Formation en Cybersécurité: Forensic - Windows - Niveau avancé - Ascent Formation
Retour aux formations
Cybersécurité

Forensic - Windows - Niveau avancé

3 jour(s)21h

Description

Mener une investigation numérique experte dans des environnements Windows complexes, en intégrant des contraintes opérationnelles, réglementaires et stratégiques (NIS2, LPM, post-crise), et produire des livrables exploitables à destination des directions SSI Groupe.

Objectifs pédagogiques

  • Déployer une stratégie de forensic avancée adaptée aux environnements Windows industriels et multisites.
  • Exploiter les artefacts, la mémoire vive, les journaux et le Registre pour identifier l’origine d’un incident.
  • Reconstituer la chronologie d’une attaque en environnement critique (IT/OT, AD, réseau).
  • Proposer des éléments de preuve solides dans une logique juridique, post-incident ou contentieuse.
  • Produire une restitution opérationnelle pour RSSI, SOC et direction de crise.

Public concerné

RSSI Groupe / entités critiques
Analystes SOC niveau 3
Référents forensic / réponse à incident
Auditeurs cybersécurité expérimentés
Experts judiciaires ou sécurité SI industriels

Prérequis

10 à 15 ans d’expérience en cybersécurité, forensic ou réponse à incident.
Maîtrise avancée de l’architecture Windows (AD, Registre, NTFS, services réseau).
Expérience dans l’analyse post-incident ou l’investigation numérique.

Déroulé du programme

1

Partie 1 – Positionner le forensic dans une logique groupe et de crise (3h)

3h
  • Cadre réglementaire applicable (NIS2, LPM, RGPD, pénal, RGS)
  • Organisation d'une réponse à incident dans un grand groupe
  • Intégration du forensic dans la chaîne SOC – CERT – RSSI
  • Cas pratique :
2

Analyse d’un incident en environnement critique (AD et fichiers infectés)

3

Préparation d’un rapport à destination de la direction SSI

4

Partie 2 – Acquisition forensique avancée (4h)

4h
  • Techniques avancées de collecte de preuves (disques, RAM, snapshots, logs distants)
  • Acquisition volatile et persistante en environnement Windows post-attaque
  • Détection d’effacements ou manipulations malveillantes (anti-forensic)
  • Cas pratique :
5

Récupération complète d’un disque effacé par un ransomware

6

Identification de l’anti-forensic utilisé et reconstitution chronologique

7

Partie 3 – Artefacts Windows & reconstitution d’activité (3h30)

3h
  • Journalisation avancée (Event Viewer, journaux AD, journaux PowerShell)
  • Analyse du Registre, Prefetch, RecentDocs, Shellbags, Jump Lists
  • Chronologie multi-artefacts : Timeline d’un utilisateur et d’un attaquant
  • Cas pratique :
8

Élaboration d’une timeline d’attaque avec escalade de privilèges

9

Corrélation des artefacts entre comptes locaux, AD et services distants

10

Partie 4 – Mémoire vive & réseau : analyse temps réel (3h30)

3h
  • Analyse RAM avec Volatility, DumpIt, Rekall
  • Recherche de processus injectés, rootkits, connexions réseau suspectes
  • Corrélation mémoire / services / fichiers temporaires
  • Cas pratique :
11

Identification d’un malware fileless en mémoire

12

Reconstitution des canaux de communication réseau utilisés

13

Partie 5 – Stéganographie, persistence et exfiltration (3h30)

3h
  • Détection et extraction de données cachées (stéganographie, ADS, WMI)
  • Analyse des techniques de persistence avancées (Run Keys, services masqués)
  • Étude des canaux d’exfiltration (OneDrive, Slack, DNS, HTTP covert)
  • Cas pratique :
14

Analyse d’un canal d’exfiltration de données via DNS

15

Détection d’un mécanisme de persistence basé sur WMI et tâches planifiées

16

Partie 6 – Restitution et communication stratégique (3h30)

3h
  • Structuration du rapport forensic pour direction, DPO, RSSI et juridique
  • Gestion de la chaîne de preuve : documentation, datation, reproductibilité
  • Préparation à l’audit post-incident ou à une procédure contentieuse
  • Cas pratique :
17

Rédaction d’un rapport post-incident intégrant preuves, chronologie, causes racines

18

Présentation orale simulée à un comité de crise Groupe (COMEX)

Informations

Durée

3 jour(s)

21h

Tarif

2200 € HT

HT