Formation Réponse à incident et analyse forensique

Une bonne méthodologie appliquée avant qu'un incident ne se produise, couplée à la collecte des informations nécessaires grâce aux bons outils, permet de réagir, d'analyser, de reconstruire et de remédier à une attaque informatique.

Prix (Formation inter-entreprise)

1300€ HT / personne

Durée

2 jours

Dates

Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)

Les piratages informatiques créent un climat d'urgence qui nécessite une méthodologie pour y répondre et envisager plus sereinement l'investigation et la remédiation.
Les techniques utilisées pour la collecte d'indices forensiques permettent d'enquêter sur ce qui est arrivé.

Pour reconstruire la chronologie et l'impact d'un attaque, l'analyse forensique (ou forensic en anglais) s'appuie sur les domaines les plus variés de l'informatique : protocoles réseau, systèmes de fichiers, fonctionnement de Windows et de Linux, fonctionnement d'un programme malveillant...

Durant cette formation Réponse à incident et analyse forensique, vous verrez comment :
- détecter une attaque,
- puis recréer une timeline des événements,
- et l'enrichir grâce à différents outils de réponse à incident et de forensique.

Suivre une méthodologie rigoureuse permet aussi de recueillir correctement les preuves nécessaires à une procédure judiciaire et d'œuvrer correctement à la remédiation d'un incident.

Cette formation s'adresse à toute personne ayant déjà une connaissance généraliste de l'informatique, souhaitant se spécialiser dans la sécurité informatique ou toute personne travaillant déjà dans la sécurité (SOC, CERT, audit, conseil) cherchant améliorer sa connaissance des processus à l'œuvre dans la détection et l'analyse d'attaques informatique.

Chaque module de la formation débute par un court exposé des nouvelles notions (méthodologie ou technique), puis d'une discussion plus informelle en fonction de l'intérêt des participant·e·s.
Les ateliers pratiques se déroulent en trinômes ou en binômes avec des machines virtuelles personnelles.

A l'issue de cette formation Réponse à incident et analyse forensique, les participant·e·s ressortiront avec :

  • un livret comportant une liste d'outils utiles au forensique et à la réponse à incident
  • les supports texte des différentes méthodologies abordées pour répondre à un incident, recueillir des indices et les analyser
  • un accès en ligne à des machines virtuelles pour s'entraîner à l'analyse forensique

Covid-19 : Nous nous adaptons dans ces moments difficiles. Nous avons mis en place des outils permettant l'organisation de formations à distance.

Les objectifs

  • Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
  • Analyser les indices laissés lorsqu'un tiers s'introduit dans un système informatique Windows ou Linux
  • Reconstituer la chronologie d'une attaque
  • Recueillir correctement les preuves nécessaires à une procédure judiciaire

Pré-requis

  • Ordinateur portable à apporter avec Virtualbox installé
  • Connaissance basique de la ligne de commande (Powershell ou shell Linux)
  • Idéalement, des notions de système et réseau

Le programme de la formation Réponse à incident et analyse forensique

Jour 1 : La réponse à incident

Phases de la réponse à incident
  • Détection
  • Analyse
  • Confinement de la menace
  • Investigation forensique
  • Élimination de la menace
  • Procédure post-incident
  • Renforcement de la sécurité
Normes et législation française
  • La norme ISO 27035
  • Procédure de récupération de preuves
  • Réception de preuves issues de l'analyse forensique en droit français
  • Classification des délits informatiques
  • Acteurs techniques et juridiques du forensique
Détecter l’incident
  • Repérer les indices de compromission
  • Revue des outils de détection d’incident
  • Configuration de sondes IDS
  • Mise en place d'un honeypot
Méthodologie d’une analyse forensique
  • Duplication des données
  • Récupération et analyse d’un extrait de mémoire vive
  • Analyse des fichiers de logs et corrélation d’événements
  • Création d'une timeline et analyse

Mise en pratique :
- Mise en place d'un honeypot dans une machine virtuelle et détection de l'attaque,
- Création d'une timeline,
- Analyse technique et contre-mesures

