Réaliser des tests d’intrusion (Sécurité Pentesting)
Le test d’intrusion ou de pénétration est une pratique utilisée dans le domaine de la cybersécurité par des professionnels qualifiés appelés « Pen Testers ». Leur mission consiste à simuler des cyber-attaques sur des systèmes informatiques, des réseaux, des applications ou d’autres dispositifs afin d’identifier les vulnérabilités et les faiblesses.
En suivant cette formation aux tests d’intrusion, vous acquerrez les compétences et les connaissances nécessaires pour identifier les vulnérabilités, évaluer les risques et renforcer la défense des systèmes informatiques. Vous découvrirez et comprendrez l’environnement, les différentes menaces, les types d’attaques et les outils du pentester. De plus, cette formation vous permettra de mettre en pratique ce que vous avez appris, à travers une épreuve qui vous conduira à l’obtention de la certification professionnelle, réaliser des tests d’intrusion (Sécurité Pentesting).
Peu importe que vous soyez un professionnel de la sécurité informatique débutant ou un technicien, cette formation est indispensable pour toute entreprise qui souhaite protéger ses actifs numériques, répondre aux exigences règlementaires et garder une longueur d’avance sur l’évolution des cybermenaces.
Objectifs
A l’issue de la formation sécurité pentesting, vous atteindrez les objectifs suivants :
- comprendre les principes et l'environnement d'un pentester ;
- connaitre les différents types de menaces et d'attaques qui existent ainsi que les solutions pour y faire face ;
- découvrir et comprendre les 4 processus d'une attaque informatique ;
- identifier les enjeux et les contraintes des tests de pénétration, afin de pouvoir définir des scénarios possibles et obtenir l'accord du législateur ;
- mettre en œuvre une méthode de test de pénétration claire et reproductible, afin de pouvoir fournir des éléments comparables dans chaque approche ;
- concevoir et modifier des outils de test de pénétration pour répondre à différentes exigences relatives aux tests ;
- identifier des vulnérabilités en effectuant plusieurs phases de tests de pénétration citées dans les enjeux initiaux, afin de mieux détecter les faiblesses des organisations ;
- rédiger un rapport sur les vulnérabilités identifiées avec un plan d'action contenant des mesures de sécurité qui permettront aux organisations de résoudre leur problème ;
-
décrocher la certification « Réaliser des tests d’intrusion (Sécurité Pentesting) ».
Programme
Jour 1 : comprendre l'environnement
- Terminologie et culture générale :
- le jargon du pentester ;
- les hacks et les hackers les plus célèbres ;
- la virtualisation.
- Sécurité des systèmes d’information :
- les vulnérabilités ;
- les menaces ;
- les risques ;
- la véracité ;
- la gravité.
- 5 phases d’une attaque :
- la reconnaissance ;
- le scan de vulnérabilités ;
- l'obtention de l'accès ;
- le maintient de l’accès ;
- l'effacement des traces.
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 2 : connaitre les types de menaces et les contre-mesures
- Malwares :
- le trojan (cheval de Troie) ;
- le backdoor (porte dérobée) ;
- le virus ;
- le ver informatique.
- Dénis de service :
- l'attaque DoS ;
- l'attaque DDoS ;
- l'attaque DrDoS.
- Ingénierie sociale :
- le phishing (hameçonnage) ;
- le spearphishing (hameçonnage ciblé) ;
- les Google Dorks (Google hacking).
- Cryptographie :
- le chiffrement symétrique ;
- le chiffrement asymétrique ;
- les certificats de chiffrement.
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 3 : connaitre les différents types d'attaque
- Attaques des réseaux :
- les réseaux sans fils (WiFi) ;
- les réseaux filaires ;
- le spoofing.
- Attaques des systèmes :
- l'emprunt de l'identité ;
- le vol de session ;
- l'escalade de privilèges.
- Attaques des serveurs web :
- le concept de serveur web ;
- les contremesures ;
- la méthodologie des attaques
- Attaques des applications Web :
- le concept d’application Web ;
- les API Web, les WebHooks et les Web shell ;
- la méthodologie des attaques.
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 4 : comprendre les 4 processus d'une attaque
- Reconnaissance :
- les outils.
- Prise d’empreinte :
- le scan.
- Enumération :
- le scan approfondi.
- L’analyse
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 5 : travaux pratiques
Les mains dans le cambouis
Le but de cet exercice est de détecter le plus grand nombre possible de failles de sécurité et de rédiger un rapport. Une machine virtuelle sous Linux sera mise à votre disposition et vous disposerez de 4 heures au maximum pour effectuer cette tâche.
Prérequis
Suivre la formation sécurité pentesting nécessite les prérequis suivants :
- être passionné par la sécurité informatique et avoir acquis une première expérience dans ce domaine ;
- avoir des connaissances sur différents systèmes d'exploitation (Windows, Linux, etc.).
Public
Cette formation s'adresse aux publics suivants :
- tous les professionnels de l'informatique débutants ou experts, tels que les pentesters, les ingénieurs en cybersécurité, les administrateurs système et les RSSI.
