Initiez-vous aux techniques et outils essentiels de la Détection de Menaces Moderne. Cette formation couvre l'ensemble de la chaîne défensive : des normes et standards de sécurité à la détection avancée orientée IA, en passant par l'analyse de phishing, l'analyse réseau, la Cyber Threat Intelligence, et le déploiement d'outils clés.
Découvrez comment les LLMs et systèmes multi-agents révolutionnent les SOCs en automatisant le triage d'alertes, réduisant la fatigue d'alerte, et construisant une détection de menaces augmentée par l'IA. Apprenez les architectures agentic AI modernes, leurs défauts potentiels, et comment sécuriser ces systèmes d'intelligence artificielle pour une défense de nouvelle génération.
Durée : 4 semaines
Date : 05 au 26 Septembre
Jours : Chaque Samedi (journée) + Threat hunting la semaine.
Horaire : 09H à 12 H - 13h à 16H30
Format : Session live avec accès au replay + Elearning
Labs : + de 30 Labs
Appréhender la relation entre les Blue, Red et Purple Teams.
Maîtriser les fondamentaux d'une infrastructure SOC.
Comprendre la Cyber Kill Chain et les TTPs.
Maitriser la Cyber Threat Intelligence.
Identifier, catégoriser, analyser et bloquer une attaque de phishing.
Maîtriser l'analyse des logs Windows et linux.
Effectuer du threat hunting et des analyses forensiques.
Exploiter des SIEM afin de détecter des menaces.
Maîtriser l'analyse et la réponse aux incidents M365/Entra ID.
Manipuler et exploiter les outils EDR pour la détection endpoint.
Orchestrer la réponse aux incidents avec un SOAR.
Comprendre et implémenter des exercices purple teaming.
Détecter des attaques orienté IA.
Introduire les LLMs, Agentic AI et systèmes multi-agents appliqués au SOC.
Construire un système de triage d'alertes automatisé avec IA.
Réduire la fatigue d'alerte par l'automatisation intelligente.
Toutes nos formations "Bootcamps" sont certifiantes
Toutes nos formations "bootcamps" sont certifiantes. Vous pourrez obtenir une certification suite à une évaluation à la fin de la formation.
Ces certifications seront vérifiables sur notre plateforme ou sur la plateforme Badgr.
Pour bien suivre cette formation
Connaissances de base en systèmes d'exploitation (Windows et Linux).
Notions fondamentales en réseaux (TCP/IP, DNS, HTTP, concepts basiques).
Compréhension basique de la ligne de commande (Bash/PowerShell).
Familiarité avec les concepts généraux de la cybersécurité.
Notions élémentaires de logs et journalisation.
Confortable avec la manipulation de fichiers et répertoires en CLI.
Motivation et curiosité pour la défense (Blue Team).
Optionnel mais recommandé :
Une première expérience avec un SIEM ou outil de logs.
Connaissances basiques en scripting (Python, Bash) - aidé mais pas obligatoire.
Compréhension des TTPs et tactiques d'attaque (MITRE ATT&CK niveau débutant).