Jour 2 : l'analyse forensique

Techniques et outils de l'analyse forensique
  • Techniques classiques de détection (Indicateurs de compromission, signatures réseau, règles YARA…)
  • Configuration d’un laboratoire d’analyse dans une machine virtuelle
  • Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
  • Analyse des e-mails, du navigateur et autres logs (serveur web, cloud)
Systèmes Windows
  • Principaux points de l'analyse d’un système Windows
  • Trousse à outils Windows : découverte de SysInternals
  • Analyse du registre et extraction des ruches
Systèmes Linux
  • Les différents artefacts forensiques d'un système Linux
  • Mécanismes de persistence
  • Détection de modifications système (HIDS)
Analyse de la mémoire
  • Traitement du fichier mémoire
  • Présentation de Volatility
  • Information processus
  • Mappage des processus
  • Techniques d'analyse avec Volatilty
Analyse de disques
  • Système de fichiers Windows : NTFS et MFT
  • Traitement du disque : création d'une timeline (analyse du prefetch, MFT, cache, logs navigateurs…)
  • Récupération de fichiers supprimés
Analyse réseau
  • Rappels des principaux protocoles réseau
  • Logs firewall et détection d'activité suspecte
  • Utilisation de Wireshark
Analyse de malwares
  • Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d'importation)
  • Analyse dynamique basique de malware (SysInternals, Wireshark)

Mise en pratique :
- Mise en place d’une VM "laboratoire",
- Analyse d’un système informatique piraté,
- Utilisation d'outils forensic et centralisation des logs dans une timeline,
- Analyse de malware (Wireshark et SysInternals)

Télécharger le programme

Le(s) formateur(s)

Hadrien Pélissier

Hadrien Pélissier

Hadrien Pélissier s'intéresse à la sécurité informatique depuis plus de 10 ans. Autodidacte, il aime expliquer à quoi servent les méthodes proposées par le DevOps et décortiquer concrètement ce qui se cache derrière les concepts de la sécurité.
Depuis des années, il cherche la bonne façon de décortiquer ce qui a l'air confus au départ avec les bonnes images et les bons exemples.

Avant cela, il travaillait à analyser et résoudre des incidents de sécurité et déployer des outils de sécurité à Criteo, ainsi qu'au CERT de l'entreprise de sécurité Lexsi.

Il s'intéresse au rôle politique des technologies, des médias et des innovations dans les modèles de coopératives et d'économie des communs.

Voir son profil détaillé

Besoin d'aide ?

Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?


Rappel Email

Nos forces

  • Des formations à taille humaine
  • Des formateurs passionnés
  • Des véritables workshop
Accéder au Manifeste

Nos clients

Air France
Meetic
CNRS
Peugeot
SAP
FNAC

Nos formations en images

Angular
Ruby
CasperJS
DevOps avec Chef

Formation Réponse à incident et analyse forensique

Une bonne méthodologie appliquée avant qu'un incident ne se produise, couplée à la collecte des informations nécessaires grâce aux bons outils, permet de réagir, d'analyser, de reconstruire et de remédier à une attaque informatique.

Les piratages informatiques créent un climat d'urgence qui nécessite une méthodologie pour y répondre et envisager plus sereinement l'investigation et la remédiation.
Les techniques utilisées pour la collecte d'indices forensiques permettent d'enquêter sur ce qui est arrivé.

Pour reconstruire la chronologie et l'impact d'un attaque, l'analyse forensique (ou forensic en anglais) s'appuie sur les domaines les plus variés de l'informatique : protocoles réseau, systèmes de fichiers, fonctionnement de Windows et de Linux, fonctionnement d'un programme malveillant...

Durant cette formation Réponse à incident et analyse forensique, vous verrez comment :
- détecter une attaque,
- puis recréer une timeline des événements,
- et l'enrichir grâce à différents outils de réponse à incident et de forensique.

Suivre une méthodologie rigoureuse permet aussi de recueillir correctement les preuves nécessaires à une procédure judiciaire et d'œuvrer correctement à la remédiation d'un incident.

Cette formation s'adresse à toute personne ayant déjà une connaissance généraliste de l'informatique, souhaitant se spécialiser dans la sécurité informatique ou toute personne travaillant déjà dans la sécurité (SOC, CERT, audit, conseil) cherchant améliorer sa connaissance des processus à l'œuvre dans la détection et l'analyse d'attaques informatique.

Chaque module de la formation débute par un court exposé des nouvelles notions (méthodologie ou technique), puis d'une discussion plus informelle en fonction de l'intérêt des participant·e·s.
Les ateliers pratiques se déroulent en trinômes ou en binômes avec des machines virtuelles personnelles.

A l'issue de cette formation Réponse à incident et analyse forensique, les participant·e·s ressortiront avec :

  • un livret comportant une liste d'outils utiles au forensique et à la réponse à incident
  • les supports texte des différentes méthodologies abordées pour répondre à un incident, recueillir des indices et les analyser
  • un accès en ligne à des machines virtuelles pour s'entraîner à l'analyse forensique

Covid-19: Nous restons ouverts. Cette formation est disponible à distance.

