Hervé Schauer Consultants

CATALOGUE 2018 Sécurité des systèmes d'information

Sécurité Technique Sécurité Juridique Sécurité Organisationnelle Continuité d'activité Formations

HERVÉ SCHAUER CONSULTANTS Les formations HSC

Les formations HSC, une histoire de passion !

Notre secteur d'activité imposant une évolution rapide et constante des compétences et des connaissances, HSC s'est toujours évertuée à parfaire ses formations et à en créer de nouvelles afin que chacun puisse trouver, auprès de nous, le transfert des compétences et d'informations indispensables à votre évolution professionnelle, voire personnelle.

Les formations HSC, c'est, avant tout l'esprit de partage et de retour d'expériences par des consultants seniors. Conviviales, pragmatiques et studieuses, certaines d’entre elles sont dispensées en province pour votre confort.

L’exigence et l’implication apportées par chacun des maillons HSC nous a permis d’obtenir en février 2010la certification ISO9001:2008* par Intertek International (http://www.intertek-certification.fr/) sur le périmètre des formations certifiantes ISO 27001 et ISO 22301 Lead Auditor et Implementer, ISO 27005 et Ebios Risk Manager, de la formation labellisée Correspondant Informatique et Libertés (CIL) et de l'ensemble des formations techniques HSC. ISO 9001

C N ER O TI TI FICA TM ACCRÉDITATION COFRAC N° 4-0014 PORTÉE DISPONIBLE SUR www.cofrac.fr

* Certificat d'enregistrement n°0021117-00 accordé à HSC en date du 13 février 2015.

De plus, l'Office Professionnel de Qualification des organismes de Formation (Cf http://www.opqf.com/), a qualifié HSC le 26 octobre 2011 pour ses formations.

Cette qualification, obtenue dans le domaine "informatique" pour une durée de quatre ans, reconnaît le professionnalisme et le sérieux d'HSC en tant qu'organisme de formation. Elle atteste notamment du respect de la réglementation, de l'adéquation des compétences et des moyens techniques et humains mis en œuvre aux actions de formation, de la satisfaction des clients et de la pérennité financière d'HSC.

Le professionnalisme d'HSC a été apprécié par l'ISQ-OPQF au travers d'une instruction rigoureuse conforme à la norme AFNOR NF X50-091 en quatre étapes : recevabilité du dossier, analyse au fond de la demande par un expert de la formation professionnelle continue appelé instructeur, émission d'un avis collégial par une commission d'instruction et décision par le comité de qualification.

La qualification OPQF vient ainsi distinguer la qualité des formations HSC, elle préjuge d'une relation de confiance client/ prestataire de formation et elle est le gage d'une coproduction réussie et donc efficace.

Nous sommes persuadés que vous trouverez auprès des formations HSC l'outil indispensable à vos besoins.

N'hésitez pas à parcourir ce catalogue 2018 et à prendre connaissance des nouveautés HSC.

Nous espérons vous recevoir bientôt parmi nous.

A NOTER... Le suivi des formations HSC vous permet de déclarer des CPE (Continuing Professional Education), et de main- tenir, ainsi, les certifications qui l'imposent telles que CISA, CISM, CGEIT de l'ISACA, CISSP, SSCP d'ISC²...

Pour plus d'informations, contactez le service formation par téléphone au 01 41 40 97 04 ou par courriel à [email protected] 2 Notre politique qualité

3 Organismes de certification

Permettre de monter en compétences et développer celles-ci a toujours été pour HSC une priorité. Grâce au soutien de trois organismes renommés et accrédités, HSC propose aux stagiaires, à l'issue des formations qu'elle dispense, les certifications les plus reconnues dans le monde:

La certification CISSP (Certified Information Systems Security Professional), accréditée ISO 17024 aux USA par l'ANSI (www.ansica.org) depuis 2004, est la première certification mondiale de compétences en sécurité des systèmes d'information, détenue par plus de 80 000 professionnels dans plus de 135 pays. Elle est délivrée par (ISC)², qui édite également le recueil de sécurité CBK (Common Body of Knowledge), et atteste de la connaissance de l'ensemble des sujets liés à la sécurité des systèmes d'information. Depuis le 1er janvier 2014, HSC est le partenaire officiel d'ISC² en France et au Luxembourg. HSC est le seul à pouvoir vendre l'examen CISSP.

Examen : L'examen est un QCM en français et/ou en anglais, qui se déroule dans un centre d'examen Pearson VUE (http:// www.pearsonvue.com), à la date choisie par le stagiaire. HSC est le seul, en France, habilité à vendre le coupon d'examen.

pour les formations ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, ISO 27005 Risk Manager, ...... EBIOS Risk Manager, ISO 22301 Lead Auditor, ISO 22301 Lead Implementer et Privacy Implementer. LSTI est un organisme de certification spécialisé dans le domaine de la sécurité des systèmes d'information, et le seul organisme de certification français en SSI. LSTI a été le premier organisme à proposer des certifications d'entreprises à l'ISO 27001, et demeure le seul à réaliser des certifications RGS (Référentiel Général de Sécurité). Les certifications de compétences de LSTI ont été les premières au monde à obtenir l'accréditation ISO 17024 en 2007 par le COFRAC (www.cofrac.fr) pour les certifications ISO27001. Les certifications délivrées par LSTI sont mondialement reconnues et détenues par plus de 3000 professionnels francophones.

Examen : Les examens se déroulent à l'issue de la formation dans les locaux d'HSC. Ce sont des examens de type universitaire, en français ou en anglais, corrigés manuellement par deux examinateurs (double correction).

Pour plus d'informations, contactez le service formation par téléphone au 01 41 40 97 04 ou par courriel à [email protected] 4 Organismes de certification

et pour les formations SECU1, INTRU1, INTRU2, INFO1, INFO2, INFO3, SECDRIS, SECWEB , SECINDUS, SECARC, SECWIN, DSSI, RSSI et RPCA

Deloitte est l'un des quatre grands cabinets d'audit et de conseil dans le monde. Deloitte est constitué d'entités légalement autonomes et indépendantes, membres du réseau Deloitte Touche Tohmatsu, toutes associées au sein d'une association de droit suisse. Deloitte France appartient à 100 % à des associés français. HSC a rejoint le réseau Deloitte en décembre 2014, et depuis 2016 Deloitte délivre des certifications, à l'issue d'examens conçus par HSC et Deloitte.

LPI (Linux Professionnal Institute), est l'organisme de certification internationalement reconnu dans le monde du logiciel libre. Il a été créé en 1999 pour permettre la reconnaissance professionnelle dans les technologies Linux et Open Source et 125 000 personnes dans le monde détiennent une certification LPI. Ces certifications sont indépendantes des éditeurs et des distributions. Depuis septembre 2013, HSC propose la formation Expert Sécurité Linux permettant de préparer la certification LPI 303, le niveau le plus élevé de la certification LPI.

Examen L'examen est un QCM en anglais, qui se déroule soit chez HSC, soit dans un centre d'examen Pearson VUE, à la date choisie par le stagiaire.

5 Classement des formations HSC par métier

Mon métier Formations adaptées

 Fondamentaux et techniques de la SSI - SECU1 (page 10)  Sécurité des réseaux sans fil - SECRF (page 11)  Sécurisation des infrastructures Windows - SECWIN (page 20) Informaticien / Administrateur  Sécuriser un serveur Linux (LPI 303) - SECLIN (page 21) systèmes et réseaux  Principe et mise en oeuvre des PKI (page 35)  Sécurité du Cloud Computing (page 37)  Fondamentaux ISO 27001 & ISO 27002 (page 39)

 Fondamentaux et techniques de la SSI - SECU1 (page 10)  Formation CISSP (page 30)  Sécurisation des infrastructures Windows - SECWIN (page 20)  Sécuriser un serveur Linux (LPI 303) - SECLIN (page 21)  Sécurité des réseaux sans fil - SECRF (page 11)  Inforensique : les bases d’une analyse post-mortem - INFO1 (page 15) Consultant en sécurité  Analyse Inforensique avancée - INFO2 (page 16) réalisant des audits techniques  Rétroingénierie de logiciels malfaisants - INFO3 (page 17) ou des tests d’intrusion  Surveillance, détection et réponse aux incidents SSI – SECDRIS (page 18)  Sécurité des serveurs et applications Web - SECWEB (page 19)  Tests d'intrusion et sécurité offensive – INTRU1 (page 22)  Tests d’intrusion avancés et développement d’exploits – INTRU2 (p23)  Sécurité SCADA - SECINDUS (page 12)  ISO 27001 Lead Auditor (page 43)

 Essentiels techniques de la SSI (page 9)  Développeur Fondamentaux et techniques de la SSI - SECU1 (page 10)

Classement des formations HSC par métier des formations Classement  Chef de projet Sécurité des serveurs et applications Web - SECWEB (page 19)  Principe et mise en oeuvre des PKI (page 35) techniques de la SSI

 Essentiels techniques de la SSI (page 9)  Fondamentaux et techniques de la SSI - SECU1 (page 10)  Surveillance, détection et réponse aux incidents SSI – SECDRIS (page 18) Ingénieur sécurité dans un  Gestion des incidents de sécurité / Norme ISO 27035 (page 41) CSIRT (Computer Security  Gestion de crise IT/SSI (page 42) Incident Response Team) ou  Inforensique : les bases d’une analyse post-mortem - INFO1 (page 15) SOC (Security Operation  Analyse Inforensique avancée - INFO2 (page 16) Center)  Rétroingénierie de logiciels malfaisants - INFO3 (page 17)  ISO 27001 Lead Implementer (page 44)

 PKI Windows (page 36)

 Fondamentaux et techniques de la SSI - SECU1 (page 10)  Architecte sécurité Architectures réseaux sécurisées - SECARC (page 14)  PKI Windows (page 36)

Pour plus d'informations, contactez le service formation par téléphone au 01 41 40 97 04 ou par courriel à [email protected] 6 Classement des formations HSC par métier

Mon métier Formations adaptées

 Formation RSSI (page 32)  Droit à la sécurité informatique (page 24)  GDPR / RGPD (page 25)  Principes et mise en oeuvre des PKI (page 35)  Sécurité du Cloud Computing (page 37)  Fondamentaux des normes ISO 27001 et ISO 27002 (page 39)  Indicateurs et tableaux de bord de la SSI / ISO 27004 (page 40) RSSI  Gestion des incidents de sécurité / ISO 27035 (page 41)  Gestion de crise IT / SSI (page 42)

 ISO 27001 Lead Auditor / ISO 27001 Lead Implementer (p43-44)  ISO 27005 Risk Manager (page 45)  Essentiels techniques de la SSI (page 9)  Fondamentaux et techniques de la SSI - SECU1 (page 10)  ISO 22301 Lead Auditor / ISO 22301 Lead Implementer (p 57 - 58)

RPCA ou Consultant  ISO 22301 Lead Auditor / ISO 22301 Lead Implementer (p 48-49) accompagnant un RPCA  Gestion de crise IT / SSI (page 42) dans ses missions  Formaion RPCA (page 47)

 Formation CISSP (page 30)  Principes et mise en oeuvre des PKI (page 35)  Sécurité du Cloud Computing (page 37)  Fondamentaux ISO 27001 & ISO 27002 (page 39) Consultant accompagnant  Indicateurs et tableaux de bord de la SSI / ISO 27004 (p 40) un RSSI dans ses missions  Gestion des incidents de sécurité / ISO 27035 (page 41)  Gestion de crise IT / SSI (page 42)  ISO 27001 Lead Auditor / ISO 27001 Lead Implementer (p 43-44) Classement des formations HSC par métier des formations Classement  ISO 27005 Risk Manager (page 45)  Ebios Risk Manager (page 46)

Fondamentaux techniques GDPR de la / SSIRGPD (page 25)  Droit à la sécurité informatique (page 24)  Data Protection Officer (page 26)  Privacy Lead Implementer (page 27) Data Protection Officer  Réaliser un PIA (page 28) (DPO)  Essentiels techniques de la SSI (page 9)  Protection des données de santé et vie privée (page 29)

 Formation CISSP (page 30)  Formation CISA (page 31)  Homologation SSI : RGS, IGI1300, LPM, PSSIE (page 34)  PCI DSS : Comprendre, mettre en oeuvre et auditer (page 33)  Sécurité du Cloud Computing (page 37)  Fondamentaux des normes ISO 27001 et ISO 27002 (page 39)  Indicateurs et tableaux de bord de la SSI / ISO 27004 (page 40) Auditeur  ISO 27001 Lead Auditor (page 43)  ISO 22301 Lead Auditor (page 48)  Essentiels techniques de la SSI (page 9)  Fondamentaux et techniques de la SSI - SECU1 (page 10)  Sécurité SCADA - SECINDUS (page 12)  Inforensiques : les bases d’une analyse post-mortem - INFO1 (page 15)  Inforensique avancée - INFO2 (p 16)

7 Sommaire

Sécurité Technique 9 Introduction à la Sécurité des système d'information Essentiels techniques de la SSI 9 Fondamentaux techniques de la SSI - SECU1 10 Sécurité des réseaux et des infrastructures Sécurité des réseaux sans fil - SECRF 11 Sécurité SCADA - SECINDUS 12 DNSSEC - SECDNS 13 Architectures réseaux sécurisées - SECARC 14 INFORENSIQUE Inforensique : les bases d’une analyse post-mortem – INFO1 15 Inforensique avancée : Industrialisez les enquêtes sur vos infrastructures – INFO2 16 Rétro-ingénierie de logiciels malfaisants – INFO3 17 SÉCURISATION, DÉFENSE ET ANALYSE Surveillance, détection et réponse aux incidents SSI – SECDRIS 18 Sécurité des serveurs et applications Web - SECWEB 19 Sécurisation des infrastructures Windows - SECWIN 20 Sécuriser un serveur Linux (LPI303) - SECLIN 21 INTRUSION Tests d'intrusion et sécurité offensive – INTRU1 22 Tests d’intrusion avancés et développement d’exploits – INTRU2 23

Sécurité Juridique 24 sécurité ET JURIDIQUE Droit de la sécurité informatique 24 GDPR / RGPD 25 DPO (Data Privacy Officer) 26 Privacy Implementer 27 Réaliser un PIA 28 Protection des données de santé et vie privée 29

Sécurité Organisationnelle 30 MANAGEMENT DE LA SÉCURITÉ Formation CISSP 30 Formation CISA 31 Formation RSSI 32 PCI DSS : Comprendre, mettre en oeuvre et auditer 33 Homologation de la SSI : RGS, IGI1300, LPM, PSSIE 34 Principes et mise en oeuvre des PKI 35 PKI Windows 36 Sécurité du cloud computing 37 MANAGEMENT DE LA SÉCURITÉ AVEC LES NORMES ISO 2700X Présentation des formations ISO 2700x 38 Fondamentaux ISO 27001 & ISO 27002 39 Indicateurs et tableaux de bord SSI / ISO 27004 40 Gestion des incidents de sécurité / ISO 27035 41 Gestion de crise IT / SSI 42 ISO 27001 Lead Auditor 43 ISO 27001 Lead Implementer 44 ISO 27005 Risk Manager 45 EBIOS Risk Manager 46

Continuité d'activité 47 MANAGEMENT DE LA CONTINUITÉ D'ACTIVIÉ AVEC LES NORMES ISO 2230X Formation RPCA 47 ISO 22301 Lead Auditor 48 ISO 22301 Implementer 49 INFORMATIONS PRATIQUES Calendrier des formations 50-51 Le saviez-vous ? 52 Modalité d'inscription / Bulletin d'inscription 53 Conditions générales de ventes 54

8 Sécurité Technique Essentiels techniques de la SSI

Formation théorique à la Sécurité des Systèmes ProgrammE d’Information, ce cours apportera au personnel JOUR 1 technique et aux chefs de projets une approche d'un système d'information sous l'angle des attaquants et Introduction Contexte, Objectifs, Enjeux

donnera les bonnes pratiques pour sécuriser et : ESSI éf maintenir un niveau de sécurité correct dans vos Risques et impacts métier R systèmes d’information. Connaître les principales • Fuite d'information attaques et les contre-mesures adéquates est devenu • Atteinte à l'image primordial pour toute entreprise utilisant • Risques juridiques l'informatique et les réseaux comme support de Typologie des attaques travail. Sources de menace • Cybercriminalité • Espionnage Vous allez apprendre À Rappels techniques • Identifier les points faibles des systèmes d'information • Protocoles réseau (IP, TCP, UDP, ICMP, IPsec) • Définir les règles de sécurité fondamentales pour • Protocoles “lien” (Ethernet, ARP, 802.x, LAN, VPN, MPLS) sécuriser un périmètre • Exemple de protocole applicatif : HTTP • Comprendre la portée des attaques informatiques JOUR 2 Sécurité des réseaux et firewalls (grands principes) Public visé • Cloisonnement et filtrage IP, Relayage applicatif, architecture sécurisée • Personnel ayant besoin d'engranger de nouvelles - Objectifs, enjeux et principes connaissances en sécurité - Equipements et limites • Administrateurs systèmes ou réseaux • Architecture sécurisée - DMZ : les bonnes pratiques Pré-requis - Equipements et limites Une connaissance informatique de base ainsi que des Sécurité des applications Web bases en réseaux TCP/IP. • Attaques classiques et retour d'expérience HSC - Fonctionnement des attaques Web classiques (injections SQL, XSS) Méthode pédagogique : • Attaques spécifiques : • Cours magistral - Sécurité du navigateur (vulnérabilités Flash, Adobe, ActiveX) • Démonstrations Sécurisation MATÉRIEL • Gestion des droits et des accès • Supports au format papier en français • Stockage des mots de passe - Exemple HSC d'attaque réussie CERTIFICATION • Fédération des identités (SSO) • Bonnes pratiques de développement Formation non certifiante. • Veille en vulnérabilité • Gestion des vulnérabilités techniques Critères de choix d’une solution de sécurité • Panorama du marché et vocabulaire du marketing

Durée : 2 jours / 14 heures • Comprendre et utiliser un rapport de test intrusif ou d'audit technique de sécurité • Audits de sécurité et conformité • La gestion de la sécurité dans le temps • Gestion des tiers (fournisseurs de service, prestataires, clients et partenaires) Conclusion

Plan de formation validé en collaboration avec l'ANSSI

ESSI - ESSENTIELS TECHNIQUES DE LA SSI 01 41 40 97 04 5 au 6 mars 2018 • Paris [email protected] 13 au 14 septembre 2018 • Paris

9 Sécurité Technique SECU1 - Fondamentaux et techniques de la SSI

Formation initiale à la Sécurité des Systèmes d’Information, la SECU1 ProgrammE CU 1 permettra d’apporter au personnel technique les connaissances Jour 1 nécessaires à l’implémentation et au maintien de la Sécurité dans • Introduction vos systèmes d’information. - Contexte - Sources de menaces Savoir implémenter les bonnes mesures de sécurité est devenu - Anatomie d'une attaque pour tout ingénieur ou administrateur système ou réseau un enjeu - Risques et impacts métiers éf : SE éf primordial permettant d’assurer la sécurité de tout SI. - Concepts fondamentaux

R • Rappels sur les réseaux IP - Couches OSI Vous allez apprendre À - Adressage - ARP • Maîtriser le vocabulaire et la théorie de la sécurité de l’information - DNS • élaborer la sécurité des réseaux informatiques • Équipements réseaux • Capitaliser sur de nombreux concepts de défense Jour 2 • Maîtriser la sécurité des systèmes d’exploitation et des applications • Cryptographie - Symétrique et modes, asymétrique Public visé ▪ Hashage ▪ Signature • Personnel technique souhaitant se reconvertir ▪ VPN dans la sécurité des systèmes d’information ▪ PKI • Administrateurs systèmes ou réseaux ▪ TLS ▪ PGP • Professionnel de la sécurité ▪ IPSec - Contrôle d'accès Pré-requis ▪ Gestion des utilisateurs ▪ Authentification, Autorisation Une réelle connaissance informatique est nécessaire. Jour 3 • Sécurité des réseaux Méthode pédagogique : - Equipements réseau • Cours magistral - Segmentation - Filtrage • Travaux pratiques - Relayage - Architecture (ANSSI) MATÉRIEL • Gestion d'incidents - Processus • Ordinateurs portables mis à disposition du - Veille stagiaire - Journalisation - Investigation • Supports en français Jour 4 CERTIFICATION • Linux - Système de fichiers Cette formation prépare à l'examen de certification SECU1. Toutes - Authentification et comptes utilisateurs les questions de l'examen sont issues des supports de cours de la - Sécurisation des services formation. L'examen se passe le dernier jour de la formation. - Journalisation - Parefeu local - Modules de sécurité • Windows - Active directory - Powershell Durée : 5 jours / 35 heures - Scénarios d'attaque classiques - Solutions pratiques - Durcissement réseau Jour 5 • Sécurité des applications - HTTP - Gestion de l'authentification - Gestion des Cookies - Gestion des sessions - Présentation des principales attaques ▪ SQLI ▪ XSS ▪ CSRF ▪ Directory traversal ▪ RCE ▪ RFI/LFI • Examen de certification

01 41 40 97 04 SECU1 - FONDAMENTAUX ET TechniquES DE LA SSI 16 au 20 avril 2018 • Paris Du 1er au 5 octobre 2018 • Paris [email protected]

10 Sécurité Technique SECRF - Sécurité des réseaux sans fil

Les réseaux sans-fil sont devenus omniprésents dans ProgrammE CRF le paysage informatique. La diversité des technologies Généralités sur les réseaux sans-fil SDR et de leurs applications a amené les entreprises à • Panorama des technologies et des • Sécurités intégrer ces technologies pour permettre la souplesse normes • Présentation - 802.XX • Récepteur et antennes et la sécurité aux employés. Qu'il s'agisse de permettre

