Accueil    Formations    Informatique    Cybersécurité    Sécurité défensive    Investigation numérique (Computer Forensics)

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vidéo de présentation

Cette formation peut être financée grâce au CPF (Compte Personnel de Formation). Le Compte Personnel de Formation permet d'acquérir des droits à la formation professionnelle, comptabilisés en euros, que chacun peut utiliser avec ou sans l'accord de son employeur tout au long de sa vie active (y compris en période de chômage) pour suivre une formation qualifiante ou certifiante. 

Consultez le montant de vos droits CPF

Objectifs pédagogiques / Compétences visées

  • Mettre en pratique les compétences générales sur l'investigation numérique.

Niveau requis

Avoir des connaissances généralistes en programmation, réseau et système.

Public concerné

Développeurs, pentesters et consultants en informatique.

Programme

Jour 1

Introduction

  • Qu'est-ce que le Forensic ?
  • Qu'est-ce que le Forensic numérique ?
  • Les cas d'utilisation du Forensic dans une organisation
  • Forensic et réponse à incident
  • Obligations légales et limitations
  • CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)

Méthodologie

  • Méthodologie d'investigation légale
  • Audit préalable
  • Enregistrements des preuves (chain of custody)
  • Collecte des preuves
  • Matériels d'investigation
  • Logiciels d'investigation
  • Protection de la collecte
  • Calculs des empreintes de fichiers
  • Rédaction du rapport

Investigation numérique "live"

  • Méthodologie live Forensic
  • Pourquoi le live ?
  • Qu'est-il possible de faire ?
  • Présentation de la suite Sysinternals

Investigation réseau

  • Enregistrement et surveillance
  • Les différents types de données
  • Acquisition des preuves et sondes
  • Rappel des bases du réseau
  • Présentation des outils connus
  • Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
  • Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
  • Identifier une attaque ARP Spoofing
  • Identifier un scan réseau
  • Identifier une exfiltration de données
  • Identifier un téléchargement via Torrent
Exemple de travaux pratiques (à titre indicatif)
  • Trouver des attaques de types ARP Spoofing

Jour 2

Forensic Windows

  • Analyse des systèmes de fichiers
    • FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
    • NTFS (New Technology File System)
    • Timeline (MFT)
  • Artefacts Système
    • EVTX (Windows XML Event Log)
    • Analyse base de registre
    • Analyse VSC (Volume Shadow Copies)
    • Autres (Jumplist, prefetch, AMcache)
  • Artefacts applicatifs
  • Navigateurs
  • Messageries
  • Skype / Onedrive / Dropbox
Exemple de travaux pratiques (à titre indicatif)
  • Trouver une intrusion via une attaque par Spear Phishing

Jour 3

Analyse simple de malwares

  • Les menaces et leurs mécanismes
    • Etat des lieux, démarche et outils (file, nm, readelf...)
    • Mettre en place un environnement de test
    • Sandbox
    • Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
    • Mécanismes de persistance
    • Techniques d'évasion
  • Analyse mémoire sous Windows
    • Principe
    • Volatility

Forensic Linux

  • Analyse de la mémoire vive
  • Volatility avancé (ajout de plug-in)
  • Analyse des principaux artefacts
  • Retracer la création d'un profil
  • Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
  • EXT / SWAP
Exemple de travaux pratiques (à titre indicatif)
  • Analyser un simple Malwares

Jour 4

  • Création de la timeline et exploitation des metadatas (STK et Python)
  • Analyse des logs systèmes et applications : historique, logins et droits

Investigation Web

  • Analyse de logs (déclinaison top 10 OWASP)
  • Analyse de base de données
  • Scripting Python (RegEx)
  • Désobfuscation
  • Cas d'usage (analyse d'une backdoor PHP)
Exemple de travaux pratiques (à titre indicatif)
  • Détecter une attaque SQLI (SQL Injection)

Jour 5

Android

  • Présentation d'Android (historique et architecture)
  • Installation d'un lab (ADB, genymotion...)
  • Dump mémoire
  • Analyse des logs, base de données et navigateurs
  • Description des valises UFED (Universal Forensic Extraction Device)
  • Principe de fonctionnement
  • Différentes sauvegardes réalisables
  • Analyses via UFED Physical Analyzer
  • Scripting avec Python

iPhone

  • Présentation iOS et architecture
  • Acquisition logique
  • Acquisition physique
  • Jailbreak
  • Analyse des différents artefacts iOS

Certification (en option)

  • Prévoir l'achat de la certification en supplément
  • L'examen (en français) sera passé le dernier jour, à l'issue de la formation et s'effectuera en ligne
  • Il s'agit d'un QCM dont la durée moyenne est d'1h30 et dont le score obtenu attestera d'un niveau de compétence

Modalités d’évaluation des acquis

  • En cours de formation, par des études de cas ou des travaux pratiques
  • Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)

Compétences attestées par la certification

  • Appliquer les normes et standards de sécurité
  • Identifier les menaces de sécurité
  • Assurer la sécurité des systèmes et des équipements
  • Analyser les données numériques
  • Mettre en oeuvre les contre-mesures efficaces
  • Optimiser le dispositif de protection informatique
  • Etre autonome dans l'exécution des tâches
  • Assurer la veille technique.

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vous souhaitez suivre cette formation ?

Cette formation est disponible en présentiel ou en classe à distance, avec un programme et une qualité pédagogique identiques.

Choisissez la modalité souhaitée pour vous inscrire :

Votre société a besoin d'une offre personnalisée ? Contactez-nous

Faites évoluer vos compétences

Complétez votre formation

Faites-nous part de votre projet de formation, nous sommes là pour vous guider.

Contactez-nous