CATALOGUE DE FORMATION Julien Eichinger - Ftlia.cm www.scassi.cm frmatin@scassi.cm
TABLE DES MATIERES Calendrier des sessins de frmatin 2015... 3 Frmatins ISO 27001... 6 ISO 27001 Les Fndamentaux * - 2 jurs... 7 ISO 27001 Lead Auditr * - 4,5 jurs... 8 ISO 27001 Lead Implementer * - 4,5 jurs... 9 Frmatins aux méthdes d analyse et de gestin des risques... 10 ISO 27005 Risk Manager * - 2,5 jurs... 11 MEHARI Advanced Practitiner * - 2,5 jurs... 12 EBIOS Advanced Practiner * - 2,5 jurs... 13 Frmatins de cntinuité d activité... 14 Elabrer et gérer un Plan de Cntinuité - 2 jurs... 15 ISO 22301 Les Fndamentaux - 2 jurs... 16 ISO 22301 Lead Implementer * - 4,5 jurs... 17 ISO 22301 Lead Auditr * - 4,5 jurs... 18 ISO 24762 Implémenter et gérer la reprise d activité - 3 jurs... 19 Frmatins au Management de la Sécurité... 20 Définir et pilter des indicateurs et tableaux de brd SSI - 2 jurs... 21 Elabrer et gérer une plitique de sécurité - 2 jurs... 22 Sécurité dans les prjets et Intrductin aux Critères Cmmuns - 2 jurs... 23 Maitriser les Critères Cmmuns - 4 jurs... 24 Frmatins techniques à la sécurité... 25 Fndamentaux de la * - 3 jurs... 26 Audit Sécurité réseaux & systèmes - Fndamentaux - 3 jurs... 27 Audit Sécurité réseaux & systèmes - Avancé - 4 jurs... 28 Réaliser des audits de cnfiguratin / architecture - 1 jur... 29 Réaliser des tests d intrusin - 2 jurs... 30 EC-COUNCIL Certified Ethical Hacker 5 jurs... 31 EC-COUNCIL Cmputer Hacking Frensic Investigatr 5 jurs... 32 Sécurité clud et virtualisatin - 2 jurs... 34 Slutin RSA envisin - 4 jurs... 35 Sécurité Applicative... 36 Sécurité des applicatins Java / JEE - 3 jurs... 37 Sécurité des applicatins.net - 3 jurs... 38 Sécurité des applicatins web (PHP, Javascript, CMS, MySQL ) - 3 jurs... 39 Audit de cde - 2 jurs... 40 ISO 27034 Lead Implementer * - 4.5 jurs... 41 ISO 27034 Les fndamentaux * - 2 jurs... 42 Autres frmatins... 43 Sécurité systèmes critiques (Scada, ICS, ) - 2 jurs... 44 CISSP (Certified Infrmatin Systems Security Prfessinal) - 5 jurs... 45 CISA (Certified Infrmatin Systems Auditr) - 5 jurs... 46 Appréhender PCI-DSS - 1 jur... 47 Mise en œuvre du RGS V2-2 jurs... 48 * : frmatin certifiante 2
CALENDRIER DES SESSIONS DE FORMATION 2015 3
Les sessins de frmatin sernt maintenues si celles-ci atteignent un nmbre miminum de participant vacances sclaires : zne A zne B Zne C nbre de jurs Planificatin des sessins de frmatin - 1er semestre 2015 Janvier Février Mars Avril Mai Juin S02 S03 S04 S05 S06 S07 S08 S09 S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20 S21 S22 S23 S24 S25 S26 Frmatins ISO 27001 Frmatins aux méthdes d'analyse et de gestin des risques Frmatins de cntinuité d'activité Frmatins au management de la sécurité Frmatins techniques à la sécurité Frmatins sécurité applicative ISO 27001 Les Fndamentaux 2 14-15 04-05 10-11 18-19 12-13 ISO 27001 Lead Auditr 4,5 23-27 09-13 13-17 18-22 22-26 ISO 27001 Lead Implementer 4,5 19-23 16-20 09-13 30-03 01-05 ISO 27005 /ISO 31000 Risk Manager 2,5 02-04 16-18 30-01 18-20 01-03 EBIOS Advanced Practitinner u MEHARI Advanced Practitinner 2,5 04-06 18-20 01-03 20-22 03-05 ISO 27005 Risk Manager + EBIOS u MEHARI 5 02-06 16-20 30-03 18-22 01-05 Elabrer et gérer un plan de cntinuité 2 13-14 09-10 02-03 ISO 22301 Lead Implementer 4,5 13-17 20-24 15-19 ISO 22301 Les Fndamentaux 2 12-13 23-24 27-28 Définir et pilter des indicateurs et tableaux de brd SSI 2 27-28 03-04 01-02 Elabrer et gérer une plitique de sécurité 2 25-26 05-06 Sécurité dans les prjets et Intrductin Critères Cmmuns 2 17-18 28-29 12-13 09-10 Maîtriser les Critères Cmmuns 4 23-27 26-29 16-19 Fndamentaux de la Sécurité de l'infrmatin 3 27-29 17-19 11-13 Sécurité Clud et virtualisatin 2 04-05 08-09 10-11 Réaliser des tests d'intrusins 2 21-22 14-17 05-06 Frmatin EC-Cunci l CEH v8 2 18-22 22-26 Frmatin EC-Cuncil CHFI v8 2 Sécurité des applicatins JAVA JEE u.net u WEBs 3 20-22 17-19 19-21 Audit de cde 2 10-11 28-29 ISO 27034 Les fndamentaux 2 08-09 05-06 09-10 ISO 27034 Lead Implementer 4,5 18-22 01-05 22-26 Sécurité systèmes critiques (Scada, ICS, ) 2 27-28 08-09 27-28 Autres frmatins Apréhender PCI-DSS 1 18 06 12 Mise en œuvre du RGS 2 24-25 08-09 CISSP 5 02-06 09-13 08-12 Légende : Tuluse Paris Lyn, Mntpellier u Brdeaux ISO22301 Lead Auditr (4,5j) Pur les frmatins nn planifiées, n'hésitez pas à nus cntacter Réaliser des audits de cnfigiratin / architecture (1j) Audits Sécurité Systèmes et Réseaux (3 u 4j) Slutin RSA envisin (4j) CISA (5j) 4
Frmatins ISO 27001 Frmatins aux méthdes d'analyse et de gestin des risques Frmatins de cntinuité d'activité Frmatins au management de la sécurité Frmatins techniques à la sécurité Frmatins sécurité applicative Autres frmatins Pur les frmatins nn planifiées, n'hésitez pas à nus cntacter Les sessins de frmatin sernt maintenues si celles-ci atteignent un nmbre miminum de participant vacances sclaires : zne A zne B Zne C S28 S29 S30 S31 S32 S33 S34 S35 S36 S37 S38 S39 S40 S41 S42 S43 S44 S45 S46 S47 S48 S49 S50 S51 S52 S53 ISO 27001 Les Fndamentaux 2 01-02 15-16 29-30 06-07 ISO 27001 Lead Auditr 4,5 28-02 18-20 30-04 14-18 ISO 27001 Lead Implementer 4,5 07-11 21-25 12-16 02-06 ISO 27005 /ISO 31000 Risk Manager 2,5 21-23 12-14 16-18 30-02 EBIOS Advanced Practitinner u MEHARI Advanced Practitinner 2,5 23-25 14-16 18-20 02-05 ISO 27005 Risk Manager + EBIOS u MEHARI 5 21-25 12-16 16-20 30-05 Elabrer et gérer un plan de cntinuité 2 25-26 08-09 29-30 ISO 22301 Lead Implementer 4,5 12-16 02-06 23-27 ISO 22301 Les Fndamentaux 2 29-30 06-07 02-03 Définir et pilter des indicateurs et tableaux de brd SSI 2 02-03 22-23 28-29 Elabrer et gérer une plitique de sécurité 2 15-16 08-09 12-13 Sécurité dans les prjets et Intrductin Critères Cmmuns 2 07-08 15-16 23-24 Maîtriser les Critères Cmmuns 4 07-10 15-17 23-26 Fndamentaux de la Sécurité de l'infrmatin 3 15-17 16-18 07-09 Sécurité Clud et virtualisatin 2 29-30 19-20 12-13 Réaliser des tests d'intrusins 2 02-03 09-10 02-03 Frmatin EC-Cunci l CEH v8 2 14-18 12-16 22-27 14-18 Frmatin EC-Cuncil CHFI v8 2 06-10 02-06 Sécurité des applicatins JAVA JEE u.net u WEBs 3 24-26 05-07 16-18 Audit de cde 2 24-28 08-09 19-20 ISO 27034 Les fndamentaux 2 08-09 28-29 09-10 ISO 27034 Lead Implementer 4,5 21-25 23-27 07-11 Sécurité systèmes critiques (Scada, ICS, ) 2 06-07 19-20 14-15 Apréhender PCI-DSS 1 20 12 09 Mise en œuvre du RGS 2 29-30 03-04 16-17 CISSP 5 28-02 12-16 23-27 ISO22301 Lead Auditr (4,5j) Réaliser des audits de cnfigiratin / architecture (1j) Audits Sécurité Systèmes et Réseaux (3 u 4j) Slutin RSA envisin (4j) CISA (5j) nbre de jurs Légende : Planificatin des sessins de frmatin - 2nd semestre 2015 Juillet Tuluse Aut Vacances tutes znes Vacances Vacances Paris Septembre Octbre Nvembre Décembre Lyn, Mntpellier u Brdeaux 5
FORMATIONS ISO 27001 6
ISO 27001 LES FONDAMENTAUX * - 2 JOURS Durée : 14 heures Prfils des Participants : Cnsultant, RSSI, Chef de prjet, Ingénieur SSI Vus suhaitez appréhender les cncepts et meilleures pratiques de mise en œuvre et de gestin d un Système de Management de la (SMSI) basé sur la nrme ISO/CEI 27001:2013, ainsi que les cnnaissances fndamentales relatives aux mesures de sécurité définis dans la nrme ISO/CEI 27002:2013. Les bjectifs de ce curs snt : - Expliquer le fnctinnement d un Système de Management de la Sécurité de l infrmatin (SMSI) cnfrme à ISO/CEI 27001:2013 et ses principaux prcessus ; - Expliquer le but, le cntenu et la crrélatin entre ISO/CEI 27001:2013 et ISO/CEI 27002:2013 ainsi qu avec d autres nrmes et cadres réglementaires ; - Savir interpréter les exigences d ISO27001:2013 dans le cntexte spécifique d un rganisme. NB : Ce curs est basé sur la nrme ISO/IEC 27001:2013. Jur 1 : Intrductin aux cncepts de SMSI seln l ISO/CEI 27001:2013 Planifier/Etablir le SMSI - Objectif et structure de curs - cadre nrmatif Famille de nrmes ISO2700x - Système de Management de la sécurité de l infrmatin (SMSI) ISO/CEI 27001:2013 - Planifier / Etablir le SMSI - Cntexte, Plitiques SMSI, Déclaratin d applicabilité - Planifier / Etablir le SMSI - Analyse et plan de traitement de risques Jur 2 : Implémenter, surveiller et amélirer le SMSI - Supprt du SMSI : Ressurces, cmpétences, sensibilisatin, gestin dcumentaire - Fnctinnement du SMSI - Évaluatin de la perfrmance- Audits du SMSI - Améliratin du SMSI - Descriptin des bjectifs et mesures de sécurité (Annexe A ISO 27001:2013) - Prcessus de certificatin - Examen «Certified ISO 27001 Fundatin» - (1 heure) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 7
ISO 27001 LEAD AUDITOR * - 4,5 JOURS Durée : 35 heures Prfils des participants : Cnsultant, RSSI, Chef de prjet, Ingénieur SSI Vus suhaitez acquérir de nuvelles cmpétences et être capable d évaluer l efficacité d'un Système de Management de la Sécurité de l'infrmatin (SMSI). Le curs ISO 27001 Lead Auditr vus permet d apprendre à cnduire des audits de certificatins cnfrmes à la nrme ISO 27001:2013 ainsi que d appréhender de manière détaillée les critères de mise en œuvre et de qualité de vtre SMSI. La frmatin est élabrée et validée par une équipe multidisciplinaire cmpsée d auditeurs de systèmes de management (ISO 27001, ISO 22301, ISO 9001, ), d auditeurs en sécurité de l infrmatin, de cnsultants sénirs en sécurité, de directeurs de la sécurité et d intervenants spécialisés dans la frmatin prfessinnelle. Les bjectifs snt de : - Cmprendre et savir manipuler les exigences de l ISO 27001 ; - Appréhender la nrme ISO 27001 d un pint de vue audit et analyse de sa mise en œuvre ; - Maîtriser et frmaliser un SMSI ; - Cmprendre le dérulement, les spécificités et les exigences d un audit ISO 27001 ; - Devenir ISO 27001 Lead Auditr certifié par PECB. Jur 1 : Intrductin à la gestin d un SMSI avec ISO 27001 - Objectifs et structure du curs - Cadres nrmatifs et réglementaires - Prcessus de certificatin - Principes fndamentaux de la sécurité des prcessus d infrmatin - Système de management de la sécurité de l infrmatin (SMSI) Jur 2 : Initiatin à un audit - Cncepts et principes fndamentaux de l audit - L apprche fndée sur la preuve et sur le risque - Préparatin de l audit - Audit dcumentaire - Préparatin des activités d audit sur place - Cnduite d audit sur place Jur 3 : Cnduire un audit - Cmmunicatin durant l audit - Les prcédures d audit - Rédactin de rapprts de nn-cnfrmité Jur 4 : Cnclure un audit - Dcumentatin de l audit - Revue des ntes de l audit - Clôturer un audit - Gérer un prgramme d audit, la cmpétence et l évaluatin des auditeurs - Clôture de la frmatin Jur 5 : Examen - Examen «Certified ISO 27001 Lead Auditr» (3 heures) NB : Ce curs est basé sur la nrme ISO/IEC 27001:2013. Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 8
