Cybersécurité

Cybersécurité - Ransomware

3 jour(s) • 21h

Description

Objectif de formation : Ce programme de formation pratique vous permettra de répondre efficacement aux incidents de ransomware et de cyber extorsion. Vous développerez une compréhension complète des menaces, des tactiques opératoires, des mesures de prévention, de détection, de réponse et de communication post-attaque.

Objectifs pédagogiques

Comprendre le fonctionnement du ransomware moderne
Détecter et répondre à une attaque active
Prévenir et réduire la surface d'attaque
Différencier les menaces de cyber extorsion
Maîtriser le hunting et la détection post-exploitation
Se préparer organisationnellement à la menace ransomware

Public concerné

Professionnels de la cybersécurité

Responsables de la réponse aux incidents

Administrateurs système et réseau

Consultants en sécurité

Prérequis

Connaissances de base en cybersécurité

Expérience en gestion des incidents de sécurité

Déroulé du programme

Comprendre le fonctionnement du Ransomware moderne (3 heures)

Évolution du ransomware : du simple chiffreur au HumOR (Human-operated ransomware)
Organisation des groupes de ransomware comme des entreprises criminelles
Typologies d'attaques : chiffrement, double extorsion, effacement, etc.
Panorama des variantes actuelles et chaînes d'infection fréquentes
TP : Analyse de l'évolution d'un ransomware connu (ex : Ryuk, LockBit)
TP : Cartographie d'une chaîne d'attaque HumOR à partir d'un scénario
TP : Identification des composants d'un échantillon de ransomware via OSINT

Détection et réponse à une attaque active (4 heures)

Indicateurs précoces d'une attaque ransomware (pré-chiffrement)
Réaction immédiate en cas de compromission : isolement, triage, sauvegardes
Méthodologie de réponse à incident en environnement compromis
Pièges à éviter lors d'une attaque en cours (déclenchement prématuré, effacement de preuves)
TP : Simulation d'une détection de ransomware en phase active
TP : Plan d'action d'urgence en environnement infecté
TP : Identification des machines impactées et premier niveau de containment

Prévention et réduction de la surface d'attaque (4 heures)

Vecteurs d'accès les plus courants (RDP, phishing, vulnérabilités non patchées)
Durcissement des postes et des accès réseau
Segmentation réseau, MFA, sauvegardes déconnectées
Bonnes pratiques de configuration des systèmes face au ransomware
TP : Audit d'un environnement fictif et recommandations de prévention
TP : Mise en place de règles de détection (SIEM, EDR) sur activités suspectes
TP : Analyse d'un runbook de protection Ransomware et adaptation au contexte

Cyber extorsion et différenciation des menaces (3 heures)

Différences entre ransomware classique et campagnes d'extorsion sans chiffrement
Méthodes de pression : exfiltration, doxing, menace à la réputation
Communication de crise, lien avec les parties prenantes et autorités
TP : Étude de cas : cyber extorsion sans chiffrement avec divulgation publique
TP : Analyse d'un leak site pour identifier les données compromises
TP : Simulation de gestion de communication post-exfiltration

Hunting et détection post-exploitation (4 heures)

Techniques de persistence et mouvements latéraux utilisés par les opérateurs HumOR
Outils courants : Cobalt Strike, PSExec, Mimikatz, outils internes Windows détournés
Méthodologie de threat hunting orientée ransomware
TP : Reconstitution d'un mouvement latéral à partir des logs Windows
TP : Identification de comportements suspects dans un SIEM
TP : Création d'une règle de détection personnalisée à partir d'un IoC