Formation

A* propose des formations/sensibilisations pour divers publics :

  • Sensibilisation à la cybersécurité pour les StartUp et associations (GRATUIT)
  • Sensibilisation aux risques numériques pour les adolescents (GRATUIT)
  • Sensibilisation du personnel au risque informatique (1 jour - 1200 € HT par tranche de 20 personnes)
  • Exercice de crise cyber (préparation sur mesure, 1 jour de réalisation - entre 3000 € et 10 000 € HT selon la complexité)
  • Campagne de phishing (forfait 3000 € HT par groupe - un groupe = un template unique et une vague d'envoi unique)
  • Formation sécurité informatique offensive pour les employés (5 jours - 5000€ HT par tranche de 10 personnes)
  • Formation à la rédaction de rapport d’audit pour les pentesters (1 jour - 2500 € HT par tranche de 5 personnes)
  • Module d’initiation à la cybersécurité pour l’enseignement supérieur (10 heures CM - 15 heures TD - 35 personnes max - 5000 € HT)

Ces formations peuvent être menées dans vos locaux.

Astar est Organisme de Formation Professionnelle. Sa déclaration d’activité est enregistrée sous le n°76311179731 auprès de la Direction Régionale des Entreprises, de la Concurrence, de la Consommation, du Travail et de l’Emploi (DIRECCTE). Cet enregistrement ne vaut pas agrément de l’Etat.

Sensibilisation à la cybersécurité pour les StartUp et associations (GRATUIT)

Vous êtes un incubateur de StartUp, une pépinière ou un consortium d’entreprises et vous souhaitez leur proposer une demi-journée d’animation sur le thème de la cybersécurité. Cette sensibilisation est pensée pour vous.

Astar s’engage, à son niveau, pour la protection du potentiel scientifique et technique (PPST) de la nation. Nous proposons de conseiller les jeunes entreprises innovantes pour qu’elles puissent développer tout leur potentiel en évitant l'écueil des cybermenaces (qui peut freiner, voire stopper, leur progression). C’est pour cela que cette sensibilisation est dispensée gratuitement.

Cette sensibilisation s’adresse aussi à vous si vous êtes une association à but non lucratif.

spof

L’intitulé exact de la formation est : Approche rationnelle de la Cybersécurité
Le plan est le suivant :

  • Pourquoi s’occuper de cybersécurité (ne pas couler, décrocher des marchés, faire des économies)
  • Comment aborder la sécurité (notions de risque, menace, vulnérabilité, traitement, dimensionnement)
  • Concepts clés de la sécurité (défense en profondeur, notion de confiance, protection des données)
  • Conseils et ressources (quick win, quelques bribes de sagesse, bonnes adresses)

Contactez-nous avec le nom d’objet SENS-SUA pour plus d’information.

Sensibilisation aux risques numériques pour les adolescents (GRATUIT)

Les actuels collégiens, lycéens et étudiants sont à un carrefour générationnel. Ils sont exposés à des risques que leurs parents et professeurs n’ont pas connus lorsqu’ils avaient le même âge. Et ils ne peuvent qu’imparfaitement les y préparer.

Que vous soyez un lycée, un collège, une MJC, ou tout autre structure qui accueille des adolescents, Astar peut animer une séance de sensibilisation de 2 heures ou d’une demi-journée, sur un ton informel, qui explique et éduque à propos des principaux risques numériques qui concernent la jeunesse :

  • Qu’est-ce qu’un risque (ne pas considérer un événement seulement d’après sa probabilité)
  • Internet n’oublie pas ! (une vidéo publiée quand vous êtes ado peut vous suivre toute votre vie, les messages “éphémères” sont une illusion)
  • Le piratage peut tuer (exemple d’Ashley Madison)
  • L’intimité en 2020 (exemple du celebgate, des deepfake, de la “sextorsion”)
  • La vie privée (qu’est-ce qui la menace (affaire Snowden, risque des metadonnées), qu’est-ce qui la protège (RGPD))
  • Comment les pirates nous hackent (téléchargement illégal, “malvertising”, mot de passe réutilisés, ingénierie sociale, …)
  • Recommandations (communiquer de manière sécurisée, choisir un mot de passe, considérations sur le matériels et les logiciels, bonnes adresses)
risque biométrie

Contactez-nous avec le nom d’objet SENS-ADO pour plus d’information.

Sensibilisation du personnel au risque informatique

Aucun système informatique n’est actuellement assez perfectionné pour s’offrir le luxe de ne pas sensibiliser son utilisateur humain à son usage sécurisé.

Vous pouvez avoir le pare-feu le plus cher du marché, les switch Cisco les plus compliqués, un IPS Top tier, si Thierry de la compta utilise le mot de passe Thierry2019!… vous avez gaspillé votre argent.

Une règle importante en sécurité informatique est que votre niveau est égal à l'élément le plus vulnérable de votre structure. Donc si vous laissez de côté la sensibilisation de vos utilisateurs, tout ce que vous dépensez dans d’autres chantiers est en partie gâché.

