Expert en Cybersécurité (MS)
Certification RNCP36072
Formacodes 31006 | Sécurité informatique 31014 | Informatique décisionnelle 31038 | Audit informatique 11016 | Analyse données
Nomenclature Europe Niveau 7
Formacodes 31006 | Sécurité informatique 31014 | Informatique décisionnelle 31038 | Audit informatique 11016 | Analyse données
Nomenclature Europe Niveau 7
Les métiers associés à la certification RNCP36072 : Expertise et support en systèmes d'information Administration de systèmes d'information Conseil et maîtrise d'ouvrage en systèmes d'information
Codes NSF 326 | Informatique, traitement de l'information, réseaux de transmission
Voies d'accès : Formation initiale Contrat d'apprentissage Formation continue Contrat de professionnalisation VAE
Prérequis : Sont recevables les candidatures d’étudiants titulaires d’un des diplômes suivants : Diplôme d’ingénieur habilité par la Commission des Titres d’Ingénieur (liste CTI) Diplôme d’une école de management habilitée à délivrer le grade de Master (liste CEFDG)
Certificateurs :
Voies d'accès : Formation initiale Contrat d'apprentissage Formation continue Contrat de professionnalisation VAE
Prérequis : Sont recevables les candidatures d’étudiants titulaires d’un des diplômes suivants : Diplôme d’ingénieur habilité par la Commission des Titres d’Ingénieur (liste CTI) Diplôme d’une école de management habilitée à délivrer le grade de Master (liste CEFDG)
Certificateurs :
| Certificateur | SIRET |
|---|---|
| UNIVERSITE DE TECHNOLOGIE DE TROYES (UTT) | 19101060200032 |
Activités visées :
Diagnostic de l’incident de cybersécurité et de son ampleur Analyse de l’incident de cybersécurité Remédiation à l’incident de cybersécurité Participation à l’élaboration de la PSSI Supervision des infrastructures et des événements de sécurité Détection des incidents et les menaces Analyse et catégorisation des codes malveillants Remédiation aux menaces Veille permanente sur les menaces émergentes Préparation de l’audit de sécurité Réalisation des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles Rédaction du rapport de résultat de l’audit de sécurité Identification des preuves numériques Définition de la stratégie de préservation des données numériques Collecte des preuves numériques selon la procédure technico-légale Traitement et analyse des preuves numériques collectées Production des preuves numériques analysées
Diagnostic de l’incident de cybersécurité et de son ampleur Analyse de l’incident de cybersécurité Remédiation à l’incident de cybersécurité Participation à l’élaboration de la PSSI Supervision des infrastructures et des événements de sécurité Détection des incidents et les menaces Analyse et catégorisation des codes malveillants Remédiation aux menaces Veille permanente sur les menaces émergentes Préparation de l’audit de sécurité Réalisation des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles Rédaction du rapport de résultat de l’audit de sécurité Identification des preuves numériques Définition de la stratégie de préservation des données numériques Collecte des preuves numériques selon la procédure technico-légale Traitement et analyse des preuves numériques collectées Production des preuves numériques analysées
Capacités attestées :
Collecter l’ensemble des informations relatives aux incidents informatiques à l’aide des outils adéquats afin d’avoir une première idée sur l’ampleur de la crise Trier les éléments liés à l’incident en les catégorisant afin d’organiser des éléments de preuves analysables Analyser les preuves numériques collectées selon la méthodologie forensique, méthode dont l’objectif est de produire des preuves numériques de l'attaque informatique en vue d’une procédure judiciaire ou d'une action interne à l’aide de la collecte de données brutes ou altérées pour reconstituer le déroulement de l'attaque, afin d’identifier la nature de l’incident Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatique (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incident Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber Enrichir la politique de sécurité (PSSI) et des documents associés avec le Responsable de la sécurité des systèmes d'information (RSSI) et/ou Directeur des systèmes d'information (DSI) en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme iso 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc. afin d’améliorer la sécurité et la résilience du SI Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM), en utilisant ces informations pour retracer la chronologie d’une cyberattaque afin de mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus et d’éviter que ces mêmes attaques se reproduisent dans le futur Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de réponse à incident Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les média sociaux (SOCMINT), le renseignement d'origine humaine et capacité d'analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker Analyser le périmètre d’intervention des tests d’intrusion afin de lancer des tests cadrés Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal, notamment des articles 323-1 et suivants, spécifique à la cybercriminalité afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et systématiquement comporter une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation Identifier le périmètre et l’environnement technique afin d’évaluer la quantité de données à acquérir Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés (suivant les cas, en extrayant les données sur un support de type clé USB, ou bien, de réaliser une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager), afin de préserver les preuves numériques Analyser les artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones …) afin de tracer les preuves numériques · Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incident).
Collecter l’ensemble des informations relatives aux incidents informatiques à l’aide des outils adéquats afin d’avoir une première idée sur l’ampleur de la crise Trier les éléments liés à l’incident en les catégorisant afin d’organiser des éléments de preuves analysables Analyser les preuves numériques collectées selon la méthodologie forensique, méthode dont l’objectif est de produire des preuves numériques de l'attaque informatique en vue d’une procédure judiciaire ou d'une action interne à l’aide de la collecte de données brutes ou altérées pour reconstituer le déroulement de l'attaque, afin d’identifier la nature de l’incident Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatique (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incident Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber Enrichir la politique de sécurité (PSSI) et des documents associés avec le Responsable de la sécurité des systèmes d'information (RSSI) et/ou Directeur des systèmes d'information (DSI) en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme iso 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc. afin d’améliorer la sécurité et la résilience du SI Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM), en utilisant ces informations pour retracer la chronologie d’une cyberattaque afin de mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus et d’éviter que ces mêmes attaques se reproduisent dans le futur Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de réponse à incident Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les média sociaux (SOCMINT), le renseignement d'origine humaine et capacité d'analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker Analyser le périmètre d’intervention des tests d’intrusion afin de lancer des tests cadrés Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal, notamment des articles 323-1 et suivants, spécifique à la cybercriminalité afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et systématiquement comporter une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation Identifier le périmètre et l’environnement technique afin d’évaluer la quantité de données à acquérir Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés (suivant les cas, en extrayant les données sur un support de type clé USB, ou bien, de réaliser une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager), afin de préserver les preuves numériques Analyser les artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones …) afin de tracer les preuves numériques · Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incident).
Secteurs d'activité :
Grands groupes industriels Secteur bancaire Entreprises publiques Administrations PME/TPE
Grands groupes industriels Secteur bancaire Entreprises publiques Administrations PME/TPE
Types d'emplois accessibles :
Directeur du Système d’Information Responsable de la Sécurité des Systèmes d’Information Responsable CERT (Computer Emergency Response Team) ou équipe de réponse à incidents Toutes les fonctions d’expertise en cabinet de conseil : audit, consultant, intégrateur, formateur... Ingénieur sécurité, cybersécurité, Ingénieur Sécurité d'information Consultant en SSI, Sécurité, Sécurité informatique Information Security Officer Responsable formation forensic et cybersécurité Analyste forensic Directeur adjoint des enquêtes de l'AMF (Autorité des marchés financiers) Chef de laboratoire de criminalistique numérique Enquêteur en cybercriminalité Consultant (analyste CERT) Consultant CERT Analyste Sécurité CERT Analyste SOC (security operation center) SOC Security Analyst
Directeur du Système d’Information Responsable de la Sécurité des Systèmes d’Information Responsable CERT (Computer Emergency Response Team) ou équipe de réponse à incidents Toutes les fonctions d’expertise en cabinet de conseil : audit, consultant, intégrateur, formateur... Ingénieur sécurité, cybersécurité, Ingénieur Sécurité d'information Consultant en SSI, Sécurité, Sécurité informatique Information Security Officer Responsable formation forensic et cybersécurité Analyste forensic Directeur adjoint des enquêtes de l'AMF (Autorité des marchés financiers) Chef de laboratoire de criminalistique numérique Enquêteur en cybercriminalité Consultant (analyste CERT) Consultant CERT Analyste Sécurité CERT Analyste SOC (security operation center) SOC Security Analyst
Liens Référentiel :
: https://www.utt.fr/formations/mastere-specialise/expert-forensic-cybersecurite
: https://www.utt.fr/formations/mastere-specialise/expert-forensic-cybersecurite
Objectif contexte :
L’expert en cybersécurité a pour mission principale la garantie de la protection des données informatiques exposées à des actes malveillants. Il travaille soit dans une société d’ingénierie informatique soit dans une entreprise entant que consultant en sé
L’expert en cybersécurité a pour mission principale la garantie de la protection des données informatiques exposées à des actes malveillants. Il travaille soit dans une société d’ingénierie informatique soit dans une entreprise entant que consultant en sé
Statistiques : :