Appréhender la relation entre Blue, Red et Purple Teams
Découvrir les métiers et rôles du SOC
Maîtriser les composants essentiels d'une infrastructure SOC moderne
Comprendre le cycle de triage et de gestion des incidents
Découvrir le Threat Hunting et ses méthodologies
Découvrir les normes et standards de sécurité (NIST, CIS, ISO)
Maîtriser le Framework MITRE ATT&CK et sa matrice tactique
Maîtriser le Framework MITRE D3fend (défense)
Maîtriser le Framework MITRE Detect
Comprendre la Cyber Kill Chain et les TTPs
Appréhender la notion d'OPSEC et son impact
Maîtriser la journalisation Windows (Event Logs, PowerShell, WMI, RDP)
Maîtriser la journalisation Linux (Syslog, auditd, journald)
Analyser les authentifications, création de comptes, escalade de privilèges
Effectuer du threat hunting sur logs : Mimikatz, Password Spraying, suppression de logs
Enrichir les logs avec des outils modernes (Filebeat, Metricbeat, Auditbeat)
Visualiser et explorer les logs avec des dashboards
Investiguer une compromission via l'analyse des logs d'authentification
Détecter et tracer une tentative d'escalade de privilèges
Identifier les traces de suppression/nettoyage de logs (log tampering)
Reconstituer l'activité d'un attaquant via les PowerShell/WMI logs
Extraire les IoCs (hashes, IPs, domaines) des logs pour containment
Analyser les RDP logs pour détecter une lateral movement
Documenter les findings forensiques pour le rapport d'incident
Cas pratique : Investiguer une compromission Windows sur 3 jours de logs
Introduction aux SIEM modernes (Splunk, ELK Stack, Wazuh)
Maîtriser l'architecture et les modèles de données SIEM
Concevoir des règles de détection orientées MITRE ATT&CK
Construire des corrélations et agrégations avancées
Modéliser un plan d'émulation des menaces (Vectr)
Déployer des détections pour : initial access, execution, persistence, credential access, exfiltration, impact
Mettre en place des alertes efficaces et réduire les faux positifs
Créer un dashboard SIEM de "command center" pour orchestrer une réponse
Construire des alertes intelligentes qui changent de contexte selon le stade d'une attaque
Mettre en place des correlations temps réel pour détecter les chaines d'attaque
Enrichir les alertes avec du contexte : criticité, impacts potentiels, playbooks IR recommandés
Automatiser l'extraction d'évidence depuis le SIEM pour le rapport d'incident
Construire des timelines graphiques pour visualiser l'incident complet
Mettre en place des alertes de containment : isolation réseau, désactivation compte, endpoint blocking
Cas pratique : Créer un dashboard détection d'une campagne phishing en temps réel
Définir et positionner la CTI dans l'entreprise
Explorer les types de CTI : tactical, operational, strategic
Différencier SOC, CSIRT, CERT, et threat hunters
Appréhender les IoCs (Indicateurs de Compromission) et leur cycle de dépreciation
Maîtriser la "Pyramid of Pain"
Analyser les groupes APT et leurs TTPs
Introduire les standards CTI : STIX, TAXII, TLP
Appliquer l'OSINT à la recherche d'indicateurs
Analyser les leaks et les données exposées
Examiner des campagnes de phishing et de compromission
Identifier les signaux faibles et les faux positifs
Différencier IoCs et IoAs (Indicators of Attack)
Monitorer les groupes ransomware et threat actors
Cartographier l'écosystème du cybercrime
Appréhender les techniques de phishing et social engineering
Analyser les protocoles emails (SMTP, DKIM, SPF, DMARC)
Identifier et catégoriser les attaques de phishing
Maîtriser les outils : PhishTool, URLScan, sandbox analysis
Analyser les URL malveillantes et pièces jointes
Découvrir les extensions malveillantes et phishing in the browser
Répondre aux campagnes de phishing
Investiguer une compromission d'email : timeline, scope, impact
Analyser les règles de forwarding et transport malveillantes
Détecter les sessions actives et "killer-sessions" pour un compte compromis
Extraire les métadonnées d'emails (header, body, attachments) pour forensiques
Identifier les destinataires potentiels impactés par le phishing
Bloquer les URLs/attachments malveillants à la gateway
Nettoyer les boîtes emails : supprimer les mails malveillants, restaurer les données
Documenter la campagne pour les alertes futures
Cas pratique : Répondre à une campagne phishing ciblée impactant 50 utilisateurs
Maîtriser la structure et l'architecture de M365/Entra ID
Exploiter le Unified Audit Log (UAL) et les Sign-in logs
Analyser les MailItemsAccessed et détecter les accès malveillants
Forensique des règles de forwarding et transport rules
Analyser les logs d'authentification et détecter les compromissions
Répondre aux incidents M365 (email compromise, account takeover)
Déployer les solutions Microsoft Defender et Microsoft Extractor Suite
Investiguer les OAuth apps et applications malveillantes
Investigation d'une Account Compromise M365 : extraire Sign-in logs, analyser MailItemsAccessed, examiner les règles de forwarding, vérifier MFA
Containment immédiat : révoquer sessions/tokens, réinitialiser mot de passe, supprimer rules malveillantes, révoquer OAuth apps
Eradication & Recovery : restaurer emails, vérifier modifications Entra ID, auditer délégations, analyser timeline complète
Cas pratique : Incident complet d'Account Takeover avec exfiltration (8-12 heures pédagogiques)
Comprendre l'EDR et son rôle dans la détection endpoint
Maîtriser les solutions EDR modernes (Defender, Falcon, etc.)
