Sécurité défensive des systèmes d’information

• Maîtrise de l’administration Linux (Debian/Ubuntu) : droits, services, réseau.
• Notions Windows Server (Active Directory, GPO) et TCP/IP. Connaissance basique Docker recommandée.

• Durcir des systèmes Linux et Windows selon les référentiels CIS Benchmarks et ANSSI.
• Concevoir et déployer une architecture réseau défensive (DMZ, pare-feu, IDS/IPS, VPN).
• Configurer et exploiter un SIEM (Wazuh / ELK) pour la corrélation d’alertes et la détection d’intrusion.
• Opérer un SOC : triage, playbooks, forensique (Volatility, TheHive, MISP).
• Sécuriser les applications web (OWASP Top 10, WAF) et les pipelines CI/CD (DevSecOps, Trivy, Semgrep).
• Gérer les vulnérabilités avec CVSS/EPSS et piloter le patch management.

À la suite de votre inscription, un mail vous sera adressé au plus tard 1 semaine avant la formation pour vous indiquer comment vous connecter.

À l’issue de la formation, le formateur évaluera chacun des participants en fonction des cas pratiques et exercices effectués.

Alternance d’exercices, cas pratiques, QCM et de notions théoriques, projet Fil Rouge avec une répartition du temps de travail : 40% théorie, 60% pratique. Des présentations théoriques des concepts clés illustrés par des démonstrations du formateur (Ex : code live…) seront suivies de mises en pratique des apprenants.

Évaluations régulières et retour du formateur sur les points moins bien assimilés. ; les apprenants réaliseront tout au long de la formation des exercices, QCM, mises en situation, TP, TD qui seront corrigés pour faciliter l’acquisition de compétences.

En classe virtuelle, accès à notre plateforme à distance, à des machines virtuelles en local ou dans le cloud contenant les logiciels utiles  et les supports de cours en français seront mis à disposition via notre la plate-forme de téléchargement AJC Classroom.

Accès à notre plateforme à distance de Classe Virtuelle : mêmes possibilités et interactions avec votre formateur que lors d’une formation présentielle: votre formation se déroulera en connexion continue 7h/7 :

• Échanges directs avec le formateur et l’équipe pédagogique à travers la visioconférence, les forums et chats ;
• Vérification de l’avancement de votre travail et évaluation par votre formateur à l’aide d’exercices et de cas pratiques ;
• Suivi pédagogique et conseils personnalisés pendant toute la formation.

Vous recevrez les informations de connexion par mail dès votre inscription. En cas de problème de connexion, vous pourrez joindre notre équipe à tout moment (avant ou même pendant la formation) au 01 82 83 72 41 ou par mail (hotline@ajc-formation.fr).

En présentiel, mise à disposition d’ordinateurs portables (16Go RAM, SDD); nos salles sont équipées de matériels pédagogiques (Tableau blanc, vidéo projecteur, tableau tactile…) et informatiques.

Les personnes en situation de handicap sont invitées à nous communiquer leurs besoins spécifiques. Nous ferons tout pour les mettre dans les meilleures conditions de suivi de la formation possibles (compensation, accessibilité…).

Une attestation de fin de stage sera remise à tous les participants à l’issue de leur parcours.

Administrateurs systèmes et réseaux, analystes SOC juniors, ingénieurs DevOps souhaitant intégrer la sécurité dans leurs pratiques, RSSI opérationnels.

Fondamentaux & Durcissement

Modèles de menaces & défense en profondeur

• CIA, Zero Trust, référentiels ANSSI/NIST/CIS Controls v8.
• Kill chain Lockheed Martin, MITRE ATT&CK Navigator, STRIDE, DREAD.
• TP : Cartographier les TTP d’une APT, analyser un incident avec la kill chain.

Durcissement Linux & Windows

• CIS Benchmark Linux/Windows, sysctl, PAM, auditd, AppArmor/SELinux, SSH hardening.
• AD tiering model, LAPS, Protected Users, Event ID clés (4625, 4648, 4720…).
• TP : Audit CIS Debian avec Lynis, configurer PAM + auditd + AppArmor, durcir SSH.

Architecture réseau sécurisée

Pare-feu, DMZ, IDS/IPS & VPN

• Segmentation VLAN/DMZ, iptables/nftables, pfSense (WAN/DMZ/LAN), NGFW.
• Suricata IDS/IPS (règles ET/Open, fast.log, eve.json), VPN OpenVPN/WireGuard/IPSec.
• TP : DMZ pfSense, règles iptables/nftables avancées, Suricata en mode IDS, VPN OpenVPN.

Cryptographie & PKI

TLS, PKI & gestion des secrets

• Crypto symétrique/asymétrique (AES, ECDSA, DH), TLS 1.2/1.3, HSTS, cipher suites.
• PKI : CA racine + intermédiaire, CRL/OCSP, mTLS — HashiCorp Vault, SOPS, ACME.
• TP : PKI complète OpenSSL, certificats TLS/mTLS, Vault secrets, audit TLS avec testssl.sh.

SIEM & Détection

Wazuh, ELK Stack & règles de corrélation

• Architecture SIEM, Wazuh (agents, décodeurs XML, règles), ELK (Logstash grok, Kibana).
• Sigma rules MITRE ATT&CK, IOC/MISP threat feeds, UEBA baselining.
• TP : Déployer Wazuh + agents, règles personnalisées, pipeline Logstash, dashboard Kibana SOC.

SOC & Réponse à incident

Triage, forensique & playbooks

• Cycle PICERL (NIST SP 800-61), organisation SOC N1/N2/N3, triage et qualification.
• TheHive + Cortex + MISP, Volatility (malfind, netscan), Velociraptor, Autopsy/Sleuth Kit.
• TP : Qualification incident TheHive, analyse mémoire Volatility, timeline forensique, playbook ransomware.

Sécurité applicative & Web

OWASP Top 10, WAF & tests applicatifs

• Injections SQL/XSS/SSTI, authentification (MFA, OAuth2, JWT), sécurité API REST/GraphQL.
• WAF ModSecurity + OWASP CRS, Burp Suite, ZAP, SAST (Semgrep), DAST.
• TP : Exploiter OWASP Top 10 sur DVWA, déployer ModSecurity, analyser API avec Burp, SAST GitLab CI.

DevSecOps & Conteneurs

CI/CD sécurisé, scan images & Kubernetes

• Sécurité Docker (namespaces, seccomp), Trivy/Grype, Falco runtime, K8s RBAC + Network Policies.
• SBOM, Sigstore/cosign, OPA/Gatekeeper, GitLab CI (SAST + scan secrets + Trivy)
• TP : Scanner image Docker avec Trivy, Falco sur K8s, pipeline GitLab CI DevSecOps complet.

Vulnérabilités & Projet fil rouge

Gestion des vulnérabilités & patch management

• CVSS v3.1, EPSS, CISA KEV, Greenbone/OpenVAS — priorisation et plan de remédiation.
• Initialisation projet : audit durcissement, SIEM, playbooks, rapport vulnérabilités, pipeline DevSecOps.

Projet fil rouge — Finalisation & évaluation

• Simulation d’attaques, validation des alertes SIEM, tests WAF, documentation finale.
• Démonstrations (15 min/binôme), bilan compétences, certifications Security+/GCIH/OSCP.