Security Policies and Pentest

Objectifs pédagogiques

  • Permettre aux étudiants de connaître les concepts de l’analyse de risque et de la mise en œuvre d’une politique de sécurité de système d’information.
  • Maîtriser les démarches nécessaires pour maintenir en condition de sécurité des systèmes d’information.
  • Apprendre à expliquer la politique de sécurité auprès des acteurs de la gouvernance et des acteurs techniques de l’entreprise.

Description du cours

Les étudiants parcourent les concepts suivants : Politique de sécurité, gestion du risque, analyse et scénario de la menace, biens primordiaux.

Ce module est divisé en deux parties :

Partie A: Risk analysis: Comprendre les concepts de l’analyse de risque en cybersécurité

Partie B : Security policy :  Comprendre l’attaque pour mieux se défendre

Cette partie de la formation vise à réaliser une prestation de test d’intrusion pour une entreprise fictive. Ce test est réalisé sur un réseau d’entreprise virtualisé comprenant une trentaine de machines et composants réseau. Cet exercice permet aux étudiants de découvrir et d’approfondir de nombreux concepts organisationnels et techniques.

Pour ce faire, l’étudiant doit adopter une approche pragmatique pour détecter et évaluer les risques liés aux vulnérabilités détectées.

Ces résultats sont ensuite restitués dans un rapport de test d’intrusion.

Mots-clés

Risk analysis- Security policy

Pentest – network

Prérequis

Fondamentaux des systèmes d’information, Linux (Kali), Network, Windows

Bibliographie

Partie A : Comprendre les concepts de l’analyse de risque en cyber sécurité

  • An Introduction to ISO 27001, ISO 27002….ISO 27008, by The ISO 27000 Directory
  • Cybersécurité : Analyser les risques, mettre en œuvre les solutions (6ème édition), by Solange Ghernaouti, 2019
  • EBIOS – Expression des besoins et identification des objectifs de sécurité, by Agence nationale de la sécurité des systèmes d’information (ANSSI), 2011
  • Sécurité informatique : Pour les DSI, RSSI et administrateurs (5ème édition), by Laurent Bloch, Christophe Wolfhugel, Ary Kokos, Gérôme Billois, Arnaud Soullié, Alexandre Anzala-Yamajako and Thomas Debize, 2016

Partie B : Comprendre l’attaque pour mieux se défendre

  • Metasploit – The Penetration Tester’s Guide, by David Kennedy, Jim O’Gorman, Devon Kearns, and Mati Aharoni, 2011
  • Nmap 6 – Network exploration and security auditing Cookbook, by Paulino Calderon Pale, 2012
  • Rtfm: Red Team Field Manual, by Ben Clark, 2014
  • Penetration Testing – A Hands-On Introduction to Hacking, by Georgia Weidman, 2014.