Effectuer du threat hunting granulaire au niveau endpoint
Détecter les comportements malveillants (execution, persistence, lateral movement)
Analyser les processus, les connexions réseau, et les modifications système
Corréler les données EDR avec les logs SIEM
Répondre aux incidents détectés au niveau endpoint
Investigation rapide via EDR : analyser timeline d'exécution, tracer process tree, extraire IoCs
Threat Hunting sur l'endpoint : chercher autres exécutions, identifier lateral movements, détecter persistance, chasser C2
Containment immédiat : isoler endpoint, tuer processus malveillants, blocker exécutable, déployer protections additionnelles
Forensiques complètes : récupérer artefacts, analyser connexions, déterminer vecteur initial
Cas pratique : Incident malware avec investigation multi-endpoints et lateral movement
Découvrir les principes du SOAR (Security Orchestration, Automation, Response)
Automatiser les workflows de triage d'alertes
Orchestrer les réponses inter-outils (SIEM → EDR → M365 → Ticketing)
Intégrer les playbooks pour les scénarios courants
Réduire le MTTD (Mean Time To Detect) et MTTR (Mean Time To Respond)
Mettre en place une escalade intelligente
Créer des playbooks IR automatisés : Email Compromise, Suspicious Process, Lateral Movement, Ransomware
Automatiser l'investigation : déclencher collecte de preuves, enrichir alertes, créer timelines, générer rapports
Orchestrer la réponse multi-outils : SIEM → SOAR → EDR → M365 → Ticketing avec notifications automatiques
Gamification & Feedback : mesurer MTTD/MTTR avant/après, itérer sur playbooks
Cas pratique : Construire et tester 3 playbooks IR automatisés (Email, Malware, Lateral Movement)
Distinguer les embeddings statiques des embeddings contextuels
Construire un pipeline RAG complet : chunking, indexation, stockage vectoriel, retrieval
Implémenter un RAG pour l'analyse CTI (indexer des rapports de menaces)
Identifier les risques sécurité : RAG poisoning, injection de données
Construire un chatbot CTI interne basé sur RAG
Enrichir le chatbot avec des documents CTI et threat reports
Tester et valider les réponses du modèle
Comprendre la différence : chatbot simple vs. agent conversationnel
Implémenter la gestion du contexte de conversation multi-turns
Développer un agent CTI autonome pour l'analyse de menaces
Identifier les risques sécurité : injection via l'historique, exfiltration d'infos
Construire la mémoire persistante de manière sécurisée
Tester la robustesse et les limites de l'agent
Valider les hallucinations et les faux positifs
Comprendre la boucle agentique (perception → action → feedback)
Développer un agent de sécurité autonome : Agent d'analyse de logs, Agent de triage d'incidents, Agent de threat intelligence
Maîtriser l'orchestration : agents, chaînes (chains), et outils externes
Observer, déboguer et auditer les décisions de l'agent en temps réel
Appliquer les principes de sécurité by design
Implémenter les guardrails et contrôles
Agent Triage d'Incidents Autonome : reçoit alerte → détermine type → collecte preuves → enrichit contexte → estime sévérité → crée ticket → notifie
Agent d'Analyse Forensique Autonome : analyse logs → génère timeline → identifie IoCs → extrait artefacts → formule hypothèses
Monitoring & Auditabilité : tracer chaque décision, permettre aux analysts de contester, feedback loop, alerter patterns inhabituels
Cas pratique : Implémenter un agent triage autonome et l'évaluer sur 50 incidents synthétiques
Concevoir une architecture multi-agents : orchestrateur central + agents spécialisés
Définir les protocoles de communication inter-agents
Construire un Web Security Analyzer Agent coordonnant plusieurs outils
Développer un Threat Model Agent générant automatiquement des threat models
