Sécurité des réseaux et des systèmes d'information - Avancé

Détection d'intrusions, audit de vulnérabilités et défense avancée des infrastructures réseau

Formation créée le 02/04/2026.
Version du programme : 2

Type de formation

Présentiel

Durée de formation

28 heures (4 jours)
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire

Sécurité des réseaux et des systèmes d'information - Avancé

Détection d'intrusions, audit de vulnérabilités et défense avancée des infrastructures réseau


Vous administrez des systèmes et des réseaux et souhaitez approfondir votre maîtrise de la sécurité défensive : cette formation vous donne les outils, les méthodes et les réflexes pour mesurer le niveau de sécurité d'un SI, détecter les intrusions, auditer les vulnérabilités, gérer les événements de sécurité et renforcer durablement la posture de sécurité de votre infrastructure.

Objectifs de la formation

  • Analyser l'architecture réseau d'un SI et identifier ses points de fragilité
  • Utiliser les outils d'analyse de protocoles et de détection des attaques réseau
  • Configurer et opérer une infrastructure PKI, mettre en œuvre SSL/TLS et les VPN IPSec
  • Configurer une architecture AAA avec Radius et une authentification forte
  • Installer et opérer un système de détection d'intrusions avec Suricata
  • Conduire un audit de vulnérabilités avec Nessus et Greenbone Community Edition
  • Superviser les événements de sécurité avec Wazuh et corréler les alertes
  • Sécuriser les accès WiFi en environnement d'entreprise selon les standards actuels
  • Comprendre et appliquer les principes fondamentaux du Zero Trust à la segmentation et au contrôle d'accès réseau

Profil des bénéficiaires

Pour qui
  • Techniciens et administrateurs systèmes et réseaux confirmés, ainsi qu'architectes sécurité souhaitant approfondir leur maîtrise des outils et méthodes de sécurité défensive.
Prérequis
  • Bonnes connaissances de TCP/IP et des mécanismes de base de la sécurité réseau (firewall, DMZ, VPN)
  • Expérience en administration systèmes ou réseaux en environnement professionnel
  • Equivalent à une formation de niveau 1 en sécurité des systèmes et réseaux