| Année | Certifiés | Certifiés VAE | Taux d'insertion global à 6 mois | Taux d'insertion métier à 2 ans |
|---|---|---|---|---|
| 2018 | 11 | 0 | 100 | 67 |
| 2019 | 25 | 0 | 100 | 90 |
Bloc de compétences
RNCP36072BC04 : Réaliser une analyse technico-légale (forensique)
Compétences :
Identifier le périmètre et l’environnement technique, en accédant si nécessaire au système d’exploitation ou au matériel pour avoir une vision précise de la volumétrie des données afin d’évaluer la quantité de données à acquérir Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés soit en extrayant les données sur un support de type clé USB, ou bien, soit en réalisant une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager, afin de préserver les preuves numériques Analyser des artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones…) afin de tracer les preuves numériques Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incidents)
Identifier le périmètre et l’environnement technique, en accédant si nécessaire au système d’exploitation ou au matériel pour avoir une vision précise de la volumétrie des données afin d’évaluer la quantité de données à acquérir Définir la stratégie de préservation des données (en considérant la volumétrie des données à analyser, le temps dont on dispose, le matériel de copie dont on dispose, et d’autres contraintes externes) afin de rédiger le document de traçabilité des actions effectuées Réaliser la collecte de façon technico-légale à l’aide d’outils de collecte dédiés soit en extrayant les données sur un support de type clé USB, ou bien, soit en réalisant une copie technico-légale avec des outils open source, tels que dd, dcfldd, présents sur la distribution Kali Linux, ou bien des outils commerciaux comme ftk imager, afin de préserver les preuves numériques Analyser des artefacts identifiés (disque dur, mémoire, traces réseaux, journaux d’évènements, e-mail, navigateurs, smartphones…) afin de tracer les preuves numériques Rédiger un rapport d’analyse en adaptant son discours afin de le présenter à divers publics, techniques et institutionnels (forces de l’ordre, magistrat, équipe de réponse à incidents)
Modalités d'évaluation :
Cas d’étude
Cas d’étude
RNCP36072BC01 : Traiter les incidents de cybersécurité
Compétences :
Collecter l’ensemble des informations relatives aux incidents informatiques (journaux d’évènements systèmes et réseau, diagrammes de topologie réseau, images systèmes) à l’aide d’outils open-source (autopsy, foremost, scalpel, volatility, plaso, log2timeline, etc.) souvent présents sur la distribution Kali Linux afin d’avoir une première idée sur l’ampleur de la crise. Trier les éléments liés à l’incidenten les catégorisant afin d’organiser des éléments de preuves analysables Analyser les preuves numériquescollectées selon la méthodologie forensique, à l’aide de la collecte de données brutes ou altérées permettant d’identifier la nature de l’incident et de reconstituer le déroulement de l'attaque, afin lancer une action interne ou une procédure judiciaire Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatiques (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incidents Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber Enrichir la politique de sécurité (PSSI)et des documents associés avec le RSSI et/ou DSI en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme ISO 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc., afin d’améliorer la sécurité et la résilience du SI Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques (CERT, plateforme de partage, virus total) dans le but de partager les failles, les vulnérabilités, les indices de compromission, et éviter que d’autres structures ne soient affectées par les mêmes menaces
Collecter l’ensemble des informations relatives aux incidents informatiques (journaux d’évènements systèmes et réseau, diagrammes de topologie réseau, images systèmes) à l’aide d’outils open-source (autopsy, foremost, scalpel, volatility, plaso, log2timeline, etc.) souvent présents sur la distribution Kali Linux afin d’avoir une première idée sur l’ampleur de la crise. Trier les éléments liés à l’incidenten les catégorisant afin d’organiser des éléments de preuves analysables Analyser les preuves numériquescollectées selon la méthodologie forensique, à l’aide de la collecte de données brutes ou altérées permettant d’identifier la nature de l’incident et de reconstituer le déroulement de l'attaque, afin lancer une action interne ou une procédure judiciaire Contextualiser l’incident en faisant la corrélation entre signe d’incident et l’analyse de traces informatiques (informations collectées) à l’aide d’outils de modélisation et/ou de visualisation afin d’établir des scenarii potentiels d’incidents Élaborer un plan de remédiation afin d’appliquer les actions nécessaires à la résolution de l’incident telles que décrites dans la politique de sécurité des systèmes d’information (PSSI) en émettant notamment des recommandations aux collaborateurs afin de répondre à la crise cyber Enrichir la politique de sécurité (PSSI)et des documents associés avec le RSSI et/ou DSI en utilisant les méthodologies d’analyse de risques telles que Méhari ou EBIOS, ainsi que la norme ISO 27001, spécifiant les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) etc., afin d’améliorer la sécurité et la résilience du SI Améliorer de façon continue ses pratiques en coopérant avec des experts à l’aide des outils de réponse à incident spécifiques (CERT, plateforme de partage, virus total) dans le but de partager les failles, les vulnérabilités, les indices de compromission, et éviter que d’autres structures ne soient affectées par les mêmes menaces
