Zeroday Cyber Academy
Bootcamp · 16 h intensif · Cohorte restreinte

Syllabus du Bootcamp Cloud Security

Programme détaillé du bootcamp court intensif Zeroday consacré à la sécurisation des environnements cloud-native (AWS, Azure, Kubernetes). 16 heures de contenu dense, labs sur infrastructure cloud réelle, projet final multi-cloud. Conforme aux indicateurs 5 et 6 du Référentiel National Qualité (Qualiopi).

Candidater au bootcamp

Sélection sur profil

Public visé & prérequis

Public visé

  • Développeurs, DevOps, admins sys ou SRE avec 1 à 2 ans d'expérience technique au minimum.
  • Profils déjà à l'aise en terminal Linux qui veulent passer à la sécurisation des environnements cloud-native multi-cloud.
  • Équipes produit qui veulent un référent Cloud Security en interne sans repartir de zéro sur la cybersécurité.

Prérequis techniques

  • Confort en terminal Linux et lecture/édition de fichiers de configuration (YAML, JSON, HCL).
  • Compréhension HTTP/REST, des concepts d'authentification vs autorisation, d'un flow OAuth.
  • Exposition initiale à AWS ou Azure (même superficielle, en console ou via CLI).
  • Disponibilité dédiée sur la période du bootcamp, pas adapté à un suivi en pointillé.

Modalités & objectif global

Format & durée

  • Format court intensif : 16 heures de contenu pédagogique dense, 100 % à distance.
  • Sessions live hebdomadaires en cohorte restreinte, avec démonstrations sur infrastructure cloud réelle.
  • Labs hands-on provisionnés par Zeroday (comptes AWS + Azure + cluster Kubernetes sandbox).
  • Capsules vidéo asynchrones + supports techniques accessibles pendant et après le bootcamp.
  • Projet final intégratif multi-cloud avec soutenance orale 20 minutes.
  • Cohortes restreintes pour garantir l'accès individuel à l'infra cloud et la qualité du suivi.

Objectif global

  • Tu sécurises de bout en bout un environnement multi-cloud (AWS + Azure + Kubernetes) à partir d'un threat model rigoureux.
  • Tu mets en place un dispositif de détection cloud-native couvrant les TTPs MITRE ATT&CK for Cloud les plus exploités en 2026.
  • Tu sais exécuter un plan de réponse aux incidents cloud avec containment, eradication et recovery documentés.
  • Tu obtiens l'attestation Zeroday Cloud Security sur la base d'une évaluation par grille 8 compétences × 4 niveaux.
  • Tu repars avec un portfolio démontrable en entretien : rapport capstone, runbooks IR, règles de détection custom.
Module 01

Fondations cloud & threat landscape

Shared responsibility, MITRE ATT&CK for Cloud, méthodologie d'audit, ScoutSuite, Prowler, CloudSploit.

Objectifs pédagogiques

  • Cartographier le modèle de responsabilité partagée AWS, Azure, GCP et identifier précisément où s'arrête le fournisseur et où commence ta responsabilité.
  • Lire et exploiter la matrice MITRE ATT&CK for Cloud pour situer les techniques adverses observées en 2026.
  • Tu sauras conduire un audit cloud-native structuré, du périmètre au rapport, sans confondre audit IAM et audit configuration.
  • Choisir et chaîner les bons outils d'audit selon le scope : ScoutSuite, Prowler, CloudSploit, avec leurs forces et limites.

Contenus & sujets

  • Modèle de responsabilité partagée AWS, Azure, GCP : ce que tu héberges vs ce que tu configures vs ce que tu sécurises.
  • Threat landscape cloud 2026 : panorama des techniques MITRE ATT&CK for Cloud (TA0001 Initial Access cloud, T1078.004 valid accounts cloud, T1098.001 additional cloud credentials, etc.).
  • Méthodologie d'audit cloud : scoping, collecte d'évidences, hiérarchisation des findings, restitution.
  • Outillage d'audit : ScoutSuite (multi-cloud), Prowler (focus AWS), CloudSploit, comparaison et critères de choix.

Modalités pédagogiques

  • Session live de cadrage du landscape avec démonstration ScoutSuite sur tenant de démo.
  • Capsule vidéo asynchrone sur le shared responsibility model détaillé par service.
  • Lab guidé : premier audit Prowler sur un compte AWS sandbox fourni par Zeroday.

