34 – Cybercriminalité et recherche de preuves

Cybercriminalité et recherche de preuves

Module 34

Aborder les principales menaces et évolutions de la cybercriminalité actuelles et futures ;
Faire découvrir les méthodologies de recherche de preuves conformes aux bonnes pratiques communément admises ainsi que leurs limitations ;
Aborder et appréhender les concepts principaux de threat intelligence et de réponse à incident ;
Introduire des notions de reverse engineering de malwares ainsi que sur leurs fonctionnements et dernières évolutions.

Introduction à la cybercriminalité et à la recherche de preuves.
Les différents types de cybercriminalité, leurs objectifs ainsi que les techniques et les outils employés.
Les principes du digital forensics (méthodologies, outils, traçabilité des preuves, reporting etc.).
L’évolution du digital forensics vers le proactive forensics.
La réponse aux incidents sous sa forme technique (incident response) et organisationnelle (incident handling).
La menace que représentent les APT/malwares ainsi que les moyens de s’en prémunir, de les détecter et de les analyser.
L’utilité de la threat intelligence et du threat modeling ainsi que leur mise en œuvre simplifiée.

Comprendre les mécanismes de la cybercriminalité et mettre en œuvre les principaux moyens de défense pour s’en protéger ;
Maitriser les processus d’analyse forensiques ainsi que les pièges à éviter ;
Suivre une équipe d’analystes et de comprendre et/ou de rédiger un rapport d’expertise ;
Mettre en place une stratégie de réponse aux incidents comprenant les méthodologies, les outils et les ressources nécessaires ;
Mettre en oeuvre une stratégie simple de veille sur les menaces (threat intelligence) et les modéliser par le biais du threat modeling ;
Comprendre les différence entre un SOC et un CERT, ainsi que les grandes étapes de leur mise en oeuvre ;
Comprendre les principaux enjeux et étapes de l’analyse de malwares ;
Connaître les différentes stratégies et processus de réponse aux incidents, autant sur le plan technique (incident response) que sur le plan organisationnel (incident handling).

Modules 11,12, 14, 15 et 31.

Alain SULLAM

immunIT

Travail individuel écrit : travail utilisant un logiciel « forensique » avec un cas réel. 50%
QCM 50%

Cours interactif alternant des présentations conceptuelles et des exercices conduits individuellement ou en petits groupes.
Interventions ponctuelles d’experts et de professionnels venant faire part de leurs retours d’expérience concentrés sur la pratique.

Cédric Pernet (Eyrolles) : Sécurité et espionnage informatique. Connaissance de la menace APT (advanced Persistent Threat) et du cyberespionnage.
U.S. Department of Justice : Forensic examination of digital evidence: A guide for law enforcement.
Dave Kleiman (Syngress) : The official CHFI study guide.
(EC-Council Press) : Computer forensics : Investigating hard disks, file & operating systems.
(EC-Council Press) : Computer forensics : Evidence collection & preservation.
Leighton R. Johnson III (Syngress) : Computer incident response and forensics team management.
Eoghan Casey (Elsevier) : Digital evidence and computer crime, Third edition.
David Cowen (McGrawHill) : Hacking exposed, Computer forensics, Second edition.
ENISA (European Network and Information Security Agency) : Good practice guide for incident management.
Adam Shostack (Wiley) : Threat modeling, designing for security.