Formation Analyse Forensic – Investigation numérique sur systèmes Windows et Linux

Objectifs

Identifier et définir les concepts fondamentaux du forensic numérique ainsi que les cadres légaux pertinents (France/UE) comme la CNIL et le RGPD.

Expliquer les étapes clés de l'investigation numérique (collecte, analyse, restitution) et les méthodologies associées.

Utiliser des outils de collecte et de préservation des preuves pour créer des images disques forensiques, vérifier les hachages, et cataloguer les preuves de manière appropriée.

Analyser les artefacts Windows (registres, journaux d’événements, Prefetch) et Linux (journaux systèmes, traces d’exécution) pour reconstituer des timelines d'activité et identifier des traces d'exécution suspectes sur des systèmes compromis.

Evaluer et interpréter les résultats d'une analyse mémoire (RAM Forensics) en utilisant des outils comme Volatility pour détecter des malwares en mémoire, et rédiger un rapport forensic complet.

Pré-requis

Avoir de bonnes bases en administration Windows et Linux, des connaissances fondamentales en cybersécurité

Participants

Administrateurs systèmes et réseaux, Analyste SOC/Blue Team/Cert, Responsables sécurité ou RSSI, Experts en réponse à incident

Programme de formation

Analyse Forensic – Investigation numérique sur systèmes Windows et Linux

INTRODUCTION AU FORENSIC ET CADRE LEGAL

Définitions : forensic, eDiscovery, incident response
Cadre légal (France/UE)
- Preuve numérique
- Chaîne de possession
- CNIL
- RGPD
Les 3 étapes clés
- Collecte
- Analyse
- Restitution
Méthodologie
- Modèle ISO/CEI 27043
- Modèle SANS IR
- Modèle Locard
Présentation des outils (FTK Imager, Autopsy, The Sleuth Kit, Volatility...)

COLLECTE ET PRESERVATION DES PREUVES

Outils de collecte
- dd
- dcfldd
- FTK Imager
- magnet RAM capture
Calculs de hachage (MD5/SHA1/SHA256), horodatage, time skew
Types de preuves
- Disques
- Mémoire
- Logs
- Registre
- Réseau
Préservation des preuves sur disque, snapshot, copie bit à bit
Organisation d'un kit d'intervention (clé USB, scripts, outils live)

ANALYSE FORENSIC SUR WINDOWS

Artefacts Windows
- Registres (NTUSER, SYSTEM, SAM)
- Journaux d'événements
- Prefetech
Timeline
- Fichiers MFT
- USN Journal
- Shellbags
- Recent docs
Traces réseau, sessions RDP, exécution de logiciels
Outils
- Autopsy
- FTK Imager
- Registry Explorer
- Timeline Explorer

ANALYSE FORENSIC SUR LINUX

Journaux systèmes
- /var/log/
- auth.log
- bash_history
- syslog
- journald
Traces d'exécution
- binaire
- cron
- services
- last
- who
- wtmp
- utmp
Timeline d'activités via Sleuth Kit (fls, mactime)
Outils de recherche dans une image
- Autopsy
- TSK
- Grep
- Strings

ANALYSE MEMOIRE (RAM FORENSIC)

Intérêts et limites de l'analyse mémoire
Extraction d'une image RAM (WinPMEM, magnet RAM capture)
Analyse avec Volatility
- Processus
- Connexions
- DLL
- Shellcode
- Injections
Cas d'usage
- Rootkits
- Chevaux de Troie
- Malware sans fichier (fileless)

ETUDE DE CAS COMPLETE + RAPPORT

Scénario d'intrusion sur Windows/Linux
Collecte de preuves : disque, logs, mémoire
Analyse croisée : timeline, fichiers, réseau
Rédaction d'un rapport forensic : structure, contenu, recommandations, annexes techniques
Présentation synthétique de l'affaire

intra sur-mesure

Durée

3 jours

Lieux

Meylan Moirans Sophia Dans vos locaux Classe distancielle

Groupe de 8 personnes maximum

Demandez un devis

Cette thématique vous intéresse ?
Nos experts conçoivent votre formation sur-mesure On adore les moutons à 5 pattes !

Demandez un devis

Formations dans la même thématique

HARDENING LINUX Sécurisation des systèmes Linux en environnement professionnel 3 jours HARDENING WINDOWS Sécurisation des postes et serveurs Windows 3 jours MICROSOFT Cybersécurité 2 jours