Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
Les systèmes de contrôle industriel ICS, appelés SCADA, contrôlent les infrastructures critiques de la société depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout.
Avec la généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique, les télémaintenances et l'utilisation d'Internet, et avec la migration de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses.
Les approches habituelles de la SSI ne peuvent s'appliquer telles quelles sur les systèmes de contrôle industriel, il faut comprendre le métier et les problématiques, savoir dialoguer avec les automaticiens, et connaître et comprendre les normes propres au monde industriel.
Cette formation SCADA propose une approche pragmatique, pratique et complète du sujet. Elle vous permettra d'une part d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer une politique de cyber-sécurité SCADA.
A l'issue de ce cours, vous disposerez des éléments techniques pour appréhender les systèmes SCADA, les menaces et leurs vulnérabilités.
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
Seminaire sécurité 2016-v0
Comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?
Concepts de base de système d'information et de la sécurité des systèmes d'information (pilliers de base, principes, aspects et techniques)
Tests d'Intrusion : usage pour l'analyse de risque, Solutions, outils et architectures de sécurité
Etudes de case pratriques sur des maquettes réels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
Les systèmes de contrôle industriel ICS, appelés SCADA, contrôlent les infrastructures critiques de la société depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout.
Avec la généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique, les télémaintenances et l'utilisation d'Internet, et avec la migration de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses.
Les approches habituelles de la SSI ne peuvent s'appliquer telles quelles sur les systèmes de contrôle industriel, il faut comprendre le métier et les problématiques, savoir dialoguer avec les automaticiens, et connaître et comprendre les normes propres au monde industriel.
Cette formation SCADA propose une approche pragmatique, pratique et complète du sujet. Elle vous permettra d'une part d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer une politique de cyber-sécurité SCADA.
A l'issue de ce cours, vous disposerez des éléments techniques pour appréhender les systèmes SCADA, les menaces et leurs vulnérabilités.
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
Seminaire sécurité 2016-v0
Comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?
Concepts de base de système d'information et de la sécurité des systèmes d'information (pilliers de base, principes, aspects et techniques)
Tests d'Intrusion : usage pour l'analyse de risque, Solutions, outils et architectures de sécurité
Etudes de case pratriques sur des maquettes réels
Formations sécurité informatique
Certifications sécurité informatique
AKAOMA Consulting vous propose différents cursus et cours de formation en sécurité informatique selon vos besoins. Consultez notre liste, accédez à des descriptions détaillées sur notre site internet.
Bonne formation! ;-)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
La formation Logpoint « le guide complet »est une formation sur les produits de pointe axée sur des fonctionnalités faciles à appliquer et qui permettra de bien maitrisé et gérer la solution en toute fluidité ainsi vous donnera une idée plus vaste sur le SIEM et qu’est ce qu’il peut offrir comme fonctionnalité pour compléter les couches de sécurités dans un organisme . Le programme de formation LogPoint offre toutes les capacités de gestion de l'information et des événements tout au long de votre solution et de ses applications.
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
Présentation sur le cycle de vie du Secure Software Development Life Cycle (SSDLC). Threat modeling, revue d'architecture, analyse statique, analyse dynaique, OWASP ASVS, OpenSAMM, etc.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Slides du meetup devops aix-marseille d'ocotbre 2023Frederic Leger
Pour ce mois d'octobre, nous vous avons préparé un programme que nous espérons incroyable :
- La sécurité Kube à tous les étages par Hervé Fontbonne, consultant Cloud et DevOps (Les Filles & Les Garçons de la Tech)
- Des superpouvoirs dans kube par Matthis Holleville, Principal Cloud Engineer (Agicap) et mainteneur du projet k8sgpt.ai
Ces présentations seront suivies d'un rapide jeu et du traditionnel apéro !
Merci encore une fois à FGTech de nous accueillir pour cet événement
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
L'intrusion de malwares dans le système d’informations d'une entreprise peut paralyser son activité, causer la fuite d'informations, ou même conduire à la perte de sommes importantes.
Il est donc important de connaître le fonctionnement de ces applications malfaisantes afin de les identifier, les analyser et mettre en place les contremesures nécessaires.
