. Certaines certifications GIAC sont accréditées ISO aux USA par l'ansi. Les certifications GIAC sont les certifications techniques en sécurité les plus reconnues au monde, sans équivalent. Elles s'adressent à des professionnels avisés (et ne sont donc pas accessibles à tous), ce qui en fait une valeur sûre et reconnue dans les CV. Depuis janvier 2011, HSC est partenaire de SANS (Community SANS) et organise tout le programme des formations SANS Institute à Paris. Les formations SANS se caractérisent par leur grande qualité de support de cours, leur TP et leur technicité. Examen Les examens sont des QCM en anglais et se déroulent dans un centre d'examen Pearson Vue ( com/) à une date choisie par le stagiaire dans les 4 mois qui suivent la formation. LPI (Linux Professionnal Institute), est l'organisme de certification internationalement reconnu dans le monde du logiciel libre. Il a été créé en 1999 pour permettre la reconnaissance professionelle dans les technologies Linux et Open Source et personnes dans le monde détiennent une certification LPI. Ces certifications sont indépendantes des éditeurs et des distributions. Depuis septembre 2013, HSC est partenaire de la société Linagora, distributeur exclusif des certifications LPI en Ilede-France, et propose la formation Expert Sécurité Linux permettant d'atteindre le niveau LPIC-3, le plus élevé de la certification LPI. Examen L'examen est un QCM en anglais, qui se déroule soit chez Linagora, soit dans un centre d'examen Pearson VUE, à la date choisie par le stagiaire. 5

6 Classement des formations HSC par métier Classement des formations HSC par métier Mon métier Informaticien Consultant en sécurité réalisant des audits techniques ou des tests d intrusion Formations adaptées Fondamentaux et principes de la SSI - SEC 401 Sécurité Wi-Fi Sécurité de la voix sur IP Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 Sécuriser un serveur Linux - LPI 303 Sécurité du Cloud Computing Essentiel de la série ISO Gestion des mesures de sécurité et norme ISO Fondamentaux et principes de la SSI - SEC 401 Formation CISSP Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 Expert Sécurité Linux - LPI 303 Sécurité Wi-Fi Investigations Inforensiques Windows - FOR 408 Analyse Inforensique avancée et réponse aux incidents - FOR 508 Tests d intrusion des applications web et hacking éthique - SEC 542 Techniques de hacking, exploitation de failles... - FOR 610 Tests d intrusion et hacking éthique - SEC 560 Rétroingénierie de logiciels malfaisants - SEC 504 Tests d intrusion avancés, exploitation de failles hacking éthique - SEC 660 Sécurité SCADA ISO Lead Auditor techniques sd del las SSI SI Développeur Chef de projet Essentiels techniques de la SSI Fondamentaux et principes de la SSI - SEC 401 Protéger les applications web - DEV 522 Formation sur-mesure au développement en toute sécurité Pour plus d'informations, contactez le service formation par téléphone au ou par courriel à 6

7 Classement des formations HSC par métier Mon métier RSSI RPCA ou Consultant accompagnant un RPCA dans ses missions Consultant accompagnant un RSSI dans ses missions Formations adaptées Formation RSSI Essentiels juridiques pour gérer la SSI Sécurité du Cloud Computing Essentiel Essentiel de la norme ISO 27001:2013 Indicateurs et tableaux de bord de la SSI / ISO Gestion des mesures de sécurité et norme ISO Gestion des incidents de sécurité / ISO ISO Lead Auditor ISO Lead Implementer ISO Risk Manager Essentiels techniques de la SSI Fondamentaux et principes de la SSI - SEC 401 Principes et mise en oeuvre des PKI ISO Lead Auditor ISO Lead Implementer Essentiel ISO ISO Lead Auditor ISO Lead Implementer Formation CISSP Sécurité du Cloud Computing Essentiel de la norme ISO 27001:2013 Indicateurs et tableaux de bord de la SSI / ISO Gestion des mesures de sécurité et norme ISO Gestion des incidents de sécurité / ISO ISO Lead Auditor ISO Lead Implementer Fondamentaux ISO Risk Manager techniques de la SSI Gestion des Risques Avancée Classement des formations HSC par métier Correspondant Informatique et Libertés (CIL) Essentiels E l informatique &Lib Libertés Essentiels juridiques pour gérer la SSI Correspondant Informatique et Libertés (CIL) Essentiels techniques de la SSI Auditeur Formation CISSP Essentiel du RGS (Référentiel Général de Sécurité) Essentiel de PCI DSS Sécurité du Cloud Computing Essentiel de la norme ISO 27001:2013 Indicateurs et tableaux de bord de la SSI / ISO Gestion des mesures de sécurité et norme ISO Gestion des incidents de sécurité / ISO ISO Lead Auditor ISO Lead Auditor Essentiels techniques de la SSI Fondamentaux et principes de la SSI - SEC 401 Sécurité SCADA Analyse inforensique avancée et réponses aux incidents - FOR 508 Investigations Inforensiques Windows - FOR 408 7

8 Sommaire Sécurité Technique 8 SÉCURITÉ DES RÉSEAUX ET DES INFRASTRUCTURES Essentiels techniques de la SSI 8 Fondamentaux et principes de la SSI - SEC Sécurité Wi-Fi 10 Sécurité de la Voix sur IP 11 Sécurité SCADA 12 DNSSEC 13 SÉCURITÉ DES SYSTÈMES Sécuriser Windows et résister aux logiciels malfaisants - SEC Expert Sécurité Linux - LIP INFORENSIQUE Investigations Inforensiques Windows - FOR Analyse inforensique avancée et réponse aux incidents - FOR Rétroingénierie de logiciels malfaisants : Outil et techniques d'analyse - FOR TESTS D'INTRUSION Techniques de hacking, exploitation de failles et gestion des incidents - SEC Tests d'intrusion des applications web et hacking éthique - SEC Tests d'intrusion et hacking éthique - SEC Tests d'intrusion avancés, exploitation de failles et hacking éthique - SEC SÉCURITÉ DANS LES DÉVELOPPEMENTS Protéger les applications web - DEV Sécurité Organisationnelle 27 SÉCURITÉ ET JURIDIQUE Essentiels juridiques pour gérer la SSI 25 Essentiel Informatique et Libertés 26 Correspondant Informatique et Libertés (CIL) labellisé par la CNIL (2 jours) 27 Correspondant Informatique et Libertés (CIL) en 3 jours 28 MANAGEMENT DE LA SÉCURITÉ Sensibilisation à la SSI 29 Formation au CISSP 30 Formation RSSI 31 Essentiel de PCI DSS 32 Principes et mise en oeuvre des PKI 33 RGS : la sécurité des systèmes d'information pour le secteur public 34 Sécurité du Cloud Computing 35 MANAGEMENT DE LA SÉCURITÉ AVEC LES NORMES ISO 2700X Présentation des formations ISO 2700x 36 Essentiel ISO 27001: Gestion des mesures de sécurité et norme ISO Gestion des incidents de sécurité / ISO Indicateurs et tableaux de bord SSI / ISO ISO Lead Auditor 41 ISO Lead Implementer 42 ISO Risk Manager 43 Gestion des Risques Avancée 44 EBIOS Risk Manager 45 MANAGEMENT DE LA CONTINUITÉ D'ACTIVIÉ AVEC LES NORMES ISO 2230X Essentiel ISO ISO Lead Auditor 47 IISO Implementer 48 Formations E-learning 47 Programmation sécurisée en PHP 49 Fondamentaux de la norme ISO Calendrier des formations Le saviez-vous? 53 Ouvrages de référence 54 Modalités d'inscription / Bulletin de pré-inscription Conditions générales de vente 57 8

9 Sécurité Technique Essentiels techniques de la SSI Formation théorique à la Sécurité des Systèmes d Information, ce cours apportera au personnel technique et aux chefs de projets une approche d'un système d'information sous l'angle des attaquants et donnera les bonnes pratiques pour sécuriser et maintenir un niveau de sécurité correct dans vos systèmes d information. Connaître les principales attaques et les contre-mesures adéquates est devenu primordial pour toute entreprise utilisant l'informatique et les réseaux comme support de travail. VOUS ALLEZ APPRENDRE À Identifier les points faibles des systèmes d'information Définir les règles de sécurité fondamentales pour sécuriser un périmètre Comprendre la portée des attaques informatiques Personnel ayant besoin d'engranger de nouvelles connaissances en sécurité Administrateurs systèmes ou réseaux Une connaissance informatique de base ainsi que des bases en réseaux TCP/IP. : Cours magistral Démonstrations Supports au format papier en français Formation non certifiante. Durée : 2 jours / 14 heures JOUR 1 Introduction Contexte, Objectifs, Enjeux Risques et impacts métier Chantage au déni de service Détournement de facturation Atteinte à l'image Risques juridiques Solutions de sécurité Rappels techniques Protocoles réseau (IP, TCP, UDP, ICMP, IPsec) Protocoles lien (Ethernet, ARP, 802.x, LAN, VPN, MPLS) Exemple de protocole applicatif : HTTP(s) Passerelles d'authentification JOUR 2 Sécurité des réseaux et firewalls (grands principes) Cloisonnement et filtrage IP, Relayage applicatif, architecture sécurisée - Objectifs, enjeux et principes - Equipements et limites - Exemple HSC d'attaque réussie (IPspoofing sur contrôleur de domaine Windows) - DMZ : les bonnes pratiques - Exemples précis de flux réseaux : matrice des flux, illustration schématique Applications concrètes : virtualisation, Datacenters, ToIP Sécurité des applications Attaques classiques et retour d'expérience HSC - Fonctionnement des attaques Web classiques (injections SQL, XSS, CSRF) - Serveurs Web, SSO - Webservices et flux XML Attaques spécifiques : recherche WSDL et énumération de méthodes, déni de service Solutions de chiffrement (WS-Security) Solutions de filtrage (Firewall XML) - Sécurité du navigateur (vulnérabilités Flash, Adobe, ActiveX) Sécurisation Gestion des droits et des accès, stockage des mots de passe - Exemple HSC d'attaque réussie Fédération des identités (SSO) Bonnes pratiques de développement Veille en vulnérabilité Gestion des vulnérabilités techniques Critères de choix d une solution de sécurité Panorama du marché et vocabulaire du marketing La gestion de la sécurité dans le temps Gestion des tiers (fournisseurs de service, prestataires, clients et partenaires) Comprendre et utiliser un rapport de test intrusif ou d'audit technique de sécurité Audits de sécurité et conformité Marché de la certification en SSI (produits, services et systèmes de management) Conclusion Essentiels techniques de la SSI ESSENTIELS TECHNIQUES DE LA SSI 17 au 18 mars 2014 Paris 29 au 30 septembre 2014 Paris 9

10 Fondamentaux et principes de la SSI - SEC 401 Sécurité Technique Fondamentaux et principes de la SSI - SEC 401 Formation initiale à la Sécurité des Systèmes d Information, la SANS SEC 401 permettra d apporter au personnel technique les connaissances nécessaires à l implémentation et au maintien de la Sécurité dans vos systèmes d information. Savoir implémenter les bonnes mesures de sécurité est devenu pour tout ingénieur ou administrateur système ou réseau un enjeu primordial permettant d assurer la sécurité de tout SI. VOUS ALLEZ APPRENDRE À Maîtriser le vocabulaire et la théorie de la sécurité de l information Elaborer la sécurité des réseaux informatiques Capitaliser sur le concept de défense en profondeur Maîtriser la sécurité des systèmes d exploitation et des applications Utiliser les mesures de sécurité organisationnelles Personnel technique souhaitant se reconvertir dans la sécurité des systèmes d information Administrateurs systèmes ou réseaux Consultants en Système d Information Une réelle connaissance informatique est nécessaire. : Cours magistral Travaux pratiques Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute Cette formation prépare à l'examen de certification GIAC Security Essentials (GSEC). Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Durée : 5,5 jours / 43 heures Principes de base des réseaux Types (LAN, WAN) et topologies de réseau Ethernet, Token Ring, ATM, RNIS, X.25 Câblage et périphériques Voix sur IP Concepts de base d'ip Paquets et adresses Ports de services IP Protocoles sur IP, TCP, UDP, ICMP, DNS Fonctionnement d'ip TCPdump, reconnaissance des paquets IOS (système d'exploitation des routeurs CISCO) et listes de contrôle d'accès (ACL) Sécurité physique Services généraux Contrôles techniques Aspects environnementaux Sécurité individuelle et menaces Principes de base de la SSI ("Information Assurance") Modèle de risque Authentification vs autorisation Classification des données Vulnérabilités Défense en profondeur Politiques de sécurité informatique Principe, confiance, rôles et responsabilités Plan de continuité d'activité Exigences légales et réglementaires Stratégie et plan de reprise après sinistre Analyse des conséquences ("Business Impact Analysis") Évaluation de crise Facteurs de succès Fonctions business critiques Gestion des mots de passe Cassage de mot de passe Windows et Unix Authentification forte (Tokens, biométrie) Single Sign On et RADIUS Gestion des incidents de sécurité Préparation, identification et confinement Eradication, recouvrement et retour d'expérience Techniques d'enquête et criminalistique informatique Ethique Guerre de l'information offensive et défensive Sécurité Web Protocoles Contenus dynamiques Attaques des applications Web Durcissement des applications Web Détection d'intrusion en local TCP Wrappers, Tripwire, Détection d'intrusion A quoi s'attendre et comment les déployer Détection d'intrusion en réseau Syslog et outils commerciaux Déni de service Outils d'attaque ("Deception Toolkit") Calcul des pertes acceptables Réaction automatisée Pots de miel Inforensique et pots de miel Effet des pares-feux sur les capteurs IDS Méthodes d'attaques Débordement de tampon Comptes par défaut Envoi de messages en masse Navigation web Accès concurrents Pares-feux et périmètres Types, avantages, inconvénients, architectures Audit et appréciation des risques Méthodologie d'appréciation des risques Approches de la gestion de risque Calcul du risque, SLE, ALE Comment et où exploiter ces possibilités et technologies Cryptographie Besoin de cryptographie Chiffrement symétrique et assymétrique Condensat (ou empreinte), substitution numérique, algorithmes Cryptosystèmes dans la réalité Attaques cryptographiques VPN et accès distants Infrastructures à Clés Publiques ("PKI"), certificats, séquestre Stéganographie Types, applications, détection PGP Installation, utilisation, signature, gestion des clés Sans fil Principaux protocoles et topologies Idées fausses et problèmes de sécurité Sécurisation des réseaux sans fil Sécurité opérationelle Exigences légales Gestion administrative Responsabilité individuelle Besoin d'en connaître Opérations privilégiées Types de mesures de sécurité Procédures opérationelles Reporting Thèmes abordés Sécurité Windows - Active Directory, utilisateurs et groupes, relations d'approbation, etc - Droits utilisateurs, permissions NTFS, partages, chiffrement disque - Modèles et stratégies de sécurité Windows - Service Packs, correctifs, sauvegardes - Sécurisation des services réseau - Audit, automatisation, journalisation Monde Linux - Processus, réseau, arborescence, commandes, shellscrips Machines virtuelles Types de machines virtuelles Installation configuration et supervision Sécurité Linux Services, configuration, permissions Montage de périphériques Outils de sécurité Linux Maintenance, surveillance et audit sur Linux - Application des correctifs, sauvegarde journalisation FONDAMENTAUX ET PRINCIPES DE LA SSI SEC au 19 avril 2014 Paris 20 au 25 octobre 2014 Paris 10

11 Sécurité Technique Sécurité Wi-Fi Aujourd hui, les réseaux Wi-Fi sont devenus omniprésents dans le paysage réseau. Les entreprises ont dû s'adapter et mettre en place ces technologies pour permettre plus de souplesse aux utilisateurs ou pour étendre le réseau local ; souplesse qui souvent affaiblit la sécurité globale de l'entreprise. Apprenez à connaître ces technologies pour mieux sécuriser vos infrastructures. VOUS ALLEZ APPRENDRE Les différents éléments composant la technologie Wi-Fi Les solutions de sécurité et leurs faiblesses Les attaques ciblant le Wi-Fi - Les attaques contre le protocole - L'usurpation d'identité ou Wi-Phishing - Le cassage de clés WEP et WPA-PSK Le fonctionnement des protocoles d'authentification forte Les différentes solutions de cryptographie disponibles et leurs limites Comment mettre en place une solution Wi-Fi sécurisée d'entreprise Responsable sécurité Responsable informatique Administrateurs réseaux et telecoms Chefs de projet La connaissance préalable des réseaux et des protocoles TCP/IP est nécessaire. : Cours magistral avec exemples pratiques Travaux pratique finaux d'une demi -journée permettant la mise en œuvre d une architecture sécurisée Supports au format papier en français Formation non certifiante. Généralités sur les réseaux sans fils Technologies Normes Matériel (composants) Problématiques liées à la sécurité - Propriétés du média - Déni de service Principes Canaux et fréquences Éléments d architecture Services Trames Caractéristiques de la technologie Physique Antenne et environnement Positionnement dans l architecture Logique (trames, etc.) Attaques sur la technologie Wi-Fi Généralités Usurpation de borne Flood Brouillage Exemple de brouillage Audit et outils Scanners (actifs / passifs) Cas pratique d utilisation basique Aircrack Cas pratique d utilisation basique Matériel (antenne, station, etc.) WEP Principe Faiblesses et vulnérabilités Attaques Cas pratique : cassage de clé WEP 802.1X Introduction Principe Chiffrement Authentification Radius EAP, TLS, PEAP, etc i WPA/WPA2 Principe Différentes normes et configurations Faiblesses Attaques Cas pratique : cassage WPA/WPA2 personnel (PSK), attaques TKIP Gestion des réseaux Wi-Fi Gérer ses réseaux Wi-Fi La sécurité intrinsèque des bornes Cas pratique : exploitation d une vulnérabilité dans une borne Architecturer correctement ses réseaux Wi-Fi Authentifier les utilisateurs de WLAN Mise en place d une architecture Wi-Fi sécurisée (cas pratiques) Introduction et cas pratiques - PEAP/MSCHAPv2 - EAP/TLS - Portails captifs / Wi-Phishing et contournements possibles (cas pratiques) Sécurité Wi-Fi Durée : 2 jours / 14 heures SÉCURITÉ WI FI 19 au 20 mars 2014 Paris 11