Évaluations & projets

  • Quiz technique : identifier la zone de responsabilité (fournisseur vs client) sur 15 services AWS/Azure.
  • Mini-livrable : rapport d'audit Prowler avec hiérarchisation des findings par criticité.
Module 02

AWS Security — IAM, S3, VPC, Lambda

Sécurisation des services AWS les plus utilisés, scénarios de privilege escalation, hardening défensif.

Objectifs pédagogiques

  • Concevoir des policies IAM AWS avec least-privilege réel, en utilisant les permission boundaries et les Service Control Policies (SCPs) pour bloquer les chemins de privesc.
  • Tu sécurises un bucket S3 contre les fuites (ACL, bucket policy, block public access, encryption KMS) et tu détectes une exposition avant qu'elle ne soit exploitée.
  • Tu mets en place la sécurité réseau d'un VPC (flow logs, VPC endpoints, Security Groups, NACLs) pour réduire la surface d'attaque latérale.
  • Auditer une fonction Lambda du point de vue sécurité : permissions IAM, gestion des secrets, isolation, surface d'exécution.
  • Tu exécutes une chaîne d'exploitation AWS privesc en environnement sandbox (du token compromis à l'accès admin) et tu sais la bloquer côté défense.

Contenus & sujets

  • IAM AWS en profondeur : policies (managed, inline, identity-based, resource-based), roles, instance profiles, permission boundaries, Service Control Policies (SCPs).
  • S3 hardening : ACL legacy vs bucket policies modernes, block public access account-level, encryption SSE-S3/SSE-KMS, audit S3 Access Logs.
  • VPC security : flow logs, VPC endpoints (Gateway et Interface), Security Groups vs NACLs, NAT/Internet Gateway, peering et risques associés.
  • Lambda sécurisée : permissions IAM par fonction, gestion des secrets (Secrets Manager, Parameter Store), isolation network, cold start et observabilité.
  • Exploitation chain AWS privesc : scénarios documentés (iam:PassRole → ec2:RunInstances, sts:AssumeRole cross-account mal configuré, attached managed policies escalatables).

Modalités pédagogiques

  • Sessions live démo IAM : construction d'une boundary policy défensive sur écran partagé.
  • Lab AWS dédié provisionné par Zeroday (compte sandbox isolé) pour l'exploitation chain.
  • Revue de code IAM en cohorte : analyse de policies vraies tirées d'audits anonymisés.

Évaluations & projets

  • Lab noté : sécuriser un compte AWS volontairement vulnérable (S3 public, IAM permissif, Lambda fuyante).
  • Cas pratique : auditer une policy IAM client et produire la version durcie avec boundary.
  • Quiz technique : reconnaître 10 scénarios de privesc AWS et leur remédiation.
Module 03

Azure Security — Entra ID, RBAC, Key Vault

Équivalent Azure : Entra ID (ex-AAD), RBAC, hardening tenant, Defender for Cloud, attaques identité.

Objectifs pédagogiques

  • Maîtriser Entra ID : utilisateurs, groupes, Conditional Access policies, et savoir construire un dispositif d'accès robuste face aux attaques d'identité 2026.
  • Tu conçois un modèle RBAC Azure propre avec scopes (management group, subscription, resource group, resource) et rôles custom quand les built-in ne suffisent pas.
  • Tu sécurises un Key Vault Azure (RBAC vs access policies legacy, audit logs, soft-delete, purge protection) pour les secrets critiques.
  • Lire et exploiter Defender for Cloud (CSPM) pour piloter la posture sécurité d'un tenant complet.
  • Tu sais détecter et bloquer les attaques Entra ID modernes (token theft via PRT, consent phishing apps OAuth) en exploitant les Entra ID sign-in logs.

Contenus & sujets

  • Entra ID en profondeur : utilisateurs, groupes dynamiques, rôles directory, Conditional Access (signaux, contrôles, exclusions), Privileged Identity Management (PIM).
  • RBAC Azure : hiérarchie de scopes, rôles built-in vs custom, héritage et limites, PIM activation pour roles privileged.
  • Key Vault : RBAC modern vs access policies legacy (et pourquoi migrer), audit logs, soft-delete + purge protection, network restrictions (firewall, private endpoint).
  • Defender for Cloud : posture management, secure score, recommandations actionnables, regulatory compliance (ISO, NIST, CIS).
  • Attaques Entra ID 2026 : token theft (PRT exfiltration), consent phishing (illicit consent grant), device code phishing, et leur détection dans les sign-in logs.

