Audit PASSI

Portée et référentiel PASSI & CMDB- Jour 1 1-Panorama des 5 portées PASSI et positionnement architecture Audit d’architecture : Analyse globale de l’organisation technique d’un SI : cartographie réseau, segmentation, flux, dépendances ; identification des zones critiques, modélisation des risques structurels. Audit de configuration : Vérification des paramètres et réglages techniques réels des systèmes, équipements et logiciels […]

Préparation et référentiels & Outils et extraction de configurations-Jour 1 1-Définition de la portée “audit de configuration” selon le référentiel PASSI Clarification du rôle de l’audit de configuration Panorama des référentiels et standards de configuration sécurisée Guides ANSSI de configuration sécurisée (Windows, Linux, équipements réseaux, firewalls, etc.) CIS Benchmarks pour OS, Appliance et services cloud […]

Cadrage, architecture et inventaire-Jour 1 1- Kick-off & cadrage PASSI Présentation des enjeux PASSI et du référentiel industriel (IEC 62443, guides ANSSI ICS) Définition de la portée : identification des sites, équipements, actifs OT critiques Cadrage avec le commanditaire, collecte documentation d’architecture 2- Cartographie & typologies Cartographie détaillée du réseau industriel, classification (CMDB OT) Typologie […]

1-Portée et vulnérabilités & Audit technique de code Positionnement “audit code source” PASSI, lien avec pentest/config Analyse OWASP Top10 : injections, XSS, CSRF, SSRF, path traversal Présentation outils : SonarQube, Bandit, Checkmarx, Snyk 2-Audit technique du code source Travaux pratiques : analyse de dépôt Git et chaîne d’audit automatisé Exploration et inspection d’un dépôt de code versionné Mise […]

1-Cadre, reconnaissance, scan – Jour 1 Portée pentest PASSI, articulation avec config/archi Cadre légal, responsabilité, chaîne de reporting Reco passive (OSINT, footprinting), scan actif (Nmap, enum4linux, Shodan) TP : reconnaissance sur SI simulé 2-Vulnérabilités & outils Scan vulnérabilités (Nessus, OpenVAS, VulnWhisperer), classement CVSS Démo scan applicatif web Burp Suite, TP brute force Hydra TP : tri findings, […]