Objectifs, programme, validation de la formation
Objectifs
Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
Analyser les indices laissés lorsqu’un tiers s’introduit dans un système informatique Windows ou Linux
Reconstituer la chronologie d’une attaque
Recueillir correctement les preuves nécessaires à une procédure judiciaire.
Description, programmation
Jour 1 : Méthodologie de la réponse à incident
Phases de la réponse à incident
Détection
Analyse à chaud
Confinement de la menace
Investigation forensique
Analyse du scénario d’attaque
Elimination de la menace et renforcement de la sécurité
Normes et législation française
La norme ISO 27035
Procédure de récupération de preuves
Réception de preuves issues de l’analyse forensique en droit français
Classification des délits informatiques
Acteurs techniques et juridiques du forensique
Détecter l’incident
Qu’est-ce qu’une attaque ? Indicateurs de compromission
Reconstitution d’un scénario d’attaque
Revue des outils de détection d’incident système et réseau
Mise en place d’une solution de centralisation de logs sécurité
Mise en pratique :
- Mise en place et configuration d’un outil de détection d’incident système (OSSEC avec Wazuh)
- Création d’une timeline et reconstitution d’un scénario d’attaque
- Analyse technique des indicateurs de compromission et contre-mesures possibles
Jour 2 : réponse à incident et analyse forensique
Techniques et outils de l’analyse forensique
Les types d’indicateurs de compromission, leur collecte et leur partage
Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
Analyse des fichiers de logs et corrélation d’événements
Analyse systèmes
Les différents artefacts forensiques des systèmes Linux
Trousse à outils Windows : découverte de SysInternals
Mécanismes de persistence
Détection de modifications système (HIDS)
Analyse de la mémoire : présentation de Volatility
Traitement du disque : création d’une timeline à partir du système de fichiers
Analyse réseau
Rappels des principaux protocoles réseau
Logs firewall et détection d’activité suspecte
Utilisation de Wireshark
Analyse de malwares
Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d’importation)
Analyse dynamique basique de malware (SysInternals, Wireshark)
Mise en pratique :
- Analyse d’un système informatique piraté et utilisation d’outils d’analyse
- Etude de logs suspects
- Initiation à l’analyse de malware (VirusTotal, Wireshark et SysInternals).
Validation et sanction
Attestation de suivi de présence
Type de formation
Perfectionnement, élargissement des compétences
Niveau de sortie sans niveau spécifique
Durée, rythme, financement
Durée
14 heures en centre
Durée indicative : 1 jour
Modalités de l'alternance Cours du jour : 14 h
Conventionnement Non
Conditions d'accès
Niveau d'entrée sans niveau spécifique
Conditions spécifiques et prérequis Connaissance basique de la ligne de commande (Powershell ou shell Linux) Idéalement, des notions de système et réseau Ordinateur portable à apporter.
Inscription
Contact renseignement Mme Nathalie ROUESNEL
Périodes prévisibles de déroulement des sessions
Session débutant le : 28/10/2021
Adresse d'inscription
17 Rue Galilée 75016 Paris 16e