Formation - Tests d'intrusion - Mise en situation d'audit

1 - Méthodologie de l'Audit

2 - Objectifs et types de Pen Test

• Qu'est-ce qu'un Pen Test ?
• Le cycle du Pen Test
• Différents types d'attaquants
• Types d'audits : boîte noire, boîte blanche, boîte grise
• Avantages du Pen Test
• Limites du Pen Test
• Cas particuliers : dénis de service, ingénierie sociale

3 - Aspect règlementaire

• Responsabilité de l'auditeur
• Contraintes fréquentes
• Législation : articles de loi
• Précautions
• Points importants du mandat

4 - Exemples de méthodologies et d'outils

• Préparation de l'audit
• Déroulement
• Cas particuliers
• Habilitations
• Dénis de service
• Ingénierie sociale
• Déroulement de l'audit
• Reconnaissance
• Analyse des vulnérabilités
• Exploitation
• Gain et maintien d'accès
• Comptes-rendus et fin des tests

5 - Mise en pratique sur Metasploitable

• Attaque de la machine virtuelle Metasploitable
• Recherche d'informations
• Recherche de vulnérabilités
• Exploitation des vulnérabilités
• Maintien de l'accès

6 - Éléments de rédaction d'un rapport

• Importance du rapport
• Composition
• Synthèse générale
• Synthèse technique
• Évaluation du risque
• Exemples d'impacts
• Se mettre à la place du mandataire

7 - Préparation du rapport d'audit

• Mise en forme des informations collectées lors de l'audit
• Préparation du document et application de la méthodologie vue lors du premier jour

8 - Écriture du rapport

• Analyse globale de la sécurité du système
• Description des vulnérabilités trouvées
• Définition des recommandations de sécurité
• Synthèse générale sur la sécurité du système

9 - Transmission du rapport

• Précautions nécessaires
• Méthodologie de transmission de rapport
• Que faire une fois le rapport transmis ?