Retour aux formations
Autre
Gestion des vulnérabilités : méthodes, outils et intégration dans la stratégie SSI
3 jour(s) • 21h
Description
Objectif de la formation : Maîtriser l’ensemble du cycle de gestion des vulnérabilités : détection, analyse, priorisation, traitement et suivi, dans une approche alignée avec les enjeux métiers, la gouvernance SSI, et les bonnes pratiques techniques.
Objectifs pédagogiques
- Comprendre les concepts clés de la gestion des vulnérabilités dans un système d’information
- Identifier et analyser les vulnérabilités avec des outils professionnels
- Prioriser les actions de traitement selon les risques et les contextes
- Intégrer la gestion des vulnérabilités dans une démarche de gouvernance SSI
Public concerné
Analystes sécurité, administrateurs réseaux / systèmes
Responsables SSI ou infrastructure
Auditeurs techniques, consultants cybersécurité
Chefs de projet IT sécurité
Prérequis
Connaissances de base en systèmes d’information et réseaux
Sensibilisation aux concepts de la cybersécurité (ISO 27001 ou EBIOS souhaité)
Déroulé du programme
1
Introduction et enjeux (1h30)
1h
- Définitions : vulnérabilité, menace, risque
- Exemples concrets d’incidents dus à des vulnérabilités non corrigées
- Typologie : logicielle, matérielle, humaine, organisationnelle
2
Processus global de gestion des vulnérabilités (2h30)
2h
- Modèle ISO 27002 et intégration au SMSI
- Cycle : détection, analyse, priorité, remédiation, validation, reporting
- Rôles et responsabilités (DSI, RSSI, IT, métiers)
- Activité : cartographie d’un processus complet à partir d’un cas réel
3
Sources d’information et veille (3h)
3h
- CVE, CVSS, EPSS, NVD, exploit-db, bulletins CERT
- Outils de veille : Nist NVD, Vulners, Threat Intel feeds
- Activité : analyse d’un bulletin de vulnérabilité (CVSS vector, gravite EPSS, mapping MITRE)
4
Outils de scan de vulnérabilités (2h30)
2h
- Nessus, OpenVAS, Qualys, Nexpose : principe, mise en œuvre, limites
- Analyse des résultats : faux positifs / négatifs, criticité, écarts
- Activité : scan d’une cible en environnement test avec interprétation
5
Analyse de vulnérabilités applicatives et infrastructure (2h)
2h
- Vulnérabilités OWASP (XSS, SQLi, CSRF...) et système (SMBv1, RDP...)
- Liens avec le pentest et les audits de conformité
- Activité : analyse de vulnérabilités d’une application web démo
6
Automatisation et intégration continue (2h30)
2h
- CI/CD : scan dans GitLab, Jenkins, SonarQube, Trivy
- Reporting vers ITSM, SIEM, tableaux de bord
- Atelier : déploiement d’un pipeline de détection automatique
7
Priorisation et traitement (2h)
2h
- Notions de criticité, impact, exploitabilité, contexte
- Plans de traitement : correctif, mitigation, acceptation du risque
- Activité : triage de vulnérabilités selon score et contexte organisationnel
8
Suivi, pilotage et indicateurs (2h30)
2h
- KPI, KRI, SLA de correction, backlog, debt technique
- Gouvernance de la remédiation : comités, arbitrage, réévaluation
- Activité : construction d’un tableau de bord de pilotage pour RSSI
9
Conformité et communication (2h30)
2h
- Conformité aux référentiels : ISO 27001, NIS2, PCI-DSS
- Rapports aux directions, audits internes, métiers
- Activité : simulation d’une restitution SSI vers un comité de direction
Informations
Durée
3 jour(s)
21h
Tarif
2200 € HT
HT