Modalités pédagogiques

  • Session live d'analyse de logs Entra ID réels (anonymisés) pour identifier des indicateurs de token theft.
  • Lab Azure : configurer Conditional Access pour bloquer le consent phishing tout en gardant les apps légitimes.
  • Démo Defender for Cloud sur tenant pédagogique avec scoring posture pré/post-remédiation.

Évaluations & projets

  • Lab noté : durcir un tenant Azure volontairement faible (Entra ID permissif, Key Vault legacy, pas de Defender).
  • Cas pratique : analyser un dump de sign-in logs et identifier l'attaque (token theft vs consent phishing vs login normal).
  • Quiz technique : différencier les contrôles Entra ID, RBAC et Conditional Access selon le scénario.

Trois modules de fondations multi-cloud (AWS + Azure + threat landscape). Tu veux faire partie de la prochaine cohorte ?

Candidater au Bootcamp Cloud
Module 04

Containers & Kubernetes security

Docker hardening, K8s RBAC/NetworkPolicy/PodSecurity, admission controllers, runtime, supply chain.

Objectifs pédagogiques

  • Durcir une image Docker en production : image scanning Trivy, distroless, multi-stage build, et tu sais éliminer les non-conformités avant le déploiement.
  • Tu mets en place RBAC Kubernetes, NetworkPolicy et PodSecurity (ou Pod Security Standards) pour qu'un pod compromis ne devienne pas un cluster compromis.
  • Tu déploies des admission controllers OPA Gatekeeper ou Kyverno avec des policies métier qui bloquent les déploiements non conformes au moment où ils arrivent dans le cluster.
  • Tu détectes des comportements anormaux runtime avec Falco ou Tetragon (eBPF) et tu construis des règles custom adaptées à tes workloads.
  • Tu sécurises la supply chain de bout en bout : SBOM (CycloneDX, SPDX), signing Sigstore (cosign), vérification SLSA en admission Kubernetes.

Contenus & sujets

  • Docker hardening : image scanning Trivy (vulnerabilities + misconfigurations + secrets), distroless vs minimal base images, multi-stage build pour réduire l'attack surface.
  • Kubernetes RBAC : Role/ClusterRole, RoleBinding/ClusterRoleBinding, ServiceAccount par workload, et anti-pattern à éviter (cluster-admin par défaut).
  • NetworkPolicy : isolation egress/ingress par pod, default-deny pattern, exception explicite via labels.
  • PodSecurity : Pod Security Standards (Restricted, Baseline, Privileged) et leur application via namespaces labels.
  • Admission controllers : OPA Gatekeeper (Rego policies), Kyverno (YAML policies), comparaison et cas d'usage métier.
  • Runtime security : Falco rules basées sur syscalls, Tetragon basé sur eBPF, intégration avec un SIEM.
  • Supply chain : génération de SBOM (Syft, Trivy SBOM), signing d'images Sigstore (cosign sign-blob, attestation), vérification SLSA Provenance en admission K8s.

Modalités pédagogiques

  • Lab Kubernetes dédié provisionné par Zeroday (cluster sandbox isolé multi-tenant).
  • Session live de démonstration OPA Gatekeeper : écriture d'une policy Rego qui bloque les images non-signées.
  • Pair-programming Falco rules : analyse d'un comportement post-exploitation observé en lab.

Évaluations & projets

  • Lab noté : durcir un cluster Kubernetes volontairement faible (pas de RBAC, pas de NetworkPolicy, runtime exposé).
  • Cas pratique : écrire une policy Kyverno qui force tous les pods à utiliser une image signée Sigstore.
  • Quiz technique : reconnaître 10 anti-patterns Docker/K8s en lecture de manifest.
Module 05

Détection & réponse aux incidents cloud

Logging natif, corrélation SIEM, détection custom, playbooks IR, forensic cloud.

Objectifs pédagogiques

  • Tu exploites les sources de logs natives cloud (CloudTrail AWS, Azure Activity Logs, audit logs Kubernetes) pour reconstituer une chronologie d'incident.
  • Tu écris des règles de détection custom dans un SIEM cloud (queries KQL pour Sentinel, Athena SQL pour AWS) qui ciblent les TTPs MITRE ATT&CK for Cloud.
  • Tu construis et exécutes un playbook de réponse aux incidents cloud avec phases claires (containment, eradication, recovery, lessons learned).
  • Tu conduis un forensic cloud minimal : capture de snapshots de volumes, capture mémoire (live forensics), préservation de la chaîne de custody.