Cette formation d'obtenir une vision panoramique de l'analyse de malware et de pouvoir mettre en pratique ces connaissances en situation réelle.
Plus précisément, dan cette deuxième partie, nous allons pouvoir appréhender l’analyse dynamique de Malwares pour une meilleur compréhension de ces derniers.
Nous verrons aussi comment automatiser toutes nos tâches d’analyse via une Sandbox pour une efficience maximal et, pour terminer, nous allons découvrir l’analyse de Malwares et ses spécifiés sur des systèmes Linux et sous Android avec deux use cases avancés.
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
La sécurité informatique et en particulier la sécurité des applications web est un sujet abordé le plus souvent par l’expertise technique.
Cette expertise requise pour gérer au quotidien les menaces web est assez élevée et est souvent dispersée au sein de l’entreprise.
Cependant, il existe au quotidien énormément de domaines dans lesquels la sécurité et l’analyse des risques ne repose pas sur cette expertise mais sur une analyse contextuelle.
Nous verrons comment ce genre d’analyse peut s’adapter, via de nouveaux moteurs de détections d’intrusions, aux applications web et peut permettre d’analyser et comprendre une menace sans se baser sur des éléments techniques.
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONJUNIOR SORO
Ce cours est une introduction & initiation à la reconnaissance informatique qui est une base primordiale pour toutes formes d’intrusions ou de tests, d’audit sur un système d’information.
Formations sécurité informatique
Certifications sécurité informatique
AKAOMA Consulting vous propose différents cursus et cours de formation en sécurité informatique selon vos besoins. Consultez notre liste, accédez à des descriptions détaillées sur notre site internet.
Bonne formation! ;-)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
La formation Logpoint « le guide complet »est une formation sur les produits de pointe axée sur des fonctionnalités faciles à appliquer et qui permettra de bien maitrisé et gérer la solution en toute fluidité ainsi vous donnera une idée plus vaste sur le SIEM et qu’est ce qu’il peut offrir comme fonctionnalité pour compléter les couches de sécurités dans un organisme . Le programme de formation LogPoint offre toutes les capacités de gestion de l'information et des événements tout au long de votre solution et de ses applications.
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
Présentation sur le cycle de vie du Secure Software Development Life Cycle (SSDLC). Threat modeling, revue d'architecture, analyse statique, analyse dynaique, OWASP ASVS, OpenSAMM, etc.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Slides du meetup devops aix-marseille d'ocotbre 2023Frederic Leger
Pour ce mois d'octobre, nous vous avons préparé un programme que nous espérons incroyable :
- La sécurité Kube à tous les étages par Hervé Fontbonne, consultant Cloud et DevOps (Les Filles & Les Garçons de la Tech)
- Des superpouvoirs dans kube par Matthis Holleville, Principal Cloud Engineer (Agicap) et mainteneur du projet k8sgpt.ai
Ces présentations seront suivies d'un rapide jeu et du traditionnel apéro !
Merci encore une fois à FGTech de nous accueillir pour cet événement
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
L'intrusion de malwares dans le système d’informations d'une entreprise peut paralyser son activité, causer la fuite d'informations, ou même conduire à la perte de sommes importantes.
Il est donc important de connaître le fonctionnement de ces applications malfaisantes afin de les identifier, les analyser et mettre en place les contremesures nécessaires.
Cette formation d'obtenir une vision panoramique de l'analyse de malware et de pouvoir mettre en pratique ces connaissances en situation réelle.
Plus précisément, dan cette deuxième partie, nous allons pouvoir appréhender l’analyse dynamique de Malwares pour une meilleur compréhension de ces derniers.
Nous verrons aussi comment automatiser toutes nos tâches d’analyse via une Sandbox pour une efficience maximal et, pour terminer, nous allons découvrir l’analyse de Malwares et ses spécifiés sur des systèmes Linux et sous Android avec deux use cases avancés.
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
La sécurité informatique et en particulier la sécurité des applications web est un sujet abordé le plus souvent par l’expertise technique.
