Forensic, Analyse malware & Réponse à incidents – Cybersécurité – BC03 RNCP Expert Sécurité Digitale
ESD CYBERSECURITY
Objectifs de la formation
À l'issue de cette formation, le candidat sera capable de :
- Comprendre les normes et méthodologies d'investigation numériquepour l'environnement Windows.
- Prévenir et détecter les intrusionsdans les environnements Windows.
- Analyser les artefacts de systèmepour identifier les preuves numériques lors d'une investigation.
- Générer et analyser une chronologie des événementslors d'une investigation numérique.
- Maîtriser les outils d'investigation numériquedisponibles pour l'environnement Windows.
- Encadrer une analyse de malwareen identifiant et cartographiant les éléments malveillants.
Programme
Module 1 – Investigation numérique Windows (ESD-FORENSICSWIN)
Section 1 – État de l'art de l'investigation numérique
- Introduction à l'investigation numérique
- Vocabulaire
- Les différentes disciplines
- Indicateurs de compromission
- Méthodologie d'investigation
- ATT&CK et Arbres d'attaque
Section 2 – Les fondamentaux Windows et collecte des données
- Fondamentaux Windows
- Structure des répertoires
- Séquence de boot
- Bases de registres
- Logs et événements
- Services
- Volume Shadow Copy Service
- Généralités sur les disques durs
- Fondamentaux NTFS
- Analyse live
- Analyse offline : imaging
- Analyse offline : collecte
- Les outils d'analyse
Section 3 – Artefacts
- Artefacts internet : pièces jointes, Open/Save MRU, Zone.Identifier, téléchargements, historique Skype, navigateurs
- Artefacts d'exécution : UserAssist, Timeline Windows 10, RecentApps, Shimcache, Jumplist, Amcache.hve, BAM/DAM, Prefetch
- Artefacts fichiers et dossiers : Shellbags, fichiers récents, raccourcis LNK, documents Office
- Artefacts réseau : historique navigateur, cookies, SRUM, logs Wi-Fi
- Artefacts comptes utilisateur : authentification, RDP, événements de service
- Artefacts USB : événements PnP, numéros de série
- Artefacts fichiers supprimés : corbeille, Thumbcache, WordWheelQuery
- Spécificités Active Directory
Section 4 – Analyse mémoire et Anti-Forensic
- Acquisition mémoire
- Analyse avec Volatility
- TP : Investigation mémoire
- Principes et techniques d'Anti-Forensic
- TP : Anti-Forensic
Module 2 – Fondamentaux de l'analyse des logiciels malveillants (ESD-MALFOUND)
Section 1 – État de l'art
- Introduction
- Vecteurs d'infection
- Réponse à incident
- Détection antivirale
Section 2 – Environnement d'analyse
- Infrastructure
- Environnement d'analyse
Section 3 – Analyse statique simple
- Principe
- Analyse de maldoc
- Bases systèmes
- Analyse d'un exécutable
Section 4 – Analyse dynamique simple
- Principe
- Bases systèmes avancées
- Analyse d'un exécutable
- Analyse mémoire, injection et rootkit
Section 5 – Introduction à l'assembleur
- Introduction
- Instructions
- Registres
- Pile
- Syscalls
Section 6 – Analyse avancée
- Principe d'analyse avancée
- Analyse dynamique avancée
- Utilisation d'un debugger
- Breakpoints
- Méthodologie d'analyse et patching
Études pratiques
- Cas pratiques
- TP final
Résultats attendus
À l'issue de la formation, le candidat sera opérationnel pour exercer en tant qu'Analyste Forensic,Incident ResponderouAnalyste Malware. Modalités d'évaluation :
- Mise en situation n°1 : investigation numérique complète + rapport + soutenance devant jury
- Mise en situation n°2 : analyse de malware (décomposition des modes opératoires)
- Mise en situation n°3 : plan de correction des défauts de sécurité issus de l'investigation
- Mise en situation n°4 : mesures techniques contre les malwares
- La validation de ce bloc donne lieu à la délivrance d'une attestation de validation du bloc de compétences BC03, capitalisable vers l'obtention du titre complet.
Les points forts
Validez le bloc Forensic du titre RNCP Niveau 7. Investigation numérique Windows, analyse mémoire Volatility, réponse aux incidents. Format : e-learning + classes virtuelles.
Bloc capitalisable vers le titre Expert en Sécurité Digitale Niveau 7 (Bac+5).
La certification
- TypeTitre RNCP
- Niveau de sortieBAC+5 : grade master, DEA, DESS, ingénieur... (NIVEAU 7)
- Spécialité (NSF)Informatique, traitement de l'information, réseaux de transmission
- DomaineSécurité informatique
- Métier viséExpert / Experte systèmes et réseaux informatiques
RNCP 36399 RS -1 CertifInfo 113305 Organisme & lieu
- OrganismeESD CYBERSECURITY
- Région