Test d'intrusion des serveurs et des applications web Mixte : présentiel / à distance

• Comprendre les Principes et Méthodologies des Tests d'Intrusion
• Maitriser la collecte d'informations, l'analyse et l'exploitation des vulnérabilités.
• Développer des Exploits et Automatiser les Tests
• Identifier et exploiter les vulnérabilités dans les applications web et les infrastructures réseau.
• Rédiger des Rapports de Test d'Intrusion

1/ Introduction aux Tests d'Intrusion

• Concepts fondamentaux et terminologie
• Types de tests d'intrusion (boîte blanche, boîte noire, boîte grise)
• Cadres et normes de tests (OWASP, PTES, OSSTMM, NIST)
• Aspects légaux et éthiques du pentesting

2/ Reconnaissance et Collecte d'Informations

• Techniques de reconnaissance active et passive
• Scan et fingerprinting des serveurs et applications (Nmap, Shodan, Netcraft)
• Analyse des en-têtes HTTP et découverte de technologies
• OSINT (Open Source Intelligence) et recherche de fuites d'informations

3/ Analyse et Exploitation des Vulnérabilités Web

• Injection SQL (SQLi) et Blind SQL Injection
• Cross-Site Scripting (XSS) et attaques basées sur le DOM
• Cross-Site Request Forgery (CSRF)
• Injections de commandes et exécution de code à distance (RCE)
• Vulnérabilités liées aux authentifications (Brute Force, Credential Stuffing)
• Attaques sur les sessions et cookies (Session Hijacking, JWT Attacks)

4/ Tests d'Intrusion sur les Serveurs et Infrastructures

• Détection des failles dans les configurations des serveurs (Apache, Nginx, IIS)
• Exploitation des vulnérabilités des services (FTP, SSH, SMB, RDP)
• Attaques sur les bases de données (MySQL, PostgreSQL, MongoDB)
• Exploitation des vulnérabilités des CMS (WordPress, Joomla, Drupal)
• Attaques sur les conteneurs et microservices (Docker, Kubernetes)

5/ Automatisation et Outils de Pentesting

• Introduction aux outils : Burp Suite, ZAP, SQLmap, Metasploit, Nikto, Wfuzz
• Automatisation des tests avec scripts Python et Bash
• Utilisation d'outils open-source vs solutions professionnelles

6/ Contre-mesures et Sécurisation

• Bonnes pratiques de développement sécurisé (OWASP Top 10)
• Durcissement des serveurs et configurations sécurisées
• Détection et prévention des attaques (WAF, IDS/IPS, SIEM)
• Gestion des vulnérabilités et audits de sécurité

7/ Rapport et Remédiation des Vulnérabilités

• Rédaction d'un rapport de test d'intrusion
• Évaluation des risques et priorisation des vulnérabilités
• Processus de correction et suivi des remédiations

• Experts en cybersécurité.
• Ingénieurs en Sécurité Informatique
• Administrateurs Systèmes et Réseaux
• Développeurs Web 
• Auditeurs en Sécurité

• Admission sans disposition particulière

• Avoir des connaissances de base en informatique et réseaux, comprenant les concepts fondamentaux en informatique et en réseaux.
• Avoir des notions de programmation
• Un intérêt pour la cybersécurité, avec une curiosité naturelle pour les enjeux de sécurité et les menaces cybernétiques.
• Avoir une connaissance des méthodologies de pentesting

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
• En groupe (inter-entreprises ou intra-entreprise)
• En individuel (monitorat)
• En journée ou en cours du soir (sur demande spécifique)
• Formation en distanciel
• Distanciel synchrone
• Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation :

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation : 

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation : 

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.