CYBERSÉCURITÉ – RNCP36399BC02 – Auditer la sécurité des SI et déployer les mesures de défense (SOC)

• Organiser et conduire un audit de sécurité : mesurer la maturité d'un système d'information par rapport au contexte légal, réglementaire et contractuel, identifier les écarts et formaliser des préconisations d'amélioration cohérentes avec les enjeux business.
• Déployer et piloter un SOC : dimensionner et organiser un centre des opérations de sécurité, déployer une solution SIEM, manager les équipes et analyser les indicateurs de performance contractuels pour garantir l'opérationnalité de la défense.

Module 1 – Audit de sécurité des systèmes d'information

• Cadrage et méthodologie d'audit : Définir le périmètre d'audit, identifier les référentiels applicables (ISO 27001, RGPD, réglementations sectorielles), sélectionner une méthodologie adaptée.
• Analyse de maturité : Mesurer l'écart entre les mesures de sécurité actives et les obligations légales, réglementaires et contractuelles. Évaluer la maturité des dispositifs techniques et organisationnels.
• Rapport d'audit et préconisations : Rédiger un rapport d'audit synthétique et opérationnel. Formaliser des préconisations techniques et organisationnelles intégrant les principes de ROI et d'analyse d'impacts business (B.I.A.).

Module 2 – Déploiement d'un SOC

• Organisation d'un SOC : Définir le périmètre, les moyens humains et techniques, dimensionner les capacités de collecte et de détection des événements suspects.
• Mise en œuvre d'un SIEM : Labs pratiques sur Splunk et ELK Stack (Elasticsearch, Logstash, Kibana) pour centraliser les logs, configurer les règles de détection, créer des tableaux de bord et déclencher des alertes.
• Solutions EDR : Intégration et configuration de Wazuh EDR pour la surveillance des endpoints, la corrélation avec le SIEM et la détection des comportements anormaux.

Module 3 – CTI et analyse des menaces

• Framework MITRE ATT&CK : Utiliser la matrice MITRE ATT&CK pour cartographier les Tactics, Techniques and Procedures (TTPs) des attaquants et ajuster les détections en conséquence.
• Plateformes CTI : Exploiter MISP (Malware Information Sharing Platform) et OpenCTI pour partager et enrichir les indicateurs de compromission (IoCs), automatiser la remontée de flux de menaces et améliorer le contexte des alertes.

Module 4 – Pilotage et management du SOC

• Management des équipes : Organiser et piloter l'équipe du SOC, garantir la disponibilité et la performance des opérations de sécurité.

Module 5 – Introduction sur l’écosystème actuel

• L’évolution des systèmes d’information et de leurs menaces
• Segmentation et études des phases d’un attaquant (CyberKill Chain & MITRE ATT&CK)
• Chronologie et évolutions majeures des systèmes d’exploitation Windows
• Les attaques courantes dans un domaine Windows
• TP 1 : Mener une étude Cyber Kill-Chain

Module 6 – Durcissement des domaines Windows

• Cohérence et défauts de conception Active Directory (AGDLP, GPO, Relations approbations, délégation)
• Sécurité des droits d’administrations (ACL, Red Forest ESAE, Silo, Bastion, délégation)
• Sécurité des comptes à privilèges (AdminSDHolder, LAPS, PAM)
• Utilisation d’une infrastructure de clés publiques PKI (NPS, Radius, WIFI, carte à puce, …)
• Sécurisation des protocoles d’administration (RPC, WMI, WinRM)
• Sécurité des services et comptes de services managés
• Sécurité des services et comptes de services managés

Module 7 – Durcissement des serveurs et postes clients

• Sécurisation du démarrage (UEFI, Bitlocker, …)
• Sécurisation du démarrage (UEFI, Bitlocker, …)
• Sécurité de l’authentification (SSP, credential guard)
• Contrôler l’élévation de privilèges (UAC)
• Fonctionnalité antivirale (Defender, AMSI, SmartScreen)
• Sécurité de Powershell (Politique de restriction, JEA, Journalisation)
• Réduction de la surface d’attaque (Serveur Core / Nano)
• TP 5 : Déployer Bitlocker
• TP 6 : Configurer PowerShell JEA

Module 8 – Durcissement des protocoles réseaux

• L’authentification Microsoft (NTLM, NET-NTLM, Kerberos)
• Les protocoles Microsoft (WPAD, SMB, RDP, LLMNR, …)
• Étude et recherche de vulnérabilités protocolaires
• TP 7 : Sécuriser LLMNR & SMB

Module 9 – Mécanisme de défense avancé

• Détection des attaques avancées
• Auditer son architecture
• TP 8 : Auditer son architecture et préparer un plan de contre mesure

Module 10 – Durcissement des domaines Azure

• Rappel sur Azure et IAM
• Authentification et autorisation Azure
• Zoom sur les attaques Azure
• Renforcement des défenses Azure
• Auditer son architecture cloud

L'organisme étudie toute situation de handicap afin d'identifier les possibilités d'adaptation pédagogique, organisationnelle ou matérielle. Un référent handicap est disponible pour accompagner chaque apprenant dans l'analyse de ses besoins.