Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?
Rappel Email
Formation Réponse à incident
Une bonne méthodologie appliquée avant qu'un incident ne se produise, couplée à la collecte des informations nécessaires grâce aux bons outils, permet de réagir, d'analyser, de reconstruire et de remédier à une attaque informatique.
Dates
Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)
Les piratages informatiques créent un climat d'urgence qui nécessite une méthodologie pour y répondre et envisager plus sereinement l'investigation et la remédiation.
Les techniques utilisées pour la collecte d'indices forensiques permettent d'enquêter sur ce qui est arrivé.
Pour reconstruire la chronologie et l'impact d'un attaque, l'analyse forensique (ou forensic en anglais) s'appuie sur les domaines les plus variés de l'informatique : protocoles réseau, systèmes de fichiers, fonctionnement de Windows et de Linux, fonctionnement d'un programme malveillant...
Durant cette formation Réponse à incident, vous verrez comment :
- détecter une attaque,
- puis recréer une timeline des événements,
- et l'enrichir grâce à différents outils de réponse à incident et de forensique.
Suivre une méthodologie rigoureuse permet aussi de recueillir correctement les preuves nécessaires à une procédure judiciaire et d'œuvrer correctement à la remédiation d'un incident.
Cette formation s'adresse à toute personne ayant déjà une connaissance généraliste de l'informatique, souhaitant se spécialiser dans la sécurité informatique ou toute personne travaillant déjà dans la sécurité (SOC, CERT, audit, conseil) cherchant améliorer sa connaissance des processus à l'œuvre dans la détection et l'analyse d'attaques informatique.
Chaque module de la formation débute par un court exposé des nouvelles notions (méthodologie ou technique), puis d'une discussion plus informelle en fonction de l'intérêt des participant·e·s.
Les ateliers pratiques se déroulent en trinômes ou en binômes avec des machines virtuelles personnelles.
A l'issue de cette formation Réponse à incident, les participant·e·s ressortiront avec :
- un livret comportant une liste d'outils utiles au forensique et à la réponse à incident
- les supports texte des différentes méthodologies abordées pour répondre à un incident, recueillir des indices et les analyser
- un accès en ligne à des machines virtuelles pour s'entraîner à l'analyse forensique
Si vous souhaitez approfondir un thème particulier (mise en place d'un SIEM, analyse forensique plus poussée), n'hésitez pas à nous contacter pour adapter votre formation avec des modules théoriques et pratiques plus ciblés.
Installations nécessaires sur votre machine : Virtualbox
Les objectifs
- Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
- Analyser les indices laissés lorsqu'un tiers s'introduit dans un système informatique Windows ou Linux
- Reconstituer la chronologie d'une attaque
- Recueillir correctement les preuves nécessaires à une procédure judiciaire
Pré-requis
- Connaissance basique de la ligne de commande (Powershell ou shell Linux)
- Idéalement, des notions de système et réseau
- Ordinateur portable à apporter
Le programme de la formation Réponse à incident
Jour 1 : Méthodologie de la réponse à incident
Phases de la réponse à incident
- Détection
- Analyse à chaud
- Confinement de la menace
- Investigation forensique
- Analyse du scénario d'attaque
- Elimination de la menace et renforcement de la sécurité
Normes et législation française
- La norme ISO 27035
- Procédure de récupération de preuves
- Réception de preuves issues de l'analyse forensique en droit français
- Classification des délits informatiques
- Acteurs techniques et juridiques du forensique
Détecter l’incident
- Qu'est-ce qu'une attaque ? Indicateurs de compromission
- Reconstitution d'un scénario d'attaque
- Revue des outils de détection d’incident système et réseau
- Mise en place d'une solution de centralisation de logs sécurité
Mise en pratique :
- Mise en place et configuration d'un outil de détection d'incident système (OSSEC avec Wazuh)
- Création d'une timeline et reconstitution d'un scénario d'attaque
- Analyse technique des indicateurs de compromission et contre-mesures possibles
Jour 2 : réponse à incident et analyse forensique
Techniques et outils de l'analyse forensique
- Les types d'indicateurs de compromission, leur collecte et leur partage
- Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
- Analyse des fichiers de logs et corrélation d’événements
Analyse systèmes
- Les différents artefacts forensiques des systèmes Linux
- Trousse à outils Windows : découverte de SysInternals
- Mécanismes de persistence
- Détection de modifications système (HIDS)
- Analyse de la mémoire : présentation de Volatility
- Traitement du disque : création d'une timeline à partir du système de fichiers
Analyse réseau
- Rappels des principaux protocoles réseau
- Logs firewall et détection d'activité suspecte
- Utilisation de Wireshark
Analyse de malwares
- Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d'importation)
- Analyse dynamique basique de malware (SysInternals, Wireshark)
Mise en pratique :
- Analyse d’un système informatique piraté et utilisation d'outils d'analyse
- Etude de logs suspects
- Initiation à l'analyse de malware (VirusTotal, Wireshark et SysInternals)
Le(s) formateur(s)
Hadrien Pélissier
Hadrien Pélissier s'intéresse à la sécurité informatique depuis plus de 10 ans. Autodidacte, il aime expliquer à quoi servent les méthodes proposées par le DevOps pour faciliter l'administration système et décortiquer concrètement ce qui se cache derrière les concepts de la sécurité.
