Formation HSC : "Sécurité des serveurs et applications web par la pratique"

Marc Jacob — 2010-09-06T15:24:00Z

Hervé Schauer Consultants (HSC) a introduit l'an dernier des travaux pratiques dans toutes ses formations techniques. Petit focus sur une des formations stars : la formation Sécurité des Serveurs et Applications Web Cette formation représente un condensé de retour d'expérience d'HSC sur les tests intrusifs. Cette formation très dense est d'une durée de 3 jours, avec pour chaque concept des travaux pratiques avec un ordinateur par stagiaires.

Les formateurs Olivier Dembour et Nicolas Collignon sont des consultants très expérimentés dans les tests intrusifs et les audits applicatifs d'applications web. Ils maîtrisent tous les référentiels autour du sujet (OWASP, PCI-DSS, WASC, etc)

De très nombreux cas réels sont expliqués permettant de balayer un grand panel d'erreurs commises avec des exemples concrets.

Les travaux pratiques permettent aux stagiaires de se mettre dans la peau de l'attaquant face à une infrastructure proche de la leur. La compréhension couplée aux travaux pratiques permet au stagiaire d'obtenir un regard critique et de savoir parfaitement sécuriser son infrastructure.

Objectifs, pré-requis, plan détaillé sur

http://www.hsc-formation.fr/formati...

La formation Sécurité des Serveurs et Applications Web a déjà été dispensée avec 100% de taux de satisfaction auprès d'organismes gouvernementaux, d'industriels et de SSII, en France et à l'étranger.

HSC propose des formations en sécurité depuis 21 ans et a été le premier offreur de formations sur la sécurité web, et n'a pas cessé de développer son expertise sur le sujet.

Durée de la formation : 3 jours

Prochain session du 10 au mai 2010 à Paris (session confirmée) Coût : 1770 euros HT, réductions possibles pour plusieurs inscriptions

Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh - Tél. : +33 141 409 704

"Programme de formations HSC (Hervé Schauer Consultants) à partir d'Avril 2010"

HSC — 2010-09-06T00:05:00Z

Mon activité de consultant en sécurité des systèmes d'information a débuté en 1989 par la création d'une formation "Sécurité UNIX". Depuis HSC lie son activité de conseil et d'expertise au partage des connaissances par son programme de formations.

Vous retrouverez l'expertise technique issue de nos audits et tests d'intrusion dans nos modules dédiés aux problématiques techniques de la SSI. Ce socle historique est complété depuis 2003 par nos formations autour du management de la SSI dont 4 formations certifiantes dans lesquelles je m'implique en tant que formateur. Quelque soit votre métier, votre cursus ou vos projets vous trouverez dans ce catalogue une réponse toujours objective et pragmatique à vos besoins en sécurité des systèmes d'information.

A très bientôt lors de nos formations !

Hervé Schauer

Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh

formations@hsc.fr

Téléphone : +33 141 409 704

Télécopie : +33 141 409 709

Module 1 - Sécurité des Réseaux

Sécurité des réseaux et des transmissions (3 jours)
Ce cours magistral sur la sécurité TCP/IP vous permet de découvrir tant les aspects liés à l'intrusion et au filtrage IP que ceux concernant le chiffrement des échanges, avec de nombreuses démonstrations pratiques.
http://www.hsc.fr/services/formations/securite_reseaux.html.fr

Sécurité des réseaux sans fil (1 jour)
Ce cours détaille par une démarche pragmatique avec des démonstrations d'attaque les vulnérabilités des réseaux sans fil, explique la théorie, et dresse un panorama des solutions pratiques de sécurité.
http://www.hsc.fr/services/formations/securite_sansfil.html.fr

Sécurité de la voix sur IP (1 jour)
Ce cours détaille les points importants à connaître pour gérer la sécurité de la VoIP. Il est illustré par de nombreuses démonstrations et exemples (Alcatel, Asterisk, Avaya, Cisco, etc) et vous permet d'être à même de mener efficacement la sécurisation des architectures de VoIP.
http://www.hsc.fr/services/formations/securite_voip.html.fr

Module 2 - Sécurité des systèmes

Sécurité Windows (2 jours)
Ce cours explique en profondeur les mécanismes de sécurité les plus importants de Windows (Windows Server 2003, Windows Vista, Active Directory, CIFS/SMB, MSRPC, IIS, etc) et vous apporte sans tabou des recettes concrètes de sécurisation du système et de ses composants, à l'aide de nombreuses démonstrations.
http://www.hsc.fr/services/formations/securite_windows.html.fr