ISO 27001 LEAD IMPLEMENTER * - 4,5 JOURS Durée : 35 heures Prfils des participants : Cnsultant, RSSI, Chef de prjet, Ingénieur SSI Vus suhaitez acquérir u renfrcer les cmpétences pur mettre en œuvre et gérer un Système de Management de la (SMSI) cnfrme aux exigences de la nrme ISO 27001. Le curs ISO 27001 Lead Implementer vus permet de maîtriser les meilleures pratiques d implémentatin des mesures de sécurité de l infrmatin seln les 14 dmaines de la nrme ISO 27002 et les préceptes de la nrme ISO 27003. La frmatin est élabrée et validée par une équipe multidisciplinaire cmpsée de cnsultants expérimentés en matière de mise en œuvre de systèmes de management (ISO 27001, ISO 22301, ISO 9001, ), de cnsultants et auditeurs spécialisés en sécurité de l infrmatin, de directeurs de la sécurité et d intervenants spécialisés dans la frmatin prfessinnelle. Les bjectifs snt de : - Cmprendre les exigences ISO 27001 en ce qui cncerne la mise en œuvre et la gestin d un SMSI ; - Maîtriser les meilleures pratiques de gestin d un SMSI ; - Cmprendre le dérulement, les spécificités et les exigences d un audit ISO 27001 ; - Acquérir une expertise dans l accmpagnement d rganismes dans l implémentatin d un SMSI cnfrme aux exigences d ISO 27001 ; - Devenir «ISO 27001 Lead Implementer» certifié par PECB. NB : Ce curs est basé sur la nrme ISO/IEC 27001:2013. Jur 1 : Intrductin à la gestin d un SMSI avec ISO 27001 et initiatin d un SMSI - Intrductin aux systèmes de management et à l apprche par prcessus - Présentatin des nrmes ISO 27001, 27002 et 27005 - Principes fndamentaux de la sécurité de l infrmatin - Analyse préliminaire - Gestin d un prjet ISO 27001 Jur 2 : Planificatin d un SMSI - Mise en place d un cadre de gestin de la sécurité de l infrmatin - Gestin du risque seln ISO 27005 - rédactin de la déclaratin d applicabilité Jur 3 : Déplyer et mettre en œuvre un SMSI - Mise en œuvre d un cadre de gestin dcumentaire - Élabratin et mise en œuvre de cntrôles et de prcédures - Frmatin, sensibilisatin et cmmunicatin - Gestin des incidents (seln ISO 18044) et gestin des pératins Jur 4 : Cntrôler, amélirer le SMSI et audit de certificatin - Mnitring des mesures de cntrôle (gestin des enregistrements) - Indicateurs de perfrmance des mesures de cntrôle (métriques et tableaux de brd) - Audit interne du SMSI - Revue de directin du SMSI - Améliratin cntinue - Audit de certificatin ISO27001 Jur 5 : Examen - Examen «Certified ISO 27001 Lead Implementer» (3 heures) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 9
FORMATIONS AUX METHODES D ANALYSE ET DE GESTION DES RISQUES 10
ISO 27005 RISK MANAGER * - 2,5 JOURS Durée : 17,5 heures Prfils des participants : Cnsultant, RSSI, Chef de prjet, Ingénieur SSI Vus suhaitez maîtriser les fndamentaux de la gestin des risques liés à la sécurité de l infrmatin (ISO 27005) : planificatin d un prgramme de gestin des risques, analyse, appréciatin, traitement, cmmunicatin et surveillance du risque. A cet effet, cette frmatin est basée sur de nmbreux exercices, études de cas, discussins et démnstratins d utils de mdélisatin des risques, vus permettant d acquérir le savir-faire pratique pur réaliser des analyses de risque ptimisées et pertinentes, pur définir, mettre en place et gérer des prgrammes / prcessus de gestin des risques, et pur gérer les risques durablement au sein d un rganisme. Les bjectifs snt : - Acquérir les aptitudes persnnelles et les cnnaissances nécessaires pur maitriser l implémentatin d un prgramme de gestin des risques et pur cnseiller les rganismes sur les meilleures pratiques de gestin des risques, seln ISO 27005, - Acquérir l expertise et les cmpétences pur cnduire des analyses de risques de manière autnme et cnseiller les rganismes, seln ISO 27005, - Cmprendre et interpréter les exigences de l ISO 27001 relatives à la gestin des risques; - Cmprendre la relatin entre un SMSI, la gestin des risques et les cntrôles pur les différents acteurs. NB : Ce curs est basé sur la nrme ISO/IEC 27005:2011 (alignée sur ISO 31000:2009) Jur 1 : Intrductin à la gestin du risque seln l ISO 27005 - Cncepts de base de gestin des risques - Nrmes et cadres de référence en gestin des risques - Mise en œuvre d un cadre de gestin des risques - Classificatin des actifs - Identificatin et analyse de risques - Apprche qualitative et quantitative de gestin des risques Jur 2 : Traitement et gestin du risque seln l ISO 27005 Guvernance, méthdlgies d analyse de risques - Traitement du risque - Gestin des risques résiduels - Gestin des risques de prjet - Guvernance et gestin des risques - Présentatin des principales méthdlgies d analyse de risques : EBIOS, MEHARI, OCTAVE, CRAMM, Micrsft Security Cmpliance Management Jur 3 : Examen - Examen «Certified ISO 27005 Risk Manager» (2 heures) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 11
MEHARI ADVANCED PRACTITIONER * - 2,5 JOURS Ce mdule peut être un mdule cmplémentaire aux mdules de 2.5j "ISO 27005 Risk Manager" pur cnstituer une frmatin en 5j. Durée : 17,5 heures Prfils des participants : Cnsultant, RSSI, Risk Manager Vus suhaitez dévelpper les cmpétences nécessaires pur mener une analyse de risque avec la méthde MEHARI (Méthde Harmnisée d Analyse des Risques) dévelppée par le CLUSIF (Club de la Sécurité des Systèmes d Infrmatin Français). Grâce aux nmbreux exercices et études de cas, les participants acquièrent les cnnaissances et les cmpétences nécessaires pur mener une évaluatin des risques SSI ptimale et pur la gestin des risques en accrd avec leur cycle de vie. La frmatin est labellisée par le CLUSIF. Les bjectifs snt de : - Dévelpper les cmpétences et cnnaissances nécessaires pur mener une analyse de risques avec la méthde MEHARI ; - Maîtriser les étapes de réalisatin d une analyse de risque avec la méthde MEHARI ; - Cmprendre les cncepts, apprches, méthdes et techniques permettant une gestin du risque en accrd avec l ISO 27005. NB : Ce curs est basé sur MEHARI 2010. Jur 1 : Débuter une analyse de risques avec MEHARI - Cncepts et définitins de gestin du risque - Nrmes, cadres de référence et méthdlgies de gestin du risque - Intrductin à MEHARI - L analyse des enjeux et la classificatin - L échelle de valeur des dysfnctinnements - La classificatin des ressurces Jur 2 : Analyse des vulnérabilités et du risque et plan de sécurité seln MEHARI - L analyse des vulnérabilités - Qualités d un service de sécurité - Mesure de la qualité de services de sécurité - Prcessus d évaluatin - L analyse des risques - Plans de sécurité et démarches - Outils d aide à la mise en œuvre de MEHARI Jur 3 : Examen - Examen «MEHARI Advanced» (2 heures) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 12
EBIOS ADVANCED PRACTIONER * - 2,5 JOURS Ce mdule peut être un mdule cmplémentaire aux mdules de 2.5j "ISO 27005 Risk Manager" pur cnstituer une frmatin en 5j. Durée : 17,5 heures Prfils des participants : Cnsultant, RSSI, Risk Manager Vus suhaitez dévelpper les cmpétences nécessaires pur mener une analyse de risque avec la méthde EBIOS (Expressin des Besins et Identificatin des Objectifs de Sécurité) dévelppée par l ANSSI. Cette frmatin est cmpsée à 60% de mise en pratique : - Une étude de cas cmplète menée au fur et à mesure de la présentatin des mdules, - Une autre étude de cas cmplète réalisée de manière autnme et crrigée en grupe, - La démnstratin et l utilisatin de l util EBIOS, - Les questins de l examen. Ainsi, les participants acquièrent les cnnaissances et les cmpétences nécessaires pur mener une évaluatin des risques SSI ptimale avec la méthde EBIOS et pur gérer les risques durablement en accrd avec leur cycle de vie. Les bjectifs snt de : - Dévelpper les cmpétences et cnnaissances nécessaires pur mener une analyse de risques avec la méthde EBIOS ; - Maîtriser les étapes de réalisatin d une analyse de risque avec la méthde EBIOS ; - Cmprendre les cncepts, apprches, méthdes et techniques permettant une gestin du risque en accrd avec l ISO 27005. NB : Ce curs est basé sur EBIOS 2010. Jur 1 : Mener une analyse de risques avec EBIOS - Présentatin de la méthde EBIOS - Phase 1 : Étude du cntexte - Phase 2 : Étude des événements redutés - Phase 3 : Étude des scénaris de menaces Jur 2 : Achever une analyse de risques avec EBIOS - Phase 4 : Étude des risques - Phase 5 : Étude des mesures de sécurité - Étude de cas Jur 3 : Examen EBIOS - Examen «EBIOS Advanced» (3 heures) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 13
FORMATIONS DE CONTINUITE D ACTIVITE 14
ELABORER ET GERER UN PLAN DE CONTINUITE - 2 JOURS Durée : 14 heures Prfils des participants : Cnsultant, RSSI, Chef de prjet, Auditeur Vus suhaitez acquérir u renfrcer les cnnaissances vus permettant d appréhender l ensemble des prblématiques liées à la préparatin, à la mise en place, et au maintien du Plan de Cntinuité d Activité (PCA), en lien avec les cncepts de système de management de la cntinuité d activité issues de la nrme ISO 22301:2012. Cette frmatin prpse de vus furnir les cmpétences nécessaires à la cmpréhensin des enjeux d un PCA, depuis la mise en place du prjet jusqu à sn rganisatin et au suivi des tests. La frmatin est élabrée et validée par une équipe multidisciplinaire cmpsée de cnsultants spécialisés dans le dmaine de la cntinuité d activité, de cnsultants et auditeurs expérimentées en matière de mise en œuvre et de gestin de de systèmes de management (ISO 22301, ISO 27001, ISO 9001, ), de directeurs de la sécurité et d intervenants spécialisés dans la frmatin prfessinnelle. Les bjectifs snt de : - Cmprendre les enjeux d une stratégie de cntinuité et d un système de management de la cntinuité d activité en lien avec la nrme ISO 22301:2012 ; - Savir la différence entre le plan de cntinuité d activité, le plan de securs infrmatique et le plan de reprise - Cncevir les particularités du prjet de plan de cntinuité ; - Cnnaître les principes du déclenchement du plan de securs, d explitatin en mde securs et du retur à la nrmale ; - Être capable d rganiser et d effectuer un suivi des tests du PCA ; - Appréhender la cntinuité d activité en tant que prcessus ITIL. Jur 1 : Cncepts clés et lancement du prjet PCA - Purqui gérer la cntinuité? - Définitins et cncepts - Le prjet et sa gestin - Cmment mener une analyse de risques et le cncept de désastre - Une étape clé : l identificatin des activités critiques Jur 2 : Mise en place du PCA et suivi - Les myens nécessaires à la cnceptin des dispsitifs - La prductin des plans et la cnstitutin des équipes de securs - Les prcédures d escalade et la cnstitutin de la cellule de crise - L rganisatin et le suivi des tests - La cntinuité d activité en tant que prcessus ITIL 15
