Description
Objectif de formation : Développer une expertise opérationnelle, tactique et stratégique en renseignement sur les menaces cyber, afin d'améliorer la détection, la réponse aux incidents, la chasse aux menaces et la posture de sécurité globale de l'organisation.
Objectifs pédagogiques
- Comprendre et appliquer les différents niveaux du renseignement sur la menace (tactique, opérationnel, stratégique).
- Utiliser les principaux modèles d’analyse (Kill Chain, Diamond Model, MITRE ATT&CK).
- Créer des indicateurs de compromission (IOC) au format YARA et STIX/TAXII.
- Effectuer des analyses basées sur les tactiques, techniques et procédures adverses (TTP).
- Exploiter diverses sources de données pour construire un renseignement fiable et actionnable.
Public concerné
Analystes SOC
responsables cybersécurité
threat hunters
analystes CTI
membres d’équipes CSIRT/CERT
professionnels de la réponse à incident souhaitant renforcer leur capacité de veille et d’analyse des menaces.
Prérequis
Bonne connaissance des fondamentaux de la cybersécurité.
Une expérience préalable en SOC, en réponse à incident ou en threat hunting est recommandée.
Déroulé du programme
1
Introduction au renseignement sur la menace (5 heures)
5h
- Définition et niveaux du CTI : tactique, opérationnel, stratégique
- Objectifs et livrables du CTI dans une organisation
- Cycle de renseignement et intégration dans les processus de sécurité
- Travaux pratiques : cartographie des sources CTI internes et externes
- Travaux pratiques : évaluation de la maturité CTI d’une organisation
2
Modèles d’analyse et typologie des menaces (6 heures)
6h
- Présentation du Kill Chain, Diamond Model, MITRE ATT&CK
- Utilisation des modèles pour structurer l’analyse des menaces
- Comparaison des cadres analytiques selon les cas d’usage
- Travaux pratiques : analyse d’un incident à l’aide du Diamond Model
- Travaux pratiques : classification ATT&CK d’un rapport de compromission
3
Création et diffusion d’indicateurs de compromission (6 heures)
6h
- IOC, TTP, YARA, STIX, TAXII : formats et usages
- Création d’IOC à partir d’un malware ou d’un artefact réseau
- Diffusion et automatisation via plateformes CTI (MISP, OpenCTI)
- Travaux pratiques : rédaction de règles YARA à partir d’un échantillon
- Travaux pratiques : intégration de STIX dans un outil d’analyse
4
Sources de renseignement et collecte de données (6 heures)
6h
- Sources ouvertes (OSINT), fermées (ISAC, sectorielles), internes (SIEM, SOC)
- Fiabilité, enrichissement, corrélation, et biais cognitifs
- Outils et techniques de collecte (scraping, API, crawling)
- Travaux pratiques : extraction automatisée de données OSINT
- Travaux pratiques : enrichissement d’un IOC avec Maltego et VirusTotal
5
TTP adverses et contextualisation des menaces (6 heures)
6h
- Analyse comportementale des groupes d’attaquants (APT, cybercriminalité)
- Méthodes de contextualisation : secteur, géopolitique, infrastructure
- Utilisation du CTI pour guider la détection et la réponse
- Travaux pratiques : attribution simplifiée d’un groupe APT à un incident
- Travaux pratiques : rapport synthétique de veille contextualisée
6
Structuration et diffusion du renseignement (6 heures)
6h
- Formats de livrables (flash report, rapports opérationnels, briefing CISO)
- Communication interne et externe, sensibilisation
- Outils de partage CTI : MISP, ThreatConnect, OpenCTI
- Travaux pratiques : rédaction d’un rapport CTI complet post-incident
- Travaux pratiques : intégration CTI dans un playbook de détection SIEM
Informations
Durée
5 jour(s)
35h
Tarif
3450 € HT
HT