Contenu de la formation

Séquence 1 : Architecture réseau et surface d'attaque (2h)
  • Rappels TCP/IP : pile protocolaire, adressage, routage, translation d'adresses (NAT/PAT) -- ce qui compte pour la sécurité
  • Architecture des réseaux d'entreprise : segmentation, VLAN, DMZ, zones de confiance
  • Firewall : types (stateful, next-generation), limites et compléments nécessaires
  • Proxies et reverse-proxies : rôle dans la protection applicative, points d'inspection
  • Panorama des menaces actuelles : ransomware, supply chain attacks, living off the land, attaques sur les protocoles réseau
  • Modèle Zero Trust : principes fondamentaux, "never trust, always verify", micro-segmentation -- introduction et positionnement par rapport à l'architecture traditionnelle
  • Indicateurs de compromission (IoC) : définition, sources, utilisation dans la détection
Séquence 2 : Analyse de protocoles et outils d'analyse réseau (2h)
  • Analyse de protocoles avec Wireshark : filtres, suivi de flux, détection d'anomalies dans les captures
  • Classification des attaques réseau : spoofing, flooding, man-in-the-middle, injection, capture
  • Outils d'analyse réseau : Scapy, Hping3, Arpspoof, Ettercap -- compréhension des vecteurs d'attaque à des fins défensives
  • Nmap : scan de ports, détection d'OS et de services, scripts NSE pour l'audit réseau
  • Threat Intelligence : feeds OSINT, MISP, intégration dans la détection
Séquence 3 : Cryptographie appliquée et PKI (3h)
  • Principes et algorithmes cryptographiques : symétrique (AES, 3DES), asymétrique (RSA, ECC), hachage (SHA-2, SHA-3) -- choix selon le contexte
  • Infrastructure à clés publiques (PKI) : autorités de certification, chaîne de confiance, révocation (CRL, OCSP)
  • Certificats X.509v3 : structure, profils pour serveurs et clients, extensions critiques
  • SSL/TLS : versions, handshake, suites cryptographiques, TLS 1.3 et abandons (TLS 1.0/1.1, RC4)
  • VPN IPSec : modes tunnel et transport, IKEv2, cas d'usage en entreprise
  • VPN SSL/TLS : architectures, différences avec IPSec, problématiques de split tunneling
  • OpenSSL en pratique : génération de clés, création de certificats, vérification de chaînes
Séquence 4 : Architecture AAA et authentification forte (2h30)
  • Le modèle AAA : authentification, autorisation, traçabilité -- rôles et enjeux
  • Protocole Radius : architecture, fonctionnement, intégration avec les équipements réseau
  • LDAP et annuaire : rôle dans les solutions d'authentification d'entreprise, intégration avec Radius
  • Authentification forte : OTP, HOTP/TOTP, FIDO2/WebAuthn -- standards actuels
  • SSO et fédération d'identité : Kerberos en présentation, SAML 2.0 et OpenID Connect en ouverture -- positionnement et cas d'usage
  • Zero Trust et IAM : comment l'authentification forte s'intègre dans une architecture Zero Trust, principe du moindre privilège appliqué aux accès réseau
  • Attaques sur les mécanismes AAA : credential stuffing, pass-the-hash, Kerberoasting - vecteurs et contre-mesures
Séquence 5 : Détection d'intrusions avec Suricata (3h)
  • IDS/IPS : principes de fonctionnement, détection par signature vs détection comportementale
  • Positionnement dans l'architecture : inline (IPS) vs passif (IDS), points de déploiement optimaux
  • Suricata : présentation, architecture -- Suricata s'est imposé comme un outil de référence open source pour l'IDS/IPS réseau
  • Installation et configuration de Suricata : interfaces, modes de capture, règles et groupes de règles
  • Langage de règles Suricata : structure d'une règle, variables, options de détection, seuils
  • Gestion des règles : Emerging Threats, ProofPoint ET Open, mise à jour et tuning pour réduire les faux positifs
  • Analyse des alertes Suricata : logs EVE JSON, intégration avec un SIEM
Séquence 6 : Intégrité des systèmes et micro-segmentation (1h30)
  • Vérification d'intégrité : principes, outils (AIDE, Wazuh FIM), mise en œuvre sur Linux et Windows
  • Détection de modifications non autorisées : fichiers système, configurations, binaires
  • Micro-segmentation : définition, mise en œuvre avec les firewalls hôtes (iptables, nftables, Windows Firewall), différences avec la segmentation réseau traditionnelle
  • Ouverture : Zero Trust Network Access (ZTNA) -- positionnement par rapport au VPN traditionnel, principes de mise en œuvre
Séquence 7 : Audit de vulnérabilités (3h)
  • Méthodologie d'audit de vulnérabilités : différences avec le pentest, cadre légal, périmètre et autorisation