Modalités d'évaluation :
Cas d’étude
Cas d’étude
RNCP36072BC03 : Auditer la sécurité technique d’une organisation
Compétences :
Analyser le périmètre d’intervention des tests d’intrusion (après avoir défini le périmètre d’intervention, et la modalité des tests à utiliser, les outils de la distribution Kali Linux seront utilisés, tels que nmap, metasploit et armitage) afin de lancer des tests cadrés Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal spécifique à la cybercriminalité, les articles 323-1 et suivants notamment, afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et, systématiquement, une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre-mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation
Analyser le périmètre d’intervention des tests d’intrusion (après avoir défini le périmètre d’intervention, et la modalité des tests à utiliser, les outils de la distribution Kali Linux seront utilisés, tels que nmap, metasploit et armitage) afin de lancer des tests cadrés Réaliser des tests d’intrusion sur les systèmes, les réseaux, les applications web ou mobiles en utilisant les outils adéquats selon la méthodologie de tests d’intrusion (définition du plan d’audit, des scenarii, etc.), tout en assurant une veille technique sur les outils d’audit et les pratiques d’attaque et tests d’intrusion en respectant le Code pénal spécifique à la cybercriminalité, les articles 323-1 et suivants notamment, afin d’identifier les services vulnérables et de détecter les éventuelles menaces ou intrusions Élaborer un rapport détaillé des résultats des tests comprenant des captures d’écran des tests et, systématiquement, une note explicitant, pour chaque faille ou vulnérabilité découverte, la contre-mesure à mettre en place, afin d’éradiquer ou de limiter le risque voire de proposer un plan de remédiation
Modalités d'évaluation :
Cas d’étude Cas pratique
Cas d’étude Cas pratique
RNCP36072BC02 : Analyser la menace cyber pesant sur une organisation
Compétences :
Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM) et en utilisant ces informations pour retracer la chronologie d’une cyberattaque, pour mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus. Cela permettra de mettre à jour de nouveaux risques identifiés, et d’apporter des modifications sur les équipements pour éviter que ces mêmes attaques ne se reproduisent dans le futur Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de produire une réponse à incident Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les médias sociaux (SOCMINT), le renseignement d’origine humaine et la capacité d’analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web, afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker
Assurer la supervision des infrastructures et des événements de sécurité en exploitant un système de gestion de l’information et des événements de sécurité (SIEM) et en utilisant ces informations pour retracer la chronologie d’une cyberattaque, pour mettre en évidence les signaux faibles, qui d’ordinaire, passent inaperçus. Cela permettra de mettre à jour de nouveaux risques identifiés, et d’apporter des modifications sur les équipements pour éviter que ces mêmes attaques ne se reproduisent dans le futur Détecter en temps réel les incidents et les menaces en identifiant leurs sources afin de bloquer leur accès au système informatique Analyser le code malveillant par les techniques d’analyse statique et/ou dynamique pour le qualifier et le catégoriser Produire un correctif à l’aide de la distribution Kali Linux (langage python, script bash sous linux, exécutable écrit en C++.) qui sera appliqué par les équipes afin de produire une réponse à incident Attribuer l’incident en établissant une grille d’analyse d’intrusion en utilisant les méthodes adéquates : Kill Chain, Diamond Model, la matrice MITRE ATT&CK, afin de modéliser une intrusion ciblée Anticiper les futures évolutions des menaces à l’aide de la mise en place d’un système de veille recensant le renseignement en source ouverte (OSINT), les flux de données commerciaux et communautaires, les médias sociaux (SOCMINT), le renseignement d’origine humaine et la capacité d’analyse et de corrélation (HUMINT), les informations provenant du Deep et Dark web, afin de limiter l’exposition de l’entreprise sur les réseaux sociaux, ou sur les moteurs de recherche, limitant ainsi la surface d’attaque que pourrait exploiter un hacker
Modalités d'évaluation :
Cas pratique Test écrit
Cas pratique Test écrit