Version PDF

École de technologie supérieure

Responsable(s) de cours :

Chamseddine Talhi, Patrick Cardinal

PLAN DE COURS

Hiver 2026
GTI723 : Test d’intrusion (3 crédits)

Préalables
Pour tous profils : GTI619

Description du cours
Le test d’intrusion représente une étape cruciale dans la sécurisation d’un système d’information ou d’une infrastructure informatique. En effet, il consiste à mettre à l’épreuve la sécurité du système en l’exposant à une équipe d’experts ayant comme mission la découverte des vulnérabilités et leur exploitation afin de compromettre le bon fonctionnement du système, d’obtenir un accès illégal à une ressource, de perturber ou interrompre un service, etc. De ce fait, les spécialistes en test d’intrusion doivent maîtriser les principes fondamentaux de cette approche et maîtriser ses techniques afin de permettre la découverte méthodique de la majorité des vulnérabilités et d’analyser leur niveau d’exploitabilité. L’objectif ultime de cette activité est de documenter ces vulnérabilités afin d’identifier les correctifs à apporter.

Ce cours a pour objectif général de présenter les principaux aspects du test d’intrusion : les principales vulnérabilités des logiciels et des infrastructures informatiques et leur exploitabilité, les méthodes et outils de reconnaissance et de récolte d’information, les techniques de test d’intrusion et la documentation des résultats de l’analyse.

Au terme de ce cours, les étudiantes et les étudiants seront en mesure : d’étudier et d’analyser des logiciels et des infrastructures informatiques afin de découvrir des vulnérabilités qui peuvent représenter des brèches exploitables par des utilisateurs mal intentionnés ou des logiciels malveillants; d’utiliser des techniques de test d'intrusion afin d’exploiter des menaces et des vulnérabilités de sécurité découvertes dans des logiciels et des infrastructures informatiques; d’adopter une attitude éthique qui permet d’identifier ce qui est nécessaire et approprié comme pratique lors de la réalisation des tests d’intrusion.

Stratégies pédagogiques

La pédagogie du cours est basée sur les méthodes suivantes :

Familiariser l'étudiant avec les langages de programmation interprétés (scripting) et la création des exploits.
Familiariser l'étudiant avec les bases de chaque concept de la sécurité informatique et des tests d'intrusion avant l'utilisation des outils automatiques.
Accompagner les principes et concepts abordés d'exemples concrets et d’exercices pratiques.
Les travaux pratiques effectués au cours des séances de laboratoire permettent aux étudiants de se familiariser avec les vulnérabilités dans les protocoles de communication, les applications, et les systèmes d'exploitation et d’expérimenter la création des exploits.

Charge d’enseignement : 39 heures de cours, 24 heures de laboratoire. Sur une base hebdomadaire, ceci correspond à trois heures de cours magistral, deux heures de laboratoire et 4 heures et demi de travail hors classe. Totalisant ainsi 145 heures de travail.

Informations concernant l’agrément du BCAPG
Ce cours compte 59 unités d'agrément réparties comme suit :

Catégories de UA	Nombre	Proportion	Matière(s) traitée(s)
Science du génie	35,4 UA	60,00 %
Conception Ingénierie	23,6 UA	40,00 %

Utilisation d’appareils électroniques

Aucun enregistrement (photographie, film ou audio) ne sera toléré.

Horaire

Groupe	Jour	Heure	Activité
01	Mardi	18:00 - 20:00	Laboratoire
	Jeudi	18:00 - 21:30	Activité de cours

Coordonnées du personnel enseignant le cours

Groupe	Nom	Activité	Courriel	Local	Disponibilité
01	Oussama Boudar	Activité de cours	ouxssxuo@gmail.com
01		Laboratoire

Cours

Introduction au test d'intrusion
- Méthodologies
- Approches
- Types
Réseaux et protocoles de communication
- Concepts réseau reliés a la sécurité informatique
- Test d'intrusion sur les protocoles de communication
- Forger des paquets réseau
Collecte d'informations
- Collecte d'informations sur le web
- Collecte d'informations a partir des services : dns, courriel, etc.
Balayage et énumération
- Énumération des serveurs et postes de travail
- Énumération des ports
- Identification des systèmes d'exploitation
- Énumération des vulnérabilités
Vulnérabilités dans les logicielles et les systèmes d'exploitation
- Vulnérabilités logicielle
- Vulnérabilités dans les système d'exploitation
- Vulnérabilités vs exploits
- Création d'exploits
Maintenir l'accè
- Types des malwares
- Création de malware
Rapports de test d'intrusion.

Note: L'ordre et le contenu peuvent être modifiés en cours de session en fonction de circonstances particulières.

Laboratoires et travaux pratiques

Ce cours comporte trois laboratoires :

Le premier laboratoire permet de familiariser les étudiants avec :
- Certains concepts réseau reliés a la sécurité informatique.
- Langages de programmation interprétés.
- Les vulnérabilités dans les protocoles de communication et les approches d'exploitation utilisées lors d'un test d'intrusion.
Le deuxième laboratoire permet de familiariser les étudiants avec :
- Balayage et énumération
- Vulnérabilités logicielles
- Vulnérabilités dans les systèmes d'exploitation
- Les test d'intrusion de types boite blanche et boite grise
Le troisième laboratoire permet de familiariser les étudiants avec :
- Les outils de détection de vulnérabilités
- Les outils et Framework d'exploitation
- Les test d'intrusion de type boite noire

Utilisation d'outils d'ingénierie

L'étudiant se familiarise avec les langages de programmation interprétés, les outils et framework d’exploitation de vulnérabilités logicielles, systèmes d'exploitation et protocoles de communication.

