Proposition Technique et financière Modules de formation sur la sécurité informatique
Sommaire Module 1 : Sécurité informatique MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
Sommaire Module 1 : Sécurité informatique MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
OBJECTIFS D'APPRENTISSAGE PRESENTATION DE LA FORMATION MODULE 1: SECURITE INFORMATIQUE La formation permet de décortiquer les différentes étapes qu’implique une intrusion, de la reconnaissance jusqu’à l’escalade de privilèges, et de reconnaître la marche à suivre afin de rendre ses environnements sécuritaires. Les sujets abordés couvrent la détection d’intrusion, la création de procédures, l’ingénierie sociale, les attaques DDoS, la surcharge des tampons (buffer overflow) et la création de virus. Lorsque la personne formée quittera la formation après 5 jours, il aura maîtrisé le concept du piratage éthique. Maîtriser les connaissances et concepts du piratage éthique Améliorer la compréhension des types d’attaques en fonction des environnements Doter les participants d’une vision globale des risques de sécurité à leurs systèmes et leur permettre d’en maitriser les méthodes de contre-attaque. Maîtriser les connaissances et concepts du piratage éthique Améliorer la compréhension des types d’attaques en fonction des environnements Doter les participants d’une vision globale des risques de sécurité à leurs systèmes et leur permettre d’en maitriser les méthodes de contre-attaque. Durée : 5 jours Coût / participant: FCFA
CONTENU DE LA FORMATION MODULE 1: SECURITE INFORMATIQUE Introduction au piratage éthique Balayage réseau Énumération des systèmes Piratage des systèmes d’information Chevaux de Troie et portes dérobées (backdoors) Virus et vers Capture d’informations (sniffers) Ingénierie sociale Hameçonnage (phishing) Piratage des comptes courriels Déni de service (DoS) Détournement (Hijacking) de sessions Piratage de serveurs Web Vulnérabilités des applications Web Déchiffrement des mots de passe Web Injection SQL Piratage de réseaux sans fils Sécurité physique Piratage de Linux Évasion de systèmes Surcharge des tampons IDS, coupe-feux, etc. Cryptographie Tests dʼintrusion Piratage invisible (covert) Écriture de virus informatiques Tutoriel sur le langage assembleur Écriture de codes dʼexploitation «Exploit» Exploitation de la pile Écriture de codes d’exploitation pour Windows Ingénierie inverse Piratage du Macintosh (MAC OS et OS X) Piratage routeurs, modems, coupe-feux Introduction au piratage éthique Balayage réseau Énumération des systèmes Piratage des systèmes d’information Chevaux de Troie et portes dérobées (backdoors) Virus et vers Capture d’informations (sniffers) Ingénierie sociale Hameçonnage (phishing) Piratage des comptes courriels Déni de service (DoS) Détournement (Hijacking) de sessions Piratage de serveurs Web Vulnérabilités des applications Web Déchiffrement des mots de passe Web Injection SQL Piratage de réseaux sans fils Sécurité physique Piratage de Linux Évasion de systèmes Surcharge des tampons IDS, coupe-feux, etc. Cryptographie Tests dʼintrusion Piratage invisible (covert) Écriture de virus informatiques Tutoriel sur le langage assembleur Écriture de codes dʼexploitation «Exploit» Exploitation de la pile Écriture de codes d’exploitation pour Windows Ingénierie inverse Piratage du Macintosh (MAC OS et OS X) Piratage routeurs, modems, coupe-feux
CONTENU DE LA FORMATION (suite) MODULE 1: SECURITE INFORMATIQUE Piratage de cellulaires et composantes mobiles Piratage de Bluetooth Piratage VoIP Piratage des RFID Pourriels Piratage des appareils USB Piratage des serveurs de bases de données Terrorisme et cyberguerre Technique de filtrage du contenu Internet Vie privée sur Internet Confidentialité dʼun ordinateur portable Technologies d'espionnage Espionnage industriel en utilisant un initié Création de politiques de sécurité Piratage de logiciel et logiciels illégaux Piratage des jeux en ligne Piratage de RSS et Atom Piratage des fureteurs Web Technologies des serveurs Proxy Prévention de la perte de données Piratage des GPS Gestion dʼincident Fraude et criminalistique (forensic) Comment voler des mots de passe Technologie des coupe-feux Menaces et contre-attaques Études de cas Réseaux de zombies (botnets) Espionnage économique Gestion des rustines (patches) Convergence en sécurité