Détection et réponse aux incidents de sécurité - Réf: SECUBLUE

• Formation SECUCYBER
• (ou) solides bases en sécurité des systèmes d'information

• Mettre en place une architecture de détection
• Appliquer la notion de "prévention détective"
• Limiter l'impact d'une compromission
• Prioriser les mesures de surveillance à implémenter
• Maîtriser le processus de réponse à incident

Module 1: État des lieux

Pourquoi la détection

• Défense en profondeur
• Tous compromis

Évolution de l'environnement
La "prévention détective"

Module 2: Comprendre l'attaque

Objectifs de l'attaquant
Phases d'une attaque
Plusieurs champs de bataille

• Réseau
• Applications
• Active Directory
• La dimension métier
• Portrait d'une attaque réussie

Module 3: Architecture de détection

La base: segmentation et moindre privilège
Les classiques

• Parefeu
• IDS/IPS
• WAF
• SIEM

Les outsiders

• "Self-defense" applicative
• Honey-

Valoriser les "endpoints"

• Whitelisting
• Sysmon
• Protections mémoire
• Mesures complémentaires de Windows 10

Focus: Journalisation

• Les IOC

Yara
MISP

Module 4: Blue Team vs. attaquant

Gérer les priorités
Détection et kill chain

• Persistance
• Post-exploitation
• Exploitation
• Reconnaissance

Focus: détecter et défendre dans le Cloud

Module 5: Réponse à incident et Hunting

Le SOC
Outils de réponse

• Linux
• Windows
• Kansa

Partons à la chasse

• Principes de base

Attaquer pour mieux se défendre

• Audit "Purple team"
• Focus: Bloodhound

ISO 27035
Aspects juridiques

Cours magistral avec travaux pratiques et échanges intéractifs

Certificat attestant de la participation à la formation