Formation

A* propose des formations/sensibilisations pour divers publics :

  • Sensibilisation à la cybersécurité pour les StartUp et associations (GRATUIT)
  • Sensibilisation aux risques numériques pour les adolescents (GRATUIT)
  • Sensibilisation du personnel au risque informatique (1 jour - 1200 € HT par tranche de 20 personnes)
  • Exercice de crise cyber (préparation sur mesure, 1 jour de réalisation - entre 3000 € et 10 000 € HT selon la complexité)
  • Campagne de phishing (forfait 3000 € HT par groupe - un groupe = un template unique et une vague d'envoi unique)
  • Formation au développement sécurisé (pour développeurs) - 3 jours, 3000 € HT
  • Formation au déploiement sécurisé de l’IA -  3 jours, 4000 € HT
  • Formation à la sécurisation d’Active Directory - 3 jours, 3000 € HT
  • Formation sécurité informatique offensive pour les employés (5 jours - 5000€ HT par tranche de 10 personnes)
  • Formation à la rédaction de rapport d’audit pour les pentesters (1 jour - 2500 € HT par tranche de 5 personnes)
  • Module d’initiation à la cybersécurité pour l’enseignement supérieur (10 heures CM - 15 heures TD - 35 personnes max - 5000 € HT)

Ces formations peuvent être menées dans vos locaux.

Astar est Organisme de Formation Professionnelle. Sa déclaration d’activité est enregistrée sous le n°76311179731 auprès de la Direction Régionale des Entreprises, de la Concurrence, de la Consommation, du Travail et de l’Emploi (DIRECCTE). Cet enregistrement ne vaut pas agrément de l’Etat.

Sensibilisation à la cybersécurité pour les StartUp et associations (GRATUIT)

Vous êtes un incubateur de StartUp, une pépinière ou un consortium d’entreprises et vous souhaitez leur proposer une demi-journée d’animation sur le thème de la cybersécurité. Cette sensibilisation est pensée pour vous.

Astar s’engage, à son niveau, pour la protection du potentiel scientifique et technique (PPST) de la nation. Nous proposons de conseiller les jeunes entreprises innovantes pour qu’elles puissent développer tout leur potentiel en évitant l'écueil des cybermenaces (qui peut freiner, voire stopper, leur progression). C’est pour cela que cette sensibilisation est dispensée gratuitement.

Cette sensibilisation s’adresse aussi à vous si vous êtes une association à but non lucratif.

spof

L’intitulé exact de la formation est : Approche rationnelle de la Cybersécurité
Le plan est le suivant :

  • Pourquoi s’occuper de cybersécurité (ne pas couler, décrocher des marchés, faire des économies)
  • Comment aborder la sécurité (notions de risque, menace, vulnérabilité, traitement, dimensionnement)
  • Concepts clés de la sécurité (défense en profondeur, notion de confiance, protection des données)
  • Conseils et ressources (quick win, quelques bribes de sagesse, bonnes adresses)

Contactez-nous avec le nom d’objet SENS-SUA pour plus d’information.

Sensibilisation aux risques numériques pour les adolescents (GRATUIT)

Les actuels collégiens, lycéens et étudiants sont à un carrefour générationnel. Ils sont exposés à des risques que leurs parents et professeurs n’ont pas connus lorsqu’ils avaient le même âge. Et ils ne peuvent qu’imparfaitement les y préparer.

Que vous soyez un lycée, un collège, une MJC, ou tout autre structure qui accueille des adolescents, Astar peut animer une séance de sensibilisation de 2 heures ou d’une demi-journée, sur un ton informel, qui explique et éduque à propos des principaux risques numériques qui concernent la jeunesse :

  • Qu’est-ce qu’un risque (ne pas considérer un événement seulement d’après sa probabilité)
  • Internet n’oublie pas ! (une vidéo publiée quand vous êtes ado peut vous suivre toute votre vie, les messages “éphémères” sont une illusion)
  • Le piratage peut tuer (exemple d’Ashley Madison)
  • L’intimité en 2020 (exemple du celebgate, des deepfake, de la “sextorsion”)
  • La vie privée (qu’est-ce qui la menace (affaire Snowden, risque des metadonnées), qu’est-ce qui la protège (RGPD))
  • Comment les pirates nous hackent (téléchargement illégal, “malvertising”, mot de passe réutilisés, ingénierie sociale, …)
  • Recommandations (communiquer de manière sécurisée, choisir un mot de passe, considérations sur le matériels et les logiciels, bonnes adresses)
risque biométrie

Contactez-nous avec le nom d’objet SENS-ADO pour plus d’information.