▪ Bluetooth • GNU Radio Companion : SE éf l'identification des utilisateurs avec des cartes sans ▪ Wi-Fi • Démonstrations avec la HackRF R contact, l'utilisation de casques sans fil pour effectuer ▪ Zigbee Bluetooth ▪ WiMAX • Technologies (classique, BLE, etc.) des communications téléphonique, le déployement - Filtrage • Sécurité et faiblesses - Infrarouge d'un réseau de communication privé dans un périmètre • Présentation d'outils d'analyse et - NFC d'attaques (BTScanner, Redfang, Btle- défini, ou encore le contrôle à distance d'une installation - GSM / UMTS / LTE Juice, etc.) de domotique, les technologies telles que le Bluetooth, - TETRA • Présentation d'outils physiques le NFC, ou l'incontournable Wi-Fi et bien d'autres encore Caractéristiques des technologies (Ubertooth One, Bluefruit LE Sniffer) sont devenus plus que courant dans nos environnements. • Problématiques physiques • Attaques - Brouillage radio - Reconnaissance - Environnement (absorption, diffrac- - Spam tion, réfraction, réflexion / humidité, - Vol d'informations verre, béton, etc.) Vous allez apprendre - Contrôle à distance - Écoutes et interceptions - Attaques sur la crypto • Les atouts et faiblesses des principales technologies - Détournement de connexion - Dénis de service sans-fil - Insertion et rejeux de trafic - Highjacking / Spoofing • Comment utiliser les technologies sans fil en toute • Risques sanitaires - Attaques sur les mauvaises implé- sécurité • Méthodes de transmission mentations - FHSS • Auditer vos propres installations Zigbee - DSSS • Présentation des technologies - IR Public visé • Sécurité et faiblesses - DSSS/CK • Études des attaques existantes • Experts en sécurité de l'information - OFDM • Consultants • Études, démonstrations et cas pra- NFC • Auditeurs tiques d'attaque sur le 802.11 CSMA/ • Présentation des technologies • Administrateurs systèmes et réseaux CA (Mifare / DESFire / etc.) • Utilisation abusive du média (réser- • Sécurité et faiblesses Pré-requis vation du temps) • Études des attaques existantes (lec- • Saturation radio ture d'informations, copie, rejeu, etc. • Avoir une expérience dans l'utilisation des systèmes • Envoie de trames de désassociation • Cas pratique de lecture et copie Windows et Unix/Linux • Déni de service sur la batterie d'une carte NFC • Avoir de bonnes connaissances des principaux Technologie Wi-Fi • Proposition et étude d'une architec- protocoles TCP/IP • Répartition du spectre 2,4GHz ture sécurisée • Positionnement dans l'architecture Téléphonie mobile Méthode pédagogique : du SI • Panorama des technologies • Cours magistral • Présentation des attaques sur le • GSM / 2G • Travaux pratiques 802.11 - Présentation de la technologie - Usurpation de borne / client - Extensions (2G+, 2,75G) MATÉRIEL - Désassociation / Désauthentifica- - Fonctionnement du Short Message • Ordinateurs portables mis à disposition du tion Service (SMS - RFC 5724) - Sécurités et faiblesses sur les stagiaire - Vol de paquets en attente méthodes de chiffrements (A5/1, • Supports en français - Wi-Fishing - Écoute passive A5/2, A5/3) - Attaque par régression du proto- CERTIFICATION • Présentation d'outils logiciels (Kis- met, aircrack-ng, etc.) cole Cette formation prépare à l'examen de certification • Présentation d'outils matériels (WiFi • UMTS / 3G SECRF. Toutes les questions de l'examen sont issues des Pineapple, BVS, etc.) - Présentation de la technologie supports de cours de la formation. L'examen se passe le • Sécurités - Extensions (3G+, H+) dernier jour de la formation. - WEP - Sécurités et faiblesses - 802.1X (EAPoL, RADIUS, PEAP, MS- • LTE / 4G CHAPv2, etc.) - Présentation de la technologie - WPA / WPA2 - Extension (4G+) - WPS - Sécurités et faiblesses Durée : 2 jours / 14 heures - Exemple et étude d'une architec- TETRA ture sécurisée • Présentation de la technologie • Pour chaque partie, démonstrations • Comparaison avec le GSM et cas pratiques d'attaques : • Sécurité et faiblesses - Mise en place et configuration de la • Études d'attaques existantes (écoute, sécurité proposée rejeu) - Attaques sur la solution • Démonstration d'une écoute de - Études des améliorations possibles communication

01 41 40 97 04 SECRF - Sécurité DES RÉSEAUX SANS FIL 8 au 9 novembre 2018 • Paris [email protected]

11 Sécurité Technique SECINDUS - Sécurité SCADA

SCADA, DCS et d’autres réseaux de contrôle de ProgrammE processus propre au monde industrie contrôlent les Automates PLC / télétransmetteurs RTU / Automates de sécurité SIS infrastructures vitales de la société, depuis les • Services couramment présents C I NDU S réseaux électriques au traitement de l’eau, de • Vulnérabilités rencontrées • Protocoles courants l’industrie chimique au transport ; ils sont présents - Modbus : Faiblesses du protocole partout. Avec la généralisation des interconnexions - DNPS : Authentification / chiffrement de réseaux, entre réseaux industriels et bureautique, - etc... éf : SE éf les télémaintenances et l’utilisation d’internet et • Déni de service / robustesse des automates

R IHM (Interfaces Homme-Machine) avec la migration de protocoles et de systèmes • Vulnérabilités rencontrées spécifiques vers TCP/IP et Windows, les risques sont Systèmes d'exploitation Windows devenus très élevés et les enjeux immenses. • Vulnérabilités courantes • Présentation d'OPC Accès distants vous allez apprendre À • RTC • Connaître le métier et les problématiques • VPN • Savoir dialoguer avec les automaticiens • boîtiers de télétransmission • Connaître et comprendre les normes propres au • sans-fil (Wi-Fi, liaisons radio) monde industriel • Problèmes des automates et IHM exposés sur Internet (exemples avec Shodan • Auditer vos systèmes SCADA et Eripp) • Développer une politique de cyber-sécurité Démonstrations pratiques d'attaques sur un environnement SCADA • Simulation d'un réseau SCADA avec des simulateurs Maître/Esclave Modbus/ PuBLiC VISÉ TCP (Modsak) • Responsables sécurité, sûreté, cyber sécurité, • Compréhension des vunérabilités du protocole Modbus/TCP et utilisation de sécurité industrielles Wireshark • Responsables informatique ou sécurité souhaitant • Injection de paquets contrefaits sur Modbus/TCP étendre leur compétences aux systèmes SCADA • Simulation des relais de protection Smart Grid et compréhension du protocole • Consultants et auditeurs en sécurité DNP3 • Rebond d'un réseau d'entreprise vers un réseau industriel Pré-requis • Détection de tentatives d'attaques avec des signatures IDS SNORT et CheckPoint GAiA Une bonne connaissance générale en informatique • Démonstration de SCADAVirt (attaque via BTR3+Metasploit) et en sécurité des systèmes d’information (ex : Référentiels sur la sécurité des systèmes d'information industriels une certification GIAC GSEC – Security Essentials • Introductionl Certification – ou (ISC²) CISSP est nécessaire • Détection de tentatives d'attaques avec des signatures IDS SNORT et Méthode pédagogique : CheckPoint GAiA - Secteurs d'activité cibles, typologie, population cible, incontournables • Cours magistral avec exemples pratiques. • Guide ANSSI : Maîtriser la SSI pour les systèmes industriels MATÉRIEL • Guide ANSSI : Méthode de classification et mesures • Normes IEC 62443 (ISA 99) • Supports au format papier en français - IEC 62443-2-1 - IEC 62443-3-3 CERTIFICATION • Autres référentiels Cette formation prépare à l'examen de certification - NIST SP800-82, NERC CIP, ISO 27019, etc SECINDUS. Toutes les questions de l'examen sont Exemples de compromissions et d'incidents publics issues des supports de cours de la formation. • Incidents non ciblés L'examen se passe le dernier jour de la formation. • Attaques ciblées (de l'amateur à Stuxnet) • Au delà du système industriel (Aramco...) Exemples d'audits & tests d'intrusion effectués lors des missions HSC Mesures de sécurité Durée : 3 jours / 21 heures • Architecture, Filtrage IP, Journalisation Incidents non ciblés Sécurité organisationnelle du réseau industriel : exercices pratiques • Architecture SCADA - Détermination des zones et conduites - Points sensibles - Sécurisation d'architecture • Détermination des niveaux de classification ANSSI - Analyse basée sur le guide ANSSI relatif aux réseaux industriels Exercices techniques • Analyse de traces réseaux (pour débuter) • Comprendre les vulnérabilités du protocole Modbus/TCP • Forger des attaques ModBus • Exploration des limites du cloisonnement

01 41 40 97 04 SÉcuritÉ scada [email protected] 9 au 11 avril 2018 • Paris 22 au 24 octobre 2018 • Paris

12 Sécurité Technique SECDNS - DNSSEC

Le DNS est indispensable au bon fonctionnement ProgrammE

d'intérêt et de tout réseau privé. S'il s'agit d'un des DNS : spécifications et principes CDN S plus anciens protocoles, c'est aussi l'un des plus • Vocabulaire sensibles et des plus méconnus, dont la sécurité n'a - arbres, zones... - resolver, cache, authoritative, fowarder... été étudiée que tardivement. DNSSEC tente de • Organisation remédier à certaines faiblesses de DNS, mais les

- TLD, autres domaines, délégations... : SE éf contraintes et les nouveaux risques liés à la DNSSEC • Protocole R sont réels et ne participent pas à son déploiement - RRSet, entêtes, couche de transport et EDNS - Problèmes liés aux pare-feux rapide. • Les enregistrements (RR) Afin de maîtriser les risques et difficultés techniques - A, AAAA, PTR, SOA, NS, MX ... du protocole DNS, afin d'évaluer l'utilité réelle de • Fonctionnement interne - récursion et itération, fonctionnement de la résolution, ... DNSSEC pour la sécurité, il convient de maîtriser le fonctionnement de DNS et DNSSEC, par la théorie Logiciels • Les couches logicielles comme la pratique. - "stub resolver", résolveur, rôle de l'application ... - Alternatives à BIND • Outils sur le DNS vous allez apprendre - zonecheck, dig, delv... • Les connaissances techniques du protocole DNS et de Sécurité du DNS l’extension DNSSEC • Les risques : modification non autorisée des données, piratage des serveurs, • Configurer en pratique une installation d’un resolver attaque via le routage ou autre "IP spoofing", emmpoisonnement de cache ... (Unbound) validant les réponses avec DNSSEC Ce qu'a apporté l'attaque Kaminsky. • Configurer une installation DNSSEC avec OpenDNSSEC pour gérer les clefs et BIND pour servir les zones Cryptographie signées • Petit rappel cryptographie asymétrique, longueur des clés, sécurité de la clé • Eviter les pièges du DNS privée ... • Déterminer l’intérêt réel d’un déploiement de DNSSEC DNSSEC dans votre environnement • Clés : l'enregistrement DNSKEY. Méta-données des clés. Algorithmes et longueurs des clés. PuBLiC VISÉ • Signature des enregistrements : l'enregistrement RRSIG. Méta-données des • Administrateurs systèmes et réseaux signatures. • Responsable d’exploitation • Délégation sécurisée : l'enregistrement DS • Architecte • Preuve de non-existence : les enregistrements NSEC et NSEC3

Pré-requis DNSSEC en pratique • Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC. Des connaissances préalables en administration • Protocole système et des protocoles réseaux TCP/IP sont - bit DO et couche de transport (EDNS) nécessaires. - Problèmes liés aux pare-feux Méthode pédagogique : • Créer une zone signée à la main -"dnssec-keygen, -signzone, named-checkzone/conf • Cours magistral • Configurer le résolveur Unbound pour valider • Travaux pratiques • Vérifier avec dig et delv • Déboguage MATÉRIEL • Délégation d'une zone. Tests avec dnsviz • Supports au format papier en français • Renouvellement de clés • Ordinateurs portables mis à disposition du • Créer une zone signée avec DNSSEC stagiaire Retour d'expérience CERTIFICATION • Zone racine • Domaines de premier niveau (.fr, .se, .org, ...) Formation non certifiante. • Zones ordinaires signées • Stockage des clés. Les HSM. • Problèmes opérationnels (re-signature, supervision) Conclusion Durée : 2 jours / 14 heures En partenariat avec l'

Plan de formation validé en collaboration avec l'ANSSI

01 41 40 97 04 SECDNS - DNSSEC 22 au 23 novembre 2018 • Paris [email protected]

13 Sécurité Technique SECARC - Architectures réseaux sécurisées

Wi-Fi, Cloud, BYOD, IoT. Derrière chacune de ces vagues ProgrammE

CARC marketing successives, il y a des choix de conception à Introduction Architectures des fonctions d'infras- faire. • Principes de sécurisation, éléments tructure et de sécurité Des choix qui doivent tenir compte des nouvelles sensibles, objectifs de sécurité • DHCP et usage • DNS : Interne, public, journalisation, possibilités, des contraintes spécifiques à ces technologies Architecture d'administration et d'authentification DNSSEC éf : SE éf et de la cohabitation avec l'existant. • Protocoles d'administration et • SMTP : émission interne, réception

R Parmi toutes ces vagues marketing, les mécanismes sous- usages : RDP, WinRM, de courriel jacents diffèrent peu : les concepteurs sont confrontés SSH, VNC • Journalisation et SIEM, Synchronisation horaire aux problématiques de gérer l'authentification des • Authentification et autorisation cen- tralisée : LDAP, • Supervision utilisateurs, de gérer les accès, d'assurer la résilience de NTLM, RADIUS, Kerbe- • Mise à jour ; Configuration et l'infrastructure et son maintient. Il importe donc que les ros déploiement : GPO, Puppet, Ansible, personnes concernées dans la conception ou l'évaluation • Référentiels centralisés : OpenLDAP, Chef • Cryptographie : PKI, authentification des architectures possèdent les briques de base, qui sont Active Directory • Délégation de l'authentification : des serveurs, CRL vs. OCSP, HSM nécessaires pour intégrer la sécurité dès les prémices des SSH Agent, relais Continuité et haute disponibilité projets. Kerberos • Notion de SPOF • Authentification forte : Principes, • Réseau : Agrégation de liens, Vous allez apprendre À OAuth, U2F, ActivCard clusters, adresses IP • Les caractéristiques d'une architecture sécurisée • Authentification des administrateurs virtuelles, boucles et comment les prendre en compte dans le cadre et services : Forêts, LAPS, bastions • Équipements simples : Répartition d'architectures spécifiques Réseaux et segmentation de charge, réplication de • À sécuriser les architectures communément mises en • IPv4, IPv6 données œuvre dans les entreprises • Composants : Concentrateur, • Sauvegarde : Push vs. pull • À évaluer la sécurité d'une architecture donnée pare-feu, diode, WDM, NIDS/NIPS, • Continuité d'activité : • À identifier les choix structurant l'architecture de vos répartiteur Interdépendance des composants, prochaines solutions • Segmentation physique : Interfaces infrastructure de crise, • À prendre en compte la sécurité dans les choix RJ45, ports consoles, 802.1x architectures temporaires, reprise d'architecture et connaître les points d'attention qui y • Segmentation réseau, découpage et bascule sont liés vertical : VLAN, 802.1Q, VxLAN, VRF, Réaliser des choix d'architecture Public visé PVLAN • Loi et réglementation : Classifié de • Routage : Statique vs. dynamique, défense, PDIS, LPM et SIIV, PCI DSS Toutes les personnes confrontées à la sécurité des OSPF, RIPE, BGP, BATMAN • Cloud : IAAS / PAAS / SAAS et architectures des systèmes d'information : • Filtrage : Règles fondamentales, intégration à l'architecture existante • Architectes des réseaux, architectes applicatifs matrice de flux, local vs. central • Virtualisation • Chefs de projets informatiques • Software-defined network • Existant et (rétro-) compatibilité • Responsables informatique ou sécurité • Relais applicatifs : Proxy, reverse • Utilisation de cadriciels • Équipes informatique ou sécurité proxy • Consultants et auditeurs techniques ou de SMSI Architectures spécifiques Architecture générale • Environnements de production et • Gestionnaires de risques • Systèmes autonomes hors Pré-requis • Segmentation horizontale et production Avoir une culture générale en informatique avec une administration "out-of-band" • Imprimantes et scanneurs connaissance : • Positionnement des éléments de • Audio (VoIP) et vidéo • de base en réseau sécurité • Interconnexion filiales/partenaires • du fonctionnement de base des protocoles TCP/IP Connexion distante • Infrastructure virtuelle • Connexion à distance et • Réseaux wi-fi Méthode pédagogique interconnexion multi-sites : MPLS, • Réseaux libre-service : Wi-fi visiteur, • Cours magistral interactif avec des exemples pratiques VPN IPSec, TLS bornes publiques et des travaux pratiques sur la conception et • Architectures industrielles l'évaluation d'architectures. Postes de travail • IoT ; Appareils mobiles • Segmentation par virtualisation, • Grid, architectures n-tiers, MATÉRIEL VDI, BYOD vs. COPE distribuées : Hadoop, P2P • Supports intégralement en français. Architecture Windows • Mainframes CERTIFICATION • Architecture de domaines, DC et • Sécurité physique RODC, approbation et délégation • Exploration des limites du Cette formation prépare à l'examen de certification cloisonnement SECARC. Toutes les questions de l'examen sont issues des Architecture applicatives supports de cours de la formation. L'examen se passe le • Accès Internet dernier jour de la formation. • Architectures 2-tiers, 3-tiers ; Requêtes RPC • Stockage : SAN, NAS, partages Durée : 3 jours / 21 heures réseaux SMB, NFS, EDI, ETL, ERP

01 41 40 97 04 SECARC - Architectures rÉseaux sÉcurisÉes 23 au 25 mai 2018 • Paris 28 au 30 novembre 2018 • Paris [email protected]

14 Sécurité Technique INFO 1 - Inforensique : les bases d'une analyse post-mortem

L’investigation inforensique permet de collecter et ProgrammE d’analyser des éléments ayant valeur de preuve en vue Jour 1 Jour 3 - Interaction sur Internet d’une procédure judiciaire. L’objectif principal est • L'inforensique • Utilisation des Navigateurs Internet donc la récupération et l’analyse de données prouvant - Présentation de l'inforensique - IE/Edge / Firefox - Périmètre de l'investigation - Chrome / Opera 1 : I NFO éf un délit numérique. - Trousse à outil • Outil de communications/ R - Méthodologie "First Responder" collaboratifs vous allez apprendre • Analyse Post-mortem - Slack / Skype / Pinyin • Gérer une investigation numérique sur un ordinateur - Les disques durs - Messenger / Telegram • Acquérir les médias contenant l'information - Introduction aux systèmes de • Présentation des principaux artefacts • Trier les informations pertinentes et les analyser fichiers - Systèmes OSX • Utiliser les logiciels d'investigation - Horodatages des fichiers - Systèmes Linux - Acquisition des données : Jour 4 - Inforensique réseau PuBLiC VISÉ Persistante et volatile • Pourquoi et comment faire de - Gestion des supports chiffrés • Toute personne souhaitant se lancer dans l'inforensique l'Inforensique réseau - Recherche de données supprimées - Premier pas dans l'investigation numérique. • Avantages, faiblesses, - Sauvegardes et Volume Shadow complémentarité et limites Copies Pré-requis • Différents type de preuves et de - Aléas du stockage flash Avoir des bases en informatique (Windows & Linux) et sources de données réseaux • Registres Windows être intéressé par le sujet. • (Journaux, PCAP, Netflow; DNS, Pare- - Les structures de registres Windows feu, Proxy, Switch, Routeur, Syslog, etc.) ▪ Utilisateurs Méthode pédagogique : • Exemple d'évènements créés par un ▪ Systèmes • Cours magistral scénario simple • Analyse des journaux • Travaux pratiques • Analyse de journaux DNS, DHCP, - évènements / antivirus / autres Proxy, pare-feu logiciels MATÉRIEL • Analyse de paquets • Supports au format papier en français Jour 2 - Scénarii d'investigation - Réduction de données • Ordinateurs portables mis à disposition du • Téléchargement/Accès à des - Les protocoles standards, les stagiaire contenus confidentiels autres et les RFCs • Kit investigation numérique • Exécution de programmes • Caractéristiques des C&C et influence • Traces de manipulation de fichiers et sur les données réseaux CERTIFICATION de dossiers • Canaux de contrôle et d'exfiltration A l'issue de cette formation, le stagiaire a la possibilité • Fichiers supprimés et espace non (tunneling / asynchrone / pulling) de passer un examen ayant pour but de valider les alloué • Éléments de reconnaissance / connaissances acquises. Cet examen de type QCM - Carving signature • Géolocalisation dure 1h30 et a lieu durant la dernière après-midi de Jour 5 - Vue d'ensemble - Photographies (données Exifs) formation. La réussite à l'examen donne droit à la • Création et analyse d'une frise - Points d'accès WiFi chronologique certification INFO1 HSC by Deloitte. - HTML5 • Corrélation d'évènements • Exfiltration d'informations • Certification (QCM) - Périphérique USB • Examen - Courriels ▪ Journaux SMTP Durée : 5 jours / 35 heures ▪ Acquisition coté serveur ▪ Analyse client messagerie • Utilisateurs abusés par des logiciels malveillants

01 41 40 97 04 INFO1 - INFORENSIQUE : les bases d'une analyse post mortem [email protected] 9 au 13 avril 2018 • Paris 10 au 14 septembre 2018 • Paris

15 Sécurité Technique INFO2 – Inforensique avancée : industrialisez les enquêtes sur vos infrastructures

Aujourd'hui, de plus en plus d'entreprises sont victimes ProgrammE d'attaques complexes motivées par l'espionnage Module 1: Intrusion en entreprise économique. Êtes-vous armé pour la réponse aux incidents • Présentation - étapes d'une intrusion et l'investigation d'attaques persistantes avancées (APT) ? - Impact de celles-ci En s’appuyant sur les connaissances acquises en formation - Comment réduire le délai ? 2 : I NFO éf INFO1, la formation INFO2 vous prépare à une réaction • Indices de compromission (IOC) R efficace à ces attaques. - Création - Déploiement • Acquisition d'informations à distances Vous allez apprendre À - Artefacts clés • Appréhender la corrélation des événements - Powershell • Retro-concevoir des protocoles de communications - Agents GRR • Analyser des systèmes de fichiers corrompus • Détection du périmètre • Connaître et analyser la mémoire volatile des systèmes - Journaux d'événements : Capture, Corrélation d'exploitation des événements - Balayage d'entreprises : IOC, Powershell

Public visé Module 2 : Systèmes de fichiers • Analyse des systèmes de fichiers NTFS, EXTx, HFS+: • Tout membre d'une équipe de réponse à incident qui - Structure interne (métafichiers); est amené à traiter des incidents de sécurité ou intrusions - Boot Sector; complexes émanant de menaces sophistiquées • Recouvrement d'informations supprimées : • Professionnel de l'inforensique qui souhaite renforcer et - Modification des métadonnées; développer ses connaissances de l'inforensique et de la - Suppression de documents; réponse aux incidents - Recherche par motifs • Membres d'agences gouvernementales ou détectives qui • Reconstruction d'un système de fichiers souhaitent maîtriser l'inforensique et étendre leur champ - Master Boot Record de compétences en investigation pour pouvoir traiter - Table des partitions les cas de fuites d'informations, d'intrusion et d'analyses ▪ DOS techniques avancées ▪ GPT • Experts en sécurité avec une expérience en tests d'intrusion, réponse aux incidents et écriture d'exploits Module 3: Analyse de la mémoire • Responsables sécurité qui désirent maîtriser l'inforensique • Introduction pour en comprendre les implications en sécurité de - Pourquoi analyser la mémoire - Outils d'acquisition l'information et les problématiques liées aux éventuelles ▪ Drivers, Machines virtuelles, DMA poursuites découlant d'un incident ou tout simplement pour - Outils d'analyse gérer une équipe de réponse à incident. ▪ Rekall, Volatility, Windbg Pré-requis • Présentation des principales structures mémoires - Linux / MacOS / Windows • Avoir de l'expérience en analyse post-mortem ou • Analyse de la mémoire • Avoir suivi la formation INFO1 - Processus • Connaissance des principaux artefacts Windows (actions ▪ Processus "cachés" utilisateurs/système) ▪ Traces d'injection de code ▪ Process-Hollowing Méthode pédagogique ▪ Shellcode • Cours magistral - Détection et analyses • Travaux pratiques ▪ Handles - Communications réseau MATÉRIEL - Noyaux : Hooking, Memory Pool • Ordinateurs portables mis à disposition du stagiaire - Traces d'actions utilisateurs • Clé USB 64Go avec les données utilisées en travaux ▪ Artefacts du système d'exploitation pratiques Jour 4 : Automatisation des opérations • Supports intégralement en français • Création d'une timeline - Systèmes CERTIFICATION - Mémoire A l'issue de cette formation, le stagiaire a la possibilité de • Corrélation entre différentes timeline passer un examen ayant pour but de valider les connaissances • Examen acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification INFO2 HSC by Deloitte.

