GCP300SEC
Sécurité dans Google Cloud
Ce cours de formation vous offre une étude approfondie des contrôles et des techniques de sécurité dans Google Cloud. À travers des conférences, des démonstrations et des laboratoires, vous explorez et déployez les composants d'une solution Google Cloud sécurisée. Vous utilisez des services tels que Cloud Identity, Identity and Access Management (IAM), Cloud Load Balancing, Cloud IDS, Web Security Scanner, BeyondCorp Enterprise et Cloud DNS.
Ce que vous allez apprendre
- Identifier les fondements de la sécurité de Google Cloud.
- Gérer les identités d'administration avec Google Cloud.
- Mettre en œuvre l'administration des utilisateurs avec Identity and Access Management (IAM).
- Configurer les Virtual Private Clouds (VPC) pour l'isolement, la sécurité et la journalisation.
- Appliquer les techniques et les meilleures pratiques pour gérer en toute sécurité Compute Engine.
- Appliquer les techniques et les meilleures pratiques pour gérer en toute sécurité les données de Google Cloud.
- Appliquer les techniques et les meilleures pratiques pour sécuriser les applications Google Cloud.
- Appliquer les techniques et les meilleures pratiques pour sécuriser les ressources de Google Kubernetes Engine (GKE).
- Gérer la protection contre les attaques par déni de service distribué (DDoS).
- Gérer les vulnérabilités liées au contenu.
- Mettre en œuvre les solutions de surveillance, de journalisation, d'audit et d'analyse de Google Cloud.
Prérequis
- Avoir suivi le cours Google Cloud Fundamentals: Core Infrastructure ou posséder une expérience équivalente.
- Avoir suivi le cours Networking in Google Cloud ou posséder une expérience équivalente.
- Connaissance des concepts fondamentaux de la sécurité de l'information, acquise par l'expérience ou une formation en ligne telle que SANS SEC301: Introduction to Cyber Security.
- Maîtrise de base des outils en ligne de commande et des environnements de système d'exploitation Linux.
- Expérience en opérations système, y compris le déploiement et la gestion d'applications, que ce soit sur site ou dans un environnement de cloud public.
- Compréhension écrite de code en Python ou Javascript.
- Compréhension de base de la terminologie Kubernetes (préférable mais non obligatoire).
Public cible
- Analystes, architectes et ingénieurs en sécurité de l'information cloud, Spécialistes de la sécurité de l'information ou de la cybersécurité, Architectes d'infrastructure cloud
Programme de la Formation
11 modules pour maîtriser les fondamentaux
Objectifs
- Expliquer le modèle de responsabilité partagée en matière de sécurité de Google Cloud.
- Décrire l'approche de Google Cloud en matière de sécurité.
- Reconnaître les menaces atténuées par Google et Google Cloud.
- Identifier les engagements de Google Cloud en matière de conformité réglementaire.
Sujets abordés
- →L'approche de Google Cloud en matière de sécurité
- →Le modèle de responsabilité partagée en matière de sécurité
- →Menaces atténuées par Google et Google Cloud
- →Transparence de l'accès
Objectifs
- Décrire ce qu'est Cloud Identity et ce qu'il fait.
- Expliquer comment Google Cloud Directory Sync synchronise en toute sécurité les utilisateurs et les autorisations entre votre serveur LDAP ou AD sur site et le cloud.
- Explorer et appliquer les meilleures pratiques pour la gestion des groupes, des autorisations, des domaines et des administrateurs avec Cloud Identity.
Sujets abordés
- →Cloud Identity
- →Google Cloud Directory Sync
- →Managed Microsoft AD
- →Authentification Google versus SSO basé sur SAML
- →Identity Platform
- →Meilleures pratiques d'authentification
Activités
Démo : Définition des utilisateurs avec la console Cloud Identity
Objectifs
- Identifier les rôles et autorisations IAM qui peuvent être utilisés pour organiser les ressources dans Google Cloud.
- Expliquer les fonctionnalités de gestion des projets Google Cloud.
- Définir les politiques IAM, y compris les politiques d'organisation.
- Mettre en œuvre le contrôle d'accès avec IAM.
- Fournir l'accès aux ressources Google Cloud en utilisant des rôles IAM prédéfinis et personnalisés.
