Cyber Security Specialist avec brevet fédéral

Formations professionnelles supérieures

Introduction

La ou le Cyber Security Specialist (CSS) est une informaticienne ou un informaticien(1) hautement spécialisé opérant dans le domaine de la cybersécurité. Il travaille généralement au sein de moyennes ou grandes entreprises privées ou dans des institutions publiques. Ses principales tâches sont la protection préventive des systèmes d’information et de communication d’une organisation contre les attaques dans le cyberespace et la gestion réactive des incidents de sécurité. Le Cyber Security Specialist dirige des petites équipes constituées de professionnels chargés de l’exploitation opérationnelle ou engagées dans des projets spécifiques de sécurité. Dans le cadre de projets, il endosse la responsabilité pour des lots de travaux individuels ou des sous-projets.

Documentation pdf ...

_______________
(1) Afin de faciliter la lecture, par la suite, seul le masculin est utilisé pour désigner les deux genres.

Dates, Prix, Inscription

La formation, d'une durée de 51 jours, se déroule chaque année de février à septembre de l'année suivante pour préparer aux examens fédéraux qui se déroulent chaque année en novembre. Les cours se déroulent généralement les vendredis et samedis toutes les 2 semaines de 9h00 à 12h00 et de 13h00 à 16h00 et 15h00 les samedis.
Selon notre expérience, la réussite des examens implique en plus du cours et des exercices dirigés, un travail personnel d´assimilation conséquent dont la charge est estimée à 2 jours par jour de cours.
Cyber Security Specialist avec brevet fédéral
Durée
51
Prix
CHF 15'300.-
Prix/j.
CHF 300.-
Cycle 2025 - 2026
En 2025
21, 22 fév, 7, 8, 21, 22 mar, 4, 5, 25, 26 avr, 2, 3, 16, 17 mai, 6, 7, 20, 21, 27, 28 jun, 5, 6, 19, 20 sep, 3 oct, 15, 28, 29 nov, 13 déc 2025
En 2026
10, 23, 29, 30 jan, 13, 14, 27, 28 fév, 13, 14, 27, 28 mar, 24, 25 avr, 8, 9 mai, 4, 5, 18, 19 sep, 2, 3 oct 2026
Cyber Security Specialist avec brevet fédéral
Durée
51
Prix
CHF 15'300.-
Prix/j.
CHF 300.-
Cycle 2026 - 2027
En 2026
20, 21 fév, 6, 7, 20, 21, 27, 28 mar, 17, 18 avr, 1, 2, 29, 30 mai, 5, 6, 19, 20, 26, 27 jun, 4, 5, 18, 19 sep, 2 oct, 14, 27, 28 nov, 12 déc 2026
En 2027
9, 22, 29, 30 jan, 12, 13, 26, 27 fév, 12, 13 mar, 2, 3, 23, 24 avr, 28, 29 mai, 2, 3, 16, 17 sep, 1, 2 oct 2027
Cyber Security Specialist, complément pour ICT-Platform Development Specialist avec brevet fédéral formés à l'ISEIG
Durée
26
Prix
CHF 9'100.-
Prix/j.
CHF 350.-
Cycle 2024 - 2025
En 2024
16, 29, 30 nov, 14 déc 2024
En 2025
11, 17, 18, 24, 31 jan, 1, 14, 15, 28 fév, 1, 14, 15, 28, 29 mar, 11, 12, 25, 26 avr, 26, 27 sep, 24, 25 oct 2025
Cyber Security Specialist, complément pour ICT-Platform Development Specialist avec brevet fédéral formés à l'ISEIG
Durée
26
Prix
CHF 9'100.-
Prix/j.
CHF 350.-
Cycle 2025 - 2026
En 2025
15, 28, 29 nov, 13 déc 2025
En 2026
10, 23, 29, 30 jan, 13, 14, 27, 28 fév, 13, 14, 27, 28 mar, 24, 25 avr, 8, 9 mai, 4, 5, 18, 19 sep, 2, 3 oct 2026
Prix avec le subventionnement :
  • CHF 7'650.-, soit CHF 150.- par jour avec la subvention de 50 % de la Confédération pour tout candidat(e) payant ses impôts en Suisse.
  • CHF 5'150.-, soit CHF 100.- par jour avec la subvention supplémentaire de 25 % de la fondation FONPRO pour candidat(e) travaillant dans une entreprise située dans le canton de Vaud.
Subventionnement jusqu'à 75 % pour la formation : plus de renseignements ...
Le prix du cours comprend toute la documentation pédagogique distribuée comprenant des ouvrages, supports de cours, supports de présentation, exercices avec corrigés et examens à blanc avec corrigés.
Le prix du cours n'inclut pas la taxe d'examen de CHF 3'200.- (tarif 2023), non soumis à la TVA, montant subventionné à hauteur de CHF 3'000.- par la FONPRO et facturé par ICT-Formation professionnelle Suisse.
Modalités de paiement : plus de renseignements ...

Plan de formation et compétences à acquérir

La formation est composée de 13 modules officiels et de 1 module ISEIG de travaux interdisciplinaires mettant en pratique la matière de tous les modules et de préparation aux examens.