Durée : 5 jours / 35 heures

01 41 40 97 04 INFO2 – Inforensique avancée 17 au 21 décembre 2018 • Paris [email protected]

16 Sécurité Technique INFO3 – Rétro-ingénierie de logiciels Malfaisants

L'analyse des logiciels malfaisants constitue une discipline ProgrammE primordiale et nécessaire durant les investigations numériques et lors des réponses à incident. Outil principal des analystes en 1. Mise en place des Bases investigation numérique pour déterminer les éléments clé d'un • Introduction à l'analyse de malware : processus et méthodologie logiciel malfaisant, il donne un cap pour orienter leur investigation • Technique d'analyse statique : revue de code, analyse des metadata • Technique d'analyse comportementale

et permettre aux équipes de réponse à incident d'identifier les 3 : I NFO éf indicateurs de compromission (IOCs), informations capitales • Construction du laboratoire et boite à outils • Cas d'analyse R dans le traitement des incidents. • Introduction au langage assembleur : x86 et x64 • Présentation des instructions de bases Vous allez apprendre À • Présentation des structures de contrôles • Qualifier la menace d'un logiciel malfaisant et en particulier : • Introduction à IDA pro - Mise en place d'un laboratoire d'analyse des logiciels malfaisants • Chaine de compilation et binaires - Préparation de l'outillage d'analyse • Exercices - Analyse comportementale de logiciels malfaisants - Analyse statique et dynamique de codes malfaisants 2. Mécanismes internes de Windows et techniques de débogage - Introduction à l'architecture x86 • Présentions de l'architecture interne du système d'exploitation Win- - Identification des structures logiques (boucles, branchement...) dows - Identification des motifs utilisés par les logiciels malfaisants en • Présentation du format PE et ses caractéristiques analysant le code • Introduction des structures du noyau Windows (PEB, TEB, System Call - Analyse de la mémoire table, etc) - Contournement de techniques d'autoprotection • Exercices traitant les techniques de débogage Windows • Cas d'analyse Public visé • Professionnel de la sécurité souhaitant acquérir des connaissances 3. Malware et techniques de protection en analyse de codes malfaisants • Techniques d'obscurcissement de code et études de différents types • Personnel d'équipes de réponse à incident souhaitant réaliser des de packer analyses avancées des menaces rencontrées • Techniques anti-débogage • Toute personne intéressée par l'analyse des logiciels malfaisants et • Techniques anti-désassemblage ayant des connaissances en Windows et langage de bas niveau • Techniques d'obscurcissement du flux d'exécution • Techniques d'évasion (anti-virtualisation, furtivité) Pré-requis • Techniques d'un packing (automatisées et manuelles) et identification • Connaître le système Windows et avoir les bases en de l'OEP programmation ainsi qu’en réseau • Cas d'analyse • Présentations des fonctionnalités des malwares à travers les API Méthode pédagogique windows • Cours magistral avec manipulations et exercices pratiques • Rootkits : mode utilisateur et noyau • Formation dispensée en françaisMateriel • Keyloggers • Sniffers MATÉRIEL • Ransomwares • Ordinateurs mis à disposition du stagiaire • Bots et C2 • Supports en français. • Techniques d'analyse de shellcode

CERTIFICATION 4. Autres formes de malwares A l'issue de cette formation, le stagiaire a la possibilité de passer • Techniques d'instrumentation de binaires (IDA Appcall, Miasm, Frida, un examen ayant pour but de valider les connaissances acquises. etc) Cet examen de type QCM dure 1h30 et a lieu durant la dernière • Techniques d'analyse du contenu dynamique des malwares Web après-midi de formation. La réussite à l'examen donne droit à la (Javascript/Vbscript) certification INFO3 HSC by Deloitte. • file:///C|/Users/benchikh/AppData/Local/Temp/planFormation-1. txt[01/02/2017 09:42:43] • Analyse des applications .NET • Analyse des fichiers PDF • Analyse des documents Office Durée : 5 jours / 35 heures • Analyse de la mémoire comme outil d'aide à l'analyse des malwares 5. L'analyse de malware, une brique de la réponse à incident • Analyse de malware dans le cadre d'une réponse à incident • Gestion des IOC : construction et publication Challenge • Mise en pratique de toutes les connaissances et compétences acquises lors de la formation

01 41 40 97 04 INFO3 - Rétro-ingéniérie de logiciels malfaisants [email protected] 2 au 6 juillet 2018 • Paris

17 Sécurité Technique SECDRIS – Surveillance, détection et réponse aux incidents SSI

En 2015, c'est en moyenne après 5 mois (*) de présence sur le ProgrammE réseau de leur victime que les attaquants sont découverts, et ce en Jour 1: Introduction CDR IS majorité par des acteurs externes aux organisations concernées. • Etat des lieux - Familles d'attaques Parallèlement, la monétisation croissante des compromissions - Techniques d'attaque et de défense usuelles renforce la motivation et la professionnalisation des - Détection - Kill chain attaquants. Ces 2 constats à eux seuls doivent nous pousser • Défense en profondeur

éf : SE éf à changer notre façon d'aborder la sécurité : la prévention • Aspects légaux • ISO 27035 R demeure certes indispensable, mais elle n'est plus suffisante. • Blue Team et Hunt Team Une gestion efficace des incidents de sécurité nécessite de - Principe de compromission préalable - Comment former son équipe connaître le fonctionnement des cyber-attaques afin de Jour 2 : Reconnaissance pouvoir les détecter et y répondre de manière appropriée. • Reconnaissance passive Basée sur le retour d'expérience d'experts en sécurité, cette - étude: Récupération de données publiques • Reconnaissance active formation, en détaillant différents scénarios de compromission, - Fuites d'informations apporte les points clés permettant d'élever de façon significative - Reconnaissance réseau - étude: Scanning le niveau de sécurité de votre organisation en approfondissant • Détection/réponse les aspects souvent délaissés que sont la détection et la réponse. - Parefeux (*) source Fireye M-Trends 2016 - https://www.fireeye.fr/content/dam/ - IDS/IPS fireeye-www/global/en/current-threats/pdfs/Infographic-mtrends2016.pdf - Pots de miel • Prévention Vous allez apprendre À - Maîtrise de l'information - Attaquer pour mieux se défendre • Comprendre les menaces et attaques sur les réseaux et systèmes • Identifier les indicateurs de compromission (IOC) Jour 3 : Exploitation • Mettre en oeuvre les différents moyens de surveillance et de • Vulnérabilités détection • Les failles web - étude: Injection SQL • Anticiper et limiter l'impact des attaques • Défaut de mise à jour • Maîtriser les différentes étapes de gestion des incidents de - étude: OS obsolète sécurité • Mauvaise configuration - étude: Rétro-compatibilité et MitM (Responder) Public visé • Le facteur humain • Membres d'une équipe de sécurité opérationnelle (SOC) • Détection/réponse - WAF • Membres d'une équipe de réponse aux incidents (CSIRT) - IDS/IPS • Administrateurs - Automatisation • Responsables sécurité • Prévention - Supervision sécurité continue (CSM) Pré-requis - Développement sécurisé - Sécurisation active • Avoir de bonnes connaissances en sécurité informatique - Moindre privilège ou Jour 4: Post-exploitation • Avoir suivi la formation SECU1 • Objectifs de l'attaquant Méthode pédagogique - Exfiltration des données - Ransomware • Cours magistral - Déni de service • Travaux pratiques - Focus: C&C • Formation dispensée en français • Rebonds et mouvements latéraux - Pass the hash MATÉRIEL - Cassage de mots de passe • Ordinateurs portables mis à disposition du stagiaire - étude: Du point d'entrée à la cible finale • Élévations de privilège • Support intégralement en français - étude: Objectif Domain Admin CERTIFICATION • Détection/réponse • Prévention A l'issue de cette formation, le stagiaire a la possibilité de Jour 5 : Persistance passer un examen ayant pour but de valider les connaissances • Nettoyer une infrastructure Windows acquises. Cet examen de type QCM dure 1h30 et a lieu durant - Ticket d'argent et ticket d'or la dernière après-midi de formation. La réussite à l'examen - Les dessous d'Active Directory • Persistance UNIX/Linux donne droit à la certification SECDRIS HSC by Deloitte. • Autres moyens employés • Examen de certification Durée : 5 jours / 35 heures

01 41 40 97 04 SECDRIS – Surveillance, détection et réponse aux incidents SSI [email protected] 28 mai au 1er juin 2018 • Paris 17 au 21 septembre 2018 • Paris

18 Sécurité Technique SECWEB – Sécurité des serveurs

et applications web

Les applications web constituent le point le plus ProgrammE vulnérable au sein des entreprises. Il n’est pas rare que Bases de la sécurité informatique Éléments de cryptographie des failles de sécurité donnent, par exemple, lieu à • Cadre des menaces • Les bases : mécanismes, vocabulaire des vols de millions de numéros de cartes de crédit, à • Acteurs • Mécanismes pour chiffrement et • Évolutions authentification des dommages financiers, à d’importants impacts sur • Vocabulaire et concepts de base de • Mécanismes de signature électro- l’image voire même à la compromission de milliers de la SSI nique : SECWEB éf machines d’internautes consultant le site web piraté. • Législation et déontologie • Certificats x509 R Cette formation présente les vulnérabilités classiques • Bases du web • Infrastructure web Chiffrement des flux de données du Web à travers les tests d’intrusion et les moyens d'y • Rappels HTTP • HTTPS, SSL, TLS ... remédier. • Présentations des services web • Choix des suites cryptographiques • Same Origin Policy • Recommandations Vous allez apprendre À • Communication "cross-domain" • Travaux pratiques • Les enjeux de la sécurité d'un site web Découverte/fuite d'informations • Les méthodes d'attaques sur le web et comment s'en Chiffrement des données stockées • Analyse de l'environnement protéger • Stockage des mots de passe - Framework, librairies • Les bases de la cryptographie, quand et comment l'utiliser • Stockage des données sensibles - Arborescence du site • Les méthodes d'authentification web • Travaux pratiques • Transfert de zone (DNS) • Les bonnes pratiques de développement sécurisé • Scan de ports • Les techniques de protections des serveurs Sécurité du navigateur • Scan de vulnérabilités • Entêtes de sécurité (CSP, HSTS, • Travaux pratiques Public visé X-XSS...) • Développeurs web Les protocoles du web • Architecte d'applications web ou de solutions de • Méthodes HTTP Sécurité du serveur sécurité web (pare-feu applicatif...) • SOAP • Durcissement de l'OS • Administrateurs systèmes • XMLRPC • Standardisation des environnements • Pentesters débutants • Travaux pratiques • Gestion des privilèges Pré-requis Le processus d'authentification • Sécurité du système de fichiers • Avoir une expérience dans le développement web ou • Principe de AAA • Gestion des journaux et traces • Analyse des flux des connaissances en Linux sont un plus • Méthodes d'authentification HTTP • Modèles de délégation Méthode pédagogique • Principes d'infrastructure Single Sign Sécurité des applications • Cours magistral On • Séparation du code et des para- • Travaux pratiques mètres • Formation dispensée en français Gestion des sessions • Connaissance et surveillance des • Les cookies librairies utilisées MATÉRIEL • Forge de requêtes intersites (CSRF) • Ordinateurs portables mis à disposition du • Fixation de session Audit des applications stagiaire • Forge de cookies de session • Revues de code • Supports intégralement en français • Travaux pratiques • Utilisation du fuzzing CERTIFICATION • Usage du test d’intrusion (Pentest) Les injections A l'issue de cette formation, le stagiaire a la possibilité • Injection coté serveur Sécurité et processus de développe- de passer un examen ayant pour but de valider les - Commandes ment connaissances acquises. Cet examen de type QCM - LDAP • Notions d'analyse de risque projet dure 1h30 et a lieu durant la dernière après-midi de - SQL • Analyse des menaces formation. La réussite à l'examen donne droit àla - XXE • Formalisation certification SECWEB HSC by Deloitte.. • Injection coté client • Intégration continue et tests des - XSS fonctions de sécurité • Travaux pratiques • DevOps problématiques et enjeux Durée : 5 jours / 35 heures • Versioning Les inclusions de fichiers • Gestion des vulnérabilités • Télé-versement de fichiers • Gestion des patchs • Inclusion de fichiers locaux et dis- tants (LFI, RFI) Examen • Travaux pratiques

Logique applicative • Contournement de flux applicatif • Filtrage métier • Travaux pratiques

01 41 40 97 04 SECWEB – Sécurité des serveurs et applications web [email protected] 18 au 22 juin 2018 • Paris 15 au 19 octobre 2018 • Paris

19 Sécurité Technique SECWIN – Sécurisation des infrastructures Windows

Partie intégrante des réseaux d'entreprise, on trouve ProgrammE les OS Windows à tous les niveaux de nos systèmes Jour 1 : Connaître ses outils Jour 4 : Sécurité réseau d'information. Du point de vue des attaquants, ils • Introduction • Scénarios d'attaque classiques représentent une cible privilégiée, tant pour la • Active directory • Parefeu compromission initiale que comme moyen de - Présentation • IPsec persistance. C'est pourquoi sécuriser et administrer éf : SECWIN : SECWIN éf - Outils d'administration • Authentification

R efficacement Windows est primordial. - Stratégies de groupe: fonctionne- • Autres protocoles Basée sur le retour d'expérience d'administrateurs et ment • Auditer son infrastructure d'experts en sécurité, cette formation donne les - Stratégies de groupe: contenu • Microsoft Azure • Powershell points clés permettant d'élever de façon significative Jour 5 : PKI Windows et authentifica- le niveau de sécurité de votre infrastructure. - Principes - Les indispensables tion forte • PKI Vous allez apprendre À - Le langage • PowerShell Desired State Configura- - Principes d'une PKI • Sécuriser une infrastructure Windows - Avantages et inconvénients de la • Connaître les chemins d'attaque classiques et les tion (DSC) contre-mesures - Introduction PKI Windows • Appliquer les configurations par différents moyens - Composants - Enrôlement et révocation • Administrer avec Powershell - Mise en application - Protection des clefs privées • Authentification forte Public visé Jour 2 : Durcissement système • Cartes à puce • Administrateurs Windows • Types d'installation • Biométrie • Experts en sécurité • Rôles et fonctions • Architectes sécurité Windows • Examen • Responsables sécurité • Autres pistes de minimisation • Services Pré-requis • Taches planifiées • Expérience en administration Windows • Défense en profondeur Ou - Applocker • Bonnes connaissances en sécurité - Durcissement mémoire Ou • Avoir suivi la formation SECU1 - Secure Boot - Bitlocker Méthode pédagogique • Mises à jour • Cours magistral • Journalisation • Travaux pratiques • Formation dispensée en français Jour 3 : Gestion des privilèges MATÉRIEL • Introduction à NetFlow (protocole et • Ordinateurs portables mis à disposition du composants) stagiaire • Les formes de pouvoir • Supports intégralement en français • Scénarios d'attaque classiques - Récupération de mots de passe CERTIFICATION - Pass-the-hash A l'issue de cette formation, le stagiaire a la possibilité - Elévation de privilèges de passer un examen ayant pour but de valider les - Compromission du domaine connaissances acquises. Cet examen de type QCM - Persistance: golden ticket et autres dure 1h30 et a lieu durant la dernière après-midi de techniques formation. La réussite à l'examen donne droit àla • Eviter les élévations de privilèges certification SECWIN HSC by Deloitte. - Pratiques à risques - Solutions - Implémentation ▪ Gestion des groupes locaux Durée : 5 jours / 35 heures ▪ LAPS ▪ Délégation ▪ JEA (Just Enough Admin) ▪ Autres bonnes pratiques

01 41 40 97 04 SECWIN – Sécurisation des infrastructures Windows - formations [email protected] 10 au 14 décembre 2018 • Paris

20 Sécurité Technique SECLIN - Expert sécurité Linux (LPI303)

Sécuriser un serveur Linux passe par la réponse aux ProgrammE CL I N problématiques de sécurité classiques : authentification, Cryptographie accès au système de fichier, de la mémoire, des applications et • OpenSSL compréhension des méthodes d’attaque. La gestion de la sécurité • Utilisation avancée de GPG

Unix s’appuyant sur la maîtrise d’outils libres, la formation LPI • Systèmes de fichiers chiffrés : SE éf 303 met en situation le stagiaire avec de nombreux exercices R Contrôle d'accès pratiques. • Contrôle d'accès selon l'hôte • Attributs étendus et ACL Vous allez apprendre À • SELinux • Gérer en profondeur les problèmes de sécurité liés aux systèmes • Autres systèmes de contrôle d'accès obligatoire Linux • Réduire ou éliminer les risques sur les systèmes de type Linux Sécurité applicative • Configurer les services courants pour qu’ils soient robustes avant • BIND/DNS leur mise en production (Apache, BIND, …) • Services de courrier électronique • S’assurer de l’intégrité des données sur les serveurs Linux • Apache/HTTP/HTTPS • Maîtriser les outils permettant de répondre aux incidents de • FTP sécurité • OpenSSH • NFSv4 Public visé • Syslog • Professionnels de la sécurité • Administrateurs systèmes expérimentés Opérations de sécurité • Auditeurs et gestionnaires d’incidents • Gestion de configuration

Pré-requis Sécurité réseau • Avoir les bases en administration de systèmes Unix (3 à 5 ans • Détection d'intrusion d’expérience) • Balayage pour la sécurité réseau • Ou avoir la certification LPIC-2 • Supervision réseau • netfilter/iptables Méthode pédagogique • OpenVPN • Cours magistral avec manipulations et exercices pratiques Système d'exploitation Windows et durcissement des applications • Formation dispensée en françaisMateriel • Logiciels résistants aux malware • Mettre à jour des logiciels vulnérables MATÉRIEL • Durcissement du système avec les patrons de sécurité • Ordinateurs mis à disposition du stagiaire • Durcissement avec les politiques de groupe • Supports en français. • Appliquer les mesures de sécurités essentielles

CERTIFICATION Contrôle d'accès dynamique et restreindre la compromission des comptes d'administration Cette formation prépare à l'examen de certification n°303 "LPI- • Contrôle d'accès dynamique (DAC) Security" permettant de valider les compétences du stagiaire en • Compromission des droits d'administration sécurité Linux. • Active Directory : permissions et délégation Cette certification "LPI-Security" permet d'obtenir la certification IGC Windows "LPIC-3", le niveau le plus élevé de certification Linux. • Pourquoi avoir une IGC Pour avoir la certification "LPIC-3", il faut : • Comment installer une IGC Windows • soit avoir le niveau "LPIC-2" et réussir l'examen n°303 "LPI- • Comment gérer votre IGC Security", • Déployer des cartes à puce • soit avoir réussi les examens 101, 102, 201, 202 et 303. Il n'y a pas d'ordre de passage donc vous pouvez passer Protocoles dangereux, IPSec et Windows Firewall ces examens après votre examen 303 "LPI-Security". • Protocoles dangereux L'examen se passe soit chez HSC à l'issue de la formation, soit dans • Windows Firewall et IPSec un centre d'examen Pearson VUE a la date de votre choix. • Pourquoi IPSec ? • Créer des politiques IPSec Écriture de scripts PowerShell • Généralités sécurité • Familiarisation avec PowerShell Durée : 5 jours / 35 heures • Exemples de commandes • Ecrire vos propres scripts • Windows Management Instrumentation (WMI)