12 Sécurité Technique Sécurité de la voix sur IP Sécurité de la voix sur IP Basé sur le retour d'expérience des consultants acquis lors d'audits et de tests d'intrusion sur des platesformes de VoIP, le cours Sécurité de la voix sur IP d'hsc présente, de façon détaillée, les points importants à connaître pour gérer la sécurité de la VoIP. VOUS ALLEZ APPRENDRE Les principaux protocoles utilisés dans la VoIP et leurs usages dans le domaine de la sécurité Les bonnes pratiques en vigueur afin d implémenter des architectures sécurisées Les pratiques d attaques VoIP et les mesures pour s en protéger Responsables informatiques Responsables sécurité Responsables réseaux Chefs de projet technique Administrateurs réseaux La connaissance préalable des réseaux et des protocoles TCP/IP sont nécessaires. : Cours magistral avec exemples pratiques Supports au format papier en français Introduction Présentation de la VoIP Atouts / Inconvénients Principaux équipementiers Solutions Softphone (Skype, etc.) Codage / Qualité de la voix Protocoles courants dans la VoIP (H.323, SIP, MGCP, Megaco/H.248, RTP) Usages Architecture Filtrage Mécanismes de sécurité Extensions de sécurité Protocoles media transport (RTP, RTCP, RTSP, etc.) Problématiques de sécurité dans la VoIP - Risques introduits par la VoIP Exemples de vulnérabilités découvertes Sécurité des équipements de voix Sécurité des terminaux Le chiffrement dans la VoIP Architecture Exemples pratiques QoS Conclusion Formation non certifiante. Durée : 1 jour / 7 heures SÉCURITÉ DE LA VOIX SUR IP Sur demande en intra-entreprise 12

13 Sécurité Technique Sécurité SCADA SCADA, DCS et d autres réseaux de contrôle de processus propre au monde industrie contrôlent les infrastructures vitales de la société, depuis les réseaux électriques au traitement de l eau, de l industrie chimique au transport ; ils sont présents partout. Avec la généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique, les télémaintenances et l utilisation d internet et avec la migration de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses. VOUS ALLEZ APPRENDRE À Connaître le métier et les problématiques Savoir dialoguer avec les automaticiens Connaître et comprendre les normes propres au monde industriel Auditer vos systèmes SCADA Développer une politique de cyber-sécurité Responsables sécurité, sûreté, cyber sécurité, sécurité industrielles Responsables informatique ou sécurité souhaitant étendre leur compétences aux systèmes SCADA Consultants et auditeurs en sécurité Une bonne connaissance générale en informatique et en sécurité des systèmes d information (ex : une certification GIAC GSEC Security Essentials Certification ou (ISC²) CISSP est nécessaire : Cours magistral avec exemples pratiques. Automates PLC / télétransmetteurs RTU Services couramment présents Mots de passe codés en dur Protocoles - Modbus * Exemple de compromission d'automate - IEC 104 * Exemple de compromission d'automate - DNPS * Authentification / chiffrement Déni de service / robustesse IHM (Interfaces Homme-Machine) Applications Unity Pro XL, etc. Minimisation des services Windows et Unix/Linux SGBD Active Directory et Windows Politique de mots de passe Empreintes LM et NT Application des correctifs de sécurité Principe du moindre privilège Accès distants RTC VPN boîtiers de télétransmission sans-fil (Wi-Fi, liaisons radio) Problèmes des automates et IHM exposés sur Internet (exemples avec Shodan et Eripp) Architectures réseau séparation réseau industriel / réseau bureautique DMZ interne cloisonnement zones Journalisation Norme IEC (anciennement ISA 99) Sécurité SCADA Supports au format papier en français Formation non certifiante. Durée : 2 jours / 14 heures Applications Android / iphone / ipad / BlackBerry Exemples de compromissions et d'incidents publics Stuxnet Exemples de tests d'intrusion effectuées lors de missions par HSC Compromission des systèmes Rebonds du réseau bureautique vers le réseau industriel Compromission des IHM Accès aux automates Modification du process Tunnels (DNS, ICMP, RDP) SÉCURITÉ SCADA 16 au 17 juin 2014 Paris 13 au 14 novembre 2014 Paris 13

14 Sécurité Technique DNSSEC DNSSEC Le DNS est indispensable au bon fonctionnement d'intérêt et de tout réseau privé. S'il s'agit d'un des plus anciens protocoles, c'est aussi l'un des plus sensibles et des plus méconnus, dont la sécurité n'a été étudiée que tardivement. DNSSEC tente de remédier à certaines faiblesses de DNS, mais les contraintes et les nouveaux risques liés à la DNSSEC sont réels et ne participent pas à son déploiement rapide. VOUS ALLEZ APPRENDRE Les connaissances techniques du protocole DNS et de l extension DNSSEC Configurer en pratique une installation d un resolver (Unbound) validant les réponses avec DNSSEC Configurer une installation DNSSEC avec OpenDNSSEC pour gérer les clefs et BIND pour servir les zones signées Eviter les pièges du DNS Déterminer l intérêt réel d un déploiement de DNSSEC dans votre environnement Administrateurs systèmes et réseaux Responsable d exploitation Architecte Des connaissances préalables en administration système et des protocoles réseaux TCP/IP sont nécessaires. : Cours magistral Travaux pratiques Supports au format papier en français Ordinateurs portables mis à disposition du stagiaire DNS : spécifications et principes Vocabulaire - arbres, zones... - resolver, cache, authoritative, fowarder... Organisation - Whois, délégations... Protocole - RRSet, entêtes, couche de transport et EDNS - Problèmes liés aux pare-feux Les RR - A, PTA, SOA, NS, MX, SPF, CNAME, AXFR, IXFR... Fonctionnement interne - bootstrap, TLD, reverse, récursion/ itération, glue records Logiciels Les couches logicielles - libresolv, nsswitch, cache... - Alternatives à BIND BIND : présentation Outils sur le DNS - zonecheck, dig, revhosts, namedcheckzone/conf... BIND en pratique Ressources - Bv9ARM (html) Configuration - Options globales, déclaration de zones Fichiers de zone - Fichiers de zone, réplications, reverse Sécurité - Corruption de zone, dynamic updates - Problème des caches (spoofing, usurpation) - Canaux cachés - Fuite d'information DNS public/ privé Durcissement de BIND - Niveau process - Niveau configuration (contrôle d'accès, journalisation) - Vues - Introduction DNSSEC DNS en pratique Objectifs et limites - Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC Rappels sur la cryptographie sysmétrique/ assymétrique Protocole - "DO" flag et couche de transport (EDNS) - Problèmes liés aux pare-feux Whois, délégations... Protocole - RRSet, entêtes, couche de transport et EDNS - Problèmes liés aux pare-feux TSIG/SIG0 rfc DNSKEY, RRSIG, NSEC, Créer une zone - dnssec-keygen, signzone, namedcheckzone/conf Configurer le resolver Vérifier avec dig Debug Délégation DS Renouvellement de clés etc. Retour d'expérience Zone racine Domaines de premier niveau (.fr, se,.org...) Zones ordinaires signées Conclusion Formation non certifiante. Durée : 2 jours / 14 heures En partenariat avec l' DNSSEC 12 au 13 mai 2014 Paris 27 au 28 novembre 2014 Paris 14

15 Sécurité Technique Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 Partie intégrante des réseaux d entreprise, les systèmes Windows sont souvent utilisés à tous les niveaux d une architecture. Sécuriser et administrer efficacement Windows est indispensable et incontournable afin de réduire les risques d incident de sécurité sur des éléments clefs de l architecture. Basé sur le retour d'expérience de toute une communauté internationale d'experts en sécurité, ce cours SANS présente les points importants à connaître. VOUS ALLEZ APPRENDRE À Sécuriser un parc de système Windows Sécuriser les communications Garantir la confidentialité Sécuriser le serveur Web IIS Administrer avec PowerShell Administrateurs Windows Expert en sécurité Architecte sécurité Windows Responsables sécurité Avoir au minimum deux ans d expérience en administration Windows ou Avoir suivi la formation SANS SEC 401 (Fondamentaux et principes de la SSI) Cours magistral, avec de nombreuses démonstrations pouvant être reproduites immédiatement Formation dispensée en françaismateriel Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute. Cette formation prépare à l'examen de certification GIAC Certified Windows Security Administrator (GCWN) permettant de valider les compétences du stagiaire en sécurité des systèmes Windows. Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Système d'exploitation Windows et durcissement des applications Logiciels résistants aux malware Mettre à jour des logiciels vulnérables Durcissement du système avec les patrons de sécurité Duricssement avec les politiques de groupe Appliquer les mesures de sécurité essentielles Contrôle d'accès dynamique et resteindre la compromission des comptes d'administration Contrôle d'accès dynamique (DAC) Compromission des droits d'administration Active Directory : permissions et délégation IGC Windows, Bitlocker et Secure Boot Pourquoi avoir une IGC Comment installer une IGC Windows Comment gérer votre IGC Déployer des cartes à puce Chiffrement de disque Bitlocker Protocoles dangereux, IPSec, Windows Firewall et réseaux sans-fil Protocoles dangereux Windows Firewall et IPSec Pourquoi IPSec? Créer des politiques IPSec Sécuriser des réseaux sans fils RADIUS pour Ethernet et les réseaux sans fil Sécuriser les serveurs web IIS Durcissement du Serveur IIS Système de configuration XML Authentification et autorisation IIS Applications web Journalisation et audit FTP over SSL (FTPS) Écriture de scripts PowerShell Généralités sécurité Familiarisation avec PowerShell? Exemples de commande Ecrire vos propres scripts Windows Management Instrumentation (WMI). Sécuriser Windows et résister aux logiciels malfaisants - SEC 505 Durée : 5 jours / 40 heures SÉCURISER WINDOWS ET RÉSISTER AUX LOGICIELS MALFAISANTS SEC

16 Expert Sécurité Linux - LPI 303 Sécurité Technique Expert Sécurité Linux - LPI 303 Sécuriser un serveur Linux passe par la réponse aux problématiques de sécurité classiques : authentification, accès au système de fichier, de la mémoire, des applications et compréhension des méthodes d attaque. La gestion de la sécurité Unix s appuyant sur la maîtrise d outils libres, la formation LPI 303 met en situation le stagiaire avec de nombreux exercices pratiques. VOUS ALLEZ APPRENDRE À Gérer en profondeur les problèmes de sécurité liés aux systèmes Linux Réduire ou éliminer les risques sur les systèmes de type Linux Configurer les services courants pour qu ils soient robustes avant leur mise en production (Apache, BIND, ) S assurer de l intégrité des données sur les serveurs Linux Maîtriser les outils permettant de répondre aux incidents de sécurité Professionnels de la sécurité Administrateurs systèmes expérimentés Auditeurs et gestionnaires d incidents Cryptographie OpenSSL Utilisation avancée de GPG Systèmes de fichiers chiffrés Contrôle d'accès Contrôle d'accès selon l'hôte Attributs étendus et ACL SELinux Autres systèmes de contrôle d'accès obligatoire Sécurité applicative BIND/DNS Services de courrier électronique Apache/HTTP/HTTPS FTP OpenSSH NFSv4 Syslog Opérations de sécurité Gestion de configuration Avoir les bases en administration de systèmes Unix (3 à 5 ans d expérience) Ou avoir la certification LPIC-2 Cours magistral avec manipulations et exercices pratiques Formation dispensée en françaismateriel Sécurité réseau Détection d'intrusion Balayage pour la sécurité réseau Supervision réseau netfilter/iptables OpenVPN Ordinateurs mis à disposition du stagiaire Supports en français. Cette formation prépare à l'examen de certification n 303 "LPI- Security" permettant de valider les compétences du stagiaire en sécurité Linux. Cette certification "LPI-Security" permet d'obtenir la certification "LPIC-3", le niveau le plus élevé de certification Linux. Pour avoir la certification "LPIC-3", il faut : soit avoir le niveau "LPIC-2" et réussir l'examen n 303 "LPI- Security", soit avoir réussi les examens 101, 102, 201, 202 et 303. Il n'y a pas d'ordre de passage donc vous pouvez passer ces examens après votre examen 303 "LPI-Security". L'examen se passe soit chez Linagora à l'issue de la formation, soit dans un centre d'examen Pearson VUE a la date de votre choix. En partenariat avec LINAGORA Durée : 5 jours / 35 heures EXPERT SÉCURITÉ LINUX LIP au 12 décembre 2014 Paris 16

17 Sécurité Technique Investigations Inforensiques Windows - FOR 408 L investigation inforensique permet de collecter et d analyser des éléments ayant valeur de preuve en vue d une procédure judiciaire. L objectif principal est donc la récupération et l analyse de données prouvant un délit numérique. VOUS ALLEZ APPRENDRE À Mener à bien des études inforensiques de systèmes Windows Collecter et analyser l information se trouvant sur les systèmes informatiques pour retrouver les traces des activités d utilisateurs Réaliser des acquisitions de média et analyses de données Utiliser les outils inforensiques Professionnels de l IT Tout membre d une équipe de réponse à un incident de sécurité Membres d agences gouvernementales ou détectives Responsables de la Sécurité des Systèmes d Information Avocats et techniciens juridiques Avoir des bases en informatique Être intéressé par le sujet Cours magistral Travaux pratiques Formation dispensée en françaismateriel Ordinateurs portables mis à disposition du stagiaire Kit «SANS Investigative Forensic Toolkit» (SIFT) Essentials pour chaque stagiaire Supports intégralement en anglais provenant du SANS Institute. Cette formation prépare à l'examen de certification GIAC Certified Forensic Examiner (GCFE). Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Durée : 5 jours / 40 heures Les fondamentaux de l'inforensique Objectif de l'inforensique Présentation des cas d'inforensique les plus communs Types d'informations stockées électroniquement Localisation des preuves électroniquement stockées (Electronically Stored Evidence : ESI) Acquisition et analyse des données volatiles Les systèmes de fichiers : généralités Rapport de preuves et présentations de celles-ci Méthodologie inforensique Acquisition et analyse Acquisition des preuves : généralités Conservation des preuves Méthodes d'acquisition Kit de survie de l'expert inforensique Outils et techniques d'acquisition d'images disques complètes Acquisition de données sur le réseau Les outils inforensiques graphiques Étapes usuelles et outils inforensiques associés Acquisition des fichiers supprimés Inforensique Windows - Première partie - Analyse des s et de la base de registres Inforensique des s s Microsoft Outlook/Outlook Express/Windows s des WebMails Microsoft Exchange Lotus Notes Inforensique en profondeur de la base de registres - Ruches, Clés, et valeurs - Dernier accès en écriture Authentification - Découverte des noms d'utilisateurs et les SID associés - Dernière connexion - Dernier échec de connexion - Nombre de connexions - Politique de mots de passe Informations système Identification du jeu de contrôle courant (Current Control Set) - Nom du système et sa version - Fuseau horaire - Adresse IP - Réseaux Sans fil/ethernet/3g - Partages réseau - Date du dernier arrêt système Preuves diverses - Exécution d'un programme - Téléchargement d'un fichier - Accès à un fichier / répertoire Historique de recherche sous XP et Win7 Accès aux URLs Documents récents Boîtes de dialogue 'Ouvrir / Sauvegarder / Exécuter' Historique de l'exécution d'application Éditeur/Création/Version Numéro de série unique Lettre du dernier disque Nom des volumes USB - Nom d'utilisateur ayant utilisé l'usb - Date de première utilisation - Date de première utilisation après le dernier reboot - Date de dernière utilisation Regripper, d'harlan Carvey Registry Viewer, d'access Data 4. Inforensique Windows - Seconde partie - Analyse des artefacts et fichiers de journalisation Analyse mémoire, mémoire virtuelle et espace non alloué Conversations Facebook live, MSN Messenger, Yahoo, AIM, GoogleTalk URLs d'ie8 InPrivate/Recovery WebMails de Yahoo, Hotmail, Gmail Inforensique des fichiers contenant des preuves sensibles Analyse inforensique des journaux d'évènements de Windows 5. Inforensique Windows - Troisième partie - Inforensique du navigateur web Inforensique des navigateurs web Internet Explorer - Localisation des fichiers clés de l'inforensique Internet Explorer - Horodatage des fichiers d'historique Index.dat (Maître, Quotidiens, Hebdomadaires) - Horodatage des fichiers de cache Index.dat - Navigation InPrivate - Analyse du répertoire de restauration de session IE8 Localisation des fichiers clés de l'inforensique FF2 and FF3 - Le format Mork et les fichiers.sqlite - Historique des téléchargements - Examen des fichiers de cache - Historique des URLs - Analyse des données de restoration sous FF3 Web Historian, de Mandiant FTK, de FTK FoxAnalysis 6. Mise en situation Cas pratique final permettant aux stagiaires d'utiliser l'ensemble des outils et méthodes découverts tout au long de la formation afin de construire un rapport inforensique sur un cas d'étude spécialement mis en place. L'ensemble est orchestré comme une analyse Investigations Inforensiques Windows - FOR 408 INVESTIGATIONS INFORENSIQUES WINDOWS FOR au 11 avril 2014 Paris 15 au 19 septembre 2014 Paris 17