  • Gestion de projet et direction d’équipe
    • 690 - Planifier, conduire et superviser des projets
      Structurer et planifier un projet conformément au mandat de projet défini, conduire et superviser le projet pendant sa réalisation et informer périodiquement les décideurs sur l'avancement du projet.
    • 674 - Diriger et soutenir une équipe
      Diriger et soutenir une équipe sur le plan professionnel et social en adoptant un comportement de conduite et de communication adapté à la situation.
    • 686 - Fournir des conseils techniques aux clients et les former
      Fournir aux clients internes ou externes des conseils techniques orientés besoins et solutions, planifier et dispenser des formations adaptées aux groupes cibles.
  • Finances, budgets
    • 688 - Déterminer les ressources à allouer à des projets ICT et les budgétiser
      Déterminer les coûts d'un projet ICT, établir une planification des coûts et un budget et contrôler les coûts pendant la réalisation.
  • Analyse de processus, analyse des besoins, acquisition de solution
    • 687 - Délimiter les systèmes et spécifier les exigences
      Faire le relevé des prestations qu'un système doit fournir, décrire le contexte du système et les interfaces et spécifier les exigences dans un catalogue d'exigences structuré. Analyse d'exigences pour le développement, l'exploitation ou la maintenance de systèmes, processus et services techniques et organisationnels.
    • 689 - Evaluer des solutions informatiques
      Procéder à l'évaluation d'une solution informatique sur la base d'un mandat donné et d'exigences définies et formuler une recommandation pour l'acquisition.
  • Gouvernance des systèmes d’information
    • 682 - Gérer les incidents de sécurité
      Piloter et surveiller le traitement des incidents de sécurité identifiés tout au long de leur cycle de vie conformément aux structures et aux processus définis dans le cadre de la gestion des incidents de sécurité d'une organisation.
    • 681 - Détecter et contrer les attaques ciblant l’infrastructure informatique
      Choisir des solutions techniques de surveillance et de protection en vue de détecter et de contrer les attaques ciblant les systèmes, les réseaux et les applications d'une organisation et les mettre en service.
    • 685 - Assurer la gestion des vulnérabilités et des correctifs
      Identifier et prioriser les failles des systèmes, des réseaux et des applications d'une organisation et les traiter dans le cadre de la gestion des vulnérabilités et des correctifs.
  • ICT Security
    • 679 - Collecter des informations sur les menaces et les traiter
      Dans le cadre de la Cyber Threat Intelligence (CTI) d'une organisation, collecter et analyser en continu les informations sur les menaces potentielles du cyberespace et consigner les résultats sous forme adéquate, conformément à leur finalité et aux groupes cibles.
    • 680 - Contrôler la sécurité de l’infrastructure informatique
      Contrôler, dans le cadre d'un mandat, la sécurité des systèmes, des réseaux et des applications d'une organisation au moyen de méthodes et d'outils appropriés, consigner et présenter les résultats des tests de façon concluante et recommander des mesures pour corriger les failles identifiées.
    • 683 - Analyser et interpréter des ensembles de données
      Inspecter des données brutes et des ensembles de données quant à la présence d'informations critiques et déterminantes pour la sécurité, plausibiliser les résultats et les exploiter de façon probante en adéquation avec le public cible.
    • 684 - Procéder à une investigation numérique des systèmes
      Inspecter les données persistantes, temporaires ou volatiles des systèmes quant à la présence de maliciels ou de traces numériques suspectes, exploiter et présenter les résultats de l'investigation de façon probante et en adéquation avec le groupe cible.
  • Travaux pratiques interdisciplinaires et préparation aux examens - module ISEIG
    • S07 - Cyber Security Specialist

674

Project Management

Diriger et soutenir une équipe

Diriger et soutenir une équipe sur le plan professionnel et social en adoptant un comportement de conduite et de communication adapté à la situation.

1
Mener une réflexion sur son propre comportement en vue de conduire une équipe de manière efficace et efficiente.
1.1
Connaître des modèles simples de perception des traits de la personnalité et des caractéristiques comportementales (p. ex. fenêtre de Johari, modèle de l’iceberg) et pouvoir expliquer les différences entre la perception de soi et la perception d’autrui.
1.2
Connaître des modèles fondamentaux de la gestion du temps et de soi (p. ex. principe d’Eisenhower, principe de Pareto).
1.3
Connaître l’importance du devoir d’exemplarité dans la conduite.
2
Définir son propre comportement de conduite de manière consciente et l’adapter en fonction du contexte.
2.1
Connaître les différents styles de conduite et leurs caractéristiques et pouvoir expliquer l’adéquation d’un style en fonction de la situation.
2.2
Connaître les différentes formes d’organisation et leurs caractéristiques (p. ex. organisation hiérarchique et organisation fonctionnelle, organisation hiérarchique avec état-major, organisation matricielle, organisation de projet pure avec Task Force) et pouvoir expliquer l’adéquation d’une forme d’organisation en fonction de la situation.
3
Définir son propre comportement de communication de manière consciente et en fonction de la situation et instaurer au sein de l’équipe une culture de communication basée sur l’estime.
3.1
Connaître des modèles de communication fondamentaux (p. ex. le modèle des quatre oreilles de Schultz von Thun, la communication non violente selon B. Rosenberg) et pouvoir expliquer leur importance par rapport à son propre comportement de communication.
3.2
Connaître les règles pour la transmission et la réception de feedbacks.
4
Promouvoir activement le développement de l’esprit d’équipe et clarifier les rôles au sein de l’équipe.
4.1
Connaître la différence entre un groupe et une équipe.
4.2
Connaître les cinq étapes du développement de l’esprit d’équipe selon Tuckman (Forming, Storming, Norming, Performing et Adjourning) et pouvoir expliquer les caractéristiques de chaque étape.
4.3
Connaître des modèles de rôles au sein d’une équipe (p. ex. rôles en équipe selon Belbin), connaître la différence entre la construction d’un rôle (role making) et la prise active d’un rôle (role taking) et pouvoir expliquer l’importance de la composition des rôles pour les performance au sein d’une équipe.
5
Créer les conditions cadres pour qu’une équipe puisse travailler avec motivation.
5.1
Connaître des modèles fondamentaux de la théorie de la motivation (p. ex. Maslow, Herzberg) et pouvoir expliquer leur importance dans la pratique.
5.2
Connaître la différence entre la motivation intrinsèque et la motivation extrinsèque.
6
Identifier les potentiels de conflit et les conflits au sein de l’équipe et prendre des mesures appropriées pour les éviter, les désamorcer ou les résoudre.
6.1
Connaître les caractéristiques et la dynamique des conflits.
6.2
Connaître des mesures pour éviter et résoudre des conflits.
7
Planifier des processus de changement et soutenir les personnes concernées lors du règlement de différends et de la gestion du changement.
7.1
Connaître les phases typiques des processus de changement et pouvoir expliquer les caractéristiques des différentes phases.
7.2
Connaître les facteurs de succès (p. ex. perception de l’urgence, succès rapides, communication) et les risques liés aux processus de changement.
7.3
Connaître les signes typiques des peurs et des oppositions et pouvoir expliquer des procédures adaptées pour les gérer.
8
Identifier le besoin de formation continue au sein de l’équipe, développer avec les collaborateurs des objectifs de développement individuels et planifier des mesures correspondantes de formation continue ou de soutien.
8.1
Connaître des mesures de soutien (p. ex. formation, coaching, développement de l’équipe) et pouvoir expliquer leurs caractéristiques et leur adéquation en fonction de la situation.
8.2
Connaître les exigences à remplir pour de bonnes conventions d’objectifs et des entretiens constructifs basés sur l’estime en vue d’une convention d’objectifs communs.
Durée (Jours)

