Offensif

Programme en construction

Formation « Pentest SaaS Web et AWS Offensif – Chaîne d’attaque complète »

Cette formation de 3 jours plonge les participants dans une chaîne d’attaque complète d’un SaaS moderne, depuis l’exploitation applicative jusqu’à l’escalade de privilèges AWS. À travers des scénarios réalistes issus de pentests, les participants apprennent à identifier des failles logiques, compromettre des API, pivoter vers l’infrastructure cloud et exploiter des erreurs IAM. L’objectif est de comprendre comment une compromission applicative peut impacter l’ensemble d’un environnement AWS, puis de savoir structurer une remédiation efficace et adaptée à un contexte réel.

Objectifs pédagogiques visés

• Identifier les failles logiques dans un SaaS.
• Exploiter une chaîne Web → AWS.
• Réaliser une escalade IAM.
• Évaluer la blast radius d’un compte AWS.
• Proposer des corrections efficaces.

Public et prérequis (indicatif)

Pour qui ? Pentesteurs, DevSecOps, équipes sécurité, profils techniques confirmés.

Prérequis : bases web, Linux, notions AWS.

Durée et modalités prévues

Durée : 3 jours (21 heures). Inter / intra : possibilité de réaliser la session en présentiel ou à distance ; basé à Toulouse, interventions possibles sur toute la France - devis sur demande.

À titre indicatif pour la version finale : distanciel avec VM configurée par participant, support et exercices corrigés, quiz en fin de parcours, attestation de fin de formation (détails figés à la publication du programme définitif).

Programme indicatif (10 modules)

Structure issue du cahier des charges en cours - susceptible d’évoluer.

1. Architecture typique d’un SaaS moderne
2. Reconnaissance applicative avancée
3. Exploitation des failles logiques
4. Exploitation API
5. Interaction SaaS vers AWS
6. Escalade de privilèges IAM
7. Accès aux ressources cloud
8. Simulation complète d’attaque SaaS
9. Réduction de la surface d’attaque
10. Rapport offensif et restitution

Moyens pédagogiques envisagés

En distanciel : visioconférence, démonstrations en direct, alternance théorie et pratique avec poste de travail virtuel type Kali Linux par participant. Évaluation continue par exercices et quiz - calendrier précis communiqué avec l’ouverture des sessions.

Encadrement, accessibilité, effectif

• Effectif cible : session limitée à 8 participants pour conserver un format technique et interactif ; confirmation lorsque le nombre d’inscriptions sera suffisant.
• Accessibilité : formation en ligne pourra être adaptée avec outils d’assistance sur demande ; contact pour les besoins liés au handicap.
• Financements : CodiTrust est un organisme certifié Qualiopi au titre des actions de formation ; prise en charge OPCO possible sous réserve d’acceptation (délai d’instruction souvent d’environ 30 jours) - applicable aux sessions effectivement ouvertes.

Intervenant prévu

À l’issue de la finalisation du programme, l’animation est prévue par Anthony DESSIATNIKOFF, consultant en cybersécurité offensive spécialisé pentest Web et AWS (plus de 10 ans d’expérience, nombreux environnements audités). Les scénarios présentés seront issus de missions réelles et adaptés à des contextes SaaS en production.

Informations contractuelles (sessions futures)

Lorsque les sessions seront ouvertes, la fiche Qualiopi complète (tarif, dates, évaluation des acquis, suivi qualité) sera alignée sur le même niveau d’exigence que nos autres actions au catalogue. Pour toute question sur la certification : bloc Qualiopi et certificat (PDF).

← Toutes les formations