Forensic - Windows - Niveau avancé

• Déployer une stratégie de forensic avancée adaptée aux environnements Windows industriels et multisites.
• Exploiter les artefacts, la mémoire vive, les journaux et le Registre pour identifier l’origine d’un incident.
• Reconstituer la chronologie d’une attaque en environnement critique (IT/OT, AD, réseau).
• Proposer des éléments de preuve solides dans une logique juridique, post-incident ou contentieuse.
• Produire une restitution opérationnelle pour RSSI, SOC et direction de crise.

Partie 1 – Positionner le forensic dans une logique groupe et de crise (3h)

• Cadre réglementaire applicable (NIS2, LPM, RGPD, pénal, RGS)
• Organisation d'une réponse à incident dans un grand groupe
• Intégration du forensic dans la chaîne SOC – CERT – RSSI
• Cas pratique : Analyse d’un incident en environnement critique (AD et fichiers infectés) Préparation d’un rapport à destination de la direction SSI

Partie 2 – Acquisition forensique avancée (4h)

• Techniques avancées de collecte de preuves (disques, RAM, snapshots, logs distants)
• Acquisition volatile et persistante en environnement Windows post-attaque
• Détection d’effacements ou manipulations malveillantes (anti-forensic)
• Cas pratique : Récupération complète d’un disque effacé par un ransomware Identification de l’anti-forensic utilisé et reconstitution chronologique

Partie 3 – Artefacts Windows & reconstitution d’activité (3h30)

• Journalisation avancée (Event Viewer, journaux AD, journaux PowerShell)
• Analyse du Registre, Prefetch, RecentDocs, Shellbags, Jump Lists
• Chronologie multi-artefacts : Timeline d’un utilisateur et d’un attaquant
• Cas pratique : Élaboration d’une timeline d’attaque avec escalade de privilèges Corrélation des artefacts entre comptes locaux, AD et services distants

Partie 4 – Mémoire vive & réseau : analyse temps réel (3h30)

• Analyse RAM avec Volatility, DumpIt, Rekall
• Recherche de processus injectés, rootkits, connexions réseau suspectes
• Corrélation mémoire / services / fichiers temporaires
• Cas pratique : Identification d’un malware fileless en mémoire Reconstitution des canaux de communication réseau utilisés

Partie 5 – Stéganographie, persistence et exfiltration (3h30)

• Détection et extraction de données cachées (stéganographie, ADS, WMI)
• Analyse des techniques de persistence avancées (Run Keys, services masqués)
• Étude des canaux d’exfiltration (OneDrive, Slack, DNS, HTTP covert)
• Cas pratique : Analyse d’un canal d’exfiltration de données via DNS Détection d’un mécanisme de persistence basé sur WMI et tâches planifiées

Partie 6 – Restitution et communication stratégique (3h30)

• Structuration du rapport forensic pour direction, DPO, RSSI et juridique
• Gestion de la chaîne de preuve : documentation, datation, reproductibilité
• Préparation à l’audit post-incident ou à une procédure contentieuse
• Cas pratique : Rédaction d’un rapport post-incident intégrant preuves, chronologie, causes racines Présentation orale simulée à un comité de crise Groupe (COMEX)

Du 16 au 18 décembre 2025