D2Y-Consulting

L'interconnexion grandissante des réseaux, l'adoption du Cloud, le recours aux messageries en mode SaaS, l'utilisation de containers et la multiplication des applications et services web sont autant d'évolutions techniques qui fragilisent la sécurité globale des systèmes d'information.
Et les risques qui pèsent sur les données des entreprises et organisations sont considérablement accrus en raison du fait que celles-ci sont aujourd'hui hébergées chez des fournisseurs de services qui constituent une cible privilégiée pour les hackers qui y voient l'opportunité de s'approprier des masses considérables d'informations.
Cette synthèse technique permettra aux participants d'identifier les nouvelles menaces qui pèsent sur les données de l'entité et de comprendre quelles évolutions techniques et organisationnelles peuvent permettre de s'en prémunir.

La cybercriminalité est une menace qui touche toutes les organisations, sociétés, administrations. Elle a explosé de 60% entre 2019 et 2020. La question qui importe est de savoir si votre organisation sera prête lorsqu'elle se fera attaquer.

Dans un contexte de transformation numérique accélérée, de digitalisation des flux et des activités, d'évolution des modes de vie (nomadisme, télétravail,...) et de tensions internationales, les risques liés à la cybercriminalité sont chaque jour plus importants. Il est donc logique que la cybersécurité soit aujourd'hui au coeur des préoccupations de tous. Mais de quoi parle-t-on réellement ? Que se cache-t-il derrière ce terme ?Ce parcours est précisément étudié pour apporter une vision élargie de ce qu'est la cybersécurité aux personnes s'orientant vers ce domaine comme à celle souhaitant plus simplement étendre leurs connaissances sur le sujet. A l'issue de 10 journées de formation, les participants disposeront d'un bon niveau de compréhension des menaces et des risques qui pèsent sur les organisations et des dispositifs (règlements, normes, outils, bonnes pratiques...) permettant de s'en prémunir.

L'actualité nous le rappelle quasi quotidiennement, les intrusions dans des systèmes informatiques publics ou privés existent. Et bien souvent, les entreprises et organisations qui en sont victimes sont pointées du doigt pour n'avoir pas su correctement protéger leurs données. Si le risque 0 n'existe pas, il apparait presque évident qu'en éprouvant son SI régulièrement, les équipes en charge de garantir la sécurité peuvent être amenées à détecter de nouvelles failles ou menaces et ainsi mettre en oeuvre la correction ad' hoc... Durant cette formation très pratique qui consiste en une série d'ateliers ponctuée d'échanges, les participants auront à disposition un environnement technique complexe qu'ils pourront attaquer à loisir pour mieux le protéger par la suite, apprenant ainsi à le protéger un système de bout en bout.

L'origine du hacking remonte au milieu des années 50 quand les premiers ordinateurs disponibles dans les universités américaines sont rapidement devenus la proie de d'étudiants avides de "bidouiller" pour s'approprier le système. Ainsi sont nés les hackers qui, profitant de l'avènement d'Internet des décennies plus tard, n'ont cessé de prendre pour cible des systèmes informatiques de plus en plus perfectionnés, allant même jusqu'à pirater des systèmes gouvernementaux. Pour faire face à ces menaces sans cesse croissantes, les DSI attendent des ingénieurs et techniciens qu'ils soient à même de protéger efficacement les systèmes informatiques de leurs organisations. L'objet de cette formation est précisément de leur fournir les compétences et connaissances qui leur permettront de mener à bien cette mission.

