Le but de cette formation est de vous apprendre réagir et détecter un incident ou une attaque informatique, puis à l'analyser et reconstituer sa chronologie.

Les piratages informatiques créent un climat d'urgence qui nécessite une méthodologie pour y répondre et envisager plus sereinement l'investigation et la remédiation.
Les techniques utilisées pour la collecte d'indices forensiques permettent d'enquêter sur ce qui est arrivé.

Pour reconstruire la chronologie et l'impact d'un attaque, l'analyse forensique (ou forensic en anglais) s'appuie sur les domaines les plus variés de l'informatique : protocoles réseau, systèmes de fichiers, fonctionnement de Windows et de Linux, fonctionnement d'un programme malveillant...

Durant cette formation Réponse à incident, vous verrez comment :
- détecter une attaque,
- puis recréer une timeline des événements,
- et l'enrichir grâce à différents outils de réponse à incident et de forensique.

Suivre une méthodologie rigoureuse permet aussi de recueillir correctement les preuves nécessaires à une procédure judiciaire et d'œuvrer correctement à la remédiation d'un incident.

Cette formation s'adresse à toute personne ayant déjà une connaissance généraliste de l'informatique, souhaitant se spécialiser dans la sécurité informatique ou toute personne travaillant déjà dans la sécurité (SOC, CERT, audit, conseil) cherchant améliorer sa connaissance des processus à l'œuvre dans la détection et l'analyse d'attaques informatique.

Chaque module de la formation débute par un court exposé des nouvelles notions (méthodologie ou technique), puis d'une discussion plus informelle en fonction de l'intérêt des participant·e·s.
Les ateliers pratiques se déroulent en trinômes ou en binômes avec des machines virtuelles personnelles.

A l'issue de cette formation Réponse à incident, les participant·e·s ressortiront avec :

• un livret comportant une liste d'outils utiles au forensique et à la réponse à incident
• les supports texte des différentes méthodologies abordées pour répondre à un incident, recueillir des indices et les analyser
• un accès en ligne à des machines virtuelles pour s'entraîner à l'analyse forensique

Si vous souhaitez approfondir un thème particulier (mise en place d'un SIEM, analyse forensique plus poussée), n'hésitez pas à nous contacter pour adapter votre formation avec des modules théoriques et pratiques plus ciblés.

Installations nécessaires sur votre machine : Virtualbox

Covid-19 : Nous nous adaptons dans ces moments difficiles. Nous avons mis en place des outils permettant l'organisation de formations à distance.

Les objectifs

• Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
• Analyser les indices laissés lorsqu'un tiers s'introduit dans un système informatique Windows ou Linux
• Reconstituer la chronologie d'une attaque
• Recueillir correctement les preuves nécessaires à une procédure judiciaire

Pré-requis

• Connaissance basique de la ligne de commande (Powershell ou shell Linux)
• Idéalement, des notions de système et réseau
• Ordinateur portable à apporter

Le programme de la formation Réponse à incident

Jour 1 : Méthodologie de la réponse à incident

Phases de la réponse à incident

• Détection
• Analyse à chaud
• Confinement de la menace
• Investigation forensique
• Analyse du scénario d'attaque
• Elimination de la menace et renforcement de la sécurité

Normes et législation française

• La norme ISO 27035
• Procédure de récupération de preuves
• Réception de preuves issues de l'analyse forensique en droit français
• Classification des délits informatiques
• Acteurs techniques et juridiques du forensique

Détecter l’incident

• Qu'est-ce qu'une attaque ? Indicateurs de compromission
• Reconstitution d'un scénario d'attaque
• Revue des outils de détection d’incident système et réseau
• Mise en place d'une solution de centralisation de logs sécurité

Mise en pratique :
- Mise en place et configuration d'un outil de détection d'incident système (OSSEC avec Wazuh)
- Création d'une timeline et reconstitution d'un scénario d'attaque
- Analyse technique des indicateurs de compromission et contre-mesures possibles

Jour 2 : réponse à incident et analyse forensique

Techniques et outils de l'analyse forensique

• Les types d'indicateurs de compromission, leur collecte et leur partage
• Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
• Analyse des fichiers de logs et corrélation d’événements

Analyse systèmes

• Les différents artefacts forensiques des systèmes Linux
• Trousse à outils Windows : découverte de SysInternals
• Mécanismes de persistence
• Détection de modifications système (HIDS)
• Analyse de la mémoire : présentation de Volatility
• Traitement du disque : création d'une timeline à partir du système de fichiers

Analyse réseau

• Rappels des principaux protocoles réseau
• Logs firewall et détection d'activité suspecte
• Utilisation de Wireshark

Analyse de malwares

• Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d'importation)
• Analyse dynamique basique de malware (SysInternals, Wireshark)

Mise en pratique :
- Analyse d’un système informatique piraté et utilisation d'outils d'analyse
- Etude de logs suspects
- Initiation à l'analyse de malware (VirusTotal, Wireshark et SysInternals)

Le(s) formateur(s)

Hadrien Pélissier

Hadrien Pélissier s'intéresse à la sécurité informatique depuis plus de 10 ans. Autodidacte, il aime expliquer à quoi servent les méthodes proposées par le DevOps pour faciliter l'administration système et décortiquer concrètement ce qui se cache derrière les concepts de la sécurité.
Passionné par la pédagogie, il cherche la bonne façon de décortiquer ce qui a l'air confus au départ avec les bonnes images et les bons exemples.

Avant d'être formateur, il travaillait à analyser et résoudre des incidents de sécurité et déployer des outils de sécurité à Criteo, ainsi qu'au CERT de l'entreprise de sécurité Lexsi.

Il s'intéresse au rôle politique des technologies et de l'informatique, ainsi qu'aux structures économiques alternatives (notamment en tant que membre de la coopérative Coopaname).

Voir son profil détaillé

A propos de Human Coders

Human Coders c'est un centre de formation pour développeurs avec :

• une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
• de nombreux clients qui nous font confiance depuis des années
• un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
• 78 formations au catalogue, 939 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
• la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation