Formation en cybersécurité

Bonsoir Leos,

Peut-être le MOOC de l'ANSSI pour vous initier sur la cybersécurité :
https://secnumacademie.gouv.fr/
Je ne l'ai pas encore fait (c'est au programme), je ne sais pas ce que ça vaut. Mis ça me semble être une base solide pour démarrer.

Peut être si quelqu'un a des retours ?

Droopyann a écrit : Bonsoir Leos,

Peut-être le MOOC de l'ANSSI pour vous initier sur la cybersécurité :
https://secnumacademie.gouv.fr/
Je ne l'ai pas encore fait (c'est au programme), je ne sais pas ce que ça vaut. Mis ça me semble être une base solide pour démarrer.

Peut être si quelqu'un a des retours ?

Bonjour
Je me suis justement incrit à ce MOOC avant de poster le message. Pour l'instant je n'ai vu que le sommaire mais ça avait l'air relativement orienté grand public sur les règles basiques de cybersécurité lors de l'usage des applications et équipements. Je vais quand même le suivre par curisoité et j'en ferai un retour plus complet

Bonjour "Leos" (et les autres par la même occasion),

Vaste sujet que de s'intéresser à la "cyber"sécurité en tant que développeur : le domaine est infini et les périmètres s'étendent devant vous comme l'horizon sur la brousse, la savane, le désert dans certains cas. C'est un bel et excellent défi que de vouloir mettre à profit de nouvelles connaissances (qui se transformeront en compétences) et je vous en félicite d'avance.

Une petite synthèse, issue de mes expériences, de mes pérégrinations et de mes tribulations dans ce monde merveilleux.

Il est vrai :
- que les offres de formation (certifiantes ou non) sont parfois un peu alléchantes (attention tout-de-même aux contenus parfois "creux" : à force de décortiquer, on arrive à y voir plus clair que dans "le trou de balle d'un opossum ! ".
- qu'il y a légion de formations sur la "cyber"sécurité orientée "systèmes, infrastructures et réseaux".
- que trouver des formations sur le développement sécurisé des applications (et pas seulement Web : systèmes, réseaux, applications métiers, applications "Cloud", embarquées, règlementaires, juridiques ...) relèvent encore et toujours du "parcours du combattant".
- que d'avoir à choisir des ressources est aussi hardu que de tenter une petite grimpette de la face nord de l'Everest.

A minima, en tant que développeur (ou issu des mondes du Code), le premier point de départ est de lire très finement, même si cela peut vous paraître rébarbatif au début, les normes ISO/IEC suivantes :

- La 27001 : Introduction et vue globale de la famille des normes relatives au Système de Management de la Sécurité de l'Information (SMSI) => (en FR ou US : à privilégier car native en anglais US)
- La 27034 : Sécurité des applications => (uniquement en US)

Pour bien appréhender ce genre de lecture, je vous conseille d'être au calme, avec de quoi noter et éviter les dérangements car cela peut parfois vous faire perdre le fil de l'article.

Ces normes sont les fruits d'un travail gigantesque : je les ai achetées (et quand des mises à jour paraîssent, je les ai gratuitement et automatiquement) : très faibles investissement que l'on passe allègrement en frais professionnels.

Si vous pratiquez déjà le "Code" (valable pour n'importe quel type de langage), je vous suggère d'aller rechercher les ressources concrètes suivantes sur ces sujets :
- Décomposition d'une application
- Complexité cyclomatique
- Sérialisation des objets
- La Programmation Orientée Objet (POO) et le principe "SOLID" (en Java par exemple)

• Single Responsability Principle - responsabilité unique
• Open/Close Principle - ouverture aux extensions et fermeture aux modifications
• Liskov Substitution Principle - substitution de Liskov
• Interface Segregation Principle - ségrégation des interface
• Dependency Inversion Principle - inversion des dépendances

- Quelques règles de base (https://www.jimmyklein.fr/les-objets-calisthenics/)

- Ecrasement des adresses de retour
- Exploitation des exceptions Windows de type Win32/Win64
- Famille "Stack & Buffer" (Heap, Overflow, Overrun) avec saturation et broyage des chaines d'exception en Win64
- Obsfucation
- Chiffrement, certificats, Cryptographie Service Providers (CSP)
- Système, sécurité, cryptographie, choix des algorithmes de chiffrement, chiffrement symétrique : algorithmes (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
- Algorithmes asymétriques, algorithmes : RSA, DSA, GPG, algorithmes de hachage : MD5, SHA1 / SHA2 / SH3

Ces quelques "notions" (vos moteurs de recheche vont vous rendre de grands et merveilleux services) sont parmi les premières bases (comme au Base-Ball) à comprendre/acquérir. Vous y verrez (peut-être plus clair) !!

