Module 1: Architecture SOC& Modèles deMenaces
Architecture SOC : Tier 1 (triage), Tier 2
(investigation), Tier 3 (threat hunting) – rôles et responsabilités
Modèles organisationnels SOC : interne, externalisé,
hybride (MSSP)
Cyber Kill Chain (Lockheed Martin) :
Reconnaissance → Weaponization → Delivery →
Exploitation → Installation → C2 → Actions
MITRE ATT&CK Framework : Tactics, Techniques,Procedures (TTPs) – navigation dans la matrice
Diamond Model of Intrusion Analysis : adversaire,infrastructure, capacité, victime
Indicateurs de Compromission (IoC) vs Indicateurs d'Attaque (IoA)
Scoring de menaces : CVSS, EPSS – prioriser les vulnérabilités
Atelier : mapper une attaque réelle sur la Kill Chain et ATT&CK Matrix
Module 2: SIEM, Collecte de Logs &Corrélation
Architecture SIEM : collecteurs, parsers, moteur de corrélation, stockage, dashboards
Sources de logs essentielles : Windows Event Logs,Syslog, firewall, proxy, AD, EDR
Normalisation des logs : formats CEF, LEEF, JSON – importance de la standardisation
Requêtes SIEM (Splunk SPL / ELK KQL) : recherches simples et avancées
Règles de corrélation : créer des alertes basées sur des patterns de comportement
Use cases SIEM fondamentaux : brute force, lateral movement, exfiltration, privilege escalation
Tuning des alertes : réduire les faux positifs sans manquer les vraies menaces
Atelier : créer 5 règles de corrélation sur Splunk/ELK et investiguer des alertes déclenchées
Module 3: Analyse de Trafic Réseau avec Wireshark
Rappels protocoles réseau : TCP/IP, UDP, DNS, HTTP/S, SMB, RDP – comportements normaux vs anormaux
Wireshark : filtres d'affichage, filtres de capture, statistiques, flux TCP/UDP
Analyser une attaque réseau dans un pcap : ARP poisoning, DNS tunneling, port scanning
Détecter des connexions C2 (Command & Control) dans le trafic réseau
Analyse des protocoles chiffrés : JA3/JA3S fingerprinting pour TLS
Anomalies réseau : beacon traffic, DGA (Domain Generation Algorithm), exfiltration DNS
NetworkMiner : extraire des fichiers et artefacts depuis des captures réseau
Atelier : analyser 3 fichiers pcap de scénarios d'attaque réels et identifier les TTPs
Module 4: IDS/IPS – Snort & Suricata
IDS vs IPS vs NDR : différences, placement dans l'architecture réseau
Architecture Snort/Suricata : modes inline vs passive, composants, flux de traitement
Syntaxe des règles Snort : header (action, protocole, IP, port), options (content, pcre, flags)
Règles Suricata avancées : payload matching, file extraction, TLS inspection
Emerging Threats ruleset : gérer et mettre à jour les signatures
Tester des règles : générer du trafic de test et valider les alertes
Techniques d'évasion IDS : fragmentation, encodage, polymorphisme – comment les détecter
Atelier : écrire 5 règles Snort/Suricata custom pour détecter des attaques spécifiques
Module 5: Forensics Digitale – Windows & Linux
Principes DFIR : préservation des preuves, ordre de volatilité, chaîne de custody
Acquisition mémoire : Volatility, WinPmem – dump RAM et analyse
Analyse des artefacts Windows : Prefetch, LNK files, Registry (Run keys, SAM, SYSTEM), Event Logs
Artefacts de persistance : Scheduled Tasks, Services, WMI subscriptions, Startup folders
Analyse forensique Linux : /etc/cron, ~/.bashrc, systemd services, bash_history, /tmp
Timeline forensique : créer une chronologie des événements avec log2timeline/Plaso
File carving : récupérer des fichiers supprimés avec Autopsy/FTK Lite
Atelier : investiguer un système Windows compromis fictif et reconstituer la timeline d'attaque
Module 6: Analyse de Malwares – Statique & Dynamique