Sensibilisation du personnel au risque informatique

Aucun système informatique n’est actuellement assez perfectionné pour s’offrir le luxe de ne pas sensibiliser son utilisateur humain à son usage sécurisé.

Vous pouvez avoir le pare-feu le plus cher du marché, les switch Cisco les plus compliqués, un IPS Top tier, si Thierry de la compta utilise le mot de passe Thierry2019!… vous avez gaspillé votre argent.

Une règle importante en sécurité informatique est que votre niveau est égal à l'élément le plus vulnérable de votre structure. Donc si vous laissez de côté la sensibilisation de vos utilisateurs, tout ce que vous dépensez dans d’autres chantiers est en partie gâché.

Formation chart

Or l’humain est aussi l'élément le plus ciblé par les pirates. Qui se souvient d’une attaque informatique d’envergure qui n’ait pas commencé par un courriel de hameçonnage ? Selon les chiffres, c’est 52% des entreprises qui subissent une attaque informatique ayant eu comme point de départ une erreur humaine d’un salarié.

Sensibiliser correctement ses employés aux risques informatiques et aux bonnes pratiques n’est pas trivial. C’est pourquoi Astar vous propose d’intervenir pour animer des ateliers de sensibilisation.
Les sujets abordés sont, entre autres :

  • Comprendre pourquoi les pirates attaquent
    Il n'y a pas besoin d'être une banque pour intéresser les pirates, présentation de comment les pirates font leur business: botnet, minage de crypto-monnaies, revente de données personnelles, etc.
  • Comprendre comment les pirates attaquent
    Vulgarisation des concepts de faille informatique, virus, trojan, phishing, ... Explication des ressorts cognitifs utilisés contre eux lors du Social Engineering, etc.
  • Le choix d'un mot de passe
    Combiner la robustesse et la faculté de s'en souvenir pour ne pas l'inscrire sur un post-it, utiliser des gestionnaires de mots de passe, ...
  • La sécurisation de sa session
    Démonstration en live de tout ce qu'un pirate peut extraire en 10 secondes d'une session non verrouillée: mots de passe enregistrés dans le navigateur, clés Wifi, etc.
  • La vigilance physique
    Démonstration en live d'une prise de contrôle à distance d'un poste où l'on connecte une clé vérolée, ne pas tenir la porte à un inconnu lorsqu'elle nécessite un badge, ne pas laisser un externe seul dans les locaux, ne pas brancher son smartphone personnel, ...
  • etc.

Contactez-nous avec le nom d’objet SENS-PER pour plus d’information.

Exercice de crise cyber

L'exercice de crise cyber est une mise en situation permettant d'entrainer vos équipes aux bonnes réactions en cas de sinistre subi dans le système d'information.

En effet, sous le coup du stress, il est souvent difficile de prendre toutes les bonnes décisions et seulement les bonnes décisions. Avoir déjà rencontré une telle situation, via un exercice contrôlé, a plusieurs vertus :

  • Rendre ce type d'événement plus familier, et donc moins stressant, ce qui augmentera vos facultés cognitives en cas d'incident réel ;
  • Avoir pu déterminer, à froid, les meilleurs décisions à prendre, préventivement à un incident réel ;
  • Réduire le nombre de décisions à prendre "à chaud" aux seules particularités d'un incident.

Selon votre niveau de maturité, l'exercice est plus ou moins immersif.
Pour les premiers exercices, il est conseillé d'opter pour un examen sur table. L'objectif est alors que chaque acteur important d'une gestion de crise se soit déjà retrouvé, à tête reposé, face à plusieurs scénarios d'incident et qu'il ait pris le temps de réfléchir aux meilleures réponses. De plus, ils auront bénéficié de la correction de leurs réponses. En cas de crise réelle, ils pâtiront donc moins du stress d'être face à une situation inédite et pourront mobiliser leurs souvenirs plutôt que de devoir tout inventer sur place.
Cependant, lors d'une crise réelle, l'urgence et le stress paralysent en partie l'accès de notre cerveau aux souvenirs et aux décisions rationnelles. C'est pourquoi les exercices de crise cyber ont un deuxième niveau d'immersion : la simulation réaliste : salle de gestion de crise, coups de téléphone ou courriels du personnel, de la presse, des clients, ... Tout est fait pour reproduire des conditions stressantes et voir si vous parvenez toujours à prendre les meilleures décisions. Le stress d'un événement vécu pour la deuxième fois n'est jamais aussi intense et vous ne pourrez donc que faire mieux en cas de crise réelle.

