Cybersécurité - Ransomware

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

21 heures (3 jours)

Accessibilité

Oui

Cybersécurité - Ransomware


Objectif de formation : Ce programme de formation pratique vous permettra de répondre efficacement aux incidents de ransomware et de cyber extorsion. Vous développerez une compréhension complète des menaces, des tactiques opératoires, des mesures de prévention, de détection, de réponse et de communication post-attaque.

Objectifs de la formation

  • Comprendre le fonctionnement du ransomware moderne
  • Détecter et répondre à une attaque active
  • Prévenir et réduire la surface d'attaque
  • Différencier les menaces de cyber extorsion
  • Maîtriser le hunting et la détection post-exploitation
  • Se préparer organisationnellement à la menace ransomware

Profil des bénéficiaires

Pour qui
  • Professionnels de la cybersécurité
  • Responsables de la réponse aux incidents
  • Administrateurs système et réseau
  • Consultants en sécurité
Prérequis
  • Connaissances de base en cybersécurité
  • Expérience en gestion des incidents de sécurité

Contenu de la formation

Comprendre le fonctionnement du Ransomware moderne (3 heures)
  • Évolution du ransomware : du simple chiffreur au HumOR (Human-operated ransomware)
  • Organisation des groupes de ransomware comme des entreprises criminelles
  • Typologies d'attaques : chiffrement, double extorsion, effacement, etc.
  • Panorama des variantes actuelles et chaînes d'infection fréquentes
  • TP : Analyse de l'évolution d'un ransomware connu (ex : Ryuk, LockBit)
  • TP : Cartographie d'une chaîne d'attaque HumOR à partir d'un scénario
  • TP : Identification des composants d'un échantillon de ransomware via OSINT
Détection et réponse à une attaque active (4 heures)
  • Indicateurs précoces d'une attaque ransomware (pré-chiffrement)
  • Réaction immédiate en cas de compromission : isolement, triage, sauvegardes
  • Méthodologie de réponse à incident en environnement compromis
  • Pièges à éviter lors d'une attaque en cours (déclenchement prématuré, effacement de preuves)
  • TP : Simulation d'une détection de ransomware en phase active
  • TP : Plan d'action d'urgence en environnement infecté
  • TP : Identification des machines impactées et premier niveau de containment
Prévention et réduction de la surface d'attaque (4 heures)
  • Vecteurs d'accès les plus courants (RDP, phishing, vulnérabilités non patchées)
  • Durcissement des postes et des accès réseau
  • Segmentation réseau, MFA, sauvegardes déconnectées
  • Bonnes pratiques de configuration des systèmes face au ransomware
  • TP : Audit d'un environnement fictif et recommandations de prévention
  • TP : Mise en place de règles de détection (SIEM, EDR) sur activités suspectes
  • TP : Analyse d'un runbook de protection Ransomware et adaptation au contexte
Cyber extorsion et différenciation des menaces (3 heures)
  • Différences entre ransomware classique et campagnes d'extorsion sans chiffrement
  • Méthodes de pression : exfiltration, doxing, menace à la réputation
  • Communication de crise, lien avec les parties prenantes et autorités
  • TP : Étude de cas : cyber extorsion sans chiffrement avec divulgation publique
  • TP : Analyse d'un leak site pour identifier les données compromises
  • TP : Simulation de gestion de communication post-exfiltration
Hunting et détection post-exploitation (4 heures)
  • Techniques de persistence et mouvements latéraux utilisés par les opérateurs HumOR
  • Outils courants : Cobalt Strike, PSExec, Mimikatz, outils internes Windows détournés
  • Méthodologie de threat hunting orientée ransomware
  • TP : Reconstitution d'un mouvement latéral à partir des logs Windows
  • TP : Identification de comportements suspects dans un SIEM
  • TP : Création d'une règle de détection personnalisée à partir d'un IoC
Préparation organisationnelle à la menace Ransomware (3 heures)
  • Élaboration d'un plan de réponse à incident spécifique ransomware
  • Exercices de crise, rôles et responsabilités, coordination interne/externe
  • Retour d'expérience sur attaques réelles et documentation des processus
  • TP : Rédaction d'un playbook dédié à la réponse ransomware
  • TP : Exercice de table top : simulation de crise ransomware
  • TP : Revue critique d'un plan de réponse existant à partir d'un benchmark

Équipe pédagogique

Formateurs expérimentés en cybersécurité et en réponse aux incidents de ransomware.

Suivi de l'exécution et évaluation des résultats

  • Évaluations pratiques lors des TP
  • Exercices de simulation
  • Rédaction de documents de réponse à incident

Ressources techniques et pédagogiques

  • Supports de cours
  • Études de cas
  • Outils de simulation
  • Accès à des environnements de laboratoire

Qualité et satisfaction

Taux de satisfaction des apprenants : 95%. Taux d'insertion dans l’emploi après la formation : 80%.

Capacité d'accueil

Entre 5 et 20 apprenants

Accessibilité

Le programme est conçu pour être accessible aux personnes en situation de handicap. Des aménagements spécifiques peuvent être discutés avec les participants.