Formation Investigation numérique Windows
- Financement CPF possible
- Durée : 5 jours
- Prix : 2800 Euros HT (certification ESD-FORENSICSWIN+ 549 € HT)
- Disponible en ligne

Public : administrateur, analyste SOC, ingénieur sécurité.
Prérequis : connaissance sur les OS Windows, TCP/IP, Linux.
Description :
La formation “Investigation numérique Windows” proposée par l’ESD Cybersecurity Academy est une formation pratique pour les professionnels de la sécurité informatique qui cherchent à acquérir des compétences en matière d’investigation numérique dans l’environnement Windows. La formation couvre un large éventail de sujets, y compris les normes et méthodologies d’investigation numérique, les concepts fondamentaux de Windows, les techniques de prévention et de détection des intrusions, l’analyse des artefacts de système et la génération et analyse de chronologie.
La formation “Investigation numérique Windows” est conçue pour les professionnels de la sécurité informatique qui cherchent à améliorer leurs compétences en matière d’investigation numérique dans l’environnement Windows, ainsi que pour les professionnels de la sécurité informatique qui cherchent à ajouter des compétences en matière d’investigation numérique à leur profil de compétences existant. Les participants apprendront les méthodes de prévention et de détection des intrusions, la collecte et l’analyse de données, l’utilisation d’outils d’investigation numérique et la génération de rapports détaillés sur les incidents. La formation comprend également des travaux pratiques pour permettre aux participants de mettre en pratique les compétences acquises et de se familiariser avec les outils utilisés en situation réelle.
Objectifs pédagogiques :
– Comprendre les normes et méthodologies d’investigation numérique pour l’environnement Windows.
– Maîtriser les concepts fondamentaux de Windows pour pouvoir collecter et analyser des données numériques.
– Être capable de prévenir et de détecter les intrusions dans l’environnement Windows.
– Savoir analyser les artefacts de système pour identifier les preuves numériques lors d’une investigation.
– Être capable de générer et d’analyser une chronologie des événements lors d’une investigation numérique.
– Connaître les outils d’investigation numérique disponibles pour l’environnement Windows.
– Être capable de collecter et d’analyser des données numériques lors d’une investigation.
– Savoir générer des rapports détaillés sur les incidents.
– Mettre en pratique les compétences acquises lors de travaux pratiques.
– Se familiariser avec les outils utilisés en situation réelle.
Un mot sur les auteurs du support

Alain MENELET
Ingénieur CNAM, il travaille et collabore depuis de nombreuses années sur des projets au sein de CSIRT/SOC. Également enseignant dans le supérieur, il a créé et dispensé un grand nombre de cours ayant attrait à l’analyse de malware et la réponse à incident.
Programme de la formation
Jour 1 matin
- Section 1: La réponse à incident et l’investigation numérique
- Méthodologie d’une réponse à incident
- NIST/SANS/OODA
- PRIS/ISO
- Mise en place d’un laboratoire
- Méthodologie d’une réponse à incident
Jour 1 après-midi
- Section 2: Live Forensic sur Windows
- Sources et commandes associées
- Outils
- Section 3: Event Log Analyse sur Windows
- Exploitation des Evtx / Etw
- Utilisation d’un SIEM
Jour 2 matin
- Section 4: Artefacts Windows (TP/TD)
Jour 2 après-midi
- Section 5: La mémoire vive sur Windows
- Prélèvement
- Physique
- Virtualisée
- Validation du prélèvement
- Chain of custody / evidence
- Analyse
- Fonctionnement de Volatility (2 et 3)
- Concepts (profil, vtype, volshell)
- Liste des modules + méthodologie
- TP
- Prélèvement
Jour 3 journée
- Section 6: La mémoire de masse sur Gnu/Linux
- Prélèvement
- Physique
- Virtualisée
- Validation du prélèvement
- Chain of custody / evidence
- Analyse
- Concepts
- Timeline
- Génération et analyse
- Artefacts
- Services
- Journalisation système
- Logs
- Prélèvement
- Cas d’étude
Jour 4 matin
- Section 7 : Live Forensic et analyse des journaux d’événements sur Gnu/Linux
- Section 8 : La mémoire vive sur Gnu/Linux
- Prélèvement (physique, virtualisé)
- Validation du prélèvement
- Chain of custody / evidence
- Analyse de la mémoire vive
- Fonctionnement de Volatility 2/3
- Concepts (profil, vtype, volshell)
- Liste des modules et méthodologie
- TP/TD
Jour 4 après-midi
- Section 9 : La mémoire de masse sur Gnu/Linux
- Prélèvement (physique, virtualisé)
- Analyse de la mémoire de masse
- Concepts (ext4, VFS, etc.)
- Timeline
- Génération et analyse de chronologie
- Artefacts
- Services
- Journalisation système
- Logs
Jour 5 journée
- Section 10 : Cas d’étude
La formation comprend
Tester vos compétences
d’investigateur numérique sur les systèmes Microsoft Windows.