Analyse d’un système après incident
Code UE : USCB19
- Cours + travaux pratiques
- 6 crédits
Responsable(s)
Nicolas PIOCH
Public, conditions d’accès et prérequis
RSX112, SMB101 ou SMB111
Objectifs pédagogiques
Description :
Suite à l’identification d’une attaque, il est essentiel d’être en mesure de faire une analyse des dommages subis et des traces laissées par les attaquants afin d’établir la chronologie événementielle pour reconstituer l’attaque et collecter des éléments exploitables en justice. Elle permet également d’identifier les actions d’ordre technique à mener pour neutraliser la menace et améliorer la protection du SI.
Objectifs pédagogiques :
Cette formation aborde l’analyse post-mortem d’un incident de sécurité (appelée également Inforensic). Elle vise à former à une méthodologie d’investigation numérique et aborde ensuite des ensembles d’éléments techniques à analyser suite à une attaque.
Suite à l’identification d’une attaque, il est essentiel d’être en mesure de faire une analyse des dommages subis et des traces laissées par les attaquants afin d’établir la chronologie événementielle pour reconstituer l’attaque et collecter des éléments exploitables en justice. Elle permet également d’identifier les actions d’ordre technique à mener pour neutraliser la menace et améliorer la protection du SI.
Objectifs pédagogiques :
Cette formation aborde l’analyse post-mortem d’un incident de sécurité (appelée également Inforensic). Elle vise à former à une méthodologie d’investigation numérique et aborde ensuite des ensembles d’éléments techniques à analyser suite à une attaque.
Compétences visées
Compétences acquises :
- Connaître les aspects juridiques de l’analyse forensic
- Mettre en pratique une investigation numérique
- Savoir collecter des informations utiles pour établir un dossier de preuves
- Comprendre, identifier le scénario d’attaque, être capable de le restituer
- Repérer des anomalies, analyse réseau, mémoire, partitions, artefacts systèmes
Contenu
- Introduction à l’investigation numérique
- Bases légales de la sécurité de l’information
- Classification des crimes informatiques
- Acteurs technico-juridiques : CERT, agences gouvernementales
- Méthodologie d’investigation légale
- Audit préalable
- Enregistrement et collecte de preuves (CoC) et mise sous séquestre
- Rapport, constitution de la timeline
- Investigation Réseau
- Acquisition des preuves et sondes
- Compréhension des traces réseaux
- Identification d’attaques (ARP Storm, ARP Spoofing, DHCP Starvation, Scan Réseau, exfiltration de données, etc.)
- Investigation Système
- Analyse des systèmes de fichiers (FAT, NTFS)
- Artefacts Systèmes (EVTX, Base de registres, Volumes Shadow Copies, Jumplist, prefetch, AMCache, etc.)
- Analyse de la mémoire vive
- Artefacts Applicatifs
- Navigateur et messageries
- Investigation des Smartphone :
- Pourquoi analyser un smartphone
- Types de malware en PUA (Potentially Unwanted App)
- Vecteurs d’infection
- Exemple de détection d’attaques
- Composants (Flash, SIM, CPU, RAM, SQLite DB)
- Extraction de dump de téléphones
- Application APK
- Investigation Web
- Analyse de logs (déclinaison top 10 OWASP)
- Analyse de bases de données
- Désobfuscation
Modalité d'évaluation
Contrôle continu + dossier
Cette UE apparaît dans les diplômes et certificats suivants
Rechercher une formation
RECHERCHE MULTI-CRITERES
Plus de critères de recherche sont proposés:
-
Vous pouvez sélectionner des formations grâce à un mot ou à une expression (chaîne de caractères) présent dans l’intitulé de la formation, sa description ou ses index (discipline ou métier).
Des mots-clés sont suggérés à partir du 3e caractère saisi, mais vous pouvez aussi rechercher librement. - Les différents items sélectionnés sont croisés.
ex: "Comptabilité" et "Diplôme" - Les résultats comprennent des formations du Cnam Liban (UE, diplômes, certificats, stages) et des formations proposées à distance par d'autres centres du Cnam.
- Les codes des formations du Liban se terminent par le suffixe LIB.
- Dans tous les cas, veillez à ne pas insérer d'espace ni de ponctuation supplémentaire.
Plus de critères de recherche sont proposés:
- Type de diplôme
- Niveau d'entrée
- Modalité de l'enseignement
- Programmation semestrielle
Chargement du résultat...
Intitulé de la formation |
Type |
Modalité(s) |
Lieu(x) |
|
---|---|---|---|---|
Intitulé de la formation
Master Sécurité informatique, cybersécurité et cybermenaces
|
Lieu(x)
Package
|
Lieu(x)
Bretagne
|
||
Intitulé de la formation
Master Sécurité informatique, cybersécurité et cybermenaces
|
Lieu(x)
Alternance
|
Lieu(x)
, Pays de la Loire
|
||
Intitulé de la formation | Type | Modalité(s) | Lieu(x) |
Contact
Cnam Centre Régional de Bretagne
Zoopôle Les Croix 2 rue Camille Guérin
22440 Ploufragan
Tel :0 972 311 312
Isabelle Guée
Zoopôle Les Croix 2 rue Camille Guérin
22440 Ploufragan
Tel :0 972 311 312
Isabelle Guée
Voir le calendrier, le tarif, les conditions d'accessibilité et les modalités d'inscription dans le(s) centre(s) d'enseignement qui propose(nt) cette formation.
Enseignement non encore programmé
Code UE : USCB19
- Cours + travaux pratiques
- 6 crédits
Responsable(s)
Nicolas PIOCH