Contenus & sujets

  • Sources de logs cloud : CloudTrail management/data events, CloudTrail Lake, Azure Activity Logs vs Sign-in Logs vs Audit Logs, Kubernetes audit policy.
  • Écriture de détections custom : queries KQL (Microsoft Sentinel) pour token theft, queries Athena SQL (AWS Security Lake) pour exfiltration S3.
  • Playbooks IR cloud : containment IAM (révocation tokens, désactivation rôles), eradication (suppression backdoors), recovery (rotation secrets, audit IAM), lessons learned.
  • Forensic cloud : capture EBS snapshot pour analyse, capture mémoire EC2 via volatility/AWS CLI, préservation de la chaîne de custody dans un environnement multi-tenant.

Modalités pédagogiques

  • Session live de wargame IR : Naïm joue l'attaquant, la cohorte joue la défense sur tenant cloud sandbox.
  • Lab dédié : reconstituer une chronologie d'incident à partir d'un dump CloudTrail anonymisé.
  • Atelier playbook : rédaction collective d'un runbook de containment IAM AWS adapté au contexte métier de chaque participant.

Évaluations & projets

  • Lab noté : détecter et contenir une attaque post-compromission IAM AWS en moins de 30 minutes.
  • Cas pratique : écrire 3 règles KQL ciblant 3 techniques MITRE ATT&CK for Cloud distinctes.
  • Quiz technique : ordonnancer correctement les phases d'un playbook IR cloud avec leur justification.
Module 06

Capstone project multi-cloud

Projet intégratif end-to-end : threat model, durcissement, détection, réponse, documentation.

Objectifs pédagogiques

  • Tu conduis un threat modeling complet sur une infra multi-cloud (AWS + Azure + cluster K8s) selon une méthode structurée (STRIDE, attack trees ou équivalent).
  • Tu durcis l'IAM multi-cloud bout en bout (AWS IAM + Azure Entra ID + K8s RBAC) avec un modèle de séparation des privilèges traçable.
  • Tu déploies un dispositif de détection custom couvrant les 3 plans (AWS, Azure, K8s) avec alerting intégré et faux positifs maîtrisés.
  • Tu produis un plan de réponse aux incidents documenté, exploitable par une équipe d'astreinte, avec critères d'escalade et de communication.
  • Tu livres un rapport final auditeur-ready et une démonstration orale de 20 minutes (cohérent avec un entretien technique senior).

Contenus & sujets

  • Threat modeling complet : périmètre multi-cloud, identification des actifs critiques, hiérarchisation des risques.
  • Durcissement IAM multi-cloud : conception du modèle de séparation des privilèges, traçabilité des autorisations, audit en continu.
  • Détection + alerting custom : règles SIEM par plan (AWS, Azure, K8s), pipeline de corrélation, gestion des faux positifs.
  • Plan de réponse aux incidents : phases, rôles, critères d'escalade, communication interne/externe, indicateurs post-incident.
  • Livrable final : rapport technique structuré (méthodologie, findings, remédiations) + démonstration orale 20 min devant Naïm.

Modalités pédagogiques

  • Sessions individuelles de mentorat avec Naïm pour cadrer le périmètre et arbitrer les priorités du capstone.
  • Revue intermédiaire en cohorte à mi-parcours du capstone pour feedback technique pair-à-pair.
  • Session de soutenance finale en visio : 20 min de démonstration + 10 min de questions techniques.

Évaluations & projets

  • Livrable final : rapport technique consolidé (threat model + durcissement + détection + plan IR + documentation).
  • Démonstration orale 20 min jugée sur clarté technique, profondeur, capacité à défendre les choix d'architecture.
  • Évaluation finale Naïm sur grille 8 compétences × 4 niveaux (cohérente avec le tableau d'évaluation des acquis Qualiopi Ind 11).

Labs hands-on

Six labs guidés sur infrastructure cloud réelle (comptes AWS + Azure + cluster Kubernetes sandbox), du premier scénario de privesc IAM jusqu'au projet final multi-cloud documenté.

  • Lab 01AWS · IAM

    AWS IAM privesc

    Exploitation d'une chaîne de privesc classique (iam:PassRole → ec2:RunInstances) puis remédiation par boundary policies.