Sécurité Unix et Linux (2 jours)
Ce cours permet d'acquérir la maîtrise globale de la sécurisation du système d'exploitation Unix, dans toutes ses déclinaisons, notamment Linux et Solaris, ainsi que la sécurisation de son environnement applicatif. Le cours couvre à la fois la théorie et la pratique par de nombreuses démonstrations.
http://www.hsc.fr/services/formations/securite_unix.html.fr

Module 3 - Sécurité des applications

DNS (1 jour)
Ce cours permet d'être en mesure de maîtriser l'installation et la configuration d'un serveur DNS ainsi que son durcissement d'un point de vue sécurité. Le DNS est aujourd'hui l'application indispensable au bon fonctionnement d'Internet et de tout réseau privé. S'il s'agit d'un des plus anciens protocoles, c'est aussi l'un des plus sensibles. Les problèmes de sécurité ont été très longtemps ignorés. Il est donc important de maîtriser les principes de ce protocole ainsi que toutes ses implications d'un point de vue sécurité.
http://www.hsc.fr/services/formations/dns.html.fr

Postfix (1 jour)
Ce cours vous prépare à l'installation et à la mise en exploitation de Postfix, en environnement classique, avec une solution de filtrage anti-spam simple (SpamAssassin et listes noires). Le logiciel libre Postfix est un gestionnaire de messagerie simple à configurer et conçu pour une sécurité optimale. De plus il est peu gourmand en ressources système et constitue un choix légitime tant pour le traitement de flux importants de messages que pour de petites installations. Les participants doivent avoir une expérience d'administration de systèmes UNIX et des réseaux TCP/IP. Les personnes connaissant l'interface d'administration de Microsoft Exchange ou Lotus Notes n'auront pas l'expertise requise pour cette formation.
http://www.hsc.fr/services/formations/postfix.html.fr

Lutte contre le spam (1 jour)
Ce cours pratique vous permet d'acquérir la maîtrise des différents éléments constitutifs de Postfix, afin de l'intégrer à un environnement de production exigeant et d'y associer tout type de filtrage : anti-virus, anti-spam, ou tiers, tout en s'adaptant aux multiples contraintes que le spam fait aujourd'hui peser sur la messagerie. Il faut déjà maîtriser Postfix ou avoir suivi le cours Postfix pour suivre cette formation.
http://www.hsc.fr/services/formations/spam.html.fr

Sécurité des serveurs et applications web (2 jours)
Ce cours permet l'acquisition des principes nécessaires à la sécurisation d'un serveur web et des applicatifs associés avec Apache et Internet Information Services (IIS). Cette formation débute par un rappel sur la sécurité des serveurs réseau et une initiation aux règles de choix, d'installation et de configuration et comporte de nombreuses démonstrations.
http://www.hsc.fr/services/formations/securite_web.html.fr

Fonctionnement des PKI (1 jour)
Ce cours vous apporte la maîtrise des concepts de clé publique et certificat et appréhender les enjeux et limites des infrastructures de gestion de clés, d'un point de vue technique comme organisationnel. Chaque phase théorique est suivie d'une démonstration avec des logiciels libres.
http://www.hsc.fr/services/formations/pki.html.fr

Module 4 – Formation technique avec TP

Réalisation pratique des Tests d'Intrusion (5 jours)
Formation avec travaux pratiques.
Ce cours permet à chaque stagiaire d'apprendre et de mettre en pratique les techniques d'intrusion les plus récentes sur les principales technologies du marché : systèmes d'exploitation Windows et Linux, bases de données, applications Web, etc. La formation se veut pragmatique : chaque stagiaire dispose d'un ordinateur pour réaliser les travaux pratiques utilisant les techniques enseignées sur des plates-formes de tests du laboratoire HSC.
http://www.hsc.fr/services/formations/formations_ti.html.fr

Module 5 - Sécurité dans les développements

Programmation sécurisée (2 jours)
Ce cours met en évidences les principaux problèmes de sécurité connus et généraux liés notamment aux langages C/C++, Perl et PHP. Il introduit les principes des vulnérabilités abordées en décrivant leurs causes et explique comment empêcher chacune de ces failles. Il aborde également la façon de concevoir une application sensible, en se basant sur les fonctions de sécurité disponibles sous Unix, afin de minimiser les conséquences des vulnérabilités potentielles. http://www.hsc.fr/services/formations/programmation.html.fr

