504vs560

Alors que nous flânions en gare, nous sommes tombés sur la presse « spécialisée » :

CrypterCar comme chacun sait (ou devrait le savoir), « Crypter » est un barbarisme linguistique que d’aucun pourrait qualifier de blasphème (et nous passons outre l’utilisation de « coder » sur cette même couverture).  Mais c’est dans ces moments là qu’on se dit que la sensibilisation sur la sécurité : « Bah ce n’est pas gagné ! ».

La sensibilisation même la plus basique est nécessaire. Le besoin est là comme déjà exprimé dans ce blog et l’ANSSI a pris le sujet de front comme le montre cette fiche de poste récemment publiée :

ANSSI

Mais l’état providence étant ce qu’il est, il faut parfois attendre quelques trimestres avant d’obtenir une place pour une formation au CFSSI. On peut aussi se tourner vers des prestataires privés pour ce genre de formations : et il y en a plein. Reste donc à trouver celle qui nous conviendra et sera validée par notre hiérarchie (si on en a une :)).

Vous trouverez des formations certifiantes ou non, des formations sur des sujets précis ou plus généralistes, managériales ou techniques. Il est alors parfois difficile de choisir. Par exemple, si vous cherchez une formation certifiante, plutôt technique sur la sécurité globale d’un SI pour vous donner des bonnes bases et un peu plus, vous tomberez très certainement sur les SANS SEC504 et SANS SEC 560. Il est alors  difficile de choisir.

SANS

Alors pour ceux qui ne connaitraient pas, SANS est un organisme qui propose toute une panoplie de formation sur la sécurité en générale, allant du management à l’écriture d’exploit en passant par le développement sécurisé ou l’analyse forensique du téléphone. Les cours sont divisés en plusieurs sections (sécurité, audit, management, forensique, …). Chaque cours est ainsi nommé sous la forme {SEC|AUD|MGT|FOR | … } et  3 chiffres : sur ces 3 chiffres, seul le premier (à notre connaissance) a une signification : il donne une idée du niveau technique de la formation de 3 (pas technique) à 7 (très pointu) : enfin c’est ce qui se dit, nous n’avons fait que des niveaux 5. Certains cours sont ainsi en cascade : on commence par la 542 puis on fait la 642 (il y a aussi la 408 => 508 ou 560 => 660 => 760). Les cours s’étalent généralement sur 6 jours (ou sur 5, si vous faites la formation chez l’ami Hervé). Le contenu se décompose alors en 6 livres (1 par jour), sachant que le dernier n’est pas bien épais : il est en effet bien souvent réservé à un challenge qui met en pratique les techniques apprises pendant la formation. Notons ici que ces formations sont toujours très concrètes et pratiques.

A l’issue de la formation, vous pouvez également passer une certification auprès de GIAC. Chaque examen est spécifique en termes de durée et score pour obtenir la certification. Il faut simplement savoir que les livres sont autorisés pendant l’examen, ce qui fait que vous n’avez pas besoin de tout connaitre par cœur mais simplement savoir où chercher l’information (un peu comme dans la vraie vie avec Google).

Enfin, nous terminerons cette aparté en disant que la qualité de la formation est intrinsèquement liée aux supports ET aux formateurs (les standards de SANS sont contrairement à d’autres assez élevés).

SANS sec504 vs sec560

Donc SANS a plusieurs formations qui sont un peu les « produits phares », notamment la SEC504 et la SEC560 :

Le premier intitulé « Hackers Techniques, Exploits and Incident Handlings » est plus orienté défense, le second intitulé « Network penetration testing ethical hacking » est plus à destination des attaquants (dans un cadre légal bien entendu). Mais comment choisir laquelle suivre ?

Alors les anglophones pourront lire la comparaison officielle. (Si cela ne vous apparait pas clairement à la lecture, l’auteur de cette page est aussi le responsable de la SEC560).

Ce qui suit est notre opinion et seulement notre opinion :

De ce que nous en retenons (nous avons suivi la SEC504 puis la SEC560), le contenu est à environ 65% le même. Sur les 35% d’écart, il y a toute la partie organisationnelle : dans le premier cas, on se focalise sur comment gérer un incident (qui prévenir, que collecter, comment investiguer, cadre juridique, …). Dans le second, on se focalise sur comment formaliser un « contrat » de prestation en test d’intrusion (quoi et comment tester, quand, …) afin d’éviter d’avoir des problèmes. Voilà mais on ne s’attendait pas à moins.

Ensuite, on voit quasiment systématiquement les mêmes outils et techniques (et applications).

Mais il y a parfois des points spécifiques abordés  : voici quelques exemples concrets pour illustrer les différences (la liste n’est pas exhaustive) :

  • Dans la SANS SEC 504, on aborde concrètement les différents types de malwares (rootkit, virus,…), et les moyens de persistance utilisés, la stéganographie.
  • Dans la SANS SEC 560, on en parle pas du tout, mais NSE, Pass the hash et Scapy sont au programme.

Du coup, sur le papier la 560 est peut-être la plus attirante pour péter des machines, mais la 504 est, à notre avis, un super cours pour une introduction et avoir un panel complet des techniques utilisées par les pirates (sans forcément en comprendre tous les détails).

Cela d’ailleurs se ressent dans le public qui assiste à ces 2 formations : En 560, on trouve des gens qui veulent se lancer dans le pentest, des administrateurs systèmes et des gens qui n’ont pas pu s’inscrire à la 504. Dans la 504, on retrouve des gens qui n’ont pas pu s’inscrire à la 560, des membres de CERT interne et des manageurs. A titre d’illustration lors de notre formation SEC504, on n’avait pas moins 7 personnes de la même boite, dont le RSSI adjoint et le responsable informatique Chine…

Faire une recommandation entre 504 et 560 est difficile car cela dépend du job qu’on fait au quotidien, mais cumuler les deux n’est à notre avis pas nécessaire. On se contentera de dire qu’on a préféré la 504 (les deux formateurs y étant pour beaucoup).

Publicités

A propos JoMendes

Amateur de mathématiques et d'hexadécimal. Je m'intéresse de près ou de loin suivant mon niveau à tous les sujets de sécurité de l'information.
Cet article a été publié dans Uncategorized. Ajoutez ce permalien à vos favoris.

Un commentaire pour 504vs560

  1. Ping : Un challenge pour un boulot | Cryptobourrin

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s