Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?
Rappel Email
Formation Réponse à incident et analyse forensique
Une bonne méthodologie appliquée avant qu'un incident ne se produise, couplée à la collecte des informations nécessaires grâce aux bons outils, permet de réagir, d'analyser, de reconstruire et de remédier à une attaque informatique.
Dates
Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)
Les piratages informatiques créent un climat d'urgence qui nécessite une méthodologie pour y répondre et envisager plus sereinement l'investigation et la remédiation.
Les techniques utilisées pour la collecte d'indices forensiques permettent d'enquêter sur ce qui est arrivé.
Pour reconstruire la chronologie et l'impact d'un attaque, l'analyse forensique (ou forensic en anglais) s'appuie sur les domaines les plus variés de l'informatique : protocoles réseau, systèmes de fichiers, fonctionnement de Windows et de Linux, fonctionnement d'un programme malveillant...
Durant cette formation Réponse à incident et analyse forensique, vous verrez comment :
- détecter une attaque,
- puis recréer une timeline des événements,
- et l'enrichir grâce à différents outils de réponse à incident et de forensique.
Suivre une méthodologie rigoureuse permet aussi de recueillir correctement les preuves nécessaires à une procédure judiciaire et d'œuvrer correctement à la remédiation d'un incident.
Cette formation s'adresse à toute personne ayant déjà une connaissance généraliste de l'informatique, souhaitant se spécialiser dans la sécurité informatique ou toute personne travaillant déjà dans la sécurité (SOC, CERT, audit, conseil) cherchant améliorer sa connaissance des processus à l'œuvre dans la détection et l'analyse d'attaques informatique.
Chaque module de la formation débute par un court exposé des nouvelles notions (méthodologie ou technique), puis d'une discussion plus informelle en fonction de l'intérêt des participant·e·s.
Les ateliers pratiques se déroulent en trinômes ou en binômes avec des machines virtuelles personnelles.
A l'issue de cette formation Réponse à incident et analyse forensique, les participant·e·s ressortiront avec :
- un livret comportant une liste d'outils utiles au forensique et à la réponse à incident
- les supports texte des différentes méthodologies abordées pour répondre à un incident, recueillir des indices et les analyser
- un accès en ligne à des machines virtuelles pour s'entraîner à l'analyse forensique
Les objectifs
- Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
- Analyser les indices laissés lorsqu'un tiers s'introduit dans un système informatique Windows ou Linux
- Reconstituer la chronologie d'une attaque
- Recueillir correctement les preuves nécessaires à une procédure judiciaire
Pré-requis
- Ordinateur portable à apporter avec Virtualbox installé
- Connaissance basique de la ligne de commande (Powershell ou shell Linux)
- Idéalement, des notions de système et réseau
Le programme de la formation Réponse à incident et analyse forensique
Jour 1 : La réponse à incident
Phases de la réponse à incident
- Détection
- Analyse
- Confinement de la menace
- Investigation forensique
- Élimination de la menace
- Procédure post-incident
- Renforcement de la sécurité
Normes et législation française
- La norme ISO 27035
- Procédure de récupération de preuves
- Réception de preuves issues de l'analyse forensique en droit français
- Classification des délits informatiques
- Acteurs techniques et juridiques du forensique
Détecter l’incident
- Repérer les indices de compromission
- Revue des outils de détection d’incident
- Configuration de sondes IDS
- Mise en place d'un honeypot
Méthodologie d’une analyse forensique
- Duplication des données
- Récupération et analyse d’un extrait de mémoire vive
- Analyse des fichiers de logs et corrélation d’événements
- Création d'une timeline et analyse
Mise en pratique :
- Mise en place d'un honeypot dans une machine virtuelle et détection de l'attaque,
- Création d'une timeline,
- Analyse technique et contre-mesures
Jour 2 : l'analyse forensique
Techniques et outils de l'analyse forensique
- Techniques classiques de détection (Indicateurs de compromission, signatures réseau, règles YARA…)
- Configuration d’un laboratoire d’analyse dans une machine virtuelle
- Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
- Analyse des e-mails, du navigateur et autres logs (serveur web, cloud)
Systèmes Windows
- Principaux points de l'analyse d’un système Windows
- Trousse à outils Windows : découverte de SysInternals
- Analyse du registre et extraction des ruches
Systèmes Linux
- Les différents artefacts forensiques d'un système Linux
- Mécanismes de persistence
- Détection de modifications système (HIDS)
Analyse de la mémoire
- Traitement du fichier mémoire
- Présentation de Volatility
- Information processus
- Mappage des processus
- Techniques d'analyse avec Volatilty
Analyse de disques
- Système de fichiers Windows : NTFS et MFT
- Traitement du disque : création d'une timeline (analyse du prefetch, MFT, cache, logs navigateurs…)
- Récupération de fichiers supprimés
Analyse réseau
- Rappels des principaux protocoles réseau
- Logs firewall et détection d'activité suspecte
- Utilisation de Wireshark
Analyse de malwares
- Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d'importation)
- Analyse dynamique basique de malware (SysInternals, Wireshark)
Mise en pratique :
- Mise en place d’une VM "laboratoire",
- Analyse d’un système informatique piraté,
- Utilisation d'outils forensic et centralisation des logs dans une timeline,
- Analyse de malware (Wireshark et SysInternals)
Le(s) formateur(s)
Hadrien Pélissier
Hadrien Pélissier s'intéresse à la sécurité informatique depuis plus de 10 ans. Autodidacte, il aime expliquer à quoi servent les méthodes proposées par le DevOps pour faciliter l'administration système et décortiquer concrètement ce qui se cache derrière les concepts de la sécurité.
