Techniques des attaquants - Mieux comprendre pour mieux défendre

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Techniques des attaquants - Mieux comprendre pour mieux défendre


Objectif de formation : Plonger dans l’état d’esprit des attaquants pour développer des compétences avancées en réponse aux incidents, analyse de compromission, identification de menaces dans les environnements hybrides (cloud et on-premises), et renforcement de la posture défensive à partir de tactiques, techniques et procédures (TTP) réelles.

Objectifs de la formation

  • Identifier et comprendre les méthodes actuelles des attaquants dans des environnements hybrides
  • Simuler et analyser des attaques pour tester les défenses d’un SI
  • Analyser des incidents pour identifier les indicateurs de compromission
  • Élaborer une réponse structurée aux incidents complexes
  • Mettre en œuvre une démarche de threat intelligence et de hunting proactive
  • Reconnaître et contrer les faiblesses des systèmes cloud mal configurés

Profil des bénéficiaires

Pour qui
  • Analystes cybersécurité (SOC, CERT, Blue Team)
  • Techniciens ou ingénieurs IT souhaitant évoluer vers la cybersécurité défensive/offensive
  • RSSI techniques, consultants en sécurité offensive ou réponse à incident
Prérequis
  • Bonnes bases en réseaux, systèmes (Windows/Linux) et sécurité informatique
  • Connaissances des outils de base de l’analyse (logs, sysmon, Wireshark)
  • Maîtrise d’au moins un environnement cloud est un plus

Contenu de la formation

Introduction à la réponse aux incidents et aux tactiques d’attaque (3 heures)
  • Cadre général de la réponse aux incidents (NIST, SANS)
  • Cycle de vie d’une attaque : reconnaissance, accès initial, élévation, exfiltration
  • MITRE ATT&CK : taxonomie des techniques et usages
  • Objectifs et typologie des attaquants (APT, cybercriminels, hacktivistes)
  • Travaux pratiques : Cartographie d’un scénario d’attaque réel avec MITRE ATT&CK
  • Travaux pratiques : Analyse d’un incident simplifié avec classification par phase
Techniques d’accès initial et d’élévation de privilèges (6 heures)
  • Techniques de phishing ciblé (spear phishing, payloads, macros)
  • Abus des vulnérabilités connues (CVE, exploits publics)
  • Élaboration et déploiement de reverse shells
  • Escalade locale : DLL hijacking, UAC bypass, token stealing
  • Techniques sur Windows, Linux, et MacOS
  • Travaux pratiques : Utilisation contrôlée d’un outil type Metasploit pour exploitation simulée
  • Travaux pratiques : Analyse post-exploitation d’un système compromis (Windows)
  • Travaux pratiques : Reconstitution d’un accès initial à partir d’un e-mail piégé (sandboxed)
Attaques sur les identités et contournement de l’authentification (6 heures)
  • Attaques sur les mots de passe : brute-force, spraying, hash dumping (Mimikatz)
  • Pass-the-Hash, Pass-the-Ticket et NTLM relay
  • MFA Fatigue, MFA bypass sur services cloud (Microsoft 365, Google Workspace)
  • Attaques sur SSO (SAML manipulation, token replay)
  • Travaux pratiques : Simulation d’un bruteforce sur un service exposé
  • Travaux pratiques : Manipulation de hash et re-jeu avec outils en environnement isolé
  • Travaux pratiques : Test d’un contournement MFA sur instance cloud de test
Menaces spécifiques au cloud et shadow IT (5 heures)
  • Shadow SaaS et shadow cloud : identifier les actifs non autorisés
  • Erreurs de configuration courantes dans les environnements cloud (S3 bucket publics, droits IAM excessifs…)
  • Enumeration cloud : outils (Pacu, ScoutSuite, AzureHound)
  • Techniques d’escalade et d’exfiltration dans le cloud (GCP, AWS, Azure)
  • Travaux pratiques : Analyse d’un bucket S3 public et simulation d’exfiltration de données
  • Travaux pratiques : Audit de configuration IAM sur une maquette cloud
  • Travaux pratiques : Détection de shadow cloud à partir de journaux DNS ou logs proxy
Utilisation des outils d’attaque pour tester ses défenses (5 heures)
  • Présentation des outils offensifs : Cobalt Strike, Empire, Covenant
  • Simulation de campagnes offensives Red Team (légal, scope, éthique)
  • Comment contourner les EDR/AV : obfuscation, encryption, LOLBins
  • Analyse des détections côté Blue Team : journaux, alertes, heuristiques
  • Travaux pratiques : Lancement d’un payload chiffré sur VM et détection via logs Windows
  • Travaux pratiques : Test contrôlé d’un outil Red Team et analyse des alertes SIEM générées
  • Travaux pratiques : Comparaison des détections entre deux outils de défense simulés
Développement de la Threat Intelligence et techniques de chasse (5 heures)
  • Collecte d’indicateurs (IoCs) depuis des attaques réelles
  • Analyse de malware et reverse engineering léger
  • Utilisation des sources OSINT, CTI, rapports de menaces
  • Threat Hunting : hypothèse, investigation, corrélation
  • Travaux pratiques : Analyse statique d’un malware (fichier PE ou script malveillant)
  • Travaux pratiques : Construction d’une règle de détection Sigma ou YARA
  • Travaux pratiques : Chasse sur journaux système et réseau (scénario fourni)
Investigation et réponse complète à un incident complexe (5 heures)
  • Processus complet d’investigation : collecte, tri, corrélation, réponse
  • Création d’une timeline des événements d’une attaque
  • Documentation et communication interne/RSO
  • Éléments de rétablissement et de post-mortem
  • Travaux pratiques : Incident fictif (ransomware ou compromission cloud)
  • Travaux pratiques : Réalisation d’une chronologie complète, rapport d’incident et plan de remédiation
  • Travaux pratiques : Présentation de la réponse aux parties prenantes simulées (exercice oral)

Équipe pédagogique

Professionnel expert technique et pédagogique.