Tests d’intrusion -Sécurité PASSI

Portée et référentiel PASSI & CMDB- Jour 1 1-Panorama des 5 portées PASSI et positionnement architecture Audit d’architecture : Analyse globale de l’organisation technique d’un SI : cartographie réseau, segmentation, flux, dépendances ; identification des zones critiques, modélisation des risques structurels. Audit de configuration : Vérification des paramètres et réglages techniques réels des systèmes, équipements et logiciels […]

Préparation et référentiels & Outils et extraction de configurations-Jour 1 1-Définition de la portée “audit de configuration” selon le référentiel PASSI Clarification du rôle de l’audit de configuration Panorama des référentiels et standards de configuration sécurisée Guides ANSSI de configuration sécurisée (Windows, Linux, équipements réseaux, firewalls, etc.) CIS Benchmarks pour OS, Appliance et services cloud […]

Cadrage, architecture et inventaire-Jour 1 1- Kick-off & cadrage PASSI Présentation des enjeux PASSI et du référentiel industriel (IEC 62443, guides ANSSI ICS) Définition de la portée : identification des sites, équipements, actifs OT critiques Cadrage avec le commanditaire, collecte documentation d’architecture 2- Cartographie & typologies Cartographie détaillée du réseau industriel, classification (CMDB OT) Typologie […]

1-Portée et vulnérabilités & Audit technique de code Positionnement “audit code source” PASSI, lien avec pentest/config Analyse OWASP Top10 : injections, XSS, CSRF, SSRF, path traversal Présentation outils : SonarQube, Bandit, Checkmarx, Snyk 2-Audit technique du code source Travaux pratiques : analyse de dépôt Git et chaîne d’audit automatisé Exploration et inspection d’un dépôt de code versionné Mise […]

1-Gouvernance et documentation- Jour 1 Portée orga/physique PASSI (liens avec archi, config) Évaluation politique SSI, chartes, procédures métiers, GRC (Governance, Risk, Compliance) Interviews, audits documentaires, contrôle d’application 2- Processus et conformité Vérification conformité RGPD, LPM, NIS2 Tests d’application : procédures SSI, simulation gestion incident, audit de traçabilité TP : audit documentaire et simulation crise 3-Audit physique- Jour […]

1-Introduction Équipement et outils Organisation de l’audit Méthodologie des tests d’intrusion Gestion des informations et des notes Exemple de bon rapport d’audit Les meilleurs pratiques : PASSI 2-Rappels et bases Les shells Unix *sh Les shells Windows cmd & powershell Rappels sur les réseaux tcp/ip Rappels du protocole HTTP Introduction à Metasploit Exploits et Payloadso […]

Préparation & Organisation Évaluation préalable des prérequis apprenants via QCM Réunion de préparation : adaptation du scénario Black Box en fonction du contexte métier et des attentes (analyse du périmètre pour design d’un scénario type sans information préalable) Format Intra entreprise : maximum 5 participants 1-Introduction & Enjeux Black Box Positionnement méthodologique (“zero knowledge”, posture attaquant […]

1-Préparation & Organisation Évaluation préalable des prérequis apprenants via QCM Réunion de préparation : adaptation du scénario Grey Box en fonction du contexte métier et des attentes (analyse du périmètre pour design d’un scénario type sans information préalable) Format Intra entreprise : maximum 5 participants 2-Introduction & Enjeux Grey Box Présentation de la méthodologie, contextes métiers […]

Préparation & Organisation Évaluation préalable des prérequis apprenants via QCM Réunion de préparation : adaptation du scénario White Box en fonction du contexte métier et des attentes (analyse du périmètre pour design d’un scénario type sans information préalable) Format Intra entreprise : maximum 5 participants 1-Introduction & Enjeux White Box Présentation de la méthodologie, contextes métiers […]