679

Security/Risk Management

Collecter des informations sur les menaces et les traiter

Dans le cadre de la Cyber Threat Intelligence (CTI) d’une organisation, collecter et analyser en continu les informations sur les menaces potentielles du cyberespace et consigner les résultats sous forme adéquate, conformément à leur finalité et aux groupes cibles.

1
Collecter de façon continue, proactive et autodirigée des informations sur les menaces actuelles du cyberespace.
1.1
Connaître la finalité de la Cyber Threat Intelligence (CTI) et ses différents niveaux (p. ex. stratégique, tactique et opérationnel).
1.2
Connaître diverses causes de menace (p. ex. acte délibéré, vulnérabilités, défaillance technique, comportement humain inadéquat, cas de force majeure) et pouvoir en expliquer la pertinence quant à la sécurité de l’information et à la cybersécurité.
1.3
Connaître des sources d’informations internes et externes sur les menaces (p. ex. organisations CERT, catalogue des menaces MELANI, ENISA et BSI, listes d’adresses électroniques, avis et rapports de sécurité de fabricants et de prestataires tiers, rapports sandbox, échange d’expériences au sein du réseau de relations, OWASP Top 10, SANS Top 20).
1.4
Connaître diverses formes de menace et de vecteurs d’attaque (p. ex. maliciels, menace persistante avancée [APT], rançongiciel, attaques DDoS, spoofing, phishing, attaques DNS, bots et réseaux de bots, injection de script, vol de session [session hijacking], ingénierie sociale, courriers indésirables) et pouvoir les expliquer sous l’angle de la voie d’attaque, de la technique d’attaque et de l’objectif de l’attaque (p. ex. panne du système, utilisation abusive du système, vol, fraude, chantage).
2
Vérifier et évaluer la crédibilité des informations.
2.1
Connaître des indicateurs pour évaluer la crédibilité des informations (p. ex. auteur, éditeur, format, indication des sources, actualité, vérifiabilité, reproductibilité) et pouvoir en expliquer la pertinence pour différentes sources.
3
Evaluer le potentiel de risque des menaces en tenant compte de la stratégie de sécurité de l’information et de l’infrastructure informatique d’une organisation.
3.1
Connaître les directives et les éléments déterminants de la stratégie de sécurité de l’information d’une organisation (p. ex. appétence au risque, tolérance au risque, objectifs de sécurité stratégiques, inventaire et classification des valeurs [assets]).
3.2
Connaître l’infrastructure informatique et le paysage système d’une organisation et pouvoir expliquer la pertinence d’une menace pour les systèmes, réseaux et applications spécifiques à une organisation.
3.3
Connaître des modèles courants d’évaluation des risques et des menaces (p. ex. matrice des risques, méthodologie d’évaluation des risques de l’OWASP, système d’évaluation standardisé de la criticité des vulnérabilités [CVSS]).
4
Analyser les informations sur les menaces et documenter les résultats sur les plans tactique et opérationnel de la CTI.
4.1
Connaître l’importance des descriptions de tactiques, techniques et procédures (TTP) et pouvoir en expliquer l’utilité pour la cybersécurité d’une organisation.
4.2
Connaître l’importance des indicateurs d’attaque (IoA) et pouvoir citer des exemples typiques (p. ex. anomalies dans le trafic réseau, anomalies dans les heures d’utilisation, requêtes DNS suspectes, redirection des utilisateurs).
4.3
Connaître l’importance des indicateurs de compromission (IoC) et pouvoir citer des exemples typiques (p. ex. valeurs de hachage, signatures numériques, noms de domaine, adresses IP, URL, adresses e-mail, X-Mailer, HTTP User Agent).
4.4
Connaître des normes et des modèles courants de classification des menaces (p. ex. taxonomie CERT, taxonomie MISP, taxonomie eCSIRT, Europol Common Taxonomy for Law Enforcement and CSIRTs).
5
Traiter les résultats issus de la CTI et les communiquer aux parties prenantes internes ou externes sous forme adéquate, conformément aux groupes cibles et aux niveaux concernés.
5.1
Connaître les parties prenantes internes ou externes déterminantes de la CTI (p. ex. management, CISO, analystes SOC, incident response team [CERT/CIRT], gestion des vulnérabilités et des correctifs, architectes système, administrateurs système, autorités en charge des poursuites pénales) et pouvoir expliquer leurs besoins spécifiques en informations.
5.2
Connaître divers canaux de communication (p. ex. rapports écrits ou verbaux, collecticiel [groupware], wiki, base de connaissances, forums, médias sociaux) et pouvoir expliquer leurs différences quant à leur impact, fiabilité et sécurité.
5.3
Connaître des plateformes et des cadres d’échange d’informations courants dans le domaine de la CTI (p. ex. Malware Information Sharing Platform [MISP], Collective Intelligence Framework [CIF], Collaborative Research Into Threats [CRITs], Open Threat Exchange [OTX]).
5.4
Connaître des formats usuels d’informations CTI (p. ex. STIX, OpenIOC, Intrusion Detection Message Exchange Format [IDMEF], Incident Object Description Exchange Format [IODEF]) et des standards pour l’échange de données CTI lisible par machine (p. ex. TAXII).
Durée (Jours)

680

Security/Risk Management

Contrôler la sécurité de l’infrastructure informatique

Contrôler, dans le cadre d’un mandat, la sécurité des systèmes, des réseaux et des applications d’une organisation au moyen de méthodes et d’outils appropriés, con-signer et présenter les résultats des tests de façon concluante et recommander des mesures pour corriger les failles identifiées.

