Contactez-nous

Analyse d’un système après incident

Mis à jour le

Responsable(s) : M. Nicolas PIOCH

  • Cours + travaux pratiques
Code Cnam : USCB19

Envie d'en savoir plus sur cette formation ?

Afin d’obtenir les tarifs, le calendrier de la formation, en distanciel, en présentiel, le lieu de la formation et un contact, remplissez les critères suivants :

Afficher le centre adapté à mes besoins

Afin d’obtenir les tarifs, le calendrier de la formation et le lieu de la formation, remplissez les critères suivants :

  • Durée : 50 heures
  • Alternance, Package
  • 6 crédits

Présentation

Public, conditions d'accès et prérequis

Prérequis

RSX112, SMB101 ou SMB111

Objectifs

Description :

Suite à l’identification d’une attaque, il est essentiel d’être en mesure de faire une analyse des dommages subis et des traces laissées par les attaquants afin d’établir la chronologie événementielle pour reconstituer l’attaque et collecter des éléments exploitables en justice. Elle permet également d’identifier les actions d’ordre technique à mener pour neutraliser la menace et améliorer la protection du SI.

Objectifs pédagogiques :

Cette formation aborde l’analyse post-mortem d’un incident de sécurité (appelée également Inforensic). Elle vise à former à une méthodologie d’investigation numérique et aborde ensuite des ensembles d’éléments techniques à analyser suite à une attaque.

Présence et réussite aux examens

Pour l'année universitaire 2023-2024 :

  • Nombre d'inscrits : 20
  • Taux de présence à l'évaluation : 90%
  • Taux de réussite parmi les présents : 94%

Compétences et débouchés

Compétences

Compétences acquises :

  • Connaître les aspects juridiques de l’analyse forensic
  • Mettre en pratique une investigation numérique
  • Savoir collecter des informations utiles pour établir un dossier de preuves
  • Comprendre, identifier le scénario d’attaque, être capable de le restituer

Savoirs :

  • Repérer des anomalies, analyse réseau, mémoire, partitions, artefacts systèmes

Parcours

Informations pratiques

Contact

Programme

Contenu

  • Introduction à l’investigation numérique
    • Bases légales de la sécurité de l’information
    • Classification des crimes informatiques
    • Acteurs technico-juridiques : CERT, agences gouvernementales
  • Méthodologie d’investigation légale
    • Audit préalable
    • Enregistrement et collecte de preuves (CoC) et mise sous séquestre
    • Rapport, constitution de la timeline
  • Investigation Réseau
    • Acquisition des preuves et sondes
    • Compréhension des traces réseaux
    • Identification d’attaques (ARP Storm, ARP Spoofing, DHCP Starvation, Scan Réseau, exfiltration de données, etc.)
  • Investigation Système
    • Analyse des systèmes de fichiers (FAT, NTFS)
    • Artefacts Systèmes (EVTX, Base de registres, Volumes Shadow Copies, Jumplist, prefetch, AMCache, etc.)
    • Analyse de la mémoire vive
    • Artefacts Applicatifs
    • Navigateur et messageries
  • Investigation des Smartphone :
    • Pourquoi analyser un smartphone
    • Types de malware en PUA (Potentially Unwanted App)
    • Vecteurs d’infection
    • Exemple de détection d’attaques
    • Composants (Flash, SIM, CPU, RAM, SQLite DB)
    • Extraction de dump de téléphones
    • Application APK
  • Investigation Web
    • Analyse de logs (déclinaison top 10 OWASP)
    • Analyse de bases de données
    • Désobfuscation

Modalités d'évaluation

Contrôle continu + dossier