Reconnaître les terroristes Piratage de cellulaires et composantes mobiles Piratage de Bluetooth Piratage VoIP Piratage des RFID Pourriels Piratage des appareils USB Piratage des serveurs de bases de données Terrorisme et cyberguerre Technique de filtrage du contenu Internet Vie privée sur Internet Confidentialité dʼun ordinateur portable Technologies d'espionnage Espionnage industriel en utilisant un initié Création de politiques de sécurité Piratage de logiciel et logiciels illégaux Piratage des jeux en ligne Piratage de RSS et Atom Piratage des fureteurs Web Technologies des serveurs Proxy Prévention de la perte de données Piratage des GPS Gestion dʼincident Fraude et criminalistique (forensic) Comment voler des mots de passe Technologie des coupe-feux Menaces et contre-attaques Études de cas Réseaux de zombies (botnets) Espionnage économique Gestion des rustines (patches) Convergence en sécurité Reconnaître les terroristes
Sommaire Module 1 : Sécurité informatique MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
INTERET DE LA FORMATION MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC Le premier intérêt d'utiliser ISO/IEC est évidemment sa diffusion et sa reconnaissance internationale. Un consensus est acquis sur le domaine couvert parla sécurité de l'information (versus le seul périmètre de la sécurité informatique) et sa structuration par domaine. Cela permet ainsi une simplification dans l'utilisation de méthodes de sécurité("parler le même langage"), de la communication entre sociétés ou entités d'une même entreprise. Ensuite, l'ensemble des mesures de sécurité qui y sont dénies peuvent être considérées comme les bonnes pratiques actuelles. Le premier intérêt d'utiliser ISO/IEC est évidemment sa diffusion et sa reconnaissance internationale. Un consensus est acquis sur le domaine couvert parla sécurité de l'information (versus le seul périmètre de la sécurité informatique) et sa structuration par domaine. Cela permet ainsi une simplification dans l'utilisation de méthodes de sécurité("parler le même langage"), de la communication entre sociétés ou entités d'une même entreprise. Ensuite, l'ensemble des mesures de sécurité qui y sont dénies peuvent être considérées comme les bonnes pratiques actuelles. Durée : 3 jours Cout/ participant: FCFA HT hors frais d’examen Frais d’examen: FCFA HT
DESCRIPTION DE ISO/IEC MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC ISO/IEC est une norme internationale de gestion de la sécurité de l'information publiée en 2005 par l'ISO. Se présentant sous la forme d'un recueil de133 bonnes pratiques et venant compléter ISO/IEC 27001, elle permet d'accompagner le processus de mise en œuvre d'un Système de Management du Système d'Information (SMSI) et fournit les recommandations nécessaires à toute personne ayant la responsabilité d'initier, d'implémenter et de maintenir la sécurité informatique. Cette formation certifiant vous permettra de comprendre le cadre de référence ISO27000 et de découvrir les bonnes pratiques à respecter en matière de sécurité des systèmes d'information. ISO/IEC est une norme internationale de gestion de la sécurité de l'information publiée en 2005 par l'ISO. Se présentant sous la forme d'un recueil de133 bonnes pratiques et venant compléter ISO/IEC 27001, elle permet d'accompagner le processus de mise en œuvre d'un Système de Management du Système d'Information (SMSI) et fournit les recommandations nécessaires à toute personne ayant la responsabilité d'initier, d'implémenter et de maintenir la sécurité informatique. Cette formation certifiant vous permettra de comprendre le cadre de référence ISO27000 et de découvrir les bonnes pratiques à respecter en matière de sécurité des systèmes d'information.
OBJECTIFS D'APPRENTISSAGE MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC Comprendre le cadre de référence ISO 27002, ses processus et ses exigences Prendre connaissance des bonnes pratiques en matière de sécurité des systèmes d'information Assimiler le processus de certification ISO Se préparer à l'examen ISO/IEC Foundation de l'EXIN. Comprendre le cadre de référence ISO 27002, ses processus et ses exigences Prendre connaissance des bonnes pratiques en matière de sécurité des systèmes d'information Assimiler le processus de certification ISO Se préparer à l'examen ISO/IEC Foundation de l'EXIN.