Pour les "Web Codeurs", un petit tour sur les lignes directrices de l'OWASP (Open Web Application Security Project) : https://owasp.org/ ne sera pas du luxe (on se demande souvent si l'expression "coder avec les pieds" n'est pas loin d'être une vérité).

Si l'on veut éviter de courroucer les régulateurs et les législateurs règlementaires (ou tout autre organismes de contrôle qui viendra renifler votre code comme clea se fait pour un "rail"), vous pouvez aller ici (c'est gratuit, à l'inverse du "rail", et si vous êtes okj, vous pourrez toujours chanter l'histoire du "Rai" : https://www.cnil.fr/fr/la-cnil-publie-une-nouvelle-version-de-son-guide-rgpd-pour-les-developpeurs

Bien sûr, chèr(e) ami(e)s, ce ne sont là que quelques pistes ou suggestions de départ dans une longue et lente traversée du désert, mais Ô combien bénéfique.

Les récentes actualités nous démontrent tous les jours que la sécurité de nos systèmes d'informations sont loin d'être "inviolables". D'ailleurs le vieil adage disant "Tout ce qu'un homme peut faire, un autre peut le défaire" est parfaitement dans la lignée de ce qui arrive. Les entreprises se focalisent sur le "Cyber" (plus de détail ici : https://fr.wikipedia.org/wiki/Cyber), puisque l'on envoie les systèmes d'information (IT et parfois OT) en orbite vers le Web ou le Cloud .... mais l'on oublie un peu facilement les fondamentaux de base : la sécurité. La "cyber" n'est qu'une "couche" supplémentaire.

Si l'on veut être juste, il faudrait (non : il FAUT !!!) prendre en compte que la sécurité au sens large du terme pour les puristes (comme vous et moi) : elle débute en HAUT de l'organisation pour ne jamais finir en BAS) et c'est. pour cela que les cultures/concepts/démarches/stratégies de type "DevSecOps" sont nées (il y a, pour les jusqu'au boutistes comme "bibi", la branche "SecDevSecOpsSec" = sécurité de bout-en-bout => de lidée conception (strates Entreprise/Organisation/Métiers/Processus => Pentesting post-production inattentendus, comme un "BugBounty"), en prenant en compte les fameux concepts CI/CD, Security "By Design", Privacy "By Design", etc.

Au jour d'aujourd'hui, et ce sera encore le cas demain et après-demain, les déveloopeurs ne sont plus formés aux fondamentaux de la sécurité ou de moins en moins. Les outils sont tellement "puissants" et faciles : on coche trois paramètres dans l'interface des IDE de développement ou l'on positionne 5 arguments en ligne "CLI" dans un fenêtre qui ne voit jamais le jour et "vogue le drakkar". On ne se demande plus comment cela fonctionne : on fait une confiance aveuble aux outils de tous types (notamment ceux qui, soi-disant, contrôle la qualité du code. Sauf qu'il ne contrôle que le code source, pas le code généré, pas le bytecode, pas le JIT (Just-In-Time, pas les dumps, et ce, pour les langages les plus connus/utilisés ... les autres se brossent .... et d'ailleurs, certains "fabricants" de ransomware l'ont rapidement compris ... tromper des outils piuissants, extrêment coûteux, des solutions gargantuesques aussi facilement avec des "empreintes" de vieux langages (comme le Fortran, le Forth, le Cobol, l'Erlang, le Camel, l'Haskell, le Modula-2, le Pascal, le Prolog, le PL/1, l'ADA, le C, le C++ ... Une p'tite trame contenant une charge avec des ordres et des actions et des "fingerprints" suffisamment et ingénieusement "bricolés" contenant des vieux morceaux de codes et d'instructions à faire pâlir un ordinateur quantique et vos équipements IDS, HDS, NIDS, Sniffers, SMSI, CERT, Analyseurs, Firewall & Compagnie, n'y voient que du feu (ou plutôt de bonnes trames. bien franchouillardes, bien pleines de confiance). Plusieurs clients en ont fait les frais et il a fallu l'intervention de quelques experts-chercheurs en sécurité du code informatique pour "dénicher le coyote mal lavé au fin fond de la cabane" (et encore, certains ont trouvé des cadavres et ont dû pratiquer des analyses "post-mortem" (forensic) pour découvrir le "pot-aux-roses", ce qui ne les a pas empêché de se faire un bon "pot-au-feu" au milieu de ce "pot-pourri" de code véreux.