18 Sécurité Technique Analyse Inforensique avancée et réponse aux incidents - FOR 508 Analyse Inforensique avancée et réponse aux incidents - FOR 508 Aujourd'hui, de plus en plus d'entreprises sont victimes d'attaques complexes motivées par l'espionnage économique. Êtes-vous armé pour la réponse aux incidents et l'investigation d'attaques persistantes avancées (APT)? En s appuyant sur les connaissances acquises en formation FOR 408, la formation FOR 508 vous prépare à une réaction efficace à ces attaques. VOUS ALLEZ APPRENDRE À Répondre aux incidents avancés Analyser les systèmes de fichiers Windows Faire l acquisition et l analyse de mémoire Construire un historique étendu d événements (timeline) Identifier les logiciels malveillants et les techniques anti-inforensiques Membres d une équipe de réponse à incident Professionnels de l inforensique Membres d agences gouvernementales ou détectives Responsables en sécurité de l information Avoir suivi la formation "FOR Investigations Inforensiques Windows ou Maîtriser les notions suivantes : inforensique du registre Windows, des artefacts, des messages électroniques, des journaux EventLog et des navigateurs web. Cours magistral Travaux pratiques Formation dispensée en français Ordinateurs portables mis à disposition du stagiaire Kit «SANS Investigative Forensic Toolkit» (SIFT) Advance pour chaque stagiaire Supports intégralement en anglais provenant du SANS Institute. 1. Systèmes de fichiers Windows Présentation de la station de travail SIFT La démarche de l'inforensique et de la réponse aux incidents Les systèmes de fichiers : généralités Les systèmes de fichiers Windows - FAT et exfat - NTFS 2. Réponse aux incidents et analyse de la mémoire Réponse aux incidents sur système en fonctionnement Monter des images pour examen Etude inforensique en entreprise et à distance Acquisition de la mémoire Analyse de la mémoire (avec Redline et Volatility 3. Analyse de l'historique (timeline) Analyse de timeline - généralités Création et analyse de timeline de système de fichier Création et analyse de "Super timeline" 4. Analyse inforensique des systèmes de fichiers Analyse des points de restauration de Windows XP Analyse des volumes shadow copy de Windows Vista/7/2008 Récupération de données basée sur le contenu Récupération de données basée sur les systèmes de fichiers - examen de la couche de données - examen de la couche de métadonnées - examen de la couche de nom de fichiers Tri de fichiers et comparaison d'empreintes 5.1. Analyse d'intrusion Découverte de logiciel malfaisant inconnu par une approche pas-à-pas Méthodologies de détection d'anti-inforensique Méthodologie pour analyser et résoudre des cas complexes 5.2. Lois sur l'inestigation informatique pour les analystes inforensiques Qui peut investiguer et les lois sur l'investigation Lois et marche à suivre pour l'acquisition, l'analyse et la préservation des preuves Ce que doivent savoir les investigateurs légaux Témoignages et rapports inforensiques 6. Challenge inforensique Investigation d'un APT en environnement Windows Cette formation prépare à l'examen de certification GIAC Certified Forensic Analyst ( GCFA). Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Durée : 5 jours / 40 heures ANALYSE INFORENSIQUE ET RÉPONSE AVANCÉE AUX INCIDENTS FOR au 14 mars 2014 Paris 3 au 7 novembre 2014 Paris 18

19 Sécurité Technique Rétroingénierie de logiciels malfaisants : Outils et techniques d'analyse - FOR 610 L'analyse des logiciels malfaisants constitue une discipline primordiale et nécessaire durant les investigations numériques et lors des réponses à incident. Outil principal des analystes en investigation numérique pour déterminer les éléments clé d'un logiciel malfaisant, il donne un cap pour orienter leur investigation et permettre aux équipes de réponse à incident d'identifier les indicateurs de compromission (IOCs), informations capitales dans le traitement des incidents. VOUS ALLEZ APPRENDRE À Mettre en place un laboratoire d'analyse des logiciels malfaisants Effectuer une analyse comportementale de logiciels malfaisants Effectuer une analyse statique et dynamique de codes malfaisants Contourner les techniques d'auto-protection Analyser des documents malveillants et des scripts (PDF, MS Office, Flash, Javascript...) Professionnels de la sécurité Personnel d'équipes de réponse à incident Toute personne intéressée par l'analyse des logiciels malfaisants Connaître le système Windows Avoir les bases en programmation et en réseau Cours magistral Travaux pratiques mettant en jeu les différentes techniques d'analyses présentées Formation dispensée en français Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute. Cette formation prépare à la certification GIAC Reverse Engineering Malware (GREM). Durée : 5 jours / 40 heures 1. Les fondamentaux de l'analyse de logiciels malfaisants Configuration de l'environnement d'analyse de logiciels malfaisants Installation des outils pour l'analyse de logiciels malfaisants Réalisation d'analyses comportementales de fichiers exécutables Windows malfaisants Réalisation d'analyses de code statiques et dynamiques de fichiers exécutables Windows malfaisants Informations complémentaires pour la rétro-ingénierie de logiciels malfaisants 2. Démarches complémentaires d'analyse de logiciels malfaisants Approfondissement des concepts d'analyse dynamiques Modification de fichiers compilés Windows malfaisants Analyse de fichiers exécutables malfaisants compressés Interception des connexions réseaux au sein de l'environnement d'analyse Analyse de logiciels malfaisants basés sur Javascript et Flash ciblant les navigateurs 3. Analyse de code malfaisant Concepts fondamentaux pour la rétro-ingénierie de logiciels malfaisants Bases d'assembleur Intel x86 Etude des techniques d'anti-désassemblage Identification des structures logiques principales en assembleur x86 à l'aide d'un désassembleur Motifs des caractéristiques classiques des logiciels malfaisants au niveau de l'api Windows (injection DLL, remplacement de fonction, enregistrement des saisies clavier, capture de flux réseaux) 4. Logiciels malfaisants ayant des propriétés défensives Identification des logiciels de compression Décompression manuelle de logiciels Windows malfaisants compressés et protégés Trucs et astuces pour outre-passer les mécanismes anti-analyse présents dans les logiciels malfaisants Techniques complémentaires d'analyse de scripts Web obfusqués avec des outils tels que SpiderMonkey 5. Documents malfaisants et analyses inforensiques de la mémoire Analyse de documents Microsoft Office (Word, Excel, PowerPoint) et Adobe PDF malfaisants Etude des shellcodes dans le contexte des fichiers malfaisants Analyse de la mémoire pour identifier des caractéristiques de logiciels malfaisants et reconstituer des éléments liés à l'infection Utilisation de l'inforensique mémoire pour analyser des infections de rootkits Rétroingénierie de logiciels malfaisants : Outils et techniques d'analyse - FOR 610 RÉTROINGENIERIE DE LOGICIELS MALFAISANTS FOR au 28 novembre 2014 Paris 19

20 Sécurité Technique Techniques de hacking, exploitation de failles et gestion des incidents - SEC 504 Techniques de hacking, exploitation de failles et gestion des incidents - SEC 504 Pour qu une organisation soit en mesure de lutter de manière optimale contre les cyberattaques, l équipe en charge de la gestion des systèmes et de la sécurité informatique doit connaître le fonctionnement des attaques perpétrées. Ceci permettra de mettre en place des mécanismes de défense appropriés et d'implémenter les processus nécessaires pour réagir efficacement face à une intrusion. VOUS ALLEZ APPRENDRE À Comprendre les techniques de hacking réseau et système Anticiper et limiter l impact des attaques Maîtriser les différentes étapes de gestion des incidents de sécurité Identifier les indicateurs de compromission (IOC) Membre d une équipe de sécurité opérationnelle Membre d une équipe de réponse aux incidents Administrateur système Architecte sécurité Responsable sécurité Avoir des connaissances en informatiquel. Cours magistral Travaux pratiques Formation dispensée en français Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute. Cette formation prépare à l'examen de certification GIAC Certified Incident Handler (GCIH) permettant de valider les compétences du stagiaire. Toutes les questions de l'examen sont issues des supports de cours de la formation. Durée : 5 jours / 40 heures Phase de reconnaissance Savez-vous ce que votre réseau révèle? Est-ce que votre SI fuite trop d'information? Utilisation des bases Whois, ARIN, RIPE et APNIC Récolte d'information en exploitant le service de nom de domaine Récupération d'information depuis les sites Internet et les bases de données gouvernementales Phase de découverte Découverte des réseaux Wi-Fi non sécurisés "War dialing" visant à identifier les modems illégitimes Scan de port: traditionnel, furtif et en aveugle Prise d'empreinte active et passive des systèmes d'exploitation Techniques de "Firewalking" visant à identifier les règles du pare-feu Scan de vulnérabilités en utilisant Nessus Scan des CGI basé sur Whisker. Techniques d'évasion et de contournement des mécanismes de détection d'intrusion (IDS) Contournement des IDS au niveau de la couche réseau : fragmentation et autres techniques Contournement des IDS au niveau application Utilisation des outils Fragroute, Fragrouter et Whisker pour les techniques d'évasion Mise en pratique avec des exercices basés sur les outils suivants NetStumbler pour la découverte des réseaux Wi-Fi Nmap pour le scan des ports et l'identification des systèmes d'exploitation Nessus pour le scan de vulnérabilités Enum pour l'extraction d'informations relatives à un système Windows par le biais d'une session nulle Attaques visant la couche réseau Récupération et analyse des paquets réseau Attaques visant le système d'exploitation et la couche applicative Netcat: l'outil meilleur ami de l'attaquant Utilisation de netcat pour le transfert de fichier, la création de porte dérobée et l'exécution de commande Les relais Netcat visant à cacher la source d'une attaque Attaques par rejeu en utilisant Netcat Mise en pratique avec des exercices basés sur les outils suivants Outils d'écoute réseau comprenant l'outil Tcpdump Outils de détection des outils d'écoute réseau: ifconfig, ifstatus et promiscdetect Utilisation de Netcat pour le transfert de fichier, la création de porte dérobée et l'exécution de commande Exploitation d'une vulnérabilité format String sous Windows Cassage des mots de passe r Attaques des applications Web Mise en pratique avec des exercices basés sur les outils suivants Cassage de mot de passe par John The ripper Outils d'attaque des applications Web comprenant Achilles Maintien d'un accès obtenu suite à une attaque Porte dérobée: utilisation de QAZ, Tini et autres outils Dissimulation des traces Dissimulation de données dans le système de fichier Mise en place de scénarios d'attaques Mise en pratique avec des exercices basés sur les outils suivants Détection des rootkits Détection des portes dérobées avec Netstat, Lsof et Fport Détection des fichiers cachés avec LDAS Canaux cachés basés sur Covert_TCP. TECHNIQUES DE HACKING, EXPLOITATION DE FAILLES ET GESTION DES INCIDENTS SEC au 7 février 2014 Paris 20

21 Les applications web constituent le point le plus vulnérable au sein des entreprises. Il n est pas rare que des failles de sécurité donnent, par exemple, lieu à des vols de millions de numéros de cartes de crédit, à des dommages financiers, à d importants impacts sur l image voire même à la compromission de milliers de machines d internautes consultant le site web piraté. Cette formation présente les vulnérabilités classiques du Web à travers les tests d intrusion. VOUS ALLEZ APPRENDRE À Réaliser un test d intrusion web suivant un processus en quatre étapes Reconnaître et cartographier l environnement d un test d intrusion Découvrir des vulnérabilités (injection SQL, Cross-Site Scripting) Exploiter des vulnérabilités Développeurs web Architectes d applications web Experts en sécurité informatique Administrateurs systèmes et réseaux Pentester débutants Avoir des connaissances en architecture web Des connaissances en Linux constituent un plus Cours magistral Travaux pratiques Formation dispensée en français Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute. Sécurité Technique Cette formation prépare à l'examen de certification GIAC Web Application Penetration Tester (GWAPT). Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Tests d'intrusion des applications web et hacking éthique - SEC 542 Introduction aux tests d'intrusion applicatifs Point de vue d'un professionnel des tests d'intrusion vis-à-vis du web Diversité des serveurs et clients web Diversité des architectures web Gestion de l'état d'une session Les différents types de vulnérabilités Définition du périmètre et du processus d'intrusion Les différents types de tests d'intrusion Découverte de l'architecture web Découverte de l'infrastructure applicative Identification des machines et systèmes d'exploitation mis en jeu Configurations SSL et faiblesses associées Etude de l'hébergement virtuel et son impact sur les tests Identification des répartiteurs de charge Découverte de la configuration logiciel JavaScript pour les attaquants Cartographie de l'application Recherche d'information sur des sources externes (Google Hacking) Trousse à outils d'exploration d'un site web Ecriture de scripts automatisant les requêtes HTTP Elaboration d'une carte de l'application Analyse des relations entre les différents composants de l'application Recherche de vulnérabilités Méthodologies de recherche de vulnérabilités Fuites d'information Récupération d'identifiants Injections de commandes Injections SQL Injections SQL en aveugle Cross-Site Scripting Cross-Site Request Forgery Failles dans la gestion des sessions Fuzzing et outils associés Analyse du contenu des différentes pages web d'un site Méthodologies d'attaques des web services Recherche de vulnérabilités au sein des composants clients Méthodologies de recherche de vulnérabilités Décompilation des composants clients Flash Analyse de composants malveillants Recherche de vulnérabilités via les composants clients Méthodologies de test pour les applications basées sur Ajax Impacts de l'ajax et des web services sur les tests d'intrusion Écriture de scripts Utilité des langages Python et PHP Personnalisation et extension des outils existants Exploitation Asservissement des navigateurs web Utilisation des zombies pour balayer et attaquer le réseau interne Frameworks d'attaque (AttackAPI, BeEF, XSS-Proxy) Elaboration d'un scénario d'attaque complet Exploitation des vulnérabilités découvertes - Elévation de privilèges sur le système sous-jacent - Utilisation de l'application web comme pivot Interaction avec un serveur à travers une injection SQL Vol de cookies Exécution de commandes via les vulnérabilités de l'application web Tests d'intrusion des applications Web et hacking éthique - SEC 542 Durée : 5 jours / 40 heures TESTS D'INTRUSION DES APPLICATIONS WEB ET HACKING ÉTHIQUE SEC au 23 mai 2014 Paris 17 au 21 novembre 2014 Paris 21

22 Tests d'intrusion et hacking éthique - SEC 560 Sécurité Technique Tests d'intrusion et hacking éthique - SEC 560 L intérêt des tests d intrusion pour évaluer la sécurité d un système informatique n est aujourd hui plus à démontrer. Ils permettent de découvrir des vulnérabilités majeures, montrent comment un attaquant peut progresser au sein du réseau ciblé. Enfin, ils permettent de répondre aux exigences de nombreuses normes. VOUS ALLEZ APPRENDRE À Réaliser un test d intrusion Mettre en pratique une méthodologie d intrusion dans un environnement de tests dédiés à l application des notions théoriques Utiliser les notions acquises pour élaborer un vrai scénario d attaque Experts en sécurité Consultants Auditeurs Administrateurs systèmes et réseaux Équipes techniques Avoir une expérience dans l utilisation des systèmes Windows et Unix/linux Avoir de bonnes connaissances des principaux protocoles de la suite TCP/IP Cours magistral Travaux pratiques Formation dispensée en français Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute. Cette formation prépare à l'examen de certification GIAC Certified Penetration Tester (GPEN). Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Durée : 5 jours / 40 heures Introduction aux tests d'intrusion État d'esprit d'un professionnel des tests d'intrusion Type de tests d'intrusion et vue générale de la méthode Limites d'un test d'intrusion Présentation d'une architecture de tests et recommandations pratiques Définition des règles et périmètre des tests Aspect juridique Le rapport : comment présenter les points techniques Premières découvertes de l'architecture Trousse à outils Interrogations RIPE Informations issues des serveurs DNS Obtention d'information à partir des moteurs de recherches Exercices Attaques réseau : Scan réseau Écoute réseau Génération de paquets avec Hping Traceroute Prise d'empreinte des OS Utilisation avancée de Nmap Découvertes de vulnérabilités avec Nmap (Nmap Scripting Engine (NSE)) Récupération des bannières de version Exercices Exploits Les différents types d'exploit Introduction à Metasploit Utilisation de Meterpreter Exercices sur Metasploit et Meterpreter Commandes shell vs. accès au terminal et exercice Installer et activer les services VNC, terminal server, ssh et telnet par commandes shell Téléchargement et dépot de fichiers entre machines Utilisation de Windows en ligne de commande : scan de port, interrogation DNS, etc. Exercices Mot de passe Première approche Verrouillage des comptes et stratégies pour les éviter Hydra et exercices Présentation des différentes formes de stockage des mots de passe (Unix, Windows, etc.) Exercice : récupération des empreintes Windows Présentation de John the ripper et exercice Présentation de l'outil "Cain" et exercice Rainbow table Attaques "pass-the-hash" en environnement Windows Exercice "pass-the-hash" Intrusion sur les applications Web Recherche de vulnérabilités Outils ciblant les applications Web Exercice : prise en main d'un proxy local Paradigme des injections Web Exercice : XSRF, XSS, injections, etc. Intrusion Wi-Fi Construction d'une plate-forme de tests Wi-Fi Découverte de réseaux Wi-Fi non sécurisés Identifier les problèmes courants liés à la mauvaise configuration d'un réseau sans-fil Problèmes liés au sans-fil et comment les exploiter Mise en situation Cas pratique final permettant aux stagiaires d'utiliser l'ensemble des outils et méthodes découverts tout au long de la formation afin de tester et d'exploiter une plateforme complète. Le but est évidemment d'en prendre le contrôle. L'ensemble est orchestré comme un challenge de type "Capture the flag". TESTS D'INTRUSION ET HACKING ETHIQUE SEC au 28 mars 2014 Paris 13 au 17 octobre 2014 Paris 22