01 41 40 97 04 SECLIN - expert SécuritÉ linux (LPI 303) [email protected] 17 au 21 décembre 2018 • Paris

21 Sécurité Technique INTRU1 - Tests d'intrusion et sécurité offensive

L’intérêt des tests d’intrusion pour évaluer la sécurité ProgrammE d’un système informatique n’est aujourd’hui plus à Introduction aux tests d'intrusion démontrer. Ils permettent de découvrir des • Présentation de l'architecture des travaux pratiques vulnérabilités majeures, montrent comment un • Méthodologie des tests d'intrusion

éf : I N T RU 1 éf • Préparation et gestion d'un test d'intrusion

R attaquant peut progresser au sein du réseau ciblé. • Législation et déontologie Enfin, ils permettent de répondre aux exigences de Découverte réseau et qualification des cibles nombreuses normes. • Rappels TCP/IP • Découverte/fuite d'information vous allez apprendre À • Analyse de l'environnement • mettre en pratique les techniques d'intrusion les • Génération de paquets plus récentes sur les principales technologies • Scan de port du marché (systèmes d'exploitation, bases de données, • Présentation de Nessus applications Web, etc.) Attaque réseau • Écoute du réseau local public visé • Attaque des interfaces d'administration • Experts en sécurité, consultants ou auditeurs internes • Attaque "Man-in-the-middle"/ARP spoofing dont le rôle est de vérifier la sécurité des systèmes • Attaque des routeurs informatiques • Tunneling • Administrateurs systèmes ou réseaux, chefs de projets, Intrusion sur les applications web ou responsables sécurité voulant mieux comprendre les • Infrastructure Web techniques des attaquants pour ainsi mieux sécuriser • Rappels HTTP leurs système • Prise d'empreinte • Présentation des webshells Pré-requis • Injection de code SQL, de commande, inclusion de fichier • Avoir une expérience dans l'utilisation des systèmes • XSS et CSRF Windows et UNIX/Linux Découverte des mots de passe • Avoir une connaissance des principaux protocoles de la • Généralités suite TCP/IP • Génération des empreintes • Des connaissances dans l'administration de bases • Méthodes et outils de cassage d'empreinte de données ainsi que dans le développement Utilisation de Metasploit d'application Web sont un plus mais ne sont pas • Présentation du framework indispensables. • Méthodologie d'intrusion avec Metasploit Méthode pédagogique • Présentation de Meterpreter • Cours magistral Intrusion sur les postes clients • Travaux pratiques • Évolution des menaces • Formation dispensée en français • Prise d'empreintes des logiciels • Attaques et prise de contrôle d'un poste client MATÉRIEL • Pillage et rebond • Ordinateurs portables mis à disposition du stagiaire Intrusion sur les bases de données • Supports intégralement en français. • Introduction et rappels SQL • Intrusion MySQL CERTIFICATION • Intrusion SQL Server • Intrusion Oracle A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les Intrusion sur les systèmes Windows connaissances acquises. Cet examen de type QCM • Identification des machines et des services dure 1h30 et a lieu durant la dernière après-midi de • Récupération d'information à distance / sessions nulles formation. La réussite à l'examen donne droit à la • Récupération d'informations locales certification INTRU1 HSC by Deloitte. • Authentification sous Windows et récupération des empreintes • Attaque hors ligne • Élévation de privilèges Durée : 5 jours / 40 heures Intrusion sur les systèmes Unix/Linux • Sécurité sous Unix/Linux • Sortir de la cage • Attaque par le réseau • Attaque locale Examen

01 41 40 97 04 INTRU1 - Tests d'intrusion ET SéCuRITÉ OFFENSIVE

[email protected] 14 au 18 mai 2018 • Paris 12 au 16 novembre 2018 • Paris

22 Sécurité Technique INTRU2 - Tests d'intrusion avancés et développement d'exploits

Des vulnérabilités sont découvertes tous les jours au sein ProgrammE des systèmes d’information et avec elles, de nouvelles Python pour les tests d'intrusion menaces apparaissent employant des méthodes • Introduction d’attaques avancées. • HTTP • Scapy vous allez apprendre À • Attaque par fuzzing • Savoir effectuer un test d'intrusion contre des services • Fuzzing avec Sulley : I N T RU 2 éf R réseaux (routeurs, switch) Powershell • Comprendre comment exploiter les erreurs de • Introduction cryptographie • HTTP • Savoir utiliser python et powershell en tests d'intrusion • Powersploit • Comprendre et mettre en oeuvre des découvertes de • Nishang vulnérabilités par le fuzzing • Empire • Ecriture d'exploit sous Linux et Windows et contournement de protections. Attaques réseaux • arp spoofing public visé • network protocols - bgp • Stagiaires ayant suivi la formation SANS SEC 560 - ospf • Experts en tests d’intrusion - hsrp • Développeurs expérimentés • vlan hopping • Experts de la gestion des incidents • Attaques sur PXE • Experts de la détection d’intrusion Vulnérabilités web avancées Pré-requis • Sérialisation d'objets • Avoir suivi la formation INTRU1 • Injection SQL en aveugle • Avoir de bonnes bases en tests d'intrusion • XXE • Avoir une expérience de minimum 3 ans dans le • Attaquer HTTP/2 domaine de la sécurité technique • Websockets • Contourner les wafs Méthode pédagogique • Cours magistral Crypto • Travaux pratiques • Analyse de la cryptographie • Formation dispensée en français • Réutilisation d'IV • CBC bit flipping MATÉRIEL • Padding Oracle • Ordinateurs portables mis à disposition du Développement d'exploit Linux et Windows (presque 2j) stagiaire • Introduction à l'assembleur X86 • Supports intégralement en français • Description de la pile • Conventions d'appels CERTIFICATION • Dépassement de pile A l'issue de cette formation, le stagiaire a la possibilité • Protection contre les dépassements de tampons • Contournement des protections de passer un examen ayant pour but de valider • ret2libc, rop, les connaissances acquises. Cet examen de type • Introduction aux dépassements de tampon sur le tas QCM dure 1h30 et a lieu durant la dernière après- midi de formation. La réussite à l'examen donne •Demi-journée CTF / cas final droit à la certification INTRU2 HSC by Deloitte.

Durée : 5 jours / 40 heures

01 41 40 97 04 INTRU2 - TESTS D'INTRUSION AVANCÉS [email protected] 3 au 7 décembre 2018 • Paris

23 Sécurité Juridique Droit de la sécurité informatique

La conformité juridique est aujourd'hui un aspect ProgrammE essentiel de la sécurité de l'information. Or, les obligations Notions juridiques essentielles à respecter sont nombreuses et pas toujours faciles à comprendre et à respecter, notamment par les non- Consulter les règles applicables et suivre l’actualité juristes. Pour ces derniers, il est donc indispensable Informatique et libertés d'acquérir une connaissance pratique, concrète et • Origines et cadre juridique pragmatique du droit de la sécurité informatique, qui leur • Fondamentaux • Champ d’application de la loi roit SSI : D roit éf permettra d'évaluer et de renforcer le niveau de • Cadre pénal général

R conformité de leur organisme. • Périmètre d’un traitement vous allez apprendre • Conditions de licéité des traitements • Formalités préalables • La signification pratique des règles juridiques • Information des personnes concernées • Comment appliquer les règles juridiques de façon • Droits des personnes concernées concrète et pragmatique • Obligation de sécurité • Comment renforcer efficacement le niveau de conformité • Transferts hors Union européenne de votre organisme • Sanctions prononçables par la CNIL • Saisine du parquet public visé • Évolutions possibles avec le projet de règlement européen Toutes les personnes impliquées dans la sécurité informatique: Communications électroniques • RSSI • Notions fondamentales • DSI • Secret des correspondances • Administrateurs systèmes et réseaux • Cryptologie • Astreintes opérationnelles • Brouillage des communications • Maîtrises d'œuvre de la SSI • Contrôles de sécurité sur les opérateurs • Chefs de projet • Filtrage • Responsables de compte Conservation des traces • Consultants • Données relatives au trafic • Données d'identification des créateurs de contenus Pré-requis • Accès administratif aux données de connexion • Aucun. Il n'est pas nécessaire de disposer de • Autres traces connaissances en droit ou en informatique pour suivre Atteintes aux STAD cette formation. • Cadre juridique Méthode pédagogique • Réagir à une atteinte • Explication des notions juridiques en langage courant • Conséquences en droit social • Cours magistral totalement interactif Surveillance des salariés • Formation dispensée en français • Pouvoir de contrôle de l'employeur • Respect de la vie privée « résiduelle » MATÉRIEL • Courriers électroniques • Support de cours en français au format papier. • Fichiers • Navigation web certification • Accès à l'ordinateur du salarié A l'issue de cette formation, le stagiaire a la possibilité Administrateurs systèmes et réseaux de passer un examen ayant pour but de valider les Charte informatique connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification DSSI HSC by Deloitte.

Durée : 2 jours / 14 heures

01 41 40 97 04 DROIT DE la sÉCURITÉ INFORMATIQUE [email protected] 14 au 16 mai 2018 • Paris 5 au 7 décembre 2018 • Paris

24 Sécurité Juridique GDPR / RGPD

Le règlement européen sur la protection des données ProgrammE personnelles vient refondre le cadre juridique applicable Introduction en matière « informatique et libertés ». Il apporte de • Fondamentaux juridiques nombreuses évolutions par rapport au cadre actuel, en • Historique et avenir du règlement européen exigeant notamment une véritable gouvernance de la • Enjeux de la protection des données personnelles

protection des données. Par conséquent, il importe : GD P R éf d’anticiper dès à présent ses dispositions, d’autant que le Fondamentaux de la protection des données R délai de 2 ans laissé aux organismes pour se préparer, et • Champ d’application du règlement qui amène à une application aux alentours du printemps • Principes fondamentaux 2018, est significatif de l’ampleur des tâches à mener. - Privacy by Design, Privacy by default… • Notions essentielles et acteurs vous allez apprendre - Données à caractère personnel, traitement, etc. • Quelles sont les évolutions apportées par le règlement ? - Autorité de contrôle (pouvoirs, guichet unique, etc.) • Quelles sont leurs implications opérationnelles ? - Comité européen à la protection des données • Comment se préparer efficacement à l’application du - DPO règlement ? - Etc. • Responsabilités (responsabilité du DPO, du sous-traitant, public visé responsabilité conjointe, etc.) et sanctions • Futurs DPO Missions du responsable de traitement et du sous-traitant • Responsables « informatique et libertés »/vie privée • Désigner un DPO • Juristes • Réaliser une analyse d’impact (PIA : Privacy impact assessment • Directions • Consulter au préalable l’autorité de contrôle • RSSI • Tenir un registre des activités de traitements • Veiller aux données particulières (données sensibles, judiciaires, Pré-requis protection des mineurs, etc.) • Connaître les bases de la loi « informatique et libertés » est • Assurer la sécurité des données un plus. - Évaluation du niveau de sécurité - Mesures techniques et organisationnelles Méthode pédagogique - Violations de données personnelles • Cours magistral avec échanges interactifs • Gérer les droits des personnes concernées • Exercices pratiques - Transparence et information • Formation dispensée en français - Droit d’accès - Droit de rectification et effacement (droit à l’oubli numérique) MATÉRIEL - Droit à la limitation du traitement • Support de cours en français au format papier. - Droit à la portabilité - Droit d’opposition certification • Veiller aux transferts de données en dehors de l’UE A l'issue de cette formation, le stagiaire a la possibilité • Se préparer à un contrôle de passer un examen ayant pour but de valider les • Coopérer avec les autorités connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi Outils de formation. La réussite à l'examen donne droit à la • Certifications et labels certification GDPR HSC by Deloitte. • Codes de conduite • Check list • Veille • Références Durée : 2 jours / 14 heures

01 41 40 97 04 GDPR / RGPD 12 au 13 février 2018 • Paris 11 au 12 octobre 2018 • Paris [email protected] 24 au 28 avril 2018 • Paris 13 au 14 décembre 2018 • Paris 21 au 22 juin 2018 • Paris

25 Sécurité Juridique DPO

(Data Protection Officer)

La protection des données personnelles est devenue un ProgrammE élément important de la sécurité de l'information. Le DPO • Droit de l'informatique et des libertés est chargé d'assurer la conformité des traitements de données personnelles aux obligations "informatique et • Consulter les règles applicables, suivre l’actualité et échanger

éf : D P O éf libertés". Il est donc aujourd'hui un atout essentiel pour • Fondamentaux « informatique et libertés »

R réduire les risques juridiques et d'image, à l'heure où les contrôles se multiplient et où les sanctions sont de plus en • CNIL plus sévères. • Première approche du DPO vous allez apprendre • Désignation • Les normes juridiques, notamment le RGPD (GDPR) • Les jurisprudences • Exercice des missions • Les recommandations de la CNIL • Les éléments pratiques (statut et missions du DPO, • Recenser les traitements sécurisation des données personnelles, constitution du • Veiller à la licéité des traitements registre, rédaction du bilan annuel,…) • Préparer les formalités préalables public visé • Tenir le registre • CIL désignés depuis moins d'un an • Futurs DPO • Veiller aux relations avec les tiers • Personnes souhaitant approfondir leurs connaissances "informatique et libertés" et acquérir une compétence • Veiller à la sécurité des données personnelles opérationnelle • Veiller aux conditions de transfert hors Union européenne • Responsable informatique • Juriste • Conseiller, sensibiliser et vérifier en interne

Pré-requis • Suivre un éventuel contrôle de la CNIL et ses conséquences • Aucun. Il n'est pas nécessaire de disposer de • Rédiger un bilan annuel connaissances en droit ou en informatique pour suivre cette formation. • Fin des fonctions Méthode pédagogique • Explication des notions juridiques en langage courant • Cours magistral totalement interactif • Nombreux exercices pratiques • Mise en situation d'environ 2 heures • Formation dispensée en français

MATÉRIEL • Support de cours en français au format papier • Support d'exercices et corrections au format papier

certification Cette formation n'est pas certifiante.

Durée : 3 jours / 21 heures

01 41 40 97 04 [email protected] DPO 2 au 4 mai 2018 •Paris 26 au 28 septembre 2018 •Paris

26 Sécurité Juridique Privacy Implementer Exercer la fonction de CIL / DPO

La protection des données personnelles est devenue une ProgrammE préoccupation majeure des citoyens. Avec l'entrée en • Cadre « informatique et des libertés » application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les organismes doivent se • Consulter les règles applicables, suivre l’actualité et échanger mettre en conformité avec des règles nouvelles, souvent complexes et assorties de sanctions renforcées. Cette • Notions « informatique et libertés » formation certifiante a pour but de présenter ce nouveau • Acteurs « informatique et libertés » cadre d'un point de vue opérationnel, en donnant aux : Privacy éf participants les clés pratiques et pragmatiques pour • Champs d’application R réussir la mise en conformité et maintenir celle-ci dans la • Recenser les traitements durée. • Veiller au respect des principes fondamentaux vous allez apprendre • Accomplir les formalités préalables • Comment exercer efficacement le métier de DPO • Comment mettre en oeuvre les obligations "informatique • Gérer les relations avec les tiers et libertés" de façon concrète et pragmatique • Le droit des données personnelles, son interprétation et • Assurer la sécurité des données personnelles son application en pratique • Satisfaire aux conditions de transfert en dehors de l’Union euro- • Se préparer à l'examen de certification LSTI péenne public visé • CIL ou DPO désignés, quelle que soit leur expérience • Maîtriser les sous-traitants • Futurs DPO • Renforcer et démontrer la conformité • Personnes souhaitant se préparer à l'examen de certification LSTI "correspondant informatique et libertés" • Etre préparé à un contrôle de la CNIL et à ses conséquences

Pré-requis • Se préparer au RGPD • Aucun. Il n'est pas nécessaire de disposer de • Examen de certification (conçu, surveillé et corrigé par LSTI connaissances en droit ou en informatique pour suivre cette formation. Note : le niveau d’approfondissement des différents thèmes est plus Méthode pédagogique élevé dans cette formation que dans la formation « DPO » sur 3 • Explication des notions juridiques en langage courant jours. Les exercices sont également plus nombreux. • Cours magistral totalement interactif • Nombreux exercices pratiques • Mise en situation d'une demi-journée • Formation dispensée en français

MATÉRIEL • Support de cours en français au format papier • Support d'exercices et corrections au format papier

certification Cette formation prépare à l'examen de certification LSTI "Privacy Implementer".

Durée : 5 jours* / 40 heures

01 41 40 97 04 [email protected] Privacy Implementer 29 janvier au 2 février 2018 •Paris 3 au 7 septembre 2018 •Paris 12 au 16 mars 2018 •Paris 17 au 21 septembre 2018 • Luxembourg 9 au 13 avril 2018 •Toulouse 5 au 9 novembre 2018 •Aix 4 au 8 juin 2018 •Paris 26 au 30 novembre 2018 •Paris 9 au 13 juillet 2018 •Rennes

* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi.

27 Sécurité Juridique Réaliser un PIA

(Étude d'impact sur la vie privée)

Exigence du RGPD (Règlement européen sur la protection ProgrammE des données), l'étude d'impact sur la vie privée devra être Introduction

éf : PI A éf menée pour tout projet d'envergure impliquant des • Cadre légal et réglementaire : de la loi "informatique et libertés" au données à caractère personnel en mai 2018. R RGPD Outil essentiel de l'accountability et gage de confiance • Les enjeux de la protection des données et du PIA pour les clients, le PIA sera au coeur de la protection des • Rappel des principes et des notions fondamentales de la protection données personnelles. des données personnelles Si de récentes normes s'y consacrent, mener un PIA peut se révéler fastidieux et se traduire par un processus non- Exercice 1 : Quizz oral : Maîtriser le vocabulaire sur la protection opérationnel. des données La formation "Réaliser un PIA" propose une approche Présentation du PIA pragmatique de l'étude d'impact sur la vie privée. • Le PIA dans le Règlement Ainsi, après une présentation du PIA dans le RGPD et des • Les cas de PIA obligatoire outils existants, les formateurs HSC proposerons l'une de - Le responsable du PIA leur méthode suivie d'un après-midi de mise en pratique. - Ses objectifs - Les éléments exigés par le Règlement vous allez apprendre - La consultation préalable et le registre des activités de traitement • Déterminer si un PIA est requis • Le vocabulaire de l'appréciation des risques et de l'étude d'impact • Construire une procédure et des outils d'étude d'impact sur sur la vie privée la vie privée • Le PIA dans les normes : • Mener un PIA - La méthode de la CNIL - La norme ISO 29134 public visé • CIL Exercice 2 : Questionnaire écrit : Manipuler le vocabulaire de • Relai informatique et libertés l'analyse de risques et du PIA • Futurs DPO • RSSI Exercice 3 : Cas pratique simple : Dresser un PIA en suivant le Guide • Directeur juridique de la CNIL • Responsable MOA... PIA : la méthode • Toute personne susceptible de mener des études d'impact • Étude d'opportunité du PIA sur la vie privée • Contexte et périmètre Pré-requis • Critères et échelles d'appréciation des risques • Préparation du PIA • Connaître les principes fondamentaux de la protection des • Étude de la conformité données personnelles • Appréciation des risques vie privée • Avoir suivi les formations "Privacy Implementer" ou • Le contenu du rapport "GDPR/RGPD" est un plus • Les suites du PIA

Méthode pédagogique Exercice 4 : Mise en situation : Réaliser un PIA et s'approprier les • Cours magistral avec échange interactifs outils méthodologiques (1/2 journée) • Formation dispensée en français • Distribution de documentation relative à un projet fictif impliquant la création d'un nouveau traitement ainsi que d'outils MATÉRIEL méthodologiques pour la réalisation d'un PIA. En s'appuyant sur • Support de cours et annexes en français au format les documents fournis, les stagiaires devront réaliser le PIA pour papier le projet. La correction sera réalisée de manière interactive avec l'ensemble des stagiaires. certification Cette formation n'est pas certifiante.

