Pourquoi devriez-vous y participer ?
Cette formation vous permettra de comprendre les méthodologies d’investigation numérique sur Windows. Vous apprendrez à identifier et analyser les artefacts numériques essentiels. Vous développerez des compétences pratiques en utilisant des outils spécialisés. Cela vous préparera à mener des investigations efficaces en environnement Windows.
À qui s'adresse la formation ?
Cette formation est destinée aux :
- Informaticiens
- Techniciens systèmes
- Responsables informatiques
- Professionnels de la cybersécurité
- Toute personne souhaitant se former à l’investigation numérique sur Windows
Prérequis
Une connaissance de base de l’environnement Windows et des notions en cybersécurité sont recommandées.
Objectifs d’apprentissage
À l’issue de la formation, vous serez capable de :
- Réaliser des investigations en live forensic
- Utiliser des outils comme Active@ Disk Editor et Autopsy
- Identifier et analyser les artefacts numériques sur Windows
- Comprendre les fondamentaux de l’investigation numérique
- Appliquer des techniques d’anti-forensic pour détecter les manipulations
Programme de la formation
Première section
Présentation du cours
Deuxième section
Etat de l’art de l’investigation numérique
- Objectif du module
- Introduction et taxonomie
- Les différentes disciplines
- Signes de compromission (IOC)
- Méthodologie d’investigation
- Conclusion du module
Troisième section
Les fondamentaux Windows
- Objectifs du module
- Structure des répertoires
- Séquence de boot
- Bases de registres
- Logs et événements
- Variables d’environnement
- Services
- Volume Shadow Copy Service
- Démonstration – Montage d’un volume VSS
- Fondamentaux disque et système NTFS
- Démonstration – Analyse d’un disque avec Active@ Disk Editor
- Énoncé du TP – Analyse d’un disque avec Active@ Disk Editor
- Énoncé du TP – Questionnaire
Quatrième section
Collecte de données et artefacts
- Objectifs du module
- Principe et imaging
- Les outils d’analyse
- Live Forensic
- Démonstration – Explication d’un script PowerShell Live Forensic
- Fichiers essentiels et $MFT
- Démonstration – Plan de travail, registres, extraction et analyse de la $MFT
- Artefacts Internet
- Démonstration – Les artefacts internet
- Artefacts d’exécution
- Démonstration – Les artefacts d’exécution
- Artefacts de fichiers/dossiers
- Démonstration – Les artefacts de fichiers/dossiers
- Artefacts réseau
- Démonstration – Les artefacts réseau
- Artefacts utilisateurs
- Démonstration – Les artefacts utilisateurs
- Artefacts USB
- Démonstration – Les artefacts USB
- Artefacts fichiers supprimés
- Démonstration – Les artefacts fichiers supprimés
- Spécificités Active Directory
- Énoncé du TP – Première investigation
- Démonstration – Autopsy
- Démonstration – Kape
- Énoncé du TP – Deuxième investigation
- Conclusion du module
Cinquième section
Anti-Forensic
- Objectifs du module
- Principes de l’anti-forensic
- Les différents outils et techniques
- Démonstration – Timestomp.exe
- Énoncé du TP – Timestomp : altération de l’horodatage de la $MFT
- Conclusion du cours
Approche pédagogique
La formation combine apports théoriques et exercices pratiques pour garantir une application concrète des méthodes. Elle met l’accent sur l’interactivité et la résolution de cas réels.
Session du 5 au 9 Janvier
août 31, 2026