Contactez-nous avec le nom d’objet SIMU-CRI pour plus d’information.

Campagne de phishing

Une campagne de hameçonnage (“phishing”) est un moyen de sensibiliser vos employés aux risques d’ouvrir un courriel malveillant.

Bien que les attaques visant les équipements périmétriques (VPN, load balancer, Firewall, …) aient explosé depuis la généralisation du télétravail, le vecteur d’intrusion principal, des attaques réussies, demeure le courriel de hameçonnage.
Il peut revêtir plusieurs formes : une pièce jointe vérolée, un lien vers un site contrefait pour voler des identifiants, une usurpation d’identité pour faire accomplir une action sensible (mise à jour des informations bancaires d’un fournisseur) ou obtenir une information de valeur, etc.
Il s’adapte à l’actualité et innove toujours pour être plus difficile à détecter : imitation de message de subventions COVID, utilisation d’extensions de fichier non connues pour être dangereuses, etc.

Maintenir à jour la vigilance de vos employés peut drastiquement diminuer la fréquence à laquelle vous subirez un sinistre informatique.
Les campagnes de phishing proposées par Astar répondent à ce besoin.
Astar vous présentera plusieurs scénarios de phishing crédibles (issus de cas réels), avec des niveaux de sophistication différents et vous sélectionnez celui qui vous semble le plus adapté.
Les messages malveillants sont envoyés à vos employés puis vous recevez les statistiques du nombre de personnes piégées ou sauves.

Mener de telles campagnes renforce la vigilance de deux façons.
Directement, les employés auront été entraînés à détecter des messages frauduleux.
Et indirectement, le fait de savoir que la direction mène régulièrement de tels exercices, les poussent à questionner les courriels de manière plus systématique.

Il s’agit d’une prestation d’hygiène informatique que nous recommandons de mener tous les 2 ans environ

Contactez-nous avec le nom d’objet SENS-PHI pour plus d’information.

Formation au déploiement sécurisé de l’IA

Le fort engouement pour l’IA et son adoption très rapide par les entreprises a ouvert tout un champ de nouvelles attaques pour les pirates.

  • L’empoisonnement des données d’apprentissage d’un modèle peut l’amener à produire des résultats fallacieux ou à effectuer des actions illégitimes dans certaines conditions.
  • L’entraînement d’un chatbot sur les documents de l’entreprise peut l’amener à révéler malgré lui des données confidentielles.
  • Cacher des prompts dans des documents qui seront ingérés par une IA peut permettre une intrusion dans le système d’information d’une entreprise.
  • Etc.

Or ces attaques sont encore majoritairement ignorées des utilisateurs, et même des développeurs.

 Les bonnes pratiques de sécurité dans l’usage de l’IA sont en mutation constante tant le domaine évolue rapidement.
Toutefois, plusieurs réglementations existent déjà (comme l’IA Act européen) et nécessitent un minimum de maîtrise pour s’y conformer.
Que vous utilisiez une IA commerciale (ChatGPT, Gemini, ...) dans vos processus métiers, ou que vous développiez un modèle d’IA pour une tâche spécifique, il existe plusieurs écueils à éviter.

Cette formation vise à fournir les clés de compréhension des grandes familles d’attaques sur les IA (qui peuvent ensuite se décliner en une infinité de cas), à donner les bonnes pratiques de conception et de contrôle et à comprendre les exigences réglementaires et les moyens pour s’y conformer.

Contactez-nous avec le nom d’objet FORM-SIA pour plus d’information.

Formation au développement sécurisé pour les développeurs

Le domaine de la cybersécurité recense plusieurs familles de bug et de mauvaises pratiques de développement (use after free, race condition, session fixation, access control bypass, ...), et a produit des référentiels pour guider les développeurs vers des pratiques sûres.
C’est ce que l’on nomme le secure coding (développement sécurisé).

