Votre contact ESD Cybersecurity Academy

RNCP36399BC03 - Analyser et sécuriser les SI après une cyber-attaque (Forensics, Analyse malware)

Formation créée le 02/01/2026. Dernière mise à jour le 05/01/2026.
Version du programme : 1

Type de formation

E-learning

Durée de formation

115 heures (0 jour)

Accessibilité

Oui

Formation certifiante

Oui

Financement CPF

Formation finançable CPF

RNCP36399BC03 - Analyser et sécuriser les SI après une cyber-attaque (Forensics, Analyse malware)


Cette formation certifiante en cybersécurité vise à former des professionnels capables d'analyser et de sécuriser les systèmes d'information après une cyber-attaque. Les participants apprendront les techniques d'investigation numérique, l'analyse des malwares, et l'utilisation d'outils spécialisés pour devenir des analystes forensic, des responders aux incidents ou des analystes de malwares.

Objectifs de la formation

  • Comprendre les normes et méthodologies d'investigation numérique pour l'environnement Windows.
  • Prévenir et détecter les intrusions dans les environnements Windows.
  • Analyser les artefacts de système pour identifier les preuves numériques lors d'une investigation.
  • Générer et analyser une chronologie des événements lors d'une investigation numérique.
  • Maîtriser les outils d'investigation numérique disponibles pour l'environnement Windows.
  • Encadrer une analyse de malware en identifiant et cartographiant les éléments malveillants.

Profil des bénéficiaires

Pour qui
  • Mener une investigation numérique complète dans le respect du cadre légal
  • Analyser les artefacts Windows pour reconstituer un scénario d'attaque
  • Réaliser une analyse mémoire avec Volatility
  • Rédiger des rapports forensic professionnels adaptés à différents publics
  • Proposer et implémenter des mesures de remédiation efficaces
Prérequis
  • Les prérequis d'accès à la formation sont ceux définis par le certificateur du Titre RNCP36399. Le candidat doit satisfaire aux conditions d'admission fixées pour l'accès au Titre ou au Bloc de compétences concerné.
  • Des bonnes bases dans l'IT sont nécessaires pour suivre la formation. Vous aurez la possibilité de passer un test de positionnement pour la formation.

Contenu de la formation

État de l'art de l'investigation numérique
  • Introduction à l'investigation numérique
  • Vocabulaire
  • Les différentes disciplines
  • Indicateurs de compromission
  • Méthodologie d'investigation
  • ATT&CK et Arbres d'attaque
Les fondamentaux Windows et collecte des données
  • Fondamentaux Windows
  • Structure des répertoires
  • Séquence de boot
  • Bases de registres
  • Logs et événements
  • Services
  • Volume Shadow Copy Service
  • Généralités sur les disques durs
  • Fondamentaux NTFS
  • Analyse live
  • Analyse offline : imaging
  • Analyse offline : collecte
  • Les outils d'analyse
Artefacts
  • Artefacts internet : pièces jointes, Open/Save MRU, Zone.Identifier, téléchargements, historique Skype, navigateurs
  • Artefacts d'exécution : UserAssist, Timeline Windows 10, RecentApps, Shimcache, Jumplist, Amcache.hve, BAM/DAM, Prefetch
  • Artefacts fichiers et dossiers : Shellbags, fichiers récents, raccourcis LNK, documents Office
  • Artefacts réseau : historique navigateur, cookies, SRUM, logs Wi-Fi
  • Artefacts comptes utilisateur : authentification, RDP, événements de service
  • Artefacts USB : événements PnP, numéros de série
  • Artefacts fichiers supprimés : corbeille, Thumbcache, WordWheelQuery
  • Spécificités Active Directory
Analyse mémoire et Anti-Forensic
  • Acquisition mémoire
  • Analyse avec Volatility
  • TP : Investigation mémoire
  • Principes et techniques d'Anti-Forensic
  • TP : Anti-Forensic
État de l'art
  • Introduction
  • Vecteurs d'infection
  • Réponse à incident
  • Détection antivirale
Environnement d'analyse
  • Infrastructure
  • Environnement d'analyse
Analyse statique simple
  • Principe
  • Analyse de maldoc
  • Bases systèmes
  • Analyse d'un exécutable
Analyse dynamique simple
  • Principe
  • Bases systèmes avancées
  • Analyse d'un exécutable
  • Analyse mémoire, injection et rootkit
Introduction à l'assembleur
  • Introduction
  • Instructions
  • Registres
  • Pile
  • Syscalls
Analyse avancée
  • Principe d'analyse avancée
  • Analyse dynamique avancée
  • Utilisation d'un debugger
  • Breakpoints
  • Méthodologie d'analyse et patching
Études pratiques
  • Cas pratiques
  • TP final

Équipe pédagogique

Accompagnement pédagogique individuel : jusqu'à 1 heure

Accessibilité

L'organisme étudie toute situation de handicap afin d'identifier les possibilités d'adaptation pédagogique, organisationnelle ou matérielle. Un référent handicap est disponible pour accompagner chaque apprenant dans l'analyse de ses besoins.