Cybersécurité - Incident Response - Windows

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Cybersécurité - Incident Response - Windows


Objectif de formation : Acquérir une maîtrise opérationnelle de l’analyse forensique sur les systèmes Windows, permettant d’identifier, authentifier et analyser les traces numériques en réponse à des incidents de sécurité, des litiges ou des compromissions internes.

Objectifs de la formation

  • Réaliser des analyses forensiques avancées sur différentes versions de Windows.
  • Identifier les activités suspectes des utilisateurs via l’exploitation des artefacts système.
  • Exploiter les journaux d’événements, les bases de registre et les fichiers temporaires pour retracer les activités malveillantes.
  • Réaliser une analyse des stockages cloud et des supports USB connectés.
  • Détecter les exfiltrations de données, les connexions réseau suspectes et les actions sur les fichiers sensibles.

Profil des bénéficiaires

Pour qui
  • Professionnels de la cybersécurité, analystes SOC, enquêteurs numériques, administrateurs systèmes ou responsables IT confrontés à des investigations sur des systèmes Windows.
Prérequis
  • Bonnes connaissances des systèmes d’exploitation Windows et des principes de cybersécurité. Une première expérience en réponse à incident ou en investigation numérique est un plus.

Contenu de la formation

Analyse forensique des systèmes Windows (6 heures)
  • Techniques d’analyse sur Windows 7, 8/8.1, 10, 11 et Windows Server
  • Reconstruction des actions utilisateur : programmes exécutés, fichiers consultés
  • Identification de la géolocalisation système via les données du Registre
  • TP : Analyse d’un poste compromis avec récupération des historiques d'exécution
  • TP : Identification d’activités suspectes via les artefacts Windows
  • TP : Extraction et analyse d’une image disque avec Autopsy et FTK Imager
Triages rapides et analyse utilisateur (5 heures)
  • Méthodologie de Fast Forensics
  • Analyse des raccourcis, fichiers récents, journaux et caches
  • Analyse forensique des navigateurs, fichiers e-mails et registres
  • TP : Triages rapides sur machine suspecte (outils GRR, KAPE)
  • TP : Analyse de l’activité utilisateur via Shellbags, MRU et LNK
  • TP : Visualisation de l’activité Internet via extraction de cache navigateur
Audit de stockage cloud et recherche ciblée (5 heures)
  • Audit d’activités sur OneDrive, Dropbox, Google Drive
  • Analyse des fichiers supprimés et mouvements de données
  • Détection d’exfiltrations de fichiers sensibles
  • TP : Audit d’un stockage cloud avec récupération d’artefacts
  • TP : Identification d’un canal de fuite de données
  • TP : Corrélation entre fichiers recherchés et fichiers consultés
Analyse des périphériques amovibles et des interactions système (5 heures)
  • Analyse ShellBags et EventLogs pour comprendre les accès dossiers
  • Historique des connexions de périphériques USB
  • Corrélation entre utilisateur, date et périphérique utilisé
  • TP : Extraction des logs USBSTOR, DeviceClasses et WMI
  • TP : Cartographie des transferts via supports amovibles
  • TP : Détection de supports non autorisés connectés au système
Exploitation des journaux Windows et bases de données système (6 heures)
  • Analyse avancée des journaux d’événements Windows
  • Exploration de Windows Search Database pour extraire du contenu caché
  • Analyse des fichiers de log réseau et sessions utilisateurs
  • TP : Analyse des événements de connexion et déconnexion
  • TP : Reconstitution d’une session à partir des journaux système
  • TP : Extraction et visualisation des données de la base ESE/LevelDB
Analyse de la navigation Web et des applications (4 heures)
  • Analyse des données SQLite, LevelDB, Electron, WebView2
  • Exploration de clients de messagerie (Teams, Skype, Slack)
  • Récupération de sessions actives en mémoire
  • TP : Parsing de bases SQLite avec DB Browser et RegRipper
  • TP : Analyse d’un historique Web avec Evidence Center ou Magnet AXIOM
  • TP : Récupération des conversations de messagerie avec Volatility
Synthèse et investigation complète (4 heures)
  • Analyse chronologique complète d’un incident Windows
  • Documentation et présentation des preuves
  • Mise en œuvre d’un rapport technique et décisionnel
  • TP : Reconstitution d’un incident complexe (attaque interne + exfiltration)
  • TP : Rédaction de rapport avec éléments probants horodatés
  • TP : Simulation d’un échange avec les équipes juridiques ou SSI

Capacité d'accueil

Entre 1 et 10 apprenants