Il est préférable d’être formé par un organisme approuvé, qui délivre un « badge », une certification, un diplôme. Mais le temps, le financement, la sélection à l’entrée peuvent être des obstacles.
Il est aussi très motivant de s’auto-former, en totale autonomie! Et certains Mooc délivrent des attestations, voire des diplômes reconnus par l’ANSSI.
NB: La plupart des Mooc de OpenClassRooms sont repris dans la formation Mastere UTT: https://openclassrooms.com/fr/paths/102-responsable-en-securite-des-systemes-dinformation onglet « Projets »
Quelques ressources, dont la liste à vocation à s’étoffer dans le temps:
Les incontournables, gratuits
-
- Le MOOC de l’ANSSI. https://secnumacademie.gouv.fr/
Tout commence par là.
- EBIOS Risk manager. La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. Elle mériterait un article à part entière. Le site de référence de l’ANSSI https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/ contient de nombreuses ressources qui permettent de s’autoformer, mes une formation certifiante est préférable.
- Les règles de développement « sécurisé » en langage C de l’ANSSI.
La page de référence contient aussi de nombreuses références qui permettent un bon niveau d’autoformation, théorique hélas: rien ne vaut un bon TP.
https://www.ssi.gouv.fr/guide/regles-de-programmation-pour-le-developpement-securise-de-logiciels-en-langage-c/
Considérons que « C » est fondamentalement un assembleur « abstrait » qui masque les principales caractéristiques du processeur sous-jacent, mais guère plus. « C » est efficace et génère un code optimal, compact, mais en laissant le poids de la programmation… au programmeur.
Une approche plus sécurisante serait de définir un outil qui permet de programmer dans un langage le plus proche possible de « C », avec le même niveau d’abstraction, qui automatise au maximum les tâches fastidieuses, mais génère du « C » lisible, et bien sûr GDB doit fonctionner dans les 2 modes. J’ai dans le passé utilisé cette méthode avec succès pour des architectures parallèles, serait-ce possible en code sécurisé?
- La bible de la crypto par {Boneh, Shoup} @ Standford.edu.
http://toc.cryptobook.us/
C’est ardu, vous êtes prévenus. Plus que vous ne le croyez. Mais vous n’êtes pas obligés d’aller au bout. En lire (et comprendre) la moitié est déjà pas mal.
- Le MOOC de l’ANSSI. https://secnumacademie.gouv.fr/
Une tentative de parcours formation, tout en Mooc
Pour OpenClassRooms, la plupart des Moocs sont repris dans le cursus Mastere RSSI, voir les-formations-lourdes
Introduction générale à la cybersécurité
-
- Mooc Udacity « Introduction to CyberSecurity »
https://www.udacity.com/courses/intro-to-cybersecurity-nanodegree–nd545
4 mois à 10h/semaine
A compléter. - Pointeur sur 15 cours, certains sont généralistes, d’autres spécifiques comme le cours de crypto de Standford.
https://www.welivesecurity.com/fr/2018/08/24/15-cours-gratuits-securite-informatique/ -
La sécurité informatique et cybersécurité : Niveau avancé
https://www.linkedin.com/learning/la-securite-informatique-et-cybersecurite-niveau-avanceIntermédiaire, 2 h 2 min, Publié le 21 février 2020
Mooc LinkedIN - Une introduction à la cybersécurité, du point de vue de la PME, assez similaire au MOOC de l’ANSSI,
organisée par Rennes School of Business https://executive.rennes-sb.com/formation/cybersecurite-reussir-transformation-numerique/ 5 jours sur 2 mois, 3840€ TTC
- Mooc Udacity « Introduction to CyberSecurity »
EBIOS Risk Management
-
- Mooc EBIOS Oo2 consulting.
1 690,00 €, 5 x 1/2 journée.
Certification PECB Certified EBIOS Risk Manager
https://www.oo2.fr/formations/securite-informatique/pecb/methodes-d-appreciation-du-risque-ebios
- Stage EBIOS de IB-formation.
3 jours (21h) Tarif : 2 380 € HT
Prérequis: Connaître le guide d’hygiène sécurité de l’ANSSI
Voir Cybersécurité: Culture générale
https://www.ib-formation.fr/catalogue/nbs-details/catref/universib-formations-informatiques-securite-management-de-la-securite-certifications/ref/mg807/ebios-risk-manager-certifiant
- Mooc EBIOS Oo2 consulting.
Cryptographie
-
- Cours de l’Université de Rennes 1:
https://formations.univ-rennes1.fr/cryptographie-pour-la-cybersecurite
1 800€, du 20 au 30 mars 2022. - Mooc Udacity Applied Cryptography.
https://www.udacity.com/course/applied-cryptography–cs387
A compléter.