Les applications ne sont qu'une petite partie de la lorgnette, car du code, il y en a partout : les protocoles (exemples : stack ou pile IPv4/IPv6), les applications, les services, les API, les Webservices, les scripts, les systèmes d'exploitations, les bases de données, les pages web, les interfaces : IHM, M2M, ... sans oublier les codes "électroniques" que l'on trouve dans les systèmes embarqués (de nombreux systèmes embarqués ne sont pas simplement codés en un langage "sonnant et trébuchant" comme le Langage C ou C++ ou Java ou C#, mais en programmation électronique de bas-niveau en VHDL avec LabView par exemple.

Et n'oublions pas une dernière chose, les applications sont créées pour fonctionner sur des plateformes d'architectures matérielles et électroniques comme Intel, Nvidia, Arm, Cortex, M1, ... les mêmes que vous pouvez retrouver dans le Cloud et qui servent vos applications.
Les langages, les compilateurs, les linkers, les préprocesseurs, les FPGA, les microcontrôleurs, les contrôleurs, les coprocessuers, les processeurs graphiques (GPU) ou plus simples ou plus évolués contiennent eux-mêmes du code, créées spécialement avec des outils dédiés, qui contiennent aussi ou qui provoquent aussi des défaillances de sécurité, permettant à un scolopendre (https://fr.wikipedia.org/wiki/Scolopendra) et Compagnie de s'introduire dans des espaces électronico-informatiques, laissés plus ou moins volontairement à l'époque (la sécurité de bas-niveau, bien que très étudiée au début de l'histoire du code, était loin d'être au firmament d'aujourd'hui et je trouve que de nos jours, les formations de codage ne prennent pas au sérieux les fondamentau, en bonne. et dûe forme, de la vraie sécurité et des enjeux que cela transporte).

En espérant que cela a contribué à éclaircir quelques-unes de vos lanternes et je suis bien conscient qu'une vie toute entière ne suffirait pas pour couvrir un tel sujet, encore moins une page de forum.

Je vous remercie cependant d'avoir pris le temps de me lire et je m'excuse d'avance, auprès de certain(e)s d'entre-vous qui se reconnaîtrons certainement, d'avoir dû poser une fin d'après-midi 🙂).

Bien à vous,
Yanolezard (à votre disposition pour sécuriser le dialogue).

yanolezard a écrit : [...]
Je vous remercie cependant d'avoir pris le temps de me lire et je m'excuse d'avance, auprès de certain(e)s d'entre-vous qui se reconnaîtrons certainement, d'avoir dû poser une fin d'après-midi 🙂).

:-D c'est toujours très intéressant comme sujet même si ce n'est pas mon domaine d'activité, pour la lecture des différentes normes il faudra bien plus qu'une après-midi ^^

wow je ne m'attendais pas à une réponse aussi complète et détaillée. Un grand merci yanolezard, je vaiss commencer par étudier votre réponse et les différents liens fournis

yanolezard a écrit : Bonjour "Leos" (et les autres par la même occasion),

Je vous remercie cependant d'avoir pris le temps de me lire et je m'excuse d'avance, auprès de certain(e)s d'entre-vous qui se reconnaîtrons certainement, d'avoir dû poser une fin d'après-midi 🙂).

Bien à vous,
Yanolezard (à votre disposition pour sécuriser le dialogue).

Je pense personnellement poser quelques jours mais je vous remercie aussi le sujet m'intéresse et votre message est une mine d'informations !