CONTENU DE LA FORMATION MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC INTRODUCTION AUX NORMES DE LA SÉRIE 27000ET À LA CERTIFICATION ASSOCIÉE : Introduction aux systèmes de management et à la gestion des risques Présentation de la norme ISO Présentation du processus de certification ISO EXIGENCES ET MISE EN ŒUVRE : Présentation de la norme ISO : Notion de SMSI, de PDCA, traces ou enregistrements, inventaire des actifs, appréciation du risque, traitement du risque Les thèmes couverts par la norme ISO Présentation de la démarche d'audit ISO appliquée aux audits ISO CONCEPTS ET BONNES PRATIQUES EN SÉCURITÉ DE L'INFORMATION Sécurité de l'information Le concept d'information Valeur de l'information Critères de fiabilité de l'information : disponibilité, continuité, intégrité, authenticité, exactitude, validité, confidentialité... Menaces et risques Approche et organisation Mise en place d'un système de mesure Conformité à la réglementation RÉVISIONS ET PRÉPARATION À L'EXAMEN Étude de cas et questions ouvertes Examen blanc EXAMEN La certification est basée sur un examen QCM INTRODUCTION AUX NORMES DE LA SÉRIE 27000ET À LA CERTIFICATION ASSOCIÉE : Introduction aux systèmes de management et à la gestion des risques Présentation de la norme ISO Présentation du processus de certification ISO EXIGENCES ET MISE EN ŒUVRE : Présentation de la norme ISO : Notion de SMSI, de PDCA, traces ou enregistrements, inventaire des actifs, appréciation du risque, traitement du risque Les thèmes couverts par la norme ISO Présentation de la démarche d'audit ISO appliquée aux audits ISO CONCEPTS ET BONNES PRATIQUES EN SÉCURITÉ DE L'INFORMATION Sécurité de l'information Le concept d'information Valeur de l'information Critères de fiabilité de l'information : disponibilité, continuité, intégrité, authenticité, exactitude, validité, confidentialité... Menaces et risques Approche et organisation Mise en place d'un système de mesure Conformité à la réglementation RÉVISIONS ET PRÉPARATION À L'EXAMEN Étude de cas et questions ouvertes Examen blanc EXAMEN La certification est basée sur un examen QCM
Sommaire Module 1 : Sécurité informatique MODULE 2: MANAGEMENT DE LA SECURITE ISO/IEC MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
INTERET DE LA FORMATION Un bon développeur peut très bien comprendre les méthodes d’attaques utilisées par les Hackers, et donc développer en conséquence ses applications Web de manière plus sécurisée. Un bon responsable de sécurité prévenu d’un danger sur son site Web est plus vigilant et prêt à agir pour protéger ses applications Cette formation permettra aux participants de faire un parcours des Technologies Web et de toutes les techniques utilisées par les Hackers pour la Découverte et l’Exploitation des Failles de Sécurité des Applications WEB, et de s’approprier les Bons Remèdes et Directives Efficaces pour la Prévention. Un bon développeur peut très bien comprendre les méthodes d’attaques utilisées par les Hackers, et donc développer en conséquence ses applications Web de manière plus sécurisée. Un bon responsable de sécurité prévenu d’un danger sur son site Web est plus vigilant et prêt à agir pour protéger ses applications Cette formation permettra aux participants de faire un parcours des Technologies Web et de toutes les techniques utilisées par les Hackers pour la Découverte et l’Exploitation des Failles de Sécurité des Applications WEB, et de s’approprier les Bons Remèdes et Directives Efficaces pour la Prévention. Durée : 3 jours Coût/ participant: FCFA HT MODULE 3 - SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
OBJECTIFS D'APPRENTISSAGE MODULE 3 - SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP Comprendre les méthodes d’attaque utilisées par les hackers Développer d’une manière sécurisée S’approprier les bonnes pratiques de développements web Comprendre les meilleures pratiques OWASP Comprendre les méthodes d’attaque utilisées par les hackers Développer d’une manière sécurisée S’approprier les bonnes pratiques de développements web Comprendre les meilleures pratiques OWASP