- Mooc Coursera Cryptographie
https://www.coursera.org/learn/crypto
A compléter - Mooc OpenClassRooms
https://openclassrooms.com/fr/courses/1757741-securisez-vos-donnees-avec-la-cryptographie
8 heures.
Attention, il y a des prérequis, dont une machine virtuelle windows 10 et une machine Linux avec accès root + nom de domaine. (Ce qui va demander de modifier la configuration de votre gateway, pex avec du NAT…), + C et PHP. - FunMooc. « Code-Based Cryptography »
Gratuit, mais offline: ne délivre plus de certificat.
En provenance de l’INRIA.
https://www.fun-mooc.fr/courses/course-v1:inria+41006+archiveouvert/about
Knowledge about linear algebra, finite field and complexity theory is required.
- Cours de l’Université de Rennes 1:
Sécurité des réseaux
- FunMOOC + Mines-Telecom https://www.fun-mooc.fr/courses/course-v1:MinesTelecom+04037+session01/about
L’objectif de ce cours est de comprendre les enjeux de sécurité dans les réseaux informatiques, et plus précisément d’avoir une bonne connaissance des menaces et des mécanismes de protection, de comprendre comment ces mécanismes s’inscrivent dans une architecture de réseaux et d’acquérir un savoir faire quant à l’utilisation des outils usuels de filtrage et VPN sous Linux.
L’originalité de ce MOOC tient dans le champ thématique restreint à la sécurité des réseaux, un niveau d’expertise élevé pour un apprentissage à distance, et l’offre conséquente de TPs proposés (environnement Docker sous GNU/Linux au sein d’une machine virtuelle).
La 1ère session du MOOC est terminée, on ne peut plus y accéder en ligne.
- Mooc Open Classrooms « Sécurisez vos infrastructures »
https://openclassrooms.com/fr/courses/1761876-securisez-vos-infrastructures
10h. Active Directory/LDAP. OpenSSH.
Certificat de réussite. - Mooc Open Classrooms « Simulez des architectures réseaux avec GNS3 » https://openclassrooms.com/fr/courses/2581701-simulez-des-architectures-reseaux-avec-gns3
Est un prérequis pour le Mooc suivant.
6h, facile. Demandera d’installer une VM et GNS3, voir https://fr.wikipedia.org/wiki/GNS3 - Mooc Open Classrooms « Centralisez et sécurisez votre annuaire Active Directory »
https://openclassrooms.com/fr/courses/2222496-centralisez-et-securisez-votre-annuaire-active-directory
8H Difficulté moyenne.
Développement d’application + sécurisé
- Mooc Open Classrooms « Sécurisez vos applications »
https://openclassrooms.com/fr/courses/1761931-securisez-vos-applications
10h, difficulté moyenne.
Prérequis: TC/IP + MySQL
Sécurité de l’O.S.
- Mooc Open Classrooms « Auditez la sécurité d’un système d’exploitation »
https://openclassrooms.com/fr/courses/2035746-auditez-la-securite-dun-systeme-dexploitation
10h difficile.
Sécurité du S.I.
- Mooc OpenClassrooms « Analysez et gérez des risques SI »
https://openclassrooms.com/fr/courses/1734211-analysez-et-gerez-des-risques-si - Mooc OpenClassrooms « Définissez la politique de sécurité de votre entreprise »
https://openclassrooms.com/fr/courses/1734201-definissez-la-politique-de-securite-de-votre-entreprise - Mooc OpenClassrooms « Mettez en place un plan de continuité d’activité (PCA) »
https://openclassrooms.com/fr/courses/6227526-mettez-en-place-un-plan-de-continuite-dactivite-pca
Analyse des logs
- Mooc OpenClassrooms « Optimisez la sécurité informatique grâce au monitoring »
https://openclassrooms.com/fr/courses/1750566-optimisez-la-securite-informatique-grace-au-monitoring
8h difficile. Demande une machine linux. - Mooc OpenClassRooms « Menez une investigation d’incident numérique forensic »
https://openclassrooms.com/fr/courses/1750151-menez-une-investigation-d-incident-numerique-forensic
10h difficile. Demande une machine Linux.
Security Information and Event Management (SIEM)
Rien pour l’instant…
Pentest
- Mooc OpenClassrooms « Conduisez un test d’intrusion »
https://openclassrooms.com/fr/courses/1756296-conduisez-un-test-dintrusion
8h, difficile.
Prérequis: distribution Kali Linux, d’exploitation de vulnérabilité Metasploit framework
Lire aussi https://fr.wikipedia.org/wiki/Metasploit qui est fort intéressant.
NB: Je suppose qu’il est possible de trouver des cours/livres etc bien plus complets sur Metasploit que cette intro en 8h.
