Objectifs pédagogiques
- À l’issue de la formation, le participant sera en mesure de :
- Comprendre la méthodologie du hacker
- Apprendre le vocabulaire lié au Hacking
- Mettre en pratique le cycle de l’attaquant
- Rédiger un rapport de pentest
Public concerné
- Techniciens et administrateurs systèmes et réseaux, architectes sécurité, intégrateurs sécurité, personnes étudiant la cyber-sécurité, responsables sécurité, auditeurs sécurité
Prérequis
Avoir des bases en sécurité réseaux niveau ou posséder les connaissances équivalentes
Programme de la formation
Principe et méthodologie du Hacking
- Définition.
- Typologie des attaquants.
- Vocabulaire.
- PTES.
- OWASP.
- OSSTMM.
- Red Team / Blue Team.
- Kill Chain unified.
Préparation audit + rapport
- Contrat.
- Contexte et périmètre.
- Rappels des lois en vigueur.
- La trousse à outil d’un pentesteur.
- Mise en place dans le cloud.
- Comment s’organise un rapport.
Vecteurs d’attaques
- Virus / ver / cheval de troie.
- Backdoor.
- Logiciel espion / Keylogger.
- Exploit.
- Rootkit.
- Ransomware.
- Pourriel / Hameçonnage / Canular informatique.
- Spearphishing.
- Botnet.
- Scanner de réseaux et de failles.
OSINT
- Présentation OSINT.
- Méthodologie OSINT.
- Exemples : Google dorks, recherche d’emails, recherche de sous-domaines.
Reconnaissance active et vulnérabilités
- Principe.
- Méthodologie.
- Pratique : Nmap, metasploit, scapy.
- MITRE ATT&CK.
- Scanner de vulnérabilités.
- Social ingénierie.
- CVE.
- Défaut de configuration.
Typologie des attaques
- Exploitation réseau (MITM).
- Social ingénierie / Phishing / Deepfake.
- Server side (Exploit CVE, Cracking + Bruteforce).
Hacking Web & Application Web, attaques avancées
- Principe.
- Méthodologie.
- Typologie d’attaque : Client side, Back side.
- TOP10 OWASP.
- Exploitation de failles.
- Création de Payload.
- Customiser ses exploits.
- Mise en œuvre du Pivoting.
- Exploitation Browser.
Post-exploitation, rapport
- Mise en œuvre de techniques d’exfiltration.
- C&C.
- Les élévations de privilège.
- Effectuer une énumération locale.
- Effacer ses traces.
- Exemple et étude d’un rapport.
- Communication et résultats.
Mise en situation, focus sur des technologies spécifiques
- Pentest d’un lab.
- Rédaction du rapport.
- Hack Wifi.
- Hack Cloud.
- Hack IoT.
- Hack Mobile.
Examen
- Révisions, examen blanc.
- Examen final.
À l’issue de la formation, le participant sera en mesure de :
Comprendre la méthodologie du hacker
Apprendre le vocabulaire lié au Hacking
Mettre en pratique le cycle de l’attaquant
Rédiger un rapport de pentest
Nous couvrirons les cours suivants: