Surveillance, détection & réponse aux incidents SSI (SECDRIS)

En 2015, c'est en moyenne après 5 mois* de présence sur les réseaux de leurs victimes que des attaquants sont découverts, et ce en majorité par des acteurs externes aux organisations concernées. Parallèlement, la monétisation croissante des compromissions renforce la motivation et la professionnalisation des attaquants. Ces deux constats à eux seuls doivent nous pousser à changer notre façon d'aborder la sécurité : la prévention demeure certes indispensable, mais elle n'est plus suffisante. Une gestion efficace des incidents de sécurité nécessite de connaître le fonctionnement des cyberattaques afin de pouvoir les détecter et y répondre de manière appropriée. Basée sur le retour d'expérience d'experts en sécurité, cette formation, en détaillant différents scénarios de compromission, apporte les points clés permettant d'élever de façon significative le niveau de sécurité de votre organisation en approfondissant les aspects souvent délaissés que sont la détection et la réponse. (*) source Fireye M-Trends 2016 - https://www.fi eeye.fr/content/dam/fi eeye-www/global/en/current-threats/pdfs/Infographic-mtrends2016.pdf
 
Vous allez apprendre

  • Comprendre les menaces et attaques sur les réseaux et systèmes
  • Identifier les indicateurs de compromission (IOC)
  • Mettre en œuvre les différents moyens de surveillance et de détection
  • Anticiper et limiter l'impact des attaques
  • Maîtriser les différentes étapes de gestion des incidents de sécurité

 
Public visé

  • Membres d'une équipe de sécurité opérationnelle (SOC)
  • Membres d'une équipe de réponse aux incidents (CSIRT)
  • Administrateurs
  • Responsables sécurité

 
Pré-requis
Avoir de bonnes connaissances en sécurité informatique ou avoir suivi la formation SECU1
 
Méthode pédagogique
Cours magistral, travaux pratiques, formation dispensée en français
 
Matériel

  • Ordinateurs portables mis à disposition des stagiaires
  • Support intégralement en français

 
Certification
A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECDRIS Cyber Academy Deloitte.

Afficher les détails
 
Programme
Jour 1: Introduction
  • Etat des lieux
    • Familles d'attaques
    • Techniques d'attaque et de défense usuelles
    • Détection
    • Kill chain
  • Défense en profondeur
  • Aspects légaux
  • ISO 27035
  • Blue Team et Hunt Team
    • Principe de compromission préalable
    • Comment former son équipe
 
Jour 2 : Reconnaissance
  • Reconnaissance passive
    • Etude : récupération de données publiques
  • Reconnaissance active
    • Fuites d'informations
    • Reconnaissance réseau
    • Etude : Scanning
  • Détection/réponse
    • Pare-feux
    • IDS/IPS / "Pots de miel"
  • Prévention
    • Maîtrise de l'information
    • Attaquer pour mieux se defender
 
Jour 3 : Exploitation
  • Vulnérabilités
  • Les failles web
    • Etude : Injection SQL
  • Défaut de mise à jour
    • Etude : OS obsolète
  • Mauvaise configuration
  • Etude : Rétro-compatibilité et MitM (Responder)
  • Le facteur humain
  • Détection/réponse
    • WAF
    • IDS/IPS
    • Automatisation
  • Prévention
    • Supervision sécurité continue (CSM)
    • Développement sécurisé
    • Sécurisation active
    • Moindre privilege
 
Jour 4 : Post-exploitation
  • Objectifs de l'attaquant
    • Exfiltration des données
    • Ransomware
    • Déni de service
    • Focus : C&C
  • Rebonds et mouvements latéraux
    • Pass the hash
    • Cassage de mots de passe
    • Etude : Du point d'entrée à la cible finale
  • Elévations de privilège
    • Étude : Objectif Domain Admin
  • Détection/réponse
  • Prévention
 
Jour 5 : Persistance
  • Nettoyer une infrastructure Windows
    • "Ticket d'argent et ticket d'or"
    • Les dessous d'Active Directory
  • Persistance UNIX/Linux
  • Autres moyens employés
  • Examen de certification