Il y a des formations HS2 orientées pour les développeurs: https://www.hs2.fr/category/formations-par-metier/developpeur-chef-de-projet/

J'ai moi-même passé la SECUWEB sur 5 jours (sécurité des serveurs et des applications web). Je ne suis pas développeur donc c'était assez pointu pour moi mais les 3/4 des autres présents étaient des développeurs.

Les formateurs sont des pentesters ayant un passé de développeur. Donc il y a la fois les aspects offensifs et défensifs.

Tuve a écrit : Il y a des formations HS2 orientées pour les développeurs: https://www.hs2.fr/category/formations-par-metier/developpeur-chef-de-projet/

J'ai moi-même passé la SECUWEB sur 5 jours (sécurité des serveurs et des applications web). Je ne suis pas développeur donc c'était assez pointu pour moi mais les 3/4 des autres présents étaient des développeurs.

Les formateurs sont des pentesters ayant un passé de développeur. Donc il y a la fois les aspects offensifs et défensifs.

Merci ! ça ressemble beaucoup à ce que je cherche mais malheureusement pas financable cpf apparemment.
Je vais voir pour les tarifs est ce que tu avais suivi la formation à distance ou c'est uniquement du présentiel ?

C'est au choix, présentiel ou à distance. Moi tout le monde était à distance, car pendant une vague COVID.

Il y plusieurs formations éligibles au CPF mais je ne sais si celle là l'est. Il faudrait leur demander.

ok super, merci pour les précisions, je vais prendre contact avec eux

Bonjour "Léos",

Concernant les formations précitées chez "HS2" éligibles au "CPF", le message est clair (extrait de leur site) :

"Formations éligibles au CPF :
Les formations éligibles au CPF sont celles qui conduisent à une certification de compétences enregistrées auprès de France Compétences. Les enregistrements des certifications avec lesquelles travaille HS2 ont expiré au 31/12/2021. Compte-tenu des délais administratifs, plus aucune formation HS2 n'est accessible au CPF."

Si vous souhaitez regarder du côté des formations plus musclées, tous niveaux, à coûts vraiment optimisés :
1/ https://www.hackthebox.com/
2/ https://tryhackme.com/
3/ https://my.ine.com/area/3e1aa06f-2e9f-4789-b50d-aa027ad8dcfa

Yanolezard.

Merci Yanolezard, à vrai dire je n'ai pas encore fini d'éplucher votre premier message et les différentes ressources cités. J'en suis à la prise d'informations. Par cotnre j'étais tombé sur le même encart que vous concernant l'éligibilité au cpf d'HS2.
Et merci pour les liens supplémentaires je les rajoute à ma liste !

Bonjour
En plus du MooC sur le site de l'ANSSI, vous avez aussi la liste des formations "SecNumeDu" (label qui vise justement à améliorer le référencement des formations en sécurité du numérique) avec les titres délivrés et modalités de formation : https://www.ssi.gouv.fr/particulier/formations/secnumedu/formations-labellisees-secnumedu/

Bonjour à tous,

Quelqu'un connait CERTYOU ? Je vois des promotions sur des formations à -40% (en sécurité en plus) mais je ne sais pas si la qualité est au RDV ou pas.

Merci

Membre-02563763 a écrit : Bonjour à tous,

Quelqu'un connait CERTYOU ? Je vois des promotions sur des formations à -40% (en sécurité en plus) mais je ne sais pas si la qualité est au RDV ou pas.

Merci

Je connais pas mais ils ont l'air d'avoir de bon retours et les formations ont aussi l'air d'être éligibles CPF. Après perso je suis pas fan des formations aussi courtes, 5 jours pour la formation et la cerif ""Ethical Hacker""", c'est à peine ce que ça va me prendre pour finir de faire le tour du message de yanolezard XD

J'avoue la réponse qu'il a fait est très complète.

Après c'est un format que j'ai déjà essayé. Certes c'est intense.

Bonjour
C'est le format standard de le plupart des formations certificantes (visant majoritairement les salariés en forma continu donc difficile de les mobiliser sur plus d'une semaine). J'avais suivi la forma DBA Oracle en 5 jours, intense certe mais faisable.
J'ai regardé un peu la certif Ethical Hacker; c'est un QCM de 125 questions donc 5 jours ça me semble largement suffisant pour la préparer.
Après c'est plus l'intérêt/ la reconnaissance de cette certif par les entreprises qui m'interrogent.

