Formation Certification Ec-council CIH™

Programme de notre formation EC-Council CIH™ : Incident Handling & Forensics

[Jour 1 – Matin]

Méthodologie IH et Préparation de l’Environnement

• Le cycle de vie de l’incident (NIST vs SANS) : Préparation, Détection, Confinement
• Cadre légal et éthique : Intégrité des preuves et chaîne de conservation (Chain of Custody)
• Poste d’analyse : Mise en place d’une machine virtuelle d’enquête (SIFT Workstation)
• Collecte de preuves : Ordre de volatilité et acquisition (Disque vs RAM)
• Atelier pratique : Création d’un kit d’enquête et acquisition d’une image avec validation par Hash.

[Jour 1 – Après-midi]

Forensique Système : Windows & Linux

• Artefacts Windows : Registre (Run keys), Prefetch, Shimcache et Journaux d’événements
• Traces Linux : Cronjobs, SSH keys, Systemd services et Bash history
• Analyse de la chronologie : Création d’une Super-Timeline pour corréler les événements
• Gestion des artefacts volatils : processus, connexions et sessions actives
• Atelier pratique : Analyse d’une image disque pour identifier le vecteur d’entrée et la persistance.

[Jour 2 – Matin]

Analyse Mémoire et Détection de Malwares

• Analyse RAM avancée : Utilisation de Volatility (Processus, DLL, Sockets)
• Détection d’anomalies : Injections de code et processus orphelins
• Triage de Malware : Analyse statique rapide (Strings, Entropy, Capa)
• Analyse dynamique en Sandbox et extraction d’indicateurs (IOCs)
• Atelier pratique : Extraction d’un malware depuis un dump mémoire et analyse de ses capacités.

[Jour 2 – Après-midi]

Investigation Réseau et Flux de Données

• Analyse de trafic (PCAP) : Identification des balises de Command & Control (C2)
• Protocoles critiques : Analyse DNS, HTTP/S (certificats) et tunnels
• Corrélation avec les logs d’infrastructure : Firewall, Proxy et SIEM
• Reconstruction de sessions et extraction de fichiers transférés
• Atelier pratique : Analyse d’une capture réseau pour reconstruire un scénario d’exfiltration.

[Jour 3 – Matin]

Forensique Applicative et Cloud

• Traces Utilisateurs : Navigateurs Web (historique, cache) et Mail (Phishing)
• Introduction aux incidents Cloud : Spécificités des logs AWS/Azure (CloudTrail)
• Automatisation du triage : Scripts de collecte rapide pour les IOCs
• Corrélation utilisateur : Retracer le “qui, quoi, quand” depuis le contexte applicatif
• Atelier pratique : Retracer le parcours d’une infection via artefacts navigateur.

[Jour 3 – Après-midi]

Post-Incident, Reporting et Certification

• Éradication et Remédiation : Nettoyage et stratégies d’évolution
• Reporting professionnel : Synthèse managériale et annexes techniques
• Préparation à l’examen CIH : Revue des concepts, quizz et pièges fréquents
• Checklist de clôture d’incident et partage d’informations (MISP)
• Atelier pratique : Rédaction d’une synthèse d’enquête (Timeline + IOCs) et debriefing.