Analyse statique basique : hashes (MD5/SHA256), strings, imports/exports, PE headers avec PEStudio
YARA rules : écrire des signatures pour détecter des malwares par pattern
Analyse statique avancée : désassemblage avec Ghidra – reconnaître les structures C dans l'assembleur
Analyse dynamique en sandbox : Any.run, Cuckoo – observer le comportement sans risque
Monitoring dynamique : Process Monitor, Process Hacker, Regshot – modifications système en temps réel
Techniques d'obfuscation : packing, encryption, anti- debug, anti-VM – les identifier
IOC extraction : extraire IPs C2, URLs, mutex, registry keys d'un sample de malware
Atelier : analyser un sample de malware réel (ransomware ou RAT) statiquement et dynamiquement
Module 7: Réponse aux Incidents – PICERL
Cycle de vie Incident Response : Preparation → Identification → Containment → Eradication → Recovery → Lessons Learned
Phase Preparation : runbooks, playbooks, outils pré-déployés, contacts d'urgence
Phase Identification : triage des alertes, severity scoring, déclaration d'incident
Phase Containment : isolation réseau, blocage IOC, snapshot forensique avant containment
Phase Eradication : suppression du malware, correction de la vulnérabilité exploitée
Phase Recovery : restauration des systèmes, monitoring renforcé post-incident
Rédaction du rapport d'incident : timeline, impact, causes racines, recommandations
Tabletop Exercise : simuler un incident ransomware et dérouler le plan de réponse collectivement
Module 8: Threat Hunting & Threat Intelligence
Threat Hunting : définition, différence avec la détection passive, posture proactive
Hypothèse-driven hunting : partir d'un TTP ATT&CK et chercher des preuves dans les logs
Hunting techniques : stack counting, clustering, frequency analysis, long tail analysis
OSINT et Threat Intelligence : VirusTotal, Shodan, MISP, OpenCTI, feeds de réputation
Indicator lifecycle : frais → actif → expiré – gérer un TIP (Threat Intelligence Platform)
Diamond Model appliqué au threat hunting : profiler un adversaire
Purple Teaming : collaboration Red/Blue pour améliorer la détection
Atelier : conduire un threat hunt sur un environnement SIEM simulé basé sur une hypothèse
ATT&CK
Module 9: Cloud Security Monitoring & SOAR
Cloud Security : shared responsibility model, Cloud Trail (AWS), Azure Monitor, GCP Logging
Menaces spécifiques au cloud : misconfiguration, SSRF, credential theft, lateral movement IAM
CSPM (Cloud Security Posture Management) : Prowler, ScoutSuite – évaluer la posture cloud
SOAR (Security Orchestration Automation Response) : qu'est-ce que c'est et pourquoi automatiser
Playbooks SOAR : automatiser le triage, l'enrichissement IOC, l'isolation de machine, la notification
Intégrations SOAR : SIEM, ticketing (Jira/ServiceNow), EDR, firewall
Métriques SOC : MTTD (Mean Time to Detect), MTTR (Mean Time to Respond), taux de faux positifs
Atelier : construire un playbook SOAR automatisant la réponse à un phishing (enrichissement → blocage → notification)
Module 10: Projet Final Cyber Ops & Évaluation
Présentation du projet fil rouge : investigation complète d'un scénario d'attaque multi-vecteurs
Scénario : compromission initiale (phishing) → lateral movement → exfiltration → ransomware
Étapes : analyse des logs SIEM → analyse pcap → forensics → rapport IR → recommandations
Chaque participant présente son analyse et ses conclusions (15 min)
Feedback du formateur : pertinence des findings, qualité du rapport, profondeur de l'analyse
QCM d'évaluation finale : 20 questions couvrant les 5 jours
Plan de progression : certifications recommandées (CompTIA CySA+, CEH, GCIH, GCFE)
Remise des attestations Cyber Ops et clôture
