Pentesting - Réaliser des tests d'intrusion
Présentation
Objectifs & compétences
À l'issue de cette formation, les apprenants seront capables de :
- Comprendre les fondamentaux et le cadre juridique du pentesting
- Connaître les différentes phases d'un test d'intrusion
- Utiliser les outils et techniques d'analyse de pentesting
- Simuler des attaques
- Rédiger un rapport d'audit professionnel
Public visé
RSSI, Techniciens, Auditeurs amenés à faire du pentest, Administrateurs systèmes et réseaux.
Pré-requis
Des notions en informatique et sécurité des systèmes d'information.
Programme
Jour 1 – Fondamentaux du pentesting et cadre juridique
Objectifs visés :
✔ Comprendre les fondamentaux du pentesting
✔ Intégrer le cadre juridique et déontologique associé
Jour 2 – Phases de reconnaissance et d’analyse Objectif visé : Connaître les différentes phases d’un test d’intrusion, en particulier la reconnaissance et l’analyse
Jour 3 – Exploitation et simulation d’attaques Objectifs visés : ✔ Utiliser les outils et techniques d’analyse de pentesting ✔ Simuler des attaques ciblées
Jour 4 – Analyse des résultats et rédaction du rapport d’audit Objectif visé : Rédiger un rapport d’audit professionnel clair et complet
Jour 5 – Mise en situation complète et synthèse finale Objectif visé : Mettre en œuvre l’ensemble des compétences acquises à travers un test d’intrusion complet
- Définition et enjeux du pentesting
- Cadre légal, responsabilité et autorisations nécessaires
- Méthodologies et normes (OSSTMM, PTES, OWASP)
- Cas pratique : analyse d’un cadre légal dans un scénario réel
Jour 2 – Phases de reconnaissance et d’analyse Objectif visé : Connaître les différentes phases d’un test d’intrusion, en particulier la reconnaissance et l’analyse
- Collecte d’informations passive et active
- Techniques et outils de scan et découverte (Nmap, Shodan, etc.)
- Identification et classification des vulnérabilités
- Exploitation des bases de données CVE
- Atelier : cartographie d’une cible fictive
Jour 3 – Exploitation et simulation d’attaques Objectifs visés : ✔ Utiliser les outils et techniques d’analyse de pentesting ✔ Simuler des attaques ciblées
- Techniques d’exploitation : exploits, injections, élévation de privilèges
- Utilisation pratique des outils (Metasploit, Burp Suite, etc.)
- Tests d’intrusion réseau, applicatif, systèmes
- Post-exploitation et maintien d’accès
- Atelier pratique : simulation d’attaque dans un environnement sécurisé
Jour 4 – Analyse des résultats et rédaction du rapport d’audit Objectif visé : Rédiger un rapport d’audit professionnel clair et complet
- Analyse et interprétation des données collectées
- Priorisation des vulnérabilités selon le risque
- Bonnes pratiques de remédiation
- Structuration et rédaction d’un rapport d’audit technique et stratégique
- Exercice : rédaction de rapport basé sur la simulation précédente
Jour 5 – Mise en situation complète et synthèse finale Objectif visé : Mettre en œuvre l’ensemble des compétences acquises à travers un test d’intrusion complet
- Simulation intégrale d’un pentest (de la reconnaissance au reporting)
- Retour d’expérience collectif et analyse critique
- QCM final et évaluation de la formation
Modalités
Pédagogie
Équilibre théorie / pratique : 40 % / 60 %
Apports théoriques sur les textes réglementaires
Études de cas et exercices concrets
Accès via LMS pendant et après la formation au support de cours et aux ressources documentaires
Évaluation / Certification
- Auto-positionnement en amont