23 Sécurité Technique Tests d'intrusion avancés, exploitation de failles et Hacking Éthique - SEC 660 Des vulnérabilités sont découvertes tous les jours au sein des systèmes d information et avec elles, de nouvelles menaces apparaissent employant des méthodes d attaques avancées. Vous connaissez les techniques d attaque de base et vous souhaitez progresser. La formation SEC 660 vous mènera sur le chemin de l apprentissage de techniques d intrusion avancées. VOUS ALLEZ APPRENDRE À Capitaliser sur toutes les notions abordées lors de la formation SANS SEC 560 Comprendre les techniques de défenses modernes et comment les contourner Élaborer un scénario d attaques dans des conditions complexes Stagiaires ayant suivi la formation SANS SEC 560 Experts en tests d intrusion Développeurs expérimentés Experts de la gestion des incidents Experts de la détection d intrusion Avoir suivi la formation SEC 560 Avoir de bonnes bases en tests d'intrusion Avoir une expérience de minimum 3 ans dans le domaine de la sécurité technique Cours magistral Travaux pratiques Formation dispensée en français Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute. Cette formation prépare à l'examen de certification GIAC Exploit Researcher and Advanced Penetration Tester (GXPN).Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Sécurité Windows Attaques contre RDP et Man-In-The- Middle Attaques contre l'authentification Windows MS-SQL et compromission d'un domaine sans connaissance du mot de passe SA Astuce Métasploit pour attaquer des systèmes patchés Obtenir un accès graphique Échappement d'un bureau restreint Réseau Contourner le NAC Exploiter une authentification MD5 Injection de routes OSPF Récupération à distance de configuration Cisco Python Python pour l'intrusion Manipulation de protocoles avec Scapy Fuzzing avec Python Fuzzing de PDF avec Sulley et Python Fuzzing de fichiers.docx Attaque cryptographique par "Oracle padding" Exploitation en environnement Linux Pile et allocation de mémoire dynamique sous Linux Désassemblage de binaire Identification de programmes vulnérables Return into libc Contournement des protections de la pile Contournement de l'aslr Exploitation en environnement Windows Protections présentes sur lse différentes versions de Windows Exploitation de pile sous Windows Contournement des protections Fuzzing d'application Windowss ou de processus Création d'un module Metasploit Exploitation coté client Shellcode sur Linux et Windows Capture The Flag Utilité des langages Python et PHP Personnalisation et extension des outils existants Exploitation Asservissement des navigateurs web Utilisation des zombies pour balayer et attaquer le réseau interne Frameworks d'attaque (AttackAPI, BeEF, XSS-Proxy) Elaboration d'un scénario d'attaque complet Exploitation des vulnérabilités découvertes - Elévation de privilèges sur le système sous-jacent - Utilisation de l'application web comme pivot Interaction avec un serveur à travers une injection SQL Vol de cookies Exécution de commandes via les vulnérabilités de l'application web Tests d'intrusion avancés, Exploitation de failles et Hacking Étjique - SEC 660 Durée : 6 jours / 47 heures TESTS D'INTRUSION AVANCÉS, EXPLOITATION DE FAILLES ET HACKING ÉTHIQUE SEC au 6 décembre 2014 Paris 23

24 Sécurité Technique Protéger les applications web - DEV 522 Un attaquant est très vulnérable face à un défenseur bien fortifié. Ce cours enseigne comment défendre en profondeur les applications Web vous permettant de détecter précocement les attaques et en limiter l impact. Ce cours est basé sur l expérience de deux experts internationaux et s appuie sur le les références incontestées de l industrie : Le TOP 25 CWE/SANS des erreurs de programmation(cwe25) et le Top 10 de L'OWASP. VOUS ALLEZ APPRENDRE Les axes d attaque sur les applications web utilisées pour exploiter vos applications et compromettre les infrastructures. Le top 10 des risques de sécurité applicatifs web les plus critiques (OWASP) afin de comprendre les tenants et les aboutissements des vulnérabilités d une application web Les stratégies de défense, détection et mitigation au sein des infrastructures, des architectures et des implémentations d applications web. L impact des technologies récentes telles que le Web 2.0, AJAX et les web-services sur la sécurité et leur protection. L élaboration et mise en en œuvre des tests applicatifs Développeurs web Architectes d application web Experts en sécurité informatique Chefs de projet Consultants applicatifs ou sécurité amenés à intervenir sur des projets web Bases du web Introduction au protocole HTTP Aperçu des technologies web Architecture d'une application web Tendances des attaques actuelles Authentification et gestion des autorisations Mécanismes d'authentification : vulnérabilités et protections Gestion des autorisations : vulnérabilités et protections Chiffrement des communications Vulnérabilités du protocole SSL Bonnes pratiques Gestion des sessions Vulnérabilités classiques Cross-Site Request Forgery Bonnes pratiques Gestion des entrées utilisateur Failles récurrentes et protections associées Injections SQL : vulnérabilités et protections Cross-Site Scripting : vulnérabilités et protections Détection d'intrusion Systèmes de détection d'intrusion au sein des applications web Gestion des incidents Honeytokens Web services Introduction aux web services Mécanismes de sécurité dans le traitement des données XML Mécanismes de sécurité intégrés à XML Technologies Ajax Introduction aux technologies Ajax Attaques classiques Mécanismes de sécurité Technologies récentes et à venir Vulnérabilités du type Clickjacking et DNS rebinding Sécurité Flash Sécurité des applets Java Single Sign On (SSO) et sécurité Impact de l'ipv6 sur la sécurité web Protéger les applications Web - DEV 522 Avoir une expérience dans le développement Web Cours magistral Travaux pratiques sur des machines virtuelles Formation dispensée en français Ordinateurs portables mis à disposition du stagiaire Supports intégralement en anglais provenant du SANS Institute. Cette formation prépare à l'examen de certification GIAC Certified Web Application Defender. Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se passe dans un centre agréé GIAC. Durée : 5 jours / 40 heures PROTEGER LES APPLICATIONS WEB DEV au 26 septembre 2014 Paris 25

25 Essentiels juridiques pour gérer la SSI Sécurité Organisationnelle Essentiels juridiques pour gérer la SSI Face à l évolution constante des normes juridiques et la multiplication des risques, il devient essentiel de maîtriser le droit de la sécurité des systèmes d information. VOUS ALLEZ APPRENDRE Les normes juridiques (directives européennes, lois et règlements) Les jurisprudences Les solutions pratiques pour respecter les obligations juridiques RSSI DSI Administrateurs systèmes et réseaux Chefs de projet Consultants Avoir une culture générale en informatique Cours magistral avec de nombreux exemples et échanges intéractifs Formation dispensée en français Support de cours en français au format papier. Cette formation n'est pas certifiante. Durée : 2 jours / 14 heures Droit applicable Identifier les règles applicables Application dans le temps Application dans l'espace Interprétation Mise en jeu de la responsabilité Responsabilité pénale Responsabilité civile Preuve Informatique et libertés Notions fondamentales Champ d'application Conditions de licéité des traitements Formalités préalables Obligations du responsable du traitement Droits des personnes concernées Transferts hors de l'union Européenne Contrôles Sanctions Communications électroniques Définitions Contrôles de sécurité Violation de données personnelles Secret des correspondances Brouillage Obligation de filtrage Obligation d'information Prospection directe Responsabilité des FAI Responsabilité des hébergeurs Conservation des traces Données relatives au trafic Données d'identification des créateurs de contenus Autres traces Contrôle des salariés Pouvoir de contrôle de l'employeur Vie privée résiduelle Secret des correspondances Écoutes téléphoniques Courrier électronique Fichiers Navigation web Accès à l'ordinateur du salarié Atteinte aux STAD Cryptologie Signature électronique Usurpation d'identité Archivage électronique Hadopi Charte informatique Administrateurs ESSENTIELS JURIDIQUES POUR GERER LA SSI 13 au 14 mars 2014 Paris 26 au 27 juin 2014 Paris 15 au 16 septembre 2014 Marseille 13 au 14 octobre 2014 Paris 26

26 Sécurité Organisationnelle Essentiels "Informatique et Libertés" Aujourd hui, la plupart des organismes est confrontée aux problématiques «informatique et libertés». Cette formation offre les bases juridiques pour y répondre et adopter les bons réflexes face à un traitement de données personnelles. VOUS ALLEZ APPRENDRE Les textes légaux et réglementaires Les jurisprudences Les recommandations de la CNIL Les éléments pratiques (données concernées, procédure de déclaration et d autorisation, comment informer les personnes concernées, etc.) RSSI Informaticiens Juristes Directions Avoir une culture générale en informatique et en droit est un plus. Cours magistral avec échanges intéractifs Exercices pratiques Formation dispensée en français Support de cours en français au format papier. Module 1 : Cadre juridique Historique Textes applicables Principes «informatique et libertés» Concepts «informatique et libertés» - Notions : Donnée à caractère personnel, Traitement et Fichier, Interconnexion - Acteurs : Personne concernée, Responsable de traitement, Destinataire, Sous-traitant, CNIL et CIL Champ d application de la loi «informatique et libertés» Exercice : Reconnaître les données à caractère personnel Module 2 : Olbligations légales et réglementaires Conditions de licéité des traitements - Cadre général : 6 conditions - Cadre spécial : Données «sensibles» Formalités préalables - Déclaration - Autorisation - Dispenses et simplifications Obligations du responsable de traitement - Information des personnes concernées - Sécurité des données Sous-traitance Transferts hors de l Union Européenne Droits des personnes concernées - Droit d opposition - Droit d accès - Droit de rectification Essentiels "Informatique et Libertés" Cette formation n'est pas certifiante. Durée : 1 jour / 7 heures Exercice : Faire une déclaration Exercice : Informer les personnes concernées Module 3 : Risques "Informatique et libertés" Contrôles de la CNIL - Déroulement - Sanctions possibles Sanctions pénales Responsabilité civile Module 4 : Outils de veille ESSENTIELS "INFORMATIQUE ET LIBERTÉS" 21 mars 2014 Paris 12 novembre 2014 Paris 27

27 Correspondant Informatique et Libertés Sécurité Organisationnelle Correspondant Informatique et Libertés Du fait du développement de l utilisation de l outil informatique, la plupart des organismes sont aujourd hui amenés à traiter des données personnelles. Pour garantir la conformité légale et réglementaire de ces traitements, la désignation d un Correspondant Informatique et Libertés présente des avantages indéniables. VOUS ALLEZ APPRENDRE Les normes juridiques Les jurisprudences Les recommandations de la CNIL Les éléments pratiques (statut et missions du CIL, sécurisation des données personnelles, constitution du registre, rédaction du bilan annuel, ) CIL débutant RSSI Juristes Informaticiens Consultants Avoir une culture générale en informatique et en droit constitue un plus Cours magistral avec échanges intéractifs Exercices pratiques Formation dispensée en français Support de cours en français au format papier. Statut du CIL Désignation du CIL Indépendance du CIL Difficultés dans l'exercice des fonctions Fin des fonctions du CIL Missions du CIL Respect des obligations légales - Champ d'application de la loi - Conditions de licéité des traitements - Formalités préalables - Obligation d'information - Obligation de sécurité - Sous-traitance - Droits des personnes concernées - Transferts hors Union Européenne Registre des traitements Contrôle CNIL Bilan annuel Veille du CIL Cette formation n'est pas certifiante. Elle est labellisée par la CNIL ( depuis juin Durée : 2 jours / 14 heures CORRESPONDANT INFORMATIQUE ET LIBERTÉS Sur demande en intra-entreprise 28

28 Sécurité Organisationnelle Du fait du développement de l utilisation de l outil informatique, la plupart des organismes sont aujourd hui amenés à traiter des données personnelles. Pour garantir la conformité légale et réglementaire de ces traitements, la désignation d un Correspondant Informatique et Libertés présente des avantages indéniables. VOUS ALLEZ APPRENDRE Les normes juridiques Les jurisprudences Les recommandations de la CNIL Les éléments pratiques (statut et missions du CIL, sécurisation des données personnelles, constitution du registre, rédaction du bilan annuel, ) CIL débutant RSSI Juristes Informaticiens Consultants Avoir une culture générale en informatique et en droit constitue un plus Cours magistral avec échanges intéractifs Exercices pratiques Formation dispensée en français Support de cours en français au format papier. Cette formation n'est pas certifiante. Durée : 3 jours / 21 heures Correspondant Informatique et Libertés (en 3 jours) Introduction Historique Textes applicables Principes informatique et libertés Concepts informatique et libertés Acteurs informatique et libertés Statut du CIL Choix du CIL Désignation du CIL Compétences du CIL Moyens financiers du CIL Rapports du CIL avec le responsable Indépendance du CIL Difficultés dans l'exercice des fonctions Fin des fonctions du CIL Missions du CIL Respect des obligations légales Données collectables et traitables Obligations du responsable du traitement - Champ d'application de la loi - Conditions de licéité des traitements - Formalités préalables - Obligations du responsable * Désignation d'un représentant * Obligation d'information * Obligation de communication * Obligation de sécurité * Obligations liées à la sous-traitance * Obligation de mise à jour - Droits des personnes concernées * Droit d'opposition * Droit d'accès * Droit de rectification - Transferts hors Union Européenne - Utilisation des traitements Tenue du registre Sensibilisation Assistance lors d'un contrôle CNIL Rédaction du bilan annuel Veille du CIL Correspondant Informatique et Libertés - 3 jours CORRESPONDANT INFORMATIQUE ET LIBERTÉS 3 JOURS 26 au 28 mars 2014 Lyon 9 au 11 avril 2014 Paris 21 au 23 mai 2014 Rennes 18 au 20 juin 2014 Paris 24 au 26 septembre 2014 Paris 1 au 3 octobre 2014 Toulouse 19 au 21 novembre 2014 Marseille 3 au 5 décembre 2014 Paris 29

29 Sensibilisation à la SSI Sécurité Organisationnelle Sensibilisation à la SSI adaptée à votre entreprise Une formation à la sensibilisation SSI et à la protection du patrimoine Informationnel doit toujours être adaptée à un niveau de maturité, ou d'avancement d l'organisme (sécurité informatique, sécurité des systèmes d'information, sécurité de l'information, SMSI), une culture (latine, anglo-saxonne, etc), le domaine d'activité (défense, industrie, santé, bancassurance, opérateurs, administrations, collectivités, centres de recherches, etc), le profil métier (directeurs, chefs de projets, responsables métier, informaticiens, utilisateurs, techniciens, etc), la politique de sécurité et ses objectifs. Aussi HSC ne propose pas de formation inter-entreprise standard et s'adapte à vos besoins en propre. Une sensibilisation du personnel à la sécurité de l'information est une mesure de sécurité indispensable (ISO 27002, paragraphe 8.2.2) et une exigence pour les SMSI conformes à la norme ISO (ISO 27001, paragraphe 5.2.2, et mesures de sécurité A et A.8.2.1). L'élaboration d'un plan de formation (pour le personnel affecté à des responsabilités en SSI) et de sensibilisation (pour l'ensemble du personnel évoluant dans le SMSI) est donc indispensable dans la mise en œuvre d'une politique de sécurité de l'information efficace. Les sensibilisations HSC prennent en compte les politiques, chartes, procédures, et l'ensemble du corpus documentaire existant et s'adaptent aux métiers et aux incidents de sécurité passés. Nous privilégions les exemples et les retours d'expérience. Pour apprendre l'ingéniérie de la sensibilisation SSI, veuillez vous reporter à la formation RSSI qui inclue un tel chapitre. HSC est capable de s'adapter à tous les publics à sensibiliser Les sensibilisations n'imposent pas de pré-requis. Principalement en cours magistral mais d'autres techniques peuvent être employées. Support de cours en français au format papier ou électronique. Démonstrations en format flash (cinéma) EXEMPLE DE 1.Présentation générale : Trois messages essentiels 2.L'approche De l'organisation / entreprise / entité Les périmètres et l'interaction entre ces périmètres, sphère professionnelle, sphère nomade, voire privée Les textes de référence, les filières organisationnelles, les correspondants 3.Les obligations légales Métier, (RGS, Code de L'Education, Code la Défense, Code de la Santé, Code de la Sécurité Sociale, Sox, Solvency 2, Bâle 2, Hébergement de données de santé à caractère personnel,...) Disciplinaires, exemples contractuelles, exemples civiles, exemples pénaux, (Informatique et Libertés, CPI, Lutte contre la cybercriminalité, Cryptologie, Contrôles,...) Le cas de la vie privée dite résiduelle, Les responsabilités, exemples 4.L'évaluation de la sensibilité des informations dans les pratiques courantes Les enjeux, financiers, juridiques, image, social/humains, environnementaux, exemples Le rôle de l'utilisateur dans l'évaluation des sensibilités et criticités des informations, exemples Les niveaux d'impacts sur ces enjeux, exemples Les pièges et les difficultés et comment les surmonter Les dispositifs d'arbitrage 5.Identification des menaces et des risques Typologie de menaces et de risques, Le cas du poste de travail et l'usurpation de serveurs Les codes malicieux, exemples Les atteintes à la confidentialité, exemples L'incitation à exécuter, à charger, l'ingénierie sociale active, exemples 6.Principes de base et règles de sécurité La responsabilité individuelle, les règles à appliquer Lutte contre l'ingénierie sociale active et passive, exemples Règles comportementales, Devoirs et obligations Comportement à l'intérieur et à l'extérieur des établissements Le cas des missions à l'étranger 7.Manipulation des outils de travail et exemples Installation, mise à jour et maintenance, connectivité, le cas des outils personnels Échanges et communication, les règles relatives aux enjeux OTP, mot de passe, pin code, clés USB, messagerie, internet, intranet, réseaux sociaux, crypto, contrôles de certificats, chiffrement, signatures... Sauvegarde, Archivage et stockage et chiffrement / Destruction et ou recyclage 8.Conclusion Certaines sensibilisations sont dispensées en partenariat avec Virole Conseil Formation Durée : de 1/2 journée à 3 jours SENSIBILISATION A LA SSI Uniquement sur demande en intra-entrprise 30

30 Sécurité Organisationnelle CISSP (Certified Information Systems Security Professional) est la certification professionnelle internationale la plus connue dans le monde de la sécurité des systèmes d information. Le programme de certification géré par ISC² (International Information Systems Security Certification Consortium) est réparti en 10 thèmes qui couvrent tous les aspects de la sécurité des Systèmes d information OBJECTIF Réussir l'examen de certification CISSP d'isc² Toute personne souhaitant obtenir une certification reconnue en sécurité Consultants en sécurité devant démontrer leur expertise acquise et enrichir leur cv Juristes Formation CISSP Les 10 thèmes officiels du CBK (Common Body of Knowledge) : Systèmes et méthodes de contrôle d'accès Sécurité des télécommunications et des réseaux Gestion de la sécurité Sécurité des développements et des systèmes d'exploitation Cryptologie Architectures et modèles de sécurité Sécurité opérationnelle Continuité d'activité et Plan de reprise informatique Loi, investigation et éthique Sécurité physique Formation CISSP Avoir acheté et lu le livre CBK officiel de l ISC2 Un consultant expert pour chaque thème du CBK Des questions et des explications à chaque mauvaise réponse Formation dispensée en français Support de cours en français au format papier. Boîtier électronique de réponse mis à disposition de chaque stagiaire Cette formation n'est pas certifiante. Durée : 35 heures FORMATION CISSP EN "BOOTCAMP" 3 au 7 mars 2014 Paris 13 au 17 octobre 2014 Paris 10 au 14 mars 2014 Luxembourg 31

