Instructor-Led · 5 jours · SOC L1 → L2
Formation
Threat Hunting
Un parcours intensif de montée en compétences pour les analystes SOC L1 visant le niveau L2. De la modélisation des acteurs de la menace à la cellule de crise, en passant par le DFIR, l'épidémiologie et la chasse aux signaux faibles — avec AFEST et CTF en situation réelle.
10 Ateliers · AFEST · CTF
01
Objectifs de la formation
Objectif stratégique
- Former les analystes SOC L1 pour atteindre le niveau L2 en investigation avancée et threat hunting
Objectif opérationnel
- Gestion des incidents avancés
- Évaluation et gestion du risque
- Gestion des vulnérabilités
- Actions de confinement et containement
- Threat Hunting autonome
Objectif global
- Qualification approfondie des incidents
- Maîtrise des processus DFIR
- Application des SOP avancées
- Respect des métriques et indicateurs
- Maintien en conditions opérationnelles (MCO)
Objectifs partiels
- Rôle DFIR et rôle personnel
- Incident Handling avancé
- Threat Intel préventive — Modélisation / TTP
- Threat Intel réactive — IOC
- Actions de containement & zones de sécurité
- Investigation horizontale & signaux faibles
- Artifact Analysis — Delivery & Latéralisation
- Security Posture Assessment
- API Scripting · Crisis Reporting · SOP · Team Play
02
Compétences couvertes
Toutes les compétences sont ancrées dans un atelier pratique et évaluées lors des sessions AFEST et CTF.
DFIRRôle DFIR & rôle personnel
IHIncident Handling avancé
UIPrise en main de l'interface
CTI+Threat Intel préventive — Modélisation / TTP
IOCThreat Intel réactive — IOC
ContainActions de containement
ZonesZones de sécurité
HuntInvestigation horizontale
SignalSignaux faibles
ArtifactArtifact Analysis
DeliverDelivery & Latéralisation
SPASecurity Posture Assessment
APIAPI Scripting
CrisisCrisis Reporting
SOPProcédures opérationnelles avancées
TeamTeam Play & communication de crise
03
Planning de la semaine
Lundi
Introduction & Threat Actors
Feuille de route
Rôle DFIR
TTP & modélisation
Mardi
DFIR & H.A.V.
IOC & containement
Épidémiologie
Initial Vector
Mercredi
Hunting & Qualification
Risk & Volatilité
Incident Mgmt
SPA
Jeudi
AFEST
Hunt autonome
Cellule de crise
Crisis Reporting
Vendredi
CTF & Wrap-up
Étude de malwares
Cas pratiques
Sondage & éval.
04
Programme détaillé — Ateliers & méthodes pédagogiques
La progression suit une logique du terrain : on part des acteurs de la menace, on construit la capacité de réponse DFIR, on entraîne au hunting en conditions simulées, on teste en situation réelle (AFEST), et on consolide par un CTF sur analyse de malwares.
Lundi
Introduction
Threat Actors
Cadrage & modélisation des acteurs de la menace
Journée d'entrée en matière : présentation de la feuille de route de la semaine, puis immersion dans le rôle DFIR et la cartographie des acteurs de la menace. L'étude de cas permet d'ancrer immédiatement les TTP dans des incidents réels documentés.
Introduction — Feuille de route
Présentation du parcours, des objectifs de montée en niveau, des livrables attendus et du cadre d'évaluation (AFEST + CTF).
Briefing
Threat Actors — Rôle DFIR & TTP
Positionnement du DFIR dans la chaîne de réponse. Modélisation des acteurs (APT, cybercriminels, insiders), cartographie des TTP avec MITRE ATT&CK, lecture de rapports de threat intelligence et extraction des indicateurs comportementaux.
Étude de cas
Mardi
DFIR
H.A.V.