1
Clarifier et définir avec le mandant les objectifs, le périmètre et les conditions cadres de l’audit de sécurité de tout ou partie de l’infrastructure informatique.
1.1
Connaître des méthodologies et des standards pertinents pour procéder à des contrôles de sécurité (p. ex. OSSTMM, normes BSI pour les tests d’intrusion [BSI Leitfaden für Penetrationstests], Penetration Testing Execution Standard [PTES], méthodologie de l’OWASP pour la réalisation de tests de pénétra-tion d’applications WEB, Technical Guide to Information Security Testing and Assessment du NIST, CIS Controls, ISO/CEI 2700x).
1.2
Connaître l’infrastructure informatique et le paysage système du mandant et pouvoir expliquer les possibilités de limitation du périmètre d’un audit de sécurité (p. ex. complet, limité, ciblé).
1.3
Connaître les conditions cadres organisationnelles et techniques pertinentes applicables aux audits de sécurité (p. ex. identification de tous les systèmes et collaborateurs concernés, durée d’exécution, risques relevant de la responsabilité en cas de pannes et de dommages, accès aux réseaux et à l’infrastructure).
1.4
Connaître des aspects éthiques pertinents dans le cadre des audits de sécurité (p. ex. utilisation de techniques d’ingénierie sociale, exploitation de vulnérabilités identifiées).
2
Sélectionner des méthodes de tests de sécurité appropriées en fonction des objectifs et du rapport coûts/utilité.
2.1
Connaître les possibilités et les limites des scans de vulnérabilité et de l’exploitation (exploiting).
2.2
Connaître les possibilités et les limites des tests d’intrusion et pouvoir expliquer leurs caractéristiques quant à la perspective (en mode boîte noire, boîte grise ou boîte blanche), au système cible, à la procédure (visible, invisible), à la position de l’attaquant (interne, externe) et à l’agressivité.
2.3
Connaître les possibilités et les limites des audits et revues techniques (p. ex. audit de sécurité, audit de processus, audit de conformité) et pouvoir expliquer l’objet de l’audit en tant qu’élément de différenciation.
2.4
Connaître les possibilités et les limites des techniques d’ingénierie sociale.
2.5
Connaître le modèle et le but des simulations par équipe rouge (red teaming) et par équipe bleue (blue teaming) dans le contexte des tests de sécurité.
3
Vérifier la conformité légale et contractuelle des tests de sécurité planifiés et engager, si nécessaire, des mesures correctives.
3.1
Connaître les aspects de droit pénal pertinents en matière de tests de sécurité (p. ex. soustraction de données, accès indu à un système informatique, détérioration de données, utilisation frauduleuse d’un ordinateur) et l’importance du consentement contractuel du mandant.
3.2
Connaître les dispositions légales relatives à la protection des données et au droit d’auteur (licences) dans le contexte des tests de sécurité (p. ex. traitement de données à caractère personnel, modifications non autorisées du code de programme) et pouvoir expliquer les possibilités permettant de garantir le respect des prescriptions en la matière.
3.3
Connaître les risques juridiques civils pertinents dans le contexte des tests de sécurité (p. ex. pannes et endommagements de systèmes, perte et détérioration de données) et pouvoir expliquer les possibilités permettant de prévenir les dommages, les coûts consécutifs ainsi que les demandes de dommages et intérêts.
3.4
Connaître les principaux contenus d’un contrat de service portant sur des tests de sécurité (p. ex. but, type de tests et technique utilisée, obligation de confidentialité, devoir de diligence, protection des données, demande de dommages et intérêts et exclusion de la responsabilité, notification aux personnes concernées) et pouvoir expliquer leur finalité.
4
Choisir, en tenant compte des objectifs et de la méthodologie de test, des techniques et des outils appropriés pour procéder aux tests et aux audits de sécurité.
4.1
Connaître des techniques manuelles de vérification de la sécurité (p. ex. étude de documents, enquêtes et entretiens, renseignement de sources ouvertes ou Open Source Intelligence [OSINT], pira-tage manuel et vérification manuelle des exploits, audit physique des contrôles d’accès).
4.2
Connaître des outils appropriés pour procéder à un audit de sécurité assisté par ordinateur et pouvoir expliquer la finalité de leur utilisation (p. ex. test de stress, scan de vulnérabilités, exploitation, déverrouillage, sniffing, spoofing, rétro-ingénierie).
5
Exécuter les tests de sécurité et consigner la procédure et les résultats des tests de façon continue et exhaustive.
5.1
Connaître les principaux contenus d’un protocole de test compréhensible et traçable (p. ex. identification, timbre horodateur et calendrier, activité, motivation, outils et paramètres, résultats, pièces justificatives).
5.2
Connaître des possibilités de sauvegarde des pièces justificatives issues des tests de sécurité (p. ex. enregistrement du trafic réseau, captures d’écran, photographies, fichiers log et fichiers journaux des outils).
6
Analyser et évaluer les résultats des tests et rédiger un rapport d’audit avec des mesures pour corriger les vulnérabilités.
6.1
Connaître diverses causes de vulnérabilités (p. ex. directives de sécurité lacunaires ou non appliquées, failles dans l’architecture de sécurité ou dans la configuration, failles dans la gestion des incidents ou des correctifs).
6.2
Connaître des modèles courants d’évaluation de la criticité des vulnérabilités (p. ex. Common Vulnerability Scoring System [CVSS], OWASP Risk Rating Methodology, schéma de classification des vulnérabilités selon le BSI).
6.3
Connaître les principaux contenus d’un catalogue de mesures structuré (p. ex. mesure, évaluation, priorité, compétences, évaluation des ressources et estimation des coûts, vérification).
6.4
Connaître les principaux contenus d’un rapport d’audit (p. ex. synthèse, contexte, objet d’investigation, méthodes, résultats, constats, catalogue des mesures, recommandation avec justification).
Durée (Jours)

681

System Management

Détecter et contrer les attaques ciblant l’infrastructure informatique

Choisir des solutions techniques de surveillance et de protection en vue de détecter et de contrer les attaques ciblant les systèmes, les réseaux et les applications d’une organisation et les mettre en service.