31 Formation RSSI Sécurité Organisationnelle Formation RSSI La formation RSSI HSC apporte au nouveau RSSI ou au nouveau manager d'un RSSI un panorama complet des fonctions du RSSI et des attentes des organisations sur le rôle du RSSI. Les connaissances indispensables à la prise de fonction du RSSI et un retour d'expérience sur les chantiers et la démarche à mettre en oeuvre dans le rôle sont détaillés par des consultants expérimentés et d'anciens RSSI. VOUS ALLEZ APPRENDRE Les bases pour la mise en place d une bonne gouvernance de la sécurité des systèmes d information Les connaissances techniques de base indispensables à la fonction de RSSI Pourquoi et comment mettre en œuvre un SMSI en s appuyant sur la norme ISO L état du marché de la sécurité informatique Les méthodes d appréciation des risques Les enjeux de la SSI au sein des organisations Les stratégies de prise de fonction et des retours d expérience de RSSI Nouveaux ou futurs RSSI souhaitant se remettre à niveau et échanger RSSI expérimentés souhaitant se remettre à niveau et échanger sur les bonnes pratiques du métier avec d autres RSSI Ingénieurs en sécurité des systèmes d information souhaitant rapidement acquérir toutes les compétences leur permettant d évoluer vers la fonction de RSSI Directeurs des Systèmes d Information ou auditeurs en systèmes d information souhaitant connaître les contours de la fonction et les rôles du RSSI Expérience au sein d une direction informatique en tant qu informaticien ou bonne culture générale des systèmes d information Notions de base en sécurité appliquées au système d information constitue un plus Cours magistral dispensé par Hervé Schauer et les différents responsables de domaine chez HSC : organisationnel, technique, commercial et juridique, Après- midi du vendredi animé par un RSSI en activité présentant sa stratégie de prise de fonction et un retour d expérience sur des cas concrets et détaillés de projets sécurité menés dans son organisation Formation dispensée en français Introduction Accueil Présentation de la fonction de RSSI en la mettant en perspective par rapport à tous les aspects de son environnement Production, direction, métiers, conformité, juridique, etc. Aspects organisationnels de la sécurité Panorama des référentiels du marché Politiques de sécurité Rédaction Politiques globales, sectorielles, géographiques Conformité Gouvernance de la sécurité Indicateurs sécurité Gestion des incidents Aspects techniques de la sécurité Sécurité du système d'exploitation Sécurité des applications (sessions, injections SQL, XSS) Sécurité réseau (routeurs, firewalls) Sécurité du poste de travail Système de Management de la Sécurité de l'information (norme ISO 27001) Bases sur les SMSI Panorama des normes de type ISO Bases sur ISO et ISO Préparation à l'audit Formation et communication Audit à blanc Documents à préparer Considérations pratiques Réception des auditeurs (SoX, Cour des Comptes, Commission bancaire, etc.) Gestion de risques Méthodologies d'appréciation des risques - EBIOS - MEHARI - ISO Analyse de risque Evaluation du risque Traitement des risques Acceptation du risque Aspects juridiques de la SSI Informatique et libertés Communications électroniques Conservation des traces Contrôle des salariés Atteintes aux STAD Charte informatique Administrateurs Acteurs du marché de la sécurité Gestion des relations avec les partenaires Infogérance Prestataires en sécurité Stratégies de prise de fonction de RSSI Rôles du RSSI Relations avec les métiers, la DSI, la DG, les opérationnels Retour d'expérience Témoignage d'un RSSI (selon les opportunités) Questions / Réponses avec les stagiaires Support de cours en français au format papier. Cette formation n'est pas certifiante. Durée : 5 jours / 35 heures FORMATION RSSI 31 mars au 4 avril 2014 Paris 6 au 10 octobre 2014 Paris 32

32 Sécurité Organisationnelle Essentiel de PCI DSS Face à la recrudescence des compromissions de données cartes, les marques de cartes ont développé le standard PCI DSS. Ce standard protégeant les données des porteurs de cartes et encadré par le PCI SSC définit des exigences en matière de sécurité des données des cartes bancaires. Le standard PCI DSS s adresse principalement à tout acteur qui stocke, traite et transmet des données cartes. VOUS ALLEZ APPRENDRE À Présenter les différents acteurs de PCI DSS Présenter le standard PCI DSS et ses 12 clauses Savoir prendre en compte les vulnérabilités et les menaces inhérentes aux données carte bancaire Identifier les points clés d un projet PCI (sélection d un périmètre, standard) Appréhender une évaluation finale PCI DSS DSI Auditeurs Chefs de projet Service monétique Service encaissement Consultants Cette formation ne nécessite pas de pré-requis Cours magistral dispensé par deux consultants certifiés QSA ayant réalisé des audits PCI DSS. Introduction Problèmes de sécurité posés par le paiement par carte Données sensibles à protéger Solution apportée par PCI-SSC Présentation des différents acteurs Les distributeurs de carte Le PCI-SSC Les QSA et les ASV Les organismes soumis à certification PCI Chaîne de responsabilité Périmètre Sélection du périmètre Cloisonnement Référentiel de sécurité PCI DSS Cycle de vie du référentiel Présentation du référentiel Notion de mesure compensatoire Liens possibles avec d'autres référentiels en sécurité L'évaluation PCI DSS Inventaire des données des porteurs de cartes Confirmation du périmètre de l'évaluation Mise en conformité Évaluation par le QSA Rapport de conformité (ROC/AOC) Questions / Réponses Essentiel de PCI DSS Support de cours en français au format papier. Cette formation n'est pas certifiante. Durée : 1 jour / 7 heures ESSENTIEL DE PCI DSS 2 juin 2014 Paris 33

33 Principes et mise en œuvre des PKI Si les PKI sont actuellement mises à l honneur, la réalité de leurs déploiements demeure toutefois plus mitigée. Cette formation fournit une approche pragmatique des possibilités offertes au travers de la technologie des PKI et indique une démarche réaliste pour réussir et optimiser leur mise en œuvre. VOUS ALLEZ APPRENDRE Les technologies et les normes (cryptographie gros grains) Les différentes architectures Les problématiques d intégration (organisation d une PKI, formats de certificats, points d achoppement) Les aspects organisationnels et certifications Les aspects juridiques (signature électronique, clés de recouvrement, utilisation, export / usage international) Architectes Chefs de projets Responsables sécurité/rssi avec une orientation technique Développeurs seniors Administrateurs système et réseau senior Formation universitaire de base ou Ingénieur en informatique L'utilisation de la ligne de commande, notion d API bases de réseau IP est un plus Cours magistral avec échanges interactifs Travaux pratiques Support de cours en français au format papier. Ordinateurs portables et tokens cryptographiques mis à disposition par HSC pour les exercices Cette formation n'est pas certifiante. Durée : 3 jours / 21 heures Sécurité Organisationnelle Principes et mise en œuvre des PKI Technique & cryptographie Primitives cryptographiques en accéléré Cadre général : Historique, Définitions Mécanismes : Chiffrement, condensat, MAC, Modes Assemblages courants: signature, combinaison symétrique & asymétrique, clé de session, IV Attaques cryptographiques: de la force brute à la cryptanalise quantique Attaques système: "side channel", «man in the middle», attaques sur la gestion des clés... Gestion des secrets : Gestion des clés HSM, containers logiciels Recommandations ANSSI/NIST/ECRYPT Le besoin de PKI Implémentations techniques de la cryptographie Le certificat X509 : objectif, format, limitations et usages Implémentation cryptographique matérielles : HSM, Cartes accélératrices, Tokens et cartes à puce Implémentations logicielles communes : notions communes, Ms CryptoApiNG Openssl Mozilla NSS Bouncy-Castle. Intégration de tokens et cartes à puce : PKCS #11 Java JCE Ms CryptoAPI Usages de la cryptographie : Authentification système et réseau, intégration dans les domaines Windows, intégration sous UNIX, NAC (i802x) VPN SSL/TLS: principes attaques, Apache IIS Signature électronique : principes, usages et normes (PKCS#7/CMS Standards ETSI: PAdEs/XAdes/CAdEs) Horodatage Chiffrement de messagerie avec S/MIMES Chiffrement de disques : Bitlocker, EFS, FileVault, LUKS, Ecryptfs Mise en oeuvre des PKI Architecture et intégration Architecture PKI-X: CA/Sub-CA/RA Architectures communes: déclinaisons concrètes des rôles Détails de mise en oeuvre:génération de clé et émission des certificats, révocation, diffusion des clés Typologie de PKI: Interne à usage dédié Interne transversale Externe dédiée (PKI As A Service) Externe partagée (Certificate As A Service), PKI embarquées Aspects Organisationnels: Processus clés, contrôle. Certification : Exigences ETSI: , , Exigences RGS, PSC Mise en oeuvre d'une PKI Présentation de OpenCA Démonstration d'usage courant: génération de clés, certification, options de certificats Génération de tokens Installation des supports de tokens Cycle de vie complet Aspects légaux et perspectives Aspects juridiques Signature électronique: valeur juridique, cadre... Réglementations d'usage: limitations, escrow, export Usage international Prospective Limitations et état de la menace : AC et navigateurs, Incidents significatifs, voies d'amélioration, Attaques sur la révocation, Attaques sur les cartes à puces, Problèmes sur les générations de clés, Gestion des expirations et recouvrement: clés de chiffrement vs clés de signature, Contraintes sur la cryptographie: support de tailles de clés, temps réel, évolution de l'existant IGC non PKIX courantes ou en essor : PGP / GPG SSH S-BGP, DNSSEC / DANE, Gestion des clés symétriques PRINCIPES ET MISE EN ŒUVRE DES PKI 14 au 16 mai 2014 Paris 34

34 Sécurité Organisationnelle Sécurité Organisationnelle Fondamentaux RGS : la SSI de pour la SSI le secteur public Le Référentiel Général de Sécurité s impose aux autorités administratives comme indiqué dans l ordonnance et détaillé dans le décret Il impose une gestion proportionnée de la sécurité des systèmes d information à l autorité administrative. Pour cela, il est nécessaire de respecter plusieurs principes de la définition d une politique de sécurité à la réalisation d une appréciation des risques, en passant par l homologation des systèmes d information par une autorité légitime. VOUS ALLEZ APPRENDRE Ce qu est le RGS : origines, bases, acteurs concernés L architecture du RGS : son corps et ses différentes annexes Les obligations et recommandations issues du RGS Les moyens de les mettre en œuvre Responsables de mise en conformité aux RGS Ministères Rectorats, Préfectures Mairies, Collectivités territoriales Etablissements publics Décideurs en sécurité de l information Fournisseurs de produits ou services de sécurité de l information Cette formation ne nécessite pas de pré-requis. Cours magistral Support de cours en français au format papier. Cette formation n'est pas certifiante. Durée : 1 jour / 7 heures Présentation du Référentiel Général de Sécurité Présentation globale - Définitions - Origine du RGS Obligations - Faire une appréciation des risques * Présentation ISO & EBIOS - Présentation des fonctions de sécurité * Chiffrement * Accusé de réception - Homologuer ses téléservices * Durée * Présentation du dossier de sécurité * Qui est le preneur de décision * Conseils d'hsc Recommandations - 8 reco globales * Démarche globale * Adapter la SSI selon les enjeux et intégrer la sécurité dans les projets * Gérer les risques SSI * Elaborer une politique SSI * Utiliser les produits et prestataires labellisés * MSI & Défense en profondeur Présentation des différents acteurs Présentation des menaces et des risques haut niveau qui pèsent sur les Autorités Administratives - Déroulement d'une appréciation des risques Comment se mettre en conformité - Homologuer ses services * Rôles et responsabilités à définir * Réaliser l'appréciation des risques * Mettre en place les mesures de sécurité * Auditer * Soumettre à homologation Se faire qualifier "PSCo" - adapter la PC-type * mettre en oeuvre les mesures de sécurité (tech/orga) * l'audit à blanc * l'audit de certification - Qualifier ses produits * Présentation des niveaux de qualification (CSPN, CC) * Profil de protection - Travailler avec des prestataires * Préparer le contrat * Suivre les contrats RGS : la SSI pour le secteur public RGS : LA SSI POUR GÉRER LE SECTEUR PUBLIC 4 avril 2014 Paris 30 octobre 2014 Paris 35

35 Sécurité Organisationnelle Sécurité du Cloud Computing Sécurité du Cloud Computing Le Cloud Computing s impose aujourd hui comme une évolution majeure de l informatique, tant pour les clients que pour les fournisseurs de solutions. Sa sécurité est au cœur des préoccupations puisque les risques sont à la fois techniques, organisationnels et juridiques. VOUS ALLEZ APPRENDRE Les bases et fondements techniques permettant de comprendre le fonctionnement du Cloud Computing A évaluer la sécurité du Cloud, tant d un point de vue technique qu organisationnel A faire les choix permettant de vous protéger A sécuriser vos contrats de Cloud Clients (RSSI, DSI, Chefs de projet, ) Opérateurs de Cloud Avoir les notions informatiques de base (vocabulaire) Cours magistral avec échanges interactifs Exercices pratiques basés sur le retour d'expérience d'hsc et de nos clients Support de cours en français au format papier Cette formation n'est pas certifiante. Durée : 3 jours / 21 heures Accueil des participants : présentation générale du cours, rappel des objectifs Module 1 : présentation des normes et autres référentiels Concepts et vocabulaire de la Sécurité du Système d'information Notions juridiques Eléments d'un contrat avec un tiers La série ISO 2700x Présentation de la norme ISO Notion de SMSI (Système de Management de la Sécurité de l'information - Modèle PDCA (Plan-Do-Check-Act) Présentation de la norme ISO L'organisation des objectifs de sécurité - Les mesures gérant les relations avec les tiers Présentation de la norme ISO Les étapes de l'appréciation des risques Présentation de la norme ISO Définition et gestion d'indicateurs Autres référentiels et méthodes Module 2 : méthodologie pour la gestion de projet Rappel des étapes de la conduite d'un projet Rôles et responsabilités Etude préalable - Cahier des charges intégrant les besoins, contraintes et objectifs de la SSI - Définir la sécurité et décrire les techniques souhaitées Lancement du projet : - Mener une appréciation des risques avec le tiers - Choisir des mesures de sécurité pour réduire les risques - Rédiger un Plan Assurance Sécurité (PAS) Ingénierie - Chapitres Sécurité du Dossier d'architecture - Dossier de tests intégrant les moyens de contrôle des mesures de sécurité Réalisation - Mettre en place les mesures de sécurité - Suivi de l'implémentation des mesures Clôture - Recette Sécurité (VABF et VSR) Module 3 : méthodologie pour la mise en oeuvre d'un service Rappel des éléments normalisés par l'iso : processus Fonctions, rôles et responsabilités Rédaction du plan de service - Mener une appréciation des risques et choisir des mesures de sécurité - Définir des SLA «sécurité» - Planifier les réunions de suivi - Prévoir un programme d'audit - Structurer la démarche de traitement des incidents de sécurité Gestion du quotidien Renouvellement, terminaison et transfert du service Module 4 : définir des indicateurs de sécurité utiles Définir des indicateurs et SLA Organiser leur mise en oeuvre Concevoir un tableau de bord Interpréter les résultats Communiquer Module 5 : gérer un audit de sécurité Besoins : respect des engagements et efficacité Contractualiser un programme d'audit Organiser un audit - Définition des objectifs et du champ - Choix des auditeurs et audités - Réalisation de l'audit Gérer les résultats de l'audit SÉCURITÉ DU CLOUD COMPUTING 27 au 29 octobre 2014 Paris 36

36 Vous souhaitez Sécurité Organisationnelle Présentation des formations ISO 2700x Avoir une introduction au SMSI Acquérir les fondamentaux de la norme ISO Comprendre les mesures de sécurité et apprendre à les gérer (élaborer, améliorer et créer des enregistrements et des indicateurs) Apprendre à gérer des incidents de sécurité Construire des indicateurs tableaux de bords / ISO et des tableaux de bord dans un SMSI Auditer un SMSI Devenir auditeur interne ou auditeur de certification pour les SMSI Vous devez suivre Essentiel de la série ISO Gestion des mesures de sécurité et norme ISO Gestion des incidents de sécurité / ISO Indicateurs et tableaux de bord de la SSI / ISO ISO Lead Auditor Présentation des formations ISO 2700x Implémenter un SMSI Devenir responsable de mise en œuvre d un SMSI Fondamentaux techniques de la SSI ISO Lead Implementer Apprendre à réaliser une gestion des risques avec la méthode ISO Maîtriser l appréciation et le traitement des risques ISO Risk Manager Apprendre à réaliser une gestion des risques au-delà du cadre du SMSI Approfondir les différentes phases de la gestion du risque SI Gestion des risques avancée 37

