contact@ascent-formation.fr +33 9 75 75 37 81 LinkedIn
Visitez notre site web
Logo de l'organisme de formation

La formation au coeur de l'avenir technologique

Représentation de la formation : Gestion des vulnérabilités : méthodes, outils et intégration dans la stratégie SSI

Gestion des vulnérabilités : méthodes, outils et intégration dans la stratégie SSI

Formation présentielle
Accessible
Durée : 21 heures (3 jours)
0/10
(0 avis)
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire

Formation créée le 23/05/2025.

Version du programme : 1

Programme de la formation

Objectif de la formation : Maîtriser l’ensemble du cycle de gestion des vulnérabilités : détection, analyse, priorisation, traitement et suivi, dans une approche alignée avec les enjeux métiers, la gouvernance SSI, et les bonnes pratiques techniques.

Objectifs de la formation

  • Comprendre les concepts clés de la gestion des vulnérabilités dans un système d’information
  • Identifier et analyser les vulnérabilités avec des outils professionnels
  • Prioriser les actions de traitement selon les risques et les contextes
  • Intégrer la gestion des vulnérabilités dans une démarche de gouvernance SSI

Profil des bénéficiaires

Pour qui
  • Analystes sécurité, administrateurs réseaux / systèmes
  • Responsables SSI ou infrastructure
  • Auditeurs techniques, consultants cybersécurité
  • Chefs de projet IT sécurité
Prérequis
  • Connaissances de base en systèmes d’information et réseaux
  • Sensibilisation aux concepts de la cybersécurité (ISO 27001 ou EBIOS souhaité)

Contenu de la formation

  • Introduction et enjeux (1h30)
    • Définitions : vulnérabilité, menace, risque
    • Exemples concrets d’incidents dus à des vulnérabilités non corrigées
    • Typologie : logicielle, matérielle, humaine, organisationnelle
  • Processus global de gestion des vulnérabilités (2h30)
    • Modèle ISO 27002 et intégration au SMSI
    • Cycle : détection, analyse, priorité, remédiation, validation, reporting
    • Rôles et responsabilités (DSI, RSSI, IT, métiers)
    • Activité : cartographie d’un processus complet à partir d’un cas réel
  • Sources d’information et veille (3h)
    • CVE, CVSS, EPSS, NVD, exploit-db, bulletins CERT
    • Outils de veille : Nist NVD, Vulners, Threat Intel feeds
    • Activité : analyse d’un bulletin de vulnérabilité (CVSS vector, gravite EPSS, mapping MITRE)
  • Outils de scan de vulnérabilités (2h30)
    • Nessus, OpenVAS, Qualys, Nexpose : principe, mise en œuvre, limites
    • Analyse des résultats : faux positifs / négatifs, criticité, écarts
    • Activité : scan d’une cible en environnement test avec interprétation
  • Analyse de vulnérabilités applicatives et infrastructure (2h)
    • Vulnérabilités OWASP (XSS, SQLi, CSRF...) et système (SMBv1, RDP...)
    • Liens avec le pentest et les audits de conformité
    • Activité : analyse de vulnérabilités d’une application web démo
  • Automatisation et intégration continue (2h30)
    • CI/CD : scan dans GitLab, Jenkins, SonarQube, Trivy
    • Reporting vers ITSM, SIEM, tableaux de bord
    • Atelier : déploiement d’un pipeline de détection automatique
  • Priorisation et traitement (2h)
    • Notions de criticité, impact, exploitabilité, contexte
    • Plans de traitement : correctif, mitigation, acceptation du risque
    • Activité : triage de vulnérabilités selon score et contexte organisationnel
  • Suivi, pilotage et indicateurs (2h30)
    • KPI, KRI, SLA de correction, backlog, debt technique
    • Gouvernance de la remédiation : comités, arbitrage, réévaluation
    • Activité : construction d’un tableau de bord de pilotage pour RSSI
  • Conformité et communication (2h30)
    • Conformité aux référentiels : ISO 27001, NIS2, PCI-DSS
    • Rapports aux directions, audits internes, métiers
    • Activité : simulation d’une restitution SSI vers un comité de direction
Équipe pédagogique

Professionnel expert technique et pédagogique.

Accessibilité

26 au 28 novembre 2025