Formation et Sensibilisation

A* propose des formations/sensibilisations pour divers publics :

  • Sensibilisation à la cybersécurité pour les StartUp et associations (GRATUIT)
  • Sensibilisation aux risques numériques pour les adolescents (GRATUIT)
  • Sensibilisation du personnel au risque informatique (1 jour - 20 personnes max - 1200 € HT)
  • Formation sécurité informatique offensive pour les employés (5 jours - 5 personnes max - 5000€ HT)
  • Formation à la rédaction de rapport d’audit pour les pentesters (1 jour - 7 personnes max - 1200 € HT)
  • Module d’initiation à la cybersécurité pour l’enseignement supérieur (10 heures CM - 15 heures TD - 35 personnes max - 4000 € HT)

Ces formations peuvent être menées dans vos locaux.

Sensibilisation à la cybersécurité pour les StartUp et associations (GRATUIT)

Vous êtes un incubateur de StartUp, une pépinière ou un consortium d’entreprises et vous souhaitez leur proposer une demi-journée d’animation sur le thème de la cybersécurité. Cette sensibilisation est pensée pour vous.

Astar s’engage, à son niveau, pour la protection du potentiel scientifique et technique (PPST) de la nation. Nous proposons de conseiller les jeunes entreprises innovantes pour qu’elles puissent développer tout leur potentiel en évitant l’écueil des cybermenaces (qui peut freiner, voire stopper, leur progression). C’est pour cela que cette sensibilisation est dispensée gratuitement.

Cette sensibilisation s’adresse aussi à vous si vous êtes une association à but non lucratif.

spof

L’intitulé exact de la formation est : Approche rationnelle de la Cybersécurité
Le plan est le suivant:

  • Pourquoi s’occuper de cybersécurité (ne pas couler, décrocher des marchés, faire des économies)
  • Comment aborder la sécurité (notions de risque, menace, vulnérabilité, traitement, dimensionnement)
  • Concepts clés de la sécurité (défense en profondeur, notion de confiance, protection des données)
  • Conseils et ressources (quick win, quelques bribes de sagesse, bonnes adresses)

Contactez-nous link avec le nom d’objet SENS-SUA pour plus d’information.

Sensibilisation aux risques numériques pour les adolescents (GRATUIT)

Les actuels collégiens, lycéens et étudiants sont à un carrefour générationnel. Ils sont exposés à des risques que leurs parents et professeurs n’ont pas connus lorsqu’ils avaient le même âge. Et ils ne peuvent qu’imparfaitement les y préparer.

Que vous soyez un lycée, un collège, une MJC, ou tout autre structure qui accueille des adolescents, Astar peut animer une séance de sensibilisation de 2 heures ou d’une demi-journée, sur un ton informel, qui explique et éduque à propos des principaux risques numériques qui concernent la jeunesse :

  • Qu’est-ce qu’un risque (ne pas considérer un événement seulement d’après sa probabilité)
  • Internet n’oublie pas ! (une vidéo publiée quand vous êtes ado peut vous suivre toute votre vie, les messages “éphémères” sont une illusion)
  • Le piratage peut tuer (exemple d’Ashley Madison)
  • L’intimité en 2020 (exemple du celebgate, des deepfake, de la “sextorsion”)
  • La vie privée (qu’est-ce qui la menace (affaire Snowden, risque des metadonnées), qu’est-ce qui la protège (RGPD))
  • Comment les pirates nous hackent (téléchargement illégal, “malvertising”, mot de passe réutilisés, ingénierie sociale, …)
  • Recommandations (communiquer de manière sécurisée, choisir un mot de passe, considérations sur le matériels et les logiciels, bonnes adresses)
risque biométrie

Contactez-nous link avec le nom d’objet SENS-ADO pour plus d’information.

Sensibilisation du personnel au risque informatique

Aucun système informatique n’est actuellement assez perfectionné pour s’offrir le luxe de ne pas sensibiliser son utilisateur humain à son usage sécurisé.

Vous pouvez avoir le pare-feu le plus cher du marché, les switch Cisco les plus compliqués, un IPS Top tier, si Thierry de la compta utilise le mot de passe Thierry2019!… vous avez gaspillé votre argent.

Une règle importante en sécurité informatique est que votre niveau est égal à l’élément le plus vulnérable de votre structure. Donc si vous laissez de côté la sensibilisation de vos utilisateurs, tout ce que vous dépensez dans d’autres chantiers est en partie gâché.

Formation chart

Or l’humain est aussi l’élément le plus ciblé par les pirates. Qui se souvient d’une attaque informatique d’envergure qui n’ait pas commencé par un courriel de hameçonnage ? Selon les chiffres, c’est 52% des entreprises qui subissent une attaque informatique ayant eu comme point de départ une erreur humaine d’un salarié.

Sensibiliser correctement ses employés aux risques informatiques et aux bonnes pratiques n’est pas trivial. C’est pourquoi Astar vous propose d’intervenir pour animer des ateliers de sensibilisation.
Les sujets abordés sont, entre autres:

  • Comprendre pourquoi les pirates attaquent

    Il n’y a pas besoin d’être une banque pour intéresser les pirates, présentation de comment les pirates font leur business: botnet, minage de crypto-monnaies, revente de données personnelles, etc.

  • Comprendre comment les pirates attaquent

    Vulgarisation des concepts de faille informatique, virus, trojan, phishing, … Explication des ressorts cognitifs utilisés contre eux lors du Social Engineering, etc.