Bonjour à toutes et à tous,

Il semblerait que le vaste univers de la "cyber"sécurité intéresse beaucoup de monde en cette période. Attention cependant à ne pas tomber dans le traquenard du "pot de miel" - en langue shakespearienne "honeypot" - (technique utilisée par les défenseurs pour savoir comment les méchants s'infiltrent dans le système et comment ils en ressortent, sans trop laisser de traces de leur passage, comme les éléphants dans le réfrigérateur et leurs traces de pas sur le beurre 🙂).

Comme précisé dans une précédente intervention, tout dépend de ce que le lecteur vient chercher ou ce qu'il veut prendre comme direction.
Ce que je vais écrire ici n'engage que moi et mes modestes années dans ce secteur d'activités.

Les formations "certifiantes" (plusieurs types de certifications : internationales (souvent généralistes), les spécifiques (Microsoft, AWS, Google, Palo Alto, etc.: attention à la durée de validité), les "opportunistes" (cabinet de conseil spécialisés, organismes de formation : attention à la reconnaissance et à la porté chez les clients), les "reconnues d'état" (ANSSI, CCI France, Etat Français), les "alternées" (alliance terrain + théorie), les "proctorées" (très spécifiques : WE certifications très chers : Cisco, IBM, Redhat, quelques millies d'euros)

Au bout un "papier" sanctionnant quelques connaissances acquises durant une formation de 4 ou 5 jours ou pour les plus complexes (les plus chères) un précieux sésame avec une toute autre valeur. Une fois le précieux parchemin obtenu (qu'il faudra renouveler dans 2 ou 3 ans en règle générale, moyennant finances évidemment et en cette période, les prix s'envolent comme les colverts au bord de l'étang), cela vous servira peut-être à négocier un TJM à la hausse ou une meilleure mission.

Par expériences (j'en ai passé des formations certifiantes et j'en ai fait passer aussi - j'ai été longtemps responsable androgogique d'un OF et j'en ai vu des "vertes et des pas mures"), sauf à être "vraiment plongé jusqu'au cou", voire plus comme l'iceberg, dans votre futur métier et pendant une longue période, aux côtés de "gourous" ou de "squads", les certifications peuvent accélérer votre business. Je n'en fais pas une généralité : une fois le papier obtenu, en comparaison de ce qui vous attend sur le terrain, au final, cela ne correspondra pas aux questions auxquelles vous aurez brillament répondu.

Avec le temps et le recul de la "culasse", j'ai abandonné ce système de "certifications" à chaud. Je considère maintenant le passage de certification plutôt comme une "sortie de bretelle d'autoroute", c'est-à-dire qu'au bout de plusieurs années d'expériences (heures de vol, heures de circuits, etc.), la certification "valide" l'expérience acquise et ce en prenant comme objectifs des certifications généralistes (le CISSP de l'ISC2 en est un bel exemple : certification internationale, plutôt "top manager" pour des métiers de type DSI, RSSI, CISO, Auditeur dans les domaines de la "cyber"sécurité) ....

Il existent, évidemment, des certifications propres aux constructeurs de matériels de sécurité (Palo Alto, Checkpoint, ...), aux éditeurs de logiciels (Microsoft Azure, Amazone Web Service, Google Cloud Platform, .... ce sont plus des "cursus" en vue d'obtenir une certification dans une filière donnée ...que vous aurez à renouveler tous les 3 ans en passant par la case "donne-moi des $" ... Il faut savoir qu'un produit logiciel ou un service est restreint commmercialement à une durée de vie de 18 mois .... ce qui signifie en quelque sorte que la certification passée ne vaut plus rien, puisque le produit/service ne sera plus commercialisé ... si ce n'est pour la "gloire").

