PENTESTCLOUD – Formation Sécurité des environnements cloud

Prochaines Dates de la Formation

  • Du 06/07/2026 au 09/07/2026
  • Du 23/11/2026 au 26/11/2026
4 jours
28 heures - Horaires : de 9h30 à 12h et de 13h30 à 17h30/18h00.

À l’ère où les infrastructures cloud et les pratiques DevOps prédominent, il est crucial de comprendre et de sécuriser chaque étape de leur cycle de développement. L’objectif de cette formation est de vous permettre d’identifier les différents vecteurs d’attaques, tout en vous apportant des compétences nécessaires pour exploiter et corriger les vulnérabilités dans des environnements utilisant ces technologies (versioning, IaC, CI/CD, Kubernetes, AWS, etc.). Au travers d’une approche offensive, apprenez à intégrer au mieux la sécurité dans l’ensemble des briques que contiennent vos cycles de développement logiciel afin de protéger vos applications et données dans le cloud.

Bon à savoir sur cette formation

  • Objectifs
    • Comprendre le fonctionnement et les risques de sécurité inhérent aux solutions de développement agile
    • Identifier les points faibles de ce type d'infrastructures
    • Exploiter les faiblesses afin d'en évaluer l'impact
    • Comprendre les solutions de remédiations les plus efficaces
  • Pré-requis
    • Des notions en IT et SSI
    • Des notions d'utilisation d'un système Linux (shell, git, etc.)
    • Des connaissances en sécurité offensive et tests d'intrusion sont un plus
  • Méthode pédagogique
    • Cours magistral avec travaux pratiques et échanges interactifs
    • Les concepts essentiels développés dans la formation sont illustrés au travers de mises en pratique sur PC permettant d'acquérir des compétences concrètes applicables lors d'audits
    • Une infrastructure vulnérable fidèle à la réalité sert de plateforme pour les tests
    • Tous les outils utilisés sont issus du monde libre et peuvent être réutilisés librement en dehors de la formation
    • Les techniques et outils classiques ainsi que modernes sont utilisés tout au long de la formation
  • Public visé
    • Pentesters
    • Consultants SSI
    • RSSI
    • Architectes cloud
    • DevOps
  • Certification
    • A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTCLOUD par HS2.
  • Matériel
    • Support de cours numérique en Français projeté
    • Support de cours en Français imprimé en mode présentiel - au format numérique en mode distanciel
    • Ordinateur portable mis à disposition pour la réalisation des exercices
  • Formateurs
    • Clément Delille
    • Tom Triboulot
  • Évaluation qualité
Objectifs Pré-requis Méthode pédagogique Public visé Certification Matériel Formateurs Évaluation qualité
  • Comprendre le fonctionnement et les risques de sécurité inhérent aux solutions de développement agile
  • Identifier les points faibles de ce type d'infrastructures
  • Exploiter les faiblesses afin d'en évaluer l'impact
  • Comprendre les solutions de remédiations les plus efficaces
  • Des notions en IT et SSI
  • Des notions d'utilisation d'un système Linux (shell, git, etc.)
  • Des connaissances en sécurité offensive et tests d'intrusion sont un plus
  • Cours magistral avec travaux pratiques et échanges interactifs
  • Les concepts essentiels développés dans la formation sont illustrés au travers de mises en pratique sur PC permettant d'acquérir des compétences concrètes applicables lors d'audits
  • Une infrastructure vulnérable fidèle à la réalité sert de plateforme pour les tests
  • Tous les outils utilisés sont issus du monde libre et peuvent être réutilisés librement en dehors de la formation
  • Les techniques et outils classiques ainsi que modernes sont utilisés tout au long de la formation
  • Pentesters
  • Consultants SSI
  • RSSI
  • Architectes cloud
  • DevOps
  • A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification PENTESTCLOUD par HS2.
  • Support de cours numérique en Français projeté
  • Support de cours en Français imprimé en mode présentiel - au format numérique en mode distanciel
  • Ordinateur portable mis à disposition pour la réalisation des exercices
Clément Delille
Tom Triboulot

Programme du cours

Introduction aux environnement agiles

  • Introduction générale
  • Présentation des concepts et technologies

 

 Outils DevOps et CI/CD

  • Présentation des principaux services (versioning, Gitlab, Github, Jenkins)
  • CI/CD :
    • Présentation du fonctionnement de leur CI
    • Sécurisation des secrets
    • Gestion des droits
    • Gestion des runners
    • Bonnes pratiques et mesures correctives
    • Exercices :
      • Exfiltration de secrets
      • Attaque de supply chain
      • Pipeline poisoning (shared runners abuse, container escape, déplacement latéral, etc.)
    • Infrastructure As Code (IaC) :
      • Introduction et présentation des technologies (Terraform, CloudFormation)
      • Présentation des risques
      • Bonnes pratiques et mesures correctives
      • Exercices :
        • Analyse de code HCL
        • Template backdooring
        • Exploitation de tfstate

 

Cloud – AWS

  • Introduction
  • Concepts et services principaux :
    • Gestion des identités (IAM, policies, roles, boundaries, SCP, etc.)
    • Gestion réseau (cloisonnement, VPC, ACL/SG, peering, etc.)
    • Gestion des secrets (Secrets Manager, SSM, etc.)
    • Serverless (Lambda, Fargate, etc.)
  • Exercices :
    • Élévation de privilèges au travers de divers services (confused deputy, assume role, pass role, etc.)
    • Contournement de restrictions réseau (ssm abuse, etc.)
    • Récupération de secrets dans divers ressources (user data, stack cloudformation, etc.)
    • Persistance (role backdooring, lamda backdooring, etc.)

 

 

 

Conteneurisation / Kubernetes

  • Présentation des mécanismes de conteneurisation Linux
  • Fondamentaux Kubernetes (composants, k8s vs EKS, etc.)
  • Modèle de sécurité (méthode d’authentification, NetworkPolicy, RBAC, etc.)
  • Bonnes pratiques et mesures correctives
  • Exercices :
    • Reconnaissance
    • Elévation de privilèges (role abuse, container escape, volume access, etc.)

 

 

HS2, centre de formation en cybersécurité

S'inscrire à la formation

    Je souhaite en savoir plus et connaître le tarif de la formation.
    Session souhaitée
    * HS2 traite les données recueillies par le présent formulaire pour traiter vos demandes d’inscription. ** Les champs avec des * sont obligatoires. Les autres informations nous permettent d’améliorer le traitement de votre demande et notre relation client.
    Pour en savoir plus et exercer vos droits, consultez notre Politique Vie privée.
    ©HS2 2025 - Vie privée - Mentions légales - CGV
    N° d’organisme : 11922236092 Datatocké Hébergé avec <3 par DigDeo