Formation Investigation Forensic Windows.
Score de satisfaction : 4.92/5
Durée :
5 jours
Distanciel et 16 villes en France
numero vert : 0805 950 800 (service et appel gratuits)
à partir de
3750 €HT
98% d'avis positifs* participants
Référence :
SF34464
Durée :
5 jours

En présentiel ou distanciel

  • 35 heures de formation
  • Exercices pratiques
  • Prise en charge OPCO possible

Un renseignement ?

Contactez-nous !
0 805 950 800 (service et appel gratuits)
Vous souhaitez personnaliser cette formation ?
  • En entreprise ou à distance
  • Cadrage pédagogique gratuit
  • Programme de formation sur mesure
  • Formateur expert dédié
  • Prise en charge OPCO possible

Formation Investigation Forensic Windows.

Conduire une investigation numérique sur un environnement Windows !

Cette formation développe les compétences nécessaires pour intervenir après un incident (intrusion, malware, fuite de données, usage abusif), sur poste de travail ou serveur Windows. Les participants apprennent à cadrer une investigation, réaliser des acquisitions adaptées (données volatiles et persistantes), analyser les artefacts Windows et reconstruire une chronologie afin d’étayer des hypothèses, documenter les constats et soutenir la remédiation.

Objectifs pédagogiques.

1Définir le périmètre d’une investigation et préparer une démarche DFIR/forensic (hypothèses, priorités, risques).

2Mettre en œuvre une collecte / acquisition pertinente (volatile & persistante) en assurant intégrité, traçabilité et documentation.

3Identifier et exploiter les principaux artefacts Windows utiles à la qualification d’un incident (système, exécution, persistance, activité utilisateur).

4Corréler des éléments hétérogènes pour reconstruire une timeline et répondre aux questions d’enquête (quoi / quand / comment / avec quels impacts).

5Formaliser les résultats dans une restitution adaptée.

Prérequis : Bonnes bases en sécurité et en administration Windows (concepts OS, comptes, journaux, réseau).Une première exposition à la réponse à incident est un plus.
Partagez cette formation
0805950800

Programme de formation Investigation Forensic Windows.

Cadrage & méthodologie d’investigation

Objectifs d’une investigation (techniques, conformité, preuve, aide à la décision)
Définition du périmètre : poste/serveur, compte(s), période, hypothèses, priorisation
Rôles & responsabilités : first responder vs analyste, interactions SOC/CSIRT/IT
Principes de traçabilité : journal d’actions, gestion des accès, conservation des éléments
Bonnes pratiques de traitement de la preuve numérique (référentiels de type ISO/IEC 27037)

Collecte / acquisition & préservation de la preuve

Stratégies d’acquisition : triage vs acquisition complète, volatil vs persistant
Acquisition “à chaud” / “à froid” : impacts, risques, arbitrages
Intégrité : hachage, scellés logiques, contrôles de cohérence, chaîne de possession
Gestion des supports spécifiques : postes distants, VM, supports chiffrés (selon contexte)
Organisation des données : nomenclature, stockage, gestion des volumes et de la confidentialité

Fondamentaux Windows utiles à l’investigation

Rappels OS : comptes, sessions, permissions, services, tâches planifiées
Systèmes de fichiers & horodatages : lecture, interprétation, limites
Registre Windows : structure, logique d’extraction, typologies d’artefacts
Journaux & traces système : Event Logs, traces sécurité, applications et sécurité endpoint
Gestion des pièges classiques : horloges, timezone, nettoyage, artefacts manquants

Artefacts d’exécution, de persistance et d’activité sur le poste

Indices d’exécution et d’utilisation (selon version/paramétrage) : programmes lancés, historique d’ouverture, traces d’installation
Persistance : mécanismes courants (services, tâches, clés registre, démarrage, etc.)
Activité fichiers/dossiers : création, modification, accès, suppressions et récupération
Périphériques & mobilité : USB, Wi-Fi, profils, connexions, empreintes d’usage
Indicateurs de compromission : comportements suspects, anomalies de configuration, contournements

Navigation web, messagerie et usages “utilisateur”

Traces navigateur : historique, téléchargements, cookies/cache (selon navigateur)
Artefacts liés aux documents : pièces jointes, fichiers récents, accès partagés
Messagerie : indices côté poste (client), notions de collecte côté serveur (si applicable)
Scénarios d’attaque orientés utilisateur : phishing, drive-by, pièces jointes malveillantes
Signaux d’exfiltration : volumes, destinations, outils, “data staging” (selon contexte)

Construction du scénario : corrélation & timeline

Méthode de corrélation multi-sources (logs, registre, FS, artefacts applicatifs)
Construction d’une timeline : granularité, normalisation, gestion des incertitudes
Qualification de l’incident : TTP, chronologie, périmètre impacté, zones d’ombre
Documentation : éléments probants, hypothèses, limites, répétabilité

Informations générales.
  • Quelles sont les modalités d'évaluation ?
  • Quelle méthodologie pour les formations Sparks ?
  • Formation des publics en situation de handicap

    • Nos autres formations en Cybersécurité .

    Formation Administrateur d’identité et de l’accès Microsoft (SC-300)

    SF33998
    4 jours à partir de 3000 €HT* Administrateurs systèmes et réseaux, Ingénieurs sécurité

    Formation Analyse des risques cyber

    SF34453
    3 jours à partir de 2550 €HT*

    Formation Analyste des opérations de sécurité Microsoft (SC-200)

    SF33997
    4 jours à partir de 3000 €HT* Administrateurs systèmes et réseaux

    Formation Architecte Cybersécurité Microsoft (SC-100)

    SF34123
    4 jours à partir de 3000 €HT* Administrateurs systèmes et réseaux, Responsables de la sécurité des systèmes d'information (RSSI), Tous

    Formation Big Data – Sécurité des données

    SF34046
    2 jours à partir de 1800 €HT* Administrateurs de base de données, Ingénieurs Big Data, Chefs de projet

    Formation Cadre juridique de la cybersécurité

    SF33735
    3 jours à partir de 2550 €HT* Risk managers, Chefs de projet, DSI, Responsables de la sécurité des systèmes d'information (RSSI)
    Notre charte qualité et éthique.

    A travers sa Charte Engagement Qualité, Sparks s’engage à tout mettre en œuvre pour que chaque session de formation soit un succès et que votre satisfaction soit totale.

    ffp
    OPQF
    Amandine de Sparks
    Des chiffres étincelants.
    20 années
    à vos côtés
    + de 1000
    sujets de formation
    8702
    stagiaires formés en 2024
    252
    formateurs actifs en 2024
    97,9%
    de stagiaires satisfaits
    23793
    heures de formation réalisées en 2024
    HAUT