Jour 1

Introduction à la cybersécurité

• La "cybersécurité" d'avant
• Présentation du programme Creeper
• Présentation du projet Rabbit
• La cybersécurité d'aujourd'hui et ses risques (Wannacry, Stuxnet)
• La dangerosité des données numériques
• Qui sont les responsables ? Quelles motivations ont-ils?
• Classification des risques selon le gouvernement français

Le monde de l'investigation

• Introduction et approche du Forensic
• Présentation de la timeline historique
• Les objectifs en infosec
• Définition et étymologie du terme
• Présentations des dérivés de la discipline
• Les organismes référents en la matière, tels que l'ENISA et le SANS
• Présentation des cinq principes fondamentaux
• Définition de la méthodologie OSCAR
• Liaisons avec le computer Forensic
• Liaisons avec le memory Forensic
• Liaisons avec le mobil Forensic

Enregistrement et surveillance

• Sources utiles d'analyse basées sur l'hôte
• Sources utiles d'analyse basées sur le réseau
• La technologie SIEM (SEM / SIM)

Les différents types de données

• Définitions des données volatiles et non volatiles
• Les données complètes
• Les données de session
• Les données d'alerte
• Les métadonnées

Acquisition des preuves et sondes

• Approche légale
• Les différents types d'acquisitions
• Les acquisitions par câble et les sondes
• Les acquisitions sans fil et les modes de capture
• Les acquisitions offensives

Rappel des bases réseau

• Rappels sur le modèle OSI (Open Systems Interconnection)
• Rappels sur le modèle TCP/IP
• Les différents matériels réseau
• Définitions et exemples
• IPS (Intrusion Prevention System)
• IDS (Intrusion Detection System)
• WIDS (Wireless Intrusion Detection System)
• Rappels sur les protocoles
• DHCP (Dynamic Host Configuration Protocol)
• DNS (Domain Name System)
• ARP (Address Resolution Protocol)
• HTTP / HTTPS

Présentation des outils connus

• Les outils de capture de paquets, tels que TCPDump / Dumpcap
• SIEM : détection prévention d'intrusion tel que AlienVault
• Les analyseurs de flux, tels que Argus
• Network Incident Detection System, tel que Snort
• Les outils d'analyse à grande échelle, tels que Moloch et Wireshark

Wireshark

• Présentation de l'interface de Wireshark
• Les différentes options de capture
• Présentation de la barre d'outil Wireshark
• Les règles de coloration sous Wireshark
• Les filtres d'affichage
• Les profils sous Wireshark
• Effectuer des recherches avancées
• Les filtres de capture
• Les filtres Berkeley Packets Filter
• Les boutons raccourcis de Wireshark
• Export des données et enregistrement de fichier
• Le bouton de pré-analyse WireShark
• Utilisation des statistiques

Exemples de travaux pratiques (à titre indicatif)

• Créer ses propres règles de coloration
• Elaborer ses propres filtres rapides
• Créer de profils adaptés aux besoins
• Elaborer ses propres boutons

Jour 2

Exemples de travaux pratiques (à titre indicatif) - Suite

• Prise en main de Wireshark
• Lancement des investigations (liées aux précédents travaux pratiques)

Le rapport d'investigation

• Comprendre le déroulé d'une attaque avec le MITRE - ATT&CK
• Rédaction du contexte
• Création de schéma de la typologie réseau
• Présentation des preuves et hash d'intégrité
• Rédaction des processus d'analyse
• Edition de la timeline des évènements
• Rédaction de la conclusion
• Emettre des recommandations

Exemples de travaux pratiques (à titre indicatif) : analyse réseau

• Identifier
• Une erreur de type ARP Storm
• Une attaque DHCP Starvation
• Une attaque ARP spoofing
• Un Scan réseau
• Une exfiltration de données
• Un téléchargement via torrent

Jour 3

Exemples de travaux pratiques (à titre indicatif) - Suite

• Etude de cas réels d'entreprise
• Analyse de captures réseau
• Utilisation des outils, méthodes et techniques
• Rédaction d'un rapport Forensic en réponse aux problèmes posés

Exemples de travaux pratiques (à titre indicatif) : installation, utilisation et détection via SIEM

• Mise en place du LAB
• Installation de AlienVault
• Configuration de l'OSSIM
• Détection et configuration des hôtes
• Mise en place d'agents sur les clients
• Détection de vulnérabilités
• Détection d'une attaque par exploit