Passionné par la pédagogie, il cherche la bonne façon de décortiquer ce qui a l'air confus au départ avec les bonnes images et les bons exemples.
Avant d'être formateur, il travaillait à analyser et résoudre des incidents de sécurité et déployer des outils de sécurité à Criteo, ainsi qu'au CERT de l'entreprise de sécurité Lexsi.
Il s'intéresse au rôle politique des technologies et de l'informatique, ainsi qu'aux structures économiques alternatives (notamment en tant que membre de la coopérative Coopaname).
A propos de Human Coders
Human Coders c'est un centre de formation pour développeurs avec :
- une habilitation Datadock, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
- de nombreux clients qui nous font confiance depuis des années
- un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
- 74 formations au catalogue, 878 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
- la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation
Besoin d'aide ?
Nos forces
- Des formations à taille humaine
- Des formateurs passionnés
- Des véritables workshop
Nos clients
Formation Réponse à incident
Une bonne méthodologie appliquée avant qu'un incident ne se produise, couplée à la collecte des informations nécessaires grâce aux bons outils, permet de réagir, d'analyser, de reconstruire et de remédier à une attaque informatique.
Les piratages informatiques créent un climat d'urgence qui nécessite une méthodologie pour y répondre et envisager plus sereinement l'investigation et la remédiation.
Les techniques utilisées pour la collecte d'indices forensiques permettent d'enquêter sur ce qui est arrivé.
Pour reconstruire la chronologie et l'impact d'un attaque, l'analyse forensique (ou forensic en anglais) s'appuie sur les domaines les plus variés de l'informatique : protocoles réseau, systèmes de fichiers, fonctionnement de Windows et de Linux, fonctionnement d'un programme malveillant...
Durant cette formation Réponse à incident, vous verrez comment :
- détecter une attaque,
- puis recréer une timeline des événements,
- et l'enrichir grâce à différents outils de réponse à incident et de forensique.
Suivre une méthodologie rigoureuse permet aussi de recueillir correctement les preuves nécessaires à une procédure judiciaire et d'œuvrer correctement à la remédiation d'un incident.
Cette formation s'adresse à toute personne ayant déjà une connaissance généraliste de l'informatique, souhaitant se spécialiser dans la sécurité informatique ou toute personne travaillant déjà dans la sécurité (SOC, CERT, audit, conseil) cherchant améliorer sa connaissance des processus à l'œuvre dans la détection et l'analyse d'attaques informatique.
Chaque module de la formation débute par un court exposé des nouvelles notions (méthodologie ou technique), puis d'une discussion plus informelle en fonction de l'intérêt des participant·e·s.
Les ateliers pratiques se déroulent en trinômes ou en binômes avec des machines virtuelles personnelles.