37 Essentiel de la norme ISO 27001:2013 Sécurité Organisationnelle Essentiel de la norme ISO 27001:2013 La norme ISO est devenue la référence internationale en termes de Système de Management de la Sécurité de l Information (SMSI). Les projets de mise en conformité ISO se multiplient dans les entreprises. Pourtant, la mise en place d un SMSI ne se résume pas à la réalisation d une appréciation des risques et à la simple rédaction de procédures. Il s agit d un projet transversal couvrant de multiples domaines et nécessitant d avoir une approche à la fois technique et organisationnelle. Une clarification des tenants et des aboutissements des normes de la famille ISO est donc nécessaire. VOUS ALLEZ APPRENDRE Ce qu est un projet d implantation d un SMSI Ce qu'est la norme ISO 27001:2013 et les normes associées À évaluer l intérêt de la mise en place de la certification ISO À évaluer la charge de la mise en place d un SMSI Toute personne chargée d'évaluer la pertinence de la mise en place d'un Système de Gestion de la Sécurité de l'information selon la norme ISO 27001:2013. Toute personne souhaitant connaître l'essentiel des normes de la série Toute personne souhaitant connaître les évolutions introduites par la nouvelle édition RSSI Matin Introduction aux systèmes de management Histoire des normes et et panorama des normes 2700X Présentation détaillée de la norme ISO 27001:2013 Introduction aux processus d un SMSI Après-midi La gestion des risques dans un SMSI La gestion des mesures de sécurité dans un SMSI Evaluation de la performance du SMSI et certification Vous avez une certification LSTI ISO Lead Auditor ou Implementer? Suivre cette formation vous permet de passer votre certification de ISO 27001:2005 en ISO 27001:2013 sans être obligé de repasser l'examen de certification Avoir une culture dans le domaine de la sécurité de l information Cours magistral Exercices pratiques Support de cours en français au format papier Cette formation n'est pas certifiante. Durée : 1 jour / 7 heures ESSENTIEL DE LA NORME ISO 27001: février 2014 Paris 14 avril 2014 Toulouse 23 juin 2014 Paris 6 octobre 2014 Paris 8 décembre 2014 Paris 38

38 Sécurité Organisationnelle La sécurité de l'information s'appuie sur des mesures de sécurité pour répondre aux besoins de confidentialité, intégrité et disponibilité des activités métier des entreprises. La norme ISO décrit une approche pragmatique de la gestion de la sécurité de l'information avec le choix de mesures de sécurité découlant d'une appréciation des risques. Elle s'appuie sur le guide ISO (anciennement ISO 17799) pour fournir des recommandations sur le choix et l'implémentation des mesures de sécurité. Dans cette formation, HSC aborde l'intégralité du cycle de gestion des mesures de sécurité, de leur élaboration à leur amélioration, en passant par la création d'enregistrements et d'indicateurs. VOUS ALLEZ APPRENDRE À Sélectionner les mesures de sécurité répondant à vos besoins Maîtriser le cycle de vie d une mesure de sécurité : sa mise en œuvre et son maintien en condition opérationnelle Maîtriser la norme ISO Connaître ce qu apportent les mesures de sécurité à l amélioration de la sécurité de votre SI RSSI nouvellement en poste Stagiaire souhaitant découvrir la sécurité d un point de vue organisationnel Des connaissances en sécurité informatique sont recommandées Cours magistral basé sur les normes Exercices pratiques individuels et collectifs basés sur une étude de cas Support de cours en français au format papier Gestion des mesures de sécurité et norme ISO Rappels : ISO 27001, SMSI et PDCA Appréciation des risques La norme ISO : Objectifs Structure - Objectif de sécurité et mesure de sécurité - Recommandations d'élaboration Mesure de sécurité : Exigences de la norme ISO Choix de mesure de sécurité Elaboration Rédaction de la procédure opérationnelle associée Mise en place Création et gestion des enregistrements Identification de mesures et création d'indicateurs Moyens de contrôle et méthodologies d'audit des mesures Actions d'amélioration, correctives et préventives Audit de certification : Que recherchent les auditeurs? Comment prouver la mise en place effective des mesures de sécurité sélectionnées dans la Déclaration d'applicabilité? Les mesures de sécurité de la norme : Classement Chapitres majoritairement organisationnels - Politique de sécurité - Organisation de la sécurité de l'information - Gestion des biens - Sécurité liée aux ressources humaines - Sécurité physique et environnementale - Gestion des incidents liés la sécurité de l'information - Gestion du plan de continuité d'activité - Conformité Chapitres majoritairement techniques - Gestion de l'exploitation et des télécommunications - Contrôle d'accès - Acquisition, développement et maintenance des systèmes d'information L'application en normes sectorielles avec des mesures de sécurité spécialisées : Santé : ISO Télécommunications : ISO Banque, Jeux, Automobile Conclusion Gestion des mesures de sécurité et norme ISO Cette formation n'est pas certifiante. Durée : 2 jours / 14 heures GESTION DES MESURES DE SÉCURITÉ ET NORME ISO au 25 juin 2014 Paris 9 au 10 décembre 2014 Paris 39

39 Gestion des incidents de sécurité / Norme ISO Sécurité Organisationnelle Gestion des incidents de sécurité/ norme ISO La gestion des incidents de sécurité dans un délai court et leur prise en compte dans la gestion des risques est imposée par la norme ISO Le processus de gestion des incidents de sécurité est fondamental au succès d une bonne organisation de la sécurité des systèmes d information. Le guide de la norme ISO explicite en détail comment organiser ce processus. VOUS ALLEZ APPRENDRE À Mettre en œuvre et organiser le processus de gestion des incidents de sécurité au sein d un SMSI Comment mettre en place une équipe de réponse aux incidents de sécurité (Information Security Incident Reponse Team : ISIRT) Gérer et comprendre les interactions du processus de gestion des incidents de sécurité avec les autres processus de son organisation DSI Responsables de la mise en place d un SMSI Responsables sécurité Personnes chargées de gérer les incidents de sécurité Cette formation ne demande pas de pré-requis Cours magistral avec échanges intéractifs MATERIEL Support de cours en français au format papier Cette formation n'est pas certifiante. Durée : 1 jour / 7 heures Introduction Contexte Enjeux et ISO Vocabulaire Norme ISO Concepts Objectifs Bienfaits de l'approche structurée Phases de la gestion d'incident Planification et préparatifs (Planning and preparation) Principales activités d'une équipe de réponse aux incidents de sécurité (ISIRT) Politique de gestion des incidents de sécurité Interactions avec d'autres référentiels ou d'autres politiques Modélisation du système de gestion des incidents de sécurité Procédures Mise en oeuvre de son ISIRT Support technique et opérationnel Formation et sensibilisation Test de sons système de gestion des incidents de sécurité Détection et rapport d'activité (Detection and reporting) Activités de l'équipe opérationnelle de détection des incidents de sécurité de l'information Détection d'évènements Rapport d'activité sur les événements Appréciation et prise de décision (Assessment and decision) Activités de l'équipe opérationnelle d'analyse des incidents de sécurité Analyse immédiate et décision initiale Appréciation et confirmation de l'incident Réponses (Responses) Principales activités d'une équipe opérationnelle de réponse aux incidents de sécurité Réponse immédiate Réponse à posteriori Situation de crise Analyse Inforensique Communication Escalade Journalisation de l'activité et changement Mise à profit de l'expérience ('Lessons Learnt') Principales activités d'amélioration de l'isirt Analyse Inforensique approfondie Retours d'expérience Identification et amélioration - de mesures de sécurité - de la gestion des risques - de la revue de direction - du système de gestion des incidents Mise en pratique Documentation Exemple d'incidents de sécurité de l'information - Déni de service (DoS) et déni de service réparti (DDoS) - Accès non autorisé - Code malfaisant - Usage inapproprié - Collecte d'informations Catégories d'incidents de sécurité Méthodes de classement ou de typologie d'incidents de sécurité - CVSS - ISO27035 Enregistrement des évènements de sécurité Fiche de déclaration des évènements de sécurité Aspects légaux et réglementaires de la gestion d'incidents GESTION DES INCIDENTS DE SÉCURITÉ / ISO juin 2014 Paris 12 décembre 2014 Paris 40

40 Sécurité Organisationnelle Indicateurs et tableaux de bord SSI/ ISO Les indicateurs et tableaux de bord permettent au responsable sécurité de piloter son activité et de communiquer avec sa direction et les équipes opérationelles. Dans une organisation de la SSI conforme à l'iso27001, les indicateurs sont un des mécanismes de surveillance imposés, qui obligent à anticiper les résultats escomptés et les actions à entreprendre. VOUS ALLEZ APPRENDRE À Définir ce qu est un indicateur Réaliser un indicateur exploitable Tirer des leçons de l indicateur pour surveiller et améliorer le SMSI RSSI Consultants Ingénieurs sécurité Connaître la norme ISO Cours magistral MATERIEL Exercices pratiques Support de cours en français au format papier Cette formation n'est pas certifiante. Durée : 1 jour / 7 heures Qu'est-ce qu'un indicateur? Points à mesurer dans le domaine de la SSI Conformité aux normes, référentiels, exigences, réglementations Efficacité de la sécurité Coût de la sécurité ou de l'absence de sécurité Comment identifier les indicateurs? Démarche empirique Démarche formelle Principaux indicateurs à mettre en place : Pour un SI Pour un SMSI Exemples Différentes approches pour gérer les indicateurs ANSSI CLUSIF ISO Etc... Présentation détaillée de la norme ISO Formalisation des indicateurs Objet, attribut, mesure, modèle analytique, etc... Exploitation des indicateurs Conseils pratiques Erreurs communes à éviter Indicateurs et tableaux de bord SSI / ISO INDICATEURS ET TABLEAUX DE BORD SSI / ISO juin 2014 Paris 11 décembre 2014 Paris 41

41 ISO Lead Auditor (version 27001:2013) Sécurité Organisationnelle ISO Lead Auditor Version 27001:2013 Les activités de surveillance et réexamen comprennent des taches d audit permettant de détecter tout dysfonctionnement potentiel, qui apparaitrait dans tout Système d Information ou SMSI. Savoir réaliser des audits de façon méthodique et structurée, tout en maitrisant les normes de l ISO est devenu pour tout consultant une étape nécessaire prouvant son savoir faire auprès de ses clients et de ses employeurs. La formation certifiante, ISO Lead Auditor, dispensée par HSC permet de répondre à tous ces besoins en matière d audits internes ou d audit de certification. VOUS ALLEZ APPRENDRE À Disposer de la vision auditeur vis-à-vis de la norme ISO Intégrer le modèle PDCA lors de vos activités d audit À auditer Les différentes catégories de mesures de sécurité (Annexe A de l ISO / ISO 27002) Conduire un audit de SMSI et ses entretiens (ISO / ISO / ISO 27006) Membres des équipes de contrôle interne Équipes de sécurité Auditeurs externes Qualiticiens Responsables d audit de SMSI RSSI Consultants en Sécurité des Systèmes d Informations Il est recommandé d avoir lu les normes ISO et ISO Formation de second cycle ou avoir une expérience professionnelle de 5 ans minimum dans le domaine des systèmes de management de la sécurité informatique Cours magistral basé sur les normes ISO 19011, ISO 27001, ISO Exercices pratiques individuels et collectifs s appuyant sur une étude de cas Exercices individuels de révision Jeu de rôle auditeur/audité Formation nécessitant 1 heure de travail à la maison et ce quotidiennement Accueil des participants Présentation générale du cours Introduction aux systèmes de management Présentation de la norme ISO Notion de SMSI (Système de Management de la Sécurité de l'information) Modèle PDCA (Plan-Do-Check-Act) Enregistrements Inventaire des actifs Appréciation du risque Traitement du risque Processus de certification ISO Présentation de la norme ISO Différentes catégories de mesures de sécurité Mesures d'ordre organisationnel Mesures d'ordre technique Présentation de la démarche d'audit ISO Norme ISO Règlement de certification Exemples pratiques Techniques de conduite d'entretien Exercices de préparation à l'examen Examen Support de cours en français au format papier Annexes associées en français et /ou en anglais Cette formation prépare à l'examen de certification LSTI à la norme 27001:2013 (ISO Lead Auditor). Durée : 5 jours * / 40 heures ISO LEAD AUDITOR VERSION 27001: au 28 mars 2014 Paris 2 au 6 juin 2014 Paris 15 au 19 septembre 2014 Paris 1 au 5 décembre 2014 Paris 42 * 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi. Cette durée de 40 heures est nécessaire pour être conforme à la norme ISO19011: qui spécifie cette durée pour la formation des auditeurs.

42 Sécurité Organisationnelle Face aux attentes des parties prenantes et des décideurs et aux nombreuses exigences de sécurité à respecter, le Responsable de la sécurité du système d information est souvent désarmé. Un système de management de la sécurité de l information est la meilleure organisation possible pour gérer la sécurité de son système d information. Mettre en œuvre les bonnes pratiques de la norme ISO et faire certifier son SMSI est devenu un gage d excellence internationalement reconnu valorisant la mission des acteurs de la sécurité. VOUS ALLEZ APPRENDRE À Mettre en œuvre un Système de management de la sécurité de l information (SMSI) Gérer un projet de mise en œuvre de SMSI Gérer un SMSI dans le temps Utiliser la norme ISO et les guides associés : ISO 27002, ISO et ISO 27005) Gérer les exigences de sécurité et les risques de sécurité Gérer la mise en œuvre d un plan de traitement des risques Améliorer le SMSI et les mesures de sécurité dans le temps grâce aux mécanismes d amélioration continue RSSI nouvellement en poste Chefs de projet SMSI DSI et leurs équipes Qualiticiens Consultants ISO Lead Implementer Version 27001:2013 Formation initiale minimum du second cycle ou justifier d une expérience professionnelle d au moins 5 ans dans le domaine des systèmes de management de la sécurité informatique Connaître les bases de la sécurité des systèmes d information Cours magistral basé sur les normes Exercices pratiques individuels et collectifs s appuyant sur une étude de cas Exercices individuels de révision Jeu de rôle auditeur/audité Formation nécessitant 1 heure de travail à la maison et ce quotidiennement Accueil des participants Présentation générale du cours Introduction aux enjeux de la sécurité Présentation détaillée de la norme ISO Notion de SMSI (Système de Management de la Sécurité de l'information) Modèle PDCA (Plan-Do-Check-Act) Les processus du SMSI : - Direction - Pilotage - Gestion des mesures de sécurité - Gestion du risque de l information - Gestion de la documentation - Gestion des compétences - Gestion des indicateurs - Gestion des incidents de sécurité - Audit Interne Panorama des normes complémentaires Processus de certification ISO Processus de Gestion du risque de l'information Analyse de risque ISO Introduction sur la norme ISO Vocabulaire : risque, menace, vulnérabilité Processus de gestion de risque : aspects itératifs et PDCA Etablissement du contexte - Critères de gestion de risque - Description de l'environnement et des contraintes Appréciation des risques - Identification des risques : actifs, menaces, vulnérabilités, conséquences... - Estimation des risques - Evaluation des risques Traitement du risque - Sélection des mesures de sécurité Acceptation du risque Communication du risque Réexamen du processus de gestion de risques et suivi des risques Conclusion Processus de gestion des mesures de sécurité Présentation de la norme ISO Différentes catégories de mesures de sécurité Mesures d'ordre organisationnel Mesures d'ordre technique Le projet SMSI Convaincre la direction Les étapes du projet Les acteurs Processus Gestion des indicateurs Présentation de la norme ISO Principes Indicateurs de conformité Indicateurs d efficacité Préparation à l'examen Examen conçu, surveillé et corrigé par LSTI. ISO Lead Implementer (Version 27001:2013) Support de cours en français au format papier Annexes associées en français et /ou en anglais Cette formation prépare à l'examen de certification LSTI à la norme 27001:2013 (ISO Lead Implementer). Durée : 5 jours * / 40 heures ISO LEAD IMPLEMENTER VERSION 27001: au 24 janvier 2014 Paris 17 au 21 mars 2014 Paris 12 au 16 mai 2014 Paris 23 au 27 juin 2014 Toulouse 30 juin au 4 juillet 2014 Paris 22 au 26 septembre 2014 Paris 27 au 31 octobre 2014 Luxembourg 17 au 21 novembre 2014 Paris * 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi.. 43

43 Sécurité Organisationnelle ISO Risk Manager ISO Risk Manager Une des caractéristiques fortes de l ISO est de spécifier une organisation de la sécurité des systèmes d information qui impose une approche par la gestion des risques. Le guide ISO est donc le plus important de la série ISO et détaille concrètement une méthode de gestion des risques liée à la sécurité de l information. La norme ISO est utilisable dans tout type de contexte mais en appliquant les fondamentaux de l ISO elle applique les volontés de la direction et donne une méthode de gestion des risques dans la durée, au contraire des habitudes de gestion de risques au coup par coup avec EBIOS ou Mehari. L ISO est la première norme à appliquer l ISO 31000, norme générique de gestion de risques applicable à tous les métiers, de la gestion des risques opérationnels à la gestion des risques industriels en passant par la gestion des risques. VOUS ALLEZ APPRENDRE À Acquérir une compréhension globale des concepts, de la norme, des méthodes et techniques Mettre en œuvre une démarche d appréciation des risques continue et pragmatique Maîtriser la norme ISO : appréciation et analyse des risques du SI RSSI nouvellement en poste Gestionnaires de risque débutants Des connaissances en sécurité informatique sont recommandées Cours magistral basé sur les normes Exercices pratiques individuels et collectifs basés sur une étude de cas Exercices individuels de révision Formation nécessitant 1 heure de travail à la maison et ce quotidiennement Introduction La série ISO 2700x ISO Les autres méthodes Le vocabulaire du management du risque selon l'iso : Présentation interactive du vocabulaire fondamental et de l'approche empirique de gestion de risque avec la participation active des stagiaires à un exemple concret. Identification et valorisation d'actifs Menaces et vulnérabilités Identification du risque et formulation sous forme de scénarios Estimation des risques Vraisemblance et conséquences d'un risque Évaluation des risques Les différents traitements du risque Acceptation des risques Notion de risque résiduel La norme ISO : Introduction à la norme ISO Gestion du processus de management du risque Cycle de vie du projet et amélioration continue (modèle PDCA) Etablissement du contexte Identification des risques Estimation des risques Evaluation des risques Traitement du risque Acceptation du risque Surveillance et ré-examen du risque Communication du risque Exercices Mise en situation : étude de cas Réalisation d'une appréciation de risque complète Travail de groupe Simulation d'entretien avec un responsable de processus métier Mise à disposition d'un ordinateur portable pour mener l'étude Présentation orale des résultats par chaque groupe Revue des résultats présentés Présentation des recommandations HSC : Les erreurs courantes : les connaître et s'en prémunir Outillage Recommandations générales Préparation à l'examen Support de cours en français au format papier Annexes associées en français et /ou en anglais Cette formation prépare à l'examen de certification LSTI à la norme 27005:2011 (ISO Risk Manager). Durée : 3 jours * / 21 heures ISO RISK MANAGER 27 au 29 janvier 2014 Paris 10 au 12 mars 2014 Paris 16 au 18 avrii 2014 Lyon 19 au 21 mai 2014 Paris 4 au 6 juin 2014 Luxembourg 30 juin au 2 juillet Paris 8 au 10 septembre 2014 Paris 20 au 22 octobre 2014 Paris 24 au 26 novembre 2014 Paris 15 au 17 décembre 2014 Paris 44 * 2,5 jours pendant lesquels exposés, cas pratiques, exercices et études de cas sont alternés et une demi-journée réservée à l'examen.