ISO 22301 LES FONDAMENTAUX - 2 JOURS Durée : 14 heures Prfils : Cnsultant, DSI, RSSI, Chef de prjet,... Quelque-sit vtre prfil et expérience, vus suhaitez acquérir de nuvelles cmpétences et appréhender les cncepts de mise en œuvre et de gestin d un Système de Management de la Cntinuité d Activité (SMCA) basé sur la nrme ISO/CEI 22301:2012, ainsi que les meilleures pratiques d implémentatin des mesures de cntinuité d activité repsant sur la nrme IOS/PAS 22399. Les bjectifs de ce curs snt : - Expliquer le fnctinnement d un Système de Management de la Cntinuité d Activité (SMCA) cnfrme à ISO/CEI 22301:2012 et ses principaux prcessus ; - Acquérir la cmpréhensin des principaux prcessus du Management de la Cntinuité d Activité ; - Identifier les principales actins et mesures à mettre en œuvre pur assurer la Cntinuité d Activité sur la base de la nrme ISO/PAS 22399 ; - Obtenir la Certificatin ISO 22301 Fundatin. NB : Ce curs est basé sur la nrme ISO 22301:2012. Jur 1 : Intrductin aux cncepts de SMCA - Présentatin des nrmes ISO 22301, ISO 27031, ISO/PAS 22399 - Principes fndamentaux de la cntinuité d activité - Cncepts de système de management et apprche prcessus - Exigences et clauses de la nrme ISO 22301 Jur 2 : Mettre en œuvre les mesures de cntinuité d activité - Business Impact Analysis (BIA) et gestin des risques - Etapes de mise en œuvre d un SMCA ISO 22301 - Améliratin cntinu - Prcessus et audit de certificatin ISO 22301 - Examen Certified ISO 22301 Fundatin (1h) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 16
ISO 22301 LEAD IMPLEMENTER * - 4,5 JOURS Durée : 35 heures Prfils des participants : Cnsultant, RPCA, RSSI, Chef de prjet, Vus suhaitez acquérir de nuvelles cmpétences et être capable de mettre en œuvre et gérer un Système de Management de la Cntinuité d Activité (SMCA) cnfrme aux exigences de la nrme ISO 22301:2012. Cette frmatin vus permet de maîtriser les meilleures pratiques d implémentatin de prcessus de cntinuité d activité seln ISO/PAS 22399. La frmatin est élabrée et validée par une équipe multidisciplinaire cmpsée de cnsultants spécialisés dans le dmaine de la cntinuité d activité, de cnsultants et auditeurs expérimentées en matière de mise en œuvre et de gestin de de systèmes de management (ISO 22301, ISO 27001, ISO 9001, ), de directeurs de la sécurité et d intervenants spécialisés dans la frmatin prfessinnelle. Les bjectifs snt de : - Cmprendre l implémentatin d un SMCA en accrd avec l ISO 22301, l ISO 27031 u BS25999 ; - Acquérir les cncepts, apprches, méthdes, nrmes et techniques requises pur la gestin effective d un SMCA ; - Cmprendre la relatin entre les cmpsants d un SMCA et la cnfrmité avec les exigences ; - Acquérir l expertise nécessaire pur accmpagner une rganisatin dans l implémentatin, la gestin et le maintien d un SMCA en accrd avec ISO 22301 u BS25999. NB : Ce curs est basé sur la nrme ISO 22301:2012. Jur 1 : Intrductin à la gestin d un SMCA et initiatin d un SMCA - Intrductin aux systèmes de management et à l apprche par prcessus - Présentatin des nrmes ISO 22301, ISO/PAS 22399, ISO 27031, BS 25999 et du référentiel réglementaire - Principes fndamentaux de la cntinuité d activité - Analyse préliminaire - Rédactin d une étude de faisabilité et d un plan prjet pur l implémentatin d un SMCA Jur 2 : Planificatin d un SMCA - Définitin du périmètre du SMCA - Dévelppement du SMCA et des plitiques de cntinuité d activité - Analyse d impact (BIA) et estimatin des risques Jur 3 : Implémenter un SMCA - Mise en œuvre d un cadre de gestin dcumentaire - Élabratin et mise en œuvre de prcessus de cntinuité d activité et rédactin de plitiques - Gestin des incidents et des securs - Gestin des pératins d un SMCA Jur 4 : Cntrôler, amélirer et mesurer le SMCA et audit de certificatin - Mnitring des prcessus de cntinuité d activité - Dévelppement de métriques, d indicateurs de perfrmance et de tableaux de brd - Audit interne et revue de directin du SMCA - Mise en place d un prgramme d améliratin cntinue - Préparatin à l audit de certificatin ISO 22301 Jur 5 : Examen - Examen «Certified ISO 22301 Lead Implementer» (3 heures) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 17
ISO 22301 LEAD AUDITOR * - 4,5 JOURS Durée : 35 heures Prfils des participants : Cnsultant, Auditeur, RPCA, RSSI, Chef de prjet, Vus suhaitez acquérir de nuvelles cnnaissances vus permettant d auditer et d évaluer l efficacité d un Système de Management de la Cntinuité d Activité (SMCA) cnfrmément aux exigences de la nrme ISO 22301. Cette frmatin vus permet de dévelpper les aptitudes et les cmpétences nécessaires pur cnduire un audit de certificatin de SMCA, en se basant ntamment sur les préceptes de la nrme ISO 19011. La frmatin est élabrée et validée par une équipe multidisciplinaire cmpsée de cnsultants spécialisés dans le dmaine de la cntinuité d activité, de cnsultants et auditeurs expérimentées en matière de mise en œuvre et de gestin de systèmes de management (ISO 22301, ISO 27001, ISO 9001, ), de directeurs de la sécurité et d intervenants spécialisés dans la frmatin prfessinnelle. Les bjectifs snt : - Puvir réaliser des audits internes u des audits de certificatin ISO 22301 seln les lignes directrices de l ISO 19011 et les spécificatins de l ISO 17021 et savir gérer une équipe d auditeurs de SMCA, - Cmprendre le fnctinnement d un SMCA seln l ISO 22301 et les exigences des différentes parties prenantes d une rganisatin - Amélirer sa capacité d analyse de l envirnnement interne et externe d une rganisatin, d évaluatin des risques d audit et de prise de décisin dans le cntexte d un audit SMCA NB : Ce curs est basé sur la nrme ISO 22301:2012. Jur 1 : Intrductin au cncept de Système de Management de la Cntinuité de l Activité (SMCA) tel que défini par l ISO 22301 - Présentatin des nrmes ISO 22301, ISO27031, ISO/PAS 22399, BS 25999 - Principes fndamentaux de la cntinuité de l activité - Prcessus de certificatin ISO 22301 - Système de Management de la cntinuité de l activité (SMCA) - Présentatin détaillée des clauses 4 à 10 de l ISO 22301 Jur 2 : Planificatin et initialisatin d un audit 22301 - Principes et cncepts fndamentaux d audit - Apprche d audit basée sur les preuves et sur le risque - Préparatin d un audit de certificatin ISO 22301 - Audit dcumentaire d un SMCA - Cnduire une réunin d uverture Jur 3 : Cnduire un audit ISO 22301 - Cmmunicatin pendant l audit - Prcédures d audit : bservatin, revue dcumentaire, entretiens, techniques d échantillnnage, vérificatin technique, crrbratin et évaluatin - Rédactin des plans de tests d audit - Frmulatin des cnstats d audit - Rédactin des rapprts de nn-cnfrmité Jur 4 : Clôturer et assurer le suivi d un audit ISO 22301 - Dcumentatin d audit - Mener une réunin de clôture et fin d un audit 22301 - Évaluatin des plans d actin crrectifs - Audit de surveillance ISO 22301 - Prgramme de gestin d audit interne ISO 22301 Jur 5 : Examen - Examen «Certified ISO 22301 Lead Auditr» (3 heures) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 18
ISO 24762 IMPLEMENTER ET GERER LA REPRISE D ACTIVITE - 3 JOURS Durée : 21 heures Prfils : Cnsultant, DSI, RSSI, Chef de prjet,... Cette frmatin vus permet de dévelpper l expertise nécessaire pur assister une rganisatin dans l implémentatin, le maintien et le management d un plan de reprise d'activité des technlgies de l'infrmatin et de la cmmunicatin, seln l ISO 24762. Cette frmatin prpse de présenter les aspects démarches et prcessus puis de détailler un panel de mesures techniques liées à la reprise d activité seln l ISO 24762. Cette frmatin peut s adresser à : - aux respnsables et aux équipes de reprise d activité - aux cnsultants en reprise d activité infrmatique, NB : Ce curs est basé sur la nrme ISO 24762:2008 Jur 1 : Intrductin, évaluatin et réductin des risques seln l ISO 24762 - Différences entre la cntinuité d activité et la reprise d activité - Gestin des actifs - Évaluatin et réductin des risques - Gestin dcumentaire - Sécurité de l infrmatin - Cntinuité d activité Jur 2 : Sites et lcaux de reprise, sus -traitance des services et activatin du plan de reprise d activité seln l ISO 24762 - Lcaux de reprise - Sus-traitance des services - Sites de reprise - Activatin du plan de reprise d activité Jur 3 : Mesure, test et améliratin cntinue - Mesure de la perfrmance - Aut-évaluatin - Test - Améliratin cntinue - Examen Certified ISO 24762 Disaster Recvery Manager (2h) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 19
FORMATIONS AU MANAGEMENT DE LA SECURITE 20
DEFINIR ET PILOTER DES INDICATEURS ET TABLEAUX DE BORD SSI - 2 JOURS Durée : 14 heures Prfils des participants : Cnsultant, RSSI, Chef de prjet, Vus suhaitez dévelpper les cmpétences nécessaires pur définir et mettre en œuvre des indicateurs et tableaux de brds pertinents en matière de sécurité de l infrmatin, et de manière plus générale mettre en place u amélirer la guvernance de la sécurité de l infrmatin. Cette frmatin prpse dans un premier temps de présenter et mettre en pratique de manière glbale une méthdlgie pragmatique de définitin et de mise en place d indicateurs / tableaux de brds ainsi que d établir u amélirer le cadre et les prcessus de guvernance, en se basant ntamment sur des référentiels tels que ISO 27004 et COBIT (Cntrl Objectives fr Infrmatin and related Technlgies). Enfin, cette frmatin permet aux participants de travailler sur des cas cncrets de définitin et de mise en œuvre d indicateurs pur les principales exigences de la nrme ISO 27001:2013 (clauses 4 à 10 et annexe A). Les bjectifs snt de : - Acquérir les aptitudes méthdlgiques et de la pratique permettant de définir et mettre en œuvre des indicateurs pertinents et adaptés en matière de sécurité de l infrmatin ; - Dispser de certains indicateurs prédéfinis pur les principales exigences de la nrme ISO 27001, à adapter éventuellement seln le cntexte. Jur 1 Jur 2 - Cncepts et principes de guvernance de sécurité de l infrmatin Système de management, prcessus, référentiels : ISO 27001, ISO 31500 / COBIT, ISAE 3402, Envirnnement et stratégie de cntrôle : Cntrôle interne et externe, Niveaux de cntrôle - Métriques, indicateurs, tableaux de brds, Définitin Objectifs Principes Référentiels, Méthdlgies : TDBSSI, ISO27004, Balanced Screcard, - Méthdlgie de définitin / cnceptin des indicateurs : Rôle des différents acteurs : Managers, RSSI, Explitants, Besins et bjectifs de cntrôle (définir les indicateurs) : Critères : Précisin, Fréquence, Seuil, Exercice pratique : définir les besins et bjectifs de cntrôle pur plusieurs exigences ISO27001 - Méthdlgie de définitin / cnceptin des indicateurs (suite) : Prductin des indicateurs : Identificatin des infrmatins Frmalisatin / calcul Exercice pratique : définir le myen de prductin de plusieurs indicateurs Présentatin / restitutin des indicateurs Le tableau de brd SSI Exercice pratique : définir et prduire un tableau de brd - Retur d expérience, bnnes pratiques, pièges à éviter 21
