Détection d'intrusion avancée - Analyse réseau

• Maîtriser la détection d’intrusions sur architectures réseau hybrides (OT/IT).
• Déployer et affiner des règles Snort/Suricata en environnement critique.
• Analyser les flux malveillants, les protocoles obscurcis (TOR, TLS) et les signaux faibles.
• Exploiter l’IA et les algorithmes pour analyser des netflows à grande échelle.
• Mener des campagnes de threat hunting à partir d’IQL, d’IOC, de logs et de comportements.
• Concevoir un système de détection résilient, interconnecté au SIEM et au SOC Groupe.

Jour 1 – Architecture et fondamentaux de la détection réseau (7h)

• Positionnement d’un NIDS dans une architecture OT/IT
• Protocoles critiques, modèles OSI / TCP-IP, topologies hybrides
• Capture, filtrage, parsing et normalisation des paquets
• Cas pratique : Analyse de trafic réseau sur segment industriel (PCAP critique) Identification des protocoles et scénarios de passage latéral

Jour 2 – Outils de capture, génération et analyse de trafic (7h)

• Wireshark, tcpdump, Scapy, Zeek : architecture et usages avancés
• Génération de trafic pour simulations (DNS tunneling, TLS spoofing)
• Analyse protocolaire et anomalies applicatives
• Cas pratique : Générer des flux anormaux et les analyser avec tcpdump + Zeek Détection de manipulation DNS et signature TLS frauduleuse

Jour 3 – IDS avancés (Snort, Suricata) et règles personnalisées (7h)

• Comparatif Snort vs Suricata : architecture, perf, cas d’usage
• Rédaction et test de règles complexes : signatures, PCRE, flowbits
• Évasion IDS : fragmentation, TTL, encodage, faux positifs
• Cas pratique : Création de règles Suricata sur menaces APT réseau (APT33, Sandworm) Simulation d’attaques et validation des règles en environnement de test

Jour 4 – Détection comportementale et trafic malveillant (7h)

• Identification comportementale (outliers, signaux faibles, beaconing)
• Protocoles masqués : C2, TOR, malwares over TLS, exfiltration lente
• Analyse de netflows, logs et métadonnées
• Cas pratique : Détection d’un canal TOR dans un flux mixte OT/IT Analyse comportementale d’une exfiltration persistante sur port non standard

Jour 5 – IA et visualisation pour la détection (7h)

• Détection basée IA : algorithmes d’anomalies, ML supervisé / non supervisé
• Exploitation de Kibana, Grafana, ELK stack pour la visualisation réseau
• Automatisation de détection via scripting, intégration dans pipeline CI/CD
• Cas pratique : Application d’un modèle d’IA sur un dataset netflow réel (classification) Hunting visuel sur Kibana + corrélation avec IOC dans MISP

Jour 6 – Threat hunting multi-source et résilience SOC (7h)

• Campagne de hunting proactive : méthode, cadrage, sources
• IOC, logs, netflows, indicateurs comportementaux
• Résilience de la détection face aux attaques furtives et zero-days
• Cas pratique : Conduite d’une campagne de threat hunting (IOC → analyse → rapport) Synthèse stratégique : reporting pour SOC + plan d’amélioration IDS

08 au 15 décembre 2025