Etalée sur 5 jours, la formation aux tests d’intrusion proposée par HSC permet à chaque stagiaire d’apprendre et de mettre en pratique les techniques d’intrusion les plus récentes sur les principales technologies du marché (systèmes d’exploitation, bases de données, applications Web, ...). Les tests d’intrusion permettent de découvrir des vulnérabilités majeures que les scanners de vulnérabilités ne voient pas toujours. Ils montrent comment un attaquant peut progresser au sein du réseau ciblé, en tirant parti de vulnérabilités dans des systèmes peu protégés pour compromettre par rebond des systèmes critiques. Ils sont le moyen le plus convaincant de mettre la sécurité d’un système informatique "à l’épreuve des faits". La compréhension des techniques d’intrusion utilisées par les pirates est indispensable. Sans cette connaissance, les technologies de sécurité mises en place manquent souvent de cohérence et d’efficacité : sans la maîtrise du mode opératoire des attaquants, il y a une mauvaise appréciation des risques et beaucoup de dépenses pour se protéger contre les mauvaises menaces.

Pendant 5 jours, les stagiaires basculent de l’autre côté du miroir

« Pendant cette formation, les stagiaires se placent du côté de l’auditeur, de l’attaquant. Ils basculent ainsi de l’autre côté du miroir. Comment fait l’attaquant ? Comment évaluer ma sécurité ? Comment vais-je pouvoir me défendre ? De cette manière, ils obtiennent une réaction visuelle de la façon dont on peut prendre la main sur un système. Il s’agit d’apprendre la méthodologie, pas forcément la démarche de bout en bout. Nous formons les stagiaires aux méthodes qu’utilisent les pirates afin qu’ils puissent se défendre par la suite. Nous ne leur apprenons pas à pirater. Pour ce faire, nous faisons appel à leur sens de déduction, en leur apprenant le socle de base de notre métier. En 5 jours, on ne peut cependant pas tout leur apprendre » souligne Julien Raeis, Consultant HSC.

La formation repose sur une méthode d’apprentissage pédagogique

L’objectif est de permettre aux stagiaires d’évaluer rapidement les risques que court un système informatique face à une intrusion externe. Pour ce faire, la formation repose sur une méthode d’apprentissage pédagogique. Une large place est, en effet, laissée dans la formation à l’expérimentation et à l’utilisation des outils et techniques d’intrusion.
Chaque phase du processus d’intrusion est présentée et illustrée par des démonstrations. Durant chaque module, tous les stagiaires disposent d’un ordinateur pour réaliser les travaux pratiques utilisant les techniques enseignées sur des plates-formes de tests du laboratoire HSC. Ils reçoivent les supports papiers de formation ainsi qu’une clé USB contenant des documents de référence et les outils utilisés lors de la formation.

Cette formation s’adresse aux experts en sécurité, consultants ou auditeurs internes dont le rôle est de vérifier la sécurité des systèmes informatiques, ainsi qu’aux administrateurs systèmes ou réseaux, chefs de projets, ou responsables sécurité voulant mieux comprendre les techniques des attaquants pour ainsi mieux sécuriser leurs systèmes. « Elle n’est pas dédiée à une population organisationnelle, mais à une population technique, qui a généralement de très bonnes connaissances de base ». Les participants doivent avoir une expérience dans l’utilisation des systèmes Windows et UNIX/Linux et une bonne connaissance des principaux protocoles de la suite TCP/IP. Des connaissances dans l’administration de bases de données ainsi que dans le développement d’application Web sont un plus mais ne sont pas indispensables.

1/3 de la formation est réservé à la pratique

La formation se déroule sur 5 jours, autour d’un programme relativement dense. Articulant les cours théoriques (2/3) et pratiques (1/3), elle comprend 10 modules en plus de l’introduction, qui abordent des domaines divers : la sécurité des serveurs et des applications Web, la sécurité Windows, Unix et Linux, la sécurité des réseaux et des transmissions.

Le premier jour fait guise d’introduction (méthodologie globale des tests d’intrusion, retours d’expérience et conseils, législation et déontologie), de découverte réseau et qualification des cibles, ainsi que d’attaques sur le réseau (attaques des routeurs et des pare-feu, aspect sécurité des principaux protocoles réseaux, principales attaques réseaux). Le second jour aborde le thème des intrusions sur les applications Web, le troisième jour la découverte des mots de passe, l’outil Metasploit, l’intrusion sur les bases de données, les attaques des applications. La quatrième journée évoque l’intrusion sur les systèmes Windows. Le dernier jour, enfin, reprend le thème des attaques des postes clients, ainsi que les intrusions sur les systèmes UNIX / Linux.

La formation évolue en fonction de l’actualité et des nouvelles vulnérabilités

« Depuis sa création en octobre 2007, la formation a évolué au niveau du contenu, puisque nous l’adaptons à l’actualité et aux nouvelles vulnérabilités. Nous évaluons a posteriori la formation. En fonction des feuilles d’évaluation remplies par les stagiaires et de leurs remarques, nous avons également affiné certains points. Pour le moment, quasiment tous les retours sont positifs. Une personne a trouvé la formation trop courte. La partie « Intrusion Web » est aujourd’hui la plus demandée car la majorité des intrusions se font sur les applications Web. Nous y consacrons, d’ailleurs, actuellement une journée et demie. En ce qui concerne l’avenir de la formation, certains points mineurs restent à affiner. C’est juste une question de perfectionnement. Pour le moment, cette formation accueille, environ une fois tous les 3 mois, 10 à 12 personnes selon la demande. Cette session, nous avons accueilli 13 personnes car la demande est très forte, nous envisageons, en conséquent, de créer des sessions supplémentaires. A terme, nous avons également pour projet de mettre en place une version avancée de cette formation ».

« Nous ne voyons pas l’intérêt d’une certification en tests d’intrusion »

« Il existe peu de formations du même type sur le marché. Contrairement à la concurrence, nous avons créé nous-mêmes notre formation, nos propres techniques et modules, et ce en langue française. Ce type de formation est logistiquement compliqué à mettre en place : supports de cours, TP et tout l’environnement nécessaire (postes clients, ensemble de cibles). Nous apportons, de plus, le suivi pédagogique, de bout en bout sur l’ensemble du stage, ainsi que notre expérience de consultant. Notre formation n’est, cependant, pas certifiante. La question de la certification a déjà été soulevée par plusieurs personnes, cependant nous ne voyons pas l’intérêt d’une certification en tests d’intrusion » conclut-il.