Atos services de cybersécurité, le programme de formation
Des contenus ajustés aux réalités de vos missions
Nos formations sont une réponse à un constat : de nombreuses formations expliquent la théorie mais ne s’intéressent pas à son application dans le quotidien. En effet, il n’est pas toujours évident de traduire des concepts dans une entreprise disposant de son contexte et de son histoire.
C’est pourquoi nous avons décidé de proposer des formations immédiatement opérables à la fin du cours. Non seulement vous trouverez des travaux pratiques permettant de mettre rapidement en application ce qui vous a été transmis, mais en plus nous présentons des anecdotes, des outils ou des modèles issus de notre expérience cliente quotidienne.
Nos formateurs sont des experts dans leur domaine (technique et fonctionnel) et accompagnent nos clients au quotidien. Bon nombre d’entre eux sont également des conférenciers et rédacteurs éprouvés.
Nous suivre et nous contacter :
Les modules de formation des services de cybersécurité
Atos accompagne les entreprises et les administrations afin de protéger les actifs de leur système d’information avec une approche mesurée des risques.
Atos est référencé sur Datadock et permet ainsi aux entreprises de faire financer les formations de leurs salariés par un OPCO (OPérateurs de COmpétences).
Les formations techniques
CODEX01 : COnnected Devices EXploitation
Durée : 5 jours
Objectifs
- S’interfacer et communiquer avec un objet connecté
- Déterminer la surface d’attaque d’un objet connecté
- Extraire les micro-logiciels de différentes façons
- Analyser les micro-logiciels
- Identifier des vulnérabilités dans un micro-logiciel et les exploiter
- Conserver un accès résistant aux mises à jour de l’objet compromis
Public concerné
- Pentesters IT
- Hackers
- Rétro-ingénierie
- Analystes inforensiques
- Concepteur de solutions connectées
Prérequis
- Bases en ethical hacking
- Connaissance d’un langage de scripting : Perl, Python, Ruby
- Disposer d’un laptop pouvant exécuter une machine virtuelle
Programme
- Introduction
- Rétro-ingénierie du schéma électronique
- Ports de communication série
- Protocoles de communication électroniques
- Extraction des micro-logiciels
- Rétro-ingénierie de micro-logiciels
- Recherche de vulnérabilités
- Backdooring
- Communications sans-fil
CODEX02 : COnnected Devices EXploitation AVANCÉ
Durée : 5 jours
Objectifs
- Contourner les protections contre l’extraction de micrologiciel
- Obtenir un accès privilégié au système d’un objet connecté
- Analyser un micro-logiciel d’un système ne reposant pas sur un système d’exploitation
- Identifier et exploiter des vulnérabilités applicatives sur architecture ARM
- Réaliser des attaques par canaux auxiliaires afin de contourner des restrictions
Public concerné
- Pentesters Hardware (débutant) IT
- Hackers
- Rétro-ingénierie
- Analystes inforensiques
- Concepteur de solutions connectées
Prérequis
- Suivi du cours CODEX01, ou :
• Connaissance du langage assembleur (x86 ou ARM)
• Maîtrise d’un langage de scripting (Python, Ruby)
• Connaissances de base en électronique numérique
• Maîtrises des outils de mesure et d’analyse électronique
• Connaissance de base de la radio logicielle
• Disposer d’un laptop pouvant exécuter une machine virtuelle
Programme
- Introduction
- Extraction de firmware
- Rétro-ingénierie de micro-logiciel
- Exploitation de vulnérabilités applicatives
- Attaques side-channel
- Communications sans-fil
CRYPTO : Initiation à la cryptologie
Durée : 5 jours
Objectifs
- Maîtriser les concepts de la cryptographie
- Connaître les différents mécanismes
- Appréhender les différents types et usages
- Comprendre leur robustesse et faiblesse
- Anticiper les futurs concepts
Public concerné
- Chef de Projets
- Architectes
- Responsables et ingénieurs de production
- Développeurs
Prérequis
- Connaissances basiques en mathématiques
Programme
- Introduction
- Cryptographie symétrique classique
- Chiffrement de flux
- Chiffrement par bloc
- L’aléatoire
- Les empreintes
- La cryptographie asymétrique
- La signature électronique
- Les infrastructures de gestion des clés
- La robustesse
- Chiffrement des flux réseaux
- Cryptographie quantique
CERT : Réponse à incident et Inforensique
Durée : 5 jours
Objectifs
- Comprendre les principes d’une réponse à incident et d’une analyse inforensique
- Appréhender la mise en oeuvre, les outils et méthodologies associées
Public concerné
- Intervenants en réponse à incidents et inforensique
- Managers et chefs de projets des équipes sécurité
- Membres de CERT/CSIRT
Prérequis
- Connaissances techniques confirmées en sécurité
Programme
- Analyse inforensique
- La notion de preuve
- Les images disques
- Windows
- Création d’une super Timeline
- L’information en mémoire RAM
- Analyse de malwares
- Présentation générale d’Android
- Analyse d’uneapplication Android (APK) malveillante
SECDEV : Développement Web Sécurisé
Durée : 3 jours
Objectifs
- Comprendre les enjeux de la sécurité applicative en environnement web
- Comprendre les vulnérabilités applicatives les plus courantes
- Déterminer la surface d’attaque d’une application web
- Appréhender les moyens de correction, de sécurisation et de prévention
- Comprendre l’intégration de la sécurité dans le SDLC
Public concerné
- Développeurs
Prérequis
- Connaissance des environnements web
Programme
- Introduction
- Les vulnérabilités
- Rappels de cryptographie
- Comprendre les vulnérabilités et les attaques les plus courantes
- Protection
- Garantir et maintenir la sécurité
Kit de démarrage complet offert avec les formations CODEX !
Les formations organisationnelles
ISO 27001 – Certified Lead Implementer
Durée : 5 jours
Objectifs
- Comprendre la corrélation entre la norme ISO/CEI 27001 et la norme ISO/CEI 27002, ainsi qu’avec d’autres normes et cadres réglementaires
- Maîtriser les concepts, approches, méthodes et techniques nécessaires pour mettre en oeuvre et gérer efficacement un SMSI
- Savoir interpréter les exigences de la norme ISO/CEI 27001 dans un contexte spécifique de l’organisation
- Savoir accompagner une organisation dans la planification, la mise en oeuvre, la gestion, la surveillance, et la tenue à jour du SMSI
- Acquérir l’expertise nécessaire pour conseiller une organisation sur la mise en oeuvre des meilleures pratiques relatives au Système de management de la sécurité de l’information
Public concerné
- Responsables ou consultants impliqués dans le management de la sécurité de l’information
- Conseillers spécialisés désirant maîtriser la mise en oeuvre d’un Système de management de la sécurité de l’information
- Toute personne responsable du maintien de la conformité aux exigences du SMSI
- Membres d’une équipe du SMSI
Prérequis
- Une bonne connaissance de la norme ISO/CEI 27001 et des connaissances approfondies des principes de mise en oeuvre.
Programme
Après avoir maîtrisé l’ensemble des concepts relatifs aux Systèmes de management de la sécurité de l’information, vous pouvez vous présenter à l’examen et postuler au titre de «PECB Certified ISO/CEI 27001 Lead Implementer ». En étant titulaire d’une certification PECB, vous démontrerez que vous disposez des connaissances pratiques et des compétences professionnelles pour mettre en oeuvre la norme ISO/CEI 27001 dans une organisation.
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées pour la mise en oeuvre du SMSI
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification.
