Formation Réponse à incident et analyse forensique – Niveau expert opérationnel

icon public

Public : Consultants en sécurité, membres de SOC ou d’équipes “blue team” - Administrateurs systèmes / réseaux impliqués dans la gestion d’incidents-- RSSI, responsables sécurité opérationnelle, responsables CERT / CSIRT

icon horloge

Durée : 5 jour(s)

Syllabus de la formation Réponse à incident et analyse forensique – Niveau expert opérationnel

Pré-requis : Bonne compréhension générale des architectures systèmes et réseaux - Première expérience de la sécurité opérationnelle (gestion d’incident, supervision, journaux) souhaitable

Objectifs : Comprendre les principes, enjeux et étapes de la réponse à incident de sécurité - Acquérir les bases méthodologiques de l’analyse forensique sur systèmes et journaux (dans un cadre légal et maîtrisé) - Savoir organiser la collecte, la préservation et l’analyse des preuves numériques lors d’un incident - Être en mesure de contribuer efficacement à la gestion d’un incident majeur et au retour d’expérience

Sanction : Attestation de fin de formation mentionnant le résultat des acquis

Référence : CYB102750-F

Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins

Contact : commercial@dawan.fr

Télécharger le programme
INTER INTRA DISTANCE TUTORAT

À partir de

1 175,00 € HT / jour

Tarif pour une personne à distance sans frais
+ 75,00 € HT par participant supplémentaire
+ frais en cas de formation présentielle

3 180,00 € HT

1 500,00 € HT

Pour 20 tickets de 30mn (10 heures) utilisables pendant 12 mois

3 975,00 € HT

Tarif plein :

  • Paiement à 60 jours
  • Report possible à J-3
  • 3 tickets d'assistance

3 180,00 € HT

Tarif remisé :

Contacter Dawan
Hacking et sécurité

Programme de Formation Réponse à incident et analyse forensique – Niveau expert opérationnel

Comprendre le cadre et les enjeux de la réponse à incident

Définir ce qu’est un incident de sécurité, une alerte, un faux positif, un incident majeur
Comprendre les enjeux techniques, organisationnels, juridiques et d’image liés à la gestion d’incidents
Positionner la réponse à incident dans la démarche globale de cybersécurité (SOC, gouvernance, PCA/PRA, gestion de crise)
Identifier les acteurs clés : SOC, équipes techniques, RSSI, direction, juridique, communication, prestataires
Atelier fil rouge : analyser un exemple d’incident médiatisé et reconstituer rapidement les grandes étapes de la réponse

Structurer un processus de réponse à incident

Découvrir les principales étapes : préparation, détection, analyse, confinement, éradication, reprise, retour d’expérience
Définir les critères de criticité et les niveaux d’escalade
Articuler les procédures de réponse à incident avec les outils existants (tickets, supervision, logs, communication)
Documenter le processus pour qu’il soit utilisable par les équipes opérationnelles
Atelier fil rouge : construire un schéma simple de processus de réponse à incident adapté à son organisation

Collecter et préserver les preuves numériques

Comprendre la notion de preuve numérique et d’intégrité des éléments collectés
Identifier les sources de preuves : journaux systèmes, réseaux, applicatifs, sauvegardes, configurations, artefacts sur postes et serveurs
Mettre en place des pratiques de collecte structurées pour limiter la dégradation des preuves
Préparer les éléments nécessaires à une éventuelle enquête interne, assurance ou action en justice
Atelier fil rouge : élaborer une checklist de collecte d’éléments pour différents types d’incidents

Analyser les journaux et artefacts pour comprendre l’incident

Découvrir les principes de base de l’analyse forensique sur systèmes et journaux, dans un contexte pédagogique
Identifier les traces typiques d’attaques : connexions suspectes, élévation de privilèges, modifications de comptes, exécutions inhabituelles
Relier les observations à une chronologie des événements pour reconstituer le déroulé de l’incident
Articuler cette analyse avec les informations provenant des outils de sécurité (EDR, SIEM, IDS/IPS)
Atelier fil rouge : à partir d’un jeu de journaux simplifiés, reconstituer une timeline résumant l’incident

Contribuer au confinement, à l’éradication et à la reprise

Identifier les options de confinement : isolement de machines, restrictions d’accès, désactivation de comptes
Comprendre les risques liés à un confinement mal maîtrisé (perte de traces, réactions de l’attaquant, impacts métiers)
Participer à l’éradication : suppression de composants malveillants, corrections, durcissement, restaurations ciblées
Préparer et accompagner les phases de reprise en service en limitant les risques de rechute
Atelier fil rouge : travailler sur un scénario d’incident et proposer des mesures de confinement et d’éradication réalistes