Points forts
Certification
Cette formation permet d'obtenir la certification « Réaliser des tests d'intrusion (Sécurité Pentesting) », enregistrée par France Compétences sous le numéro RS6092. Destinée aux professionnels de la sécurité informatique, elle prouve que vous êtes capable de réaliser des tests d'intrusion.
Pour recevoir cette certification, vous devez passer une épreuve pratique lors de la dernière journée de formation. Un score minimum de 70 est nécessaire pour valider toutes les compétences exigées.
Objectifs
A l’issue de la formation sécurité pentesting, vous atteindrez les objectifs suivants :
- comprendre les principes et l'environnement d'un pentester ;
- connaitre les différents types de menaces et d'attaques qui existent ainsi que les solutions pour y faire face ;
- découvrir et comprendre les 4 processus d'une attaque informatique ;
- identifier les enjeux et les contraintes des tests de pénétration, afin de pouvoir définir des scénarios possibles et obtenir l'accord du législateur ;
- mettre en œuvre une méthode de test de pénétration claire et reproductible, afin de pouvoir fournir des éléments comparables dans chaque approche ;
- concevoir et modifier des outils de test de pénétration pour répondre à différentes exigences relatives aux tests ;
- identifier des vulnérabilités en effectuant plusieurs phases de tests de pénétration citées dans les enjeux initiaux, afin de mieux détecter les faiblesses des organisations ;
- rédiger un rapport sur les vulnérabilités identifiées avec un plan d'action contenant des mesures de sécurité qui permettront aux organisations de résoudre leur problème ;
-
décrocher la certification « Réaliser des tests d’intrusion (Sécurité Pentesting) ».
Programme
Jour 1 : comprendre l'environnement
- Terminologie et culture générale :
- le jargon du pentester ;
- les hacks et les hackers les plus célèbres ;
- la virtualisation.
- Sécurité des systèmes d’information :
- les vulnérabilités ;
- les menaces ;
- les risques ;
- la véracité ;
- la gravité.
- 5 phases d’une attaque :
- la reconnaissance ;
- le scan de vulnérabilités ;
- l'obtention de l'accès ;
- le maintient de l’accès ;
- l'effacement des traces.
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 2 : connaitre les types de menaces et les contre-mesures
- Malwares :
- le trojan (cheval de Troie) ;
- le backdoor (porte dérobée) ;
- le virus ;
- le ver informatique.
- Dénis de service :
- l'attaque DoS ;
- l'attaque DDoS ;
- l'attaque DrDoS.
- Ingénierie sociale :
- le phishing (hameçonnage) ;
- le spearphishing (hameçonnage ciblé) ;
- les Google Dorks (Google hacking).
- Cryptographie :
- le chiffrement symétrique ;
- le chiffrement asymétrique ;
- les certificats de chiffrement.
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 3 : connaitre les différents types d'attaque
- Attaques des réseaux :
- les réseaux sans fils (WiFi) ;
- les réseaux filaires ;
- le spoofing.
- Attaques des systèmes :
- l'emprunt de l'identité ;
- le vol de session ;
- l'escalade de privilèges.
- Attaques des serveurs web :
- le concept de serveur web ;
- les contremesures ;
- la méthodologie des attaques
- Attaques des applications Web :
- le concept d’application Web ;
- les API Web, les WebHooks et les Web shell ;
- la méthodologie des attaques.
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 4 : comprendre les 4 processus d'une attaque
- Reconnaissance :
- les outils.
- Prise d’empreinte :
- le scan.
- Enumération :
- le scan approfondi.
- L’analyse
Exercice d'évaluation : QCM de 20 à 40 questions (entre 30 et 60 minutes).
Jour 5 : travaux pratiques
Les mains dans le cambouis
Le but de cet exercice est de détecter le plus grand nombre possible de failles de sécurité et de rédiger un rapport. Une machine virtuelle sous Linux sera mise à votre disposition et vous disposerez de 4 heures au maximum pour effectuer cette tâche.
Prérequis
Suivre la formation sécurité pentesting nécessite les prérequis suivants :
- être passionné par la sécurité informatique et avoir acquis une première expérience dans ce domaine ;
- avoir des connaissances sur différents systèmes d'exploitation (Windows, Linux, etc.).
Public
Cette formation s'adresse aux publics suivants :
- tous les professionnels de l'informatique débutants ou experts, tels que les pentesters, les ingénieurs en cybersécurité, les administrateurs système et les RSSI.
Points forts
Certification
Cette formation permet d'obtenir la certification « Réaliser des tests d'intrusion (Sécurité Pentesting) », enregistrée par France Compétences sous le numéro RS6092. Destinée aux professionnels de la sécurité informatique, elle prouve que vous êtes capable de réaliser des tests d'intrusion.
Pour recevoir cette certification, vous devez passer une épreuve pratique lors de la dernière journée de formation. Un score minimum de 70 est nécessaire pour valider toutes les compétences exigées.
Le délai d’inscription dépend de la formation et vous sera notifié par votre conseiller Oo2