ISO 27001 – Certified Lead Auditor
Durée : 5 jours
Objectifs
- Comprendre le fonctionnement d’un Système de management de la sécurité de l’information (SMSI) conforme à la norme ISO /CEI 27001
- Expliquer la corrélation entre la norme ISO/CEI 27001 et la norme ISO/CEI 27002, ainsi qu’avec d’autres normes et cadres réglementaires
- Comprendre le rôle d’un auditeur : planifier, diriger et assurer le suivi d’un audit de système de management conformément à la norme ISO 19011
- Savoir diriger un audit et une équipe d’audit
- Savoir interpréter les exigences d’ISO/CEI 27001 dans le contexte d’un audit du SMSI
- Acquérir les compétences d’un auditeur dans le but de : planifier un audit, diriger un audit, rédiger des rapports et assurer le suivi d’un audit, en conformité avec la norme ISO 19011.
Public concerné
- Auditeurs souhaitant réaliser et diriger des audits de certification du Système de management de la sécurité de l’information
- Responsables ou consultants désirant maîtriser le processus d’audit du Système de management de la sécurité de l’information
- Toute personne responsable du maintien de la conformité aux exigences du SMSI
- Experts techniques désirant préparer un audit du Système de management de la sécurité de l’information
- Conseillers spécialisés en management de la sécurité de l’information
Prérequis
- Une bonne connaissance de la norme ISO/CEI 27001 et des connaissances approfondies sur les principes de l’audit.
Programme
Après avoir maîtrisé les concepts d’audit démontrés et réussi l’examen, vous pourrez demander la certification « PECB Certified ISO/IEC 27701 Lead Auditor ». Cette certification, reconnue à l’échelle internationale, démontre que vous possédez l’expertise et les compétences nécessaires pour auditer des organismes basés sur les bonnes pratiques.
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées dans l’audit du SMSI
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification.
ISO 22301 – Certified Lead Implementer
Durée : 5 jours
Objectifs
- Comprendre la corrélation entre la norme ISO 22301 et les autres normes et cadres réglementaires
- Maîtriser les concepts, approches, méthodes et techniques nécessaires pour mettre en oeuvre et gérer efficacement un SMCA
- Savoir interpréter les exigences de la norme ISO 22301 dans un contexte spécifique de l’organisation
- Savoir accompagner une organisation dans la planification, la mise en oeuvre, la gestion, la surveillance et la tenue à jour du SMCA
- Acquérir l’expertise nécessaire pour conseiller une organisation sur la mise en oeuvre des meilleures pratiques relatives au Système de management de la continuité d’activité
Public concerné
- Responsables ou consultants impliqués dans le management de la continuité d’activité
- Conseillers spécialisés désirant maîtriser la mise en oeuvre d’un Système de management de la continuité d’activité
- Toute personne responsable du maintien de la conformité aux exigences du SMCA
- Membres d’une équipe du SMCA
Prérequis
- Une bonne connaissance de la norme ISO 22301 et des connaissances approfondies des principes de sa mise en oeuvre.
Programme
Après avoir maîtrisé l’ensemble des concepts relatifs aux Systèmes de management de la continuité d’activité, vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO 22301 Lead Implementer ».
En étant titulaire d’une certification PECB, vous démontrerez que vous disposez des connaissances pratiques et des compétences professionnelles pour mettre en oeuvre la norme ISO 22301 dans une organisation.