Iso27001
- MooC Udemy (anglais) 14€
https://www.udemy.com/course/iso-27001-cybersecurity-manager-guidelines/
Audit
- Mooc OpenClassRooms « Planifiez une politique d’audit au sein de votre entreprise »
https://openclassrooms.com/fr/courses/1756306-planifiez-une-politique-daudit-au-sein-de-votre-entreprise
10h, pas de prérequis.
Juridique
- Mooc OpenClassRooms « Maîtrisez les risques juridiques liés au numérique »
https://openclassrooms.com/fr/courses/5162341-maitrisez-les-risques-juridiques-lies-au-numerique
12h.
Veille technologique en cybersécurité
- OpenClassrooms : 1h. https://openclassrooms.com/fr/courses/1733741-effectuez-votre-veille-en-cybersecurite
Les formations du pôle d’excellence cyber
Voir le répertoire https://www.pole-excellence-cyber.org/formations/toutes-les-formations-des-membres-du-pole-dexcellence-cyber/?by_course=36 qui contient des formations continues, en alternance, classées par différents domaines.
Je vous encourage à l’étudier pour y trouver votre bonheur.
Les formations de Sekoia
Sekoia est, depuis 2008, un centre de formation dédié à la cyber, avec aussi, et c’est fort utile, des formations connexes par exemple en blockChain et en I.A. Déjà (à mi mars 2021) 1520 personnes formées en cyber, en intra et inter entreprise!
Voir leur catalogue, très complet, sur https://formation.sekoia.fr/
Les Mooc de LinkedIN
Globalement un niveau beaucoup plus faible que OpenClassRooms, avec des durées bien plus courtes (heures vs jours), il s’agit plutôt d’introductions rapides sur le sujet.
- Le cours « Les fondements de la sécurité informatique et de la cybersécurité »
- Niveau débutant, 1 h 48 min
- Etat des lieux de la cybersécurité
- Les malwares
- l’ingénierie sociale
- Protéger son poste de travail.
- Moins complet que le mooc ANSSI…
- Niveau débutant, 1 h 48 min
- Le cours « Cybersécurité et gouvernance pour les leaders »
Accessible à tous 1 h 4 min
https://www.linkedin.com/learning/cybersecurite-et-gouvernance-pour-les-leaders- Contien un overview des framework NIST, ISO27001 et COBIT
- Le cours « Découvrir la cryptographie et la sécurité des réseaux«
https://www.linkedin.com/learning/decouvrir-la-cryptographie-et-la-securite-des-reseaux- Est composé de 6 chapitres. 1h30. niveau débutant
- Introduction. Outil : Kali NetHunter.
- Définir la sécurité des réseaux. Crypto, SSL, certificats.
- Chiffrement cybmétrique, AES
- Chiffrement asymétrique, signature numérique
- Hash
- PGP
- Stéganographie
- Est composé de 6 chapitres. 1h30. niveau débutant
- Le cours « La sécurité des applications et des protocoles réseau » https://www.linkedin.com/learning/la-securite-des-applications-et-des-protocoles-reseau
- Est composé de 3 chapitres. 2h 41 . Niveau intermédiaire.
- Contrôler les applications et les services disponibles sur le réseau Outil: Scanner SPARTA
- Comprendre les attaques sur les protocoles réseau
- Exploiter les vulnérabilités au niveau applicatif
- Est composé de 3 chapitres. 2h 41 . Niveau intermédiaire.
- Le cours « La sécurité informatique et Cybersécurité: Niveau avancé«
https://www.linkedin.com/learning/la-securite-informatique-et-cybersecurite-niveau-avance- 2h « Niveau intermédiaire ».
- Comprendre les cyberattaques et les vulnérabilités
- Gérer l’exploitation technique des vulnérabilités. Buffer overflow, Mouchard
- Se protéger des menances visant la disponibilité des systèmes. denis de service. firewal.
- Protéger l’infrastrucutre de son entreprise. firewal, signatures. DNS pour les servuers mail. RGPD
- Le cours « Les fondements des réseaux : La sécurité »
https://www.linkedin.com/learning/les-fondements-des-reseaux-la-securite/bienvenue-dans-les-fondements-des-reseaux-la-securite
2h20 Intermédiaire - Le cours « Les fondements des réseaux : Le contrôle d’accès dynamique »
https://www.linkedin.com/learning/les-fondements-des-reseaux-le-controle-d-acces-dynamique/bienvenue-dans-les-fondements-des-reseaux-le-controle-d-acces-dynamique
1h40 - Le cours « Découvrir le droit des systèmes d’information »
Débutant 1 h 14 min
https://www.linkedin.com/learning/decouvrir-le-droit-des-systemes-d-information - Le cours « Préparer la certification Cisco Certified Network Associate (CCNA) »
https://www.linkedin.com/learning/paths/preparer-la-certification-ccna- 1 jour, 9 cours
[…] Autoformation en cybersécurité […]