contact@ascent-formation.fr +33 9 75 75 37 81 LinkedIn
Visitez notre site web
Logo de l'organisme de formation

La formation au coeur de l'avenir technologique

Représentation de la formation : Forensic - Windows - Niveau avancé

Forensic - Windows - Niveau avancé

Enquête numérique avancée sur environnements critiques

Formation présentielle
Accessible
Durée : 21 heures (3 jours)
0/10
(0 avis)
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire
Durée :21 heures (3 jours)
HT
S'inscrire

Formation créée le 16/06/2025.

Version du programme : 1

Programme de la formation

Mener une investigation numérique experte dans des environnements Windows complexes, en intégrant des contraintes opérationnelles, réglementaires et stratégiques (NIS2, LPM, post-crise), et produire des livrables exploitables à destination des directions SSI Groupe.

Objectifs de la formation

  • Déployer une stratégie de forensic avancée adaptée aux environnements Windows industriels et multisites.
  • Exploiter les artefacts, la mémoire vive, les journaux et le Registre pour identifier l’origine d’un incident.
  • Reconstituer la chronologie d’une attaque en environnement critique (IT/OT, AD, réseau).
  • Proposer des éléments de preuve solides dans une logique juridique, post-incident ou contentieuse.
  • Produire une restitution opérationnelle pour RSSI, SOC et direction de crise.

Profil des bénéficiaires

Pour qui
  • RSSI Groupe / entités critiques
  • Analystes SOC niveau 3
  • Référents forensic / réponse à incident
  • Auditeurs cybersécurité expérimentés
  • Experts judiciaires ou sécurité SI industriels
Prérequis
  • 10 à 15 ans d’expérience en cybersécurité, forensic ou réponse à incident.
  • Maîtrise avancée de l’architecture Windows (AD, Registre, NTFS, services réseau).
  • Expérience dans l’analyse post-incident ou l’investigation numérique.

Contenu de la formation

  • Partie 1 – Positionner le forensic dans une logique groupe et de crise (3h)
    • Cadre réglementaire applicable (NIS2, LPM, RGPD, pénal, RGS)
    • Organisation d'une réponse à incident dans un grand groupe
    • Intégration du forensic dans la chaîne SOC – CERT – RSSI
    • Cas pratique : Analyse d’un incident en environnement critique (AD et fichiers infectés) Préparation d’un rapport à destination de la direction SSI
  • Partie 2 – Acquisition forensique avancée (4h)
    • Techniques avancées de collecte de preuves (disques, RAM, snapshots, logs distants)
    • Acquisition volatile et persistante en environnement Windows post-attaque
    • Détection d’effacements ou manipulations malveillantes (anti-forensic)
    • Cas pratique : Récupération complète d’un disque effacé par un ransomware Identification de l’anti-forensic utilisé et reconstitution chronologique
  • Partie 3 – Artefacts Windows & reconstitution d’activité (3h30)
    • Journalisation avancée (Event Viewer, journaux AD, journaux PowerShell)
    • Analyse du Registre, Prefetch, RecentDocs, Shellbags, Jump Lists
    • Chronologie multi-artefacts : Timeline d’un utilisateur et d’un attaquant
    • Cas pratique : Élaboration d’une timeline d’attaque avec escalade de privilèges Corrélation des artefacts entre comptes locaux, AD et services distants
  • Partie 4 – Mémoire vive & réseau : analyse temps réel (3h30)
    • Analyse RAM avec Volatility, DumpIt, Rekall
    • Recherche de processus injectés, rootkits, connexions réseau suspectes
    • Corrélation mémoire / services / fichiers temporaires
    • Cas pratique : Identification d’un malware fileless en mémoire Reconstitution des canaux de communication réseau utilisés
  • Partie 5 – Stéganographie, persistence et exfiltration (3h30)
    • Détection et extraction de données cachées (stéganographie, ADS, WMI)
    • Analyse des techniques de persistence avancées (Run Keys, services masqués)
    • Étude des canaux d’exfiltration (OneDrive, Slack, DNS, HTTP covert)
    • Cas pratique : Analyse d’un canal d’exfiltration de données via DNS Détection d’un mécanisme de persistence basé sur WMI et tâches planifiées
  • Partie 6 – Restitution et communication stratégique (3h30)
    • Structuration du rapport forensic pour direction, DPO, RSSI et juridique
    • Gestion de la chaîne de preuve : documentation, datation, reproductibilité
    • Préparation à l’audit post-incident ou à une procédure contentieuse
    • Cas pratique : Rédaction d’un rapport post-incident intégrant preuves, chronologie, causes racines Présentation orale simulée à un comité de crise Groupe (COMEX)
Équipe pédagogique

Professionnel expert technique et pédagogique.

Accessibilité

Du 16 au 18 décembre 2025