Il est largement connu que les sites web sont des cibles privilégiées pour les hackers. Et ce n'est pas surprenant dans la mesure où il est fréquent que ceux-ci ne soient pas suffisamment sécurisés. Souvent par manque d'information, parfois par précipitation (pour limiter le retard pris sur un projet, il n'est pas rare que certaines étapes importantes soient survolées ou même totalement négligées). Et les techniques d'attaque sont nombreuses : attaques matérielles, dialogue réseau, attaques systèmes, attaques des bases de données.... C'est pourquoi il est nécessaire, pour s'assurer de la sécurité des sites web, de pratiquer des audits très complets. Et cela ne doit pas s'improviser. Il faut en effet suivre des processus précis et complets pour ne passer à côté d'aucune faille. C'est ce qu'apprendront les participants à cette formation.

La probabilité qu'une organisation soit victime d'une attaque augmente à mesure que les technologies évoluent. Face à ce risque croissant, les systèmes d'information peuvent subir des attaques sans que les responsables de leur sécurité ne les détectent dans l'instant et y apporte une parade. Dans le cas ou des dommages seraient constatés (vols de données par exemple), il existe une technique d'investigation post-incident : l'analyse forensic. Par l'analyse des dommages subits et des traces laissées par les attaquants, elle vise à établir la chronologie évènementielle pour reconstituer l'attaque et collecter des éléments exploitables en justice. Elle permet également d'identifier les actions d'ordre technique à mener pour neutraliser la menace.

En bon professionnel, tout responsable de la sécurité informatique doit remettre en question les protocoles et techniques employés pour sécuriser son réseau à intervalle régulier. En effet, chaque semaine, de nouveaux virus apparaissent, de nouvelles failles sont détectées pour un OS ou un matériel et devant ces nouveaux risques il convient de s'assurer que la sécurité n'est pas menacée. L'audit est une réponse adaptée à ce challenge : le Pen Test (de l'anglais "Penetration Test") est une intervention très technique, qui permet de déterminer le potentiel réel d'intrusion et de destruction d'un pirate sur l'infrastructure, et de valider l'efficacité réelle de la sécurité appliquée aux systèmes, au réseau et à la confidentialité des informations. Les participants à cette formation avancée apprendront à mettre en place une véritable procédure d'audit de type Pen Test et ainsi évaluer les risques et décider des actions à mettre en oeuvre.

Il ne se passe pas une semaine sans que les médias n'évoquent des actes de piratage touchant de grandes entreprises et organisations, des acteurs de la nouvelle économie ou ... des états. Vol d'informations stratégiques, de fichiers clients, détournements de fonds bancaires, neutralisation de serveurs web... Et bien sûr, il est facile de comprendre qu'au-delà du préjudice financier, il y a toujours un important préjudice d'image. Il n'est donc pas surprenant que de nombreuses entreprises et organisations cherchent à se prémunir de ce type de risques. Pour autant, elles peinent souvent à trouver les profils capables de sécuriser efficacement leur SI et de mettre en échec les tentatives d'intrusion des (hackers). A l'issue de ce cursus de 23 jours, les participants disposeront précisément des connaissances et compétences nécessaires à l'atteinte de ces objectifs.

La sécurité informatique est devenue une préoccupation de tous les utilisateurs d'Internet et des Systèmes d'Information au même titre qu'elle l'est (depuis longtemps déjà) pour les professionnels de l'informatique.
Si, pour certains d'entre nous, la notion de sécurité informatique reste encore confuse, voire même abstraite, il n'en reste pas moins vrai que tous autant que nous sommes, nous commençons dans notre quotidien à en mesurer l'importance.
Ce séminaire de "vulgarisation" explique son concept, ses acronymes, son jargon et présente les différents moyens disponibles pour la mettre en oeuvre. Il permet donc clairement aux participants de se familiariser avec la sécurité informatique et de disposer des connaissances nécessaires pour communiquer et collaborer avec des équipes techniques internes, des prestataires ou des fournisseurs spécialisés dans le domaine.

L'utilisation des ressources du système d'information n'est pas sans risque. Cette sensibilisation présente à l'aide de très nombreux exemples les bonnes pratiques de l'utilisateur sédentaire, nomade ou en télétravail pour limiter les risques d'erreur ou de malveillance.