Cette expertise requise pour gérer au quotidien les menaces web est assez élevée et est souvent dispersée au sein de l’entreprise.
Cependant, il existe au quotidien énormément de domaines dans lesquels la sécurité et l’analyse des risques ne repose pas sur cette expertise mais sur une analyse contextuelle.
Nous verrons comment ce genre d’analyse peut s’adapter, via de nouveaux moteurs de détections d’intrusions, aux applications web et peut permettre d’analyser et comprendre une menace sans se baser sur des éléments techniques.
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONJUNIOR SORO
Ce cours est une introduction & initiation à la reconnaissance informatique qui est une base primordiale pour toutes formes d’intrusions ou de tests, d’audit sur un système d’information.
Support des stagiaires Mehdi, Iskander et Christopher de la session "Expert sécurité digitale 5" de l'école Aston.
Cette exercice permet à pour objectif la création d'un botnet afin de comprendre les mécanismes pour mieux s'en défendre.
Les supports et vidéos sont accessibles sur le https://expertsecuritedigitale.blogspot.fr/
Cycle de Formation Théâtrale 2024 / 2025Billy DEYLORD
Pour la Saison 2024 / 2025, l'association « Le Bateau Ivre » propose un Cycle de formation théâtrale pour particuliers amateurs et professionnels des arts de la scène enfants, adolescents et adultes à l'Espace Saint-Jean de Melun (77). 108 heures de formation, d’octobre 2024 à juin 2025, à travers trois cours hebdomadaires (« Pierrot ou la science de la Scène », « Montage de spectacles », « Le Mime et son Répertoire ») et un stage annuel « Tournez dans un film de cinéma muet ».
Impact des Critères Environnementaux, Sociaux et de Gouvernance (ESG) sur les...mrelmejri
J'ai réalisé ce projet pour obtenir mon diplôme en licence en sciences de gestion, spécialité management, à l'ISCAE Manouba. Au cours de mon stage chez Attijari Bank, j'ai été particulièrement intéressé par l'impact des critères Environnementaux, Sociaux et de Gouvernance (ESG) sur les décisions d'investissement dans le secteur bancaire. Cette étude explore comment ces critères influencent les stratégies et les choix d'investissement des banques.
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24BenotGeorges3
Les informations et évènements agricoles en province du Luxembourg et en Wallonie susceptibles de vous intéresser et diffusés par le SPW Agriculture, Direction de la Recherche et du Développement, Service extérieur de Libramont.
Le fichier :
Les newsletters : https://agriculture.wallonie.be/home/recherche-developpement/acteurs-du-developpement-et-de-la-vulgarisation/les-services-exterieurs-de-la-direction-de-la-recherche-et-du-developpement/newsletters-des-services-exterieurs-de-la-vulgarisation/newsletters-du-se-de-libramont.html
Bonne lecture et bienvenue aux activités proposées.
#Agriculture #Wallonie #Newsletter #Recherche #Développement #Vulgarisation #Evènement #Information #Formation #Innovation #Législation #PAC #SPW #ServicepublicdeWallonie
Conseils pour Les Jeunes | Conseils de La Vie| Conseil de La JeunesseOscar Smith
Besoin des conseils pour les Jeunes ? Le document suivant est plein des conseils de la Vie ! C’est vraiment un document conseil de la jeunesse que tout jeune devrait consulter.
Voir version video:
➡https://youtu.be/7ED4uTW0x1I
Sur la chaine:👇
👉https://youtube.com/@kbgestiondeprojets
Aimeriez-vous donc…
-réussir quand on est jeune ?
-avoir de meilleurs conseils pour réussir jeune ?
- qu’on vous offre des conseils de la vie ?
Ce document est une ressource qui met en évidence deux obstacles qui empêchent les jeunes de mener une vie épanouie : l'inaction et le pessimisme.
