Objectifs et missions d’un SOC
■ Aborder les termes et définitions de la sécurité des systèmes d’information
■ Découvrir les métiers du SOC
■ Comprendre les concepts et l’environnement d’un SOC
■ Découvrir les fonctions d’un SOC (prévention, détection et remédiation)
■ Analyser la structure et le fonctionnement d’un SOC : Processus, ressource humaine et pilotage.
■ Appréhender les moyens humains, logistiques et applicatifs associés aux rôles et tâches d’une équipe SOC.
■ Déployer un SOC : (délimitation des besoins, la phase de "Build" et du "Run").
■ Externaliser le SOC.
Les fondamentaux de la cybersécurité
■ S’exercer avec les outils de Google Hacking et l'exploration du Deep Web.
■ Comprendre les baes de la cryptographie.
■ Introduction à la "Cyber Kill Chain, à l'OSINT.
■ S’initier aux techniques de prise d'empreinte.
■ Découvrir le fonctionnement des monnaies virtuelles.
■ Identifier les mécanismes cryptographiques employés par les Ransomwares.
La continuité d’activité
■ Découvrir les normes ISO 27001, Management de la sécurité de l'information et ISO 22301, référence internationale en continuité d’activité.
■ Intégrer l’amélioration continue.
■ Garantir une haute disponibilité avec un PCA et un PRA pour le SOC.
Introduction au python
■ Acquérir les bases de la programmation procédurale.
■ Aborder la notion de conception orientée objet.
■ Réaliser une première application.
Introduction au RGPD
■ Définir les aspects juridiques du RGPD.
■ Comprendre l'importance des obligations du RGPD.
■ S'assurer de la licéité du traitement.
■ Réaliser une analyse d'impact relative à la protection des données.
■ Tenir le registre des activités du traitement.
■ Parcourir la taxonomie des données.
■ Évaluation du risque associé au RGPD
Posture du consultant
■ Être capable de se présenter dans un temps limité et savoir se vendre en entretien.
■ Être capable de répondre à une question dans un temps limité.
■ Apprendre à présenter le résultat d’un travail, par écrit et à l’oral.
■ Apprendre à gérer les conflits et travailler en équipe.
Sécurisation des Réseaux
■ Comprendre les protocoles réseaux aussi que leurs failles & remédiations associées.
■ Mettre des mesurées de protection et durcissement avec des VLANs.
■ Aborder les différences et points communs entre l’IPV4 et l’IPV6.
■ Explorer les vulnérabilités WI-FI.
■ Découvrir les vulnérabilités spécifiques de l’ARP et l’ICMP.
■ Analyser le routage forcé de paquets IP (source routing).
■ Étudier le fonctionnement :
• de la fragmentation IP et les règles de réassemblage.
• des attaques par déni de service.
• de la prédiction des numéros de séquence TCP.
• du vol de session TCP : hijacking (Hunt, Juggernaut).
• des attaques sur l’SNMP.
• des attaques par TCP Spoofing (Mitnick).
Concepts et règles d'architectures sécurisées
■ Découvrir les méthodes de conception d’une architecture sécurisée.
■ Apprendre à se protéger « by design » : conception d’architecture de sécurité défensive par le cloisonnement cinématique des flux et la rupture protocolaire.
■ Générer une matrice de flux.
■ Configurer une DMZ.
■ Comprendre le principe des « pots de miel » (Honeypots).
■ Réaliser une étude de cas.
Administration et durcissement Linux
■ Gérer des droits - Sécurité des programmes avec AppArmor.
■ Partitionnement et systèmes de fichiers - LVM - GRUB & Secure-Boot.
■ Durcir Debian 10 - Signaux et processus
■ Gérer des paquets - Service/systemctl - Gestion des logs – Nftables
■ Décrypter de la journalisation locale.
■ Découvrir Kali Linux
Administration et durcissement Windows
■ Comprendre le durcissement de Windows
■ Décrypter la journalisation locale
■ Installer Windows Serveur 2019
■ Activation et configuration du domaine
■ Activation et configuration du service Active Directory
■ Détecter une intrusion administrateur dans l'Active Directory (l'agent WinlogBeat)
ITIL v4 : l’essentiel
■ Comprendre la terminologie et les concepts d'ITIL
■ Identifier les principes directeurs d'ITIL 4 pouvant aider une organisation à adapter le management des services.
■ Acquérir les 4 dimensions de la gestion des services
■ Comprendre la valeur ajoutée d'ITIL
Sécurité des systèmes mobiles
■ Découvrir les fondamentaux de la sécurisation des systèmes mobiles avec Android : architecture, sandboxing, permission, rooting, composantes d’une application
■ Réaliser une attaque « Man-in-the-middle » sur Android
Configurer les outils de la sécurité périmétrique (firewall – proxy – IPS - VPN)
■ Généralités sur les UTM.
■ Découvrir le fonctionnement d'un firewall de nouvelle génération.
■ Identifier les types de filtrages et de firewalls.
■ Configurer le routage d’un réseau, la translation d’adresses dynamique et statique et par port, l’ordre d’application des règles de NAT, du Proxy HTTPS, de l’analyse antivirale de l’IPS et du filtrage de contenu.
■ Configurer un portail d'authentification.
■ Mettre en place un tunnel VPN Ipsec et SSL.
■ Associer l’authentification transparente et la liaison à un annuaire.
■ Exporter les données vers un SIEM.
■ Réaliser un lab complet reprenant tous les éléments ci-dessus avec Stormshield.
Management des événements de la sécurité du SI
■ Comprendre le fonctionnement d’un SIEM au sein d'un SOC.
■ Apprendre à gérer une variété d'incidents.
■ Configurer l'analyse de vulnérabilité.
■ Comprendre l'analyse des logs.
■ Collecter l’information provenant des pare-feu, IPS, IDS, Routeur, commutateur, points d'accès, proxy et serveurs web / mail.
■ Agréger les logs
■ Normaliser les traces brutes pour obtenir des valeurs probantes.
■ Corréler en appliquant des règles pour permettre d'identifier un événement qui a causé la génération des logs
■ Créer un reporting pour générer des tableaux de bord et des rapports
■ Archiver pour garantir l'intégrité des traces pour des raisons juridiques et réglementaires.
■ Rejouer les événements pour mener des enquêtes post-incidents.
■ Savoir réagir à un évènement de sécurité
■ Étudier la mise en place d’un SIEM open source (ELK) :
• Présentation de la suite ELK
• Découverte d'Elasticsearch
• Découverte de Logstash
• Découverte de Kibana
• Étudier la mise en place d’un SIEM propriétaire européen certifié EAL 3+ (Logpoint)
• Configurer les listes
• Enrichir les données
• Configurer les vues de recherche
• Mettre en place les reportings
• Gérer les alertes
• Configurer les tableaux de bord
• Configurer le directeur et la confidentialité des données
• Devancer les menaces internes avec l’analyse comportementale avec l’UEBA (Analyse du comportement des entités et des utilisateurs)
Réponse aux incidents de sécurité
■ Maitriser le processus de réponse à incident à l’aide des normes et bonnes pratiques fournies par :
• Le NIST.
• L'ISO 27035.
• L’ANSSI.
• L’ENISA.
■ Limiter l'impact d'une compromission.
■ Gérer un tableau de bord des incidents.
■ Faire un lien avec les processus ITILv4
■ Présentation des outils CTI (Cyber Threat Intelligence).Limiter l'impact d'une compromission.
Analyse forensic
■ Connaître les différents types de crimes informatiques et le rôle de l'enquêteur informatique.
■ Établir la preuve numérique.
■ Mettre en place une analyse forensic d’un système.
■ Analyser l’étude forensic d'un système d'exploitation Windows, Linux et Android.
■ S’initier à l’intelligence gathering.
■ Découvrir les méthodes d’analyses post-mortem (Forensics).
Certification CSA - Analyste SOC Niveau I & II Code de l’examen : 312-39
La certification SOC Analyste (CSA) est la première étape pour rejoindre un SOC. Il est conçu pour les analystes de niveau I et II afin de leur permettre d’acquérir les compétences nécessaires pour effectuer des opérations de premier et deuxième niveau.
Le programme de la certification aborde 6 modules :
1. Management de la sécurité.
2. Comprendre les cybermenaces, l’indicateur de compromission (IoCs) et les méthodologies d’attaques.
3. Incidents, événements et journalisation.
4. Détection des incidents avec un SIEM.
5. Amélioration de la détection des incidents avec les Cyber Threats Intelligence (CTI) : OSINT, SOCMINT, HUMINT et le dark web.
6. Réponse à incidents.
Nombre de questions : 100
Durée : 3 heures
Score requis : 70% de bonnes réponses
Mise en situation professionnelle - Préparation à la certification professionnelle
■ Mettre en place à travers un cahier des charges l’ensemble des méthodes et technologies vues lors de l’ensemble de la formation. Formalisation et présentation des résultats de l’étude.
■ Soutenance individuelle devant jury.