Pour vous, Estimables et Honorables coréligionaires, il faut retenir quelques principes car la "mouche" peut rapidement "tomber dans le pot de miel" ou se "faire tisser" par Spiderman (je préfère "Magneto", Iceman et Daredevil", références quand tu nous tiens !) :

- Les certifications "attractives" (cf. le miel, le "tisseur") mais Ô combien (mon cher Cédric !) "casse-gueule" : tout le monde peut participer à cette formation (il est vrai et honnête que l'on y apprend plein de choses, mais cela fuse tellement dans tous les sens et il y a matière, elle est très dense et très "touffue", voire "velue" dans certaines parties et "comprendra qui pourra" pour mettre en oeuvre la réalité sur le terrain). Je dis que cette formation n'est pas pour les (petits ou grands) débutants, mais pour une population "avertie" (ne serait-ce qu'en terme de maturité car il y a beaucoup de messages, de portes et de barrières que l'on pourrait allègrement franchir, sans même le vouloir expressément). Dans cette formation à plusieurs niveaux ("Ethical Hacker" n'est qu'une étape, parmi 3 autres), pour être exploitées correctement, il faut des connaissances, des compétences et des expérieces, sur des "terrains jeux" que je qualifierais de "chaud bouillant" à "velus Basquervillo-Gévaudanais", avec des abîmes et des abysses où "l'on y voit aussi clair que dans le trou de balle d'un opossum".

- Les certifications éditeurs (Microsoft, AWS, Google et aussi les constructeurs de matériels de sécurité) : un des problèmes principaux (hormis le coût des formations, le coût des certifications et des heures passées sur les "Training Labs") est le cursus : il faut un ensemble de certifications pour clore un cursus. Une certification unitaire en sécurité ne donne pas grand-chose, si ce n'est pour une durée, un contenu précis dans un contexte précis, pour un produit ou un service précis, qui pour les prochzines versions ou mises à jour, ne seront plus valables.

- Les certifications "utiles" (qui ne se "démodent pas" dans le temps et qui ont un "poids" sur le marché) : celles de l'ANSSI, CNIL, CCI France, HS2, CEGOS, .... car elles couvrent de nombreux périmètres.

Le point qui fâche : le financement.
Comme vous avez pu le constater, la majorité des formations "intéressantes" sont chères (réputées, attractives, reconnues, velues et touffues, etc) et donc "EXIT le CPF".

Pour celles et ceux qui n'ont pas la chance de se "faire un plan de formation avec un petit bas de laine", certains organismes se présentent à la porte. Leurs modes de fonctionnement : abonnement (petits budgets), volume, qualité, "best of breed", e-learning, labs, blended-learning parfois regroupement "façon CNAM" en visio (permet d'échanger des points de vue, des approches, des compréhensions, un écosystème interculturel).

D'autres "tranchent dans le vif" : formations vendues en paiement net (exemple : affichée partout 2175 HT, vendu par OF: 1000 euros net TTC).
Donc, il y a de tout, "à boire et à manger'" ou autres choses, je vous laisse le choix de la solution.

Quelques exemples : OO2.fr => https://www.oo2.fr/, ALPHORM.com => https://www.alphorm.com/, CERTYOU.com => https://www.certyou.com/, "grande" initiation (à la cybersécurité) : https://secnumacademie.gouv.fr/, un bien français sérieux de très longue date : PLB.FR => https://www.plb.fr/, SKILLEOS.com => https://www.skilleos.com/search?q=securite, du "lourd" très reconnu VERISAFE.com => https://www.verisafe.fr/, dans le même style, VALNAOS.com => https://www.valnaos.com/, un peu plus international (sans CPF, mais très reconnu pour la qualité, le sérieux, la disponibilité ... attention au décalage horaire) : SIMPLILEARN.com => https://www.simplilearn.com/, CLOUDACADEMY.com => https://cloudacademy.com/, HS2.fr (pas de CPF, mais des formations courtes accessibles) => https://www.hs2.fr/formations-par-categories/, pour les acharnés : HACKINPARIS.com => https://hackinparis.com/,

Aujourd'hui tout le monde est focalisé sur le "cyber" (donc le Web, le Cloud, l'IA ....) et pour autant, la sécurité ne s'arrête pas là (l'univers embarqué, les systèmes d'exploitations, les blockchain, la robotique, les systèmes industriels, l'intelligence artificielle, le quantique, la sûreté, le développement ....) et on a tendance à l'oublier.