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées pour la mise en oeuvre du SMCA
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification
ISO 27005 – Certified Risk Manager
Durée : 3 jours
Objectifs
- Comprendre la relation entre la gestion des risques de la sécurité de l’information et les mesures de sécurité
- Comprendre les concepts, approches, méthodes et techniques permettant un processus de gestion des risques efficace et conforme à ISO/IEC 27005
- Savoir interpréter les exigences de la norme ISO/IEC 27001 dans le cadre du management du risque de la sécurité de l’information
- Acquérir les compétences pour conseiller efficacement les organisations sur les meilleures pratiques en matière de management du risque lié à la sécurité de l’information
Public concerné
- Responsables de la sécurité d’information
- Membres d’une équipe de sécurité de l’information
- Tout individu responsable de la sécurité d’information, de la conformité et du risque dans un organisme
- Tout individu mettant en oeuvre ISO/IEC 27001, désirant se conformer à la norme ISO/IEC 27001 ou impliqué dans un programme de management du risque
- Consultants des TI
- Professionnels des TI
- Agents de la sécurité de l’information
- Agents de la protection de la vie privée
Prérequis
- Une compréhension fondamentale de la norme ISO/IEC 27005 et une connaissance approfondie de l’évaluation des risques et de la sécurité de l’information
Programme
Après avoir compris tous les concepts nécessaires du management du risque de la sécurité de l’information basé sur la norme ISO/IEC 27005, vous pouvez vous présenter à l’examen et demander une certification “PECB Certified ISO/IEC 27005 Risk Manager”. En détenant un certificat PECB Risk Manager, vous serez en mesure de démontrer que vous avez les compétences et les connaissances nécessaires pour effectuer une évaluation optimale des risques de sécurité de l’information et gérer les risques de sécurité de l’information dans les délais impartis.
• Cette formation est basée à la fois sur la théorie et sur les bonnes pratiques utilisées dans le management du risque de la sécurité de l’information
• Les sessions de cours sont illustrées par des exemples basés sur des études de cas
• Les exercices pratiques sont basés sur une étude de cas qui comprend des jeux de rôle et des discussions
• Les tests de pratique sont similaires à l’examen de certification.
GSSI01 : RSSI, les outils et méthodes
indispensables
Durée : 2 jours
Objectifs
- Donner au nouveau RSSI les méthodes, outils et approches sur tout ce qui est important dans sa nouvelle vie
Public concerné
- Nouvel RSSI
- RSSI cherchant à savoir par quel chantier commencer dans son activité
Prérequis
- Aucun
Programme
- Introduction
• Ma nomination, mon organisation, ma hiérarchie
• Mon positionnement dans l’entreprise et ma lettre de mission - Une politique de sécurité pour mon entreprise
- Les métiers de l’entreprise
- Accueillir le collaborateur dans l’entreprise
- La sécurité opérationnelle
- Les défis de l’identité, véritable projet d’entreprise
- Gérer les tiers de l’entreprise ou rassurer ses clients
- Standards – Normes – Règlementations
GSSI02 : Organiser et piloter la gestion des risques de
sécurité SI – quelques clés pour aller à l’essentiel
Durée : 2 jours
Objectifs
- Acculturer les participants à une approche pragmatique de la gouvernance SSI :
• Centrée sur les risques clés, en combattant les erreurs et approximations usuelles à l’origine d’évaluations approximatives
• Mettant la notion de « processus SSI » au coeur de l’approche organisationnelle - Appréhender quelques clés du pilotage de la sécurité SI et savoir les mettre en place en
termes :
• D’identification des ressources SI les plus sensibles
• De cartographie des risques clés
• De mise en place du contrôle
Public concerné
- Responsables de la filière risques / risques opérationnels / sécurité de l’information
- Responsables de la qualité / efficience au sein de la DSI
- Contrôleurs internes du périmètre DSI
- Managers, consultants et auditeurs sécurité
Prérequis