Programmation sécurisée en PHP par la pratique (3 jours)
Fort de son retour d'expérience en audit d'applications PHP, les formateurs effectueront un transfert de compétences permettant aux développeurs d'augmenter le niveau de sécurité des applications PHP. Chaque apprenant dispose d'un PC portable et d'une machine virtuelle comprenant un ensemble de sites Web vulnérables. Les apprenants ont comme principal objectif de corriger les vulnérabilités. Chaque type de vulnérabilité est abordé en 4 phases : explication théorique, présentation des risques liés à l'exploitation de la vulnérabilité, présentation des méthodes permettant d'implémenter un code sécurisé, travaux pratiques permettant de s'assurer de la bonne compréhension de la vulnérabilité et de la correction associée. La formation proposée par HSC permet à chaque stagiaire de découvrir les types de vulnérabilités rencontrées sur les applications PHP afin d'apprendre à implémenter un code sécurisé. http://www.hsc.fr/services/formations/programmation_php.html.fr

Module 6 -Management de la sécurité

Fondamentaux de la SSI (2 jours)
Maîtriser les concepts techniques de la Sécurité des Systèmes d'Information (SSI) : protocoles, architecture, attaques, fonctionnalités de base, est indispensable pour maintenir un système efficace et un niveau de sécurité répondant à ses besoins en sachant décoder les fonctionnalités affichées par les produits du marché. Ce cours, traitant à la fois de la sécurité périmétrique et applicative, apporte tous les éléments pour choisir les dispositifs de sécurité adaptés à vos objectifs de sécurité et votre environnement.
http://www.hsc.fr/services/formations/fondamentauxSSI.html.fr

Formation RSSI (5 jours)
La formation RSSI permet d'acquérir les compétences indispensables à l'exercice de la fonction responsable de la sécurité des systèmes d'information, des stratégies de prise de fonction aux connaissances techniques de base en passant tous les aspects organisationnels, management, sensibilisation, juridiques, et le marché de la sécurité. De nombreux spécialistes et un RSSI interviennent au cours de la semaine. http://www.hsc.fr/services/formations/formationRSSI.html.fr

Gestion des Identités et des Accès (3 jours)
Ce cours vous permet de disposer des moyens en terme de méthode et d'approche pour définir et justifier le juste besoin de votre organisme en matière de gestion des identités et des accès, d'en évaluer les conditions de réalisation, lotissement, chiffrage et planification, et d'en optimiser les chances de succès. Des exercices réalistes et des études de cas réels sont proposés en séance pour une parfaite appropriation de ces moyens. http://www.hsc.fr/services/formations/gestion_des_identites.html.fr

L'essentiel de PCI-DSS (1 jour)
PCI-DSS, le standard sécurité imposé par l'industrie de la carte de paiement : d'où vient ce standard ? Qui doit s'y conformer ? Comment s'y conformer ? La formation "L'essentiel de PCI-DSS" répond en une journée à vos questions, vous donne les principales obligations du standard et vous propose un plan de mise en conformité. Quiconque gère, stocke ou transmet des informations venant des cartes de crédit saura à l'issue de la formation quelles mesures de sécurité il doit prendre pour pouvoir continuer à le faire. Cette formation est dispensée par Rodolphe Simonetti et/ou Abdelbaset Latreche de Verizon, tous deux consultants expérimentés en sécurité et auditeurs certifiés QSA.
http://www.hsc.fr/services/formations/essentiel_pcidss.html.fr

L'essentiel de la série ISO27001 (2 jours) Ce cours présente les bases de la norme ISO 27001 et des normes qui lui sont associées. Elle donnera aux décideurs une vue claire des tâches indispensables à la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI) conforme à la norme ISO 27001. Ceci permettra d'évaluer la pertinence de la mise en place d'un tel système.
http://www.hsc.fr/services/formations/essentiel_iso27001.html.fr

Indicateurs et tableaux de bord SSI (1 jour)
Ce cours donne tous les éléments nécessaires pour mettre en place des indicateurs dans un SMSI, pour mesurer l'efficacité des mesures de sécurité, et faire en sorte qu'ils soient à la fois conformes aux exigences de la norme, pertinents, faciles à exploiter dans le temps, et permettent un tableau de bord utile aux prises de décision.
http://www.hsc.fr/services/formations/indicateursSSI.html.fr

