Accueil    Formations    Informatique    Cybersécurité    Sécurité offensive    Techniques de hacking et contre-mesures - Niveau 1

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vidéo de présentation

Cette formation peut être financée grâce au CPF (Compte Personnel de Formation). Le Compte Personnel de Formation permet d'acquérir des droits à la formation professionnelle, comptabilisés en euros, que chacun peut utiliser avec ou sans l'accord de son employeur tout au long de sa vie active (y compris en période de chômage) pour suivre une formation qualifiante ou certifiante. 

Consultez le montant de vos droits CPF Consultez la charte de déontologie


La formation Techniques de hacking et contre-mesures sera ponctuée par votre certification Sécurité Pentesting.
La certification Sécurité Pentesting vous permet de valoriser vos compétences indispensables pour la réalisation de tests consistant à examiner tous les réseaux et les systèmes informatiques, en simulant les actions d'un intrus potentiel à l'intérieur de leur environnement de travail.
La certification Sécurité Pentesting est un label qualité attestant officiellement de votre expertise et répondant aux demandes actuelles du marché.

Objectifs pédagogiques / Compétences visées

  • Détecter les fragilités d'un système par la connaissance des différentes cibles d'un piratage
  • Appliquer des mesures et des règles basiques pour lutter contre le hacking
  • Identifier le mécanisme des principales attaques.

Niveau requis

Posséder des bases dans la sécurité des systèmes d'information. Connaître le fonctionnement d'un réseau, maîtriser des connaissances dans la gestion des données et de leur circulation.

Public concerné

Décideurs, responsables DSI, responsables sécurité du SI, chefs de projets IT.

Programme

Jour 1

Histoire et chiffres

  • Qu'est-ce que la cybersécurité ?
  • Histoire de la cybersécurité
  • Impacts suite à une cyberattaque
  • Les types d'attaquants (White hat...)
  • Qu'est-ce que le hacking ?
  • Les types d'attaques (Malware, MITM, SE...)
  • Les différentes phases d'une attaque (Cyber Kill Chain)
  • Les métiers de la cybersécurité
  • Les différentes lois et référentiels
    • PTES (Penetration Testing Execution Standard)
    • OWASP
    • Article 323
    • Les normes ISO 27000
    • MITRE : ATT&CK
    • Scoring CVSS (Common Vulnerability Scoring System)
Exemple de travaux pratiques (à titre indicatif)
  • Technique d'intrusion hardware (Bypass de sessions Windows et Linux)

Jour 2

Reconnaissance passive et active

  • Utilisation d'outils publics pour obtenir des informations sur une cible
    • Google Dorks
    • OSINT Framework
    • Social Engineering
    • Maltego...
  • Présentation des outils de reconnaissance active (Nmap, Hping3) et leur signature (Wireshark)
  • Banner grabbing : description des services d'une cible
  • Présentation des outils d'analyse (NmapSE et Metasploit)
  • Analyse de vulnérabilités
    • Nessus
    • OpenVas
    • ExploitDB
    • CVE (Common Vulnerability Enumeration)
    • CWE (Common Weakness Enumeration)
    • CAPEC (Common Attack Pattern Enumeration and Classification)
    • NVD (National Vulnerability Database)...
Exemples de travaux pratiques (à titre indicatif)
  • Reconnaissance passive d'une entreprise
  • Création de dictionnaire (Crunch, cupp.py, Top probable)
  • Technique d'attaque par dictionnaire
  • Récupération d'informations sur une infrastructure virtualisée

Jour 3

Attaques réseau

  • Liste des protocoles les plus vulnérables
  • Compréhension et utilisation des techniques de "l'homme du milieu" (MITM)
  • Attaques sur les protocoles réseaux
    • IDLE Scan
    • LLMNR (Link-Local Multicast Name Resolution)
    • WPAD (Web Proxy Auto Discovery)
    • DoS
    • ARP (Address Resolution Protocol)
    • usurpation d'IP et MAC
    • DHCP (Dynamic Host Configuration Protocol)
    • DNS (Domain Name System)
  • Description des Protocoles 802.11 et attaques associées
Exemples de travaux pratiques (à titre indicatif)
  • Mise en pratique des techniques MITM
  • Evil-Twin, brute-force WPA2

Attaques Web

  • Présentation du Top 10 OWASP
  • Apprentissage et compréhension des injections
  • Exploitation de failles Cross-Site Scripting (XSS)
  • Exploitation des mauvaises configurations de sécurité
  • Reconnaissance et utilisation des références directes non sécurisées à un objet

Jour 4

  • Cross-Site Request Forgery (CSRF)
  • Exploitation de vulnérabilités connues
Exemples de travaux pratiques (à titre indicatif)
  • Démonstration Injection et XSS
  • Challenge Web client et serveur

Exploitation

  • Présentation et prise en main des frameworks offensifs (Metasploit, Empire)
  • Recherche et obtention d'accès via une vulnérabilité identifiée
Exemple de travaux pratiques (à titre indicatif)
  • Utilisation de la faille "Eternalblue"

Jour 5

  • Création d'une charge (Payload)
Exemple de travaux pratiques (à titre indicatif)
  • Création d'une charge malveillante

Post-exploitation

  • Objectifs de la phase de post-exploitation
  • Identification des modules de post-exploitation
Exemples de travaux pratiques (à titre indicatif)
  • Démonstration du module Meterpreter
  • Création d'une persistance ou d'une porte dérobée sur une machine compromise

Certification (en option)

  • Prévoir l'achat de la certification en supplément
  • L'examen (en français) sera passé le dernier jour, à l'issue de la formation et s'effectuera en ligne
  • Il s'agit d'un QCM dont la durée moyenne est d'1h30 et dont le score obtenu attestera d'un niveau de compétence
  • NB : Certification M2i "Sécurité Pentesting" valide jusqu'au 31/12/2021. N'hésitez pas à contacter votre Conseiller Formation pour toute information complémentaire

Modalités d’évaluation des acquis

  • En cours de formation, par des études de cas ou des travaux pratiques
  • Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)

Compétences attestées par la certification

  • Définir les forces et faiblesses du système de sécurité en place
  • Identifier les vulnérabilités
  • Mesurer les impacts des menaces de sécurité
  • Définir la portée des tests de pénétration
  • Réaliser les tests de pénétration
  • Etablir les résultats Pentesting.

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vous souhaitez suivre cette formation ?

Cette formation est disponible en présentiel ou en classe à distance, avec un programme et une qualité pédagogique identiques.

Choisissez la modalité souhaitée pour vous inscrire :

Votre société a besoin d'une offre personnalisée ? Contactez-nous

Testez vos connaissances

Nos quizz vous guident dans le choix de formation.
Évaluez votre niveau de pré-requis pour découvrir la formation faite pour vous.

Accédez au test de connaissance

Faites évoluer vos compétences

Faites-nous part de votre projet de formation, nous sommes là pour vous guider.

Contactez-nous