Lead Pentester – Encadrer un test d’intrusion (partie 1)

Les tests d’intrusion sont devenus incontournables dans le domaine de la Cybersécurité.
L’objectif de ce cours est de vous transmettre les connaissances méthodologiques et techniques indispensables pour mener et piloter un test d’intrusion et ainsi devenir un bon pentester. Des notions de cadrage et de suivi d’un test d’intrusion vous permettront de cibler le besoin d’un client.

Public :
Informaticiens

Prérequis :
Des connaissances en systèmes et réseaux sont indispensables pour bien appréhender ce cours.

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h02.
Présentation du cours

• Présentation du cours

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h40.
Le contexte actuel

• Définition d’un Lead Pentester et statistiques récentes
• Terminologie
• Principes de la sécurité de l’information
• Définition d’un test d’intrusion
• Les différentes phases d’une attaque
• Aspects réglementaires liés à un test d’intrusion
• Méthodes et framework pour un test d’intrusion

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h36.
Cadrage et objectifs

• Identification des objectifs
• Définition du périmètre
• Démonstration – Framework de pentest ESD Academy
• Enoncé du TP – Questionnaire de pré-engagement
• Gestion et affectation des ressources
• Suivi des objectifs du test
• Règles de pré-engagement (RoE)
• Enoncé du TP – Rédaction d’un contrat de pré-engagement

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h25.
Préparer son test d’intrusion

• Préparation d’une machine pour test d’intrusion
• Automatisation et scripting
• Outils connus
• Démonstration – Rubber Ducky
• Templating de documents
• Démonstration – Suivi du test d’intrusion

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h28.
Collecte d’informations

• Ingénierie des sources publiques (OSINT)
• Relevé passif et actif d’informations publiques
• Démonstration – Présentation des outils OSINT
• Enoncé du TP – Collecte d’informations publiques

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 1h17.
Enumération de l’infrastructure

• Énumération du périmètre – partie 1
• Énumération du périmètre – partie 2
• Techniques d’évasion de pare-feu et IDS
• Enumération des protocoles – partie 1
• Enumération des protocoles – partie 2
• Démonstration – Présentation des outils d’énumération
• Enoncé du TP – Enumération de l’infrastructure

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h39
Analyse des vulnérabilités

• Scan de vulnérabilités
• Présentation des différents outils
• Démonstration – Présentation d’OpenVAS
• Vulnérabilités connues
• Enoncé du TP – Identification des vulnérabilités

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h57.
Exploitation

• Recherche d’exploits
• Présentation des outils et frameworks d’attaque
• Démonstration – Présentation de Metasploit
• Déploiement et exécution de charges
• Enoncé du TP – Exploitation des vulnérabilités
• Écoute passive et active des infrastructures – partie 1
• Écoute passive et active des infrastructures – partie 2
• Enoncé du TP – Exploitation et analyse des données interceptées
• Bruteforcing

Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 1h52.
Post exploitation

• Désactivation des éléments de traçabilité
• Elévation de privilèges – partie 1
• Elévation de privilèges – partie 2
• Démonstration – Présentation des méthodes d’élévation de privilèges
• Etude des persistances
• Mouvements latéraux
• Nettoyage des traces
• Enoncé du TP – Post-exploitation