Ecrire :
ici,un peu de code sécurisé : https://programmation.developpez.com/tutoriel/dix-regles-pour-ecrire-du-code-securise/#:~:text=Aucune%20fonction%20ne%20doit%20%C3%AAtre,lignes%20de%20code%20par%20fonction.

là, https://www.cegefos.com/le-developpement-de-logiciels-securises/,
ou là-bas, pour les "fous furieux" (communauty ou blogs) : https://fr.securecodewarrior.com/

Pour le fun et pour le plaisir de me lire par ce beau soleil :
https://www.ssi.gouv.fr/actualite/hack-academy-de-droles-de-hackers-au-service-de-la-prevention/

Bien à vous toutes et tous,
Yanolezard (si vous avez des questions ...).

Bonjour et merci pour ce nouveau retour très complet (ça tombe bien c'est dimanche XD).
Comme vous avez l'air d'avoir une grosse expérience sur le sujet, est ce qu'il y a des formations que vous recommanderiez parmi celles qui tranchent dans le vif mais qui ressemblent plus à ce que je cherche (certifiantes sans avoir à payer pour un renouvellement et éligbles CPF) ?

Bonjour "Leos" (et les autres aussi),

La réponse n'est pas si simple car il faut distinguer quelques petites choses :

- les formations dites "certifiantes" (avec un titre reconnu, inscrites au RNCP et autres du même acabit)
- les formations dites "avec certifications" (propres à un organisme, privé pour la plupart)
- les formations dites "internationales avec certifications" (reconnues par les pairs du secteur d'activité)

Ces formations ont toutes le même travers : l'éphémérité => nécessite un renouvellement payant au bout de 3 ans (en majorité) pour rester valide car elles sont répertoriées nominativement.

- les formations non certifiantes (celles-ci majoritairement ne sont pas accolées à une certification : "one shot").

Le public : manager / technicien (aucune malice à ce niveau)
Le financement : le CPF (en France, du moins cette année), axe majoritairement les formations de qualifications moindres (quoi qu'avec les demandes des métiers en tension, le gouvernement a un peu changé "son fusil d'épaule" mais on trouve des formations "certifiantes" accessibles via le CPF.

Pour un OF, "CPF" est synonime de "volumes", ce qui signifie que les formations délivrées doivent être "compatibles" (fortes demandes > 90%,, attractives, planification annuelle récurrente, "en vogue").

CPF, non & certifiantes, public "technicien", tous niveaux "hacking & sécurité" : ALPHORM.com => https://www.alphorm.com/, CERTYOU.com => https://www.certyou.com/ (comme précisé auparavant : formation certifiante = renouvellement).

CPF, certifiantes, public "manager", les normes "ISO/IEC 27001 à 27xxx" Sécurité" : OO2.fr => https://www.oo2.fr/ (validité en moyenne 3 ans)

Si cela a pu éclairer quelques lanternes.

Bien à vous,
Yanolezard

yanolezard a écrit : Bonjour "Leos" (et les autres aussi),

La réponse n'est pas si simple car il faut distinguer quelques petites choses :

- les formations dites "certifiantes" (avec un titre reconnu, inscrites au RNCP et autres du même acabit)
- les formations dites "avec certifications" (propres à un organisme, privé pour la plupart)
- les formations dites "internationales avec certifications" (reconnues par les pairs du secteur d'activité)

Ces formations ont toutes le même travers : l'éphémérité => nécessite un renouvellement payant au bout de 3 ans (en majorité) pour rester valide car elles sont répertoriées nominativement.

- les formations non certifiantes (celles-ci majoritairement ne sont pas accolées à une certification : "one shot").

Le public : manager / technicien (aucune malice à ce niveau)
Le financement : le CPF (en France, du moins cette année), axe majoritairement les formations de qualifications moindres (quoi qu'avec les demandes des métiers en tension, le gouvernement a un peu changé "son fusil d'épaule" mais on trouve des formations "certifiantes" accessibles via le CPF.

Pour un OF, "CPF" est synonime de "volumes", ce qui signifie que les formations délivrées doivent être "compatibles" (fortes demandes > 90%,, attractives, planification annuelle récurrente, "en vogue").

CPF, non & certifiantes, public "technicien", tous niveaux "hacking & sécurité" : ALPHORM.com => https://www.alphorm.com/, CERTYOU.com => https://www.certyou.com/ (comme précisé auparavant : formation certifiante = renouvellement).

