Cours
Code digicomp : SC500
Implement end‑to‑end security controls for cloud and AI workloads – Formation intensive (SC-500)
SC-500
Description de la formation
Téléchargez au format PDF- Renforcer la sécurité des identités grâce à la mise en place d’une authentification à plusieurs niveaux sans mot de passe, ainsi qu’à la gestion des identités privilégiées (PIM) afin d’éliminer les accès permanents
- Mettre en place une stratégie de défense multicouche pour toutes les ressources cloud, y compris Key Vault, le stockage et les bases de données SQL, afin de protéger les données et de gérer les secrets
- Assurer la gouvernance et la conformité à l’aide de politiques et de verrouillages de ressources afin d’empêcher les déploiements non conformes dans les environnements hybrides
- Mettre en œuvre des contrôles réseau multicouches en segmentant les charges de travail et en remplaçant les VPN par un accès « zero trust » au niveau des applications
- Sécuriser les charges de travail d’IA en combattant des surfaces d’attaque spécifiques grâce à une gestion dédiée des identités et à une protection en temps réel pendant l’exécution
- Sécuriser l’infrastructure en appliquant des référentiels de sécurité aux machines virtuelles et aux conteneurs, à l’aide du chiffrement et des analyses de vulnérabilités
- Maintenir une vue d’ensemble complète de la sécurité via Microsoft Defender for Cloud afin de garantir une visibilité unifiée et une remédiation efficace des risques
- Mettre en place des architectures de réponse automatisées en centralisant les données dans Microsoft Sentinel et en utilisant Security Copilot pour la gestion des incidents
Le contenu de cette formation intensive est basé sur le contenu de l’examen « SC-500 : Cloud and AI Security Engineer Associate ». Préparez-vous dès maintenant au cours avec les contenus Microsoft Learn. Lors des sessions journalières intensives avec nos experts, vous travaillerez avec les supports de formation officiels Microsoft (plus d’informations à la rubrique « méthodologie et didactique »).
Programme du cours :
Module 1 : Sécuriser l’accès aux ressources à l’aide de Microsoft Entra
Contrôler qui peut accéder à quoi, et dans quelles conditions, est l’une des responsabilités les plus importantes dans la sécurité cloud. Une stratégie d’authentification mal configurée, un compte aux privilèges excessifs laissé sans vérification ou un agent d’IA mal sécurisé peuvent chacun constituer le point d’appui dont un attaquant a besoin pour se déplacer latéralement dans votre environnement.
Dans ce parcours d’apprentissage, vous créez les compétences pour combler ces lacunes. Vous commencez par concevoir et déployer une authentification sécurisée dans Microsoft Entra ID, notamment la configuration de l’authentification multifacteur. Ensuite, vous configurez des stratégies d’accès conditionnel, des options sans mot de passe et la réinitialisation de mot de passe en libre-service pour les environnements hybrides. Vous passez ensuite à l’accès privilégié, où vous mettez en place l’accès juste-à-temps pour les rôles Microsoft Entra et les ressources Azure à l’aide de Privileged Identity Management (PIM). L’accès juste à temps élimine les autorisations permanentes, source de risques inutiles. Enfin, vous appliquez ces principes d’identité et d’accès à un défi moderne : sécurisation des applications basées sur l’IA et des agents déclaratifs qui utilisent des plug-ins d’API pour agir au nom des utilisateurs.
Module 2 : Sécuriser Azure Key Vault avec la défense en profondeur pour les charges de travail cloud et IA
Implémentez une stratégie de sécurité de défense en profondeur pour Azure Key Vault. Dans ce parcours d’apprentissage, vous appliquez la configuration du coffre-fort sécurisée, appliquez le principe du moindre privilège avec l’activation à la demande, gérez le cycle de vie complet des clés, des secrets et des certificats, et utilisez Microsoft Defender for Cloud pour détecter les informations d’identification exposées et les modèles d’accès malveillants ciblant vos coffres-forts.
Module 3 : Appliquer la gouvernance de la sécurité et la conformité réglementaire
Appliquer la gouvernance de la sécurité et la conformité réglementaire dans les environnements Azure. Configurez Azure Policy et les verrous de ressources pour bloquer les déploiements non conformes. Gérez ensuite les normes de sécurité et corrigez les recommandations dans Defender for Cloud, évaluez la posture de conformité réglementaire, gérez les attributions de rôles RBAC à grande échelle, protégez les données de sauvegarde contre les ransomwares et la suppression, et intégrez des contrôles de sécurité dans les pipelines Bicep avant que les ressources n’atteignent la production.
Module 4 : Implémenter la sécurité pour stockage Azure pour l’ingénieur de sécurité cloud et IA
Implémentez une stratégie de sécurité de défense en profondeur pour stockage Azure. Dans ce parcours d’apprentissage, vous renforcez les comptes de stockage contre les vecteurs d’attaque courants et gérez l’accès avec Microsoft Entra ID identités managées et les stratégies d’accès stockées. Ensuite, vous configurez des contrôles de périmètre réseau à l’aide de règles de pare-feu et de points de terminaison privés, et activez Microsoft Defender pour le stockage afin de détecter les menaces, notamment les chargements de fichiers malveillants et les informations d’identification de l’agent IA compromises.
