Retour aux formations
Niveau : Avancé

🛡️ Formation : Sécurité Défensive et Blue Team

Former les participants aux techniques de défense, de détection et de réponse aux cyberattaques. Cette formation couvre l'ensemble des aspects de la sécurité défensive pour contrer les menaces modernes.

Aperçu de la formation

🎯 Objectif général : Former les participants aux techniques de défense, de détection et de réponse aux cyberattaques. Cette formation couvre l'ensemble des aspects de la sécurité défensive pour contrer les menaces modernes.

📌 Public cible : Analystes SOC, ingénieurs en cybersécurité, administrateurs système et réseau, responsables de la sécurité IT, pentesters souhaitant comprendre la défense.

Durée

Durée : 4 mois (16 semaines, 2 sessions/semaine)

Prérequis

  • Connaissances de base en systèmes (Windows, Linux)
  • Notions en réseaux et protocoles (TCP/IP, DNS, HTTP, SMTP)
  • Familiarité avec les concepts de pentesting et d'attaques courantes
  • Expérience avec des outils de monitoring ou d'analyse (Wireshark, SIEM)

Format

Présentiel ou à distance, avec labos pratiques

Programme détaillé

1

Introduction à la Sécurité Défensive et à la Blue Team

  • Rôles et responsabilités de la Blue Team
  • Différences entre Red Team, Blue Team et Purple Team
  • Introduction au SOC (Security Operations Center)
  • Frameworks et méthodologies de défense (MITRE ATT&CK, NIST, CIS)
2

Comprendre les Attaques et le Renseignement sur les Menaces

  • Étapes du Cyber Kill Chain et MITRE ATT&CK
  • Intelligence sur les menaces (Threat Intelligence, CTI)
  • Collecte et analyse des IoC (Indicators of Compromise)
  • Démonstration : Analyse d'une attaque récente à l'aide de CTI
3

Surveillance et Détection des Menaces

  • Introduction aux SIEM (Splunk, ELK, Sentinel)
  • Gestion et corrélation des logs système et applicatifs
  • Détection des comportements malveillants avec Sysmon et Windows Event Logs
  • Démonstration : Création de règles SIEM pour détecter des attaques
4

Analyse Forensique et Réponse aux Incidents

  • Principes de la réponse aux incidents (IR - Incident Response)
  • Acquisition et analyse des artefacts forensiques (disk, mémoire, logs)
  • Investigation d'un endpoint compromis avec Velociraptor
  • Démonstration : Analyse forensique après une attaque
5

Sécurisation des Endpoints et des Réseaux

  • Détection et réponse aux attaques sur les endpoints (EDR/XDR)
  • Sécurisation des systèmes Windows et Linux (GPO, AppLocker, SELinux)
  • Protection contre les attaques réseau (IDS/IPS, Firewall, NDR)
  • Démonstration : Blocage d'un malware avec Defender et Suricata
6

Gestion des Identités et Sécurité d'Active Directory

  • Durcissement d'Active Directory contre les attaques Red Team
  • Détection des attaques Kerberoasting, Pass-the-Hash, DCSync
  • Surveillance des connexions suspectes avec BloodHound et ATA
  • Démonstration : Analyse d'une attaque AD et application de contre-mesures
7

Sécurité Cloud et Protection des Infrastructures

  • Risques et menaces dans le Cloud (Azure, AWS, Google Cloud)
  • Surveillance et audit des accès cloud (Microsoft Defender for Cloud, AWS GuardDuty)
  • Sécurisation des API et des services exposés
  • Démonstration : Analyse d'une compromission d'un compte cloud
8

Automatisation et Threat Hunting

  • Introduction au Threat Hunting : détection proactive des menaces
  • Automatisation des tâches défensives avec SOAR (Security Orchestration, Automation, and Response)
  • Création de scripts PowerShell et Python pour la défense
  • Démonstration : Chasse aux menaces sur un SIEM et création d'alertes
9

Test de Résilience et Exercices Purple Team

  • Simulation d'attaques en environnement contrôlé
  • Exercices Red Team vs Blue Team
  • Amélioration des détections et des capacités de défense
  • Démonstration : Investigation et blocage d'un test d'intrusion
10

Rédaction de Rapports et Plan de Sécurité

  • Structuration d'un rapport d'incident et recommandations
  • Plan d'amélioration continue et audit de sécurité
  • Communication avec le management et le RSSI
  • Démonstration : Présentation des résultats d'une simulation d'attaque

Méthodologie Pédagogique

Théorie

Présentation interactive avec slides et démonstrations en live

Pratique

Exercices sur plateformes dédiées (TryHackMe, Blue Team Labs, Splunk Boss of the SOC)

Évaluation

Simulations d'incidents, challenges SOC, exercices de threat hunting

Support

Scripts, outils et documentation fournis

Objectifs à la fin de la formation

Comprendre les méthodologies et outils de défense

Savoir détecter et répondre efficacement aux cyberattaques

Maîtriser les concepts de threat hunting et forensique

Être capable de sécuriser un environnement IT et AD

Savoir rédiger des rapports et améliorer la posture de sécurité