SECURE SCADA : LA SÉCURITÉ DES SYSTÈMES INDUSTRIELS

UN STAGE SUR LES RISQUES SPÉCIFIQUES AU MILIEU INDUSTRIEL

Une formation de 4 jours incluant les réseaux, les composants, les failles logiciel et matériel avec des études de cas.

Objectifs

  • Transmettre les bonnes pratiques pour intégrer la sécurité informatique dans l’administration d’un réseau industriel
  • Réalisation d’un audit de sécurité ou d’un test d’intrusion en milieu industriel

Destinataires

  • Consultants en sécurité informatique, Auditeurs en sécurité informatique, Automaticiens, responsables techniques, Responsables supervision, Intégrateurs.

Prérequis

  • Utilisation de système d’exploitation Linux ou Windows
  • Base d’un langage de script (python, ruby, etc.)
  • Notions réseau
  • Notions de programmation

Prérequis matériels

Les stagiaires devront être munis d’un ordinateur portable avec un système d’exploitation Windows, sur lequel ils doivent pouvoir installer des logiciels. La liste des logiciels à installer et leur configuration seront fournis au préalable par SECURESPHERE.

Compétences acquises

  • Sensibilisation aux risques liés aux réseaux industriels
  • Compréhension des grands principes de sécurité liés aux équipements industriels
  • Développement de programmes automates simples
  • Méthodologie de tests d’intrusion et d’audit en milieu industriel
  • Développement d’outils simples pour la réalisation des tests d’intrusion
  • Intégration de la sécurité dans les projets

Méthode pédagogique

Acquisition des compétences de manière interactive en s'appuyant sur des exemples réels et sur des ateliers de réflexion. Mise en application sur une plateforme de test représentative d’un système ferroviaire avec automate et supervision.

Formateurs

Consultant-Formateur spécialiste de la sécurité informatique.

Évaluation

  • Evaluation du stage et délivrance d’un certificat de fin stage.

Durée : 4 jours - (28h)

  

Prix : 2 800 €HT par stagiaire

Plan de stage

Introduction

Concepts génériques liés aux vulnérabilités Web

  • Exemples réels et conséquences .
  • Identification des vulnérabilités (CVE)
  • Criticité des vulnérabilités (CVSS) et politique de communication par les éditeurs logiciels

Gestion de projets

  • Principe de l'analyse de risques
  • Intégration de la sécurité dans les projets

Spécificités de l’hébergement dans le Cloud et des offres Software as a Service (Saas)

Conception

Spécifications fonctionnelles

  • Principe de sécurité par défaut
  • Transparence vs sécurité par l'obscurité
  • Protection des données sensibles (OWASP A3) et concepts cryptographiques
  • Traçabilité (OWASP A10)
  • Fonctionnalités dangereuses
  • Gestion des mises à jour (OWASP A9)

Spécifications techniques et Implémentation des fonctions de sécurité

  • Authentification (OWASP A2)
  • Gestion des mots de passe
  • Gestion des sessions
  • Autorisation / Gestion des droits (OWASP A5)
  • Cryptographie appliquée
  • Gestion des erreurs

Programmation (in) sécurisée

Vulnérabilités (dont OWASP Top 10) liés au développement et contre-mesures

  • Injections (OWASP A1) :
    • SQL, LDAP
    • Commandes système
    • Arguments de commandes
    • Code interprété
    • ReDoS
  • Injections XML - XXE (OWASP A4)
  • Cross-site scripting – XSS (OWASP A7)
  • Désérialisation (OWASP A8) )
  • Cross-site request forgery (CSRF)
  • Directory transversal

Outils et recette sécurité

Outils et recette sécurité

  • Tests manuels de sécurité
  • Tests unitaires, audit statique de code
  • Configuration de l'environnement (OWASP A6)
  • Tests automatisés de sécurité
  • Fuzzing et tests d'intrusion applicatifs

Protections au niveau de l’environnement

  • Filtrage réseau et NIDS
  • Relais et Web Application Firewall (WAF)
Je suis intéressé-e par cette formation

Si vous désirez nous contacter au sujet de cette formation, merci de remplir le formulaire ci-dessous :

Chargement du formulaire...
Si rien ne s'affiche, cliquez-ici.

Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent (lire les mentions légales du site).