Documenter l’incident et contribuer au retour d’expérience

Structurer le compte rendu d’incident : contexte, détection, chronologie, impacts, actions menées, décisions, preuves disponibles
Adapter les rapports aux différents publics : technique, RSSI, direction, assurance, autorités si nécessaire
Organiser le retour d’expérience (RETEX) pour tirer des enseignements concrets et prioriser les améliorations
Relier ces enseignements à la mise à jour des procédures, des configurations et de la sensibilisation
Atelier fil rouge : rédiger un modèle de compte rendu d’incident et un modèle de synthèse pour la direction

Mettre en place une capacité de réponse à incident opérationnelle

Identifier les prérequis organisationnels et techniques : référentiels, outils, compétences, astreintes, partenaires externes
Définir les rôles au sein d’une équipe de réponse à incident (CSIRT/CERT interne ou externe)
Articuler cette capacité avec la gestion de crise de l’organisation et les assureurs cybersécurité
Prévoir des exercices réguliers de simulation d’incidents pour tester et améliorer le dispositif
Atelier fil rouge : définir une feuille de route pour renforcer la capacité de réponse à incident de son organisation

Construire son plan de progression en forensique et réponse à incident

Identifier les domaines techniques à approfondir : systèmes, réseaux, applicatifs, outils forensiques, EDR, SIEM
Repérer les ressources, formations et communautés pertinentes pour continuer à progresser
Définir un plan d’action individuel et/ou d’équipe sur 6 à 12 mois (outils à mettre en place, pratiques à standardiser, exercices à mener)
Ancrer la réponse à incident et la forensique dans une démarche d’amélioration continue de la sécurité globale
Atelier fil rouge final : formaliser un plan de progression personnel autour de la réponse à incident et de l’analyse forensique

CopyrightDepot Dawan

Délai d'accès :Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Dans le cas d’un financement via votre CPF, la validation de votre dossier devra être réalisée 11 jours ouvrés avant le début de formation

Modalités d’évaluation : Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs

  • Un support et les exercices du cours pour chaque stagiaire
  • Un formateur expert ayant suivi une formation à la pédagogie et ayant au minimum 3 années d'expériences dans le domaine visé
  • Boissons offertes pendant les pauses en inter-entreprises
  • Salles lumineuses et locaux facilement accessibles
  • Méthodologie basée sur l'Active Learning : 75% de pratique minimum
  • Matériel pour les formations présentielles informatiques : un PC par participant
  • Positionnement à l'entrée et à la sortie de la formation
  • Certification CPF quand formation éligible
  • Délai d’accès : D'une à trois semaines en fonction des sessions ouvertes

Suite de parcours et formations associées

Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.

Aucune date de programmée actuellement. Pour plus d'information sur les prochaines sessions, nous vous invitons à joindre le service commercial par téléphone au 09 72 37 73 73 (prix d'un appel local) ou depuis notre formulaire de contact.

Nos centres de formation

  • Bordeaux

    Nos locaux sont accessibles

    Bât Ravezies - 2e étage 250 avenue Emile Counord

    33300 Bordeaux

    Liaison directe de la gare Bordeaux Saint-Jean via le tram C

  • Bruxelles

    Rue de la Loi, 23

    1040 Bruxelles

  • Distance

    32 Boulevard Vincent Gâche

    44000 Nantes

  • Genève

    c/o CCI France Suisse Route de Jussy 35 Case postale 6298

    CH-1211 Thônex - Genève

  • Lille

    Nos locaux sont accessibles

    46 rue des Canonniers - 2è étage

    59800 Lille

    Proche des deux gares

  • Luxembourg

    5 Rue Goethe

    L-1637 Luxembourg

  • Lyon

    Nos locaux sont accessibles

    62 rue de Bonnel - 1er étage Ascenseur à droite de l'entrée

    69003 Lyon

  • Marseille

    Nos locaux sont accessibles

    38/40 rue de la République Escalier A, 1er étage

    13001 Marseille

    A proximité du vieux port

  • Montpellier

    Nos locaux sont accessibles

    26 Allée de Mycènes Le Thèbes, Bât. A, 3è étage

    34000 Montpellier

    Quartier Antigone

  • Nantes

    Nos locaux sont accessibles

    32 Boulevard Vincent Gâche 5 ème étage

    44200 Nantes

  • Nice

    Nos locaux sont accessibles

    455 promenade des Anglais Bât Arenice, 7è étage

    06200 Nice

  • Paris

    Nos locaux sont accessibles

    11 rue Antoine Bourdelle

    75015 Paris

    dans le 15e arrondissement

  • Rennes

    Nos locaux sont accessibles

    3 place du Général Giraud

    35000 Rennes

  • Strasbourg

    Nos locaux sont accessibles

    4 rue de Sarrelouis - 4è étage

    67000 Strasbourg

  • Toulouse

    Nos locaux sont accessibles

    1 place Occitane Bât. Le Sully - 4è étage

    31000 Toulouse

    Proche de Jean-Jaurès et du Capitole