1
Définir, en tenant compte de la situation des menaces, les indicateurs, signatures et motifs pertinents pour détecter des attaques contre l’infrastructure informatique d’une organisation.
1.1
Connaître diverses formes de menace et de vecteurs d’attaque (p. ex. maliciels, menace persistante avancée [APT], rançongiciel, attaques DDoS, spoofing, phishing, attaques DNS, bots et réseaux de bots, injection de script, vol de session [session hijacking], ingénierie sociale, pourriels) et pouvoir les expliquer sous l’angle de la voie d’attaque, de la technique d’attaque et de l’objectif de l’attaque (p. ex. panne du système, utilisation abusive du système, vol, fraude, chantage).
1.2
Connaître des concepts fondamentaux de détection d’attaques (p. ex. recherche basée sur des motifs ou des règles, détection d’anomalies, inspection de paquets et du contenu, vérification de l’intégrité des fichiers, surveillance des processus, contrôle des journaux).
1.3
Connaître l’importance des tactiques, techniques et procédures (TTP), des indicateurs d’attaque (IoA) et des indicateurs de compromission (IoC) pour la détection des attaques.
2
Choisir des solutions de surveillance et de protection pour la détection d’attaques basée réseau et leur blocage et mettre celles-ci en service.
2.1
Connaître des normes de réseau courantes (IEEE 802) pour les réseaux locaux (LAN), les réseaux locaux sans fil (WLAN), les réseaux personnels ainsi que les réseaux personnels sans fil (PAN, WPAN) et pouvoir expliquer leurs caractéristiques.
2.2
Connaître des protocoles d’application courants dans les réseaux TCP/IP (p. ex. HTTP, protocoles de messagerie, DHCP, DNS, annuaires, protocoles de transfert de fichiers, protocoles de gestion des réseaux).
2.3
Connaître des protocoles de réseau et de transport courants en termes de sécurité cryptographique (p. ex. IPSec, TLS) et leur champ d’application pour un transfert sécurisé des données (p. ex. HTTPS, SMTPS, SIPS, FTPS, SFTP, LDAPS).
2.4
Connaître des concepts de séparation physique ou logique des réseaux sur différentes couches OSI (p. ex. Spanning Tree Protocol [STP], commutateur de couche 2 et de couche 3, subnetting, VLAN, pare-feu, zone démilitarisée [DMZ], proxy inverse, serveur d’entrée Web [WES], pare-feux applicatifs Web [WAF], répartition de charge [load balancing] et pouvoir expliquer leur fonction.
2.5
Connaître des outils appropriés pour surveiller le trafic réseau (p. ex. analyseur de paquets Wireshark, MRTG, Nmap, Nagios, lignes de commande pertinentes).
2.6
Connaître les fonctions, les possibilités et les limites des systèmes de détection et de prévention d’intrusion basés réseau (NIDS/NIPS) et pouvoir citer des outils courants (p. ex. Snort, Suricata).
2.7
Connaître l’importance et le principe de fonctionnement des tarpits pour lutter contre les spams et les vers et pouvoir citer des outils usuels (p. ex. LaBrea, Netfilter).
3
Choisir des solutions de protection et de durcissement appropriées pour la détection d’attaques basée hôte et application et leur blocage et mettre celles-ci en service.
3.1
Connaître des concepts fondamentaux de durcissement des systèmes (p. ex. administration des utilisateurs et authentification, contrôle des accès, désactivation ou limitation des services, chiffrement du disque dur) et pouvoir citer des sources relatives aux meilleures pratiques en matière du durcissement de systèmes d’exploitation courants (p. ex. Windows, Unix/Linux, Mac OS, iOS, Android).
3.2
Connaître des sources de guides, de directives et de standards courants en matière de durcissement de systèmes et d’applications spécifiques (p. ex. CIS Benchmarks, OpenSCAP, Microsoft Security Baselines, STIG de la DISA, guides de durcissement de la sécurité propres à des produits).
3.3
Connaître les fonctions, les possibilités et les limites de systèmes de détection et de prévention d’intrusion basés hôte (HIDS/HIPS) et pouvoir citer des outils courants (p. ex. Open Source Tripwire, IDDS, Botshield, Samhain, armes cybernétiques).
3.4
Connaître les fonctions, les possibilités et les limites de solutions de protection pertinentes basées application (p. ex. WAF basé hôte, filtre anti-spam) et pouvoir citer des outils courants (p. ex. ModSecurity, Fortinet, SpamAssassin, RSPAMD).
4
Choisir, au regard des directives de l’organisation relatives à la classification des informations, des solutions appropriées de protection des données sensibles contre leur diffusion non autorisée et mettre celles-ci en service.
4.1
Connaître les lignes directrices de l’organisation sur la classification des données quant à leur confidentialité (p. ex. secret, confidentiel, diffusion restreinte, interne et public) et à leur intégrité (p. ex. vital, important, normal) et pouvoir expliquer leur pertinence en ce qui concerne la protection des données sensibles.
4.2
Connaître des possibilités techniques de protection des données en mouvement (data in motion) sur différents canaux (p. ex. Web, courrier électronique, partages).
4.3
Connaître des possibilités techniques de protection des données traitées (data at use).
4.4
Connaître des possibilités techniques de protection des données stockées (data at rest) sur différents supports de stockage (magnétique, optique ou électronique) et dans diverses architectures de stockage (p. ex. NAS, SAN, cloud).
4.5
Connaître différentes architectures et des fonctions typiques des solutions de protection dans le domaine de la prévention de la perte ou fuite de données (DLP).
5
Choisir, si nécessaire, des solutions appropriées pour leurrer les attaquants et mettre celles-ci en service.
5.1
Connaître l’importance des honeypots et des honeynets pour leurrer les attaquants et analyser les attaques et pouvoir expliquer leurs caractéristiques en termes d’architecture (client/serveur, physique/virtuelle) et d’interaction (basse/élevée).
5.2
Connaître des outils courants pour les serveurs honey (p. ex. honeyd, HoneyTrap, Argos) et les honey clients (p. ex. PhoneyC, mapWOC).
5.3
Connaître la finalité des honey links dans les applications Web et pouvoir expliquer leur traitement dans les pare-feux applicatifs Web (WAF).
6
Configurer, en tenant compte des dispositions légales en matière de protection de la personnalité et des données, la journalisation des données concernées dans les solutions de surveillance et de protection.
6.1
Connaître les dispositions régissant la surveillance du comportement personnel issues de la loi sur le travail et de la loi sur la protection des données.
6.2
Connaître les dispositions de la protection des données en termes de pseudonymisation et d’anonymisation des données à caractère personnel et pouvoir expliquer comment observer les principes de licéité, de proportionnalité, de finalité et de transparence à l’aide d’exemples types d’application.
7
Tester régulièrement le fonctionnement et l’efficacité des solutions de surveillance et de protection et corriger, si nécessaire, la configuration.
7.1
Connaître des techniques et des outils appropriés de simulation d’attaques (p. ex. scanner de ports, scripts d’exploit, générateurs de charge utile, générateurs SYN flood, générateurs de tests de stress et générateurs de faux positifs).
7.2
Connaître l’importance des faux positifs dans les solutions de surveillance et de protection et pouvoir expliquer par quels moyens les détecter et les réduire.
7.3
Connaître les principaux éléments de description des cas de test (p. ex. identification, conditions, consignes d’exécution, procédures et outils, comportement attendu) et établir un protocole de test clair et compréhensible (p. ex. responsabilité, horodatation de l’exécution des tests, résultats des tests, traitement des anomalies et mesures).
8
Intégrer les solutions de surveillance et de protection dans un système supérieur de gestion des événements et des informations de sécurité (SIEM).
8.1
Connaître les principales fonctions des systèmes SIEM (collecte et agrégation des données au moyen de collecteurs/agents, présentation des résultats, alarme, application des règles, archivage des données) et pouvoir citer des outils courants (p. ex. ELK Stack, Apache Metron, OSSEC, AlienVault OSSIM, Splunk).
8.2
Connaître des formats courants d’échange de données lisible par machine entre divers clients et le SIEM (p. ex. Interface for Metadata Access Points [IF-MAP], Common Event Format [CEF], formats Syslog, CSV, XML, valeur-clé).
Durée (Jours)

