Objectifs
- Acquérir une méthodologie pour organiser un audit de sécurité de type test de pénétration sur son SI
- Rédiger un rapport final suite à un test d'intrusion
- Formuler des recommandations de sécurité
Programme de la formation
Les menaces
- Evolution de la sécurité des SI.
- Etat des lieux de la sécurité informatique.
- L'état d'esprit et la culture du hacker.
- Quels risques et quelles menaces ?
Méthodologie de l'audit
- Le contexte règlementaire.
- L'intérêt d'effectuer un test d'intrusion, un Pentest, les différents types de Pentest.
- Comment intégrer le test d'intrusion dans un processus de sécurité général.
- Apprendre à définir une politique de management de la sécurité et d'un Pentest itératif.
- Organiser et planifier l'intervention. Comment préparer le référentiel ?
- La portée technique de l'audit. Réaliser le Pentest.
Travaux pratiques
Réaliser un audit.
Les outils de Pentest
- Quels outils utiliser ? Sont-ils vraiment indispensables ?
- La prise d'information. L'acquisition des accès.
- L'élévation de privilèges. Le maintien des accès sur le système.
- Les outils de Scan et de réseau.
- Les outils d'analyse système et d'analyse Web.
- Les outils d'attaque des collaborateurs.
- Quel outil pour le maintien des accès ?
- Les frameworks d'exploitation.
Travaux pratiques
Manipulation d'outils de Pentest. Utilisation d'outils de scan.
Rédaction du rapport
- Collecter les informations.
- Préparation du document et écriture du rapport.
- L'analyse globale de la sécurité du système.
- Décrire les vulnérabilités trouvées.
- Formuler les recommandations de sécurité.
Réflexion collective
Réalisation d'un rapport suite à un test d'intrusion.
Mises en situation
- Interception de flux HTTP ou HTTPS mal sécurisés.
- Test d'intrusion sur une adresse IP.
- Test d'intrusion d'applications client-serveur : FTP , DNS , SMTP.
- Tests d'intrusion d'applications Web (SQL Injection, XSS , vulnérabilité d'un module PHP et d'un CMS).
- Tests d'intrusion interne : compromission via une clé USB piégée et via un PDF malicieux.
Travaux pratiques
Les participants vont auditer un réseau d'entreprise sur la base d'un scénario d'un cas réel.