Aucune expérience en sécurité industrielle nécessaire. Néanmoins des connaissances en systèmes industriels ainsi quelques notions en informatique, électronique, logiciel embarqué sont souhaitables.
• Un PC / MAC avec l’outil Teams d’installé ainsi qu’un accès non restreint à internet

Si en distanciel :
• Un accès internet stable via Ethernet ou Wi-Fi avec un débit correct (1.2 Mb/s en débit descendant minimum est recommandé)

Cette formation cible les personnes intéressées par les aspects par les aspects de design d’architecture dans le milieu industriel. Les amateurs ou professionnels en électronique ainsi que les professionnels de la sécurité IT (développeur, architecte, intégrateur, concepteur hardware, chef de projet).

Cette formation vise à sensibiliser les architectes de systèmes et de produits aux préoccupations, problèmes, contraintes et défis en matière de cybersécurité qui peuvent avoir un impact sur leurs responsabilités actuelles, leurs livrables et leur travail quotidien.

Expert en cybersécurité industrielle.

• Présentation PowerPoint projetée (support en anglais)
• Plateforme web interactive (Klaxoon)
• Scénario pratique d’attaque / défense sur une mini usine connectée

Evaluation en début et fin de formation, quizz…

5 jours ouvrés avant le début de la formation (si financement OPCO).

INTRODUCTION ET NORMES DE SÉCURITÉ

• Introduction avec des concepts clés et des différences entre les environnements IT et OT
• Panorama des menaces et analyse des risques liés à la cybersécurité industrielle
• Introduction à la norme Norme IEC 62443 méthodologie et évaluation des risques
• Ateliers pratiques sur la définition d’un SuC (Système under consideration) et l’évaluation de risque selon la norme IEC 62443
• Concepts clés de la norme IEC 62443 (zones, conduits et méthodologies d’analyse de risque)
• Défense en profondeur et les différentes couches de sécurité (organisationnelle, physique, périmétrique)
• Démonstration : sécurité des systèmes d’accès, exemple avec la technologie Mifare

SÉCURITÉ RÉSEAU ET CRYPTOLOGIE

• Sécurité des systèmes et les principes de base de sécurité réseau
• Démonstration d’une attaque par force brute sur un réseau WPA2
• Introduction à la cryptologie : présentation des concepts clés (chiffrement symétrique et asymétrique, hash, sel et poivre)
• Démonstration exploitation d’une faille sur des fichiers Python précompilés contenant des secrets

SÉCURITÉ DES PRODUITS ET ARCHITECTURE SÉCURISÉE

• Cycle de vie sécurisé des logiciels (SDLC) et les bonnes pratiques pour le développement de logiciels sécurisés
• Sécurité des hôtes et des applications
• Démonstration des vulnérabilités affectant des ports USB mal protégés avec personnel non sensibilisé aux attaques provenant des dispositifs apparemment inoffensifs
• Démonstration d’une attaque par rejeu mettant en œuvre des exploits sur un tableau d’affichage
• Sécurité des données
• Ateliers pratiques sur l’évaluation détaillée des risques, estimation des risques et définition des niveaux de sécurité selon la norme IEC 62443
• Méthodes pour identifier et traiter les vulnérabilités
• Présentation des bonnes pratiques pour concevoir une architecture robuste et sécurisée

PROGRAMME DÉTAILLÉ

Jour 1

INTRODUCTION

• Présentation de SERMA

CYBERSÉCURITÉ DANS LE MONDE INDUSTRIEL

• Comprendre la cybersécurité dans le contexte industriel
• Menaces et méthodologies d’attaques
• Divergence et convergence IT / OT

NORME ISA/IEC 62443

• Comprendre les concepts de la norme
• Processus d’évaluation des risques
• Évaluation initiale des risques détaillés
• Acceptation et comparaison des risques

ATELIERS

• WS1 – Définir le système considéré
• WS2 – Effectuer l’évaluation initiale des risques
• WS3 – Partitionnement des Zones et conduits

Jour 2

NORME ISA/IEC 62443

• Processus d’évaluation détaillée des risques

DÉFENSE EN PROFONDEUR

• Systèmes – Sécurité physique
• Systèmes – Sécurité périmétrique
• Systèmes – Sécurité interne des réseaux

DÉMONSTRATION

• Cas classique de Mifare
• Attaque par Brute force WPA2 et usurpation ARP
• Crypto : Mauvaise implémentation du chiffrement

CRYPTOGRAPHIE

• Symétrique et asymétrique
• Certificat et PKI (Infrastructure à clés publiques)
• Fonction de hachage avec “sel” et “poivre”

ATELIERS

• WS4 – Évaluation des risques détaillée (1/2) – Scénarios de menaces

Jour 3

NORME ISA/IEC 62443

• Cycle de vie du développement d’un produit sécurisé
• Exigences fondamentales

DÉFENSE EN PROFONDEUR

• Produit – Sécurité de l’hôte
• Produit – Sécurité des applications
• Produit – Sécurité des données

DÉMONSTRATION

• Rubber Ducky – Attaque USB
• Radiofréquence – Attaque par rejeu

ATELIERS

• WS5 – Évaluation des risques détaillée (2/2) – Estimation des risques
• WS6 – Définition des niveaux de sécurité
• WS7 – Spécification des exigences de cybersécurité

DÉTAILS SUR LES VULNÉRABILITÉS

• MCS, CVE & CVSS

• Du 28/05/2024 au 30/05/2024 (Paris)
• Du 05/11/2024 au 07/11/2024 (Toulouse)
• Du 28/05/2024 au 30/05/2024 (Nancy)
• Du 25/06/2024 au 27/06/2024 (Lyon)
• Du 17/09/2024 au 19/09/2024 (Courbevoie)
• Du 22/10/2024 au 24/10/2024 (Lyon)
• Du 10/12/2024 au 12/12/2024 (Nancy)