  • Le choix d’un mot de passe

    Combiner la robustesse et la faculté de s’en souvenir pour ne pas l’inscrire sur un post-it, utiliser des gestionnaires de mots de passe, …

  • La sécurisation de sa session

    Démonstration en live de tout ce qu’un pirate peut extraire en 10 secondes d’une session non verrouillée: mots de passe enregistrés dans le navigateur, clés Wifi, etc.

  • La vigilance physique

    Démonstration en live d’une prise de contrôle à distance d’un poste où l’on connecte une clé vérolée, ne pas tenir la porte à un inconnu lorsqu’elle nécessite un badge, ne pas laisser un externe seul dans les locaux, ne pas brancher son smartphone personnel, …

  • etc.

Contactez-nous link avec le nom d’objet SENS-PER pour plus d’information.

Formation sécurité informatique offensive pour les employés

Astar propose également des formations destinées à vos employés.

Vous pouvez vouloir former:

  • Un DSI/RSSI pour qu’il appréhende mieux les notions techniques de la sécurité, du risque informatique, des formes de menaces, etc.
  • Un technicien/ingénieur de l’équipe informatique pour qu’il soit capable d’auditer votre réseau et d’appliquer les bonnes corrections.
  • Vos développeurs pour qu’ils anticipent les vulnérabilités qu’ils pourraient introduire dans le code.
  • Vos pentesters en herbe, pour leur enseigner les notions de base de l’intrusion informatique: démarche, éthique, techniques, …
  • etc.

Contactez-nous link avec le nom d’objet FORM-PER pour plus d’information.

Formation à la rédaction de rapport d’audit pour les pentesters

Dans une prestation de test d’intrusion, le client final juge la qualité du travail produit principalement au travers du seul matériau qui lui est livré : le rapport d’audit. Celui-ci est donc l’ambassadeur de l’entreprise.
Si sa forme est négligée, le client jugera l’entreprise peu méticuleuse. Si son design est vieillissant, le client jugera l’entreprise peu innovante. Si les ingénieurs ont accompli des prouesses techniques, mais qu’ils ne savent pas correctement les restituer, le client mésestimera la qualité du service qu’il a reçu.

La profession de pentester est essentiellement composée de profils “ingénieurs” dont les qualités rédactionnelles pâtissent de plusieurs problèmes : mauvais réflexes hérités des cours de français (remplissage et paraphrase pour atteindre un nombre de pages), méconnaissance des règles de l’expertise académique (synthèse versus résumé pour décideur, constat versus hypothèse, reproductibilité des observations, …), redondance des phases de rédaction d’une mission à l’autre, etc.
Pour autant, lorsque cet exercice est présenté comme il le devrait, il peut devenir une source d’épanouissement

La formation propose une partie théorique puis une partie pratique. Le plan couvre les grands thèmes suivants :

  • Concepts, déontologie et formalisme (ton, distance professionnelle, observations, constats et hypothèses, …)
  • Caractéristiques (plan, glossaire, dimensions des vulnérabilités, transmission, …)
  • Conventions visuelles et typographiques (choix des polices, règles de lisibilité, association des couleurs, …)
  • Qualité d’expression (précision des verbes, bon usage des néologismes, marqueurs d’incertitude, …)
  • Qualité de restitution (choix des échelles, adapter son propos au lecteur, rendre le plan d’action utile, …)
bonne formulation

Contactez-nous link avec le nom d’objet FORM-RAP pour plus d’information.

Module d’initiation à la cybersécurité pour l’enseignement supérieur

Astar intervient dans plusieurs écoles d’ingénieurs pour assurer des cours introductifs ou avancés à la sécurité de l’information.

Le contenu est adapté en fonction des demandes spécifiques des établissements, mais la trame générale est la suivante :

  • Concepts et terminologie (confidentialité, disponibilité, intégrité, menace, vulnérabilité, impact, risque, données, …)
  • Vulnérabilités et conséquences (escalade de privilèges, dénis de service, exécution de commande, usurpation, …)
  • Tactiques et techniques (ingénierie sociale, énumération, exécution, mouvements latéraux, rebonds, exfiltration, …)
  • Appréciation des risques (notions d’actifs essentiels/supports, qualifier et quantifier un risque, choisir un traitement, …)
  • Défenses (méthodes préventives (mise à jour, segmentation) et palliatives (sauvegarde, détection d’intrusion), notion de défense en profondeur, notion de confiance, …)
  • Focus à la carte (virologie, cryptographie, investigation numérique, …)
cours

Certains TD explorent des dimensions du cours et d’autres permettent de s’initier à des domaines particuliers :

  • Weaponization (automatisation progressive d’une attaque)
  • Hachage (exploration du concept cryptographique des fonctions de hachage, notamment concernant le cracking de mots de passe)
  • OSINT (récolte d’informations publiquement accessibles pour cibler une attaque)
  • Analyse forensic (exploration d’un dump mémoire pour retrouver les éléments de l’attaque, dont la clé du ransomware)
  • Interception réseau (ARP, DHCP, ICMP, HTTPS et réutilisation des données dérobées)

Contactez-nous link avec le nom d’objet COUR-SEC pour plus d’information.

N’hésitez pas à nous contacter

Il est également possible de faire appel à nous pour des interventions ponctuelles ou régulières:

  • Établissement d’enseignement supérieur
  • Conférences
  • Débat
  • Salon
  • etc.