A l'issue de cette formation Réponse à incident, les participant·e·s ressortiront avec :
- un livret comportant une liste d'outils utiles au forensique et à la réponse à incident
- les supports texte des différentes méthodologies abordées pour répondre à un incident, recueillir des indices et les analyser
- un accès en ligne à des machines virtuelles pour s'entraîner à l'analyse forensique
Si vous souhaitez approfondir un thème particulier (mise en place d'un SIEM, analyse forensique plus poussée), n'hésitez pas à nous contacter pour adapter votre formation avec des modules théoriques et pratiques plus ciblés.
Installations nécessaires sur votre machine : Virtualbox
Covid-19: Nous restons ouverts. Cette formation est disponible à distance.
Les objectifs
- Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
- Analyser les indices laissés lorsqu'un tiers s'introduit dans un système informatique Windows ou Linux
- Reconstituer la chronologie d'une attaque
- Recueillir correctement les preuves nécessaires à une procédure judiciaire
Pré-requis
- Connaissance basique de la ligne de commande (Powershell ou shell Linux)
- Idéalement, des notions de système et réseau
- Ordinateur portable à apporter
Le programme de la formation Réponse à incident
Jour 1 : Méthodologie de la réponse à incident
Phases de la réponse à incident
- Détection
- Analyse à chaud
- Confinement de la menace
- Investigation forensique
- Analyse du scénario d'attaque
- Elimination de la menace et renforcement de la sécurité
Normes et législation française
- La norme ISO 27035
- Procédure de récupération de preuves
- Réception de preuves issues de l'analyse forensique en droit français
- Classification des délits informatiques
- Acteurs techniques et juridiques du forensique
Détecter l’incident
- Qu'est-ce qu'une attaque ? Indicateurs de compromission
- Reconstitution d'un scénario d'attaque
- Revue des outils de détection d’incident système et réseau
- Mise en place d'une solution de centralisation de logs sécurité
Mise en pratique :
- Mise en place et configuration d'un outil de détection d'incident système (OSSEC avec Wazuh)
- Création d'une timeline et reconstitution d'un scénario d'attaque
- Analyse technique des indicateurs de compromission et contre-mesures possibles
Jour 2 : réponse à incident et analyse forensique
Techniques et outils de l'analyse forensique
- Les types d'indicateurs de compromission, leur collecte et leur partage
- Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
- Analyse des fichiers de logs et corrélation d’événements
Analyse systèmes
- Les différents artefacts forensiques des systèmes Linux
- Trousse à outils Windows : découverte de SysInternals
- Mécanismes de persistence
- Détection de modifications système (HIDS)
- Analyse de la mémoire : présentation de Volatility
- Traitement du disque : création d'une timeline à partir du système de fichiers
Analyse réseau
- Rappels des principaux protocoles réseau
- Logs firewall et détection d'activité suspecte
- Utilisation de Wireshark
Analyse de malwares
- Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d'importation)
- Analyse dynamique basique de malware (SysInternals, Wireshark)
Mise en pratique :
- Analyse d’un système informatique piraté et utilisation d'outils d'analyse
- Etude de logs suspects
- Initiation à l'analyse de malware (VirusTotal, Wireshark et SysInternals)
Le(s) formateur(s)
Hadrien Pélissier
Hadrien Pélissier s'intéresse à la sécurité informatique depuis plus de 10 ans. Autodidacte, il aime expliquer à quoi servent les méthodes proposées par le DevOps pour faciliter l'administration système et décortiquer concrètement ce qui se cache derrière les concepts de la sécurité.
Passionné par la pédagogie, il cherche la bonne façon de décortiquer ce qui a l'air confus au départ avec les bonnes images et les bons exemples.
Avant d'être formateur, il travaillait à analyser et résoudre des incidents de sécurité et déployer des outils de sécurité à Criteo, ainsi qu'au CERT de l'entreprise de sécurité Lexsi.
Il s'intéresse au rôle politique des technologies et de l'informatique, ainsi qu'aux structures économiques alternatives (notamment en tant que membre de la coopérative Coopaname).
A propos de Human Coders
Human Coders c'est un centre de formation pour développeurs avec :
- une habilitation Datadock, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
- de nombreux clients qui nous font confiance depuis des années
- un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
- 74 formations au catalogue, 878 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
- la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation
Nos clients
* Nombre de personnes ayant répondu au questionnaire de satisfaction sur cette formation depuis 2012