ELABORER ET GERER UNE POLITIQUE DE SECURITE - 2 JOURS Durée : 14 heures Prfils des participants : Cnsultant, RSSI, Chef de prjet, Auditeur Vus suhaitez acquérir de nuvelles cnnaissances et être capable de mettre en place une rganisatin sécurité et une plitique de sécurité. Cette frmatin a pur but de vus permettre d assimiler les cnnaissances nécessaires à la cmpréhensin des enjeux d une plitique de sécurité, de prcessus de sécurité et de leur gestin. Les bjectifs snt de : - Cerner les ntins de risque et de plitique de sécurité ; - Appréhender les prcessus sécurité ; - Cmprendre les différentes ptins permettant de garantir la sécurité des systèmes d infrmatin ; - Avir une vue d ensemble des nrmes ISO 27001, ISO 27002 et ISO 27005. Jur 1 : Élabratin d une plitique de sécurité - Intrductin : rappel des fndamentaux en sécurité de l infrmatin La ntin de risque Les critères de sécurité - Les cadres nrmatifs et réglementaires ISO 2700X, ITIL, Prpriété intellectuelle, gestin des dnnées à caractère persnnel, - Identificatin et évaluatin des risques Appréciatin des risques Les différentes méthdes d analyse de risques (MEHARI, EBIOS) - Définitin de la plitique de sécurité L rganisatin sécurité Thématiques techniques - Facteurs de succès de la mise en place d une plitique de sécurité Jur 2 : Mise en place et management de la plitique et des prcessus sécurité - Les principes de mise en œuvre de la plitique de sécurité La gestin des incidents La gestin de la cntinuité d activité (PCA, PRA) - Supervisin de la sécurité La définitin d indicateurs de sécurité et des tableaux de brd Les audits de sécurité La définitin des plans de traitement de la sécurité - L implicatin des différents acteurs dans la sécurité de l infrmatin La sensibilisatin / frmatin à la sécurité La définitin des plans de cmmunicatin. 22
SECURITE DANS LES PROJETS ET INTRODUCTION AUX CRITERES COMMUNS - 2 JOURS Durée : 14 heures Prfils des participants : Chef de prjet, Cnsultant, Architecte, Auditeur, Vus suhaitez acquérir de nuvelles cnnaissances et être capable d appréhender les prblématiques de sécurité de l infrmatin prtant sur le prjet dnt vus êtes respnsable u sur lequel vus intervenez. Cette frmatin a pur but de vus furnir les bases des meilleures pratiques d intégratin et de gestin de la sécurité dans le cycle de vie d un prjet, basées ntamment sur les Critères Cmmuns (ISO 15408). A ce titre, cette frmatin intègre une intrductin et une présentatin des cncepts et préceptes des Critères Cmmuns (ISO 15408), ainsi qu une mise en perspective avec d autres référentiels (ISO 27034, GISSIP, ). Cette frmatin, en cnjuguant l apprt de cncepts thériques avec leur mise en pratique dans le cadre d études de cas issues de l expérience de ns cllabrateurs, vus permettra d assimiler les ntins et réflexes clés de sécurité dans la gestin de prjets. Les bjectifs snt : - Acquérir une cmpréhensin générale des principes fndamentaux d intégratin et de gestin de la sécurité dans les prjets, basés sur les Critères Cmmuns (ISO 15408) ; - Furnir aux persnnes intervenant sur l intégratin de la sécurité dans les prcessus prjet (RSSI, Services Méthdes, Qualité, ) les clés et les principes fndamentaux pur implémenter u amélirer ces aspects ; - Furnir aux acteurs des prjets (chefs de prjet, architecte, ) les bases pur cmprendre et mener les principales activités liées à la sécurité de l infrmatin (identificatin et évaluatin des risques, expressin / définitin et suivi des besins et exigences de sécurité, tests sécurité, ). Le curs est structuré seln les étapes successives standard d un prjet afin d illustrer les actins cncrètes qu un chef de prjet aura à mener en cllabratin avec les équipes en charge de la SSI. Il est accmpagné de nmbreuses illustratins de cas réels afin que le chef de prjet puisse simplement adapter le cntenu de la frmatin aux prcessus applicables à sn rganisatin. Mdule 1 : Prise en cmpte des besins de sécurité - Cnséquences de l absence de prise en cmpte de la sécurité - Intrductin aux prblématiques de sécurité prtant sur la réalisatin de prjets - Identificatin des besins de sécurité - Définitin des exigences - Classificatin de prjet - Plan de management de la sécurité Mdule 2 : Mise en œuvre de la sécurité dans la cnduite du prjet - Niveau de frmalisme attendu (état de l art) - Le supprt de l infrastructure et de l rganisatin SSI - Activités à mener et dcuments à prduire : Lis et règlementatins applicables Descriptin des dévelppements Analyse des COTS Mdule 3 : Validatin et mise en prductin - Intrductin à la ntin de cuverture - Cnfrmité - Recette sécurité - Mécanismes d évaluatin des répnses aux exigences - Livraisn, installatin et explitatin - Manuels et prcédures d explitatin Mdule 4 : Maintien et suivi - Prblématique du suivi des vulnérabilités - Assurance sécurité - Surveillance 23
MAITRISER LES CRITERES COMMUNS - 4 JOURS Ce mdule inclut la frmatin de 2 jurs «Sécurité dans les prjets et Intrductin aux Critères Cmmuns» Durée : 28 heures Prfils des participants : Chef de prjet, Cnsultant, Architecte, Auditeur, Vus suhaitez acquérir de nuvelles cnnaissances et être capable d utiliser les Critères Cmmuns pur amélirer le niveau de sécurité des prduits que vus dévelppez et qui sernt utilisés u incrprés au sein de systèmes. Les Critères Cmmuns prpsent une apprche structurée pur prendre en cmpte la sécurité dans la cnceptin, la réalisatin, l'installatin et l'explitatin d un prduit. Ils permettent par ailleurs de définir, à tus les stades du dévelppement, les exigences de cntenu, de présentatin et d'éléments de preuve applicables, ainsi que les furnitures spécifiques exigées aux dévelppeurs. Cette frmatin vus furnit les bases, en termes de sécurité, nécessaires à la cmpréhensin des enjeux et à l expressin des exigences de sécurité prtant sur les aspects fnctinnels et rganisatinnels, à la prise en cmpte de ces exigences dès la phase de cnceptin et dans les phases de réalisatin, et à la validatin des exigences de sécurité. Les bjectifs snt de : - Transmettre à des chefs de prjets les cmpétences nécessaires à l expressin des besins de sécurité et au suivi des exigences ; - Savir utiliser les Critères Cmmuns pur spécifier, dévelpper et valider les exigences de sécurité ; - Cmprendre les différents schémas de certificatins et leur imbricatin; - Être capable de lire, critiquer, et ébaucher une cible de sécurité. Jur 1 : Sécurité dans les prjets et Intrductin aux Critères Cmmuns - Prise en cmpte des besins de sécurité - Mise en œuvre de la sécurité dans la cnduite du prjet - Validatin et mise en prductin Jur 2 : Présentatin des critères d évaluatin de la SSI - Spécificatin du besin de sécurité et ntin de cible de sécurité - Prcessus d assurance cnfrmité et niveau de cnfiance recherché - Prcessus d assurance efficacité et niveau de résistance visé - Les impacts sur le cycle de dévelppement Jur 3 : Les schémas de certificatin - Evaluatin du niveau de sécurité d un système d infrmatin - Evaluatin du niveau de sécurité d un prduit Jur 4 : Cible de sécurité - Cntenu d une cible de sécurité - Etude de cas 24
FORMATIONS TECHNIQUES A LA SECURITE 25
FONDAMENTAUX DE LA SECURITE DE L INFORMATION * - 3 JOURS Durée : 21 heures Prfils des participants : RSSI, Cnsultant, Auditeur, Chef de prjet, Architecte, Vus suhaitez acquérir les bases vus permettant d appréhender les risques et les meilleures pratiques dans l ensemble des dmaines de la sécurité de l infrmatin (les 10 dmaines du CBK CISSP / les 14 dmaines de l ISO 27002:2013). Cette frmatin prpse pur chacun de ces dmaines d étudier : - Le cntexte, le besin et les enjeux des rganismes vis-à-vis de ces dmaines - Les vulnérabilités, menaces et risques assciées - Les mesures et meilleurs pratiques de sécurisatin La frmatin est basée en partie sur le curs CISSP et est cnstituée de très nmbreux exemples et études de cas persnnalisés. Cette frmatin est particulièrement adaptée pur les persnnes assurant u suhaitant assurer des fnctins de RSSI, cnsultants, chefs de prjet sécurité, etc. Jur 1 : - Principes fndamentaux de sécurité de l infrmatin - Gestin des risques : cnfidentialité, intégrité, dispnibilité, actifs, menaces, vulnérabilités, impacts mesures de sécurité - Organisatin et plitiques de sécurité de l infrmatin - Sécurité des ressurces humaines : sélectin, rôles et respnsabilités, séparatin des tâches, - Cntrôle d accès : authentificatin, autrisatin, Jur 2 : - Sécurité des réseaux et des télécmmunicatins : technlgies : OSI, TCP/IP, Ethernet, Wifi, attaques : Ecute, Usurpatin ARP, mesures : Clisnnement, Firewall, Chiffrement, - Gestin et sécurité de l explitatin : Séparatin, Sauvegarde, Incidents, - Gestin et sécurité des tiers : cntrat, audit, - Cryptgraphie : symétrique, asymétrique, hash, PKI, signature, Jur 3 : - Sécurité des applicatins : cycle de vie, exigences, tests, - Sécurité physique et envirnnementale : accès physiques, incendies, électricité, chauffage / climatisatin, - Gestin du plan de cntinuité d activité - Cnfrmité, évaluatin et audit de la sécurité - Examen «Certified Infrmatin Security Fundatin» (1 heure) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 26
