Sécurité de l'information Analyser les incidents de sécurité détectés
Apprendre à examiner les incidents de sécurité informatique identifiés au sein de votre Système d'Information.
Ce programme d'apprentissage vous enseigne à examiner les incidents de sécurité informatique identifiés au sein de votre Système d'Information. Vous explorerez les principes fondamentaux des réseaux informatiques, la détection des attaques, la mise en place de mesures de protection, ainsi que la collecte et l'analyse des journaux (logs).
Objectifs de l'apprentissage
- Apprendre à collecter et à analyser les logs
- Apprendre les fondamentaux des réseaux informatiques
- Connaître les failles et les menaces des systèmes d'information
- Concevoir et réaliser une architecture de sécurité adaptée
Composition du cours
- TCP/IP, mise en œuvre : 4 jours
- Sécurité systèmes et réseaux, niveau 1 : 4 jours
- Collecte et analyse des logs, un SIEM pour optimiser la sécurité de votre SI : 2 jours
- Certification "Analyser les incidents de sécurité détectés : 1 jour
Programme de la formation
La collecte des informations
- L'hétérogénéité des sources. Qu'est-ce qu'un événement de sécurité ?
- Le Security Event Information Management (SIEM). Les événements collectés du SI.
- Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).
- La collecte passive en mode écoute et la collecte active.
- Travaux pratiques : démarche d'une analyse de log. La géolocalisation d'une adresse. La corrélation de logs d'origines différentes, visualiser, trier et chercher les règles.
Le logiciel Splunk
- L'architecture et le framework MapReduce. Comment collecter et indexer les données ?
- Exploiter les données machine. L'authentification des transactions.
- L'intégration aux annuaires LDAP et aux serveurs Active Directory.
- Les autres logiciels du marché : Syslog, SEC (Simple Event Correlator), ELK (suite Elastic), Graylog, OSSIM, etc.
- Travaux pratiques : installation et configuration d'un logiciel (Splunk, ELK ou autre). Exemple d'analyse et de corrélation des données.
Introduction à TCP/IP
- Notions fondamentales. Architecture et normalisation.
- Services et protocoles. Mécanismes de communication.
- Mode de transfert. Fiable et non fiable, connecté ou non connecté.
- Le modèle client-serveur.
- Les RFC. Rôle de l'IETF, principe de la standardisation.
Interconnexion de réseaux IP
- Passerelle. Définition. Translation d'adresses publiques privées via la passerelle Internet (NAT, PAT).
- Répéteur. Interconnexion physique de réseaux.
- Pont. La segmentation du trafic. Le filtrage.
- Le protocole Spanning tree : élection du pont racine, choix des ports passants.
- Le routeur. Protocoles de routage dynamique. Routage à vecteur de distance : RIP, EIGRP.
- Routage à état de liaison : OSPF. Routage à vecteur de chemin : BGP.
- Le switch. Les techniques de commutation. La gestion de la bande passante.
- Les LAN virtuels : VLAN. Principe de fonctionnement.
- Introduction aux réseaux sans fil (802.11x). Les fréquences radio. La sécurité.
- Travaux pratiques : réaliser et valider une interconnexion de réseaux IP différents. Comparer l'utilisation de différents protocoles de routage. Comparer les performances en LAN et en VLAN.
Risques et menaces
- Introduction à la sécurité.
- État des lieux de la sécurité informatique.
- Le vocabulaire de la sécurité informatique.
- Attaques « couches basses ».
- Forces et faiblesses du protocole TCP/IP.
- Illustration des attaques de type ARP et IP Spoofing, TCP-SYNflood, smurf, etc.
- Déni de service et déni de service distribué.
- Attaques applicatives.
- Intelligence gathering.
- HTTP, un protocole particulièrement exposé (SQL injection, Cross site scripting, etc.).
- DNS : attaque Dan Kaminsky.
- Travaux pratiques tutorés : installation et utilisation de l'analyseur réseau Wireshark. Mise en œuvre d'une attaque applicative.
Architectures de sécurité
- Quelles architectures pour quels besoins ?
- Plan d'adressage sécurisé : RFC 1918.
- Translation d'adresses (FTP comme exemple).
- Le rôle des zones démilitarisées (DMZ).
- Exemples d'architectures.
- Sécurisation de l'architecture par la virtualisation.
- Firewall : pierre angulaire de la sécurité.
- Actions et limites des firewalls réseaux traditionnels.
- Évolution technologique des firewalls (Appliance, VPN, IPS, UTM…).
- Les firewalls et les environnements virtuels.
- Proxy serveur et relais applicatif.
- Proxy ou firewall : concurrence ou complémentarité ?
- Reverse proxy, filtrage de contenu, cache et authentification.
- Relais SMTP, une obligation ?
- Travaux pratiques : mise en œuvre d'un proxy cache/authentification.
Certification
Ce parcours de formation est validé via la rédaction et la présentation orale d'un projet professionnel.
Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques… Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.