CONTENU DE LA FORMATION MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP MODULE 1 : L’INSÉCURITÉ DES APPLICATIONS WEB Evolution des Applications Web La Sécurité des Applications Web (Le Cœur du Problème, Les Facteurs Clés) Le Nouveau Périmètre de Sécurité Le Futur de la Sécurité des Applications Web MODULE 2. LES MÉCANISMES DE DÉFENSE ESSENTIELS Contrôle des Accès (Authentification, Session, Contrôle d’Accès) Contrôle des Entrées Contrôle des Attaquants Administration de l’Application MODULE 3. LES TECHNOLOGIES DES APPLICATIONS WEB Aperçu sur le Protocole HTTP (Requests, Responses, Methods, URLs, Headers, Cookies, Status Codes, https, proxies, authentication) La Fonctionnalité du Web L’Encodage (URL, Unicode, HTML, Base64, Hex) MODULE 4. CONNAISSANCE DE L’APPLICATION Enumération du Contenu et des Fonctionnalités Analyse de l’Application MODULE 5. CONTOURNEMENT DES CONTRÔLES AU NIVEAU CLIENT Transmission de Donnée via le Client Sécuriser les Données Client MODULE 1 : L’INSÉCURITÉ DES APPLICATIONS WEB Evolution des Applications Web La Sécurité des Applications Web (Le Cœur du Problème, Les Facteurs Clés) Le Nouveau Périmètre de Sécurité Le Futur de la Sécurité des Applications Web MODULE 2. LES MÉCANISMES DE DÉFENSE ESSENTIELS Contrôle des Accès (Authentification, Session, Contrôle d’Accès) Contrôle des Entrées Contrôle des Attaquants Administration de l’Application MODULE 3. LES TECHNOLOGIES DES APPLICATIONS WEB Aperçu sur le Protocole HTTP (Requests, Responses, Methods, URLs, Headers, Cookies, Status Codes, https, proxies, authentication) La Fonctionnalité du Web L’Encodage (URL, Unicode, HTML, Base64, Hex) MODULE 4. CONNAISSANCE DE L’APPLICATION Enumération du Contenu et des Fonctionnalités Analyse de l’Application MODULE 5. CONTOURNEMENT DES CONTRÔLES AU NIVEAU CLIENT Transmission de Donnée via le Client Sécuriser les Données Client
CONTENU DE LA FORMATION MODULE 6. ATTAQUES DE L’AUTHENTIFICATION Les Technologies d’Authentification Les Failles Conceptuelles dans les Mécanismes d’Authentification Sécuriser l’Authentification MODULE 7. ATTAQUES SUR LA GESTION DES SESSIONS Le Besoin des Sessions Les Faiblesses Sécuriser la Gestion des Sessions MODULE 8. ATTAQUES SUR LE CONTRÔLE DES ACCÈS Les Vulnérabilités Communes Les Attaques sur le Contrôle d’Accès Sécuriser le Contrôle d’Accès MODULE 9. INJECTION DE CODE “SQL Injection” Aperçu sur d’autres techniques d’injection de Code Prévention MODULE 10. EXPLOITATION DU “PATHTRAVERSAL” Les Vulnérabilités Communes Prévention Contre Les Vulnérabilités « PathTraversal » MODULE 11. ATTAQUES SUR LA LOGIQUE APPLICATIVE La Nature des Failles Logiques Les Failles Concrètes Aujourd’hui Eviter les Failles Logiques MODULE 6. ATTAQUES DE L’AUTHENTIFICATION Les Technologies d’Authentification Les Failles Conceptuelles dans les Mécanismes d’Authentification Sécuriser l’Authentification MODULE 7. ATTAQUES SUR LA GESTION DES SESSIONS Le Besoin des Sessions Les Faiblesses Sécuriser la Gestion des Sessions MODULE 8. ATTAQUES SUR LE CONTRÔLE DES ACCÈS Les Vulnérabilités Communes Les Attaques sur le Contrôle d’Accès Sécuriser le Contrôle d’Accès MODULE 9. INJECTION DE CODE “SQL Injection” Aperçu sur d’autres techniques d’injection de Code Prévention MODULE 10. EXPLOITATION DU “PATHTRAVERSAL” Les Vulnérabilités Communes Prévention Contre Les Vulnérabilités « PathTraversal » MODULE 11. ATTAQUES SUR LA LOGIQUE APPLICATIVE La Nature des Failles Logiques Les Failles Concrètes Aujourd’hui Eviter les Failles Logiques MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
CONTENU DE LA FORMATION MODULE 12. ATTAQUES D’AUTRES UTILISATEURS “Cross-Site Scripting” Aperçu sur d’autres Techniques d’Exploitation Prévention Module 13. BespokeAttacks “Bespoke Automation” “BurpIntruder” MODULE 14. EXPLOITATION DES INFORMATIONS Recueillir les informations publiées Prévention Contre la Perte d’Informations MODULE 15. ATTAQUES D’APPLICATIONS COMPILÉES “Buffer over Flow Vulnerabilities” Autres Vulnérabilités Sécuriser les Applications Compilées MODULE 16. ATTAQUES DE L’ARCHITECTURE Architecture par Niveau Sécuriser l’Architecture MODULE 17. ATTAQUES DU SERVEUR WEB Vulnérabilités des serveurs WEB Sécuriser le serveur WEB MODULE 12. ATTAQUES D’AUTRES UTILISATEURS “Cross-Site Scripting” Aperçu sur d’autres Techniques d’Exploitation Prévention Module 13. BespokeAttacks “Bespoke Automation” “BurpIntruder” MODULE 14. EXPLOITATION DES INFORMATIONS Recueillir les informations publiées Prévention Contre la Perte d’Informations MODULE 15. ATTAQUES D’APPLICATIONS COMPILÉES “Buffer over Flow Vulnerabilities” Autres Vulnérabilités Sécuriser les Applications Compilées MODULE 16. ATTAQUES DE L’ARCHITECTURE Architecture par Niveau Sécuriser l’Architecture MODULE 17. ATTAQUES DU SERVEUR WEB Vulnérabilités des serveurs WEB Sécuriser le serveur WEB MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
CONTENU DE LA FORMATION MODULE 18. RETROUVER DES VULNÉRABILITÉS DANS LE CODE SOURCE Approches dans les Analyses de Codes Common Vulnerabilities Outils de Navigation dans les Codes MODULE 19. LE “TOOLKIT” DU HACKER “Web Browsers” “IntegratedTesting Suites” “Vulnerability Scanners” Autres outils MODULE 20. MÉTHODOLOGIE DU HACKER Directives et démarches Générales Conclusion MODULE 21. LES MEILLEURES PRATIQUES OWASP 2010 Le Projet OWASP Les TOP 10 OWASP 2010 OWASP Testing Guide OWASP Code Review Guide MODULE 22. LES MEILLEURES PRATIQUES OPENSAMM Le Projet OpenSAMM Démarche OpenSAMM MODULE 18. RETROUVER DES VULNÉRABILITÉS DANS LE CODE SOURCE Approches dans les Analyses de Codes Common Vulnerabilities Outils de Navigation dans les Codes MODULE 19. LE “TOOLKIT” DU HACKER “Web Browsers” “IntegratedTesting Suites” “Vulnerability Scanners” Autres outils MODULE 20. MÉTHODOLOGIE DU HACKER Directives et démarches Générales Conclusion MODULE 21. LES MEILLEURES PRATIQUES OWASP 2010 Le Projet OWASP Les TOP 10 OWASP 2010 OWASP Testing Guide OWASP Code Review Guide MODULE 22. LES MEILLEURES PRATIQUES OPENSAMM Le Projet OpenSAMM Démarche OpenSAMM MODULE 3: SÉCURITÉ DU DÉVELOPPEMENT WEB : SECURITE DES SITES WEB ET BONNES PRATIQUES OWASP
CONDITIONS Les coûts peuvent être revus en fonction du nombre de participants Le nombre de participants maximum par session est de 12 La formation peut être organisée dans le pays de votre choix en commun accord avec toutes les parties prenantes Les formations de 5 jours ou avec examens de certification se feront pour plus de commodités dans les villes environnantes ( Bassam, Assinie) ou dans des hotels de préférence La logistique additionnelle ( frais de séjours, billets d’avions, hébergements etc) des participants sera pris en charge par le client. Néanmoins Défis & Stratégies pourra fournir sur demande une facture qui inclura ces frais selon un forfait Les dates de formation devront être décidées de commun accord avec les participants et les consultants Une conférence téléphonique pourra être organisée avec les participants pour mieux cerner leurs besoins Les formations pourront être initialisées qu’après réception du bon de commande et à partir d’un total de 5 participants minimum Les coûts peuvent être revus en fonction du nombre de participants Le nombre de participants maximum par session est de 12 La formation peut être organisée dans le pays de votre choix en commun accord avec toutes les parties prenantes Les formations de 5 jours ou avec examens de certification se feront pour plus de commodités dans les villes environnantes ( Bassam, Assinie) ou dans des hotels de préférence La logistique additionnelle ( frais de séjours, billets d’avions, hébergements etc) des participants sera pris en charge par le client. Néanmoins Défis & Stratégies pourra fournir sur demande une facture qui inclura ces frais selon un forfait Les dates de formation devront être décidées de commun accord avec les participants et les consultants Une conférence téléphonique pourra être organisée avec les participants pour mieux cerner leurs besoins Les formations pourront être initialisées qu’après réception du bon de commande et à partir d’un total de 5 participants minimum CONDITIONS D’EXECUTION
Nos Bureaux Nos futurs implantations GROUPE DEFIS & STRATEGIES
MERCI DE FAIRE CONFIANCE AU GROUPE DÉFIS & STRATÉGIES