Sujets abordés
- →Resource Manager
- →Rôles IAM
- →Comptes de service
- →Politiques IAM et d'organisation
- →Fédération d'identités de charge de travail
- →Policy Intelligence
Activités
Lab : Configuration d'IAM
Objectifs
- Décrire la fonction des réseaux VPC.
- Reconnaître et mettre en œuvre les meilleures pratiques pour la configuration des pare-feu VPC (règles d'entrée et de sortie).
- Sécuriser les projets avec VPC Service Controls.
- Appliquer les politiques SSL aux équilibreurs de charge.
- Activer la journalisation des flux VPC, puis utiliser Cloud Logging pour accéder aux journaux.
- Déployer Cloud IDS et afficher les détails des menaces dans la console Google Cloud.
Sujets abordés
- →Pare-feu VPC
- →Équilibrage de charge et politiques SSL
- →Cloud Interconnect
- →Peering de réseaux VPC
- →VPC Service Controls
- →Access Context Manager
- →Journaux de flux VPC
- →Cloud IDS
Activités
Lab : Configuration des pare-feu VPC
Lab : Configuration et utilisation des journaux de flux VPC dans Cloud Logging
Démo : Sécurisation des projets avec VPC Service Controls
Lab : Démarrage avec Cloud IDS
Objectifs
- Créer et gérer des comptes de service pour les instances Compute Engine (par défaut et définis par le client).
- Détailler les rôles et les portées IAM pour les VM.
- Explorer et appliquer les meilleures pratiques pour les instances Compute Engine.
- Expliquer la fonction du service de politique d'organisation.
Sujets abordés
- →Comptes de service, rôles IAM et portées d'API
- →Gestion des connexions aux VM
- →Contrôles de politique d'organisation
- →VM blindées et VM confidentielles
- →Certificate Authority Service
- →Meilleures pratiques de Compute Engine
Activités
Lab : Configuration, utilisation et audit des comptes de service et des portées de VM
Objectifs
- Utiliser les autorisations et les rôles IAM pour sécuriser les ressources cloud.
- Créer et envelopper des clés de chiffrement à l'aide du certificat de clé publique RSA de Compute Engine.
- Chiffrer et attacher des disques persistants aux instances Compute Engine.
- Gérer les clés et les données chiffrées à l'aide de Cloud Key Management Service (Cloud KMS) et Cloud HSM.
- Créer des vues autorisées BigQuery.
- Reconnaître et mettre en œuvre les meilleures pratiques pour la configuration des options de stockage.
Sujets abordés
- →Autorisations IAM et ACL de Cloud Storage
- →Audit des données cloud
- →URL signées et documents de politique
- →Chiffrement avec des clés de chiffrement gérées par le client (CMEK) et des clés de chiffrement fournies par le client (CSEK)
- →Cloud HSM
- →Rôles IAM et vues autorisées de BigQuery
- →Meilleures pratiques de stockage
Activités
Lab : Utilisation des clés de chiffrement fournies par le client avec Cloud Storage
Lab : Utilisation des clés de chiffrement gérées par le client avec Cloud Storage et Cloud KMS
Lab : Création d'une vue autorisée BigQuery
Objectifs
- Rappeler divers types de vulnérabilités de sécurité des applications.
- Détecter les vulnérabilités dans les applications App Engine à l'aide de Web Security Scanner.
- Sécuriser les applications Compute Engine à l'aide de BeyondCorp Enterprise.
- Sécuriser les identifiants d'application à l'aide de Secret Manager.
- Identifier les menaces de l'hameçonnage OAuth et d'identité.
Sujets abordés
- →Types de vulnérabilités de sécurité des applications
- →Web Security Scanner
- →Menace : Hameçonnage d'identité et OAuth
- →Identity-Aware Proxy
- →Secret Manager
Activités
Lab : Identification des vulnérabilités des applications avec Security Command Center
Lab : Sécurisation des applications Compute Engine avec BeyondCorp Enterprise
Lab : Configuration et utilisation des identifiants avec Secret Manager
Objectifs
- Expliquer les différences entre les comptes de service Kubernetes et les comptes de service Google.
- Reconnaître et mettre en œuvre les meilleures pratiques pour configurer GKE en toute sécurité.
- Expliquer les options de journalisation et de surveillance dans Google Kubernetes Engine.