1) Découvrez comment l'inaction, c'est-à-dire le fait de ne pas agir ou d'agir alors qu'on le devrait ou qu'on est censé le faire, est un obstacle à une vie épanouie ;
> Comment l'inaction affecte-t-elle l'avenir du jeune ? Que devraient plutôt faire les jeunes pour se racheter et récupérer ce qui leur appartient ? A découvrir dans le document ;
2) Le pessimisme, c'est douter de tout ! Les jeunes doutent que la génération plus âgée ne soit jamais orientée vers la bonne volonté. Les jeunes se sentent toujours mal à l'aise face à la ruse et la volonté politique de la génération plus âgée ! Cet état de doute extrême empêche les jeunes de découvrir les opportunités offertes par les politiques et les dispositifs en faveur de la jeunesse. Voulez-vous en savoir plus sur ces opportunités que la plupart des jeunes ne découvrent pas à cause de leur pessimisme ? Consultez cette ressource gratuite et profitez-en !
En rapport avec les " conseils pour les jeunes, " cette ressource peut aussi aider les internautes cherchant :
➡les conseils pratiques pour les jeunes
➡conseils pour réussir
➡jeune investisseur conseil
➡comment investir son argent quand on est jeune
➡conseils d'écriture jeunes auteurs
➡conseils pour les jeunes auteurs
➡comment aller vers les jeunes
➡conseil des jeunes citoyens
➡les conseils municipaux des jeunes
➡conseils municipaux des jeunes
➡conseil des jeunes en mairie
➡qui sont les jeunes
➡projet pour les jeunes
➡conseil des jeunes paris
➡infos pour les jeunes
➡conseils pour les jeunes
➡Quels sont les bienfaits de la jeunesse ?
➡Quels sont les 3 qualités de la jeunesse ?
➡Comment gérer les problèmes des adolescents ?
➡les conseils de jeunes
➡guide de conseils de jeunes
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...M2i Formation
Améliorez l'intégration de vos nouveaux collaborateurs grâce à notre formation flash sur l'onboarding. Découvrez des stratégies éprouvées et des outils pratiques pour transformer l'intégration en une expérience fluide et efficace, et faire de chaque nouvelle recrue un atout pour vos équipes.
Les points abordés lors de la formation :
- Les fondamentaux d'un onboarding réussi
- Les outils et stratégies pour un onboarding efficace
- L'engagement et la culture d'entreprise
- L'onboarding continu et l'amélioration continue
Formation offerte animée à distance avec notre expert Eric Collin
3. 1er Jour :
Le top 10 des risques du WEB selon l’OWASP
Architecture d’une application WEB classique
Le protocole HTTP
Injection SQL, XPath, XXE, LDAP, PHP
Violation de gestion d’authentification et de session (session hijacking, faiblesse des mdp et session)
XSS stocké (stored), XSS Réfléchi (reflected), XSS DOM (Document Object Model)
Références directes non sécurisées à un objet
Les entrées cachées non contrôlés
2ème Jour :
Mauvaise configuration de sécurité
Exposition de données sensibles
Manque de contrôle d’accès au niveau fonctionnel
Local/remote file inclusion (LFI/RFI)
Host Header Attack, User-agent spoofing, SSRF, XSPA
Cross Site Request Forgery (CSRF)
Exploitation de vulnérabilités connues
WPScan , Nikto, OpenVAS, Qualys SSL Labs
Redirections et renvois non validés
3ème Jour :
Pentest en boîte blanche, noire, grise
A l’aide du “testing guide” OWASP vérification des différents points de contrôle.
