HSC   Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Formations > Analyse Inforensique avancée et réponse aux incidents
Accéder au : Site HSC généraliste
Télécharger le catalogue des formations
Recherche :  
English version
   Formations Présentielles   
o Planning des formations
o Formations certifiantes avec LSTI
o Formations certifiantes SANS
o Certifications
o Formations universitaires
   E-learning   
o Le E-learning HSC
o La norme ISO 27001
o Programmation sécurisée en PHP
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
   HSC est certifié OPQF   
logo OPQF
|>|Analyse Inforensique avancée et réponse aux incidents  
Formations Présentielles
Voir aussi...
o Organisation des formations
o Planning des formations inter-entreprises
o Investigations inforensiques - Windows - SANS FOR408
o Analyse et investigation numérique avancées dans les réseaux - SANS FOR572
o Thème actualité
o Thème avis de sécurité
o Newsletter HSC
o Comment nous demander une prestation
o Objectifs
o Certification
o Durée
o Formateur(s)
o Public visé et prérequis
o Méthode pédagogique
o Cours associés
o Support
o Plan
o Modalités d'inscription

Dates des prochaines sessions :
> 14-18 novembre 2016 (Paris)
> 13-17 novembre 2017 (Paris)
Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
 

Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Analyse inforensique avancée et réponse aux incidents SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complexes sur des environnements Windows.


Objectifs

Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Analyse inforensique avancée et réponse aux incidents est interactif et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt à étudier efficacement toute situation : intrusion, fuite d'information, actions malveillantes d'un employé curieux et APT (Avanced Persistent Threats).
A l'issue de cette formation, les stagiaires seront à même de mener efficacement des études inforensiques sur des systèmes Windows avec des outils open-source tels que le Sleuthkit. Cette formation est le cours Forensics 508 du SANS institute. Elle est la suite directe de la formation FOR408.


Certification

Cette formation prépare à l'examen pour obtenir la certification GIAC GCFA. Toutes les questions de l'examen sont issues des supports de cours de la formation. Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation, soit directement auprès de SANS. L'examen se passe dans un centre agréé GIAC.


Durée

5 jours (9h00-18h30)


Formateur(s)

La formation est dispensée par :


Public visé et prérequis

Public visé :

  • Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité ou intrusions complexes émanant de menaces sophistiquées
  • Professionnel de l'inforensique qui souhaite renforcer et développer ses connaissances de l'inforensique et de la réponse aux incidents
  • Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique et étendre leur champ de compétences en investigation pour pouvoir traiter les cas de fuites d'informations, d'intrusion et d'analyses techniques avancées
  • Experts en sécurité avec une expérience en tests d'intrusion, réponse aux incidents et écriture d'exploits
  • Responsables sécurité qui désirent maîtriser l'inforensique pour en comprendre les implications en sécurité de l'information et les problématiques liées aux éventuelles poursuites découlant d'un incident ou tout simplement pour gérer une équipe de réponse à incident.

Pré-requis: bases en informatique, administration système Windows et Unix. Avoir suivi la formation "FOR 408 - Investigations inforensiques - Windows".


Méthode pédagogique

Cours magistral en français avec manipulations et exercices pratiques.

Les supports proviennent directement du SANS Institute et sont donc en anglais, le cours est toutefois dispensé en français.

Chaque module est illustré de démonstrations permettant de visualiser la problématique abordée. La mise à disposition par HSC d'un ordinateur portable équipé des différentes machines virtuelles et outils nécessaires à la reproduction de ces démonstrations et à la réalisation des différents exercices permet immédiatement de mettre en pratique les études et réalisations vues dans la formation.


Cours associés

Le cursus de formation inforensique SANS comporte les formations suivantes :

  • Investigations inforensiques Windows - SANS FOR408
  • Investigations inforensiques sur équipements mobiles - SANS FOR563
  • Investigations inforensiques réseau - SANS FOR558


Support

Le support de cours est intégralement en anglais. Les stagiaires recevront également le kit "SANS Investigative Forensic Toolkit" (SIFT) Advanced :

  • Le logiciel F-RESPONSE TACTICAL permettant un accès à des disques physiques via le réseau
  • La station de travail SIFT (image VMWare)
  • Le livre "File System Forensic Analysis" par Brian Carrier
  • Le DVD du cours contenant des exemples, outils et documentations


Plan

Le plan est issu de la formation FOR 508 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/advanced-computer-forensic-analysis-incident-response-4737-tid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.



1. Systèmes de fichiers Windows
  • Présentation de la station de travail SIFT
  • La démarche de l'inforensique et de la réponse aux incidents
  • Les systèmes de fichiers : généralités
  • Les systèmes de fichiers Windows
  • FAT et exFAT
  • NTFS
2. Réponse aux incidents et analyse de la mémoire
  • Réponse aux incidents sur système en fonctionnement
  • Monter des images pour examen
  • Etude inforensique en entreprise et à distance
  • Acquisition de la mémoire
  • Analyse de la mémoire (avec Redline et Volatility)
3. Analyse de l'historique (timeline)
  • Analyse de timeline - généralités
  • Création et analyse de timeline de système de fichier
  • Création et analyse de "Super timeline"
4. Analyse inforensique des systèmes de fichiers
  • Analyse des points de restauration de Windows XP
  • Analyse des volumes shadow copy de Windows Vista/7/2008
  • Récupération de données basée sur le contenu
  • Récupération de données basée sur les systèmes de fichiers
  • examen de la couche de données
  • examen de la couche de métadonnées
  • examen de la couche de nom de fichiers
  • Tri de fichiers et comparaison d'empreintes
5.1 Analyse d'intrusion
  • Découverte de logiciel malfaisant inconnu par une approche pas-à-pas
  • Méthodologies de détection d'anti-inforensique
  • Méthodologie pour analyser et résoudre des cas complexes
5.2 Lois sur l'inestigation informatique pour les analystes inforensiques
  • Qui peut investiguer et les lois sur l'investigation
  • Lois et marche à suivre pour l'acquisition, l'analyse et la préservation des preuves
  • Ce que doivent savoir Les investigateurs légaux
  • Témoignages et rapports inforensiques
6. Le challenge inforensique
  • Investigation d'un APT en environnement Windows


Modalités d'inscription

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.

Dernière modification le 11 mai 2015 à 15:31:39 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants