Techniques d'audit et de pentesting
Formation créée le 21/11/2024. Dernière mise à jour le 28/01/2025.
Version du programme : 1
Programme de la formation
Objectif de la formation : Maîtriser les techniques d’audit et de test de pénétration pour évaluer la sécurité des systèmes d’information, rédiger des rapports d’intrusion détaillés et formuler des recommandations pertinentes.
Objectifs de la formation
- Comprendre les étapes clés d’un audit de sécurité et d’un test de pénétration.
- Identifier et exploiter les vulnérabilités dans un système d’information.
- Maîtriser les outils essentiels de pentesting.
- Rédiger un rapport structuré et formuler des recommandations pour remédier aux failles découvertes.
Profil des bénéficiaires
Pour qui
- Auditeurs en sécurité informatique
- Analystes cybersécurité
- Ingénieurs réseaux et systèmes
- Professionnels responsables de la sécurité des systèmes d’information
Prérequis
- Connaissances solides en administration réseaux et systèmes
- Notions avancées sur les concepts de sécurité informatique
- Expérience pratique avec les outils d’audit et de pentesting
Contenu de la formation
-
Introduction au pentesting et méthodologie (1h30)
- Concepts fondamentaux : audit de sécurité, test de pénétration, évaluation des risques
- Les étapes d’un pentest : reconnaissance, scanning, exploitation, post-exploitation
-
Préparation d’un audit de sécurité (1h30)
- Définir le périmètre et les objectifs de l’audit
- Collecte d’informations sur la cible (Open Source Intelligence - OSINT)
- Travaux pratiques : préparation d’un plan d’audit pour un SI fictif
-
Reconnaissance et scanning réseau (3h)
- Techniques de scanning : ports, services, vulnérabilités
- Outils courants : Nmap, Nessus, OpenVAS
- Travaux pratiques : effectuer un scanning réseau et analyser les résultats
-
Exploitation des vulnérabilités (3h)
- Types d’attaques : exploitation des failles web, systèmes, et réseaux
- Techniques d’exploitation : injections SQL, escalade de privilèges, attaques XSS
- Outils : Metasploit, Burp Suite
- Travaux pratiques : exploitation de vulnérabilités sur un environnement simulé
-
Post-exploitation et maintien de l’accès (3h)
- Analyse des données compromises et extraction des informations critiques
- Maintien de l’accès avec des backdoors et rootkits
- Travaux pratiques : réaliser une simulation de post-exploitation sur un système compromis
-
Analyse et évaluation des systèmes et applications (1h30)
- Tester la sécurité des applications web et mobiles
- Identification des vulnérabilités courantes (OWASP Top 10)
- Travaux pratiques : test d’une application web vulnérable
-
Pentesting des infrastructures réseau (1h30)
- Audit des configurations réseau et des services
- Travaux pratiques : analyser un pare-feu et identifier des failles de configuration
-
Pentesting avancé : attaques ciblées (3h)
- Techniques avancées : attaque de réseaux sans fil, phishing, attaques DoS/DDoS
- Travaux pratiques : mise en œuvre d’une attaque ciblée sur un réseau simulé
-
Rédaction d’un rapport d’audit (3h)
- Structuration du rapport : contexte, méthodologie, résultats, conclusions
- Intégration des données issues des outils utilisés (logs, captures)
- Travaux pratiques : rédiger un rapport d’audit pour un cas pratique
-
Formulation des recommandations de sécurité (3h)
- Analyse des résultats et priorisation des vulnérabilités
- Proposer des mesures correctives adaptées
- Travaux pratiques : formuler des recommandations pour les vulnérabilités identifiées
Équipe pédagogique
Professionnel expert technique et pédagogique.