Évaluation

Informations additionnelles :

Laboratoires (35%) Selon les dates communiquées durant la session
Examen intra (30%) : 26 février
Quiz 1 (5 %) : 05 février
Quiz 2 (5 %) : 02 avril
Examen final (25%) : Période examens finaux

À noter qu’une moyenne inférieure à 50% dans les évaluations individuelles (examens intra, examen final et Quizs) entraîne automatiquement un échec au cours. Ceci est une condition nécessaire mais non suffisante pour réussir ce cours.

Seuil de passage pour les éléments à caractère individuel

Note minimale : 50

Dates des examens intra

Groupe(s)	Date
1	26 février 2026

Politique de retard des travaux
Tout travail (devoir pratique, rapport de laboratoire, rapport de projet, etc.) remis en retard sans motif valable, c’est-à-dire autre que ceux mentionnés dans le Règlement des études (1er cycle, article 7.2.5/ cycles supérieurs, article 6.5.2) se verra attribuer la note zéro, à moins que d’autres dispositions ne soient communiquées par écrit par l’enseignante ou l’enseignant dans les consignes de chaque travail à remettre ou dans le plan de cours pour l’ensemble des travaux.

Absence à une évaluation

Afin de faire valider une absence à une évaluation en vue d’obtenir un examen de compensation, l’étudiante ou l’étudiant doit utiliser le formulaire prévu à cet effet dans son portail MonÉTS pour un examen final qui se déroule durant la période des examens finaux ou pour tout autre élément d’évaluation surveillé de 15% et plus durant la session. Si l’absence concerne un élément d’évaluation de moins de 15% durant la session, l’étudiant ou l’étudiante doit soumettre une demande par écrit à son enseignante ou enseignant.

Toute demande de validation d’absence doit se faire dans les cinq (5) jours ouvrables suivant la tenue de l’évaluation, sauf dans les cas d’une absence pour participation à une activité prévue aux règlements des études où la demande doit être soumise dans les cinq (5) jours ouvrables avant le jour de départ de l’ÉTS pour se rendre à l’activité.

Toute absence non justifiée par un motif majeur (voir articles 7.2.6.1 du RÉPC et 6.5.2 du RÉCS) entraînera l’attribution de la note zéro (0).

Infractions de nature académique
Les clauses du « Règlement sur les infractions de nature académique de l’ÉTS » s’appliquent dans ce cours ainsi que dans tous les cours du département. Les étudiantes et les étudiants doivent consulter le Règlement sur les infractions de nature académique (www.etsmtl.ca/a-propos/gouvernance/secretariat-general/cadre-reglementaire/reglement-sur-les-infractions-de-nature-academique) pour identifier les actes considérés comme étant des infractions de nature académique ainsi que prendre connaissance des sanctions prévues à cet effet. À l’ÉTS, le respect de la propriété intellectuelle est une valeur essentielle et tous les membres de la communauté étudiante sont invités à consulter la page Citer, pas plagier ! (www.etsmtl.ca/Etudiants-actuels/Baccalaureat/Citer-pas-plagier).

Systèmes d’intelligence artificielle générative (SIAG)
L’utilisation des systèmes d’intelligence artificielle générative (SIAG) dans les activités d’évaluation constitue une infraction de nature académique au sens du Règlement sur les infractions de nature académique, sauf si elle est explicitement autorisée par la personne enseignante du cours ou la personne coordonnatrice dans le cas des stages.

Documentation obligatoire

Matériel pédagogique développé par le professeur. Disponible sur le site web du cours. Articles disponibles sur le site web du cours complétant le matériel pédagogique.

Ouvrages de références

Livre : Sécurité informatique Ethical Hacking : Apprendre l'attaque pour mieux se défendre (5e édition). ACISSI - Damien BANCAL - David DUMAS - David PUCHE - Franck EBEL - Frédéric VICOGNE - Guillaume FORTUNATO - Jérôme HENNECART - Laurent SCHALKWIJK - Marion AGÉ - Raphaël RAULT - Robert CROCFER - Sébastien LASSON, 887 pages, septembre 2017, ISBN : 978-2-409-00974-7. Éditions ENI, Ref. ENI : EP5SEC.
Livre : Sécurité informatique sur le Web - Apprenez à sécuriser vos applications (management, cybersécurité, développement et opérationnel). Jérôme THÉMÉE, 340 pages, mars 2017, ISBN : 978-2-409-00634-0, Éditions ENI. Ref. ENI : EPSECAW
Weidman, G., 2014. Penetration testing: a hands-on introduction to hacking. No Starch Press.

Adresse internet du site de cours et autres liens utiles

Site du cours sur Moodle : https://ena.etsmtl.ca/course/view.php?id=29091