Créer un système d'analyse de malwares multi-agents
Identifier les risques multi-agents : consistency, conflicts, cascading failures
Orchestrer la collaboration et éviter les deadlocks
Incident Response Orchestrator : dépêche agents en parallèle (Log Analyzer, EDR Hunter, Threat Intel, Impact Assessor, Remediation Planner, Conversational CTI)
Communication inter-agents : partage IoCs, enrichissement contexte, synthèse unified playbook
Cas d'usage complexes : incidents multi-vecteurs, attaques supply chain, campaigns APT
Parallélisation & Efficiency : réduire MTTR via exécution parallèle, chaque agent se concentre sur sa spécialité
Cas pratique : Orchestrer une réponse multi-agents sur un incident APT complet (3-4 heures)
Identifier et classifier les défauts des LLMs et systèmes agentic
Comprendre les menaces spécifiques : prompt injection, jailbreaking, hallucination
Découvrir le OWASP Top 10 for LLMs et MITRE ATLAS framework
Hardener les systèmes agentic : guardrails, validation, sanitization
Monitorer les LLMs et agents en production (logging, observability)
Implémenter Model Context Protocol (MCP) de manière sécurisée
Mettre en place une gouvernance IA : policies, compliance, risk management
Détecter et réagir aux attaques contre les agents : attacker injecte prompt → agent exécute actions non désirées → logs détectent anomalie → alerte & quarantine → rollback
Auditer les décisions des agents : chaque action est loggée, analyst peut retracer et vérifier, corriger faux positifs
Sécuriser l'incident response orchestrator : ensemble restreint d'agents, approbation humaine pour actions destructrices, whitelisting outils, secrets sécurisés
Governance : définir policies, compliance audit, risk management, test adversarial
Cas pratique : Auditer les logs d'un agent IR qui a commis des erreurs et corriger le guardrail
Évaluer et benchmarker les systèmes agentic SOC (CyberSOCEval, SOAR metrics)
Mesurer l'impact : réduction de la fatigue d'alerte, MTTD/MTTR, FPR
Analyser les trade-offs coûts/bénéfices des solutions IA
Calculer le ROI des systèmes agentic vs. manuels
Définir les KPIs et métriques de succès
Mettre en place une gouvernance et compliance IA
Planifier la scalabilité et l'évolution
Projet capstone : Construire un SOC augmenté par l'IA complet (logs → SIEM → EDR → M365 → SOAR → Agents IA)
Red Team vs. Détections IA : Validation réelle contre adversary emulation
CTF-style SOC challenges : Scénarios réalistes progressifs
Roadmap : Construire votre propre SOC de nouvelle génération
Cas #1 - APT Campaign : phishing → triage → investigation multi-agents → identification threat actor → orchestration réponse → rapport final (6-8h)
Cas #2 - Insider Threat : comportement anormal → investigation multi-endpoints → impact assessment → containment → forensiques (6-8h)
Cas #3 - Ransomware : détection temps réel → isolation immédiate → investigation vecteur initial → recovery → amélioration défenses (4-6h)
Cas #4 - Cloud Infrastructure : OAuth apps malveillantes → investigation logs → identification données affectées → remediation → audit (4-6h)
Métriques & Feedback : MTTD/MTTR before/after, qualité rapports, FPR/FNR, satisfaction, roadmap amélioration
Une passion comune
Hamza Kondah, fondateur de Hexadream Academy, partage sa passion pour la cybersécurité depuis plus de douze ans à travers des webinars, des sessions de formation et des interventions diverses.
Après avoir dispensé des centaines de formations, développé une quarantaine de modules e-learning et acquis une solide expertise en tant qu’ingénieur en cybersécurité sur divers projets, il fonde Hexadream.
L’objectif principal ? Rendre une formation de qualité accessible au plus grand nombre.