Passionné par la pédagogie, il cherche la bonne façon de décortiquer ce qui a l'air confus au départ avec les bonnes images et les bons exemples.
Avant d'être formateur, il travaillait à analyser et résoudre des incidents de sécurité et déployer des outils de sécurité à Criteo, ainsi qu'au CERT de l'entreprise de sécurité Lexsi.
Il s'intéresse au rôle politique des technologies et de l'informatique, ainsi qu'aux structures économiques alternatives (notamment en tant que membre de la coopérative Coopaname).
Besoin d'aide ?
Nos forces
- Des formations à taille humaine
- Des formateurs passionnés
- Des véritables workshop
Nos clients
Nos formations en images
Formation Réponse à incident et analyse forensique
Une bonne méthodologie appliquée avant qu'un incident ne se produise, couplée à la collecte des informations nécessaires grâce aux bons outils, permet de réagir, d'analyser, de reconstruire et de remédier à une attaque informatique.
Les piratages informatiques créent un climat d'urgence qui nécessite une méthodologie pour y répondre et envisager plus sereinement l'investigation et la remédiation.
Les techniques utilisées pour la collecte d'indices forensiques permettent d'enquêter sur ce qui est arrivé.
Pour reconstruire la chronologie et l'impact d'un attaque, l'analyse forensique (ou forensic en anglais) s'appuie sur les domaines les plus variés de l'informatique : protocoles réseau, systèmes de fichiers, fonctionnement de Windows et de Linux, fonctionnement d'un programme malveillant...
Durant cette formation Réponse à incident et analyse forensique, vous verrez comment :
- détecter une attaque,
- puis recréer une timeline des événements,
- et l'enrichir grâce à différents outils de réponse à incident et de forensique.
Suivre une méthodologie rigoureuse permet aussi de recueillir correctement les preuves nécessaires à une procédure judiciaire et d'œuvrer correctement à la remédiation d'un incident.
Cette formation s'adresse à toute personne ayant déjà une connaissance généraliste de l'informatique, souhaitant se spécialiser dans la sécurité informatique ou toute personne travaillant déjà dans la sécurité (SOC, CERT, audit, conseil) cherchant améliorer sa connaissance des processus à l'œuvre dans la détection et l'analyse d'attaques informatique.
Chaque module de la formation débute par un court exposé des nouvelles notions (méthodologie ou technique), puis d'une discussion plus informelle en fonction de l'intérêt des participant·e·s.
Les ateliers pratiques se déroulent en trinômes ou en binômes avec des machines virtuelles personnelles.
A l'issue de cette formation Réponse à incident et analyse forensique, les participant·e·s ressortiront avec :
- un livret comportant une liste d'outils utiles au forensique et à la réponse à incident
- les supports texte des différentes méthodologies abordées pour répondre à un incident, recueillir des indices et les analyser
- un accès en ligne à des machines virtuelles pour s'entraîner à l'analyse forensique
Covid-19: Nous restons ouverts. Cette formation est disponible à distance.