Les objectifs

  • Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
  • Analyser les indices laissés lorsqu'un tiers s'introduit dans un système informatique Windows ou Linux
  • Reconstituer la chronologie d'une attaque
  • Recueillir correctement les preuves nécessaires à une procédure judiciaire

Pré-requis

  • Ordinateur portable à apporter avec Virtualbox installé
  • Connaissance basique de la ligne de commande (Powershell ou shell Linux)
  • Idéalement, des notions de système et réseau

Le programme de la formation Réponse à incident et analyse forensique

Jour 1 : La réponse à incident

Phases de la réponse à incident
  • Détection
  • Analyse
  • Confinement de la menace
  • Investigation forensique
  • Élimination de la menace
  • Procédure post-incident
  • Renforcement de la sécurité
Normes et législation française
  • La norme ISO 27035
  • Procédure de récupération de preuves
  • Réception de preuves issues de l'analyse forensique en droit français
  • Classification des délits informatiques
  • Acteurs techniques et juridiques du forensique
Détecter l’incident
  • Repérer les indices de compromission
  • Revue des outils de détection d’incident
  • Configuration de sondes IDS
  • Mise en place d'un honeypot
Méthodologie d’une analyse forensique
  • Duplication des données
  • Récupération et analyse d’un extrait de mémoire vive
  • Analyse des fichiers de logs et corrélation d’événements
  • Création d'une timeline et analyse

Mise en pratique :
- Mise en place d'un honeypot dans une machine virtuelle et détection de l'attaque,
- Création d'une timeline,
- Analyse technique et contre-mesures

Jour 2 : l'analyse forensique

Techniques et outils de l'analyse forensique
  • Techniques classiques de détection (Indicateurs de compromission, signatures réseau, règles YARA…)
  • Configuration d’un laboratoire d’analyse dans une machine virtuelle
  • Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
  • Analyse des e-mails, du navigateur et autres logs (serveur web, cloud)
Systèmes Windows
  • Principaux points de l'analyse d’un système Windows
  • Trousse à outils Windows : découverte de SysInternals
  • Analyse du registre et extraction des ruches
Systèmes Linux
  • Les différents artefacts forensiques d'un système Linux
  • Mécanismes de persistence
  • Détection de modifications système (HIDS)
Analyse de la mémoire
  • Traitement du fichier mémoire
  • Présentation de Volatility
  • Information processus
  • Mappage des processus
  • Techniques d'analyse avec Volatilty
Analyse de disques
  • Système de fichiers Windows : NTFS et MFT
  • Traitement du disque : création d'une timeline (analyse du prefetch, MFT, cache, logs navigateurs…)
  • Récupération de fichiers supprimés
Analyse réseau
  • Rappels des principaux protocoles réseau
  • Logs firewall et détection d'activité suspecte
  • Utilisation de Wireshark
Analyse de malwares
  • Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d'importation)
  • Analyse dynamique basique de malware (SysInternals, Wireshark)

Mise en pratique :
- Mise en place d’une VM "laboratoire",
- Analyse d’un système informatique piraté,
- Utilisation d'outils forensic et centralisation des logs dans une timeline,
- Analyse de malware (Wireshark et SysInternals)

Télécharger le programme

Le(s) formateur(s)

Hadrien Pélissier

Hadrien Pélissier

Hadrien Pélissier s'intéresse à la sécurité informatique depuis plus de 10 ans. Autodidacte, il aime expliquer à quoi servent les méthodes proposées par le DevOps et décortiquer concrètement ce qui se cache derrière les concepts de la sécurité.
Depuis des années, il cherche la bonne façon de décortiquer ce qui a l'air confus au départ avec les bonnes images et les bons exemples.

Avant cela, il travaillait à analyser et résoudre des incidents de sécurité et déployer des outils de sécurité à Criteo, ainsi qu'au CERT de l'entreprise de sécurité Lexsi.

Il s'intéresse au rôle politique des technologies, des médias et des innovations dans les modèles de coopératives et d'économie des communs.

Voir son profil détaillé

Suivi de formation en option

A l'issue de la formation, nos formateurs peuvent aussi intervenir pour vous accompagner dans la mise en application des compétences acquises :

  • en répondant à vos questions lors de rendez-vous téléphoniques réguliers
  • en étant présents physiquement à l'amorce du projet
  • en réalisant un audit de vos pratiques quelques semaines/mois après la formation

Cette idée vous intéresse ? Faîtes-le nous savoir pour que nous trouvions la formule adaptée à votre situation.