AUDIT SECURITE RESEAUX & SYSTEMES - FONDAMENTAUX - 3 JOURS Durée : 21 heures Prfils des participants : Cnsultant, Auditeur, Chef de prjet, Architecte, RSSI, Vus suhaitez avir une cnnaissance glbale des bnnes pratiques de sécurisatin des SI. Cette frmatin vus apprte l ensemble des cncepts et des pratiques nécessaires à l appréciatin de la sécurisatin des réseaux et systèmes en abrdant des thématiques telles que la cmpréhensin des tests d intrusins lgiques et leur impact sur le SI, la démnstratin et la cmpréhensin des attaques u encre en pratiquant la mise en place de mécanismes de sécurisatin afin d en cmprendre le fnctinnement. Les bjectifs snt de : - Cmprendre lrs des audits les éléments techniques de sécurité réseau, système et applicatif ; - Savir détecter si les mécanismes techniques de sécurité snt pertinents par rapprt à l état de l art ; - Puvir analyser et valider/infrmer les répnses apprtées par les audités lrs des revues ; - Savir demander les éléments de preuve techniques u dcumentaires ; - Dispser d un vcabulaire adapté. Jur 1 : Remise à niveau thérique - Rôle et fnctinnement des cmpsants sécurité - Le masquage d adresse NAT - Les architectures principales de sécurisatin des réseaux - Descriptin simple des aspects sécurité liés aux prtcles et flux - Le clisnnement et le durcissement - Cmprendre les besins de sécurité et les architectures devant y être assciées - Déterminatin des pints spécifiques à analyser lrs d un audit des systèmes Jur 2 : Pratique et tests d attaque sur les architectures réseaux de sécurité - Architecture typique SOHO et PME - Architecture cmplexe - Architectures intercnnectées - Mise en évidence des faiblesses des architectures face aux attaques sécurité - Illustratin à travers les paramétrages réels des équipements. Jur 3 : Clisnnement, durcissement et paramétrage - Le clisnnement et le durcissement des systèmes - Ntin de prcessus - Vulnérabilités des systèmes et paramétrages de sécurité des cmpsants systèmes - Illustratin des vulnérabilités explitables et attaques type par les prduits de la cmmunauté - Reprise des ntins thériques mal assimilées - Illustratin sur des cas d audit - Veille sécurité 27
AUDIT SECURITE RESEAUX & SYSTEMES - AVANCE - 4 JOURS Ce mdule inclut la frmatin de 3 jurs «Audit sécurité réseaux &systèmes - Fndamentaux» Durée : 28 heures Prfils des participants : Auditeur, Cnsultant, RSSI, Chef de prjet, Vus suhaitez apprfndir vs cnnaissances sur les bnnes pratiques de sécurisatin des SI. Cette frmatin vus apprte l ensemble des cncepts et des pratiques nécessaires et les techniques fndamentales pur appréhender au mieux un audit. Les bjectifs snt de : - Cnslider les acquis techniques de la frmatin préalable «Sécurité Réseaux & Systèmes - Fndamentaux» en s assurant que la cmpréhensin des architectures sécurité est acquise ; - Prendre cnnaissance des nuvelles évlutins des infrastructures sécurité à cnsidérer pur les audits ; - Prgresser dans la cmpréhensin fine des paramétrages de sécurité ; - Savir demander les éléments de preuve techniques u dcumentaires. Jur 1 : Reprise des acquis et actualisatin sur les attaques et nuvelles technlgies - Rappel sur les dispsitifs de sécurité à cnnaître et vus dans le curs précédent - Actualité de sécurité : quelles alertes, quels incidents à cnsidérer. Rebnd sur l actualité en illustratin des cas devant être cnsidérés dans les audits. Descriptin simple des aspects sécurité liés aux prtcles et flux - Veille technlgique sur les nuveaux dispsitifs qui sernt rencntrés dans les audits. Jur 2 : Paramétrage à auditer des équipements firewall et firewall persnnel - Les firewalls persnnels (filtrage, snde de détectin d intrusin) - Paramétrages standards sur les firewalls : applicatin au firewall persnnel Windws XP et 7 et bitier JUNIPER - TP de pratique sur les paramétrages adéquats. Jur 3 : Cnfiguratin sécurité des systèmes Windws - Paramétrages sécurité des cntrôleurs de dmaine Windws : quels éléments recherchés, quelles preuves demander, les différents cas de figure. - La gestin des cmptes et des privilèges - La plitique de sécurité lcale sur les serveurs et les pstes de travail - La plitique de trace Jur 4 : Virtualisatin et travail cllabratif - La virtualisatin : les mécanismes, les utils en place, les prblématiques de sécurité liées. - Les prtails cllabratifs : panrama des slutins, des prblématiques de sécurité déculant d un travail cllabratif et partagé, la séparatin des rôles, la prtectin des dnnées. - TP basé sur Micrsft SharePint. 28
Durée : 7 heures REALISER DES AUDITS DE CONFIGURATION / ARCHITECTURE - 1 JOUR Prfils des participants : Auditeur, Cnsultant, RSSI, Vus suhaitez acquérir u renfrcer vs cnnaissances et aptitudes nécessaires à la réalisatin d audits de cnfiguratin et d architecture. Cette frmatin vus prpse d appréhender les démarches et méthdlgies à mettre en œuvre, les bnnes pratiques, les pièges à éviter, les référentiels à utiliser seln les cmpsants à auditer. Cette frmatin prpse également de mettre en pratique ces éléments sur des exemples cncrets et étude de cas. Les bjectifs snt de : - Puvir rganiser et pilter des audits de cnfiguratin, aussi bien cté auditeur que audité - Puvir réaliser de façn autnme des audits de cnfiguratin Cette frmatin est basée sur ns expériences en matière d audit de cnfiguratin / architecture et est assurée par un frmateur rmpu à la réalisatin de ce type d audit. Mdule 1 : Intrductin - Principes et bjectifs des audits de cnfiguratin / architecture - Avantages / limites Mdule 2 : Préparatin / Cadrage - Périmètre, cmpsants, cibles de l audit - Pré-requis / éléments à préparer Cmptes d audit : risques, bnnes pratiques, Envirnnement d audit (prductin, tests, ) Mdule 3 : Réalisatin - Audits d architecture Cnduite d entretiens / Analyse dcumentaire Techniques d audit cmplémentaires : cartgraphie, écute / capture, recherches d infrmatins - Audits de cnfiguratin Exigences / Pré-requis / mesures cnservatires : Cnservatin de l intégrité de la cnfiguratin du cmpsant (pas d installatin), Traces / supervisin des actins effectuées, Sauvegarde Techniques d audit : Cnnexin à l envirnnement, Relevé de cnfiguratin, Outils / template (XCCDF) Référentiels / principaux pints de cntrôle: Génériques : cntrôle d accès, cnfiguratin réseau, Par type de cmpsants : Pstes de travail / Smartphne / Tablette OS serveurs : Linux, Windws, Unix Bases de dnnées : Oracle, SQL Server Serveur web : IIS, Apache Cmpsants réseaux & sécurité : ruteurs, switchs, antivirus, - Cnservatin / stckage des traces et résultats d audit Mdule 4 : Restitutin - Analyse et cnslidatin des résultats d audit - Rédactin du rapprt Synthèse Résultats détaillées - Restitutin 29
Durée : 14 heures REALISER DES TESTS D INTRUSION - 2 JOURS Prfils des participants : Auditeur, Cnsultant, RSSI, Vus suhaitez acquérir u renfrcer les cnnaissances et aptitudes nécessaires à la réalisatin de tests d intrusin. Cette frmatin vus prpse d appréhender les démarches et méthdlgies à mettre en œuvre, les bnnes pratiques, les pièges à éviter, les référentiels à utiliser. Cette frmatin prpse également de mettre en pratique ces éléments sur des exemples cncrets et étude de cas. Les bjectifs snt de : - Pur les auditeurs et audités, puvir rganiser et pilter des tests d intrusin, - Pur les audités, puvir cmprendre et interpréter les résultats des tests d intrusin, - Pur les auditeurs, puvir réaliser de façn autnme des tests d intrusin «simples» u des tests d intrusin de cmplexité myenne avec un encadrement adapté. Cette frmatin est basée sur ns expériences en matière de tests d intrusin et est assurée par un frmateur rmpu à la réalisatin de ce type de missin. Mdule 1 : Intrductin - Définitin, tests d intrusin interne / externe - Avantages / limites - Aspects juridiques, administratifs, humains, Lis applicables Ethique, Déntlgie Autrisatin de réalisatin - Préparer sn envirnnement : OS / duble-bt, machine virtuelle, Pentest distributin (Kali, ) Outils, référentiels, dcumentatin Mdule 2 : Recherche et explratin - Ecuter et récupérer des infrmatins (Exemple d util : Wireshark) - Recherches d infrmatin : DNS, WHOIS, Ggle, (Exemple d util : Spiderft) - Scan et prise d empreintes Tests externes / internes Outils : NMAP, ARPscan, netdiscver, Interpréter et expliter les résultats Evasin / Cnturner les mesures de détectin / blcage : scans passifs, fragmentatin, Mdule 3 : Détectin et explitatin de vulnérabilités - Tests internes : Objectifs, Scénarii (intrus, «stagiaire malveillant», ) Scan de vulnérabilités (Exemple d util : OpenVAS) Attaques réseaux (fnctinnement, utils, ) : ARP pisnning, DHCP/DNS spfing, etc Escalade des accès - Tests externes Applicatins web Référentiels, utils : OWASP, CVE, prxy http, scanner web, metasplit Principaux tests / vulnérabilités : Directry Traversal, XSS, SQL injectin SQL, faille include/uplad, DS et DDS Autres services : VPN IPSEC / SSL, messagerie (SMTP, POP, ) 30
Durée : 35 heures EC-COUNCIL CERTIFIED ETHICAL HACKER 5 JOURS Prfils des participants : Dévelppeur, Ingénieur sécurité, administrateur réseau, Vus suhaitez acquérir les cmpétences pintues et une expérience pratique des principaux systèmes de sécurité actuels, que ce sit en tant que Dévelppeur, Ingénieur sécurité, administrateur réseau,. Cette frmatin prpse aux stagiaires, avec l accès intensif au Labs, de cmprendre cmment fnctinne la défense périmétrique avant de scanner, tester et hacker sn prpre système et réseau. Ensuite ils apprennent cmment les intrus acquièrent des privilèges et quelles actins peuvent être mises en œuvre afin de sécuriser un système. Les apprts snt : - Apprendre à détecter des intrusins. - Apprche de la gestin des incidents et interprétatin des lgs. - Se familiariser avec l ingénierie sciale - Etre capable de définir et appliquer les meilleures techniques et pratiques de sécurisatin mais aussi de cnseiller et vérifier leur bnne mise en œuvre. L bjectif du curs Certified Ethical Hacker est d éduquer, d intrduire et de démntrer des utils de piratage dans le seul but de l apprentissage des tests d intrusin. Avant d assister à ce curs, il vus sera demandé de signer un accrd légal par lequel vus vus engagez à ne pas utiliser vs nuvelles cmpétences pur réaliser des attaques illégales u malveillantes et que vus ne ferez pas usage des utils dans le but de cmprmettre un système infrmatique. Le centre autrisé de frmatin (ATC) a pur missin de s assurer que tus les stagiaires travaillent dans des entreprises légitimes. Le curs CEH V8 cnsiste en une frmatin par un instructeur certifié d une part et par de l aut apprentissage d autre part. L instructeur furnit au début du curs les détails cncernant les mdules en aut-apprentissage. Jur 1 : - Mdule 1 : intrductin au ethical Hacking - Mdule 2 : ftprinting et recnnaissance - Mdule 3 : scanning de réseau - Mdule 4 : énumératin Jur 2 : - Mdule 5 : hacking de système - Mdule 6 : chevaux de Trie et backdr - Mdule 7 : virus et vers - Mdule 8 : sniffing Jur 3 : - Mdule 9 : ingénierie sciale - Mdule 10 : attaque par déni de service - Mdule 11 : hijacking de sessins - Mdule 12 : hacking de serveurs web Jur 4 : - Mdule 13 : hacking d applicatin web - Mdule 14 : injectin SQL - Mdule 15 : hacking de réseaux sans fil - Mdule 16 : hacking de platefrmes mbiles Jur 5 : - Mdule 17: evading IDS, Firewall et détectin de Hney Pts - Mdule 18: débrdement de tampns - Mdule 19: cryptgraphie - Mdule 20: tests d intrusin La certificatin CEH 312-50 peut être passée le dernier jur du curs (ptinnel), elle dure 4 heures. Elle se cmpse de 125 questins à chix multiple ; Il faut btenir un scre minimum de 70% de répnses exactes pur le valider. Vus la passez en ligne dans les lcaux de SCASSI. D une façn générale, il est recmmandé de passer l examen assez rapidement après la fin du curs de manière à ne pas perdre les acquis et le bénéfice des apprts du frmateur. 31