Module 5 : Implémenter la sécurité pour les bases de données Azure SQL
Implémentez la sécurité de bout en bout pour Azure SQL Database et SQL Managed Instance. Configurez l’authentification Entra ID accompagnée de l'accès aux identités managées, déployez des points de terminaison privés et appliquez des contrôles d’accès et de chiffrement pour protéger les données financières sensibles. Établissez des pistes d’audit conformes et activez les Microsoft Defender pour les bases de données afin de détecter l’injection SQL, l’accès anormal et les expositions aux vulnérabilités.
Module 6 : Implémenter des contrôles de sécurité réseau dans Azure
Implémentez des contrôles de sécurité réseau en profondeur dans Azure. Segmentez les charges de travail et appliquez le principe du moindre privilège à l’aide de groupes de sécurité réseau, de groupes de sécurité d’application et d’Azure Virtual Network Manager. Inspectez et contrôlez le trafic de manière centralisée avec Pare-feu Azure. Renforcez la connectivité à distance et hybride, et remplacez l’accès VPN généralisé par un accès Confiance nulle au niveau des applications à l’aide de Accès privé Microsoft Entra. Éliminez l’exposition publique des services PaaS et IA à l’aide de points de terminaison privés et de Azure Private Link.
Module 7 : Implémenter la sécurité pour l’IA
Les charges de travail IA introduisent de nouvelles surfaces d’attaque entre les couches d’identité, de données et d’exécution que les contrôles de sécurité traditionnels ne traitent pas entièrement. Dans ce parcours d’apprentissage, vous implémentez des contrôles de sécurité IA en couches sur la plateforme de sécurité Microsoft.
Vous commencez par découvrir et évaluer les risques liés aux données IA à l’aide de Gestion de la posture de sécurité des données Microsoft Purview (DSPM). Ensuite, vous sécurisez les identités d’agent à l’aide de Identifiant d’assistant Microsoft Entra et Accès conditionnel, et analysez le rayon de rayonnement de l'identité IA et les chemins d'attaque dans Microsoft Defender XDR. À partir de là, vous configurez la protection du runtime en temps réel pour les agents Copilot Studio à l’aide de Microsoft Defender for Cloud Apps, et sécurisez le trafic du modèle IA à l’aide de la passerelle AI dans Microsoft Foundry. Enfin, vous configurez des garde-fous dans Microsoft Foundry, protégez les charges de travail IA à l’aide de Microsoft Defender for Cloud et régissez les agents déployés à l’aide de Microsoft Agent 365.
Module 8 : Implémenter la sécurité pour les serveurs et les machines virtuelles
Implémentez des contrôles de sécurité en couches entre les machines virtuelles Azure et les serveurs hybrides avec Arc. Configurez les options de chiffrement de disque, notamment le chiffrement sur l’hôte avec des clés gérées par le client et le chiffrement de disque confidentiel. Activez les fonctionnalités de sécurité de lancement approuvé (démarrage sécurisé, vTPM et surveillance de l’intégrité) pour vous protéger contre les menaces au niveau du démarrage. Éliminez l’exposition RDP publique et SSH avec Azure Bastion. Étendez la gouvernance de la sécurité Azure aux serveurs locaux et multicloud à l’aide d’Azure Arc. Déployez Microsoft Defender for Servers pour l’analyse des vulnérabilités, la détection sur les points de terminaison, l’analyse sans agent des machines et la surveillance de l’intégrité des fichiers. Appliquez l’accès juste-à-temps aux machines virtuelles pour éliminer définitivement les ports de gestion ouverts. Appliquez Azure Configuration de l’ordinateur pour auditer et appliquer les bases de référence de sécurité du système d’exploitation dans l’ensemble de votre patrimoine de serveurs.
Module 9 : Sécurisation des services de plateforme d’applications Azure pour l’ingénieur sécurité du cloud et de l’IA
Implémentez des contrôles de sécurité sur l’ensemble des services de plateforme applicative Azure, des charges de travail conteneurisées jusqu’à la couche API. Configurez Microsoft Defender for Containers pour détecter les risques dans AKS et ACR, appliquer les configurations de référence de sécurité AKS et renforcer les registres de conteneurs ainsi que les environnements d’exécution. Ensuite, appliquez des contrôles d’authentification, d’accès réseau et de stratégie entre les applications de fonction Azure, les applications logiques, App Services, Web Application Firewall et Gestion des API Azure.