Utilisation des outils d’automatisation tels que Beef, Burp, Sqlmap
Création d’un rapport d’audit avec modèle
Durée : 3 jours consécutifs (7h/jour)
La sécurité web
Le top 10 OWASP 2017
(attaque et défense)
4. Durée : 3 jours consécutifs (7h/jour)
La sécurité mobile
Le top 10 OWASP 2016
(attaque et défense)
1er Jour :
Le top 10 des risques du Mobile selon l’OWASP
Architecture d’une application Mobile
Installation de la plateforme (NOX + Burp + DIVA)
Utilisation inappropriée des préconisations Android
Découverte d’ADB
Stockage de données sensibles (SQLite, logs, manifest.xml, etc)
Injection SQL
Défaut de configuration des serveurs WEB
2ème Jour :
Étude des différents scénarios liés à une communication non sécurisée
Démonstration d’une attaque MITM avec Ettercap et protection
Authentification non-sécurisée avec le stockage des clés privées (API)
Recherche de credentials dans une l’APK à l’aide d’APKTOOL
Études des bonnes et mauvaises méthodes cryptographiques (MD5, SHA1, SSLV2)
Authentification mal-sécurisée et protection
Insecure Direct Object Reference (IDOR)
3ème Jour :
Mauvaise qualité de code
XSS DOM, Buffer flow et protection
Falsification de code avec modification d’APK et scénarios possibles
Désassemblage d’une APK et recherche de “strings” avec données sensibles
Fonction étrangère et mode debug actionnée
MDM
Chiffrement équipements
OTP pour connexion
5. Durée : 3 jours consécutifs (7h/jour)
Python
dans un environnement
de Pentest
1er Jour :
Mise en place de d’une plateforme de travail Python avec Kali
Retour rapide sur les fondamentaux du langage Python
Utilisation des sockets avec Python
Utilisation du multi-threading avec le module subprocess
Mise en place d’un reverse-shell
Création d’un trojan
2ème Jour :
Création d’un exécutable Windows (.py to .exe)
Mise en place d’une persistance avec winreg
Introduction au framework Scapy
Création d’un reverse proxy, sniffer avec Scapy
Mise en place d’un arpping, arp poisoning, arp flood avec scapy
3ème Jour :
Utilisation du module Beautiful Soup, Request, Urllib pour le WEB
Recherche dans un DOM HTML d’information
Attaque par dictionnaire avec Python
Transfert d’informations à travers des API et encodage base64
Chiffrement avec PyCrypto
Étude pour la création d’extension Python pour Burp
7. 1er Jour :
Retour sur quelques fondamentaux TCP/IP
Installation de Kali, Metasploitable et différents GIT nécessaires
Études et mise en pratique des différentes attaques TCP/IP
Aperçu sur les différentes phases de pénétrations et terminologies
ARP poisoning, DNS poisoning avec Ettercap, Driftnet, SSLSTRIP
Information gathering avec Maltego, SEO et social engineering
Énumération avec NMAP et OpenVas (scan, firewallking, recherche de CVE)
2ème Jour :
Pénétration avec Metasploit et Empire (listener, stage, exploit)
Pivoting avec Metasploit
Création d’un payload personnalisé avec Veil framework
Utilisation des outils Nishang pour Active Directory, privilege escalation, Web Shell
Études des attaques WEB et utilisation de WPscan, Nikto, SQLMAP, BURP SUITE
3ème Jour :
Mise en pratique d’une campagne de Spear Phishing
Attaques WIFI avec Aircrack-ng
Attaques physiques avec USB rubber ducky et création d’un payload
Cassage des mots de passe avec les attaques Rainbow table, brute-force et dictionnaire
(John the ripper, Cupp.py, Crunch, etc)
Bypass d’IDS, reconnaissance d’Honeypot
Durée : 3 jours consécutifs (7h/jour)
Initiation au Pentest
et des outils appropriés
8. Durée : 3 jours consécutifs (7h/jour)
Sécuriser une infrastructure
(IDS, Firewall, PKI)
1er Jour :
Quelles sont les principales menaces dans une infrastructure
Comprendre la confidentialité, intégrité, disponibilité, non répudiation
Utiliser les politiques de sécurité (password, availability, update)
La sécurité par défaut
La réduction des attaques de surface
Least privilege
2ème Jour :
Sécurité du réseau (port security, dhcp snooping, 802.1x)
IDS avec snort (install, rules, list)
Firewall avec Pfsense (routing, filter, bonnes pratiques)
SIEM avec syslog
3ème Jour :
Les bases de la Cryptographie
Architecture et bonnes pratiques
WIFI et sécurité
Réduire les surface d’attaque
Email avec gpg, SPF, DKIM
9. Durée : 3 jours consécutifs (7h/jour)
Sécuriser une infrastructure
Microsoft
1er Jour :
Mise en place d’un contrôleur de domaine
Durcissement sur le serveur à l’aide des préconisations Microsoft et des templating
mise à la disposition pour cet effet
Password policy, Windows update policy, right policy
Group and GPO best practises
GPO policy analysis (audit policy)
2ème Jour :
WSUS
Bitlocker and Bitlocker to go with Active directory
Applocker
EFS
MBSA, MSAT, MSCM
IPSEC, DNSSEC, Firewall
Network access protection (NAP & NPS)
3ème Jour :
ADCS (PKI) bonnes pratiques
Protéger vos scripts Powershell
Protect memory et LSASS
11. Durée : 3 jours consécutifs (7h/jour)
SecDevOps pour
les managers du SI
1er Jour :
Récapitulatif des acteurs autour de la sécurité application tels que :
OWASP - MITRE - PCI-DSS - SAFECODE - HIPAA
Etat des lieux sur les différentes sécurités autour de la sécurité applicative
et DevOps telles que les navigateurs, serveurs, prestataires, outils (WAF, SAST, DAST)
Introduction au “Process model” et “Maturity model”
Par quoi commencer, qui est concerné ?