EC-COUNCIL COMPUTER HACKING FORENSIC INVESTIGATOR 5 JOURS Durée : 35 heures Prfils des participants : RSSI et tute persnne ayant en charge la sécurité IT, la gestin des incidents. Vus suhaitez acquérir les cmpétences en matière d investigatins légales. Le curs CHFI vus apprtera les cnnaissances nécessaires pur identifier les traces laissées lrs d intrusins sur un système infrmatique par un tiers. Cette frmatin prpse au stagiaire un large panel de cas d investigatins légales, qui dit lui permettre d acquérir de l expérience sur les différentes techniques d investigatins. Les apprts snt : - Nmbreuses techniques d investigatin - Techniques d acquisitin de preuves virtuelles - Techniques de gestin et d analyse de façn légale Cette frmatin et surtut sn apprt pédaggique vus sera très utile face à un tribunal. Ntamment dans des cas d incidents de sécurité cmme la vilatin de dnnées, l espinnage d entreprise, de menaces internes et autres cas similaires incluant des systèmes d infrmatin. Cnnaissances préalables : La certificatin CEH est un pré-requis. Jur 1 : - Mdule 1 : L investigatin légale dans le mnde d aujurd hui - Mdule 2 : Lis sur le hacking et la légalité dans l infrmatique - Mdule 3 : Prcédés d investigatin infrmatique - Mdule 4 : Prcédure «first respnder» - Mdule 5 : CSIRT - Mdule 6 : Labratire d investigatin légale - Mdule 7 : Cmprendre les systèmes de fichiers et les disques durs Jur 2 : - Mdule 8 : Cmprendre les appareils multimédia numériques - Mdule 9 : Prcessus de lancement Windws, Linux, Mac - Mdule 10 : Investigatin légale dans Windws - Mdule 11 : Investigatin légale dans Linux - Mdule 12 : Acquisitin de dnnées et duplicatin - Mdule 13 : Outils d investigatin légale - Mdule 14 : Investigatins légales utilisant Encase Jur 3 : - Mdule 15 : Retruver des fichiers et des partitins supprimés - Mdule 16 : Investigatin légale dans des fichiers d images - Mdule 17 : Stégangraphie - Mdule 18 : Applicatins de crackage de mts de passe - Mdule 19 : Investigatins légales dans les réseaux et utilisatin des jurnaux de lgs à des fins d investigatin - Mdule 20 : Enquête sur le trafic réseau - Mdule 21 : Enquêter sur les attaques Wireless Jur 4 : - Mdule 22 : Enquêter sur les attaques internet - Mdule 23 : Investigatins légales de ruteurs - Mdule 24 : Enquêter sur les attaques de déni de service 32
- Mdule 25 : Enquêter sur les cyber crimes - Mdule 26 : Suivre les e-mails et enquêter sur les délits par emails - Mdule 27 : Enquêter sur l espinnage industriel - Mdule 28 : Enquêter sur les atteintes prtées aux marques dépsées et cpyright Jur 5 : - Mdule 29: Enquêter sur les incidents de harcèlement sexuel - Mdule 30: Enquêter sur la prngraphie infantile - Mdule 31: Investigatin légale de PDA - Mdule 32: Investigatin légal d Ipd - Mdule 33 : Investigatin légale de Blackberry - Mdule 34 : Rapprt d investigatin - Mdule 35 : devenir un témin Expert La certificatin CHFI 312-49 peut être passée le dernier jur du curs. D une façn générale, il est recmmandé de passer l examen assez rapidement après la fin du curs de manière à ne pas perdre les acquis et le bénéfice des apprts du frmateur. L épreuve d examen est de 4heures. Elle se cmpse de 150 questins à chix multiple ; Il faut btenir un scre minimum de 70% de répnses exactes pur le valider. Vus la passez en ligne dans les lcaux de SCASSI 33
Durée : 14 heures SECURITE CLOUD ET VIRTUALISATION - 2 JOURS Prfils des participants : RSSI, Cnsultant, Chef de prjet, Administrateur, Vus suhaitez acquérir les cnnaissances permettant d appréhender sus l angle de la sécurité de l infrmatin, les technlgies de virtualisatin et de Clud, que ce sit pur un dépliement au sein de vtre entreprise u pur cnseiller des rganisatins. Cette frmatin abrde les aspects techniques, mais également rganisatinnels et règlementaires vus permettant ainsi d avir une visin glbale des enjeux, risques et bnnes pratiques de sécurité liés à ces technlgies et aux prjets assciés. Les bjectifs snt ntamment de : - Dispser des cmpétences et aptitudes nécessaires pur intervenir sur des prjets de mise en œuvre de technlgies «virtualisatin» u «clud», ceci sur les différents aspects liés à la sécurité de l infrmatin à tus les stades du cycle de vie du prjet (identificatin des risques, définitin des exigences, mise en œuvre et tests des mesures de sécurité, ) ; - Puvir dialguer «en cnnaissance de cause» avec les différents acteurs de ces technlgies (éditeurs, furnisseurs de service, experts sécurité, ). Mdule 1 : La sécurité et la virtualisatin - Définitin, principes, mdes de fnctinnement - Cas d utilisatin, enjeux, bénéfices, impacts - Principaux acteurs du marché, différences fndamentales - Apprts de la virtualisatin en termes de sécurité de l infrmatin - Menaces et risques de sécurité liés à la virtualisatin Cnfidentialité et intégrité des dnnées Accès nn autrisés - Bnnes pratiques et mesures de sécurisatin Islatin des ressurces Cmmunicatins et interfaces Drits et rôles Mdule 2 : La sécurité et le Clud - Définitin, principes, mdes de fnctinnement - Cas d utilisatin, enjeux, bénéfices, impacts - Principaux acteurs du marché, différences fndamentales - Apprts du Clud en termes de sécurité de l infrmatin - Menaces et risques de sécurité liés au Clud Juridiques : «Suveraineté», Cnfidentialité, Ouverture externe, Maîtrise du niveau de sécurité - Bnnes pratiques et mesures de sécurisatin Exigences de base : lcalisatin, «niveau de cnfiance» Cntractuelles, Organisatinnelles : SLA «sécurité», négciatin des clauses, Techniques : Chiffrement, gestin des accès, Phase d explitatin : Gestin des incidents de sécurité, 34
SOLUTION RSA ENVISION - 4 JOURS Durée : 28 heures Prfils des participants : Analystes, Admin. système et réseaux La gestin efficace des événements de sécurité peut être grandement simplifiée à l aide de la slutin RSA envisin. Cette frmatin permet d apprendre à déplyer et à utiliser la slutin de manière efficace et en accrd avec les meilleurs pratiques. Les bjectifs snt : - Apprendre cmment cllecter les infrmatins et jurnaux de différentes surces et à analyser leur cntenu ; - Utiliser, mdifier et créer des rapprts pur visualiser l infrmatin de manière cncrète ; - Analyser et crréler ces infrmatins afin d btenir des alertes en temps réel et de gérer les incidents. Jur 1 : - Installatin et dépliement initial - Architecture - Intégratin et gestin des surces de lgs - Analyse de base Jur 2 : - Intrductin aux rapprts - Gestin des utilisateurs et watchlists - Rapprts avancés (utilisatins de variables et watchlists) - Gestin des rapprts (prgrammatin, backup, ) Jur 3 : - Intrductin à Event Explrer - Intrductin aux alertes Jur 4 : - Cllecte d infrmatin des systèmes de vulnérabilités - Alertes avancées - Crrélatin avec la gestin de vulnérabilités - Utilisatin du site de supprt, gestin des patchs et aide. 35
SECURITE APPLICATIVE 36
Durée : 21 heures SECURITE DES APPLICATIONS JAVA / JEE - 3 JOURS Prfils des participants : Auditeur, Dévelppeur, Chef de prjet, Analyste sécurité, Cnsultant qualité / méthde, Vus suhaitez acquérir les cmpétences vus permettant d appréhender en prfndeur la sécurité des applicatins Java / JEE, que ce sit en tant que dévelppeur, chef de prjet, cnsultant qualité / méthde. Cette frmatin prpse, d une part de présenter les vulnérabilités JAVA les plus fréquemment rencntrées dans les applicatins (Web et autres), ntamment celles décrites dans le Tp 10 OWASP, et d expliciter les menaces et risques assciés, et d autre part de décrire les principes pur dévelpper des applicatins sécurisées et présenter et mettre en pratique les différentes techniques de sécurisatin spécifiques aux applicatins JAVA. Les bjectifs snt : - Cnnaître et cmprendre les différentes vulnérabilités des applicatins JAVA, leurs impacts ptentiels et les risques assciés ; - Etre capable de définir et appliquer les meilleures techniques et pratiques de sécurisatin des applicatins JAVA mais aussi de cnseiller et vérifier leur bnne mise en œuvre. Cette frmatin se cmpse d une présentatin détaillée des différents cncepts de dévelppement sécurisé et d exercices pratiques appliqués à des exemples cncrets. Un pste de travail est nécessaire pur réaliser les travaux pratiques. Jur 1 : Principes et mécanismes - Principes de la prgrammatin sécurisée - Systèmes d authentificatin - Autrisatins et cntrôles d accès - Gestin des sessins. Jur 2 : Sécurisatin de la manipulatin des dnnées et échanges - Validatin des dnnées - Injectins au niveau des interpréteurs (SQL, LDAP, XML, XSS, CSRF) - Attaques par Déni de Service - Sécurité des Web services - Sécurité des framewrk Java - Sécurité de la JVM Jur 3 : Prgrammatin sécurisée - Gestin d erreur et jurnalisatin - Manipulatin de fichier et d URL - Cryptgraphie - Dépliement - Outillage et chaîne d intégratin - Méthdes et prcessus de dévelppement 37