CPF, certifiantes, public "manager", les normes "ISO/IEC 27001 à 27xxx" Sécurité" : OO2.fr => https://www.oo2.fr/ (validité en moyenne 3 ans)

Si cela a pu éclairer quelques lanternes.

Bien à vous,
Yanolezard

ok merci bcp pour ces précisions et distinctions je n'avais pas pensé du tout au renouvellement je vais me renseigner sur les différents tarifs/ coûts. Mon objectif secondaire étant de privilégier une formation certifiante pour booster un peu mon profil et accessoirement mon TJM

Bonjour "Leos",

Petites précisions : (je ne connais ni votre métier, ni votre profil)

- Si votre premier objectif est de vous intéresser globalement à la sécurité,
- Si votre second objectif est "d'enrichir" votre profil en gagnant des connaissances et des compétences,
- Si votre troisième objectif est d'améliorer un temps soit peu votre TJM,

dans ce cas (pur avis personnel en rapport à nos posts respectifs), regardez, pour commencer, vers les formations avec certifications internationales, types "ISO/IEC 27001 et "ISO/IEC 27002" (accessibles en CPF, organisme international certificateur PECB, validité 3 ans, niveau "Foundation" - c'est déjà très "copieux"). Il faut une bonne dose de travail personnel (2 jours, cela passe vite, c'est touffu, mais nécessaire).ISO/CEI 27001 - Sécurité de l'information - Certified Foundation - Durée : 2 jours - Eligible CPFISO/CEI 27002 : Sécurité de l’information et code de bonne pratique - Certified Foundation - Durée : 2 jours - Eligible CPF

ou en "bundle" (chez ib-formation) par exemple, en distanciel.
https://www.ib-formation.fr/catalogue/nbs-details/catref/formations-informatiques-cybersecurite-cybersecurite-certifications/ref/mg206/iso-27001-iso-27002-les-fondamentaux

A chaque fois que l'on m'a posé cette question (et c'est toujours un plaisir d'y répondre), les personnes se sont "régalées" car c'est le début de tout (c'est le "core" pour comprendre la base) et j'ai de très bons retours à chaque fois.

Après, c'est "Chacun sa vie .... Chacun son chemin ..." (comme le chantait le feu "Tonton David") ... Les goûts et les couleurs 🙂

Bien à vous,
Yanolezard

Encore merci ! Si j'ai bien vu la formation de chez ib-formation n'est pas éligible cpf (en tout cas celle sur la cybersécurité).
Je vais regarder du coté des certifs internationales. Le travail perso ne m'inquiète pas tant que j'ai un socle/base de connaissances à travailler

Bonjour "Leos",

Vous pouvez regarder sur OO2.FR => https://www.oo2.fr/formations/securite-informatique/pecb/iso-27001-foundation-management-la-securite-l-information (ISO/IEC 27001 Foundation) accessible en CPF

Pour la ISO/IEC 27002 Foundation => https://www.oo2.fr/formations/securite-informatique/pecb/iso-iec-27002-foundation-mesure-la-securite-l-information (pas encore de date, mais sera certainement éligible au CPF car la 27002 c'est la continuité de la 27001)

Bien à vous,
Yanolezard

yanolezard a écrit : Bonjour "Leos",

Vous pouvez regarder sur OO2.FR => https://www.oo2.fr/formations/securite-informatique/pecb/iso-27001-foundation-management-la-securite-l-information (ISO/IEC 27001 Foundation) accessible en CPF

Pour la ISO/IEC 27002 Foundation => https://www.oo2.fr/formations/securite-informatique/pecb/iso-iec-27002-foundation-mesure-la-securite-l-information (pas encore de date, mais sera certainement éligible au CPF car la 27002 c'est la continuité de la 27001)

Bien à vous,
Yanolezard

Merci encore pour ces précisons et pour le coup elles sont beaucoup plus abordables que celles que j'avais vu

Bonjour,

Je suis freelance en webmarketing mais aussi intéressé par me former en cybersécurité. Je suis en contact pour éventuellement faire cette formation cybersécurité à coté de Toulon. Apparemment pas de CPF possible mais prise en charge avec OPCO. Le service administratif est en train de faire les démarches pour voir ce à quoi j'aurai droit.