Certified Incident Handling Manager

1 - Introduction à la réponse à incident

• Qu’est-ce que la réponse à incident
• Le contexte de la réponse à incident
• Les normes et référentiels

2 - Le cycle de réponse à incident

• Préparation
• Identification
• Confinement
• Éradication
• Récupération
• Problèmes légaux

3 - Préparation et identification

• Les différents éléments de la réponse à incident : Alertes et évènements
• Le lancement d’une intervention
• Les composants de la réponse à incident : NIDPS, HIDPS, journaux d’évènements – SIEM

4 - Confinement et éradication

• Les principes de confinement : à court terme, à long terme
• Le forensique
• Création de e système d’investigation : étude de la trousse à outil, analyse Live, analyse de la mémoire, analyse de disque, Rétro-ingénierie
• Création d’indicateur de compromission
• Mise en œuvre de l’indicateur dans les outils d’identification
• Rédaction des procédures
• Éradication

5 - Récupération

• Détermination de la portée de l’attaque
• Restauration des sauvegardes
• Organisation des tables rondes pour tirer les leçons de l’expérience
• Résume de la réponse à l’incident : Analyse complète du cycle : Détection dans les outils d’identification, confinement du système infecté, analyse complète du système, création d’indicateurs, mise en œuvre des indicateurs dans les outils d’identification, détection de l’attaque

6 - Examen PECB Certified Incident Handling Manager

• Révision des concepts en vue de la certification
• Examen blanc
• Il est nécessaire de signer le code de déontologie du PECB afin d’obtenir la certification
• Les candidats sont autorisés à utiliser les supports de cours mais aussi les notes qu’ils auront prises
• En cas d’échec les candidats bénéficient d’une seconde chance pour passer l’examen dans les 12 mois suivant la première tentative