1 - Introduction à la réponse à incident
- Qu’est-ce que la réponse à incident
- Le contexte de la réponse à incident
- Les normes et référentiels
2 - Le cycle de réponse à incident
- Préparation
- Identification
- Confinement
- Éradication
- Récupération
- Problèmes légaux
3 - Préparation et identification
- Les différents éléments de la réponse à incident : Alertes et évènements
- Le lancement d’une intervention
- Les composants de la réponse à incident : NIDPS, HIDPS, journaux d’évènements – SIEM
4 - Confinement et éradication
- Les principes de confinement : à court terme, à long terme
- Le forensique
- Création de e système d’investigation : étude de la trousse à outil, analyse Live, analyse de la mémoire, analyse de disque, Rétro-ingénierie
- Création d’indicateur de compromission
- Mise en œuvre de l’indicateur dans les outils d’identification
- Rédaction des procédures
- Éradication
5 - Récupération
- Détermination de la portée de l’attaque
- Restauration des sauvegardes
- Organisation des tables rondes pour tirer les leçons de l’expérience
- Résume de la réponse à l’incident : Analyse complète du cycle : Détection dans les outils d’identification, confinement du système infecté, analyse complète du système, création d’indicateurs, mise en œuvre des indicateurs dans les outils d’identification, détection de l’attaque
6 - Examen PECB Certified Incident Handling Manager
- Révision des concepts en vue de la certification
- Examen blanc
- Il est nécessaire de signer le code de déontologie du PECB afin d’obtenir la certification
- Les candidats sont autorisés à utiliser les supports de cours mais aussi les notes qu’ils auront prises
- En cas d’échec les candidats bénéficient d’une seconde chance pour passer l’examen dans les 12 mois suivant la première tentative