Module 10 : Gérer la posture de sécurité en utilisant Microsoft Defender pour le cloud
Apprenez à créer et à maintenir une posture de sécurité forte dans votre patrimoine hybride et multicloud à l’aide de Microsoft Defender pour Cloud. Vous commencez par connecter des environnements LOCAUX, AWS et GCP pour établir une visibilité unifiée. Vous identifiez et hiérarchisez ensuite les risques de sécurité à l’aide de Cloud Security Posture Management (CSPM), notamment le degré de sécurisation, l’analyse des chemins d’attaque et Cloud Security Explorer. Vous élargissez cette vue de posture de l’extérieur vers l’intérieur avec Microsoft Defender External Attack Surface Management (EASM) pour découvrir des actifs inconnus orientés vers Internet et mettre en évidence les vulnérabilités exploitables. Vous évaluez la posture de conformité de votre organisation par rapport aux frameworks réglementaires et générez des rapports prêts pour l’audit. Enfin, vous activez les plans CWPP (Cloud Workload Protection Platform) pour défendre les serveurs, le stockage, les bases de données et les charges de travail IA contre les menaces actives. Configurez ensuite Microsoft Defender Vulnerability Management pour analyser et corriger les vulnérabilités sur les machines virtuelles Azure.
Module 11 : Implémenter l’activité et la collecte d’événements dans Microsoft Sentinel
Créez une architecture complète de collecte d’événements et de réponse dans Microsoft Sentinel. Dans ce parcours d’apprentissage, vous configurez et sécurisez un espace de travail Microsoft Sentinel, déployez des solutions Content Hub et connectez Azure données de ressources. Ensuite, vous collectez des événements de sécurité Linux et Windows avec des règles de collecte de données et implémentez des flux de travail de réponse automatisés avec des playbooks Logic Apps. La dernière étape consiste à gérer la rétention des données et l’accès au journal d’audit pour répondre aux exigences de conformité.
Module 12 : Déployer et exploiter Microsoft Security Copilot
Dans ce parcours d’apprentissage, vous créez une base de travail avec Microsoft Security Copilot et passez au déploiement de niveau entreprise et aux opérations quotidiennes. Vous commencez par explorer les concepts de base, comment Security Copilot traite les invites en langage naturel, les éléments d’une invite efficace et les étapes permettant d’activer la solution pour votre organisation. Vous planifiez ensuite et configurez des espaces de travail avec les unités de calcul de sécurité appropriées, les paramètres de résidence des données et les attributions de rôles pour prendre en charge les exigences de segmentation d’entreprise. Enfin, vous régissez l’accès au plug-in et gérez le cycle de vie complet des agents intégrés Microsoft et des partenaires afin de maintenir votre déploiement en douceur et en toute sécurité.
En tant que candidat à ce cours, vous êtes ingénieur de sécurité qui protège les systèmes organisationnels et les données dans les environnements cloud et hybrides en implémentant des contrôles de sécurité complets qui empêchent l’accès non autorisé et atténuent les risques de manière proactive. Ce rôle s’étend sur plusieurs domaines de sécurité, notamment l’identité, le réseau, l’application, les données et le calcul. Ce rôle garantit également que les plateformes, les données, les identités et l’infrastructure utilisées par les charges de travail IA sont implémentées et surveillées en toute sécurité. Vous travaillez en étroite collaboration avec les architectes, administrateurs, ingénieurs, analystes et développeurs responsables de Azure, Microsoft 365, identité et accès, protection des informations, opérations de sécurité, devops, développement d’applications, plateformes de base de données et réseaux.
Vous devez avoir une expérience pratique dans l’administration de Microsoft Azure et d’environnements hybrides, notamment le calcul, le réseau et le stockage. Vous devez avoir une connaissance forte de Microsoft Entra ID et de la connaissance de l’administration Microsoft 365. Vos responsabilités pour ce rôle sont les suivantes :
- Sécurisation de l’accès aux ressources à l’aide de Microsoft Entra ID et de Azure Key Vault
- Application de la sécurité et de la conformité réglementaire
- Sécurisation du stockage, des bases de données et de la mise en réseau
- Sécurisation du calcul
- Sécurisation des solutions IA
- Gestion et surveillance de la posture de sécurité
Cette formation marque la première étape de préparation à l'examen de certification :
« SC-500 : Cloud and AI Security Engineer Associate »
ATTENTION : L’examen ne se déroule pas dans le cadre de la formation, vous devrez vous y inscrire séparément. Pratiquer vos nouvelles connaissances en situation réelle augmente considérablement vos chances de réussite à l’examen, c’est pourquoi nous vous conseillons de ne pas passer l’examen tout de suite après votre formation, mais de prendre votre temps et de vous y inscrire lorsque vous serez prêt.
Inscription à l’examen
Vous avez la possibilité de vous inscrire à un examen que vous passerez soit dans un de nos centres de formation Digicomp, agréés centre de test Pearson Vue, à Lausanne ou Genève, soit depuis chez vous.
Chez Digicomp : Inscrivez-vous à l’examen directement sur le site de Pearson VUE et sélectionnez l’un de nos centres de formation Digicomp (Lausanne ou Genève). Vous pourrez ensuite choisir parmi les créneaux d’examen proposés dans nos centres.
Chez vous : Pour passer un examen depuis chez vous, vous devez vous inscrire en passant par ce lien.
Le prix de l’examen est de CHF 119.- (sous réserve de modification par l’éditeur).