Sécurité défensive - Détection et réponse aux incidents de sécurité - Niveau intermédiaire
Formation créée le 01/08/2024. Dernière mise à jour le 16/06/2025.
Version du programme : 1
Version du programme : 1
Type de formation
Formation présentielleDurée de formation
35 heures (5 jours)Accessibilité
OuiSécurité défensive - Détection et réponse aux incidents de sécurité - Niveau intermédiaire
Renforcer les compétences des professionnels expérimentés en matière de détection, d’analyse et de réponse aux incidents de sécurité dans des contextes complexes (OIV, infrastructures critiques, SOC multi-niveaux). Les participants apprendront à piloter des investigations complexes, à orchestrer la réponse via des outils avancés (SIEM, EDR, SOAR) et à établir une coordination efficace entre équipes SOC, CERT et direction.
Objectifs de la formation
- Piloter une réponse à incident complexe impliquant plusieurs sources et couches (IT, OT, Cloud).
- Exploiter des frameworks d’analyse tactique (MITRE ATT&CK, Kill Chain, D3FEND) et corréler en temps réel.
- Orchestrer l’analyse avec des outils avancés : SIEM, SOAR, EDR, forensic, sandboxing.
- Coordonner les actions entre les acteurs (SOC, CERT, RSSI) et communiquer vers les instances de direction.
- Élaborer un plan de remédiation post-incident avec enseignements durables (retour d’expérience, durcissement, KPIs).
Profil des bénéficiaires
Pour qui
- Analystes SOC senior, responsables réponse à incident
- Architectes sécurité / RSSI de site ou de direction
- Experts sécurité en charge de la coordination opérationnelle
- Référents sécurité en environnement critique ou multisite
Prérequis
- 5 à 10 ans d’expérience minimum en sécurité opérationnelle ou SOC
- Maîtrise des architectures SIEM, EDR, IDS/IPS et concepts d’investigation numérique
- Bonne connaissance du cycle de vie des menaces (tactiques, TTPs) et de l’analyse réseau
- Notions de coordination de crise et reporting SSI
Contenu de la formation
Jour 1 – Détection avancée multi-couches (7h)
- Revue des architectures SIEM, EDR, NDR, SOAR – positionnement stratégique
- Typologie des alertes, corrélation d’événements multi-sources
- Détection comportementale vs signature, Threat Intelligence enrichie
- Cas pratique : Analyse d’alertes SIEM et reconstruction d’un scénario d’attaque multi-étapes Configuration d’un use-case de détection avancée (correlation rule, threat feed, etc.)
Jour 2 – Analyse tactique et investigation technique (7h)
- Utilisation des frameworks MITRE ATT&CK, D3FEND, Kill Chain dans l’analyse
- Investigation sur artefacts systèmes, traces réseau, journaux AD
- Corrélation temps réel + post-mortem (rétro-hunting)
- Cas pratique : Mener une investigation complète à partir d’une alerte : de l’IOC à l’identification du vecteur d’attaque Mapping ATT&CK + recommandation de contremesures préventives
Jour 3 – Réponse active et containment (7h)
- Stratégies d’endiguement sur SI hybride (IT/OT, AD, Cloud)
- Outils de réponse automatisée (SOAR, scripts PowerShell/Bash, orchestration d’actions EDR)
- Communication de crise vers RSSI, DSI, utilisateurs
- Cas pratique : Déclencher une réponse automatisée (containment machine, blocage IP, etc.) Simuler la coordination entre SOC et CERT dans une situation d’attaque ciblée
Jour 4 – Threat hunting & anticipation (7h)
- Techniques de proactive hunting : hypothèse, pivot, IOC/TTP-oriented
- Utilisation de Threat Intel dans la chasse (sources privées/publiques, enrichissement IOC)
- Détection des signaux faibles et des mouvements latéraux non alertés
- Cas pratique : Élaborer une mission de hunting à partir d’un schéma MITRE Identifier une compromission silencieuse via logs réseau et comportements utilisateurs
Jour 5 – REX, plan de durcissement et restitution (7h)
- Structurer un retour d’expérience (technique + organisationnel)
- Élaborer un plan de remédiation (correctif, préventif, KPIs associés)
- Restitution vers instances RSSI et COMEX : synthèse, plan d’action, tableau de bord
- Cas pratique : Présenter le rapport post-incident : chronologie, faille exploitée, actions menées, axes de progrès Élaborer un tableau de bord de suivi de la sécurité post-incident avec indicateurs de pilotage
Équipe pédagogique
Professionnel expert technique et pédagogique.
Accessibilité
24 au 28 novembre 2025