 Mais les bonnes pratiques de cybersécurité sont encore trop méconnues des développeurs et peu présentes dans les formations. Pire, elles y sont parfois abordées de manière superficielle, tout en laissant croire aux étudiants que le sujet a été couvert de manière exhaustive (créant un biais de surconfiance).
Or, en cybersécurité, les plus gros risques sont dus aux unknown unknown : ce qu’on ne connaît pas et dont on ignore qu’on aurait besoin de le connaître. 

L’objectif profond d’une formation en développement sécurisé n’est pas de tout connaître en cybersécurité, mais avant tout d’être au courant de ce qu’il faudrait savoir (quitte à ne se pencher dessus qu’au moment où on a besoin de le mobiliser).
En somme, transformer les unknown unknown en known unknown : ce qu’on ignore encore mais dont on sait qu’on a besoin de le connaître. Il s’agit donc d’évacuer les angles morts. Et bien sûr de fournir les outils pour obtenir les connaissances nécessaires le moment venu.

À l’issue de cette formation le développeur connaît et comprend le vocabulaire associé aux vulnérabilités. Il ne confond plus des notions telles qu’impact, risque, sévérité, ... Il est capable de qualifier une vulnérabilité découverte. Il sait rechercher les vulnérabilités connues pour un produit/une dépendance et interpréter un vecteur CVSS.

  • Il connait les bonnes pratiques de sécurité relatives aux activités de conception de l’application et aux activités post-release.
  • Il connait les grandes familles de vulnérabilités et sait reconnaître un comportement logiciel qui mène à l’une d’elles.
  • Il connait les principales bonnes pratiques de développement sécurisé et comprend les risques associés à leur absence.
  • Il sait où trouver les ressources lui permettant d’obtenir des recommandations précises et exhaustives sur les sujets dont il ne connait que les grandes lignes. Il connait les termes consacrés (mots-clés) pour désigner les concepts sur lesquels il peut avoir besoin d’informations complémentaires.

Contactez-nous avec le nom d’objet FORM-DEV pour plus d’information.

Formation à la sécurité d’Active Directory

Les domaines Active Directory (AD) permettent la fédération des postes et des utilisateurs Windows au sein d’une console centralisée.

Ils sont omniprésents dans les entreprises, mais pourtant mal connus.
Premièrement en raison du nombre de fonctions qu’ils assurent : annuaire d’utilisateurs, DNS, DHCP, PKI, NTP, service d’impression, partage de fichiers, déploiement de configurations, sessions à distance, accès WiFi entreprise, etc.
Deuxièmement en raison de leur complexité : ils comportent des milliers de paramètres. Certains sont interdépendants, certains sont hérités de versions obsolètes, certains sont mal documentés, etc.

Or les AD constituent de fait des « Points Uniques de Défaillance » (SPOF : Single Point Of Failure) : compromettre un seul compte administrateur du domaine permet souvent de prendre le contrôle (directement ou indirectement) de tout le système d’information (SI).
Ces dernières années, ils sont particulièrement ciblés par les pirates. Leur grande complexité les rend très propices aux vulnérabilités. Et identifier ces vulnérabilités peut se faire de manière discrète. L’intérêt est donc maximal : faibles chances d’être repéré et compromission intégrale du SI si la configuration AD est vulnérable.

Ces éléments font qu’il est primordial d’investir du temps et des compétences dans la sécurisation de cet outil central.
Bien qu’il ne soit pas pertinent de tenter d’apprendre exhaustivement les centaines de vulnérabilités possibles, il est utile de connaître les grands principes qui précèdent à leur existence.
La sécurisation d’un environnement Active Directory passe par trois grandes approches : diminuer la surface d’attaque (architecture et configuration), restreindre les facultés d’attaques et les impacts en cas d’attaques réussie (durcissement), identifier préventivement les angles morts pour les combler avant qu’ils ne soient utilisés par des adversaires. 

Cette formation vise à transmettre, aux participants, l’état de l’art de la sécurité de Active Directory, tout en fournissant des clés opérationnelles quant à sa mise en place et aux difficultés du terrain lorsqu’on tente d’appliquer les recommandations (gestion du parc obsolètes, mots de passe codés en dur, ...).

Contactez-nous avec le nom d’objet FORM-SAD pour plus d’information.

Formation sécurité informatique offensive pour les employés

Astar propose également des formations destinées à vos employés.