682

Service Management

Gérer les incidents de sécurité

Piloter et surveiller le traitement des incidents de sécurité identifiés tout au long de leur cycle de vie conformément aux structures et aux processus définis dans le cadre de la gestion des incidents de sécurité d’une organisation.

1
Analyser, catégoriser et prioriser les incidents de sécurité dans le cadre du fonctionnement opérationnel et définir, selon le plan de réponse aux incidents, la future marche à suivre pour traiter les différents incidents.
1.1
Connaître l’importance et le contenu d’un plan de réponse aux incidents pour le traitement des incidents de sécurité.
1.2
Connaître des facteurs d’influence pour l’analyse et le tri des incidents de sécurité (p. ex. degré de gravité des répercussions, niveau d’urgence de la réponse, ampleur, personnes et services touchés).
1.3
Connaître des concepts de catégorisation et de priorisation des incidents de sécurité.
1.4
Connaître des outils permettant d’administrer les incidents de sécurité de l’information (p. ex. système de gestion des incidents de sécurité, système de suivi de problèmes [issue tracking system], banque de données répertoriant les problèmes).
2
Engager des mesures immédiates appropriées et efficaces en vue de réduire les répercussions d’un incident de sécurité.
2.1
Connaître des mesures techniques immédiates de blocage des vecteurs d’attaque (p. ex. séparation, isolation, désactivation, déconnexion, sinkholding).
2.2
Connaître des critères d’évaluation de l’adéquation des mesures immédiates (p. ex. danger potentiel, complexité et chances de réussite, temps requis, niveau de gravité des préjudices, ampleur de l’impact).
3
Coordonner avec les divisions spécialisées compétentes les mesures techniques requises pour un retour à la normale.
3.1
Connaître les divisions ICT spécialisées et les processus concernés au sein de l’organisation et pouvoir expliquer leurs compétences et besoins pour un retour à la normale (p. ex. Service Operations, Service Continuity Management, Release and Deployment Management, Service Asset and Configuration Management, Service Level Management).
3.2
Connaître les différences entre style de direction directif et participatif, entre procédure orientée structures, orientée processus et orientée personnes ainsi qu’entre une communication formelle et informelle et pouvoir expliquer leur adéquation situationnelle respective lors de la coordination des parties prenantes.
3.3
Connaître les directives de l’entreprise relatives à la reprise d’activité (business recovery) et pouvoir expliquer les objectifs déterminants dans le cadre du retour à la normale (p. ex. recovery time objective [RTO], recovery point objective [RPO]).
3.4
Connaître les directives de l’entreprise en termes de Business Continuity Management (BCM) et pouvoir expliquer la pertinence des mesures BCM planifiées pour le retour à la normale.
4
Garantir, si nécessaire, la préservation des éléments de preuve et communiquer les incidents de sécurité pertinents aux divisions ou organes compétents en vue de procéder à des analyses forensiques numériques détaillées.
4.1
Connaître les principes des investigations numériques (p. ex. intégrité, crédibilité, reproductibilité, documentation).
4.2
Connaître les exigences en termes de recevabilité légale des éléments de preuve (p. ex. duplication forensique, principe des quatre yeux, journalisation exhaustive).
4.3
Connaître les directives de l’entreprise et les compétences en matière d’analyses forensiques numériques (p. ex. Incident Response Team [CERT/CIRT], spécialistes externes, autorités de poursuites pénales).
5
Soutenir et conseiller de façon ciblée et conformément aux besoins l’organisation d’urgence ou de crise en cas de graves incidents de sécurité.
5.1
Connaître les caractéristiques des situations d’urgence et des crises et pouvoir expliquer les différences par rapport à un fonctionnement opérationnel normal.
5.2
Connaître les compétences et les processus d’une organisation dans le cadre de la maîtrise des crises et des situations d’urgence.
5.3
Connaître les principes de base de la communication de crise (rapidité, véracité, langage compréhensible, cohérence) et les différents groupes cibles (p. ex. personnes concernées, autorités, médias, parties impliquées) et pouvoir expliquer l’importance d’une communication adaptée au public cible.
6
Documenter et surveiller le traitement d’un incident de sécurité tout au long du cycle de vie et, si nécessaire, procéder à une escalade.
6.1
Connaître les éléments de contenu d’une documentation claire et compréhensible relative aux incidents de sécurité (rapport d’incident [incident record]).
6.2
Connaître des standards et des modèles permettant une description et une classification structurée des incidents de sécurité (p. ex. taxonomie CERT, taxonomie MISP, taxonomie eCSIRT, Europol Common Taxonomy for Law Enforcement and CSIRTs).
6.3
Connaître des éléments déclencheurs d’un processus d’escalade (p. ex. liés à la quantité dans le temps, à la qualité du contenu, à des personnes) et pouvoir expliquer des exemples typiques de la gestion des incidents de sécurité (p. ex. priorité de l’incident de sécurité, niveaux de service issus des SLA et niveaux opérationnels issus des OLA, RTO et RPO en ce qui concerne la reprise après sinistre [disaster recovery]).
6.4
Connaître le processus d’escalade et la hiérarchie d’escalade d’une organisation dans le cadre de la gestion des incidents de sécurité.
7
Evaluer périodiquement les incidents de sécurité et faire en sorte que les enseignements tirés soient intégrés dans l’organisation.
7.1
Connaître des valeurs statistiques et des indicateurs clés de performance (ICP) dans le contexte de la gestion des incidents de sécurité.
7.2
Connaître des méthodes et des techniques appropriées pour synthétiser et représenter les informations (p. ex. tableaux de fréquence et histogrammes, agrégation au moyen de tableaux croisés et de tableaux croisés dynamiques, diagramme de corrélation, analyse de séries temporelles et analyse des tendances).
7.3
Connaître les directives de l’entreprise en matière d’amélioration continue et pouvoir expliquer les besoins en informations spécifiques et les compétences des parties prenantes concernées (p. ex. management, CISO, CTI, gestion des changements, compliance, ressources humaines, divisions ICT, collaborateurs).
Durée (Jours)