44 Sécurité Organisationnelle Gestion des Risques Avancée La formation portera sur les risques du système d'information et la manière de les apprécier et les analyser. VOUS APPRENDRE À Comprendre les problématiques liées à la gestion des risques et ses limites Maîtriser les différentes étapes de la gestion des risques Maîtriser les différents éléments à prendre en compte dans une appréciation des risques Adapter les outils existants à votre contexte Gestionnaires de risques souhaitant prendre du recul Consultants souhaitant offrir une offre personnalisée à leurs clients Maîtriser le vocabulaire et la démarche ISO Avoir suivi une formation «ISO Risk Manager agréée par LSTI (la certification n est pas nécessaire) Cours magistral basé sur les normes Exercices pratiques individuels et collectifs basés sur une étude de cas Support de cours en français au format papier Cette formation n'est pas certifiante. Accueil et présentation générale du cours Gérer les risques, dans quel but? - SMSI - Risques opérationnels - Accompagnement de projet - Homologation Les référentiels disponibles (ISO27005, EBIOS, ISO31000, MeHaRI, RiskIT) - Quelle méthode pour quel objectif? - Composer son processus de gestion de risque Théorie avancée de la gestion de risques Les processus, les informations, les actifs de support - Gérer la complexité - Imbrication, dépendance et valorisation - Gérer les actifs transverses Ingénierie du risque: origine, matérialisation, éléments déclencheurs Les scénarios: description ontologique du rique - Appréhender les scénarios complexes - Multi-actifs - Chainés Modélisation analytique du niveau de risque Les mesures de sécurité : - Identification, maturité et action sur les risques - Mesurer l'action des mesures de sécurité Mise en œuvre pratique de la gestion des risques Gestion de projet : planification, organisation, comitologie Résolution de problèmes concrets - Déterminer le bon niveau de granularité Gestion des informations : documentation, entretiens - Trouver le bon interlocuteur - Pallier l'absence d'audits de sécurité à jour Présenter et communiquer ses résultats Gestion des Risques Avancée Durée : 2 jours / 14 heures Pour aller plus loin Quid des outils de gestion de risque? Intégration de la gestion de risque SSI - Risques opérationnels - Risques industriels - BIA - PCA/PRA Intégrer les audits, le contrôle interne dans la gestion des risques SSI GESTION DES RISQUES AVANCÉE 22 au 23 mai 2014 Paris 18 au 19 décembre 2014 Paris 45

45 Sécurité Organisationnelle EBIOS Risk Manager EBIOS Risk Manager EBIOS (Etude des Besoins et Identification des Objectifs de Sécurité) s'est imposée comme la méthodologie phare en France pour apprécier les risques dans le secteur public. Elle est recommandée par l'anssi pour l'élaboration de PSSI et schéma directeur, pour l'homologation de téléservice dans le cadre du RGS, dans le guide GISSIP ; par la CNIL pour réaliser des analyses d'impacts sur les données nominatives (PIA ou Privacy Impact Assessment). EBIOS possède des caractéristiques uniques qui permettent son usage dans tous les secteurs de la sécurité, bien au-delà de la SSI. EBIOS permet d'identifier les risques d'un système en construction qui n'existe pas encore, et demeure idéale pour la rédaction de cahier des charges. VOUS ALLEZ APPRENDRE Appréhender la méthode EBIOS 2010 et ses différents cas d'utilisation. Maîtriser la construction d'un processus de gestion des risques. Donner les moyens au stagiaire de piloter et réaliser une appréciation des risques EBIOS Communiquer les ressources et les outils disponibles afin de réaliser une appréciation des risques optimale Préparer l'apprenant à l'examen en fin de session. CIL (DPO) RSSI Chefs de projet SI Consultants sécurité Toute personne connaissant d'autres méthodes comme ISO 27005, MEHARI ou EBIOS v2 (ancienne version d'ebios) et souhaitant maîtriser EBIOS Des connaissances de base en sécurité informatique sont recommandées. Cours magistral basé sur le référentiel EBIOS, des références aux normes ISO 27005, ISO et ISO pourront être faites ; Bon usage des normes et méthodes à disposition (norme ISO 27002, méthodes d'analyse des risques ISO et MEHARI, etc.) ; Construction d'un tableau d'appréciation des risques exploitable à partir d'un tableur de type Excel ; Des exemples et études de cas tirés de cas réels ; Des exercices réalisés individuellement ou en groupe, y compris un exercice chaque soir à faire chez soi Support de cours en français au format papier Méthode EBIOS 2010 Cette formation prépare à l'examen de certification LSTI à méthode EBIOS (EBIOS Risk Manager). Introduction EBIOS Historique Les autres méthodes Différence entre EBIOS V2 et V2010 Le vocabulaire du risque selon EBIOS Biens essentiels et bien support - Propriétaire, dépositaire et RACI - Sources de menace et événements redoutés - Menaces et vulnérabilités et scénarios de menace - Identification du risque et formulation sous forme de scénarios Estimation des risques Vraisemblance et gravité d'un risque Évaluation des risques Les différents traitements du risque Notion de risque résiduel Homologation de sécurité La démarche EBIOS Introduction La modélisation EBIOS - Alignement avec le modèle ISO Communication et concertation relative aux risques Surveillance et réexamen du risque Étude du contexte Étude des événements redoutés Étude des scénarios de menace Étude des risques Étude des mesures de sécurité Étapes facultatives Applications spécifiques - Conception d'une politique de sécurité et/ou d'un schéma directeur - Présentation de la FEROS - Appréciation de risques dans le cadre de l'intégration de la sécurité dans un projet * Cas particulier du RGS * En vue de la rédaction d'un cahier des charges Exercices Mise en situation : étude de cas Réalisation d'une étude EBIOS complète Travail de groupe Simulation d'entretien avec un responsable de processus métier Mise à disposition d'un ordinateur portable pour mener l'étude Présentation orale des résultats par chaque groupe Revue des résultats présentés Recommandations HSC Les erreurs courantes: les connaître et s'en prémunir L'étude de - Intérêts et limites Logiciel EBIOS Pratique du logiciel - Intérêts - Limitaties Utilisation des bases de connaissances Préparation à l'examen Durée : 3 jours * / 21 heures EBIOS RISK MANAGER 17 au 19 février 2014 Paris 11 au 13 juin 2014 Paris 12 au 14 novembre 2014 Paris 46 * 2,5 jours pendant lesquels exposés, cas pratiques, exercices et études de cas sont alternés et une demi-journée réservée à l'examen.

46 Sécurité Organisationnelle Essentiel ISO Aujourd hui la Continuité d Activité doit être prise en compte au niveau des organisations, l objectif est de se préparer à réagir face à une crise majeure et à préserver ses activités cœur de Métier en cas de survenance. La norme ISO fournit un cadre de référence en matière de Système de Management de la Continuité d Activité (SMCA), elle s adresse à tout type d organisation. VOUS ALLEZ APPRENDRE Ce qu est la norme ISO et les normes associées Assimiler les principes fondamentaux d un SMCA conforme à la norme ISO Ce qu est un projet d implémentation d un SMCA À évaluer l intérêt de la mise en place de la certication ISO À évaluer la charge de la mise en place d un SMCA Direction Managers Responsables chargés de la Continuité d Activité (RPCA) Équipes opérationnelles Consultants Chefs de projets Matin Bases sur les systèmes de management Histoire de la norme ISO Principes fondamentaux de la continuité d activité Présentation de la norme ISO Modèle PDCA (Plan Do Check - Act) - Responsabilités de la direction - Audit interne - Revue de direction - Amélioration continue Après-midi Processus du SMCA Panorama des normes ISO complémentaires : ISO 22313, ISO 27031, ISO Processus de certification ISO22301 Essentiel ISO Cette formation ne demande pas de pré-requis. Cours magistral Nombreux exemples pratiques basés sur le retour d'expérience des consultants HSC Support de cours en français au format papier Cette formation n'est pas certifiante. Durée : 1 jour / 7 heures ESSENTIEL ISO février 2014 Paris 11 septembre 2014 Paris 47

47 Sécurité Organisationnelle ISO Lead Auditor ISO Lead Auditor Aujourd hui la Continuité d Activité doit être prise en compte au niveau des organisations, l objectif est de se préparer à réagir face à une crise majeure et à préserver ses activités cœur de Métier en cas de survenance. La norme ISO fournit un cadre de référence en matière de Système de Management de la Continuité d Activité (SMCA), elle s adresse à tout type d organisation. VOUS ALLEZ APPRENDRE Le fonctionnement d un SMCA selon la norme ISO Le déroulement, les spécificités et les exigences d un audit ISO Acquérir les compétences nécessaires pour réaliser un audit interne ou un audit de certification ISO en fonction de la norme ISO Gérer une équipe d auditeurs de SMCA Devenir auditeur ISO certifié Stagiaires amenés à conduire des audits de SMCA Responsables chargés de la Continuité d Activité (RPCA) Consultants Auditeurs Chefs de projet Qualiticiens Équipes du contrôle interne Formation initiale minimum du second cycle ou justifier d une expérience professionnelle d au moins 5 ans Cours magistraux basés sur les normes ISO 19001, ISO 22301, ISO 22313, ISO 27031, ISO Exercices pratiques, individuels et collectifs basés sur une étude de cas Exercices individuels de révision Formation nécessitant 1 heure de travail à la maison et ce quotidiennement Accueil des participants Présentation générale du cours Introduction aux systèmes de management Principes fondamentaux de la continuité d activité Présentation détaillée de la norme ISO22301 Notions de Système de Management de la Continuité d activité (SMCA), Modèle PDCA (Plan Do Check - Act) Les exigences : - Comprendre l organisation et son contexte - Engagement de la Direction - Analyse des impacts Métier (BIA) et appréciation des risques - Définir les stratégies de continuité - Développer et mettre en œuvre les plans et procédures de continuité d'activité - Tests et exercices - Surveillance et réexamen du SMCA - Amélioration continue Les enregistrements Panorama des normes ISO complémentaires : ISO 19011, ISO 22313, ISO 27031, ISO Présentation de la continuité d'activité Procédures de continuité d'activité Exercices et tests Retours d'expérience sur l'audit de Plans de Continuité d'activité (PCA) Processus de certification ISO Présentation de la démarche d audit d'un SMCA basé sur l'iso Norme ISO Audit d un SMCA Règlement de certification Exemples pratiques Techniques de conduite d entretien Exercices de préparation à l examen Examen conçu, surveillé et corrigé par LSTI Support de cours en français au format papier Annexes associées en anglais et/ou français Cette formation à l'examen de certification LSTI à la norme (ISO Lead Auditor). Durée : 5 jours * / 40 heures ISO LEAD AUDITOR 10 au 14 février 2014 Paris 3 au 7 novembre 2014 Paris 48 * 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi..

48 Sécurité Organisationnelle ISO Lead Implementer Aujourd hui la Continuité d Activité doit être prise en compte au niveau des organisations, l objectif est de se préparer à réagir face à une crise majeure et à préserver ses activités cœur de Métier en cas de survenance. La norme ISO fournit un cadre de référence en matière de Système de Management de la Continuité d Activité (SMCA), elle s adresse à tout type d organisation. VOUS ALLEZ APPRENDRE La mise en œuvre d un SMCA conformément à la norme ISO Les concepts, approches, méthodes et techniques requises pour gérer un SMCA Acquérir les compétences nécessaires pour accompagner et conseiller une organisation dans l implémentation et la gestion d un SMCA conformément à la norme ISO Devenir un implémenteur certfifié ISO Stagiaires devant mettre en œuvre un SMCA Managers Responsables de direction opérationnelle Responsables chargés de la Continuité d Activité (RPCA) Gestionnaires de risque Chefs de projets Consultants Formation initiale minimum du second cycle ou justifier d une expérience professionnelle d au moins 5 ans Connaître les principes fondamentaux de la Continuité d Activité Cours magistraux basés sur les normes ISO 22301, ISO 22313, ISO 27031, ISO Exercices pratiques, individuels et collectifs basés sur une étude de cas Quizz préparatoire à l examen Formation nécessitant 1 heure de travail à la maison et ce quotidiennement Support de cours en français au format papier Annexes associées en anglais et/ou français Accueil des participants Présentation générale du cours Introduction aux systèmes de management Principes fondamentaux de la continuité d activité Présentation détaillée de la norme ISO22301 Notions de Système de Management de la Continuité d activité (SMCA), Modèle PDCA (Plan Do Check - Act) Les processus du SMCA - Direction - Pilotage du SMCA - Gestion de la conformité - Gestion des impacts sur l'activité - Gestion des risques - Gestion des stratégies de continuité - Gestion des incidents perturbateurs - Documentation et enregistrements - Ressources, compétences et sensibilisation - Surveillance et réexamen - Gestion des actions correctives Panorama des normes ISO complémentaires : ISO 22313, ISO 27031, ISO Présentation des processus de continuité d'activité Analyse des impacts sur l'activité ou Business Impact Analysis (BIA) Appréciation du risque pour un SMCA sur la base de l ISO Procédures de continuité d'activité Exercices et tests Retours d'expérience sur l'implémentation de Plans de Continuité d'activité (PCA) Mener un projet d'implémentation d'un SMCA Convaincre la Direction Les étapes du projet Les acteurs Les facteurs clés de succès Les risques et opportunités Intégration de l'iso dans le SMCA ISO Lead Implementer Cette formation à l'examen de certification LSTI à la norme (ISO Lead Implementer). Durée : 5 jours * / 40 heures Processus de certification ISO Gestion des indicateurs Préparation de l examen Examen conçu, surveillé et corrigé par LSTI ISO LEAD IMPLEMENTER 7 au 11 avril 2014 Paris 16 au 20 juin 2014 Luxembourg 29 septembre au 3 octobre 2014 Paris 8 au 12 décembre 2014 Paris * 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi.. 49

49 Programmation sécurisée en PHP (E-learning) OBJECTIFS Comprendre les enjeux de la sécurité des applications PHP. Appréhender les différentes attaques existantes : injections SQL ; cross-site Scripting ; gestion des droits ; mauvaise gestion de l'authentification ; traversée de répertoires ; etc. Mettre en place les bonnes pratiques de sécurité : architecture d'un projet PHP ; gestion des comptes utilisateurs ; gestion des données utilisateurs. La formation e-learning proposée par HSC permet à chaque stagiaire de découvrir les types de vulnérabilités rencontrées sur les applications PHP afin d'apprendre à implémenter un code sécurisé. Ce cours s'adresse aux développeurs PHP et aux chefs de projets de développement en PHP. Il sera également utile aux commanditaires d'applications écrites en PHP et aux auditeurs de sécurité. Les apprenants doivent avoir des bases en PHP et avoir déjà implémenté un script PHP en interaction avec une base de données (Notion basique de SQL). Développeurs d'applications PHP. Chefs de projets PHP. Personnes en charge des tests d'une application PHP. Personnes en charge de la validation d'une application PHP. Pré-requis techniques : accès internet ; navigateur Web avec player flash. : Trois phases systématiques : phase d'enseignement ; phase d'apprentissage ; phase de validation des acquis. Formation E-learning Programmation sécurisée en PHP (E-learning) Introduction Les injections SQL HTTP Architecture d'un projet PHP Les Cross-Site Scripting Authentification et autorisation Les fonctions à risque Le déploiement d'un projet PHP Durée : 8 modules, pour une durée totale de 11 heures environ [email protected] 50

50 Formation E-learning OBJECTIFS Objectif pour le responsable de formation : aider le responsable d'implémentation du SMSI dans le déploiement et le maintien du SMSI. Objectif pour l'apprenant : comprendre la pertinence de la norme ISO ; comprendre les concepts fondamentaux de la norme ISO ; comprendre les différentes étapes d'implémentation ; connaître les tâches quotidiennes liées au SMSI. Cette formation n'est pas certifiante. Toute personne impliquée dans la mise en place d'un SMSI. Personne sous la responsabilité du responsable du SMSI. Pré-requis apprenant : Pas de connaissance en informatique nécessaire. Pré-requis techniques : accès internet ; navigateur Web avec player flash. : Trois phases systématiques : phase d'enseignement ; phase d'apprentissage ; phase de validation des acquis. La norme ISO (E-learning) La sécurité de l'information Présentation de la norme ISO Le système de management de la sécurité de l'information (SMSI) Le modèle PDCA La documentation et les enregistrements du SMSI La gestion des risques La sélection et l'implémentation de mesures de sécurité La surveillance et le réexamen du SMSI L'audit de certification du SMSI La norme ISO (E-learning) Durée : 9 modules, pour une durée totale de 10 heures environ [email protected] 51