Vous pouvez vouloir former :

  • Un DSI/RSSI pour qu'il appréhende mieux les notions techniques de la sécurité, du risque informatique, des formes de menaces, etc.
  • Un technicien/ingénieur de l'équipe informatique pour qu'il soit capable d'auditer votre réseau et d'appliquer les bonnes corrections.
  • Vos développeurs pour qu'ils anticipent les vulnérabilités qu'ils pourraient introduire dans le code.
  • Vos pentesters en herbe, pour leur enseigner les notions de base de l'intrusion informatique: démarche, éthique, techniques, ...
  • etc.

Contactez-nous avec le nom d’objet FORM-PER pour plus d’information.

Formation à la rédaction de rapport d’audit pour les pentesters

Dans une prestation de test d’intrusion, le client final juge la qualité du travail produit principalement au travers du seul matériau qui lui est livré : le rapport d’audit. Celui-ci est donc l’ambassadeur de l’entreprise.
Si sa forme est négligée, le client jugera l’entreprise peu méticuleuse. Si son design est vieillissant, le client jugera l’entreprise peu innovante. Si les ingénieurs ont accompli des prouesses techniques, mais qu’ils ne savent pas correctement les restituer, le client mésestimera la qualité du service qu’il a reçu.

La profession de pentester est essentiellement composée de profils “ingénieurs” dont les qualités rédactionnelles pâtissent de plusieurs problèmes : mauvais réflexes hérités des cours de français (remplissage et paraphrase pour atteindre un nombre de pages), méconnaissance des règles de l’expertise académique (synthèse versus résumé pour décideur, constat versus hypothèse, reproductibilité des observations, …), redondance des phases de rédaction d’une mission à l’autre, etc.
Pour autant, lorsque cet exercice est présenté comme il le devrait, il peut devenir une source d’épanouissement

La formation propose une partie théorique puis une partie pratique. Le plan couvre les grands thèmes suivants :

  • Concepts, déontologie et formalisme (ton, distance professionnelle, observations, constats et hypothèses, …)
  • Caractéristiques (plan, glossaire, dimensions des vulnérabilités, transmission, …)
  • Conventions visuelles et typographiques (choix des polices, règles de lisibilité, association des couleurs, …)
  • Qualité d’expression (précision des verbes, bon usage des néologismes, marqueurs d’incertitude, …)
  • Qualité de restitution (choix des échelles, adapter son propos au lecteur, rendre le plan d’action utile, …)
bonne formulation

Contactez-nous avec le nom d’objet FORM-RAP pour plus d’information.

Module d’initiation à la cybersécurité pour l’enseignement supérieur

Astar intervient dans plusieurs écoles d’ingénieurs pour assurer des cours introductifs ou avancés à la sécurité de l’information.

Le contenu est adapté en fonction des demandes spécifiques des établissements, mais la trame générale est la suivante :

  • Concepts et terminologie (confidentialité, disponibilité, intégrité, menace, vulnérabilité, impact, risque, données, …)
  • Vulnérabilités et conséquences (escalade de privilèges, dénis de service, exécution de commande, usurpation, …)
  • Tactiques et techniques (ingénierie sociale, énumération, exécution, mouvements latéraux, rebonds, exfiltration, …)
  • Appréciation des risques (notions d’actifs essentiels/supports, qualifier et quantifier un risque, choisir un traitement, …)
  • Défenses (méthodes préventives (mise à jour, segmentation) et palliatives (sauvegarde, détection d’intrusion), notion de défense en profondeur, notion de confiance, …)
  • Focus à la carte (virologie, cryptographie, investigation numérique, …)
cours

Certains TD explorent des dimensions du cours et d’autres permettent de s’initier à des domaines particuliers :

  • Weaponization (automatisation progressive d’une attaque)
  • Hachage (exploration du concept cryptographique des fonctions de hachage, notamment concernant le cracking de mots de passe)
  • OSINT (récolte d’informations publiquement accessibles pour cibler une attaque)
  • Analyse forensic (exploration d’un dump mémoire pour retrouver les éléments de l’attaque, dont la clé du ransomware)
  • Interception réseau (ARP, DHCP, ICMP, HTTPS et réutilisation des données dérobées)

Contactez-nous avec le nom d’objet COUR-SEC pour plus d’information.

N’hésitez pas à nous contacter

Il est également possible de faire appel à nous pour des interventions ponctuelles ou régulières:

  • Établissement d'enseignement supérieur
  • Conférences
  • Débat
  • Salon
  • etc.