Pentesting | Réaliser des tests d’intrusion Mixte : présentiel / à distance

Cette formation permet aux professionnels de la sécurité informatique de maîtriser les fondamentaux et la pratique du pentesting.

Grâce à une alternance de théorie et de travaux pratiques, les participants acquièrent une méthode complète pour identifier, exploiter et documenter les failles de sécurité d’un système d’information.

À l’issue de la formation, les participants seront capables de mettre en place une procédure efficace pour réaliser des tests d’intrusion dans un cadre sécurisé et conforme.

A l'issue de la formation, le stagiaire sera capable mettre en place une procédure pour réaliser des tests d'intrusion

• Comprendre les fondamentaux et le cadre juridique du pentesting
• Connaître les différentes phases d'un test d'intrusion
• Utiliser les outils et techniques d'analyse de pentesting
• Simuler des attaques
• Rédiger un rapport d'audit professionnel

Jour 1 : Cadre général et juridique du Pentesting

• Définitions clés : Pentest vs audit de sécurité 

• Typologies de tests: black box, grey box, white box 

• Objectifs et limites d'un test d'intrusion 

• Contexte légal : Cadre juridique français et européen 

• Responsabilités légales et éthiques du pentester 

• Contrats, clauses, lettre de mission et accord de non-divulgation 

Étude de cas : Analyse de scénarios légaux / illégaux 

Jour 2 : Phases d'un test d'intrusion – méthodologie 

• Préparation de la mission 

• Collecte d'informations 

• Scan réseau et cartographie 

• Énumération des services 

• Exploitation des vulnérabilités 

• Maintien d'accès 

• Effacement des traces 

• Méthodologies : PTES, OSSTMM, NIST 

QCM : Méthodologie pentest étape par étape 

Jour 3 : Outils et techniques de test d'intrusion 

• Utilisation des outils : Nmap, Nessus, Burp Suite, Metasploit, Nikto, etc. 

• Techniques d'exploitation des vulnérabilités 

• Exploitation des failles Web (OWASP Top 10) 

• Techniques d'ingénierie sociale (phishing, etc.) 

• Contournement des protections (WAF, antivirus, EDR) 

Travaux pratiques : Pentest web sur application vulnérable (type DVWA ou OWASP Juice Shop) 
 

Jour 4 : Simulation d'attaques – cas pratiques 

• Mise en place d'un environnement de test (lab sécurisé) 

• Réalisation d'un test complet (reconnaissance, scan, exploitation) 

Cas pratiques : 

• Compromission d'un poste utilisateur, élévation de privilèges, pivoting 
• Analyse des résultats et documentation des preuves 
• Simulation guidée d'une attaque sur un réseau simulé  

Jour 5 : Rédaction de rapport d'audit professionnel et restitution 

• Structuration d'un rapport de test d'intrusion 

• Classification et hiérarchisation des vulnérabilités 

• Formulation de recommandations techniques 

• Présentation orale d'un rapport d'audit 

• Bonnes pratiques de restitution client 

• Gestion post-mission : sensibilisation, accompagnement des équipes techniques 

Travaux pratiques : Rédaction de rapport à partir du lab exploité 

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
• En groupe (inter-entreprises ou intra-entreprise)
• En individuel (monitorat)
• En journée ou en cours du soir (sur demande spécifique)
• Formation en distanciel
• Distanciel synchrone
• Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation :

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation : 

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation : 

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

• Admission sans disposition particulière