51 Calendrier des formations premier semestre 2014 Calendrier des formations premier semestre 2014 Ce planning est susceptible d être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel sur SÉCURITÉ TECHNIQUE Janvier Février Mars Avril Mai Juin Juillet MODULE 1 - Sécurité des réseaux et des infrastructures Essentiels techniques de la SSI 17 au 18 Fondamentaux et principes de la SSI - SEC au 19 Sécurité Wi-Fi 19 au 20 Sécurité SCADA 16 au 17 DNSSEC 12 au 13 MODULE 2 - Sécurité des systèmes d'exploitation Sécuriser un serveur Linux - LPI303 MODULE 3 - Inforensique Investigations Inforensiques Windows - FOR au 11 Analyse Inforensique avancée et réponse aux incidents - FOR 508 Rétroingénierie de logiciels malfaisants - FOR 610 MODULE 4 - Tests d'intrusion Techniques de hacking, exploitation de failles et gestion des incidents - SEC au 7 Tests d'intrusion applicatifs et hacking éthique - SEC au 23 Test d'intrusion et hacking éthique - SEC au 28 Tests d'intrusion avancés, exploitation de failles et hacking éthique - SEC 660 MODULE 5 - Sécurité dans les développements Protéger les applications web - DEV 522 SÉCURITÉ ORGANISATIONNELLE Janvier Février Mars Avril Mai Juin Juillet MODULE 6 - Sécurité et juridique Essentiels juridique pour gérer la SSI 13 au au 27 Correspondant Informatique et Libertés - 3 jours 26 au 28 9 au au au 20 MODULE 7 - Management de la sécurité Formation CISSP 3 au 7 10 au 14 Formation RSSI 31/03 au 04/04 Essentiel de PCI DSS 2 Principes et mise en œuvre des PKI 14 au 16 RGS : la Sécurité des Systèmes d'information dans le secteur public 4 Sécurité du Cloud Computing MODULE 8 - Management de la sécurité avec les normes ISO 2700X Essentiel ISO 27001: Gestion des mesures de sécurité et norme ISO au 25 Gestion des incidents de sécurité / ISO Indicateurs et tableaux de bord de la SSI / ISO ISO Lead Auditor 24 au 28 2 au 6 ISO Lead Implementer 20 au au au au 27 ISO Risk Manager 27 au au au au 21 4 au 6 Gestion des risques avancée 22 au 23 EBIOS Risk Manager 17 au au 13 MODULE 9 - Management de la Continuité d'activité avec les normes ISO 2230x Essentiel ISO ISO Lead Auditor 10 au 14 ISO Lead Implementer 7 au au 20 30/06 au 04/07 30/06 au 02/07 52 Paris Toulouse Lyon Rennes Luxembourg

52 Calendrier des formations second semestre 2014 Ce planning est susceptible d être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel sur SÉCURITÉ TECHNIQUE Septembre Octobre Novembre Décembre MODULE 1 - Sécurité des réseaux et des infrastructures Essentiels techniques de la SSI 29 au 30 Fondamentaux et principes de la SSI - SEC au 25 Sécurité Wi-Fi Sécurité SCADA 13 au 14 DNSSEC 27 au 28 MODULE 2 - Sécurité des systèmes d'exploitation Sécuriser un serveur Linux - LPI303 8 au 12 MODULE 3 - Inforensique Investigations Inforensiques Windows - FOR au 19 Analyse Inforensique avancée et réponse aux incidents - FOR au 7 Rétroingénierie de logiciels malfaisants - FOR au 28 MODULE 4 - Tests d'intrusion Techniques de hacking, exploitation de failles et gestion des incidents - SEC 504 Tests d'intrusion applicatifs et hacking éthique - SEC au 21 Network Penetration Testing and Ethical Hacking - SEC au 17 Tests d'intrusion avancés, exploits et hacking éthique - SEC au 6 MODULE 5 - Sécurité dans les développements Durcissement des applications web - DEV au 26 SÉCURITÉ ORGANISATIONNELLE Septembre Octobre Novembre Décembre MODULE 6 - Sécurité et juridique Essentiels juridiques pour gérer la SSI 15 au au 14 Correspondant Informatique et Libertés 24 au 26 1 au 3 19 au 21 3 au 5 MODULE 7 - Management de la sécurité Formation CISSP 13 au 17 Formation RSSI 6 au 10 Essentiel de PCI DSS Principes et mise en œuvre des PKI RGS : la Sécurité des Systèmes d'information dans le secteur public 30 Sécurité du Cloud Computing MODULE 8 - Management de la sécurité avec les normes ISO 2700X Essentiel ISO 27001: Gestion des mesures de sécurité et norme ISO au 10 Gestion des incidents de sécurité / ISO Indicateurs et tableaux de bord de la SSI / ISO ISO Lead Auditor 15 au 19 1 au 5 ISO Lead Implementer 22 au au au 21 ISO Risk Manager 8 au au au au 17 Gestion des risques avancée 18 au 19 EBIOS Risk Manager 12 au 14 MODULE 9 - Management de la Continuité d'activité avec les normes ISO 2230x Essentiel ISO ISO Lead Auditor 3 au 7 ISO Lead Implementer 29/09 au 03/10 8 au 12 Calendrier des formations second semestre 2014 Paris Toulouse Marseille Luxembourg 53 Pour plus d'informations, contacter le service formation par téléphone au ou par courriel à

53 Droit Individuel à la Formation (DIF) Droit Individuel à la Formation Toutes nos formations sont éligibles dans le cadre du Droit Individuel à la Formation (DIF). QU'EST CE QUE LE DIF? Le Droit Individuel à la Formation (DIF) vous permet de bénéficier d'actions de formation professionnelle, rémunérées ou indemnisées, réalisées dans ou en dehors de votre temps de travail. Le départ en DIF suppose au préalable une négociation individuelle entre vous et votre employeur qui doit permettre de déboucher sur un projet de formation commun. Tous les ans, vous devez être informé par écrit du total de vos droits acquis au titre du dispositif DIF. QUI PEUT BÉNÉFICIER DU DIF? - Les salariés en contrat de travail à durée indéterminée ayant au moins un an d ancienneté dans l entreprise. Ce droit leur est ouvert qu ils soient employés à temps complet ou à temps partiel. Dans ce dernier cas toutefois, la durée des droits acquis au titre du DIF est calculée au prorata de leur durée de travail. Pour le calcul des droits ouverts au titre du DIF, la période d absence du salarié pour un congé de maternité, d adoption, de présence parentale ou pour un congé parental d éducation est intégralement pris en compte. - Les salariés en contrat à durée déterminée ayant 4 mois de présence consécutifs ou non dans l entreprise, au cours des 12 derniers mois. COMMENT FAIRE VALOIR VOS DROITS ACQUIS AU TITRE DU DIF? Tous les ans, vous êtes informé par écrit du total des droits acquis au titre du dispositif DIF. La mise en œuvre du DIF relève de votre initiative. Vous devez en faire la demande à votre employeur par écrit. Il dispose d un délai d un mois pour vous notifier sa réponse : - En cas d acceptation, l accord de votre employeur fait l objet d un document écrit. L absence de réponse de votre employeur équivaut à l acceptation du choix de l action de formation. - En cas de refus, vous ne pouvez pas mettre en œuvre votre DIF. Néanmoins si durant deux exercices civils consécutifs, vous n obtenez pas l accord de votre employeur, vous pourrez faire une demande de prise en charge auprès de l Opacif qui pourra être prioritaire. QUI FINANCE VOTRE FORMATION? Le montant de l allocation formation ainsi que les frais de formation correspondant aux droits ouverts au titre du DIF sont à la charge de votre employeur. Votre employeur peut faire une demande de prise en charge financière de votre DIF à l OPCA de branche ou à l OPCA interprofessionnel dont il relève. OÙ VOUS RENSEIGNER? - Service du personnel, - Service formation de l'entreprise, - Institutions représentatives du personnel : membre du comité d'entreprise ou délégué du personnel. Pour plus d'informations, contactez le service formation par téléphone au ou par courriel à 54

54 Ouvrages de référence "MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION" - 3ÈME ÉDITION PAR ALEXANDRE FERNANDEZ-TORO LE GUIDE DE RÉFÉRENCE POUR L'AUDIT DE Préfacé par l'expert incontournable de la sécurité du SI, Hervé Schauer, cet ouvrage explique la marche à suivre pour mettre en place un SMSI en appliquant la norme ISO 27001, à la lumière des recommandations de la norme ISO Cette seconde édition fait le point sur les nouvelles normes de la famille ISO Puisant dans sa longue expérience en matière d'audit et de conseil, l'auteur insiste sur les pièges à éviter et la résolution des difficultés. Alexandre Fernandez-Toro livre ici un guide précieux, enrichi de retours d'expériences concrets de la préparation d'un audit de certification ISO A qui s'adresse ce livre? - RSSI, DSI et décideurs - Chefs de projet chargés de mettre en place un SMSI - Auditeurs dans le domaine de la conformité - Consultants et formateurs Ouvrages de référence "GESTION DES RISQUES EN SÉCURITÉ DE L'INFORMATION, MISE EN OEUVRE ISO 27005" - PAR ANNE LUPFER Cet ouvrage est une aide indispensable à la compréhension et l'application de la méthode ISO Comme beaucoup de normes, l'iso est très structurée mais peu didactique. Comment inventorier et valoriser des actifs? Comment identifier des menaces, des vulnérabilités, des scénarios d'incidents, des conséquences? Comment estimer et évaluer des niveaux de risque? Quels risques doivent être réduits ou transférés? Comment donner à la direction générale de quoi faire son arbitrage budgétaire? Au travers d'un schéma de toutes les activités décrites dans la norme, le livre détaille chaque étape, avec des exemples et des scénarios d'incidents réels qui reflètent le savoir-faire de l'auteur. À qui s'adresse ce livre? Cet ouvrage est destiné à tous les responsables sécurité (RSSI) et leurs équipes, et les personnes impliquées dans la mise en oeuvre ou l'audit d'un SMSI. C'est également un livre utile aux DSI, responsables et chefs de projet informatique, et les personnes devant analyser ou gérer des risques informatiques et de la sécurité de l'information. L'ISO préconise que le gestionnaire de risque en sécurité de l'information s'aligne sur les risques opérationnels ou industriels. Aussi l'ouvrage sera indispensable à tous les gestionnaires de risques désirant approfondir le volet sécurité de l'information. Enfin il sera une aide précieuse à ceux qui souhaitent obtenir la certification individuelle "ISO Risk Manager". 55

55 Modalités d inscription Modalités d inscription Pour toute inscription aux formations HSC, vous devez nous transmettre par courriel à ou par téléphone au : les noms et prénoms du ou des participants, la ou les sessions de formation choisies, l'adresse postale de votre société et votre numéro de TVA intracommunautaire. Ces renseignements nous permettront d établir une convention de formation. Cette convention de formation devra nous être retournée tamponnée, signée et accompagnée d un bon de commande de votre organisme. Le bon de commande devra indiquer votre adresse de facturation et le respect de nos conditions de règlement : il devra également être tamponné et signé par l autorité compétente. La facture sera établie à la fin de la formation. L inscription sera confirmée dès réception de ces documents. Une convocation sera envoyée par mail deux semaines avant le début de la formation accompagnée de notre règlement intérieur. HSC, EURL au capital de avec Commissaire aux comptes, est enregistré comme centre de formation sous le n auprès du préfet de la région Île-de-France. Si le client souhaite effectuer une demande de prise en charge par l'opca dont il dépend, il lui appartient : - de faire une demande de prise en charge dans les délais requis et de s assurer de la bonne fin de cette demande ; - de l indiquer explicitement au moment de l inscription. Si l acceptation de la prise en charge OPCA n est pas arrivée chez HSC au plus tard une semaine avant le début de la formation, la demande de subrogation ne pourra être prise en compte par HSC. Le client aura alors la possibilité : - soit d annuler ou reporter l inscription ; - soit de produire, avant la formation, un bon de commande en bonne et due forme par lequel il s engage à régler le coût de la formation à HSC. Formations dispensées : - à Paris : dans nos locaux à Levallois-Perret (92) ; - en province ou à l étranger dans un hôtel généralement situé en centre ville. Accueil café - viennoiseries tous les jours - Déjeuners pris en commun offerts. Toutes nos formations peuvent être dispensées en intra entreprise. 56

56 RESPONSABLE FORMATION Bulletin de pré-inscription Merci de retourner ce bulletin à : HSC Formations - 4, bis rue de la gare Levallois-Perret Par télécopie au Par courriel à Nom et prénom :... Fonction :... Société :... Adresse : Code postal :... Ville :... Tél. :... Fax : Souhaite inscrire la ou les personne(s) suivante(s) au(x) stage(s) mentionné(s) : Nom et prénom :... Fonction :... Tél. :... Fax : Intitulé de la formation choisie :... Bulletin de pré-inscription Date de session :... Pour les formations certifiantes, présentation à l'examen : oui non Nom et prénom :... Fonction :... Tél. :... Fax : Intitulé de la formation choisie :... Date de session :... Pour les formations certifiantes, présentation à l'examen : oui non Nom et prénom :... Fonction :... Tél. :... Fax : Intitulé de la formation choisie :... Date de session :... ADRESSE DE FACTURATION SI DIFFÉRENTE Société :... Adresse : Code postal :... Ville :... Nom du correspondant :... Tél. : Date : Cachet et signature de l employeur : Convention de formation : pour chacune des sessions proposées, une convention de formation est disponible sur simple demande. Numéro de déclaration d activité en tant qu organisme de formation : Modalités pratiques d organisation : Formations dispensées : - dans nos locaux à Levallois-Perret (92) au 4 bis rue de la gare. Plan d accès et liste d hôtels disponibles sur : et /hotels.html.fr - en province (Toulouse, Marseille, Lyon ) et au Luxembourg dans des salles de formation louées dans un hôtel pour l occasion Accueil café viennoiseries tous les jours. Déjeuners pris en commun offerts Pour plus d information, contactez le service formation par téléphone au ou par courriel à 57

57 Conditions Générales de Ventes Conditions Générales de Ventes 1 OBJET ET DISPOSITIONS GÉNÉRALES Les présentes conditions générales de vente s appliquent aux commandes de formation inter entreprise passées auprès de la société Hervé Schauer Consultants (HSC). Cela implique l acceptation sans réserve par l acheteur et son adhésion pleine et entière aux présentes conditions générales de ventes et prévalent sur toutes conditions générales d achat. HSC informe du niveau requis pour suivre les stages qu'elle propose. Il appartient au client d évaluer ses besoins et de vérifier si ses collaborateurs ont le niveau de pré-requis attendu pour suivre les formations HSC. 2 INSCRIPTION L'inscription à un stage ne devient effective qu'après réception par nos services d'un bon de commande et de la convention de formation ou du devis, dûment renseigné et portant le cachet du Client. Pour les formations en province et à l'étranger et pour les formations SANS, les documents devront parvenir à HSC 15 jours avant le début de la formation. HSC adressera par courriel, deux semaines avant le début de la formation, une convocation récapitulant les détails pratiques : date, lieu, horaires et accès, aux contacts indiqués dans les documents d inscription. HSC ne peut être tenu responsable de la non réception de la convocation quels qu en soient le ou les destinataire(s) chez le client, notamment en cas d absence du ou des stagiaires à la formation. A l issue de la formation, une attestation individuelle de stage sera adressée par courrier, accompagné de la facture correspondante. Une commande n'est valable qu'après acceptation par HSC sous huitaine. Toute modification ultérieure apportée par le client devra faire l objet d un accord écrit de la part d'hsc. 3 MODIFICATION, ANNULATION ET REPORT Toute annulation ou report d inscription doit être signalé par téléphone et confirmé par écrit à HSC. Pour les formations proposées en Province, à l'étranger ou hors de nos locaux (à Paris ou en Région Parisienne), si l'annulation ou le report intervient dans les trente jours ouvrés précédant le début de la formation, HSC facturera la totalité de la formation. Pour les formations SANS et les formations proposées dans nos locaux de Levallois (92), si le report ou l annulation intervient : dans les 30 jours ouvrés précédant le début de la formation, HSC facturera à hauteur de 50% du coût total de la formation dans les 15 jours ouvrés précédant le début de la formation, HSC facturera la formation en totalité. Toutefois, lorsqu'un participant ne peut pas assister à une formation à laquelle il est inscrit, il peut être remplacé par un collaborateur de la même entreprise excepté pour les formations SANS. Le nom et les coordonnées de ce nouveau participant doivent être confirmés par écrit à HSC. HSC ne pourra être tenue responsable des frais ou dommages consécutifs à l'annulation d'un stage ou à un report à une date ultérieure. 4 TARIFS FACTURATION Les frais de participation comprennent : la participation à la formation, les supports de cours et les pauses café. Les déjeuners sont offerts par HSC. Toute formation commencée est due en totalité. La facture est établie à l issue de la formation. L échéance est mentionnée en clair sur la facture. Tout défaut de paiement (en tout ou en partie) par le client à l échéance et ce, sauf report sollicité par le client et accordé par HSC de manière formelle, entraînera automatiquement, sans qu'aucun rappel ne soit nécessaire et dès le jour suivant la date de règlement figurant sur la facture, l'application de pénalités de retard fixées à trois fois le taux d'intérêt légal. Prise en charge par un OPCA : Si le client souhaite effectuer une demande de prise en charge par l OPCA dont il dépend, il lui appartient : - de faire une demande de prise en charge dans les délais requis et de s assurer de la bonne fin de cette demande ; - de l indiquer explicitement au moment de l inscription. Si l acceptation de la prise en charge OPCA n est pas arrivée chez HSC au plus tard une semaine avant le début de la formation, la demande de subrogation ne pourra être prise en compte par HSC. Le client aura alors la possibilité : - soit d annuler ou reporter l inscription, - soit de produire, avant la formation, un bon de commande en bonne et due forme par lequel il s engage à régler le coût de la formation à HSC. 5 PROPRIÉTÉ INTELLECTUELLE Chaque formation comprend la fourniture de documentation destinée à l'usage interne du client. Toute reproduction, modification ou divulgation à des tiers de tout ou partie des supports de formation ou documents, sous quelque forme que ce soit, est interdite sans l'accord préalable écrit de HSC. 6 ARBITRAGE EN CAS DE LITIGE Les présentes conditions générales de ventes sont régies par les lois françaises. Tout litige découlant de leur interprétation ou de leur application ressort de la compétence exclusive des tribunaux des Hauts-de-Seine (92). Applicables au 1er octobre 2012 et modifiables sans préavis. Version 5 du 21/09/2012 En cas d'absence du stagiaire pour un cas de force majeure communément admis par les tribunaux, à titre exceptionnel et après validation de caractère de force majeure de la situation, HSC acceptera que le client puisse dans les 12 mois maximum suivant son absence, choisir une date future pour la même formation. HSC se réserve le droit d'annuler ou de reporter sans indemnités une formation si le nombre de participants n'est pas suffisant, ou en cas de force majeure. Le client peut alors choisir une autre date dans le calendrier des formations. 58

58 Notes Notes 59

59 Notes Notes... 60

60