683

Security/Risk Management

Analyser et interpréter des ensembles de données

Inspecter des données brutes et des ensembles de données quant à la présence d’informations critiques et déterminantes pour la sécurité, plausibiliser les résultats et les exploiter de façon probante en adéquation avec le public cible.

1
Collecter des données brutes non structurées, semistructurées ou structurées qui sont pertinentes pour la sécurité à partir des systèmes, des applications, des solutions de surveillance et de protection d’une organisation.
1.1
Connaître des exemples typiques de données non structurées, semi-structurées ou structurées et pouvoir expliquer leurs différences et leurs spécificités au regard de l’analyse des données.
1.2
Connaître des sources usuelles de données pertinentes pour la sécurité dans l’infrastructure informatique d’une organisation (p. ex. SIEM, fichiers log et fichiers journaux d’appareils et d’applications, e-mail, messages instantanés, bases de données d’applications).
1.3
Connaître des formats de données texte et binaires pour l’échange et la sérialisation des données (p. ex. CSV, XML, JSON, BSON, YAML, HDF) et pouvoir expliquer leurs spécificités, leurs différences et leur pertinence pour les analyses de données.
1.4
Connaître divers standards et formats de fichiers journaux (p. ex. Syslog, journal des événements Windows, fichiers log de serveurs Web).
1.5
Connaître des outils appropriés pour la gestion des logs (p. ex. Splunk, Papertrail, Loggly, GrayLog, Logstash) et pouvoir expliquer leurs fonctionnalités (p. ex. collecte, indexation, analyse, visualisation).
2
Masquer, pseudonymiser ou anonymiser des données brutes sensibles si nécessaire et conformément à la protection des données.
2.1
Connaître l’importance du masquage, de la pseudonymisation et de l’anonymisation statiques et dynamiques des données et pouvoir expliquer leurs différences ainsi que les défis à relever lors de leur mise en œuvre.
2.2
Connaître diverses méthodes de masquage, de pseudonymisation et d’anonymisation des données (p. ex. suppression, substitution, hachage, réarrangement de données [shuffling], méthode de variance, méthodes de chiffrement) et pouvoir expliquer leur principe de fonctionnement.
2.3
Connaître diverses procédures d’anonymisation (p. ex. k anonymité, l-diversité, confidentialité différentielle, Diffix) et pouvoir expliquer leur niveau de sécurisation face à la désanonymisation ou réidentification et leur influence sur la qualité et la valeur informative des données brutes.
2.4
Connaître les dispositions légales de la protection des données en matière de pseudonymisation et d’anonymisation des données à caractère personnel et pouvoir expliquer comment respecter les principes de licéité, de proportionnalité, de finalité et de transparence à l’aide d’exemples d’application typiques.
2.5
Connaître des outils appropriés de masquage, de pseudonymisation et d’anonymisation d’ensembles de données (p. ex. Amnesia, Anonimatron, ARX).
3
Programmer des scripts et des outils pour évaluer, traiter et représenter de grands ensembles de données.
3.1
Connaître des expressions régulières et pouvoir expliquer leur pertinence dans les analyses de données.
3.2
Connaître des commandes et des concepts pertinents (p. ex. entrées et sorties, filtres, tubes [pipes], redirection) des interpréteurs de commande des systèmes d’exploitation Windows (cmd, PowerShell) et Unix/Linux (p. ex. bash, ksh, zsh) et pouvoir expliquer leurs possibilités et leurs limites dans le contexte de l’analyse des données.
3.3
Connaître la syntaxe du langage de programmation Python, les bibliothèques de référence (p. ex. NumPy, SciPy, Pandas, Matplotlib) et les outils usuels (p. ex. IPython, Jupyter Notebooks) pour l’analyse et la représentation des données.
3.4
Connaître des langages de programmation alternatifs à Python (p. ex. R, Scala, Julia, MATLAB) et pouvoir expliquer leur pertinence dans le contexte de l’analyse des données.
4
Interroger des bases de données et mettre en forme les résultats obtenus.
4.1
Connaître le concept de base de données relationnelle et SQL, pouvoir citer des exemples d’application et des technologies typiques (p. ex. MySQL, serveur SQL, PostgreSQL) et expliquer leurs avantages et leurs inconvénients dans le traitement de grandes quantités de données.
4.2
Connaître des technologies courantes de bases de données non relationnelles NoSQL (p. ex. Cassandra, BigTable, MongoDB, CouchDB, Riak) et pouvoir expliquer leur modèle de données (orienté colonne, orienté document, orienté graphe, valeur-clé), les possibilités d’effectuer des requêtes (p. ex. UnQL, méthodes objet) ainsi que leurs avantages et leurs inconvénients pour le traitement de grandes quantités de données.
5
Inspecter les données quant à la présence d’anomalies, d’indicateurs ou de motifs spécifiques à des incidents de sécurité potentiels.
5.1
Connaître des techniques et des concepts pertinents pour l’analyse de grandes quantités de données (p. ex. reconnaissance de motifs, A/B testing, analyse de séries temporelles, corrélation statistique et régression, apprentissage automatique [machine learning].
5.2
Connaître des indicateurs typiques de compromission (IoC), p. ex. valeurs de hachage, signatures, noms de domaine, adresses IP, URL, adresses e-mail, X-Mailer, HTTP User Agent).
5.3
Connaître des anomalies typiques relatives à la sécurité (p. ex. écarts dans l’utilisation de la bande passante, anomalies au niveau des protocoles/ports).
6
Plausibiliser les données obtenues, identifier et filtrer les faux positifs et étoffer le contenu informatif des résultats en enrichissant les données brutes avec des informations complémentaires lisibles.
6.1
Connaître l’importance des faux positifs pour l’évaluation des ensembles de données et pouvoir expliquer des exemples typiques.
6.2
Connaître des sources usuelles d’informations complémentaires en vue d’enrichir les données (p. ex. DHCP, AD, inventaire, base de données de configuration).
6.3
Connaître des commandes pertinentes pour recueillir des informations complémentaires (p. ex. nslookup, whois, trace/tracert) et pouvoir expliquer le contenu de ces informations.
7
Evaluer l’analyse des données, consigner les résultats dans un rapport final probant et présenter les résultats aux décideurs en adéquation avec le groupe cible.
7.1
Connaître des méthodes et des techniques appropriées de synthèse et de présentation des informations (p. ex. réduction des données, création de ratios, tableaux de fréquence et histogrammes, agrégation au moyen de tableaux croisés et de tableaux croisés dynamiques, diagramme de corrélation, analyse de séries temporelles et analyse des tendances).
7.2
Connaître les principaux contenus d’un rapport final d’analyse (p. ex. synthèse, contexte, objet de l’analyse, méthodes, résultats, constats, options d’action, recommandation avec justification) et pouvoir expliquer leur contribution à la prise de décisions.
7.3
Connaître les contenus et la structure d’une bonne présentation et pouvoir expliquer en quoi ses propres compétences en termes d’expression et de comportement influencent le travail de persuasion.
Durée (Jours)