Initial Vector
Réponse DFIR, épidémiologie & vecteur initial
Journée dense en trois temps. Le DFIR et l'approche H.A.V. (Hôte, Artefacts, Vecteur) sont traités par analogie épidémiologique — un cadre mental puissant pour comprendre la propagation d'une compromission. L'après-midi bascule sur l'analyse du vecteur initial : artefacts, mécanismes de delivery et latéralisation.
DFIR / H.A.V. — IOC & Containement
Application du modèle H.A.V. (Hôte · Artefacts · Vecteur) sur un incident réel. Extraction et qualification des IOC, décision de containement, définition des zones de quarantaine. Approche collaborative : chaque participant contribue à la reconstruction de la chaîne d'infection.
Analogie · Collab
Initial Vector — Artifacts, Delivery & Latéralisation
Analyse d'artefacts malveillants (macros, scripts obfusqués, droppers). Techniques de delivery (phishing, watering hole, supply chain). Mécanismes de latéralisation (pass-the-hash, WMI, RDP). Vidéo de référence InvokeObfuscation pour la désobfuscation PowerShell.
Étude de cas · Vidéo
Mercredi
Hunting
Qualification
Chasse aux menaces & qualification d'incidents
Journée centrale du parcours. Le matin s'appuie sur un jeu de rôle braqueur de banque pour simuler la pression du hunting sous contrainte (volatilité des données, fenêtre de temps limitée, gestion du risque). L'après-midi est consacré à la qualification structurée et à l'évaluation de la posture de sécurité.
Hunting — Risque, Volatilité & Reporting
Méthodologie de chasse : hypothèses, sources, priorisation par volatilité des artefacts. Gestion du risque opérationnel en situation de hunting actif. Structuration du rapport de chasse (findings, coverage gaps, recommandations).
JDR Braqueur de Banque
Qualification — Incident Mgmt & Security Posture Assessment
Qualification approfondie d'incidents complexes, construction collaborative de la timeline d'attaque. Security Posture Assessment : cartographie des gaps de couverture, identification des quick wins et des axes de remédiation structurants.
Brainstorm · Mind Map
Jeudi
AFEST
Situation réelle
Action de Formation en Situation de Travail
Journée AFEST complète. Le matin en mode hunting autonome sur environnement réel : l'apprenant chasse des signaux faibles sans guidage, en appliquant ses hypothèses. L'après-midi simule une cellule de crise active : coordination multi-acteurs, crisis reporting sous pression temporelle, application des SOP de communication.
AFEST Hunting — Investigation horizontale & signaux faibles
Hunting autonome sur données réelles. L'analyste formule ses hypothèses, identifie les sources pertinentes, chasse les signaux faibles et documente ses findings. Évaluation de la rigueur méthodologique et de la pertinence des pivots d'investigation.
Test connaissances
AFEST Cellule de Crise — Crisis Reporting & SOP
Simulation d'incident majeur en cellule de crise multi-acteurs. Application des protocoles de communication, rédaction du crisis report en temps contraint, coordination avec les parties prenantes (direction, équipes IT, juridique). Évaluation de la clarté décisionnelle et du respect des SOP.
Course contre la montre
Vendredi
CTF
Wrap-up
Capture The Flag & bilan de semaine
La journée s'ouvre sur un CTF d'analyse de malwares : les participants sont confrontés à des samples réels et doivent reconstituer la chaîne d'attaque, extraire les IOC et formuler les recommandations de containement. La session de wrap-up conclut sur l'évaluation individuelle et collective via sondage structuré.
CTF — Étude de malwares
Analyse forensique de malwares en conditions CTF : identification du type (RAT, ransomware, loader, stealer), extraction des IOC statiques et dynamiques, reconstruction de la chaîne d'infection, scoring de dangerosité. API Scripting pour automatiser l'extraction d'artefacts.
Cas pratiques CTF
Wrap-up — Bilan & évaluation
Retour structuré sur la semaine, consolidation des acquis, identification des axes de progrès individuels. Sondage d'évaluation pédagogique anonyme et remise de la feuille de route personnelle de montée en compétences L2.
Sondage · Éval.