Ce programme de formation vise à former les équipes IT aux bonnes pratiques de réponse une fois un incident de sécurité détecté. Ce module présente les techniques à l’état de l’art, couramment utilisées par les analystes CERT pour délimiter le périmètre impacté, identifier le modus operandi des cyber criminels, la chaine d’attaque et les Tactiques, Techniques et Procédures (TTP et outils). Il détaille les bonnes pratiques à adopter pour collecter les preuves, analyser les artefacts systèmes, réseaux ou de codes malveillants pour identifier les indicateurs de compromission, dans le respect des exigences du standard PCI-DSS.
Objectifs pédagogiques
- Sensibiliser les équipes IT aux bonnes pratiques de réponse à incident
- Présenter les techniques couramment utilisées par les CERT pour délimiter le périmètre, identifier le mode opératoire et les TTP des attaquants
- Détailler les bonnes pratiques à adopter pour collecter, analyser les preuves techniques permettant de comprendre la séquence des évènements et la KillChain dans le respect du standard PCI-DSS
Programme
Introduction
- Contexte cybersécurité
- Rappel du standard PCI-DSS et des exigences relatives à la réponse à incident
- Rappel des notions de cycle de vie d’un incident
- Bases du forensique
Cycle de vie d’un incident
- Phases du cycle
- Focus sur la séquence E3R
Rôle du CERT
- Rôles et responsabilités des équipes de réponse aux incidents
- Définition du périmètre d’intervention
- Définition des objectifs
Collecte de preuves
- Choix des éléments
- Chain of custody (hash, copie)
- Collecte onligne vs collecte offline
- Copie de disques (software vs hardware)
- Les backups
Analyse d’artefacts et timeline
- Parsing
- Processing
- Identification d’éléments suspects / malveillants et levée de doute
- Création de la timeline
- RETEX / Focus sur AWS
Travail collaboratif
- Travailler à plusieurs sur un même incident
- Prise de note mutualisée
- Partager le bon niveau d’informations (pivots / IOC)
- S’organiser
Synthèse des résultats
- Rédaction du rapport
- Les recommandations
- Retour d’expérience et leçons apprises
- Respect du standard
Evaluation des acquis
- Réalisation d’un questionnaire en ligne final recouvrant l’ensemble des notions apprises
Les plus de la formation
- Formation dispensée par un expert en sécurité défensive
- Recommandations opérationnelles
- Outils pratiques
- Études de cas réels
Public
- Équipe IT
- RSSI
- Équipe support
- Administrateur système
- Administrateur réseau
Prérequis
- Notions de base en informatique : réseau (protocoles, modèle OSI, etc.) et système (Linux ou Windows, gestion d’un serveur, etc.)
Modalités et délai d’accès
Le stagiaire est considéré inscrit lorsque :
- Les prérequis et besoins sont identifiés et validés
- La convention de formation signée
Les demandes d’inscription peuvent être envoyées jusqu’à 10 jours ouvrés avant le début de la formation
Accessibilité
Que vous soyez reconnu en situation de handicap ou pas, rendre notre formation accessible à toutes et à tous fait partie de notre engagement.
Si vous avez besoin d’une compensation ou adaptation pour le contenu, les supports, le « lieu », le matériel utilisé, les horaires, le rythme, nous sommes à votre écoute.
Durée
21 heures (3 jours)
Financement
Prise en charge OPCO