Durée : 2 jours / 14 heures

01 41 40 97 04 RÉaliser un pia [email protected] 4 au 5 avril 2018 • Paris 12 au 13 novembre 2018 • Paris

28 Sécurité Juridique Protection des données de santé et vie privée

La protection des données personnelles est devenue un ProgrammE élément important de la sécurité de l'information. Le Module 1 : Présentation du contexte correspondant informatique et libertés (CIL) est chargé • Cadre légal et normatif d'assurer la conformité des traitements de données • Notions fondamentales personnelles aux obligations "informatique et libertés". Il • Données de santé, dossier médical partagé, systèmes est donc aujourd'hui un atout essentiel pour réduire les d’information, etc. risques juridiques et d'image, à l'heure où les contrôles se • Principaux acteurs multiplient et où les sanctions sont de plus en plus - Patient, Professionnel de santé et médico-social, établissements sévères. de santé, hébergeur, ASIP-santé, CNIL, etc.

vous allez apprendre Module 2 : Droits des patients et secret • les exigences de sécurité en matière de : • Droits des patients - protection des données personnelles de santé (loi « - Confidentialité de leurs données de santé, information et accès informatique et libertés », Règlement européen général aux données, droit de rectification et d’opposition, etc. pour la protection des données) • Secret - interopérabilité des systèmes d’information de santé (CI- - Secret professionnel, secret médical, secret partagé

SIS) : D onnées de santé éf

- sécurité des systèmes d’information de santé (PGSSI-S, Module 3 : Gestion des données personnelles de santé R CPS, RGS, LPM) • Licéité des traitements de données personnelles - hébergement des données de santé (agrément HDS) • Recueil des données de santé • Formalités préalables, PIA et registre des activités de traitement public visé • Conservation, suppression, anonymisation et archivage des • RSSI données • Juristes • CIL/ DPO Module 4 : Sécurité du système d'information de santé • Toute personne confrontée à la gestion d’un système • Obligations légales de sécurité de données et systèmes d’information de santé d’information de santé • Enjeux de la sécurité du SI-S : Confidentialité, Intégrité, Pré-requis Disponibilité, Traçabilité et imputabilité • PGSSI-S • Avoir une culture générale en sécurité des systèmes • Gestion des risques d’information ou en droit est un plus • Organisation de la sécurité Méthode pédagogique - Rôles et responsabilités • Cours magistral avec échanges interactifs - Politique de sécurité - SMSI MATÉRIEL • Mesures de sécurité opérationnelles - Gestion des accès, identification, authentification • Support de cours en français au format papier - Classification et chiffrement certification - Architecture réseau et applicative - Sécurité des échanges Cette formation n'est pas certifiante. - Durcissement des systèmes - Objets connectés et accès distants - Cycle de vie et obsolescence des systèmes - Sauvegarde et archivage Durée : 2 jours / 14 heures - Traçabilité et imputabilité • Gestion des incidents et notification aux autorités • Gestion de la continuité d’activité

Module 5 : Interopérabilité du système d'information de santé • Obligation légale d’interopérabilité • Présentation du cadre d’interopérabilité des systèmes d’information de santé

Module 6 : Hébergement des données de santé • Exigences légales en matière d’hébergement • Agrément HDS (procédure d’agrément, dossier et contrat) • Médecin de l’hébergeur

01 41 40 97 04 Protection des donnÉes de santÉ et vie privÉe - formations [email protected] 19 au 20 mars 2018 •Paris 4 au 5 octobre 2018 •Paris 14 au 15 juin 2018 •Paris

29 Sécurité Organisationnelle FormationC ISSP

CISSP (Certified Information Systems Security ProgrammE Professional) est la certification professionnelle Les 8 thèmes officiels du CBK (Common Body of Knowledge) : internationale la plus connue dans le monde de la sécurité des systèmes d’information. Le programme de • Security & Risk Management

éf : C ISSP éf certification géré par ISC² (International Information • Asset Security

R Systems Security Certification Consortium) est réparti en 10 thèmes qui couvrent tous les aspects de la sécurité des • Security Engineering Systèmes d’information • Communications & Network Security • Identity & Access Management Objectif • Security Assessment & Testing • Réussir l'examen de certification CISSP d'ISC² • Security Operations

public visé • Security in the Software Development Life Cycle • Toute personne souhaitant obtenir une certification reconnue en sécurité • Consultants en sécurité devant démontrer leur expertise acquise et enrichir leur CV • Juristes

Pré-requis • Avoir lu le livre CBK officiel de l’ISC2 Méthode pédagogique • Un consultant expert pour chaque thème du CBK • Des questions et des explications à chaque mauvaise réponse • Formation dispensée en français

MATÉRIEL • Support de cours en français au format papier. • Boîtier électronique de réponse mis à disposition de chaque stagiaire • Livre CBK officiel de l'ISC² envoyé sur demande uniquement à réception des documents de confirmation d'inscription • Un livre de révision de l'ISC2 pour l'ensemble des chapitres comprenant : - Des fiches de révision et résumés des chapitres - Des questions d'entraînement - Un examen blanc - Un certificat ISC² pour avoir suivi la formation

certification Cette formation prépare à l'examen de certification CISSP de l'ISC². HSC est le partenaire officiel d'ISC² en France. HSC est le seul à pouvoir vendre l'examen CISSP. L'examen se déroule dans un centre Pearsonvue (www.pearsonvue.com).

Durée : 35 heures

01 41 40 97 04 [email protected] fORMATION cissp 19 au 23 mars 2018 • Paris 19 au 23 novembre 2018 • Paris 11 au 15 juin 2018 • Paris

30 Sécurité Organisationnelle FormationC ISA A

Le CISA (Certified Information Systems Auditor) est la ProgrammE certification internationale des auditeurs des systèmes d'information. Le stage est organisé sur 4 journées de révision des 5 thématiques de la certification CISA associées à des séries de questions illustratives. Cette certification est régulièrement exigées auprès des : C IS éf auditeurs informatique et sécurité. Elle est éditée par R l'association internationale des auditeurs informatique Les 5 domaines abordés (repris dans le CRM et le support de cours) : ISACA ( http://www.isaca.org/ ). • Le processus d'audit des SI : méthodologie d'audit, normes, référentiels, la réalisation de l'audit, les techniques d'auto-évaluation. OBJECTIF • La gouvernance et la gestion des SI : Pratique de stratégie et de gouvernance SI, politiques et procédures, pratique de la gestion des SI, organisation et • Préparer à la réussite de l'examen CISA de l'ISACA.I comitologie, gestion de la continuité des opérations. • L'acquisition, la conception et l'implantation des SI : la gestion de projet, public visé l'audit des études et du développement, les pratiques de maintenance, contrôle • Consultants en organisation, consultants en systèmes applicatifs. d'information, consultants en sécurité, • L'exploitation, l'entretien et le soutien des SI : l'audit de la fonction information • Auditeurs et des opérations, l'audit des infrastructures et des réseaux. • Informaticiens • La protection des actifs informationnels : audit de sécurité, gestion des accès, • Responsables informatique sécurité des réseaux, audit de management de la sécurité, sécurité physique, • Chefs de projets, urbanistes, managers sécurité organisationnelle.

Pré-requis Le stage se termine lors de la dernière journée par un exposé de pratiques pour • Connaissance générale de l'informatique, de ses passer et se préparer l'examen (QCM de 4 heures). Cet exposé est suivi d'un un modes d'organisation et de son fonctionnement. examen blanc (2 heures) de 100 questions suivi d'une revue des réponses de • Connaissance des principes généraux des processus stagiaires. SI et des principes de base de la technologie des SI et des réseaux. Méthode pédagogique • Cours magistraux par des consultants certifiés CISA • Exercices pratiques par des questions à l'issue de chaque exposé • Examen blanc de 100 questions et explications à chaque mauvaise réponse • Formation dispensée en français

MATÉRIEL • Support de cours en français au format papier • Livre officiel de l'ISACA CRM "Cisa Review Manual" en anglais ou "Manuel de préparation au CISA" en français envoyé sur demande uniquement à réception des documents de confirmation d'inscription

certification Cette formation prépare à l'examen de certification CISA de l'ISACA. Coupon d'examen disponible uniquement sur le site de l'ISACA

Durée : 5 jours / 35 heures

01 41 40 97 04 [email protected] formation CISA 4 au 8 juin 2018 • Paris 5 au 9 novembre 2018 • Paris

31 Sécurité Organisationnelle FormationR SSI SSI

La formation RSSI HSC apporte au nouveau RSSI ou au ProgrammE nouveau manager d'un RSSI un panorama complet des Introduction Gestion de risques fonctions du RSSI et des attentes des organisations sur le • Accueil • Méthodologies d'appréciation éf : R éf rôle du RSSI. Les connaissances indispensables à la prise • Présentation de la fonction de RSSI des risques

R de fonction du RSSI et un retour d'expérience sur les en la mettant en perspective par - EBIOS chantiers et la démarche à mettre en oeuvre dans le rôle rapport à tous les aspects de son - MEHARI sont détaillés par des consultants expérimentés et environnement - ISO 27005 d'anciens RSSI. • Production, direction, métiers, • Analyse de risque conformité, juridique, etc. • Evaluation du risque vous allez apprendre • Traitement des risques Aspects organisationnels • Les bases pour la mise en place d’une bonne gouvernance • Acceptation du risque de la sécurité des systèmes d’information de la sécurité • Les connaissances techniques de base indispensables à la • Panorama des référentiels du marché Aspects juridiques de la SSI fonction de RSSI • Politiques de sécurité • Informatique et libertés • Pourquoi et comment mettre en œuvre un SMSI en • Rédaction • Communications électroniques s’appuyant sur la norme ISO 27001 • Politiques globales, sectorielles, • Conservation des traces • L’état du marché de la sécurité informatique géographiques • Contrôle des salariés • Les méthodes d’appréciation des risques • Conformité • Atteintes aux STAD • Les enjeux de la SSI au sein des organisations • Gouvernance de la sécurité • Charte informatique • Les stratégies de prise de fonction et des retours • Indicateurs sécurité • Administrateurs • Gestion des incidents d’expérience de RSSI Acteurs du marché de la sécurité Aspects techniques de la sécurité • Gestion des relations avec public visé • Sécurité du système d'exploitation les partenaires • Nouveaux ou futurs RSSI souhaitant se remettre à niveau • Sécurité des applications (sessions, • Infogérance et échanger injections SQL, XSS) • Prestataires en sécurité • RSSI expérimentés souhaitant se remettre à niveau et • Sécurité réseau (routeurs, firewalls) Stratégies de prise de fonction de RSSI échanger sur les bonnes pratiques du métier avec d’autres • Sécurité du poste de travail RSSI • Rôles du RSSI • Ingénieurs en sécurité des systèmes d’information Système de Management • Relations avec les métiers, la DSI, la souhaitant rapidement acquérir toutes les compétences l de la Sécurité de l'Information (norme DG, les opérationnels leur permettant d’évoluer vers la fonction de RSSI ISO 27001) • Retour d'expérience • Directeurs des Systèmes d’Information ou auditeurs en • Bases sur les SMSI • Témoignage d'un RSSI systèmes d’information souhaitant connaître les contours • Panorama des normes de type ISO (selon les opportunités) de la fonction et les rôles du RSSI 27000 • Questions / Réponses avec • Bases sur ISO 27001 et ISO 27002 les stagiaires Pré-requis Préparation à l'audit • Expérience au sein d’une direction informatique en tant • Formation et communication qu’informaticien ou bonne culture générale des systèmes • Audit à blanc d’information • Documents à préparer • Notions de base en sécurité appliquées au système • Considérations pratiques d’information constitue un plus • Réception des auditeurs Méthode pédagogique (SoX, Cour des Comptes, Commission • Cours magistral dispensé par Hervé Schauer et les différents bancaire, etc.) responsables de domaine chez HSC : organisationnel, technique, commercial et juridique, • Après- midi du vendredi animé par un RSSI en activité présentant sa stratégie de prise de fonction et un retour d’expérience sur des cas concrets et détaillés de projets sécurité menés dans son organisation • Formation dispensée en français MATÉRIEL • Support de cours en français au format papier. certification A l'issue de cette formation, le stagiaire a la possibilité de Plan de formation validé en collaboration avec passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu l'ANSSI durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification RSSI Deloitte.

Durée : 5 jours / 35 heures

01 41 40 97 04 formation RSSI [email protected] 26 au 30 mars 2018 • Paris 15 au 19 octobre 2018 • Paris 25 au 29 juin 2018 • Paris

32 Sécurité Organisationnelle PCI DSS : Comprendre, mettre en oeuvre et auditer

Devant l'augmentation de la fréquence et de la sophistication des ProgrammE attaques visant les données de cartes bancaires, notamment les PAN Accueil des participants (Primary Account Number), les principales marques de cartes Introduction bancaires ont fondé le PCI SSC. L'un des buts de cet organisme • Présentation des termes essentiels américain consiste à maintenir le standard PCI DSS, décrivant les • Problèmes intrinsèques aux cartes bancaires mesures à mettre en oeuvre par tout acteur impliqué dans la • Constats des vulnérabilités et fraudes les plus courantes éf : P C I D SS éf transmission, le traitement ou le stockage de données de cartes • Structure d'une carte de paiement et données protégées par PCI bancaires. Tandis que les marques de cartes définissent leurs DSS R programmes de conformité, le standard PCI DSS défini ainsi le niveau de sécurité de base à atteindre. Toutefois, avant d'entreprendre une Acteurs de la chaîne monétique mise en conformité aux exigences de PCI DSS, le périmètre et les • Marques de carte exigences applicables doivent être déterminés, ce qui requiert une • PCI SSC • Acteurs et activités de la chaîne monétique parfaite maîtrise du standard et une connaissance des méthodes • Acteurs du programme de conformité PCI DSS d'évaluation appliquées par les auditeurs (QSA, pour Qualified Security Assessor). Le standard PCI DSS, son cycle de vie et ses spécificités Evaluation de la conformité à PCI DSS vous allez apprendre À • Esprit et principes des évaluations • Présenter les différents acteurs de PCI DSS • Livrables normalisés par le PCI SSC • Présenter le standard PCI DSS et ses 12 clauses • Programmes de conformité des marques de carte • Savoir prendre en compte les vulnérabilités et les menaces inhérentes • Déroulement d'une évaluation aux données carte bancaire • Identifier les points clés d’un projet PCI (sélection d’un périmètre, Détermination du périmètre standard) • Conditions d'application de PCI DSS • Maîtriser les problèmes intrinsèques aux données portées par les • Proposition d'approche pour l'identification du périmètre cartes bancaires, induits par la nécessité d'échanger des informations • Pièges à éviter pour les implémenteurs pour réaliser une transaction en toute confiance Exigencces de PCI DSS • Identifier et comprendre le rôle de chacun des acteurs impliqués dans • Vue d'ensemble par thématique les implémentations et évaluations PCI DSS • Parcours des exigences par règle • Maîtriser les différents types d'évaluation de la conformité à PCI DSS • Annexes qui existent (Report on Compliance, Self-Assessment • Questionnaire, etc.) et choisir l'évaluation la plus appropriée à un contexte • Déterminer finement le champ d'application de PCI DSS et à éviter les pièges les plus fréquents relevés lors d'évaluations réelles de conformité à PCI DSS • Assimiler les exigences du standard PCI DSS dans sa dernière version, ainsi que les notions qui lui sont spécifiques (fournisseurs d'hébergement partagé, entités désignées, mesures compensatoires, etc.)

public visé • DSI, RSSI • Auditeurs, bien que cette formation ne donne pas lieu à la qualification QSA, qui ne peut être délivrée que par le PCI SSC • Chefs de projet informatique • Consultant souhaitant étendre leur domaine de compétences

Pré-requis • Cette formation ne nécessite pas de pré-requis Méthode pédagogique • Cours magistral dispensé par au moins un QSA ayant réalisé des évaluations et accompagnement PCI DSS.

MATÉRIEL • Support de cours en français et annexes associées au format papier.

certification Cette formation n'est pas certifiante.

Durée : 1 jour / 7 heures

01 41 40 97 04 PCI DSS :Comprendre, mettre en oeuvre et auditer 8 novembre 2018 • Paris [email protected]

33 Sécurité Organisationnelle Homologation SSI : RGS, IGI1300, LPM, PSSIE

La démarche d'homologation de sécurité des ProgrammE systèmes d'informations s'est imposée dans de Panorama des référentiels SSI étatiques multiples référentiels gouvernementaux. Cette • Principes de certification/qualification approche permet d'expliciter les besoins de • Objectifs de l'homologation sécurité d'un système, d'en évaluer la protection • Démarche d'homologation effective et de faire accepter les risques résiduels - Analyse de risque par une autorité adaptée. - Mise en oeuvre des mesures de sécurité C'est autour de ce cœur méthodologique, que les - Plan de traitement des risques différents référentiels (RGS, II901, IGI1300, LPM, - Conformité PSSIE ) développent leurs spécificités. IGI1300 PSSIE vous allez apprendre À LPM • vous familiariser avec les différents référentiels II901 gouvernementaux de sécurité de l'information et Cryptographie RGS leur limites - Audits d'homologation - Acte d'homologation éf : Homologation SSI SSI : Homologation éf • être capable de mettre en œuvre une démarche d'homologation de sécurité - dossier d'homologation

R • avoir les clés pour approfondir les différents cadres - comité et autorité d'homologation réglementaires • Revue et maintien dans la durée • aborder la mise en place d'une organisation de • Stratégies de mise en œuvre gestion de la sécurité dans la durée. - Pour nouveau système - Pour système existant public visé • Toute personne ayant la nécessité de connaître, comprendre et mettre en œuvre une démarche d'homologation de sécurité sur tout ou partie de son système d'information. Les personnes en charge de la mise en conformité de leur SI selon les référentiels suivants: PSSIE, IGI1300, II 901, RGS, LPM, etc.; seront donc particulièrement intéressés par cette formation. Ceux-ci peuvent se trouver au sein: - des autorités administratives - des fournisseurs de services à une autorité administrative - des prestataires d'hébergement - des consultants accompagnant à la conformité - des opérateurs d'importance vitale - des entreprises amenées à traiter, manipuler des informations sensibles.…

Pré-requis • Cette formation ne nécessite pas de pré-requis Méthode pédagogique • Cours magistral et interaction avec les participants.

MATÉRIEL • Support de cours en français au format papier.

certification Cette formation n'est pas certifiante.

Durée : 1 jour / 7 heures

01 41 40 97 04 homologation ssi : RGS, IGI1300, lpm, pssie [email protected] 12 avril 2018 • Paris 5 novembre 2018 • Paris

34 Sécurité Organisationnelle Sécurité Organisationnelle FondamentauxPrincipes deet mise la SSI en œuvre des PKI

Si les PKI sont actuellement mises à l’honneur, la réalité ProgrammE de leurs déploiements demeure toutefois plus mitigée. Journée 1 : Mise en contexte Cette formation fournit une approche pragmatique des 1.1 Bases de cryptographie: : PKI éf

possibilités offertes au travers de la technologie des R 1.1.1 Notions de dimensionnement et vocabulaire de base PKI et indique une démarche réaliste pour réussir et 1.1.2 Mécanismes, optimiser leur mise en œuvre. 1.1.3 Combinaisons de mécanismes, 1.1.4 Problèmes de gestion de clés vous allez apprendre 1.1.5 Sources de recommandation: ANSSI, ENISA, EuroCrypt, NIST • Les technologies et les normes (cryptographie gros 1.2 Implémentation de la cryptographie: grains) • Les différentes architectures 1.2.1 Bibliothèques logicielles, • Les problématiques d’intégration (organisation d’une 1.2.2 Formats courants PKI, formats de certificats, points d’achoppement) 1.2.3 Usages courants et gestion associée • Les aspects organisationnels et certifications 1.2.4 Chiffrement de fichiers et disques • Les aspects juridiques (signature électronique, clés de 1.2.5 Chiffrement de messagerie recouvrement, utilisation, export / usage international) 1.2.6 Authentification 1.2.7 Chiffrement de disque et fichiers public visé 1.2.8 Chiffrement des flux • Architectes 1.3 Grands axes d'attaques et défenses • Chefs de projets Journée 2 : PKI et organisation • Responsables sécurité/RSSI avec une orientation 2.1 Matériel cryptographique technique 2.1.1 Différents types d'implémentation matérielles • Développeurs seniors 2.1.2 Certification Critères Communs • Administrateurs système et réseau senior 2.1.3 Certification FIPS 140-2 Pré-requis 2.2. Structure de PKI 2.2.1 Certificats X509 • Formation universitaire de base ou Ingénieur en 2.2.2 Rôles : sujet, vérificateur, certificateur, enregistrement, révocation informatique 2.2.3 Architectures organisationnelles courantes • L'utilisation de la ligne de commande, notion d’API 2.2.4 Cinématiques dans PKIX bases de réseau IP est un plus 2.2.5 Hiérarchies d'autorités 2.2.6 Vérification récursive d'une signature Méthode pédagogique • Cours magistral avec échanges interactifs 2.3 Cadre légal et réglementaire 2.3.1 Droit de la cryptologie • Travaux pratiques 2.3.2 Droit de la signature électronique 2.3.3 Référentiel général de sécurité MATÉRIEL 2.3.4 Réglement eIDAS • Support de cours en français au format papier. 2.4 Certification d'autorité • Ordinateurs portables et tokens cryptographiques mis 2.4.1 ETSI TS-102-042 et TS-101-456, certification RGS à disposition par HSC pour les exercices 2.4.2 Exigences pour les inclusions dans les navigateurs et logiciels courants 2.4.3 Evolution des pratiques certification Journée 3: Implémentation de PKI et perspectives Cette formation n'est pas certifiante . 3.1 Mise en oeuvre de PKI 3.1.1 Différents types d'implémentation d'IGC rencontrées couramment 3.1.2 Types d'acteurs du marché 3.1.3 Points d'attention à l'intégration Durée : 3 jours / 21 heures 3.1.4 Attaques sur les PKI 3.1.5 Problème des IGC SSL/TLS 3.1.6 Remédiations mise en œuvre pour TLS 3.2 IGC non X509: exemples de gestion de clés alternatives 3.2.1 GPG 3.2.2 SSH 3.2.3 R/PKI 3.3 Prospective 3.3.1 Evolution de la cryptographie: les évolutions réelles, et phénomènes médiatiques 3.3.2 Distribution de clés par canal quantique (QKD) 3.3.3 Cryptographie Homomorphique 3.3.4 Cryptographie-post quantique 3.3.5 Gestion des clés symétriques 3.3.6 Tendances et conclusion

Plan de formation validé en collaboration avec l'ANSSI 01 41 40 97 04 principes et mise en œuvre des pki [email protected] 2 au 4 mai 2018 • Paris

35 Sécurité Organisationnelle PKI Windows

Des bases de la cryptographie aux bonnes pratiques ProgrammE organisationnelles, cette formation donne toute les Jour 1 - Cryptographie et PKI clés nécessaires à la gestion opérationnelle d'une IGC (PKI) dans un contexte Windows. A travers des cas • Rappel sur les principes cryptographiques fondamentaux • Rappel des algorithmes cryptographiques et taille de clé conseillés concrets, les stagiaires apprendront à maîtriser les • Architecture organisationnelle et technique d'une IGC (PKI) concepts de base ainsi que le développement de scripts • Principe de création, vérification et révocation de certificat PowerShell afin d'automatiser et de faciliter la gestion • Création d'une autorité racine indépendante

éf : PKI WIN éf de l'IGC (PKI). Une épreuve finale regroupant plusieurs Jour 2 - PKI Windows R cas réels permettra aux stagiaires d'évaluer leur niveau en fin de formation. • Rappel de l'environnement Windows • Spécificité de l'IGC (PKI) Windows vous allez apprendre • Création d'une autorité fille liée à l'AD • Être capable de comprendre les besoins métier • Rappel des bases Powershell • Création de scripts simples en Powershell concernant les certificats • Acquérir les connaissances et compétences nécessaire Jour 3 - PKI avancée afin de fournir un support haut-niveau aux métiers • Cas d'étude d'une architecture IGC • Être en mesure de résoudre des problématiques • Création de scripts Powershell avancés cryptographiques • Méthodologie de résolution de problème (debugging) • Être en mesure de créer des scripts afin d'améliorer • Exercice final : les stagiaires doivent résoudre 6 problèmes utilisateurs l'IGC dont la difficulté va de moyen à expert

public visé Note : En intra-entreprise, cette formation est aussi disponible en anglais. • Tout public (Expert sécurité, Administrateur, Manager PKI, ...)