Les objectifs
- Découvrir des méthodologies pour détecter, analyser et traiter rigoureusement un incident informatique
- Analyser les indices laissés lorsqu'un tiers s'introduit dans un système informatique Windows ou Linux
- Reconstituer la chronologie d'une attaque
- Recueillir correctement les preuves nécessaires à une procédure judiciaire
Pré-requis
- Ordinateur portable à apporter avec Virtualbox installé
- Connaissance basique de la ligne de commande (Powershell ou shell Linux)
- Idéalement, des notions de système et réseau
Le programme de la formation Réponse à incident et analyse forensique
Jour 1 : La réponse à incident
Phases de la réponse à incident
- Détection
- Analyse
- Confinement de la menace
- Investigation forensique
- Élimination de la menace
- Procédure post-incident
- Renforcement de la sécurité
Normes et législation française
- La norme ISO 27035
- Procédure de récupération de preuves
- Réception de preuves issues de l'analyse forensique en droit français
- Classification des délits informatiques
- Acteurs techniques et juridiques du forensique
Détecter l’incident
- Repérer les indices de compromission
- Revue des outils de détection d’incident
- Configuration de sondes IDS
- Mise en place d'un honeypot
Méthodologie d’une analyse forensique
- Duplication des données
- Récupération et analyse d’un extrait de mémoire vive
- Analyse des fichiers de logs et corrélation d’événements
- Création d'une timeline et analyse
Mise en pratique :
- Mise en place d'un honeypot dans une machine virtuelle et détection de l'attaque,
- Création d'une timeline,
- Analyse technique et contre-mesures
Jour 2 : l'analyse forensique
Techniques et outils de l'analyse forensique
- Techniques classiques de détection (Indicateurs de compromission, signatures réseau, règles YARA…)
- Configuration d’un laboratoire d’analyse dans une machine virtuelle
- Principaux outils de collecte forensique (log2timeline, FastIR, sysinternals...)
- Analyse des e-mails, du navigateur et autres logs (serveur web, cloud)
Systèmes Windows
- Principaux points de l'analyse d’un système Windows
- Trousse à outils Windows : découverte de SysInternals
- Analyse du registre et extraction des ruches
Systèmes Linux
- Les différents artefacts forensiques d'un système Linux
- Mécanismes de persistence
- Détection de modifications système (HIDS)
Analyse de la mémoire
- Traitement du fichier mémoire
- Présentation de Volatility
- Information processus
- Mappage des processus
- Techniques d'analyse avec Volatilty
Analyse de disques
- Système de fichiers Windows : NTFS et MFT
- Traitement du disque : création d'une timeline (analyse du prefetch, MFT, cache, logs navigateurs…)
- Récupération de fichiers supprimés
Analyse réseau
- Rappels des principaux protocoles réseau
- Logs firewall et détection d'activité suspecte
- Utilisation de Wireshark
Analyse de malwares
- Analyse statique basique de malware (VirusTotal, chaînes de caractère, table d'importation)
- Analyse dynamique basique de malware (SysInternals, Wireshark)
Mise en pratique :
- Mise en place d’une VM "laboratoire",
- Analyse d’un système informatique piraté,
- Utilisation d'outils forensic et centralisation des logs dans une timeline,
- Analyse de malware (Wireshark et SysInternals)
Le(s) formateur(s)
Hadrien Pélissier
Hadrien Pélissier s'intéresse à la sécurité informatique depuis plus de 10 ans. Autodidacte, il aime expliquer à quoi servent les méthodes proposées par le DevOps pour faciliter l'administration système et décortiquer concrètement ce qui se cache derrière les concepts de la sécurité.
Passionné par la pédagogie, il cherche la bonne façon de décortiquer ce qui a l'air confus au départ avec les bonnes images et les bons exemples.
Avant d'être formateur, il travaillait à analyser et résoudre des incidents de sécurité et déployer des outils de sécurité à Criteo, ainsi qu'au CERT de l'entreprise de sécurité Lexsi.
Il s'intéresse au rôle politique des technologies et de l'informatique, ainsi qu'aux structures économiques alternatives (notamment en tant que membre de la coopérative Coopaname).
Suivi de formation en option
A l'issue de la formation, nos formateurs peuvent aussi intervenir pour vous accompagner dans la mise en application des compétences acquises :
- en répondant à vos questions lors de rendez-vous téléphoniques réguliers
- en étant présents physiquement à l'amorce du projet
- en réalisant un audit de vos pratiques quelques semaines/mois après la formation
Cette idée vous intéresse ? Faîtes-le nous savoir pour que nous trouvions la formule adaptée à votre situation.
Nos clients
Nos formations en images