Les avantages et les défauts en terme de sécurité du DevOps et des méthodes Agile
Utiliser un modèle CAMS (Culture, Automation, Measurement, and Sharing)
2ème Jour :
Analyser les pré-requis pour commencer un cycle de développement sécurisé avec :
Quelles sont les existants en matière de sécurité (PSSI, SMSI, etc)
Quelles sont les lois concernés par la sécurité applicative
Établir in PIA (privacy impact assessment) permettant de définir la criticité des informations
stockées par les applications et établir les risques et potentiel contrôles à prévoir.
Affectation des responsabilités aux parties prenantes du projet
“Secure by design” et la mise en place d’un plan d’action pour le durcissement des infrastructures
Préparation à la réduction des surfaces d’attaques
Modélisation des menaces et analyse avec les exigences de l’entreprise
Préparation au “Secure code” avec : Analyse statique du code
(démonstration des différents produits du marché) et automatisation du processus
Code review et analyse de fonction non utiles
3ème Jour :
Vérification de la sécurisation de l’application avec :
Analyse dynamique avec OWASP ZAP - Fuzzing - Pentest - WAF
Vérification des exigences de l’organisation et du cycle de développement sécurisé en place
Création d’un plan de réponse à incident
Présentation de BSIMM, OPENSAMM
Mise en place de OPENSAMM
12. Durée : 5 jours consécutifs (7h/jour)
Analyse de risque
à l’aide de la norme 27005
et la méthode EBIOS
1er Jour :
Introduction à la gestion des risques
Termes et définition selon la norme 31000
(management du risque)
Définitions de la menace, vulnérabilité, risques
L'intégration au processus PDCA
La mise en oeuvre d'un processus PDCA
de management des risques
La création en phase plan d’action
Introduction, programme de gestion des risques,
identification et évaluation des risques
selon la norme ISO 27005
2ème Jour :
Établir le contexte
(schéma directeur, répertorier les actifs,
définir les process owner)
Evaluation des risques, du traitement,
de l'acceptation, de la communication et de
surveillance selon la norme ISO 27005
L'assurabilité d'un risque, calcul financier
du transfert à l'assurance.
La préparation de la déclaration d'applicabilité
(SoA)
3ème Jour :
Cas pratique avec étude et analyse de risque
à rendre
4ème Jour :
Histoire de la méthode Française EBIOS
(Expression des Besoins et Identification
des Objectifs de Sécurité)
EBIOS dans une démarche ISO PDCA de type
SMSI 27001
Début d'une évaluation des risques EBIOS
Etude du contexte, des scénarios de menaces,
des événements redoutés, des risques, des mesures
de sécurité
5ème Jour :
Évaluation des vulnérabilités et des risques,
selon EBIOS
Planification de la sécurité selon EBIOS
Utilisation du logiciel EBIOS
Cas pratique avec étude et analyse de risque
à rendre avec la méthode EBIOS
13. 1er Jour :
Quels sont le rôle et les responsabilités du Responsable Sécurité SI ?
La gouvernance et ses fondamentaux
Introduction des référentiels d’ITIL et de COBIT
Identifier les acteurs de la sécurité dans un système d’information
Introduction à la gestion des risques et de ses normes
SMSI, PSSI et création d’un tableau de bord
Sensibilisation des utilisateurs de l’organisation et communication
Gérer la qualité, les coûts, les accords de service
2ème Jour :
Rôle du RSSI dans le PCA / PRA
Gérer la disponibilité et la capacité
Gestion de crise au sein d’un système d’information
Gestion des incidents
Création d’un plan de réponse à incident
Bases juridiques pour le RSSI
Présentation des normes et référentiels (CNIL, GDPR, PCI-DSS)
La conformité des systèmes d’information et les exigences des autorités étatiques
3ème Jour :
Gérer les programmes et les projets, définition des exigences
Gérer le changement organisationnel
Gérer les changements
Les techniques d'évaluation des coûts, les différentes méthodes de calcul,
le Total Cost of Ownership (TCO), calcul du ROI
La définition du Return On Security Investment (ROSI)
Durée : 5 jours consécutifs (7h/jour)
Etat de l'art de la sécurité
de l’information
et de la gouvernance
14. 4ème Jour :
Aspects et enjeux de la sécurité opérationnelle.
Protection et gestion de l'identité.
Etat de l'art de la sécurité opérationnelle.
La mobilité sécurisée : les enjeux (BYOD).
Threat intelligence
Mettre en oeuvre une protection contre les attaques cybercriminels
Sécurisation des systèmes et réseaux.
Sécurité liaison sans fil
Le chiffrement et les différentes solutions du marché
5ème Jour :
La sécurité du cloud et ses enjeux
Le Cloud, nouvelle stratégie d'entreprise
Risques liés à la perte de maîtrise du système d'information
Risques liés aux interventions à distance
Risques liés à l'hébergement mutualisé
Prise en compte de la sécurité dans le Cloud
Principes et démarches
Mesurer les risques et déterminer les objectifs de sécurité
Choix du prestataire
Assurer le cyber risque
15. Public concerné :
Manager en sécurité de l’information
RSSI
Chef de projet
DPO
CIL
Pré-requis:
Avoir la base de la direction des systèmes d’information
Objectifs :
Comprendre les enjeux, gérer les risques et obligations légales du RGPD
Savoir développer une méthodologie pour l’implémentation d’une RGPD
Les méthodes pédagogiques :
La méthode pédagogique se base surtout sur des exercices pratiques, des mises en situation réelles
et du retour d’expérience.
Matériel nécéssaires :
Ordinateur sous Windows (toutes versions) ou Linux (toutes versions) avec clavier + souris
Droits d’administration sur les machines, le cas échéant un outil de virtualisation (VirtualBox/VMWare)
Disque dur avec 40 Giga d’espace libre minimum
Puissance processeur 2Gz en double coeurs minimum
40 Giga de RAM (mémoire vive) minimum
Des ports USB 2 ou 3 accessibles et utilisables
Clavier + souris + écran
Un accès à internet performant
Durée : 3 jours consécutifs (7h/jour)
Règlement général
sur la protection des données (RGPD)
enjeux, risques et obligations légales
Outil d’évaluation utilisé après la formation :
Un QCM électronique sera utilisé
16. 1er Jour (matin) :
Introduction à la GDPR (contexte)
Définitions
Le périmètre
Privacy by design
Portabilité des données
Introduction à la gestion des risques
Termes et définitions selon la norme 31000 (management du risque)
Définitions de la menace, vulnérabilités, risques
Accountability
Traitement automatique des données
Le DPO
Les garants du règlement
Spécificités
1er Jour (après-midi) :
Mise en application du règlement
Définir un leader : le DPO
Evaluer la maturité
L’étude d’impact (PIA ou EIVP)
Le plan d’action
Etablir des règles d’entreprise contraignantes
Certifications et labels
Perspectives : de la conformité GDPR vers l’ISO 27000
Le registre des données
Les droits des citoyen
Comprendre ses droits
Exercer ses droits
Consentement et violation de données à caractère personnel
Responsabilisation des acteurs et des citoyens (notamment des mineurs)
GDPR, Big Data et Business Intelligence