Sujets abordés
- →Types de vulnérabilités de sécurité des applications
- →Web Security Scanner
- →Menace : Hameçonnage d'identité et OAuth
- →Identity-Aware Proxy
- →Secret Manager
Objectifs
- Identifier les quatre couches de l'atténuation des DDoS.
- Identifier les méthodes que Google Cloud utilise pour atténuer le risque de DDoS pour ses clients.
- Utiliser Google Cloud Armor pour bloquer une adresse IP et restreindre l'accès à un équilibreur de charge HTTP.
Sujets abordés
- →Comment fonctionnent les attaques DDoS
- →Mesures d'atténuation de Google Cloud
- →Types de produits partenaires complémentaires
Activités
Lab : Configuration du blocage de trafic avec Google Cloud Armor
Objectifs
- Discuter de la menace des rançongiciels.
- Expliquer les stratégies d'atténuation des rançongiciels (sauvegardes, IAM, API Cloud Data Loss Prevention).
- Mettre en évidence les menaces courantes pour le contenu (utilisation abusive des données ; violations de la vie privée ; contenu sensible, restreint ou inacceptable).
- Identifier des solutions pour les menaces liées au contenu (classification, analyse et rédaction).
- Détecter et rédiger des données sensibles à l'aide de l'API Cloud DLP.
Sujets abordés
- →Menace : Logiciel rançonneur (Ransomware)
- →Mesures d'atténuation des rançongiciels
- →Menaces : utilisation abusive des données, violations de la vie privée, contenu sensible
- →Atténuation liée au contenu
- →Rédaction de données sensibles avec l'API DLP
Activités
Lab : Rédaction de données sensibles avec l'API DLP
Objectifs
- Expliquer et utiliser le Security Command Center.
- Appliquer Cloud Monitoring et Cloud Logging à un projet.
- Appliquer les journaux d'audit Cloud à un projet.
- Identifier les méthodes pour automatiser la sécurité dans les environnements Google Cloud.
Sujets abordés
- →Security Command Center
- →Cloud Monitoring et Cloud Logging
- →Journaux d'audit Cloud
- →Automatisation de la sécurité cloud
Activités
Lab : Configuration et utilisation de Cloud Monitoring et Cloud Logging
Lab : Configuration et visualisation des journaux d'audit Cloud
Processus Qualité
L'engagement de SFEIR Institute : une démarche d'excellence pour garantir la qualité et la réussite de toutes nos formations. En savoir plus sur notre démarche qualité
Méthodes pédagogiques mobilisées
- Lectures / Apports théoriques (Slides) — Présentation de concepts via des supports visuels (PowerPoint, PDF).
- Démonstration technique (Démos) — Le formateur réalise une manipulation ou une procédure devant les apprenants.
- Laboratoires dirigés (Labs) — Mise en pratique guidée sur logiciel, machine ou environnement technique.
- Quiz / QCM — Test rapide de connaissances (format papier ou numérique type Kahoot/Klaxoon).
Dispositif d'évaluation et de suivi
L'atteinte des objectifs de la formation est évaluée à plusieurs niveaux pour garantir la qualité de la prestation :
- Évaluation continue des acquis : Vérification des connaissances tout au long de la formation via des méthodes participatives (en fonction de la formation: quiz, exercices pratiques, mises en situation) sous la supervision du formateur.
- Mesure de la progression : Dispositif d'auto-évaluation comparatif comprenant un diagnostic initial pour situer le niveau de départ, suivi d'une évaluation finale pour valider l'évolution des compétences.
- Évaluation de la qualité : Questionnaire de satisfaction en fin de session pour mesurer la pertinence et l'efficacité de la formation ressentie par les participants.
Prochaines sessions
4 février 2026
Distanciel • Français
20 mai 2026
Distanciel • Français
4 août 2026
Distanciel • Français
23 novembre 2026
Distanciel • Français
1 avril 2026
Distanciel • Français
1 juillet 2026
Distanciel • Français
5 octobre 2026
Distanciel • Français
1 avril 2026
Distanciel • Français
1 juillet 2026
Distanciel • Français
5 octobre 2026
Distanciel • Français
Former plusieurs collaborateurs
- Tarifs dégressifs (plusieurs places)
- Session privée ou sur-mesure
- En présentiel ou à distance