Formation Certification Ec-council CTIA™

Programme de notre formation Ec-council CTIA

[Jour 1 – Matin]

Fondamentaux CTIA et cadre d’une investigation

• Rôles et responsabilités de l’analyste en Threat Intelligence (CTI vs SOC vs DFIR)
• Cycle du renseignement : planification, collecte, traitement, analyse, diffusion
• Typologie des menaces : cybercriminels, APT, hacktivisme, insider
• Définir le périmètre : objectifs, contraintes, niveaux de classification, règles d’engagement
• Atelier pratique : Formaliser une demande CTI (PIR) et un plan de collecte.

[Jour 1 – Après-midi]

Collecte OSINT et hygiène opérationnelle

• Sources OSINT : moteurs, réseaux sociaux, dépôts de code, registres, forums, paste sites
• Techniques de recherche : opérateurs avancés, pivoting, enrichissement par recoupement
• Gestion des identités et cloisonnement : comptes dédiés, navigation isolée, traces et métadonnées
• Validation et fiabilité : biais, corroboration, horodatage, conservation des preuves
• Atelier pratique : Construire une checklist OSINT et collecter des artefacts sur une cible fictive.

[Jour 2 – Matin]

Analyse des indicateurs et normalisation (IOC/TTP)

• Différencier IOC, IOA et TTP et choisir le bon niveau de granularité
• Extraction d’artefacts : domaines, URLs, IP, hashes, certificats, user-agents, patterns
• Enrichissement : WHOIS/DNS, ASN, réputation, passive DNS, relations infrastructurelles
• Déduplication, scoring et priorisation : pertinence, fraîcheur, impact, confiance
• Atelier pratique : Enrichir une liste d’IOC et produire une synthèse exploitable.

[Jour 2 – Après-midi]

Modélisation de l’adversaire et attribution

• Cartographier les TTP avec MITRE ATT&CK (tactiques, techniques, sous-techniques)
• Construire un profil d’acteur : motivations, capacités, secteurs ciblés, géographies, outillage
• Attribution : niveaux de preuve, limites, faux drapeaux, hypothèses et incertitudes
• Production d’un dossier : chronologie, infrastructure, malware, campagnes, recommandations
• Atelier pratique : Mapper une campagne à ATT&CK et rédiger une note d’attribution argumentée.

[Jour 3 – Matin]

Industrialisation CTI et partage (STIX/TAXII)

• Structurer l’information : objets, relations et bonnes pratiques de description
• Introduction à STIX 2.x : indicators, malware, threat-actor, intrusion-set, sightings
• Transport et diffusion via TAXII : collections, abonnements, contrôle d’accès
• Intégration dans l’écosystème : TIP, SIEM, SOAR, EDR (cas d’usage et limites)
• Atelier pratique : Modéliser une campagne en STIX et préparer un paquet de partage.

[Jour 3 – Après-midi]

Restitution, détection et plan d’action

• Formats de livrables : bulletin, alerte, rapport stratégique, fiche acteur, executive summary
• Traduire CTI en détection : règles SIEM, requêtes, watchlists, YARA/Suricata (principes)
• Mesurer l’efficacité : KPI/KRI, couverture ATT&CK, taux de faux positifs, retours des équipes
• Gouvernance : gestion des sources, cycle de vie des IOC, rétention, conformité et confidentialité
• Atelier pratique : Produire un rapport CTI complet et un plan de détection priorisé.