Durée : 21 heures SECURITE DES APPLICATIONS.NET - 3 JOURS Prfils des participants : Auditeur, Dévelppeur, Chef de prjet, Analyste sécurité, Cnsultant qualité / méthde, Vus suhaitez acquérir les cmpétences vus permettant d appréhender en prfndeur la sécurité des applicatins.net, que ce sit en tant que dévelppeur, chef de prjet, cnsultant qualité / méthde. Cette frmatin prpse, d une part de présenter les vulnérabilités.net les plus fréquemment rencntrées dans les applicatins (Web et autres), ntamment celles décrites dans le Tp 10 OWASP, et d expliciter les menaces et risques assciés, et d autre part de décrire les principes pur dévelpper des applicatins sécurisées et présenter et mettre en pratique les différentes techniques de sécurisatin spécifiques aux applicatins.net. Les bjectifs snt ntamment de : - Cnnaître et cmprendre les différentes vulnérabilités des applicatins.net, leurs impacts ptentiels et les risques assciés ; - Etre capable de définir et appliquer les meilleures techniques et pratiques de sécurisatin des applicatins.net mais aussi de cnseiller et vérifier leur bnne mise en œuvre. Cette frmatin se cmpse d une présentatin détaillée des différents cncepts de dévelppement sécurisé et d exercices pratiques appliqués à des exemples cncrets. Un pste de travail est nécessaire pur réaliser les travaux pratiques. Jur 1 : Principes et mécanismes - Principes de la prgrammatin sécurisée - Systèmes d authentificatin - Autrisatins et cntrôles d accès - Gestin des sessins. Jur 2 : Sécurisatin de la manipulatin des dnnées et échanges - Validatin des dnnées - Injectins au niveau des interpréteurs (SQL, LDAP, XML, XSS, CSRF) - Attaques par Déni de Service - Sécurité des Web services - Fnctinnement du CLR Jur 3 : Prgrammatin sécurisée - Gestin d erreur et jurnalisatin - Manipulatin de fichier et d URL - Cryptgraphie - Dépliement - Outillage et chaîne d intégratin - Méthdes et prcessus de dévelppement 38
SECURITE DES APPLICATIONS WEB (PHP, JAVASCRIPT, CMS, MYSQL ) - 3 JOURS Durée : 21 heures Prfils des participants : Auditeur, Dévelppeur, Chef de prjet, Analyste sécurité, Cnsultant qualité / méthde, Vus suhaitez acquérir les cmpétences vus permettant d appréhender en prfndeur la sécurité des applicatins web, que ce sit en tant que dévelppeur, chef de prjet, cnsultant qualité / méthde. Cette frmatin prpse, d une part de présenter les vulnérabilités les plus fréquemment rencntrées dans les applicatins Web, ntamment celles décrites dans le Tp 10 OWASP, et d expliciter les menaces et risques assciés, d autre part de décrire les principes pur dévelpper des applicatins sécurisées et présenter et mettre en pratique les différentes techniques de sécurisatin spécifiques aux applicatins Web. Les bjectifs snt ntamment de : - Cnnaître et cmprendre les différentes vulnérabilités des applicatins Web, et leurs impacts ptentiels et risques assciés ; - Etre capable de définir et appliquer les meilleures techniques et pratiques de sécurisatin des applicatins Web mais aussi de cnseiller et vérifier leur bnne mise en œuvre. Cette frmatin se cmpse d une présentatin détaillée des différents cncepts de dévelppement sécurisé et d exercices pratiques appliqués à des exemples cncrets. Un pste de travail est nécessaire pur réaliser les travaux pratiques. Jur 1 : Principes et mécanismes - Le prtcle HTTP - Architecture d une applicatin web - Principes de dévelppement sécurisé - Authentificatin, Autrisatin et cntrôle d accès - Gestin des sessins Jur 2 : Sécurisatin des dnnées et des échanges - Validatin des dnnées - Injectins au niveau des interpréteurs (SQL, LDAP, XML, XSS, CSRF) - Technlgies AJAX - Sécurité des Web services - Le prtcle SSL - Cryptgraphie Jur 3 : Gestin de la sécurité, cnfiguratin applicative - Gestin d erreur et jurnalisatin - Dépliement, utillage et chaîne d intégratin - Méthdes et prcessus de dévelppement - Cnfiguratin des serveurs web - Sécurité des CMS - Sécurisatin des bases de dnnées en envirnnement WEB 39
AUDIT DE CODE - 2 JOURS Ce mdule peut être un mdule cmplémentaire aux mdules de 3j "Sécurité des applicatins Java,.NET u web" pur cnstituer une frmatin en 5j "Sécurité et audit des applicatins". Durée : 14 heures Prfils des participants : Auditeur, Dévelppeur, Chef de prjet, Analyste sécurité, Cnsultant qualité / méthde, Vus suhaitez acquérir les cmpétences vus permettant de pilter u de mener des audits et revues de cde, en tant qu auditeur, dévelppeur, chef de prjet u cnsultant qualité / méthde. Cette frmatin prpse de décrire de manière détaillée les démarches et méthdlgies, les techniques et bnnes pratiques, les pièges à éviter, les référentiels à utiliser pur les audits et revues de cde. Cette frmatin prpse également de mettre en pratique ces différents éléments sur des exemples cncrets. Les bjectifs snt ntamment : - De puvir rganiser, pilter et mener des audits / revues de cde efficacement ; - De savir cmprendre, apprécier, interpréter, expliquer et restituer les résultats d un audit de cde, avec un maximum de pertinence vis-à-vis des risques. Cette frmatin se cmpse d une présentatin détaillée des différents cncepts de dévelppement sécurisé et d exercices pratiques appliqués à des exemples cncrets. Un pste de travail est nécessaire pur réaliser les travaux pratiques. Jur 1 - Intrductin / rappel Principales vulnérabilités dans les applicatins (injectin, buffer-verflw ) Principaux mécanismes de sécurité : cntrôle d accès, gestin des sessins, etc. - Démarche et utils d audit de cde Définitin du référentiel sécurité (ANSSI, OWASP ) Analyse qualitative et cartgraphique des cmpsants (métriques et utils) Analyse statique du cde Analyse dynamique du cde Jur 2 - Démarche et utils d audit de cde (suite) Relecture manuelle Classificatin des vulnérabilités retenues Evaluatin des cntremesures Reprting - Exercices pratiques : utilisatin de Snar, Findbugs, RATS, Valgrind sur des cdes surces et des applicatins dans différents langages. 40
Durée : 35 heures ISO 27034 LEAD IMPLEMENTER * - 4.5 JOURS Prfils des participants : Auditeur, Dévelppeur, Chef de prjet, Cnsultant, Architecte, Respnsables d applicatins, Cette frmatin vus permet d acquérir et maitriser les principes et cncepts permettant de dévelpper et d implémenter des applicatins de cnfiance, à un niveau de sécurité acceptable, ntamment en établissant des preuves vérifiables que les applicatins nt atteint et maintenu le niveau de cnfiance visé, tel que spécifié dans l ISO 27034. L ISO 27034 furnit un cadre de référence, sus frme de guide, permettant aux rganisatins de spécifier, sélectinner et implémenter des mesures de sécurité de l infrmatin aux myens de prcessus intégrés tut au lng du cycle de vie des applicatins. Ce curs s adresse : - Aux chefs de prjet, cnsultants, architectes, et respnsables sécurité intervenant dans l implémentatin de la sécurité dans le prcessus de gestin de prjet et le cycle de dévelppement des applicatins, - Aux auditeurs qui veulent cmprendre le prcessus d implémentatin de la sécurité d une applicatin seln l iso27034, - Aux chefs de prjets, analystes-prgrammeurs, dévelppeurs, et tut acteur du cycle de vie de dévelppement des applicatins, - Aux respnsables d applicatins, directeurs et managers impliqués dans les prcessus IT, Jur 1 : Intrductin à la gestin de la sécuri té applicative seln l ISO 27034 - Intrductin à la sécurité d une applicatin - Présentatin des standards ISO 27034-1, ISO 27034-2, ISO 27034-3, ISO 27034-4, ISO 27034-5, ISO 27034-6 - Définitins, cncepts, principes et prcessus impliqués dans la sécurité d une applicatin Jur 2 : Implémentatin de la sécurité d une applicatin seln l ISO 27034 - Cadre nrmatif de l rganisatin - Définitin du périmètre de la sécurité d une applicatin - Relatins et appui à la mise en œuvre des prcessus de gestin de la sécurité d une applicatin - Implémentatin de l ISO 27034 et intégratin dans les prcessus existants - Évaluatin des risques liés à la sécurité d une applicatin - Réalisatin, pératin et validatin de l applicatin de la sécurité tut au lng de sn cycle de vie - Dévelppement de la validatin de la sécurité d une applicatin - Ébauche du prcessus de certificatin Jur 3 : Prtcles et structure de dnnées des cntrôles de sécurité applicative - Exigences et descriptin d une structure de dnnées des cntrôles de sécurité applicative - Schéma XML basé sur l ISO/TS 15000 : Cmmerce électrnique en langage de balisage extensible (ebxml) - Faciliter l implémentatin de l ISO 27034 - Cmmunicatin et échange des cntrôles de sécurité d une applicatin - Mise en place de librairies des fnctins de la sécurité d une applicatin - Prvisinnement et explitatin de l applicatin Jur 4 : Pratique de sécurité pur des cas spécifiques d applicatins - Mesures de sécurité d une applicatin seln l ISO 27034 - Dévelppement des métriques, des indicateurs de perfrmance et des tableaux de brd d après l ISO 27034 - Audits internes ISO 27034 - Revue de la sécurité d une applicatin - Implémentatin d un prgramme d améliratin cntinue - Préparatin à l audit de certificatin ISO 27034 Jur 5 : Examen de certificatin - Examen «Certified ISO/IEC 27034 Lead Implementr» (3 heures) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 41
Durée : 14 heures ISO 27034 LES FONDAMENTAUX * - 2 JOURS Prfils des participants : Auditeur, Dévelppeur, Chef de prjet, Cnsultant, Architecte, Respnsables d applicatins, Ce curs permet d appréhender les cncepts, principes et bnnes pratiques de gestin de la sécurité applicative, telles que définies dans l ISO 27034. La sécurité d une applicatin s applique au lgiciel lui-même et aux facteurs qui impactent la sécurité, tels que les dnnées, la technlgie, les prcessus du cycle de vie du dévelppement des applicatins, les prcessus de supprts et les acteurs, et s applique aux rganisatins de tute taille et de tut type (entreprise, cmmerce, agence guvernementale, rganisatin à but nn lucratif, etc.). L ISO 27034 furnit un cadre de référence, sus frme de guide, permettant aux rganisatins de spécifier, sélectinner et implémenter des mesures de sécurité de l infrmatin aux myens de prcessus intégrés tut au lng du cycle de vie des applicatins Ce curs s adresse à tut acteur désireux de cmprendre les cncepts, principes et bnnes pratiques de gestin de la sécurité dans les prjets et le cycle de dévelppement des applicatins : auditeurs, chefs de prjet, analystes, dévelppeurs, cnsultants, architectes, RSSI, managers, Jur 1 - Intrductin à la sécurité d une applicatin et au prcessus d apprche - Présentatin des standards ISO 27034-1, ISO 27034-2, ISO 27034-3, ISO 27034-4, ISO 27034-5, ISO 27034-6 et du cadre réglementaire - Principes fndamentaux de la sécurité d une applicatin - Aperçu et cncepts de la sécurité d une applicatin - Définitins, cncepts, principes et prcessus impliqués dans la sécurité d une applicatin Jur 2 - Réalisatin, pératin et validatin de l applicatin de la sécurité tut au lng de sn cycle de vie - Dévelppement de la validatin de la sécurité d une applicatin - Techniques de sécurisatin d une applicatin - Métriques, indicateurs tableaux de brd - Revue de la sécurité d une applicatin - Examen de «Certified ISO/IEC 27034 Fundatin» (1 heure) Cet examen est dispnible en Français et dans plusieurs autres langues. Les candidats qui n btiennent pas un scre suffisant nt la pssibilité de le repasser dans les 12 mis qui suivent sans frais supplémentaire. 42
