Cybersécurité - Incident Response - Linux

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Cybersécurité - Incident Response - Linux


Objectif de formation : Développer les compétences nécessaires pour mener des actions d'analyse, de détection, de réponse et de remédiation à des incidents de sécurité sur des systèmes Linux, en utilisant des techniques avancées de threat hunting, de forensic et de suivi des attaquants.

Objectifs de la formation

  • Maîtriser les outils et techniques de chasse aux menaces sur les systèmes Linux.
  • Réaliser des opérations d'investigation numérique sur les systèmes compromis.
  • Identifier et analyser les mécanismes de compromission, de persistance et de mouvement latéral.
  • Effectuer une analyse temporelle fine des activités suspectes sur les systèmes Linux.
  • Mettre en œuvre des techniques de remédiation efficaces à l'échelle de l'entreprise.

Profil des bénéficiaires

Pour qui
  • Professionnels de la cybersécurité, analystes SOC, investigateurs numériques, administrateurs Linux, et toute personne impliquée dans la réponse à incident sur systèmes Linux.
Prérequis
  • Bonne connaissance des systèmes Linux et des fondamentaux en cybersécurité.
  • Une expérience préalable en réponse à incident est recommandée.

Contenu de la formation

Introduction à la réponse à incident Linux (4 heures)
  • Présentation des menaces ciblant les environnements Linux
  • Architecture et fonctionnement des systèmes Linux en contexte de forensic
  • Outils fondamentaux : SIFT Workstation, terminal, grep, journalctl, etc.
  • TP : Prise en main de la SIFT Workstation et d'un environnement Linux compromis
Chasse aux menaces et détection avancée (6 heures)
  • Identification des activités malveillantes et mécanismes d'évasion
  • Analyse des logs système, utilisateurs et processus
  • Détection de beaconing et de C2 via l'analyse réseau et système
  • TP : Détection de comportements anormaux à partir de logs système et outils CLI
Timeline et super-timeline d'un incident (6 heures)
  • Construction de timelines à partir de différents artefacts
  • Analyse temporelle des actions utilisateurs et des compromissions
  • TP : Création d'une super-timeline avec Plaso/Log2timeline
Mécanismes de compromission et persistance (7 heures)
  • Analyse d'accès initiaux : spear phishing, exploitation de vulnérabilités
  • Étude des mécanismes de persistance sous Linux : cron, rc.local, .bashrc
  • TP : Analyse de scripts de persistance et investigation sur services compromis
Détection du mouvement latéral et exfiltration (7 heures)
  • Identification des techniques de latéralisation sous Linux
  • Analyse des pivots et canaux de communication inter-systèmes
  • Suivi des transferts de données sensibles vers l'extérieur
  • TP : Simulation d'une attaque avec latéralisation et exfiltration
Remédiation, reporting et stratégie de réponse (5 heures)
  • Remédiation à l'échelle d'un parc Linux : suppression, durcissement, patch
  • Rédaction de rapports d'incident techniques et exécutifs
  • TP : Analyse complète d'un incident et élaboration d'un rapport de réponse à incident

Capacité d'accueil

Entre 1 et 10 apprenants