Pré-requis • Avant la formation, les stagiaires devront posséder un compte Live afin d'activer une licence temporaire Windows server. La connaissance de powershell n'est pas obligatoire Méthode pédagogique • Cours magistral avec échanges interactifs • Travaux pratiques

MATÉRIEL • Support de cours en français au format papier. • Ordinateurs portables et tokens cryptographiques mis à disposition par HSC pour les exercices

certification Cette formation n'est pas certifiante.

Durée : 3 jours / 21 heures

01 41 40 97 04 pki windows [email protected] 1er au 3 octobre 2018 • Paris

36 Sécurité Organisationnelle Sécurité du cloud computing

Le recours au cloud computing se développe ProgrammE aujourd'hui à un rythme de plus en plus important, Introduction au cloud computing sans que les organismes ne prennent nécessairement • Origines et développement la mesure des risques induits par cette évolution de • Définition et spécificité • Types de déploiements (SaaS, PaaS, IaaS ; public, privé, hybride ; etc.) leur gestion des données. Que ce soit avant de décider • Organismes spécialisés et sources d’information de passer dans le cloud, au cours de la prestation ou à : Cloudéf Notions fondamentales en sécurité de l'information la fin de celle-ci, de nombreuses questions liées à la R sécurité se posent. Il importe donc que les personnes Enjeux de la sécurité du cloud computing (avantages et risques techniques, organisationnels et juridiques) impliquées dans un projet de cloud computing • Confidentialité des données connaissent à la fois les risques associés et les bonnes • Intégrité des données pratiques permettant de réduire ces derniers. • Disponibilité des données • Réversibilité des données • Maîtrisabilité des données Evaluer l’opportunité de passer ou non dans le cloud vous allez apprendre • Questions à se poser • Les risques techniques, organisationnels et juridiques • Importance des aspects liés à la sécurité dans la décision associés au cloud computing • Eléments de décision en fonction du service (courrier électronique, fichiers, • Comment évaluer et réduire ces risques dans votre CRM, etc.) et du contexte (PME/grand groupe, sensibilité des données, etc.) contexte Eléments de décision pour choisir un type de déploiement public visé Eléments de décision pour choisir un prestataire de cloud computing Toutes les personnes impliquées ou ayant vocation à être • Méthodologies d’appréciation des risques impliquées dans un projet de cloud computing : • Aspects techniques (technologies utilisées, antécédents de sécurité, etc.) • Direction générale • Sécurité organisationnelle (référentiels et normes, certifications de sécurité, • DSI etc.) • RSSI • Juridiques (droit applicable, localisation des données, possibilités d’accès par • Administrateurs systèmes et réseaux l’Etat, engagements contractuels, etc.) • Chefs de projet Contractualiser avec le prestataire de cloud computing • Responsables de service opérationnel • Notions juridiques sur les contrats • Consultants • Clauses essentielles à contrôler Pré-requis • Eléments de négociation d’un contrat • Aucun. Il n'est pas nécessaire de disposer de Principes de mise en œuvre d’un cloud privé sécurisé connaissances en cloud computing ou en sécurité Suivre l’aspect sécurité au cours de la prestation de cloud computing informatique pour suivre cette formation. • Sources d’information générales sur le prestataire et le contexte juridique et Méthode pédagogique technique • Cours magistral avec échanges interactifs • Indicateurs spécifiques au rendu de la prestation • Réaction aux incidents (technique et juridique) MATÉRIEL Assurer la sécurité en fin de prestation de cloud computing • Support de cours en français au format papier • Motifs de terminaison de la prestation • Transfert des données vers un autre prestataire certification • Récupération des données • Effacement des données chez le prestataire Cette formation n'est pas certifiante. Prospective : les évolutions attendues concernant la sécurité du cloud computing

Durée : 3 jours / 21 heures

01 41 40 97 04 SÉCURITÉ DU CLOUD COMPUTING [email protected] 21 au 23 mars 2018 • Paris 10 au 12 septembre 2018 • Paris

37 Sécurité Organisationnelle Présentation des formations ISO 2700x

Vous souhaitez Vous devez suivre

 Avoir une introduction au SMSI  Acquérir les fondamentaux de la norme ISO 27001 Fondamentaux des normes  Comprendre les mesures de sécurité et apprendre ISO 27001 & ISO 27002 à les gérer (élaborer, améliorer et créer des enregistrements et des indicateurs)

Gestion des incidents de sécurité  Apprendre à organiser la gestion des incidents de sécurité / ISO 27035

 Construire des indicateurs et tableaux de bord en SSI Indicateurs et tableaux de bord de la SSI / ISO 27004

 Auditer un SMSI  Devenir auditeur interne ou auditeur de certification ISO 27001 Lead Auditor pour les SMSI Présentation des formations ISO 2700x formations des Présentation

 Implémenter un SMSI ISO 27001 Lead Implementer  Devenir responsable de mise en œuvre d’un SMSI

 Apprendre à réaliser une gestion des risques avec la méthode ISO 27005 ISO 27005 Risk Manager  Maîtriser l’appréciation et le traitement des risques

01 41 40 97 04 [email protected]

38 Sécurité Organisationnelle Fondamentaux ISO 27001 & ISO 27002

La norme ISO 27001 est devenue la référence internationale en ProgrammE termes de système de management de la sécurité de 1- Introduction aux systèmes de management l'information (SMSI). Les projets de mise en conformité se multipliant, une connaissance des éléments fondamentaux pour 2- Historique des normes la mise en œuvre et la gestion d'un SMSI est nécessaire. Par 3- L'organisation de la sécurité ailleurs, la norme ISO 27001 décrit une approche pragmatique 4- Présentation détaillée de la norme ISO 27001 de la gestion de la sécurité de l'information avec le choix de 5- L'origine des mesures mesures de sécurité découlant d'une appréciation des risques. • La conformité Elle s'appuie sur le guide ISO 27002 pour fournir des • La gestion des risques recommandations sur le choix et l'implémentation des mesures • Les ACP ou initiatives internes de sécurité. 6- Introduction à la gestion des mesures de sécurité • Les différents acteurs • Identification des contraintes vous allez apprendre À • Typologies de mesures de sécurité • Plan d'action sécurité • Présenter la norme ISO 27001:2013, les processus de sécurité qui • Documentation lui sont associés et la démarche de certification ; • Audit des mesures • présenter la norme ISO 27002:2013 et les mesures de sécurité ; • comprendre les contextes d'implémentation des mesures de 7- La norme ISO 27002 sécurité et leur intégration dans l'organisation générale de la • Présentation et historique sécurité ; • Structure et objectifs • S'exercer à la sélection et l'approfondissement de mesures de • Exemple d'application du modèle PDCA aux mesures sécurité depuis l'appréciation des risques, les pièges à éviter et • Cas pratique positionnant le stagiaire dans le rôle de l’audit de ces mesures ; - Gestionnaire des risques • Avoir une vue globale des référentiels existants, des guides - Implémenteur de mesures de sécurité d'implémentation ou de bonnes pratiques des mesures de - Auditeur sécurité. 8- Les référentiels de mesures de sécurité public visé • Les référentiels sectoriels (HDS, ARJEL, PCI-DSS, SAS-70/ISAE3402/ La formation s'adresse à tous ceux qui souhaitent : SOC 1-2-3, RGS) • prendre connaissance des normes ISO 27001 et 27002 • Les autres sources de référentiels et guides de bonnes pratiques • améliorer leur maîtrise des mesures de sécurité de l'information - Organismes étatiques (Guide d'hygiène de l'ANSSI, NIST, NSA, • enrichir leur connaissance des référentiels existants pour faciliter l etc.) leur mise en œuvre. - Les associations & instituts (SANS, OWASP, CIS, Clusif, etc.) - Les éditeurs

• Elle s'adresse à la fois aux opérationnels (techniques ou métiers), ISO 27001 & 27002 : Fondamentaux éf aux auditeurs souhaitant améliorer leur compréhension des R mesures propres à la SSI. 9- Exercices • Cette formation s'adresse également aux RSSI souhaitant avoir un panorama des mesures, organiser leur plan d'action, ou dynamiser 10- Examen les échanges avec les opérationnels.

Pré-requis • Cette formation requiert d'avoir une culture dans le domaine de la sécurité de l'information. Méthode pédagogique • Cours magistral basé sur les normes • Exercices pratiques individuels et collectifs basés sur une étude de cas MATÉRIEL • Support de cours en français au format papier certification A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification RSSI HSC by Deloitte.

Durée : 2 jours / 14 heures

01 41 40 97 04 Fondamentaux ISO 27001 & ISO 27002 [email protected] 11 au 12 juin 2018 • Paris 3 au 4 décembre 2018 • Paris

39 Sécurité Organisationnelle Indicateurs et tableaux de bord SSI/ ISO 27004

Les indicateurs et tableaux de bord permettent au ProgrammE responsable sécurité de piloter son activité et de Introduction communiquer avec sa direction et les équipes Indicateurs et tableaux de bord en SSI opérationnelles. Dans une organisation de la SSI conforme à l'ISO 27001, les indicateurs sont un des • Besoins du RSSI - Conformité mécanismes de surveillance imposés, qui obligent à - Sécurité anticiper les résultats escomptés et les actions à - Communication entreprendre. • Selon la littérature - CLUSIF éf : IS O 27004 éf - ANSSI R Vous allez apprendre À - HSC • Définir ce qu’est un indicateur • Propriétés des indicateurs • Réaliser un indicateur exploitable • Démarche • Tirer des leçons de l’indicateur pour surveiller et • Risques sur les indicateurs améliorer le SMSI • Erreurs à éviter • Questions pratiques public visé • Exemples de présentation • RSSI • Tableaux de Bord • Consultants • Exemples sur des mesures de sécurité • Ingénieurs sécurité Norme ISO 27004 • Contexte, Vocabulaire, Structure Pré-requis • Modèle de mesurage • Connaître la norme ISO 27001 • Responsabilité de la direction • Développement, Exploitation, Analyse, Evaluation Méthode pédagogique • Spécifications • Cours magistral MATERIEL • Exemples • Exercices pratiques Ressources MATÉRIEL Exercices sur des cas pratiques • Support de cours en français au format papier

certification Cette formation n'est pas certifiante.

Durée : 1 jour / 7 heures

01 41 40 97 04 [email protected] indicateurs et tableaux de bord ssi / iso 27004 13 juin 2018 • Paris 5 décembre 2018 • Paris

40 Sécurité Organisationnelle Gestion des incidents de sécurité / Norme ISO 27035

La gestion des incidents de sécurité dans un délai ProgrammE court et leur prise en compte dans la gestion des Introduction opérationnelle de réponse aux inci- risques est imposée par la norme ISO 27001. Le • Contexte dents de sécurité processus de gestion des incidents de sécurité est • Enjeux et ISO 27001 • Réponse immédiate • Vocabulaire • Réponse à posteriori fondamental au succès d’une bonne organisation de • Situation de crise Norme ISO 27035 la sécurité des systèmes d’information. Le guide de la • Analyse Inforensique • Concepts • Communication norme ISO 27035 explicite en détail comment • Objectifs • Escalade organiser ce processus. • Bienfaits de l'approche structurée • Journalisation de l'activité et change- • Phases de la gestion d'incident : IS O 27035 éf ment Planification et préparatifs (Planning R vOus allez apprendre À Mise à profit de l'expérience ('Lessons and preparation) Learnt') • Mettre en œuvre et organiser le processus de gestion • Principales activités d'une équipe • Principales activités d'amélioration de des incidents de sécurité au sein d’un SMSI de réponse aux incidents de sécurité l'ISIRT • Comment mettre en place une équipe de réponse (ISIRT) • Analyse Inforensique approfondie aux incidents de sécurité (Information Security • Politique de gestion des incidents de • Retours d'expérience Incident Reponse Team : ISIRT) sécurité • Identification et amélioration • Gérer et comprendre les interactions du processus • Interactions avec d'autres référentiels - de mesures de sécurité de gestion des incidents de sécurité avec les autres ou d'autres politiques - de la gestion des risques processus de son organisation • Modélisation du système de gestion - de la revue de direction des incidents de sécurité - du système de gestion des incidents public visé • Procédures • DSI • Mise en oeuvre de son ISIRT Mise en pratique • Responsables de la mise en place d’un SMSI • Support technique et opérationnel • Documentation • Responsables sécurité • Formation et sensibilisation • Exemple d'incidents de sécurité de • Personnes chargées de gérer les incidents de sécurité • Test de sons système de gestion des l'information incidents de sécurité - Déni de service (DoS) et déni de Pré-requis service réparti (DDoS) Détection et rapport d'activité (Detec- • Cette formation ne demande pas de pré-requis tion and reporting) - Accès non autorisé - Code malfaisant • Activités de l'équipe opérationnelle Méthode pédagogique - Usage inapproprié de détection des incidents de sécurité • Cours magistral avec échanges interactifs - Collecte d'informations de l'information • Catégories d'incidents de sécurité • Détection d'événements MATERIEL • Méthodes de classement ou de typo- • Rapport d'activité sur les événements • Support de cours en français au format papier logie d'incidents de sécurité Appréciation et prise de décision - CVSS certification (Assessment and decision) - ISO27035 • Activités de l'équipe opérationnelle • Enregistrement des événements de Cette formation n'est pas certifiante. d'analyse des incidents de sécurité sécurité • Analyse immédiate et décision • Fiche de déclaration des événements initiale de sécurité • Appréciation et confirmation de Aspects légaux et réglementaires de la Durée : 1 jour / 7 heures l'incident gestion d'incidents Réponses (Responses) • Principales activités d'une équipe

01 41 40 97 04 GESTION DES incidents de sÉcuritÉ / iso 27035 [email protected] 14 juin 2018 • Paris 6 décembre 2018 • Paris

41 Sécurité Organisationnelle Gestion de crise IT / SSI

Les méthodes proactives demeurent limitées et tout ProgrammE un chacun est confronté un jour à une crise due à des Enjeux et Objectifs de la gestion de crise incidents informatiques ou un problème de sécurité. Il • Vocabulaire faut donc maîtriser cette réaction d'urgence et s'y préparer. • Qu'est-ce que la gestion de crise SSI? Rappel des fondamentaux sur la gestion des incidents de sécurité basée sur l'ISO 27035 vous allez apprendre • Apprendre à mettre en place une organisation adaptée Analogies avec les autres processus pour répondre efficacement aux situations de crise • la gestion des incidents de sécurité • Apprendre à élaborer une communication cohérente • la continuité d'activité en période de crise • la gestion de crise stratégique

éf : Crise IT / SSI éf • Apprendre à éviter les pièges induits par les situations Analyse Forensique

R de crise • Tester votre gestion de crise SSI. L'organisation de gestion de crise SSI public visé • Acteurs et instances de la crise • Rôles et responsabilités • Directeur ou responsable des systèmes d'information • Préparation de la logistique • Responsable de la sécurité des systèmes d'information • Responsable de la gestion de crise • Documentation & Canevas • Responsable des astreintes • Outils de communication • Responsable de la gestion des incidents Processus de gestion de crise SSI • Détection et Alerte Pré-requis • évaluation et Décision • Cette formation ne nécessite pas de pré-requis • Activation • Réagir Méthode pédagogique • Pilotage de la crise • Cours magistral avec des exemples basés sur le retour d'expérience d'HSC • Retour à la normale • Tirer les enseignements MATÉRIEL Le facteur humain et les effets du stress • Support de cours en français au format papier Tests et exercices de crise SSI certification • enjeux et objectifs Cette formation n'est pas certifiante. • types d'exercices et tests • scénarios de crise • préparation d'un exercice de crise SSI • les outils et moyens Durée : 1 jour / 7 heures Cas pratiques de gestion de crise SSI

01 41 40 97 04 [email protected] GESTION DE CRISE IT / SSI 15 juin 2018 • Paris 7 décembre 2018 • Paris

42 Sécurité Organisationnelle ISO 27001 Lead Auditor

Les activités d'évaluation de la performance ProgrammE comprennent des tâches d’audit permettant de détecter tout dysfonctionnement potentiel, qui Accueil des participants • Présentation générale du cours apparaîtrait dans tout Système d’Information ou SMSI. • Introduction aux systèmes de management Savoir réaliser des audits de façon méthodique et structurée, tout en maîtrisant les normes de l’ISO est Présentation de la norme ISO 27001 devenu pour tout consultant une étape nécessaire • Notion de SMSI (Système de Management de la Sécurité de l'Information) prouvant son savoir faire auprès de ses clients et de • Modèle PDCA (Plan-Do-Check-Act) ses employeurs. La formation certifiante, ISO 27001 • ISO 27002 • Lien entre l’ISO 27001 et l’ISO 27002 Lead Auditor, dispensée par HSC permet de répondre : 27001 LA éf

à tous ces besoins en matière d’audits internes ou Panorama des normes complémentaires R d’audit de certification. La norme ISO 27001 • Chapitre par chapitre : - Contexte de l’organisation vous allez apprendre À • Disposer de la vision auditeur vis-à-vis de la norme ISO - Leadership 27001 - Planification • Intégrer le modèle PDCA lors de vos activités d’audit - Support • Auditer Les différentes catégories de mesures de sécurité (Annexe A de l’ISO 27001 / ISO 27002) - Fonctionnement • Conduire un audit de SMSI et ses entretiens (ISO - Évaluation des performances 19011 / ISO 27001 / ISO 27006) - Amélioration public visé • Relations entre les éléments structurants du SMSI • Membres des équipes de contrôle interne • Principaux processus du SMSI : • équipes de sécurité - Gestion des mesures de sécurité • Auditeurs externes • Qualiticiens - Gestion de la conformité • Responsables d’audit de SMSI - Gestion des risques de l’information • RSSI - Gestion des incidents de sécurité • Consultants en Sécurité des Systèmes d’Information - Pilotage Pré-requis Processus de certification ISO 27001 • Il est recommandé d’avoir lu les normes ISO 27001 et ISO 19011 Présentation de la norme ISO 27002 • Formation de second cycle ou avoir une expérience • Objectifs et usage de la norme professionnelle de 5 ans minimum dans le domaine des systèmes de management de la sécurité • Exigences de l’ISO 27001 ou de la qualité • Auditer une mesure de sécurité Méthode pédagogique • Présentation des mesures de sécurité • Cours magistral basé sur les normes ISO 19011, ISO • Exemple d’audit de mesures de sécurité 27001, ISO 27002 • Exercices pratiques individuels et collectifs s’appuyant Présentation de la démarche d’audit ISO 19011 sur une étude de cas • Norme ISO 19011 • Exercices individuels de révision • Jeu de rôle auditeur/audité • Principes de l’audit • Formation nécessitant 1 heure de travail à la maison et • Types d’audit ce quotidiennement • Programme d’audit • Démarche d’audit (Avant l’audit - Audit d’étape 1 - Audit d’étape 2 - Après MATÉRIEL l’audit) • Support de cours en français au format papier • Auditeur • Annexes associées en français et /ou en anglais • Responsable d’équipe d’audit certification Présentation de la démarche d’audit SMSI Cette formation prépare à l'examen de certification LSTI à • Normes ISO 17021 et 27006 la norme 27001:2013 (ISO 27001 Lead Auditor). • Audit de certification • Critères d’audit • Déroulement d’un audit * • Constats d’audit et fiches d’écart Durée : 5 jours / 40 heures • Réunion de clôture • Rapport d’audit Techniques de conduite d’entretien ÉLIGIBLE AU CPF Préparation à l'examen Examen conçu, surveillé et corrigé par LSTI

01 41 40 97 04 ISO 27001 LEAD auditor - formations [email protected] 5 au 9 février 2018 • Paris 24 au 28 septembre 2018 • Paris 4 au 8 juin 2018 • Paris 12 au 16 novembre 2018 • Paris

* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi. Cette durée de 40 heures est nécessaire pour être conforme à la norme ISO19011:2002 7.4.4 qui spécifie cette durée pour la formation des auditeurs. 43 Sécurité Organisationnelle ISO 27001 Lead Implementer

Face aux attentes des parties prenantes et des ProgrammE décideurs et aux nombreuses exigences de sécurité à Accueil des participants respecter, le Responsable de la sécurité du système • Présentation générale du cours d’information est souvent désarmé. Un système de • Introduction aux enjeux de la sécurité management de la sécurité de l’information est la meilleure organisation possible pour gérer la sécurité Présentation détaillée de la norme ISO 27001 de son système d’information. Mettre en œuvre les • Notion de SMSI (Système de Management de la Sécurité de l'Information) bonnes pratiques de la norme ISO-27001 et faire • Modèle PDCA (Plan-Do-Check-Act) • Les chapitres obligatoires de la norme : éf : 27001 L I éf certifier son SMSI est devenu un gage d’excellence - Contexte de l'organisation

