Formation en IA & Data: Sécurité défensive - Détection et réponse aux incidents de sécurité - Niveau intermédiaire - Ascent Formation
Retour aux formations
IA & Data

Sécurité défensive - Détection et réponse aux incidents de sécurité - Niveau intermédiaire

5 jour(s)35h

Description

Renforcer les compétences des professionnels expérimentés en matière de détection, d’analyse et de réponse aux incidents de sécurité dans des contextes complexes (OIV, infrastructures critiques, SOC multi-niveaux). Les participants apprendront à piloter des investigations complexes, à orchestrer la réponse via des outils avancés (SIEM, EDR, SOAR) et à établir une coordination efficace entre équipes SOC, CERT et direction.

Objectifs pédagogiques

  • Piloter une réponse à incident complexe impliquant plusieurs sources et couches (IT, OT, Cloud).
  • Exploiter des frameworks d’analyse tactique (MITRE ATT&CK, Kill Chain, D3FEND) et corréler en temps réel.
  • Orchestrer l’analyse avec des outils avancés : SIEM, SOAR, EDR, forensic, sandboxing.
  • Coordonner les actions entre les acteurs (SOC, CERT, RSSI) et communiquer vers les instances de direction.
  • Élaborer un plan de remédiation post-incident avec enseignements durables (retour d’expérience, durcissement, KPIs).

Public concerné

Analystes SOC senior, responsables réponse à incident
Architectes sécurité / RSSI de site ou de direction
Experts sécurité en charge de la coordination opérationnelle
Référents sécurité en environnement critique ou multisite

Prérequis

5 à 10 ans d’expérience minimum en sécurité opérationnelle ou SOC
Maîtrise des architectures SIEM, EDR, IDS/IPS et concepts d’investigation numérique
Bonne connaissance du cycle de vie des menaces (tactiques, TTPs) et de l’analyse réseau
Notions de coordination de crise et reporting SSI

Déroulé du programme

1

Jour 1 – Détection avancée multi-couches (7h)

7h
  • Revue des architectures SIEM, EDR, NDR, SOAR – positionnement stratégique
  • Typologie des alertes, corrélation d’événements multi-sources
  • Détection comportementale vs signature, Threat Intelligence enrichie
  • Cas pratique :
2

Analyse d’alertes SIEM et reconstruction d’un scénario d’attaque multi-étapes

3

Configuration d’un use-case de détection avancée (correlation rule, threat feed, etc.)

4

Jour 2 – Analyse tactique et investigation technique (7h)

7h
  • Utilisation des frameworks MITRE ATT&CK, D3FEND, Kill Chain dans l’analyse
  • Investigation sur artefacts systèmes, traces réseau, journaux AD
  • Corrélation temps réel + post-mortem (rétro-hunting)
  • Cas pratique :
5

Mener une investigation complète à partir d’une alerte : de l’IOC à l’identification du vecteur d’attaque

6

Mapping ATT&CK + recommandation de contremesures préventives

7

Jour 3 – Réponse active et containment (7h)

7h
  • Stratégies d’endiguement sur SI hybride (IT/OT, AD, Cloud)
  • Outils de réponse automatisée (SOAR, scripts PowerShell/Bash, orchestration d’actions EDR)
  • Communication de crise vers RSSI, DSI, utilisateurs
  • Cas pratique :
8

Déclencher une réponse automatisée (containment machine, blocage IP, etc.)

9

Simuler la coordination entre SOC et CERT dans une situation d’attaque ciblée

10

Jour 4 – Threat hunting & anticipation (7h)

7h
  • Techniques de proactive hunting : hypothèse, pivot, IOC/TTP-oriented
  • Utilisation de Threat Intel dans la chasse (sources privées/publiques, enrichissement IOC)
  • Détection des signaux faibles et des mouvements latéraux non alertés
  • Cas pratique :
11

Élaborer une mission de hunting à partir d’un schéma MITRE

12

Identifier une compromission silencieuse via logs réseau et comportements utilisateurs

13

Jour 5 – REX, plan de durcissement et restitution (7h)

7h
  • Structurer un retour d’expérience (technique + organisationnel)
  • Élaborer un plan de remédiation (correctif, préventif, KPIs associés)
  • Restitution vers instances RSSI et COMEX : synthèse, plan d’action, tableau de bord
  • Cas pratique :
14

Présenter le rapport post-incident : chronologie, faille exploitée, actions menées, axes de progrès

15

Élaborer un tableau de bord de suivi de la sécurité post-incident avec indicateurs de pilotage

Informations

Durée

5 jour(s)

35h

Tarif

3450 € HT

HT