Détection et remédiation d'attaques
Code UE : CYB201-PAR
- Cours + travaux pratiques
- 6 crédits
- Volume horaire de référence
(+ ou - 10%) : 50 heures
Responsable(s)
Vania CONAN
Public, conditions d’accès et prérequis
bases des réseaux IP (RSX101), urbanisation services en réseau (RSX103), sécurité des réseaux (RSX112), virtualisation (SMB111)
Objectifs pédagogiques
Cette formation vise dans un premier temps à donner des éléments de compréhension des principes de détection des attaques, puis à fournir des éléments concrets concernant la mise en place des logiciels de détection et de définir les stratégies de réponses aux incidents. La formation fournit les méthodes et les outils pour définir et implémenter des stratégies efficaces de protection et de réponses aux incidents de sécurité.
Compétences visées
Compétences acquises :
- Comprendre les enjeux de la détection d’une attaque
- Connaître les avantages et limites des différents algorithmes de détection
- Connaître les stratégies de réponses aux incidents
- Identifier les éléments à mettre en place dans un SOC
- Savoir mettre en œuvre des SIEM, EDS, IDS
- Mettre en œuvre ELASTIC Endpoint Security, Snort, ZEEK, SURICATA, Bro
Contenu
Cet enseignement prépare l’auditeur à détecter et à répondre aux différents types d’attaques de sécurité informatique.
Ce cours débute par la présentation des différentes menaces auxquelles est exposé un système d’information, pose les bases méthodologiques de l’analyse en partant d’un modèle de chaîne d’attaque (Cyber Kill Chain). Le cours présente ensuite les différentes approches de détection des attaques, par signature ou par détection d’anomalies ainsi que différentes familles d’algorithmes associés. Le cours conclut avec les stratégies complètes de détection et de réponse aux incidents dans les réseaux et les environnements virtualisés.
Les principaux sujets traités sont :
Principes
Présentation de la menace, des canaux de contrôle, du profil d’une Attaque
Principe d’une chaîne d’attaques (Cyber Kill Chain)
Principes de détection d’attaques
Systèmes Experts de détection par règles, par signature (Snort et Bro) et détection d’abus et d’anomalies
Approches supervisées pour la détection d’attaque
Application des réseaux de neurones
Apprentissage machine (GNN – Graph Neural Networks)
Machines à vecteurs de support (SVM – Support Vector Machine)
Règles d’association
Méthodes ensemblistes
Approches non-supervisées pour la détection d’attaque
Détection de changement
Approches statistiques
Techniques de clustering
Détecteurs hybrides
Techniques de remédiation d'attaque
Le SOC (Security Operation Center)
Les SOAR (Security Orchestration, Automation and Response)
Les SIEM (Security Information and Event Management) : gestion de l’information des événements de sécurité
Les EDR (Endpoint Detection and Response) : détection et blocage des attaques
Les IDS (Intrusion Detection System)
Techniques d’analyse comportementale (UBA)
Ce cours débute par la présentation des différentes menaces auxquelles est exposé un système d’information, pose les bases méthodologiques de l’analyse en partant d’un modèle de chaîne d’attaque (Cyber Kill Chain). Le cours présente ensuite les différentes approches de détection des attaques, par signature ou par détection d’anomalies ainsi que différentes familles d’algorithmes associés. Le cours conclut avec les stratégies complètes de détection et de réponse aux incidents dans les réseaux et les environnements virtualisés.
Les principaux sujets traités sont :
Principes
Présentation de la menace, des canaux de contrôle, du profil d’une Attaque
Principe d’une chaîne d’attaques (Cyber Kill Chain)
Principes de détection d’attaques
Systèmes Experts de détection par règles, par signature (Snort et Bro) et détection d’abus et d’anomalies
Approches supervisées pour la détection d’attaque
Application des réseaux de neurones
Apprentissage machine (GNN – Graph Neural Networks)
Machines à vecteurs de support (SVM – Support Vector Machine)
Règles d’association
Méthodes ensemblistes
Approches non-supervisées pour la détection d’attaque
Détection de changement
Approches statistiques
Techniques de clustering
Détecteurs hybrides
Techniques de remédiation d'attaque
Le SOC (Security Operation Center)
Les SOAR (Security Orchestration, Automation and Response)
Les SIEM (Security Information and Event Management) : gestion de l’information des événements de sécurité
Les EDR (Endpoint Detection and Response) : détection et blocage des attaques
Les IDS (Intrusion Detection System)
Techniques d’analyse comportementale (UBA)
Modalité d'évaluation
Contrôle continu et examen final.
Bibliographie
Cette UE apparaît dans les diplômes et certificats suivants
Chargement du résultat...
Intitulé de la formation |
Type |
Modalité(s) |
Lieu(x) |
|
|---|---|---|---|---|
Intitulé de la formation
Master Informatique Parcours Réseaux et objets connectés
|
Lieu(x)
Package
|
Lieu(x)
Paris
|
||
Intitulé de la formation
Diplôme d'ingénieur Spécialité informatique Parcours Cybersécurité
|
Type
Diplôme d'ingénieur
|
Lieu(x)
À la carte
|
||
| Intitulé de la formation | Type | Modalité(s) | Lieu(x) |
Contact
Centre(s) d'enseignement proposant cette formation
-
Paris
- 2026-2027 1er semestre : Formation à distance planifiée soir ou samedi
- 2027-2028 1er semestre : Formation à distance planifiée soir ou samedi
Comment est organisée cette formation ?2026-2027 1er semestre : Formation à distance planifiée soir ou samedi
Dates importantes
- Période des séances du 14/09/2026 au 16/01/2027
- Période d'inscription : du 01/06/2026 à 10:00 au 16/10/2026 à 17:30
- Période de 1ère session d'examen : 01/2027
- Période de 2ème session d'examen : 04/2027
Précision sur la modalité pédagogique
- Une formation à distance planifiée est une formation dispensée 100% à distance avec des regroupements 100% en ligne planifiés.
- Regroupements physiques facultatifs : Aucun
Organisation du déploiement de l'unité
- Délai maximum de réponse à une solicitation : sous 96 heures (Jours ouvrés)
Modes d'animation de la formation
- Organisation d'une séance de démarrage
- Evaluation de la satisfaction
- Hot line technique
Code UE : CYB201-PAR
- Cours + travaux pratiques
- 6 crédits
- Volume horaire de référence
(+ ou - 10%) : 50 heures
Responsable(s)
Vania CONAN