AUTRES FORMATIONS 43
SECURITE SYSTEMES CRITIQUES (SCADA, ICS, ) - 2 JOURS Durée : 14 heures Prfils des participants : Cnsultant, RSSI, Chef de prjet, Architecte, Vus suhaitez acquérir les cnnaissances permettant d appréhender la sécurité des systèmes critiques (systèmes embarquées, systèmes industriels, SCADA, ) sus plusieurs angles (risques, sécurisatin, audit, ). Cette frmatin prpse, à partir de la descriptin de différents types de systèmes critiques, illustrés de 3 exemples cncrets (système embarqué aérnautique, système sl spatial, système industriel de prductin) issus directement de ns returs d expérience, d abrder les différents aspects de la sécurité de ces systèmes (risques, mesures techniques, ) à tus les stades de leur cycle de vie (cnceptin, dépliement, mise en œuvre, explitatin, ). Cette frmatin dérule une étude de cas cmplète pur chacun des 3 exemples cncrets précités, permettant d abrder ntamment les thématiques spécifiques suivantes : réalisatin d une analyse des vulnérabilités (SVA), sécurisatin d un système déprté (ex : Antenne), sécurisatin d un système auquel l attaquant à un accès physique «cmplet», chiffrement de cde exécutable, maintien et mise à jur des systèmes (antivirus, patch, ), sécurisatin des interfaces d accès utilisateurs (IHM), audit et revue de cde, Les bjectifs snt ntamment de : - Dispser des cmpétences et aptitudes nécessaires pur intervenir sur des prjets liés à la sécurité des systèmes critiques (audit / état des lieux et sécurisatin de systèmes existants, cnceptin de systèmes, ) ; - Cnnaitre et cmprendre les principaux risques et mesures de sécurité assciés à ces systèmes. Cette frmatin purra utilement être cmplétée par une des frmatins sur les critères cmmuns pur apprfndir les cnnaissances méthdlgiques utiles à une participatin active à ce type de prjet. NB : Chaque thème abrdé dans le plan de curs est décliné spécifiquement pur chacun des 3 exemples cncrets : 1 système embarqué aérnautique, 1 système sl spatial, 1 système industriel de prductin Intrductin - Définitin, principes, mdes de fnctinnement - Caractéristiques (cntraintes) des systèmes critiques et impacts en sécurité de l infrmatin : absence de prtectin physique, limitatin des pssibilités de mise à jur, durée de vie, technlgies prpriétaires, - Exercice : applicatin aux 3 systèmes critiques Identificatin / évaluatin des risques - Méthdlgie et référentiels : critères cmmuns, CWE, - Exercice : Applicatin aux 3 systèmes critiques Traitement des risques - Mesures d assurance appliquées au cycle de vie : analyse de vulnérabilités (SVA), analyse de COTS, audit / revue de cde, tests de rbustesse, dcumentatin, - Mesures techniques : chix du système, hardening, islatin, sécurisatin du cde, sécurisatin des briques prpriétaires, vérificatin d intégrité, - Mesures rganisatinnelles : séparatin des rôles (dévelppement, installatin, ), dcumentatin (manuels, guides, ) - Exercice : applicatin aux 3 systèmes critiques Tests, implantatin et explitatin - Stratégies de tests : recette, tests de rbustesse, tests d intrusin, - Sécurisatin de l implantatin et du dépliement du système - Sécurité de l explitatin : maintien et tests du niveau de sécurité, suivi des vulnérabilités, changement des secrets, 44
CISSP (CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL) - 5 JOURS Durée : 35 heures Prfils des participants : Cnsultant, RSSI, Ingénieur SSI Vus suhaitez abrder l ensemble des cncepts nécessaires à l btentin de la certificatin CISSP (Certified Infrmatin Systems Security Prfessinal) tels que définis par l ISC² dans le CBK (Cmmn Bdy f Knwledge), de manière accélérée mais rigureuse. La frmatin CISSP, présentée par un cllectif de prfessinnels spécialistes des dmaines sur lesquels ils interviennent, permet, grâce à un apprt thérique et à une préparatin aux questins types d examen sus frme de quizz, de cuvrir l ensemble des ntins cmpsant les 10 dmaines de sécurité. Les bjectifs snt de : - Passer en revue l ensemble des cnnaissances des 10 dmaines de sécurité qui cmpsent le CBK défini par l ISC 2 ; - Préparer le participant grâce à des quizz de même frmat que les questins psées lrs de l examen de certificatin CISSP. Jur 1 : Dmaines 1 & 4 du CBK - Guvernance de la et Gestin du risque [Infrmatin Security Gvernance and Risk Management] - Sécurité Physique et Envirnnementale [Physical and Envirnmental Security] Jur 2 : Dmaines 5 & 2 du CBK - Architectures et mdèles de sécurité [Security Architecture and Design] - Cntrôle d accès [Access Cntrl] Jur 3 : Dmaines 3 & 9 du CBK - Cryptgraphie [Cryptgraphy] - Sécurité des pératins [Security Operatins] Jur 4 : Dmaine 7 du CBK - Sécurité des télécmmunicatins et des réseaux [Telecmmunicatins and Netwrk Security] Jur 5 : Dmaines 8, 6 et 10 du CBK - Sécurité des Applicatins et du Dévelppement Lgiciel [Sftware Develpment Security] - Plan de Cntinuité d Activité et Reprise après Sinistre [Business Cntinuity and Disaster Recvery Planning] - Drit, Règlementatins, Investigatins et Cnfrmité [Legal, Regulatins, Investigatins, and Cmpliance] 45
CISA (CERTIFIED INFORMATION SYSTEMS AUDITOR) - 5 JOURS Durée 35 heures Prfils des participants : Cnsultant, RSSI, Ingénieur SSI Vus suhaitez vus préparer de manière accélérée mais rigureuse à l examen du Certified Infrmatin Systems Auditr (CISA ), en cuvrant l ensemble du CBK (Cmmn Bdy f Knwledge), trnc cmmun de cnnaissances en sécurité défini par l ISACA (Infrmatin Systems Audit and Cntrl Assciatin). Le CBK inclut les cnnaissances dans les 6 dmaines suivants : prcessus d audit des SI, guvernance des SI, gestin du cycle de vie des systèmes et de l infrastructure, furniture et supprt des services, prtectin des avirs infrmatiques et plan de cntinuité et plan de securs infrmatique. Tut au lng de la semaine, les participants snt invités à répndre à des questins similaires à celles de l examen fficiel. Les bjectifs snt de : - Acquérir les cnnaissances nécessaires à la réussite de l examen du CISA ; - Maîtriser les cnnaissances et cncepts de base de l audit des SI et liés à la cnceptin et à la gestin des SI ; - Acquérir les cnnaissances nécessaires pur cnseiller une rganisatin sur les meilleures pratiques en audit des SI. Jur 1 : Prcessus d Audit des SI & guvernance des SI - Prcessus d audit des SI - Guvernance des systèmes d infrmatin Jur 2 : Gestin du cycle de vie des systèmes et des infrastructures - Gestin des prjets infrmatiques - Méthdlgies de cnceptin d applicatins - Cntrôles d applicatins - Audit des applicatins Jur 3 : Cntinuité des activités & livraisn et sutien des services TI - Cntinuité des pératins et reprise après sinistre - Livraisn et sutien des services TI Jur 4 : Prtectin des actifs infrmatinnels - Sécurité de l infrmatin - Cntrôles d accès - Sécurité de l infrastructure réseau - Sécurité physique et cntrôles envirnnementaux Jur 5 : dmaines 8, 9 et 10 du CBK - Examen blanc (examen cmplet avec 200 questins en 4 heures) - Crrectin de l examen et révisins 46
APPREHENDER PCI-DSS - 1 JOUR Durée : 7 heures Prfils des participants : Cnsultant, RSSI, Vus suhaitez cmprendre et appréhender les cncepts, exigences et mdalités de mise en cnfrmité relatifs au standard PCI-DSS et PA-DSS. Cette frmatin prpse : - de décrire le cntexte dans lequel s inscrit ce standard, ntamment en termes de menaces, risques, fraudes et respnsabilités liés aux manipulatins de dnnées «Cartes Bancaires» ; - de présenter les différents acteurs (PCI-Cuncil, QSA, Furnisseurs de prduits Organismes de gestin des cartes bancaires, banques, cmmerçants, ) et le fnctinnement du prcessus de certificatin ; - de détailler les différents cas de figure pur lesquels le standard s applique u pas ; - d expliciter les différentes exigences du standard PCI-DSS et de présenter les différents myens de mise en œuvre à partir d exemples cncrets. Cntexte - Acteurs et fnctinnement du système «Cartes Bancaires» - Menaces, risques, fraudes, respnsabilités - Les répnses apprtées par PCI-DSS Le référentiel PCI-DSS - Dnnées cncernées : PAN, Nm du prteur, Date d expiratin, PIN, CVC, - Exigences spécifiques prtant sur le PAN et les dnnées - Champs d applicatin et critères de définitin : Segmentatin réseau, Sans-fils, Utilisatin de services tiers, Externalisatin - Apprche prcessus - Mesures cmpensatires - Présentatin et exercices (étude de cas) sur les 6 thèmes et 12 dmaines d exigences : Mettre en œuvre et gérer des réseaux et systèmes sécurisés Prtéger les dnnées Cartes Bancaires Prcessus de gestin des vulnérabilités Assurer un cntrôle d accès renfrcé Superviser et tester régulièrement Gérer un plitique de sécurité de l infrmatin - Exigences additinnelles pur les services d hébergement mutualisés Les prjets PCI-DSS - Les différents cas de figure : Organismes bancaires «Marchands» Tiers - Prcessus d évaluatin de la cnfrmité en 6 étapes - Returs d expérience, bnnes pratiques et pièges à éviter 47
MISE EN ŒUVRE DU RGS V2-2 JOURS Durée : 14 heures Prfils des participants : DGS, DSI, RSSI, Vus suhaitez cmprendre les enjeux, les risques et les bjectifs du RGS, appréhender les cncepts de sécurité nécessaires et adpter une démarche de mise en œuvre du RGS dans sa versin 2. Cette frmatin prpse : - de décrire le cntexte dans lequel s inscrit ce référentiel, ntamment en termes de menaces, risques et respnsabilités liés aux échanges électrniques de la sphère publique ; - de détailler les évlutins entre la versin 1 et la versin 2 ; - de prpser une méthdlgie de mise en œuvre ; - de présenter les différents myens de mise en œuvre à partir d exemples cncrets ; - d anticiper sur les évlutins vers la versin 3 (règlementatin eurpéenne) Cntexte - Acteurs et enjeux du Référentiel Général de Sécurité - Périmètres cncernés - Menaces, risques et respnsabilités - Les répnses apprtées par le RGS Le référentiel RGS V2 - Thématiques principales du RGS Principes fndateurs Evlutins entre la versin V1 -> V2 Cycle de vie de la sécurité des Systèmes d Infrmatin Hmlgatin Matériels, prestatins et prestataires Le prjet RGS - Mise en œuvre et maintien du RGS Méthdlgie Stratégie d hmlgatin (périmètre, cntributeurs, dcuments) Gestin des risques (Analyse, audit, cuverture des risques) Mise en œuvre des mesures de sécurité Suivi cntinu (PDCA) Préparer et gérer les hmlgatins et certificatins Les myens de mise en œuvre Le maintien en cnditin de sécurité Présentatin et exercices (étude de cas) - Cmment se préparer aux évlutins futures impsées par la réglementatin eurpéenne en versin 3 48