SECOPS - Sécurité opérationnelle - Réponse à incident
Contexte et contenu
La sécurité de l'information est un enjeu crucial dans le monde numérique d'aujourd'hui. Les cybermenaces sont devenues de plus en plus sophistiquées et omniprésentes, mettant en péril la confidentialité, l'intégrité et la disponibilité des données sensibles.
Face à cette réalité, il est essentiel pour les organisations de se doter de compétences solides en matière de détection et de réponse aux incidents de sécurité.
La formation "Détection et réponse aux incidents de sécurité" est spécialement conçue pour répondre à ce besoin pressant.
Elle vise à former des professionnels de la sécurité informatique capables de détecter, d'évaluer et de réagir efficacement aux incidents de sécurité, qu'il s'agisse de tentatives d'intrusion, d'attaques de logiciels malveillants ou d'autres formes d'activités cybercriminelles.
3 jours avec cinq parties :
- État des lieux
- Comprendre l'attaque
- Architecture de détection
- Blue Team vs. Attaquant
- Réponse à incident et Hunting
Partie 01
- Etat des lieux
- Pourquoi la détection
- Défense en profondeur
- Tout compromis
- Evolution de la menace
- Principes de défense
- CTI et renseignement
- IOC, Yara, MISP
Partie 02
- Comprendre l’attaque
- Objectifs de l’attaquant
- Phase d’’une attaque
- Plusieurs champs de bataille
- - Réseau
- - Applications
- - Systèmes d’exploitation
- - Active Directory
- - Utilisateurs et Cloud
- - Portrait d’une attaque réussie
Partie 03
- Architecture de détection
- Architecture sécurisée
- Détection : les classiques
- IDS/IPS
- SIEM
- SandBox
- Capture Réseau
- WAF
- Architecture de détection
- Valoriser les « endpoints »
- - Whitelisting
- - Sysmon
- - Protections mémoire
- - Mesures complémentaires de Windows 10
- Les outsiders
- "Self-defense" applicative
- Honey-*
- Données DNS
- Focus : Journalisation
Partie 04
- Blue Team vs. Attaquant
- Gérer les priorités
- Outils & techniques
- Wireshark / Tshark
- Bro / Zeek
- Recherche d'entropie
- Analyse longue traîne
- Blue Team vs. Attaquant suite
- Détection et kill chain
- Focus: Détecter Bloodhound
- Exploitation
- C&C
- Mouvements latéraux
- Focus : Attaques utilisant Powershell
- Elévation de privilèges
- Persistance
- Focus: détecter et défendre dans le Cloud
Partie 05
- Réponse à incident et Hunting
- Le SOC & CSIRT
- Triage
- Outils de réponse
- Linux
- Windows
- Kansa
- GRR
- Réponse à incident et Hunting
- Partons à la chasse
- Principes de base
- Attaquer pour mieux se défendre
- Audit "Purple team"
Cette formation est adaptée à tous les membres d’une équipe informatique qui souhaite monter en compétence sur les sujets cybersécurité et notamment la détection et la réponse à incident :
- Responsable sécurité
- Administrateur système et réseau
- Ingénieur sécurité
- Technicien système et réseau
- Membres d'un SOC ou d'un CSIRT
- Le participant doit connaitre des notions de base en système et réseau
- Connaissances de base en sécurité informatique
- Compétences en réseaux informatiques
- Connaissance des systèmes d'exploitation
Cette formation mobilise principalement des méthodes pédagogiques actives et participatives, présentation, explication, retour d'expériences et cas pratiques.
Matériel pour les formations présentielles informatiques : un PC par participant, Support de cours électronique fourni.
- Mettre en place une architecture de détection
- Appliquer la notion de "prévention détective
- Limiter l'impact d'une compromission
- Prioriser les mesures de surveillance à implémenter
- Maitriser le processus de réponse à incident
Afin de mesurer l’évaluation de l’apprenant le formateur proposera un questionnaire d'évaluation à l'entrée puis à la fin de la formation. Afin de mesurer la satisfaction de l’apprenant, un questionnaire de satisfaction sera proposé à la fin de la formation.