R internationalement reconnu valorisant la mission des - Leadership acteurs de la sécurité. - Planification - Support - Fonctionnement vous allez apprendre À - Évaluation des performances • Mettre en œuvre un Système de management de la - Amélioration sécurité de l’information (SMSI) • Gérer un projet de mise en œuvre de SMSI Présentation de la norme ISO 27002 • Gérer un SMSI dans le temps • Différentes catégories de mesures de sécurité • Utiliser la norme ISO 27001 et les guides associés : ISO 27002, ISO 27004 et ISO 27005) • Mesures d'ordre organisationnel • Gérer les exigences de sécurité et les risques de • Mesures d'ordre technique sécurité • Implémentation d'une mesure de sécurité selon le modèle PDCA • Gérer la mise en œuvre d’un plan de traitement des risques Panorama des normes complémentaires • Améliorer le SMSI et les mesures de sécurité dans le Le SMSI par les processus temps grâce aux mécanismes d’amélioration continue • Le pilotage et les activités de support public visé • La gestion des exigences légales et réglementaires • RSSI nouvellement en poste • Chefs de projet SMSI • La gestion des risques et la norme ISO 27005 • DSI et leurs équipes • Qualiticiens - Le vocabulaire : risque, menace, vulnérabilité, etc. • Consultants - Critères de gestion de risque Pré-requis - Appréciation des risques • Formation initiale minimum du second cycle ou - Acceptation du risque justifier d’une expérience professionnelle d’au moins 5 ans dans le domaine des systèmes de management de - Communication du risque la sécurité informatique • Connaître les bases de la sécurité des systèmes - La déclaration d'applicabilité (DdA/SoA) d’information - Réexamen du processus de gestion de risques et suivi des risques Méthode pédagogique • La gestion des mesures de sécurité • Cours magistral basé sur les normes • Exercices pratiques individuels et collectifs s’appuyant • La gestion des incidents sur une étude de cas • Exercices individuels de révision • L'évaluation des performances • Jeu de rôle auditeur/audité - Surveillance au quotidien • Formation nécessitant 1 heure de travail à la maison et ce quotidiennement - Les indicateurs et la norme ISO 27004

MATÉRIEL - L'audit interne • Support de cours en français au format papier - La revue de Direction • Annexes associées en français et /ou en anglais Le projet SMSI certification • Convaincre la direction Cette formation prépare à l'examen de certification LSTI à • Les étapes du projet la norme 27001:2013 (ISO 27001 Lead Implementer). • Les acteurs • Les facteurs clés de réussite et d'échec Durée : 5 jours* / 40 heures Processus de certification ISO 27001 Préparation à l'examen Examen conçu, surveillé et corrigé par LSTI. ÉLIGIBLE AU CPF

01 41 40 97 04 ISO 27001 Lead implementer [email protected] 22 au 26 janvier 2018 • Paris 17 au 21 septembre 2018 • Paris 5 au 9 mars 2018 • Paris 26 au 30 novembre 2018 • Paris 28 mai au 1er juin 2018 • Paris 17 au 21 décembre 2018 • Paris

* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi.. 44 Sécurité Organisationnelle ISO 27005 Risk Manager

Une des caractéristiques fortes de l’ISO 27001 est de ProgrammE spécifier une organisation de la sécurité des systèmes d’information qui impose une approche par la gestion Introduction des risques. Le guide ISO 27005 est donc le plus • La série ISO 2700x important de la série ISO 27000 et détaille • ISO 27005 concrètement une méthode de gestion des risques • Les autres méthodes liée à la sécurité de l’information. La norme ISO 27005 Le vocabulaire du management du risque selon l'ISO 27005 : est utilisable dans tout type de contexte mais en appliquant les fondamentaux de l’ISO 27001 elle Présentation interactive applique les volontés de la direction et donne une du vocabulaire fondamental et de l'approche empirique de gestion de risque méthode de gestion des risques dans la durée, au avec la participation active des stagiaires à un exemple concret. contraire des habitudes de gestion de risques au coup • Identification et valorisation d'actifs : 27005 RM éf

par coup avec EBIOS ou Mehari. L’ISO 27005 est la • Menaces et vulnérabilités R première norme à appliquer l’ISO 31000, norme • Identification du risque et formulation sous forme de scénarios générique de gestion de risques applicable à tous les • Estimation des risques métiers, de la gestion des risques opérationnels à la • Vraisemblance et conséquences d'un risque gestion des risques industriels en passant par la • Évaluation des risques gestion des risques. • Les différents traitements du risque • Acceptation des risques • Notion de risque résiduel vOus allez apprendre À • Acquérir une compréhension globale des concepts, de La norme ISO 27005 : la norme, des méthodes et techniques • Introduction à la norme ISO 27005 • Mettre en œuvre une démarche d’appréciation des • Gestion du processus de management du risque risques continue et pragmatique • Cycle de vie du projet • Maîtriser la norme ISO 27005 : appréciation et analyse et amélioration continue (modèle PDCA) des risques du SI • Établissement du contexte public visé • Identification des risques • Estimation des risques • RSSI nouvellement en poste • Gestionnaires de risque débutants • Évaluation des risques • Traitement du risque Pré-requis • Acceptation du risque • Des connaissances en sécurité informatique sont • Surveillance et ré-examen du risque recommandées • Communication du risque Méthode pédagogique Exercices • Cours magistral basé sur les normes Mise en situation : étude de cas • Exercices pratiques individuels et collectifs basés sur • Réalisation d'une appréciation de risque complète une étude de cas • Exercices individuels de révision • Travail de groupe • Formation nécessitant 1 heure de travail à la maison et • Simulation d'entretien avec un responsable de processus métier ce quotidiennement • Mise à disposition d'un ordinateur portable pour mener l'étude • Présentation orale des résultats par chaque groupe MATÉRIEL • Revue des résultats présentés • Support de cours en français au format papier Présentation • Annexes associées en français et /ou en anglais des recommandations HSC :

• Les erreurs courantes : les connaître et s'en prémunir certification • Outillage Cette formation prépare à l'examen de certification • Recommandations générales LSTI à la norme 27005:2011 (ISO 27005 Risk Manager). • Préparation à l'examen

Examen conçu, surveillé et corrigé par LSTI. Durée : 3 jours* / 21 heures

ÉLIGIBLE AU CPF

01 41 40 97 04 ISO 27005 risk manager [email protected] 16 au 18 janvier 2018 • Paris 3 au 5 septembre 2018 • Paris 4 au 6 avril 2018 • Paris 8 au 10 octobre 2018 • Paris 18 au 20 juin 2018 • Paris 5 au 7 novembre 2018 • Paris 10 au 12 décembre 2018 • Paris

* 2,5 jours pendant lesquels exposés, cas pratiques, exercices et études de cas sont alternés et une demi-journée réservée à l'examen.

45 Sécurité Organisationnelle EBIOS Risk Manager

EBIOS (Etude des Besoins et Identification des Objectifs de ProgrammE Sécurité) s'est imposée comme la méthodologie phare en Introduction France pour apprécier les risques dans le secteur public. Elle est • EBIOS recommandée par l'ANSSI pour l'élaboration de PSSI et schéma • Historique

I O S RM directeur, pour l'homologation de téléservice dans le cadre du • Les autres méthodes RGS, dans le guide GISSIP ; par la CNIL pour réaliser des analyses • Différence entre EBIOS V2 et V2010 d'impacts sur les données nominatives (PIA ou Privacy Impact • Le vocabulaire du risque selon EBIOS 2010 Assessment). EBIOS possède des caractéristiques uniques qui - Biens essentiels et bien support permettent son usage dans tous les secteurs de la sécurité, bien - Propriétaire, dépositaire et RACI au-delà de la SSI. EBIOS permet d'identifier les risques d'un - Sources de menace et événements redoutés éf : E B éf système en construction qui n'existe pas encore, et demeure - Menaces et vulnérabilités et scénarios de menace R idéale pour la rédaction de cahier des charges. - Identification du risque et formulation sous forme de scénarios • Estimation des risques vous allez apprendre • Vraisemblance et gravité d'un risque • Appréhender la méthode EBIOS 2010 et ses différents cas • Évaluation des risques d'utilisation. • Les différents traitements du risque • Maîtriser la construction d'un processus de gestion des risques. • Notion de risque résiduel • Donner les moyens au stagiaire de piloter et réaliser une • Homologation de sécurité appréciation des risques EBIOS La démarche EBIOS • Communiquer les ressources et les outils disponibles afin de • Introduction réaliser une appréciation des risques optimale • La modélisation EBIOS • Préparer l'apprenant à l'examen en fin de session. - Alignement avec le modèle ISO 27005 • Communication et concertation relative aux risques public visé • Surveillance et réexamen du risque • CIL (DPO) • Étude du contexte • RSSI • Étude des événements redoutés • Chefs de projet SI • Étude des scénarios de menace • Consultants sécurité • Étude des risques • Toute personne connaissant d'autres méthodes comme ISO 27005, • Étude des mesures de sécurité MEHARI ou EBIOS v2 (ancienne version d'EBIOS) et souhaitant • Étapes facultatives maîtriser EBIOS 2010. • Applications spécifiques - Conception d'une politique de sécurité et/ou d'un schéma directeur Pré-requis - Présentation de la FEROS • Des connaissances de base en sécurité informatique sont - Appréciation de risques dans le cadre de l'intégration de la sécurité recommandées. dans un projet * Cas particulier du RGS Méthode pédagogique * En vue de la rédaction d'un cahier des charges • Cours magistral basé sur le référentiel EBIOS, des références aux normes ISO 27005, ISO 31000 et ISO 31010 pourront être faites ; Exercices • Bon usage des normes et méthodes à disposition (norme ISO Mise en situation : étude de cas 27002, méthodes d'analyse des risques ISO 27005 et MEHARI,...) ; • Réalisation d'une étude EBIOS complète • Construction d'un tableau d'appréciation des risques exploitable à • Travail de groupe partir d'un tableur de type Excel ; • Simulation d'entretien avec un responsable de processus métier • Des exemples et études de cas tirés de cas réels ; • Mise à disposition d'un ordinateur portable pour mener l'étude • Des exercices réalisés individuellement ou en groupe, y compris un • Présentation orale des résultats par chaque groupe exercice chaque soir à faire chez soi • Revue des résultats présentés Recommandations HSC MATÉRIEL • Les erreurs courantes: les connaître et s'en prémunir • Support de cours en français au format papier • L'étude de cas @rchimed • Méthode EBIOS 2010 - Intérêts et limites • Logiciel EBIOS 2010 certification - Pratique du logiciel Cette formation prépare à l'examen de certification LSTI à - Intérêts méthode EBIOS (EBIOS Risk Manager). - Limites • Utilisation des bases de connaissances • Préparation à l'examen Durée : 3 jours* / 21 heures

ÉLIGIBLE AU CPF

01 41 40 97 04 EBIOS Risk Manager - formations [email protected] 12 au 14 mars 2018 • Paris 19 au 21 novembre 2018 • Paris

* 2,5 jours pendant lesquels exposés, cas pratiques, exercices et études de cas sont alternés et une demi-journée réservée à l'examen. 46 Sécurité Organisationnelle Formation RPCA

Quel que soit leur secteur d'activité, être capable d'assurer la ProgrammE continuité des activités est plus que jamais au cœur des préoccupations des entreprises. Et ne nous y trompons pas: si la Introduction - Fondamentaux de la continuité d’activité dimension «informatique» est (souvent) primordiale en continuité • Accueil d'activité, autant, elle n'est pas tout! Si l'on souhaite que le Plan • Présentation de la fonction de RPCA en la mettant en perspective de Continuité d'Activités (PCA) soit efficace (et qui nele par rapport à tous les aspects de son environnement souhaiterait pas), alors la dimension «métier» doit en être le • Interactions : RSSI, RM, Production, Direction, métiers, Services : R P CA éf cœur. Généraux, Conformité, Juridique, RH, etc. R • Stratégies de prise de fonction du RPCA La formation proposée par HSC a précisément été conçue dans le • Présentation de la terminologie but d'apporter au RPCA tous les éléments dont il a besoin pour assurer ses fonctions. Contexte réglementaire et juridique • Panorama des référentiels du marché (lois, règlement, normes et vous allez bonnes pratiques) • Acquérir les compétences indispensables à l'exercice de la fonction • Normalisation ISO 22300 et 27000 Responsable du Plan de Continuité d'Activités, à savoir : • Informatique et libertés - Fondamentaux de la continuité d'activité - Contexte réglementaire et juridique Aspects techniques de la continuité - état du marché de la continuité (aspect techniques) • Sauvegarde & restauration - Apprécier les enjeux et les risques métiers • Réplication ou redondance - Formaliser un PCA efficient • Réseau et télécoms - Mon PCA fonctionne-t-il? - Gérer une crise Apprécier les enjeux et les risques métiers - Stratégies de prise de fonction. • Appréciation des risques en continuité d’activité • Processus critiques : Bilan d’Impact sur l’Activité (BIA) public visé • Toute personne amenée à exercer la fonction de responsable du Plan Acteurs du marché de la continuité de continuité d'activité : RPCA, futur RPCA, RSSI, ingénieurs sécurité • Gestion des relations avec les partenaires assistant un RPCA, responsables sécurité à la production. • Externaliser vers un prestataire • Les techniciens devenus RPCA, souhaitant obtenir une culture de • Comment choisir ? management. • Les managers confirmés manquant de la culture technique de base Formaliser un PCA efficient en matière de continuité d'activité ou ne connaissant pas les acteurs • Projet PCA (prérequis, gouvernance, délais, livrables, etc.) du marché. • PGC : Plan Gestion de Crise • Toute personne amenée à assurer une fonction de correspondant • PCOM : Plan de Communication (interne et externe) local continuité d'activité ou une fonction similaire. • PRM : Plan de reprise métier • PCIT : Plan de Continuité Informatique et Télécoms Pré-requis • PRN : Plan de Retour à la Normale Cette formation ne demande pas de préalable juridique, mais une expérience opérationnelle de la SSI et de l'exercice des responsabilités Mon PCA fonctionne-t-il ?… est souhaitée. • Les exercices et tests • L’importance du rôle d’observateur Méthode pédagogique • Audit du PCA • Cours magistral comportant de nombreux exemples pratiques • Maintien en Condition Opérationnelle (MCO) basés sur le retour d'expérience d'ATEXIO et d'HSC et de ses clients, • Outils de gouvernance, gestion, pilotage du PCA agrémenté d'exercices pratiques à l'issue de chaque partie importante. Gérer une crise • Formation dispensée en français • Activer tout ou partie du PCA • Communiquer pendant la crise MATÉRIEL • Assurer le retour à la normale • Intégrer les retours d’expérience (RETEX) • Support de cours et annexes en français au format papier. Témoignage d'un RPCA (en fonction des disponibilités) certification Examen Cette formation n'est pas certifiante.

Durée : 5 jours / 35 heures

01 41 40 97 04 formation RPCA [email protected] 12 au 16 février 2018 • Paris 8 au 12 octobre 2018 • Paris

47 Sécurité Organisationnelle ISO 22301 Lead Auditor

Aujourd’hui la Continuité d’Activité doit être prise en ProgrammE compte au niveau des organisations, l’objectif est de Accueil des participants se préparer à réagir face à une crise majeure et à préserver ses activités cœur de Métier en cas de • Présentation générale du cours survenance. La norme ISO 22301 fournit un cadre de • Introduction aux systèmes de management référence en matière de Système de Management de • Principes fondamentaux de la continuité d’activité la Continuité d’Activité (SMCA), elle s’adresse à tout Présentation détaillée de la norme ISO22301 type d’organisation. • Notions de Système de Management de la Continuité d’activité (SMCA),

éf :22301 LA éf • Modèle PDCA (Plan – Do – Check - Act)

R • Les exigences : vous allez apprendre - Comprendre l’organisation et son contexte • Le fonctionnement d’un SMCA selon la norme ISO - Engagement de la Direction 22301 - Analyse des impacts Métier (BIA) et appréciation des risques • Le déroulement, les spécificités et les exigences d’un - Définir les stratégies de continuité audit ISO 22301 - Développer et mettre en œuvre les plans et procédures de continuité • Acquérir les compétences nécessaires pour réaliser d'activité un audit interne ou un audit de certification ISO 22301 - Tests et exercices en fonction de la norme ISO 19011 - Surveillance et réexamen du SMCA • Gérer une équipe d’auditeurs de SMCA - Amélioration continue • Devenir auditeur ISO 22301 certifié • Les enregistrements public visé Panorama des normes ISO complémentaires : ISO 19011, ISO 22313, ISO • Stagiaires amenés à conduire des audits de SMCA 27031, ISO 31000 • Responsables chargés de la Continuité d’Activité (RPCA) Présentation de la continuité d'activité • Consultants • Procédures de continuité d'activité • Auditeurs • Exercices et tests • Chefs de projet • Retours d'expérience sur l'audit de Plans de Continuité d'Activité (PCA) • Qualiticiens Processus de certification ISO 22301 • équipes du contrôle interne Présentation de la démarche d’audit d'un SMCA basé sur l'ISO 19011 Pré-requis • Norme ISO 19011 • Formation initiale minimum du second cycle ou • Audit d’un SMCA justifier d’une expérience professionnelle d’au moins 5 • Règlement de certification ans • Exemples pratiques Méthode pédagogique Techniques de conduite d’entretien • Cours magistraux basés sur les normes ISO 19011, ISO 22301, ISO 22313, ISO 27031, ISO 31000 Exercices de préparation à l’examen • Exercices pratiques, individuels et collectifs basés sur Examen conçu, surveillé et corrigé par LSTI une étude de cas • Exercices individuels de révision • Formation nécessitant 1 heure de travail à la maison et ce quotidiennement

MATÉRIEL • Support de cours en français au format papier • Annexes associées en anglais et/ou français

certification Cette formation à l'examen de certification LSTI à la norme 22301 (ISO 22301 Lead Auditor).

Durée : 5 jours* / 40 heures

ÉLIGIBLE AU CPF

01 41 40 97 04 ISO 22301 Lead Auditor [email protected] 25 au 29 juin 2018 • Paris

* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi.. 48 Sécurité Organisationnelle ISO 22301 Lead Implementer

Aujourd’hui la Continuité d’Activité doit être prise en compte au ProgrammE niveau des organisations, l’objectif est de se préparer à réagir face à Introduction une crise majeure et à préserver ses activités cœur de Métier en cas de • Introduction des systèmes de management survenance. La norme ISO 22301 fournit un cadre de référence en • Principes fondamentaux de la continuité d’activité matière de Système de Management de la Continuité d’Activité (SMCA), elle s’adresse à tout type d’organisation. Présentation détaillée de la norme ISO22301 • Notions de Système de Management de la Continuité d’acti- vité (SMCA), vous allez apprendre • Modèle PDCA (Plan – Do – Check - Act) éf : 22301 L I éf • La mise en œuvre d’un SMCA conformément à la norme ISO 22301 • Les processus du SMCA R • Les concepts, approches, méthodes et techniques requises pour gérer - Direction un SMCA - Pilotage du SMCA • Acquérir les compétences nécessaires pour accompagner et conseiller - Gestion de la conformité une organisation dans l’implémentation et la gestion d’un SMCA - Gestion des impacts sur l'activité conformément à la norme ISO 22301 - Gestion des risques • Devenir un implémenteur certfifié ISO 22301 - Gestion des stratégies de continuité - Gestion des incidents perturbateurs public visé - Documentation et enregistrements - Ressources, compétences, sensibilisation et communica- • Stagiaires devant mettre en œuvre un SMCA tion • Managers - Supervision et revue • Responsables de direction opérationnelle - Gestion des actions correctives • Responsables chargés de la Continuité d’Activité (RPCA) • Gestionnaires de risque Panorama des normes ISO complémentaires : ISO 22313, ISO • Chefs de projets 27031, ISO 31000 • Consultants Présentation des processus de continuité d'activité Pré-requis • Analyse des impacts sur l'activité ou Business Impact Analysis • Formation initiale minimum du second cycle ou justifier d’une (BIA) sur la base de l'ISO 22317 expérience professionnelle d’au moins 5 ans • Appréciation du risque pour un SMCA sur la base de l’ISO • Connaître les principes fondamentaux de la Continuité d’Activité 27005 • Procédures de continuité d'activité Méthode pédagogique • Exercices et tests • Cours magistraux basés sur les normes ISO 22301, ISO 22313, ISO 27031, • Retours d'expérience sur l'implémentation de Plans de Conti- ISO 31000, ISO 22317, ISO 27005... nuité d'Activité (PCA) • Exercices pratiques, individuels et collectifs basés sur une étude de cas • Quizz préparatoire à l’examen Mener un projet d'implémentation d'un SMCA • Formation nécessitant 1 heure de travail à la maison et ce • Convaincre la Direction quotidiennement • Les étapes du projet • Les acteurs MATÉRIEL • Les facteurs clés de succès • Support de cours en français au format papier • Les risques et opportunités • Annexes associées en anglais et/ou français Intégration de l'ISO 27031 dans le SMCA

certification Processus de certification ISO 22301 Cette formation à l'examen de certification LSTI à la norme 22301(ISO Gestion des indicateurs 22301 Lead Implementer). Préparation de l’examen Examen conçu, surveillé et corrigé par LSTI Durée : 5 jours* / 40 heures

ÉLIGIBLE AU CPF

01 41 40 97 04 ISO 22301 lead implementer - formations [email protected] 14 au 18 mai 2018• Paris 22 au 26 octobre 2018 • Paris

* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi.. 49 50 Calendrier des formations premier semestre 2018 R Privacy Implementer DPO (Data Privacy Officer) Portection desdonnéesdesanté et vieprivée INTRU2 -Tests d'intrusion avancés et développement d'exploits SÉ GDPR / Droit delaSSI MODULE 6-Sécurité et juridique SÉCURITÉ JURIDIQUE INTRU1 -Test d'intrusion et sécurité offensive MODULE 5-Tests d'intrusion SECLIN -ExpertSécurité Linux(LPI303) SECWIN -Sécurisation desinfrastructures Windows SECWEB -Sécurité desserveurs et desapplications Web SECDRIS détection -Surveillance, et réponses auxincidents SSI MODULE 4-Sécurisation, défense et analyse INFO3 -Rétroingénierie delogicielsmalfaisants INFO 2-Inforensique avancée INFO1 -Inforensique :lesbasesd'uneanalyse post-mortem MODULE 3-Inforensique SECARC -Architectures réseaux sécurisées DNSSEC SECINDUS -Sécurité SCADA SECRF -Sécurité desréseaux sansfil MODULE 2- SECU1 -Fondamentaux et techniques delaSSI ESSI -Essentiels techniques delaSSI MODULE 1-Introduction àlaSécurité des Systèmes d'Information éaliser unPIA Pour plusd'informations, contacter le service formation par téléphoneau 01414097 04 oupar courrielà [email protected] CURITÉ TECHNIQUE Calendrier desformations GPD Sécurité desréseaux et desinfrastructures R etrouvez lesdates denossessionsformation en temps www.hsc-formation.frréel sur premier semestre 2018 Ce planningest susceptible d’être complété oumodifié. Janvier Janvier 29/01 au02/02 12 au13 Février Février 12 au16 19 au20 5 au6 Mars Mars

23 au24 16 au20 9 au13 9 au13 9 au11 4 au5 Avril Avril 14 au16 14 au18 23 au25 2 au4 Mai Mai 28/05 au01/06 21 au22 14 au15 18 au22 4 au8 Juin Juin 9 au13 Juillet 2 au6 Juillet Calendrier des formations premier semestre 2018 Ce planning est susceptible d’être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel sur www.hsc-formation.fr

SÉCURITÉ ORGANISATIONNELLE Janvier Février Mars Avril Mai Juin Juillet MODULE 7 - Management de la sécurité Formation CISSP 19 au 23 11 au 15 Formation CISA 4 au 8 Formation RSSI 26 au 30 25 au 29 PCI DSS : Comprendre, mettre en oeuvre et auditer Homologation SSI : RGS, IGI1300, LPM, PSSIE... 12 Principes et mise en œuvre des PKI 2 au 4 PKI Windows Sécurité du Cloud Computing 21 au 23 MODULE 8 - Management de la sécurité avec les normes ISO 2700X Fondamentaux ISO 27001 & ISO 27002 11 au 12 Indicateurs et tableaux de bord / ISO 270004 13 Gestion des incidents de sécurité / ISO 27035 14 Gestion de crise IT / SSI 15 ISO 27001 Lead Auditor 5 au 9 4 au 8 ISO 27001 Lead Implementer 22 au 26 5 au 9 28/05 au 01/06 ISO 27005 Risk Manager 16 au 18 4 au 6 18 au 20 EBIOS Risk Manager 12 au 14

SÉCURITÉ ORGANISATIONNELLE Janvier Février Mars Avril Mai Juin Juillet MODULE 9 - Management de la Continuité d'Activité avec les normes ISO 2230X Formation RPCA 12 au 16 ISO 22301 Lead Auditor 25 au 29 ISO 22301 Lead Implementer 14 au 18 Calendrier des formations premier semestre 2018 semestre premier formations des Calendrier

Lieux de la formation Paris Toulouse Luxembourg Rennes 51 52 Calendrier des formations second semestre 2018 Pour plusd'informations, contacter le service formation par téléphoneau 01414097 04 oupar courrielà [email protected] INTRU2 -Test d'intrusion avancés et développement d'exploits INTRU1 -Tests d'intrusion et sécurité offensive MODULE 5-Intrusion SECLIN -ExpertSécurité Linux(LPI303) SECWIN -Sécurisation desinfrastructures Windows SECWEB -Sécurité desserveurs et desapplications Web SECDRIS détection -Surveillance, et réponses auxincidents SSI MODULE 4-Sécurisation, défense et analyse INFO3 -Rétroingénierie delogicielsmalfaisants INFO 2-Inforensique avancée :Industrialisez lesenquêtes survos infrastructures INFO1 -Inforensique :lesbasesd'uneanalyse post-mortem MODULE 3-Inforensique SECARC -Architectures réseaux sécurisées DNSSEC SECINDUS -Sécurité SCADA SECRF -Sécurité desréseaux sansfil MODULE 2-Sécurité desréseaux et desinfrastructures SECU1 -Fondamentaux et techniques delaSSI ESSI -Essentiels techniques delaSSI MODULE 1-Introduction àlaSécurité des Systèmes d'Information SÉ Protection desdonnéesdesanté et vieprivée R Privacy Implementer DPO (Data Privacy Officer) GDPR / Droit delasécurité informatique MODULE 6-Sécurité et juridique SÉCURITÉ JURIDIQUE éaliser unPIA CURITÉ TECHNIQUE Calendrier desformations GPD R etrouvez lesdates denossessionsformation en temps www.hsc-formation.frréel sur second semestre 2018 Ce planningest susceptible d’être complété oumodifié. Septembre Septembre 17 au21 10 au14 13 au14 17 au21 26 au28 3 au7 15 au19 22 au24 Octobre 11 au12 Octobre 1 au5 4 au5 Novembre 12 au13 Novembre 12 au16 28 au30 22 au23 26 au30 8 au9 5 au9 Décembre Décembre 13 au14 17 au21 17 au21 10 au14 5 au7 3 au7 Calendrier des formations second semestre 2018 Ce planning est susceptible d’être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel sur www.hsc-formation.fr

SÉCURITÉ ORGANISATIONNELLE Septembre Octobre Novembre Décembre MODULE 7 - Management de la sécurité Formation CISSP 19 au 23 Formation CISA Formation RSSI 15 au 19 PCI DSS : Comprendre, mettre en oeuvre et auditer 8 Homologation de la SSI : RGS, IGI1300, LPM, PSSIE... 5 Principes et mise en œuvre des PKI PKI Windows 1 au 3 Sécurité du Cloud Computing 10 au 12 MODULE 8 - Management de la sécurité avec les normes ISO 2700X Fodamentaux ISO 27001 & ISO 27002 3 au 4 Indicateurs et tableaux de bord / ISO 270004 5 Gestion des incidents de sécurité / ISO 27035 6 Gestion de crise IT / SSI 7 ISO 27001 Lead Auditor 24 au 28 12 au 16 ISO 27001 Lead Implementer 17 au 21 26 au 30 17 au 21 ISO 27005 Risk Manager 3 au 5 8 au 10 5 au 7 10 au 12 EBIOS Risk Manager 19 au 21

SÉCURITÉ ORGANISATIONNELLE Septembre Octobre Novembre Décembre MODULE 9 - Management de la Continuité d'Activité avec les normes ISO 22301 Formation RPCA 8 au 12 ISO 22301 Lead Auditor ISO 22301 Lead Implementer 22 au 26 Calendrier des formations second semestre 2018 semestre second formations des Calendrier

Lieux de la formation Paris Toulouse Luxembourg Aix 53 Le Compte Personnel de Formation

Depuis le 1er janvier 2015 le Compte personnel de formation (CPF) remplace le Droit Individuel à la Formation (DIF).

Qu'est-ce que le CPF ? Tout comme le DIF, Le Compte Personnel de Formation vous permet de bénéficier d’actions de formation professionnelles, rémunérées ou indemnisées, réalisées dans ou en dehors de votre temps de travail.

QuI PEUT BÉNÉFICIER DU CPF ? Tous les salariés et demandeurs d’emploi disposent d’un CPF à partir de 16 ans dès l’entrée dans la vie professionnelle. Il est attaché à la personne et non plus au contrat de travail. Il suit donc l’individu tout au long de sa vie professionnelle en lui permettant d’acquérir des heures de formation financées, quels que soient les changements de statut professionnel. Le compte est fermé lorsque son titulaire est admis à faire valoir l’ensemble de ses droits à la retraite.

Que vous apporte le CPF ? Les nouveautés du CPF par rapport au DIF vous permettent d’accumuler 150 heures de formation contre 120 heures pour le DIF. Pour autant, le CPF peut faire l’objet d’abondements en heures complémentaires financés par l’employeur, un OPCA, etc. Ces 150 heures représentent donc maintenant un socle et non plus un plafond. En principe, un salarié en CDI à temps plein cumul 24 heures par an jusqu’à 120 heures puis 12 heures par an. Le CPF est conçu pour pouvoir s’adosser aux autres dispositifs de formations existants et donc d’augmenter et faciliter Le Compte Personnel de Formation de Personnel Compte Le le nombre de formations suivies. Le CPF vous permet donc d’acquérir des compétences attestées : qualification, certification, diplôme.

Comment faire valoir vos droits au CPF ? Avec le CPF, le salarié ou le demandeur d’emploi disposent d’une plus grande autonomie, ils deviennent leur propre acteur dans leur choix de formations afin de construire au mieux leur carrière. La mise en œuvre du CPF revient donc à votre initiative la plus totale. Si la formation se déroule hors de votre temps de travail, ou si elle vise l’acquisition du socle de connaissances et de compétences alors, vous n’avez pas besoin de l’autorisation de votre employeur. Si la formation est suivie en tout ou partie sur votre temps de travail alors vous devez obtenir l’accord préalable de votre employeur. Le CPF donne une marge de négociation avec son employeur ; vous pouvez apporter quelques heures de votre compte pour compléter avec votre entreprise (ou le Pôle Emploi ou un OPCA) votre formation.

qui finance votre formation ? Le montant de l’allocation formation ainsi que les frais de formation sont à la charge de votre employeur mais aussi, sous condition de négociation, à la charge de votre Compte personnel de formation. Si votre crédit d’heures est insuffisant pour réaliser votre projet de formation, votre CPF peut faire l’objet d’abondements en heures complémentaires qui peuvent notamment être financées par votre employeur, un OPCA ou vous-mêmes.

Où vous renseigner ? - Service Ressources Humaines : tous les deux ans vous aurez droit à des entretiens professionnels pour envisager vos perspectives de carrières. - Service formation de l’entreprise - Institutions représentatives du personnel : CE ou délégués du personnel - Pôle Emploi - HSC by Deloitte : pour connaître les codes CPF de nos formations éligibles en fonction de votre secteur d'activité

Pour plus d'informations, contactez le service formation par téléphone au 01 41 40 97 04 ou par courriel à [email protected] 54 Modalités d’inscription

Pour toute inscription aux formations HSC, vous devez nous transmettre par courriel à [email protected] ou par téléphone au 01 41 40 97 04 : les noms et prénoms du ou des participants, la ou les sessions de formation choisies, l'adresse postale de votre société et votre numéro de TVA intracommunautaire. Ces renseignements nous permettront d’établir une convention de formation.

Cette convention de formation devra nous être retournée tamponnée, signée et accompagnée d’un bonde commande de votre organisme. Le bon de commande devra indiquer votre adresse de facturation et le respect de nos conditions de règlement : il devra également être tamponné et signé par l’autorité compétente. La facture sera établie à la fin de la formation. L’inscription sera confirmée dès réception de ces documents. Une convocation sera envoyée par mail deux semaines avant le début de la formation accompagnée de notre règlement intérieur.

HSC, SAS au capital de 300 000 € avec Commissaire aux comptes, est enregistré comme centre de formation sous le n°11921448592 auprès du préfet de la région Île-de-France.

Si le client souhaite effectuer une demande de prise en charge par l'OPCA dont il dépend, il lui appartient : - de faire une demande de prise en charge dans les délais requis et de s’assurer de la bonne fin de cette d’inscription Modalités demande ; - de l’indiquer explicitement au moment de l’inscription.

Si l’acceptation de la prise en charge OPCA n’est pas arrivée chez HSC au plus tard une semaine avant le début de la formation, la demande de subrogation ne pourra être prise en compte par HSC. Le client aura alors la possibilité : - soit d’annuler ou reporter l’inscription ; - soit de produire, avant la formation, un bon de commande en bonne et due forme par lequel il s’engage à régler le coût de la formation à HSC.

Formations dispensées : - à Paris : dans nos locaux à Neuilly-Sur-Seine ou à La Défense (92) ; - en province ou à l’étranger dans un hôtel généralement situé en centre ville.

Accueil café - viennoiseries tous les jours - Déjeuners pris en commun offerts. Certaines de nos formations peuvent être dispensées en intra entreprise sous conditions (nous consulter).

55 Bulletin de pré-inscription

Merci de retourner ce bulletin à : HSC Formations - 185, avenue Charles de Gaulle – 92200 Neuilly-sur-Seine Par télécopie au 01 41 40 97 09 - Par courriel à [email protected]

RESPONSABLE FORMATION

Nom et prénom : ......

Fonction :...... Société :......

Adresse : ......

......

Code postal : ...... Ville :......

Tél. : ...... Fax :......

E-mail : ......

Souhaite inscrire la ou les personne(s) suivante(s) au(x) stage(s) mentionné(s) :

Nom et prénom : ......

Fonction :......

Bulletin de pré-inscription Bulletin Tél. : ...... Fax :...... E-mail : ......

Intitulé de la formation choisie : ......

Date de session : ...... Pour les formations certifiantes, présentation à l'examen : oui  non 

Nom et prénom : ......

Fonction :......

Tél. : ...... Fax :...... E-mail : ......

Intitulé de la formation choisie : ......

Date de session : ...... Pour les formations certifiantes, présentation à l'examen : oui  non 

Nom et prénom : ......

Fonction :......

Tél. : ...... Fax :...... E-mail : ......

Intitulé de la formation choisie : ......

Date de session : ......

ADRESSE DE FACTURATION (si différente)

Société : ......

Adresse : ......

......

Code postal : ...... Ville :......

Nom du correspondant : ...... Tél. :......

E-mail : ......

Date : Cachet et signature de l’employeur :

Convention de formation : pour chacune des sessions proposées, une convention de formation est disponible sur simple demande. Numéro de déclaration d’activité en tant qu’organisme de formation : 11921448592 Modalités pratiques d’organisation : • Formations dispensées : - dans nos locaux à Neuilly-Sur-Seine (92) au 185 avenue Charles de Gaulle. Plan d’accès et liste d’hôtels disponibles sur : http://www.hsc.fr/contacts/aces.html.fr et http://www.hsc.fr/contacts /hotels.html.fr - en province (Toulouse, Marseille, Lyon…) et au Luxembourg dans des salles de formation louées dans un hôtel pour l’occasion • Accueil café – viennoiseries tous les jours. Déjeuners pris en commun offerts Pour plus d’information, contactez le service formation par téléphone au 01 41 40 97 04 ou par courriel à [email protected] 56 Bulletin de pré-inscription Merci de retourner ce bulletin à : HSC Formations - 185, avenue Charles de Gaulle – 92200 Neuilly-sur-Seine Par télécopie au 01 41 40 97 09 - Par courriel à [email protected]

RESPONSABLE FORMATION

Nom et prénom : ......

Fonction :...... Société :......

Adresse : ......

......

Code postal : ...... Ville :......

Tél. : ...... Fax :......

E-mail : ......

Souhaite inscrire la ou les personne(s) suivante(s) au(x) stage(s) mentionné(s) :

Nom et prénom : ......

Fonction :......

Tél. : ...... Fax :...... E-mail : ......

Intitulé de la formation choisie : ...... de pré-inscription Bulletin

Date de session : ...... Pour les formations certifiantes, présentation à l'examen : oui  non 

Nom et prénom : ......

Fonction :......

Tél. : ...... Fax :...... E-mail : ......

Intitulé de la formation choisie : ......

Date de session : ...... Pour les formations certifiantes, présentation à l'examen : oui  non 

Nom et prénom : ......

Fonction :......

Tél. : ...... Fax :...... E-mail : ......

Intitulé de la formation choisie : ......

Date de session : ......

ADRESSE DE FACTURATION (si différente)

Société : ......

Adresse : ......

......

Code postal : ...... Ville :......

Nom du correspondant : ...... Tél. :......

E-mail : ......

Date : Cachet et signature de l’employeur :

Convention de formation : pour chacune des sessions proposées, une convention de formation est disponible sur simple demande. Numéro de déclaration d’activité en tant qu’organisme de formation : 11921448592 Modalités pratiques d’organisation : • Formations dispensées : - dans nos locaux à Neuilly-Sur-Seine (92) au 185 avenue Charles de Gaulle. Plan d’accès et liste d’hôtels disponibles sur : http://www.hsc.fr/contacts/aces.html.fr et http://www.hsc.fr/contacts /hotels.html.fr - en province (Toulouse, Marseille, Lyon…) et au Luxembourg dans des salles de formation louées dans un hôtel pour l’occasion • Accueil café – viennoiseries tous les jours. Déjeuners pris en commun offerts Pour plus d’information, contactez le service formation par téléphone au 01 41 40 97 04 ou par courriel à [email protected]

57 Conditions Générales de Ventes

1 - Objet et Dispositions générales Les présentes conditions générales de vente s’appliquent aux com- HSC ne pourra être tenue responsable des frais ou dommages mandes de formation inter entreprise passées auprès de la société consécutifs à l'annulation d'un stage ou à un report à une date Hervé Schauer Consultants (HSC). Cela implique l’acceptation sans ultérieure. réserve par l’acheteur et son adhésion pleine et entière aux pré- 4 - Tarifs – Facturation sentes conditions générales de ­ventes et prévalent sur toutes conditions générales d’achat. Les frais de participation comprennent : la participation à la forma- tion, les supports de cours et les pauses café. Les déjeuners sont HSC informe du niveau requis pour suivre les stages qu'elle pro- offerts par HSC. Toute formation commencée est due en totalité. pose. Il appartient au client d’évaluer ses besoins et de vérifier si La facture est établie à l’issue de la formation. ses collaborateurs ont le niveau de pré-requis attendu pour suivre les formations HSC. L’échéance est mentionnée en clair sur la facture. Tout défaut de paiement (en tout ou en partie) par le client à l’échéance et ce, 2 – Inscription sauf report sollicité par le client et accordé par HSC de manière L'inscription à un stage ne devient effective qu'après réception formelle, entraînera automatiquement, sans qu'aucun rappel ne par nos services d'un bon de commande et de la convention de soit nécessaire et dès le jour suivant la date de règlement figurant formation ou du devis, dûment renseigné et portant le cachet du sur la facture, l'application de pénalités de retard fixées à trois fois Client. Pour les formations en province et à l'étranger et pour les le taux d'intérêt légal. HSC pourra également exiger le paiement formations SANS, les documents devront parvenir à HSC 15 jours de l'indemnité forfaitaire pour frais de recouvrement, d’un mon- avant le début de la formation. tant de quarante (40) euros, ainsi que, le cas échéant, le paiement d’une indemnisation complémentaire, sur justification. HSC adressera par courriel, deux semaines avant le début de la for- mation, une convocation récapitulant les détails pratiques : date, Prise en charge par un OPCA : Conditions Générales de Ventes de Conditions Générales lieu, horaires et accès, aux contacts indiqués dans les documents Si le client souhaite effectuer une demande de prise en charge par d’inscription. HSC ne peut être tenu ­responsable de la non récep- l’OPCA dont il dépend, il lui appartient : tion de la convocation quels qu’en soient le ou les destinataire(s) - de faire une demande de prise en charge dans les délais requis et chez le client, notamment en cas d’absence du ou des stagiaires à de s’assurer de la bonne fin de cette demande ; la formation. A l’issue de la formation, une attestation individuelle - de l’indiquer explicitement au moment de l’inscription. de stage sera adressée par courrier, accompagné de la facture ­correspondante. Si l’acceptation de la prise en charge OPCA n’est pas arrivée chez HSC au plus tard une semaine avant le début de la formation, la Une commande n'est valable qu'après acceptation par HSC demande de subrogation ne pourra être prise en compte par HSC. sous huitaine. Toute modification ultérieure apportée par le Le client aura alors la possibilité : client devra faire l’objet d’un accord écrit de la part d'HSC. - soit d’annuler ou reporter l’inscription, - soit de produire, avant la formation, un bon de commande en 3 - Modification, annulation et report bonne et due forme par lequel il s’engage à régler le coût de la Toute annulation ou report d’inscription doit être signalé par télé- formation à HSC. phone et confirmé par écrit à HSC. 5 - Propriété intellectuelle Pour les formations proposées en Province, à l'étranger ou hors de Chaque formation comprend la fourniture de documentation des- nos locaux (à Paris ou en Région Parisienne), si l'annulation ou le tinée à l'usage interne du client. Toute reproduction, modification report intervient dans les trente jours ouvrés précédant le début ou divulgation à des tiers de tout ou partie des supports de forma- de la formation, HSC facturera la totalité de la formation. tion ou documents, sous quelque forme que ce soit, est interdite sans l'accord préalable écrit de HSC. Pour les formations proposées dans nos locaux de Neuilly ou de La 6 - Arbitrage en cas de litige Défense (92), si le report ou l’annulation intervient : • dans les 30 jours ouvrés précédant le début de la formation, Les présentes conditions générales de ventes sont régies HSC facturera à hauteur de 50% du coût total de la formation par les lois françaises. Tout litige découlant de leur -inter • dans les 15 jours ouvrés précédant le début de la formation, HSC prétation ou de leur application ressort de la compé- facturera la formation en totalité. tence exclusive des tribunaux des Hauts-de-Seine (92).

Toutefois, lorsqu'un participant ne peut pas assister à une forma- tion à laquelle il est inscrit, il peut être remplacé par un collabora- Applicables au 1er octobre 2017 et modifiables sans préavis. teur de la même entreprise. Version 8 du 01/10/2017 Le nom et les coordonnées de ce nouveau participant doivent être confirmés par écrit à HSC.

En cas d'absence du stagiaire pour un cas de force majeure com- munément admis par les tribunaux, à titre exceptionnel et après validation de caractère de force majeure de la situation, HSC acceptera que le client puisse dans les 12 mois maximum suivant son absence, choisir une date future pour la même formation. HSC se réserve le droit d'annuler ou de reporter sans indemnités une formation si le nombre de participants n'est pas suffisant, ou en cas de force majeure. Le client peut alors choisir une autre date dans le calendrier des formations.

58

Hervé Schauer Consultants 185 Avenue Charles de Gaulle - F - 92200 Neuilly-sur-Seine Tél. : +33 (0)141 409 704 Fax : +33 (0) 141 409 709 Réalisation : VBC Concept • © Masterfile