Formation chart

Or l’humain est aussi l'élément le plus ciblé par les pirates. Qui se souvient d’une attaque informatique d’envergure qui n’ait pas commencé par un courriel de hameçonnage ? Selon les chiffres, c’est 52% des entreprises qui subissent une attaque informatique ayant eu comme point de départ une erreur humaine d’un salarié.

Sensibiliser correctement ses employés aux risques informatiques et aux bonnes pratiques n’est pas trivial. C’est pourquoi Astar vous propose d’intervenir pour animer des ateliers de sensibilisation.
Les sujets abordés sont, entre autres :

  • Comprendre pourquoi les pirates attaquent
    Il n'y a pas besoin d'être une banque pour intéresser les pirates, présentation de comment les pirates font leur business: botnet, minage de crypto-monnaies, revente de données personnelles, etc.
  • Comprendre comment les pirates attaquent
    Vulgarisation des concepts de faille informatique, virus, trojan, phishing, ... Explication des ressorts cognitifs utilisés contre eux lors du Social Engineering, etc.
  • Le choix d'un mot de passe
    Combiner la robustesse et la faculté de s'en souvenir pour ne pas l'inscrire sur un post-it, utiliser des gestionnaires de mots de passe, ...
  • La sécurisation de sa session
    Démonstration en live de tout ce qu'un pirate peut extraire en 10 secondes d'une session non verrouillée: mots de passe enregistrés dans le navigateur, clés Wifi, etc.
  • La vigilance physique
    Démonstration en live d'une prise de contrôle à distance d'un poste où l'on connecte une clé vérolée, ne pas tenir la porte à un inconnu lorsqu'elle nécessite un badge, ne pas laisser un externe seul dans les locaux, ne pas brancher son smartphone personnel, ...
  • etc.

Contactez-nous avec le nom d’objet SENS-PER pour plus d’information.

Exercice de crise cyber

L'exercice de crise cyber est une mise en situation permettant d'entrainer vos équipes aux bonnes réactions en cas de sinistre subi dans le système d'information.

En effet, sous le coup du stress, il est souvent difficile de prendre toutes les bonnes décisions et seulement les bonnes décisions. Avoir déjà rencontré une telle situation, via un exercice contrôlé, a plusieurs vertus :

  • Rendre ce type d'événement plus familier, et donc moins stressant, ce qui augmentera vos facultés cognitives en cas d'incident réel ;
  • Avoir pu déterminer, à froid, les meilleurs décisions à prendre, préventivement à un incident réel ;
  • Réduire le nombre de décisions à prendre "à chaud" aux seules particularités d'un incident.

Selon votre niveau de maturité, l'exercice est plus ou moins immersif.
Pour les premiers exercices, il est conseillé d'opter pour un examen sur table. L'objectif est alors que chaque acteur important d'une gestion de crise se soit déjà retrouvé, à tête reposé, face à plusieurs scénarios d'incident et qu'il ait pris le temps de réfléchir aux meilleures réponses. De plus, ils auront bénéficié de la correction de leurs réponses. En cas de crise réelle, ils pâtiront donc moins du stress d'être face à une situation inédite et pourront mobiliser leurs souvenirs plutôt que de devoir tout inventer sur place.
Cependant, lors d'une crise réelle, l'urgence et le stress paralysent en partie l'accès de notre cerveau aux souvenirs et aux décisions rationnelles. C'est pourquoi les exercices de crise cyber ont un deuxième niveau d'immersion : la simulation réaliste : salle de gestion de crise, coups de téléphone ou courriels du personnel, de la presse, des clients, ... Tout est fait pour reproduire des conditions stressantes et voir si vous parvenez toujours à prendre les meilleures décisions. Le stress d'un événement vécu pour la deuxième fois n'est jamais aussi intense et vous ne pourrez donc que faire mieux en cas de crise réelle.

Contactez-nous avec le nom d’objet SIMU-CRI pour plus d’information.

Campagne de phishing

Une campagne de hameçonnage (“phishing”) est un moyen de sensibiliser vos employés aux risques d’ouvrir un courriel malveillant.

Bien que les attaques visant les équipements périmétriques (VPN, load balancer, Firewall, …) aient explosé depuis la généralisation du télétravail, le vecteur d’intrusion principal, des attaques réussies, demeure le courriel de hameçonnage.
Il peut revêtir plusieurs formes : une pièce jointe vérolée, un lien vers un site contrefait pour voler des identifiants, une usurpation d’identité pour faire accomplir une action sensible (mise à jour des informations bancaires d’un fournisseur) ou obtenir une information de valeur, etc.
Il s’adapte à l’actualité et innove toujours pour être plus difficile à détecter : imitation de message de subventions COVID, utilisation d’extensions de fichier non connues pour être dangereuses, etc.

Maintenir à jour la vigilance de vos employés peut drastiquement diminuer la fréquence à laquelle vous subirez un sinistre informatique.
Les campagnes de phishing proposées par Astar répondent à ce besoin.
Astar vous présentera plusieurs scénarios de phishing crédibles (issus de cas réels), avec des niveaux de sophistication différents et vous sélectionnez celui qui vous semble le plus adapté.
Les messages malveillants sont envoyés à vos employés puis vous recevez les statistiques du nombre de personnes piégées ou sauves.