  • Lab 02AWS · Data

    S3 public bucket audit

    Détection, exploitation (lecture + écriture), remédiation (block public access, SCP).

  • Lab 03Azure · Identity

    Entra ID token theft

    Simulation d'une attaque token theft sur un workload Azure, détection via Entra ID logs.

  • Lab 04K8s · Hardening

    Kubernetes cluster hardening

    Setup d'un cluster non durci, exploitation de privilèges pod, mise en place RBAC + NetworkPolicy + PodSecurity.

  • Lab 05CI/CD

    Supply chain durcie

    Pipeline CI/CD avec SAST, image scanning, signing Sigstore, vérification SLSA en admission K8s.

  • Lab 06Capstone

    Projet final multi-cloud

    Sécurisation end-to-end d'une app déployée sur AWS et Azure, avec détection custom + plan de réponse documenté.

Cloud-native security en mode terrain : AWS, Azure, Kubernetes, détection, réponse. La sélection se fait sur profil.

Candidater au Bootcamp Cloud

Évaluation & certification interne

L'évaluation repose sur du contrôle continu et un capstone noté, cohérents avec les grilles d'évaluation des acquis Qualiopi (indicateur 11 du RNQ). Pas d'examen-couperet : ce qui compte, c'est la capacité démontrée à sécuriser une infrastructure cloud réelle.

Évaluations continues

  • Quiz technique à la fin de chaque module : reconnaissance d'anti-patterns AWS, Azure, Kubernetes.
  • Labs notés sur scénarios d'attaque/défense (privesc IAM, hardening cluster, détection token theft, etc.).
  • Cas pratiques de revue de code IAM, de manifests Kubernetes, de policies Rego/Kyverno.
  • Feedback individualisé pendant les sessions live et en mentorat de fin de module.

Capstone & attestation

  • Capstone final multi-cloud : threat model + durcissement IAM + détection custom + plan de réponse aux incidents documenté.
  • Soutenance orale 20 minutes devant Naïm + 10 minutes de questions techniques (format entretien senior).
  • Évaluation finale sur grille 8 compétences × 4 niveaux (Débutant / Découverte / En cours / Confirmé), alignée avec le tableau d'évaluation des acquis Qualiopi Ind 11.
  • Attestation Zeroday Cloud Security précisant les compétences acquises, remise après validation.
  • Questionnaire de satisfaction à chaud (J+0) et à froid (J+90) pour boucler le cycle qualité (Ind 30 du RNQ).

Accessibilité & référent handicap

Le bootcamp est conçu pour être accessible aux apprenants en situation de handicap (indicateur 26 du RNQ). Les adaptations sont préfigurées pour les 8 profils-type identifiés dans la charte d'accessibilité Zeroday et mobilisées sur demande.

Adaptations possibles

  • Sous-titres systématiques sur les sessions live et capsules vidéo, transcriptions textuelles disponibles sur demande.
  • Supports techniques en format texte brut compatibles avec les lecteurs d'écran (NVDA, VoiceOver).
  • Navigation clavier intégrale dans les labs (pas de dépendance souris pour les exercices critiques).
  • Replays accessibles pendant la durée du bootcamp pour permettre un rythme adapté.
  • Sessions de rattrapage individuelles si une session live n'est pas suivable en direct.
  • Adaptation des modalités d'évaluation sur demande (temps majoré, oral, etc.).

Comment activer une adaptation

  • Mentionne ta situation lors de la candidature ou pendant l'entretien d'éligibilité.
  • Un échange individualisé est planifié avec Naïm Aouaichia, référent handicap de l'organisme.
  • Un plan d'adaptation est formalisé et tracé dans ton dossier stagiaire.
  • Orientation possible vers les partenaires du réseau handicap (AGEFIPH Hauts-de-France, Cap Emploi Nord) si pertinent.
Accessibilité & handicap

Naïm Aouaichia

Référent handicap

Consulter la charte d'accessibilité →
Sélection sur profil

Prêt·e à intégrer la prochaine cohorte Cloud Security ?

La candidature prend quelques minutes : on étudie ton profil tech, ton expérience cloud (même superficielle) et tes objectifs. Si tu corresponds, on planifie un échange pour valider l'éligibilité et le format.

Candidater au Bootcamp Cloud

Conformité Qualiopi

Ce syllabus répond aux indicateurs 5 (objectifs opérationnels) et 6 (contenus et modalités) du Référentiel National Qualité. Page consultable par l'auditeur Qualiopi.