- 2 à 3 ans d’expérience en gestion des risques SSI ou avoir suivi la formation « GSSI 01 : RSSI, les outils et méthodes indispensables »
Programme
ORGANISER LA GESTION DES RISQUES SSI :
- Organiser la gouvernance SSI
- Elaborer le cadre constitutionnel SSI
- Concevoir une organisation SSI « pertinente» et savoir l’évaluer
- Cadrer les pratiques pour analyser efficacement les risques SSI
- La charte d’utilisation du SI, entre nécessité et paradoxe
PILOTER LA GESTION DES RISQUES SSI :
- Avant-propos
- Identifier et classifier les ressources SI «sensibles »
- Cartographier les risques SSI
- Concevoir et déployer le contrôle permanent SSI
- Concevoir un tableau de bord SSI
RGPD01 : Fondamentaux RGPD
Durée : 1 jour
Objectifs
- Comprendre les principes et enjeux du RGPD
- Appréhender les étapes d’une mise en conformité
Public concerné
- DSI, RSSI
- DPO
- CIL
- Chef de projet RGPD
- Responsable ou propriétaire de données
Prérequis
- Connaissances légales basiques
Programme
- Introduction et notions fondamentales
• Enjeux et contexte
• Historique juridique
• Présentation RGPD & normes associées
• Vocabulaire et définitions
• Les acteurs de la protection des DCP
• Principes essentiels de la protection des DCP
- Mise en conformité RGPD
• Démarche
• Organisation
• Cartographie des traitements
• Conformité juridique des traitements
• Gestion des risques
• Plan de mise en conformité
RGPD02 : Privacy framework et conformité RGPD
Durée : 3 jours
Objectifs
- Comprendre les principes et enjeux du RGPD
- Appréhender les étapes d’une mise en conformité
- Savoir mettre en oeuvre un PIA
- Gérer l’ « accountability »
Public concerné
- DSI, RSSI
- DPO
- CIL
- Chef de projet RGPD
- Responsable ou propriétaire de données
Prérequis
- Connaissances légales basiques
Programme
- Introduction et notions fondamentales
• Enjeux et contexte de la protection des données
• Impacts pour les entreprises
• Présentation RGPD
• Ecosystème normatif de la Privacy
• Norme ISO 29100
• Vocabulaire et définitions
• Acteurs de la protection des données
- Principes fondamentaux de la protection des données
• Principes de la Privacy
• Comparaison des principes ISO 29100 et RGPD
• Nouveautés apportées par le RGPD : sanctions, accountability, Privacy by Design, droits des personnes opérationnelles
- Démarche de mise en conformité RGPD
• Organiser la protection de la vie privée
• Cartographier les traitements de DCP
• Mettre en conformité les traitements
• Gérer les risques
• Planifier la mise en conformité
- Privacy Impact Assessment PIA
• Quand doit-on faire un PIA ?
• Méthodologie pour la réalisation d’un PIA (contexte, mesures, risques, décision)
ADRIOT : Analyse de risques en environnement IoT
Durée : 2 jours
Objectifs
- Comprendre l’intérêt d’une analyse de risques
- Connaître les risques inhérents à un écosystème IoT
- Maîtriser les risques liés aux lois et règlements
- Savoir exprimer des besoins de sécurité
- Savoir traiter et piloter les risques IoT
Public concerné
- DSI, RSSI
- Risk managers
- Chefs de projets
- Architectes
- Directeur de l’innovation
Prérequis
- Connaissances légales basiques
- Connaissances du traitement des risques
Programme
- Introduction
- Architecture type d’un écosystème IoT
- Cartographie et étude des risques
- Conclusion : et après ?
Conditions d’inscription
La réussite d’une formation passe aussi par la qualité des conditions de travail. Nous veillons tout particulièrement à vous accueillir dans un cadre de formation agréable, confortable et bien équipé.
Le centre de formation d’Atos se situe au 50 avenue Daumesnil à Paris (12ème), France.
Inscription à une formation
Pour s’enregistrer et toute demande d’information :
> Par email : formations@digital.security
> Par courrier : Atos Digital Security – Département formation – 50 avenue Daumesnil,
75012 Paris, France.
Adresse du centre de formation
Atos – Département formation
50 avenue Daumesnil
Immeuble B, 8ème étage
75012 Paris – FRANCE
Tél : (+33) 1 70 83 85 85
Moyens d’accès
- RER : lignes A et D
- Métro : lignes 1 et 14
- Bus : n° 20 – 24 – 29 – 57 – 61 – 63 – 65 – 87 – 91
- Transilien : ligne R