Gestion des mesures de sécurité et norme ISO 27002 (2 jours)
Ce cours permet de comprendre les exigences de la norme 27001 en termes de mesures de sécurité, d'être capable de choisir les mesures de sécurité appropriées dans l'ISO 27002 à partir des résultats d'une appréciation des risques, de comprendre la structure PDCA d'une mesure de sécurité et de savoir élaborer une mesure de sécurité, rédiger la procédure opérationnelle associée, identifier les indicateurs pertinents et déterminer des méthodes d'audit appropriées. Enfin ce cours explique comment démontrer la conformité de votre mise en oeuvre des mesures de sécurité ISO 27002 à un auditeur.
http://www.hsc.fr/services/formations/gestiondesnormes_iso27002.html.fr

Certification ISO 27001 (1 jour)
Ce cours vous permet de comprendre le processus de certification ISO27001, être en mesure de choisir un périmètre approprié, savoir comment choisir un organisme de certification et comprendre comment fonctionnent ces organismes, et enfin prévoir les attentes de l'auditeur de certification et savoir lui démontrer la conformité de votre SMSI à la norme ISO 27001.
http://www.hsc.fr/services/formations/certification_iso27001_1jour.html.fr

Mutualisation ISO 27001 avec les autres référentiels (1 jour)
Ce cours apprend à intégrer la mise en place d'un SMSI selon l'ISO 27001 dans un système d'information en profitant des autres référentiels déjà utilisés : ITIL / CoBIT / ISO 20000, avec l'objectif de réduire les coûts de la mise en place d'un SMSI.
http://www.hsc.fr/services/formations/mutualisation_iso27001.html.fr

ISO 27005 Risk Manager (Information Security Risk Manager) (3jours)
Formation certifiante avec travaux pratiques.
Ce cours vous apprend à mettre en oeuvre votre gestion de risque en sécurité de l'information, par la mise en oeuvre de la méthode normalisée ISO 27005, aussi bien dans le cadre d'un SMSI selon l'ISO 27001 que dans d'autres circonstances.
La partie pratique et exercices prédomine sur la théorie pour donner les moyens au stagiaire de réaliser son appréciation des risques et réussir l'examen.
http://www.hsc.fr/services/formations/iso27005riskmanager.html.fr

ISO27001 Lead Auditor (ISMS Lead Auditor) (5 jours)
Formation certifiante avec travaux pratiques.
Ce cours vous permet de devenir auditeur ou responsable d'audit (Lead Auditor 27001) pour les systèmes de management de la sécurité de l'information (SMSI), soit pour les organismes de certification, soit comme auditeur interne ou auditeur conseil. Le cours vous permet d'acquérir la connaissance des normes de SMSI (ISO 27001 et les autre normes ISO 2700x) et la maîtrise pratique des normes d'audit (ISO 19011, ISO 17021 et ISO 27006).
http://www.hsc.fr/services/formations/certification_iso27001.html.fr

ISO27001 Lead Implementer (ISMS Lead Implementer) (5 jours)
Formation certifiante avec travaux pratiques.
Ce cours vous apprend à mettre en oeuvre votre SMSI et à devenir responsable d'implémentation ISO 27001, en utilisant l'ISO 27001 et tous les guides associés. La formation explique les normes et comment s'en servir concrètement, avec des exemples pour que chacun puisse les reproduire chez lui, en sachant organiser son projet et le dimensionner. Les exercices conçus à partir des retours d'expérience des consultants permettent, par des études de cas, d'apprendre à mettre en oeuvre et à prendre les bonnes décisions.
http://www.hsc.fr/services/formations/responsable_implementation_iso27001.html.fr

ISO20000-1 Lead Auditor (5 jours)
Formation certifiante avec travaux pratiques. Ce cours vous permet de devenir auditeur ou responsable d'audit pour les systèmes de management des services informatiques des organisations, soit pour les organismes de certification, soit comme auditeur interne ou auditeur conseil. La norme ISO 20000-1 est une évolution d'ITIL v2 vers une gestion de service utilisant les principes des systèmes de management et donc permettant un audit comme ISO 9001, ISO 14001 ou ISO 27001. Le cours vous permet d'acquérir la connaissance des normes de gestion de service ISO 20000-1 et ISO 20000-2, et la maîtrise pratique des normes d'audit ISO 19011 et ISO 17021.
http://www.hsc.fr/services/formations/iso20000_la.html.fr

Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations@hsc.fr
Téléphone : +33 141 409 704
Télécopie : +33 141 409 709

Pour télécharger le bulletin d'inscription :

Global Security Mag Online