Network Forensics - Investigation et traçabilité des menaces réseau

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Network Forensics - Investigation et traçabilité des menaces réseau


Objectif de formation : Développer les compétences nécessaires pour intégrer les preuves réseau dans les investigations forensiques, reconstituer les actions des attaquants, extraire les éléments probants des captures réseau (PCAP, NetFlow, proxy, SSL), analyser les protocoles, détecter les comportements suspects, et automatiser l’analyse à grande échelle.

Objectifs de la formation

  • Collecter, filtrer et interpréter des données réseau à des fins forensiques
  • Reconstituer des attaques à partir de captures et journaux réseau
  • Extraire des fichiers et identifier des comportements suspects à partir de PCAP
  • Utiliser les données NetFlow pour investiguer sur la durée
  • Déchiffrer et analyser les échanges TLS dans un cadre légal
  • Automatiser l’analyse réseau à l’aide d’outils open source ou de scripts
  • Conduire une investigation réseau complète en environnement hybride

Profil des bénéficiaires

Pour qui
  • Analystes forensiques, ingénieurs SOC, Blue Team, CERT
  • Consultants cybersécurité / réponse à incident
  • Enquêteurs techniques ou spécialistes réseau
Prérequis
  • Bonne maîtrise des protocoles réseau (TCP/IP, DNS, HTTP, etc.)
  • Expérience en sécurité opérationnelle ou analyse de trafic réseau
  • Connaissances de base en ligne de commande (Linux, scripts)

Contenu de la formation

Introduction à l’investigation réseau (3 heures)
  • Objectifs et portée de la forensic réseau
  • Typologies de traces et formats (PCAP, NetFlow, logs, cache proxy)
  • Positionnement dans une investigation globale (complément aux endpoints)
  • Outils utilisés : Wireshark, Zeek, Tshark, tcpdump, Brim, Suricata
  • Travaux pratiques : Visualisation de différents types de traces réseau
  • Travaux pratiques : Exploration de fichiers PCAP réels avec Wireshark
  • Travaux pratiques - Atelier : identification des phases d’une attaque dans un flux capturé
Extraction et reconstruction de fichiers à partir du trafic (5 heures)
  • Suivi de sessions TCP et reconstruction des flux
  • Extraction de fichiers HTTP, FTP, SMB, DNS
  • Récupération de payloads suspects à des fins d’analyse (malware, documents, scripts)
  • Détection de perte de données (DLP)
  • Travaux pratiques : extraction de fichiers depuis un trafic HTTP (téléchargement malveillant)
  • Travaux pratiques : reconstruction d’un fichier exfiltré via FTP dans un PCAP fourni
  • Travaux pratiques : analyse d’une compromission via vol de document sensible
Analyse des protocoles classiques pour la détection comportementale (5 heures)
  • HTTP/S, DNS, SMTP, SMB, RDP, SSH : comportements usuels vs anomalies
  • Repérage des tunnellisations, abus de protocoles, échanges suspectés de C2
  • Identifier des patterns de scans, beaconing, brute-force réseau
  • Travaux pratiques : analyse d’un trafic DNS pour y détecter des requêtes suspectes ou exfiltration
  • Travaux pratiques : détection d’un tunnel HTTP dans du trafic web
  • Travaux pratiques : identification d’un accès non autorisé via RDP
Utilisation des données NetFlow pour le scoping d’incidents (4 heures)
  • Qu’est-ce que le NetFlow/IPFIX ? Avantages, limites
  • Traçabilité temporelle, volumétrique, géographique
  • Reconstitution de sessions passées sur des périodes longues
  • Identification d’IoC réseau à grande échelle
  • Travaux pratiques : requêtes dans des données NetFlow pour tracer un comportement anormal
  • Travaux pratiques : Analyse d’un schéma d’exfiltration via corrélation des flux
  • Travaux pratiques : Comparaison de NetFlow avant/pendant/après incident simulé
Reverse engineering de protocoles et déchiffrement SSL/TLS (5 heures)
  • Comprendre un protocole inconnu ou propriétaire : méthodes d’analyse
  • Identification des éléments utiles (payload, commandes, encodage)
  • Décryptage TLS : extraction des clés, SSL inspection, techniques de contournement
  • Analyse du contenu des communications chiffrées
  • Travaux pratiques : analyse d’un protocole inconnu capturé dans un PCAP (reverse simplifié)
  • Travaux pratiques : Déchiffrement d’un flux TLS avec clé privée ou session ticket (Wireshark)
  • Travaux pratiques : Détection d’un outil de type MITM Proxy dans une attaque simulée
Intégration des logs réseau dans une investigation globale (5 heures)
  • Corrélation entre données PCAP, NetFlow et logs (firewalls, proxies, SIEM)
  • Remontée temporelle : investigation sur des événements anciens
  • Exploitation de journaux DNS, DHCP, WAF, reverse proxy
  • Remplir les "gaps" dans une chronologie
  • Travaux pratiques : reconstitution d’un incident multi-source (DNS, PCAP, NetFlow, logs proxy)
  • Travaux pratiques : identification du vecteur d’entrée à partir de journaux web + réseau
  • Travaux pratiques : Analyse d’un comportement suspect resté indétecté pendant plusieurs mois
Analyse de trafic sans fil et pivot réseau (4 heures)
  • Analyse des protocoles Wi-Fi (802.11) et des failles (deauth, spoof, rogue AP)
  • Détection d’activités suspectes sur réseau sans fil
  • Interception et analyse des échanges via AP malveillant
  • Traçabilité des mouvements latéraux d’un attaquant via réseau
  • Travaux pratiques : analyse d’une capture de trafic Wi-Fi et détection d’un rogue AP
  • Travaux pratiques : scénario de piratage via hotspot public simulé
  • Travaux pratiques : Analyse du trafic interne pour identifier un mouvement latéral
Automatiser et industrialiser l’analyse réseau (4 heures)
  • Introduction au scripting d’analyse réseau (Tshark, Python, Scapy)
  • Traitement batch de fichiers PCAP, extraction de statistiques
  • Intégration dans un pipeline forensique ou un SOC
  • Analyse à grande échelle : filtrage, scoring, alerting
  • Travaux pratiques : extraction automatique des flux HTTP d’un lot de PCAP
  • Travaux pratiques : génération de rapports d’activité réseau sur la base de 10 fichiers capturés
  • Travaux pratiques : création d’un mini-outil de tri de flux suspects (ex : POST/DNS anormaux)
Cas pratique complet - Simulation d’une attaque APT (4 heures)
  • Mise en situation fil rouge basée sur un scénario type nation-state
  • Analyse en plusieurs phases : reconnaissance, exploitation, exfiltration
  • Reconstitution chronologique de l’attaque à partir de traces multiples
  • Rapport d’investigation et préconisations techniques
  • Travaux pratiques : Investigation complète (PCAP + logs + NetFlow) en autonomie ou binôme
  • Travaux pratiques : chronologie, hypothèses, preuves, recommandations
  • Travaux pratiques : Débrief collectif sur les stratégies d’attaque et de défense

Équipe pédagogique

Professionnel expert technique et pédagogique.