684

Security/Risk Management

Procéder à une investigation numérique des systèmes

Inspecter les données persistantes, temporaires ou volatiles des systèmes quant à la présence de maliciels ou de traces numériques suspectes, exploiter et présenter les résultats de l’investigation de façon probante et en adéquation avec le groupe cible.

1
Clarifier et définir avec le mandant l’objet de suspicion, les objectifs et les conditions cadres d’une investigation numérique.
1.1
Connaître les phases et activités usuelles d’une investigation numérique (p. ex. identification de l’objet d’investigation, collecte et conservation des données, investigation, rapport) et pouvoir citer des normes ou standards établis (p. ex. guides NIST, Guide to IT Forensics du BSI).
1.2
Connaître les sous-domaines typiques de la forensique numérique (p. ex. analyse forensique des disques durs, des systèmes d’exploitation, des réseaux) et pouvoir expliquer leur pertinence dans l’inspection de serveurs, de terminaux et de périphériques fixes ou mobiles, de solutions de stockage et d’applications.
1.3
Connaître des types de données pertinents pour les investigations numériques (p. ex. données de configuration, données de processus, données d’application, données de session, données de protocole de communication, métadonnées) et pouvoir expliquer des exemples et les différences entre les types de données.
1.4
Connaître des conditions cadres organisationnelles et techniques pertinentes pour les investigations numériques (p. ex. identification de tous les systèmes et collaborateurs concernés, temps requis et dilemme par rapport au rétablissement rapide du fonctionnement normal, risques relevant de la responsabilité, accès à l’infrastructure et aux réseaux, proportionnalité).
2
Définir, en tenant compte des objectifs et des conditions cadres, la méthode et la procédure de l’investigation numérique.
2.1
Connaître les conditions, les possibilités et les limites des analyses post mortem (dead box, hors ligne) et des analyses live (live box, en ligne) et pouvoir expliquer les différences entre ces deux approches.
2.2
Connaître les différences entre une procédure orientée données et une procédure orientée incidents dans le cadre des investigations numériques et pouvoir expliquer la pertinence de la chronologie dans leur exécution.
2.3
Connaître les conditions, les possibilités et les limites des analyses statiques et dynamiques de maliciels et pouvoir expliquer les différences entre ces deux approches.
3
Vérifier la conformité légale d’une investigation numérique et engager, si nécessaire, des mesures correctives.
3.1
Connaître les dispositions pertinentes de la protection des données dans le cadre d’investigations numériques effectuées par des organisations privées (p. ex. ordonnance d’investigation, communication et annonce, protection de la personnalité).
3.2
Connaître les dispositions et les limites pénales pertinentes relatives aux investigations numériques effectuées par des organisations privées (p. ex. limitation à la propre infrastructure, soustraction de données, accès indu à un système informatique, détérioration des données).
3.3
Connaître les conditions applicables aux investigations numériques effectuées par les autorités d’instruction pénale et pouvoir citer les possibilités étendues qu’elles détiennent (p. ex. accès aux données de tiers par décision de justice ou par demande d’entraide judiciaire).
3.4
Connaître les exigences à remplir par un processus d’investigation numérique (p. ex. intégrité des données, admissibilité et crédibilité des méthodes