Cybersécurité offensive : s’exercer avec Root-Me et OpenClassrooms

OpenClassrooms publie aujourd’hui de nouveaux cours en cybersécurité, élaborés en partenariat avec la plateforme d’entraînement Root-Me et de nombreux experts. Retour sur la genèse de cette collaboration, les activités et les compétences visées.

Augmenter significativement le nombre d’experts en cybersécurité : nos premiers travaux

En 2021, pour la cinquième année consécutive, le Forum économique mondial classait les cyberattaques dans le classement des principaux risques auxquels le monde est confronté. La même année, la France annonçait la nécessité de doubler les effectifs en créant 37 000 postes d’ici 2025, et des projections au niveau mondial annonçaient l’ouverture de 3,5 millions de postes dédiés à la cybersécurité.

En 2021 toujours, OpenClassrooms et Root-Me se rapprochaient pour trouver de nouvelles réponses à une question simple, mais cruciale : comment augmenter significativement le nombre d’experts en cybersécurité ?

Nous partagions alors un constat : quand on souhaite s’initier dans ce domaine, le sujet peut paraître vaste. Il touche à de nombreuses expertises, allant des systèmes et réseaux aux développements applicatifs, en passant par la gestion des risques, la gestion des identités, la réponse à incidents, etc. Bonne nouvelle, les ressources publiques sont d’ores-et-déjà nombreuses sur ces différents sujets. Moins bonne nouvelle, il est très souvent nécessaire d’en parcourir un grand nombre pour acquérir l’ensemble des compétences à mobiliser sur le terrain, pour chaque sujet.

Aujourd’hui, nous sommes heureux de vous présenter les premières briques de nos travaux, avec la publication de deux cours dédiés à la réalisation d’un test d’intrusion et à la sécurité de l’Active Directory, ainsi que de trois environnements virtuels d’entraînement conçus pour l’occasion.

Ces cours et ces environnements virtuels d’entraînement sont gratuits, accessibles à tout moment, depuis un simple navigateur web. Ils combinent théorie, retours d’expériences et mises en pratique, pour rassembler autour d’un même fil rouge l’essentiel de ce qu’il faut savoir sur le sujet. Ils ont été conçus par des professionnels passionnés. Nous espérons qu’il vous plairont autant que nous nous sommes appliqués à les faire.

Réalisez un test d’intrusion web

Un test d’intrusion ou “penetration test”, souvent raccourci à “pentest”, c’est quoi ? 

C’est un test qui permet aux entreprises et aux organisations d’identifier une série de failles qui pourraient être exploitées par un hacker malveillant sur un périmètre donné, l’impact que ces failles pourraient avoir sur l’entreprise et comment le réduire ou le mettre sous contrôle.

Et pourquoi un cours sur les “pentests” web en particulier ? 

D’abord, parce que c’est le périmètre le plus courant pour un pentester : le nombre de sites Internet augmente constamment et le fonctionnement ainsi que l’administration de beaucoup d’infrastructures reposent sur des applications web. Ensuite, commencer par le pentest web, c’est le bon moyen d’adopter les réflexes et la posture du pentester, sur des technologies standardisées et avec un outillage mature. C’est une excellente première étape pour mettre un pied à l’étrier avant de s’attaquer à d’autres périmètres plus complexes. 

Ainsi, à la fin de ce cours, les personnes qui l’auront suivi seront donc capables de :

• Préparer un test d’intrusion web.
• Se familiariser avec l’écosystème d’une application web.
• Analyser en détail le contenu d’une application web.
• Identifier les vulnérabilités spécifiques à une application web.
• Restituer les résultats d’un test d’intrusion web. 

Elles auront, au passage, réalisé plusieurs challenges Root-Me avec deux environnements virtuels créés spécialement pour l’occasion, à tester au gré du cours.

“Réalisez un test d’intrusion web” disponible sur OpenClassrooms en accès libre, pour les personnes souhaitant faire leurs premiers pas dans la cybersécurité offensive, comme pour les professionnels souhaitant consolider leurs connaissances. Environnements virtuels OpenClassrooms – DVWA et OpenClassrooms – Juice Shop disponibles sur Root-Me en accès libre, pour des entraînements en toute simplicité.

Assurez la sécurité de votre Active Directory et de vos domaines Windows

Les attaques par rançongiciels peuvent paralyser des entreprises entières pendant plusieurs semaines. Systématiquement, les domaines Windows et les Active Directory qui les portent sont visés et compromis à un moment ou à un autre du processus. Être capable d’évaluer et d’améliorer continuellement leur niveau de sécurité est donc la clé de toute stratégie de cybersécurité.

Comprendre les techniques des attaquants permet de corriger les vulnérabilités qu’ils exploitent, et de surveiller les environnements pour détecter d’éventuelles tentatives d’intrusion.

Ainsi, à la fin de ce cours, les personnes qui l’auront suivi seront donc capables de :

• Identifier les faiblesses et les objectifs d’attaque dans l’environnement Windows.
• Exploiter les chemins d’attaque sur environnement Windows.
• Protéger et surveiller l’environnement Windows.

Là encore, un espace virtuel d’entraînement à été conçu pour l’occasion et vous permettra de mettre en pratique l’ensemble du cours via Root-Me.

“Assurez la sécurité de votre Active Directory et de vos domaines Windows” disponible sur OpenClassrooms en accès libre, pour les administrateurs Windows devant acquérir des compétences en matière de cybersécurité Active Directory, ainsi que pour les analystes cybersécurité et pentesters devant approfondir leur connaissance d’Active Directory pour leurs activités offensives et défensives.

Et après ?

Ces cours et ces environnements virtuels sont les premiers d’une longue série à venir dans le domaine de la cybersécurité !

N’hésitez pas à échanger avec nous, que vous soyez débutants ou experts, pour nous partager vos retours ! Nous les prendrons en compte avec attention.