  • Gestion des vulnérabilités : CVE, CVSS, NVD, CERT-FR -- sources de référence et processus de veille
  • Nessus : architecture, politiques de scan, interprétation des résultats, priorisation à partir du CVSS, de l'exposition, de la criticité métier et du contexte d'exploitation
  • Greenbone Community Edition (OpenVAS) : installation, configuration, comparaison avec Nessus
  • Audit de vulnérabilités web : OWASP Top 10 comme référence, détection des vulnérabilités applicatives courantes (injection SQL, XSS, SSRF)
  • Politique de remédiation : priorisation, délais acceptables selon le score CVSS et l'exposition, suivi
Séquence 8 : Gestion des événements de sécurité et SIEM (4h)
  • Collecte et normalisation des logs : sources (systèmes, réseau, applicatif), formats (syslog, CEF, JSON), agents de collecte
  • Corrélation des événements : principes, règles de corrélation, réduction du bruit
  • SIEM moderne : positionnement, acteurs du marché -- présentation de Wazuh (open source) et d'Elastic Security comme solutions représentatives
  • Wazuh en pratique : architecture (manager, agents, indexer, dashboard), déploiement d'agents, règles de détection, tableaux de bord
  • Détection comportementale et threat hunting : principes de l'UEBA, démarche de threat hunting -- présentation et mise en perspective
  • Supervision réseau et logs : collecte des métriques réseau, intégration dans le SIEM
  • Processus de réponse aux incidents : cycle PICERL (Préparation, Identification, Confinement, Eradication, Reprise, Leçons) -- synthèse et positionnement
Séquence 9 : Sécurité des réseaux WiFi en environnement d'entreprise (2h)
  • Rappels WiFi : standards 802.11 (ax/Wi-Fi 6, be/Wi-Fi 7), canaux, fréquences, SSID
  • Faiblesses intrinsèques des réseaux sans fil : exposition physique, interception, injection de trafic
  • Evolution des protocoles de sécurité : WEP (obsolète), WPA, WPA2 (CCMP/AES), WPA3 (SAE, OWE) -- état des lieux en 2026
  • Attaques sur le WiFi : capture et craquage de clés WPA2-PSK, PMKID attack, evil twin, déauthentification
  • Architecture WiFi d'entreprise : WPA2/WPA3-Enterprise, 802.1X, intégration avec Radius et AAA
  • Segmentation WiFi : isolation des réseaux invités, VLAN par SSID, contrôle d'accès par certificat
  • Outils d'audit WiFi : Aircrack-ng, Kismet -- usage en contexte d'audit autorisé
Séquence 10 : Sécurité des services exposés (1h)
  • Sécurité de la messagerie : protocoles SMTP/IMAP/POP3, mécanismes SPF, DKIM, DMARC -- configuration et vérification
  • Sécurité DNS : DNS over HTTPS (DoH), DNS over TLS (DoT), DNSSEC, attaques de type DNS hijacking et cache poisoning
  • Durcissement des services exposés : gestion des ports ouverts, suppression des bannières de service, configurations par défaut à corriger
Séquence 11 : Mise en situation et plan d'action (4h)
  • Mise en situation : à partir d'une infrastructure réseau réaliste présentant des vulnérabilités connues et des traces d'attaque dans les logs, les participants conduisent un cycle complet -- analyse d'architecture, audit de vulnérabilités, analyse des alertes Wazuh et Suricata, identification des indicateurs de compromission et recommandations de remédiation
  • Revue collective : comparaison des approches, discussion des arbitrages et des priorités de remédiation
  • Veille en sécurité réseau : sources de référence (CERT-FR, ANSSI, NVD, Emerging Threats), outils et méthode de veille
  • Plan d'action individuel : chaque participant identifie les trois mesures prioritaires à déployer dans son environnement

Équipe pédagogique

Formateur expert en sécurité des systèmes et réseaux, intervenant en environnement professionnel sur des projets de sécurisation d'infrastructure et de réponse aux incidents.

Suivi de l'exécution et évaluation des résultats

  • Auto-positionnement en amont (questionnaire)
  • Evaluation formative pendant la formation (travaux pratiques)
  • Evaluation des acquis en fin de formation (quiz)
  • Evaluation de satisfaction à chaud

Ressources techniques et pédagogiques

  • Environnement de lab dédié : machines virtuelles préconfigurées pour chaque TP (Suricata, Wazuh, Nessus, Greenbone, Radius, infrastructure réseau simulée)
  • Outillage à jour : Suricata, Wazuh, Nessus, Greenbone Community Edition, Wireshark, Nmap, Aircrack-ng, OpenSSL
  • Remise d'un guide de référence récapitulant les outils, commandes essentielles et sources de veille