Search
Close this search box.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

Formation

Les techniques de réponse à incidents et d'analyse forensique

Ce programme de formation vise à former les équipes IT aux bonnes pratiques de réponse à incident et d’investigation, une fois un incident de sécurité détecté. Ce module présente les techniques à l’état de l’art, couramment utilisées par les analystes CERT pour collecter les preuves, délimiter le périmètre impacté, identifier le modus operandi des cybercriminels, la chaine d’attaque et les Tactiques, Techniques et Procédures (TTP et outils). Il détaille les bonnes pratiques à adopter pour collecter les preuves, analyser les artefacts systèmes, réseaux ou de codes malveillants pour identifier les indicateurs de compromission, les traces d’attaques, preuves d’exfiltration, mécanismes de persistances installés, etc.​

Objectifs pédagogiques

  • Comprendre les enjeux de la criminalistique​

  • Identifier les challenges du forensique​

  • Investiguer après une cyberattaque​

  • Collecter des preuves​

  • Analyser des artefacts​

  • Comprendre la KillChain​

  • Présenter ses résultats et la séquence des évènements​

  • Rédiger un rapport avec une timeline et un résumé​

  • Préparer une liste de recommandations adaptées​

  • Prendre du recul sur la crise​

Programme

Introduction

  • Contexte cybersécurité​

  • Quelques chiffres autour du cybercrime​

  • Rappel des notions de DICT​

  • Histoire du forensique jusqu’au digital

Rôle du CERT​

  • Phases du cycle de vie d’un incident​
  • Focus sur la séquence E3R​
  • Rôles et responsabilités des équipes de réponse aux incidents​
  • Gestes de 1iers secours​
  • Définition du périmètre d’intervention (+scoping)​
  • Définition des objectifs​

Collecte de preuves​

  • Choix des éléments​
  • Chain of custody (hash, copie)​
  • Collecte onligne vs collecte offline​
  • Copie de disques (software vs hardware)​
  • Les backups

Analyse d’artefacts ​

  • Parsing​
  • Processing​
  • Identification d’éléments suspects​
  • Analyse Mémoire​
  • Analyse FileSystem​
  • Analyse artefacts​
  • Analyse com’ réseau​
  • Malwares​

Timeline et travail collaboratif ​

  • Création de la timeline​
  • Travailler à plusieurs sur un même incident​
  • Prise de note mutualisée​
  • Partager le bon niveau d’informations (pivots / IOC)​
  • S’organiser​

Gestion de crise​

  • Les grands principes​
  • La logistique​
  • Les erreurs à ne pas commettre​
  • Temps long​
  • Communication​
  • Autorités​
  • RETEX Ransomware​

Synthèse des résultats​

  • Rédaction du rapport d’investigation​
  • Les recommandations​
  • Retour d’expérience et leçons apprises​
  • Respect de la preuve​
  • Rapports anonymisés​

Evaluation des acquis

  • Réalisation d’un questionnaire en ligne final recouvrant l’ensemble des notions apprises.

Les plus de la formation

  • Formation dispensée par un expert en sécurité défensive​
  • Recommandations opérationnelles​
  • Compatible exigences PCI-DSS​
  • Outils pratiques​
  • Études de cas réels​

Public

  • Équipes IT​
  • RSSI​
  • Équipes support​
  • Administrateurs système​
  • Administrateurs réseau​
  • Analystes sécurité

Prérequis

  • Notions de base en informatique : réseau (protocoles, modèle OSI, etc.) et système (Linux ou Windows, gestion d’un serveur, etc.)​
  • Connaissance en analyse de logs (Event ID, journaux réseau, AV)

Modalités et délai d’accès

Le stagiaire est considéré inscrit lorsque  :

  • Les prérequis et besoins sont identifiés et validés
  • La convention de formation signée

Les demandes d’inscription peuvent être envoyées jusqu’à 10 jours ouvrés avant le début de la formation

Accessibilité

Que vous soyez reconnu en situation de handicap ou pas, rendre notre formation accessible à toutes et à tous fait partie de notre engagement.

Si vous avez besoin d’une compensation ou adaptation pour le contenu, les supports, le « lieu », le matériel utilisé, les horaires, le rythme, nous sommes à votre écoute.

Durée

21 heures (3 jours)

Financement

Prise en charge OPCO

Télécharger la fiche de formation au format pdf

Vous souhaitez plus d'information ?

+33 (0)7 64 42 71 56

Almond s’engage à ce que la collecte et le traitement de vos données, effectués à partir du site https://www.almond.eu/ soient conformes au règlement général sur la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, relative à la protection des données à caractère personnel. Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Almond, afin de répondre aux demandes d’informations. Vous pouvez accéder aux données vous concernant, demander leur rectification ou leur effacement. Vous disposez également d'un droit d’opposition, et d’un droit à la limitation du traitement de vos données (cf. cnil.fr pour plus d’informations sur vos droits). Vous pouvez exercer vos droits en contactant le Référent Données à caractère personnel d'Almond à l’adresse suivante : [email protected]. Vos données seront conservées au sein de l’Union européenne, conformément à la réglementation en vigueur.