Mener de telles campagnes renforce la vigilance de deux façons.
Directement, les employés auront été entraînés à détecter des messages frauduleux.
Et indirectement, le fait de savoir que la direction mène régulièrement de tels exercices, les poussent à questionner les courriels de manière plus systématique.

Il s’agit d’une prestation d’hygiène informatique que nous recommandons de mener tous les 2 ans environ

Contactez-nous avec le nom d’objet SENS-PHI pour plus d’information.

Formation sécurité informatique offensive pour les employés

Astar propose également des formations destinées à vos employés.

Vous pouvez vouloir former :

  • Un DSI/RSSI pour qu'il appréhende mieux les notions techniques de la sécurité, du risque informatique, des formes de menaces, etc.
  • Un technicien/ingénieur de l'équipe informatique pour qu'il soit capable d'auditer votre réseau et d'appliquer les bonnes corrections.
  • Vos développeurs pour qu'ils anticipent les vulnérabilités qu'ils pourraient introduire dans le code.
  • Vos pentesters en herbe, pour leur enseigner les notions de base de l'intrusion informatique: démarche, éthique, techniques, ...
  • etc.

Contactez-nous avec le nom d’objet FORM-PER pour plus d’information.

Formation à la rédaction de rapport d’audit pour les pentesters

Dans une prestation de test d’intrusion, le client final juge la qualité du travail produit principalement au travers du seul matériau qui lui est livré : le rapport d’audit. Celui-ci est donc l’ambassadeur de l’entreprise.
Si sa forme est négligée, le client jugera l’entreprise peu méticuleuse. Si son design est vieillissant, le client jugera l’entreprise peu innovante. Si les ingénieurs ont accompli des prouesses techniques, mais qu’ils ne savent pas correctement les restituer, le client mésestimera la qualité du service qu’il a reçu.

La profession de pentester est essentiellement composée de profils “ingénieurs” dont les qualités rédactionnelles pâtissent de plusieurs problèmes : mauvais réflexes hérités des cours de français (remplissage et paraphrase pour atteindre un nombre de pages), méconnaissance des règles de l’expertise académique (synthèse versus résumé pour décideur, constat versus hypothèse, reproductibilité des observations, …), redondance des phases de rédaction d’une mission à l’autre, etc.
Pour autant, lorsque cet exercice est présenté comme il le devrait, il peut devenir une source d’épanouissement

La formation propose une partie théorique puis une partie pratique. Le plan couvre les grands thèmes suivants :

  • Concepts, déontologie et formalisme (ton, distance professionnelle, observations, constats et hypothèses, …)
  • Caractéristiques (plan, glossaire, dimensions des vulnérabilités, transmission, …)
  • Conventions visuelles et typographiques (choix des polices, règles de lisibilité, association des couleurs, …)
  • Qualité d’expression (précision des verbes, bon usage des néologismes, marqueurs d’incertitude, …)
  • Qualité de restitution (choix des échelles, adapter son propos au lecteur, rendre le plan d’action utile, …)
bonne formulation

Contactez-nous avec le nom d’objet FORM-RAP pour plus d’information.

Module d’initiation à la cybersécurité pour l’enseignement supérieur

Astar intervient dans plusieurs écoles d’ingénieurs pour assurer des cours introductifs ou avancés à la sécurité de l’information.

Le contenu est adapté en fonction des demandes spécifiques des établissements, mais la trame générale est la suivante :

  • Concepts et terminologie (confidentialité, disponibilité, intégrité, menace, vulnérabilité, impact, risque, données, …)
  • Vulnérabilités et conséquences (escalade de privilèges, dénis de service, exécution de commande, usurpation, …)
  • Tactiques et techniques (ingénierie sociale, énumération, exécution, mouvements latéraux, rebonds, exfiltration, …)
  • Appréciation des risques (notions d’actifs essentiels/supports, qualifier et quantifier un risque, choisir un traitement, …)
  • Défenses (méthodes préventives (mise à jour, segmentation) et palliatives (sauvegarde, détection d’intrusion), notion de défense en profondeur, notion de confiance, …)
  • Focus à la carte (virologie, cryptographie, investigation numérique, …)
cours

Certains TD explorent des dimensions du cours et d’autres permettent de s’initier à des domaines particuliers :

  • Weaponization (automatisation progressive d’une attaque)
  • Hachage (exploration du concept cryptographique des fonctions de hachage, notamment concernant le cracking de mots de passe)
  • OSINT (récolte d’informations publiquement accessibles pour cibler une attaque)
  • Analyse forensic (exploration d’un dump mémoire pour retrouver les éléments de l’attaque, dont la clé du ransomware)
  • Interception réseau (ARP, DHCP, ICMP, HTTPS et réutilisation des données dérobées)

Contactez-nous avec le nom d’objet COUR-SEC pour plus d’information.

N’hésitez pas à nous contacter

Il est également possible de faire appel à nous pour des interventions ponctuelles ou régulières:

  • Établissement d'enseignement supérieur
  • Conférences
  • Débat
  • Salon
  • etc.