contact@ascent-formation.fr +33 9 75 75 37 81 LinkedIn
Visitez notre site web
Logo de l'organisme de formation

La formation au coeur de l'avenir technologique

Représentation de la formation : Audit, audit de code, pentest - Niveau Expert

Audit, audit de code, pentest - Niveau Expert

Formation présentielle
Accessible
Durée : 21 heures (3 jours)
0/10
(0 avis)
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire

Besoin d’adapter cette formation à vos besoins ?

N’hésitez pas à nous contacter afin d’obtenir un devis sur mesure !

Formation créée le 02/06/2025. Dernière mise à jour le 05/06/2025.

Version du programme : 1

Programme de la formation

Objectif de la formation : Permettre aux professionnels de la cybersécurité de mener des audits techniques (systèmes, applicatifs, infrastructures), des audits de code source, ainsi que des tests d’intrusion dans un cadre maîtrisé, en mobilisant les outils et méthodes reconnus du secteur, tout en garantissant traçabilité, efficacité et conformité des pratiques.

Objectifs de la formation

  • Distinguer les objectifs, périmètres et méthodes de l’audit de sécurité, de l’audit de code et du pentest.
  • Préparer et structurer une mission d’audit technique ou d’intrusion dans un cadre contractuel défini.
  • Utiliser les outils adaptés à chaque type d’audit (analyse statique, SAST, DAST, fuzzing, outils réseau).
  • Identifier et exploiter les failles de sécurité dans une application ou une infrastructure.
  • Formuler un rapport d’audit clair, priorisé et exploitable par les parties prenantes.
  • Intégrer les exigences de confidentialité, d’éthique et de non-répudiation dans les activités offensives.

Profil des bénéficiaires

Pour qui
  • Analystes sécurité techniques (SOC, CERT)
  • Pentesters internes ou externes
  • Consultants cybersécurité technique
  • Développeurs sécurité (DevSecOps)
  • Administrateurs sécurité en montée en compétence offensive
Prérequis
  • Maîtrise des fondamentaux en cybersécurité (vulnérabilités, protocoles réseau, système Linux/Windows).
  • Bonne connaissance des architectures applicatives et des bases de développement (HTML, JS, SQL, code backend).
  • Expérience préalable dans l’analyse de logs, l’investigation ou l’audit technique appréciée.

Contenu de la formation

  • Types d’audit et positionnement métier (1h30)
    • Distinction audit de conformité, audit technique, audit de code, pentest.
    • Règles d'engagement : périmètre, objectifs, attentes, types de livrables.
    • Travaux pratiques : Étude d’un cahier des charges client et élaboration d’un plan de mission.
  • Audit d’infrastructure et d’architecture (2h)
    • Points de contrôle essentiels : segmentation réseau, flux, bastion, patching, MFA, durcissement.
    • Cadres de référence (CIS Benchmark, ISO 27002, ANSSI).
    • Travaux pratiques : Exercice : Analyse de configuration et cartographie critique d’un système Linux/Windows virtualisé.
  • Introduction aux tests d’intrusion (3h30)
    • Phases classiques d’un pentest : reconnaissance, exploitation, post-exploitation, reporting.
    • Outils essentiels : Nmap, Burp Suite, Nikto, Metasploit, SQLmap, etc.
    • Travaux pratiques : Mise en œuvre d’un test d’intrusion externe basique sur un environnement de test (virtualisé).
  • Audit de code source : principes et outils (2h)
    • SAST vs DAST, revue manuelle vs automatique, failles classiques (OWASP Top 10).
    • Outils open-source et commerciaux : SonarQube, Semgrep, Bandit, CodeQL.
    • Travaux pratiques : Atelier d’audit de code PHP ou Python avec détection manuelle et automatique des vulnérabilités.
  • Pentest applicatif – Injection, authentification, session (2h30)
    • Vulnérabilités fréquentes : injection SQL, XSS, CSRF, IDOR, faille d’authentification.
    • Techniques d’exploitation : fuzzing, brute force, cookies/session hijacking.
    • Travaux pratiques : Tests sur une application web vulnérable (DVWA, OWASP Juice Shop) avec Burp Suite et exploitations ciblées.
  • Exfiltration et élévation de privilèges (2h30)
    • Post-exploitation dans un environnement capturé : pivoting, escalation, persistance.
    • Notions de living off the land et contournement de sécurité.
    • Travaux pratiques : Exploitation dans un environnement simulé jusqu’à l’élévation de privilège d’un compte local à admin.
  • Analyse des vulnérabilités et priorisation (2h)
    • Exploitabilité, impact, facilité de détection : priorisation selon le contexte.
    • Intégration aux processus DevSecOps / CI-CD / patch management.
    • Travaux pratiques : Évaluation et scoring CVSS sur des failles identifiées durant les exercices précédents.
  • Structuration du rapport d’audit/pentest (2h30)
    • Forme, ton, lisibilité, orientation métier : comment faire un rapport utile et actionnable.
    • Annexes techniques, plan de remédiation, fiches vulnérabilités.
    • Travaux pratiques : Rédaction collective d’un extrait de rapport d’audit à partir d’un scénario d’intrusion.
  • Éthique, responsabilité, limites juridiques (2h30)
    • Encadrement légal : loi Godfrain, article 323-1, RGPD, devoir d’information.
    • Limites éthiques : tests sans autorisation, divulgation responsable, faille critique.
    • Travaux pratiques : Débat argumenté : pentest agressif ou test non consenti – où fixer les limites ?
Équipe pédagogique

Professionnel expert technique et pédagogique.

Accessibilité

Du 26/01 au 28/01/2026