PROPOSITION D’UN SYLLABUS POUR LE

COURS ISS407 & ISS402:

COMPUTER FORENSICS AND INCIDENT
RESPONSE 1&2
OBJECTIFS :
Ce cours a pour objectif principal de faire acquérir les fondamentaux du computer forensics et de
l’incident response aux apprenants. Une approche systématique sur six points sera mise en œuvre
dans le cas d’une réponse suite à un incident, à savoir la préparation, l’identification, l’endiguement,
l’éradication, le recouvrement et les leçons à tirer. La préservation des données, l’investigation
numérique et l’aspect légal sur l’investigation et la préservation des données seront aussi à l’ordre du
jour. Les travaux pratiques seront orienté dans la mesure du possible sur les systèmes d’exploitation
Linux et Windows.

COMPETENCES :
A la fin de ce cours, l’apprenant sera capable de :

 Définir les termes comme computer forensics, eDiscovery, Incident response…

 Expliquer comment préparer une investigation numérique
 Appliquer une approche systématique à l’investigation numérique
 Exprimer les besoins pour le recouvrement des données
 Décrire comment mener une investigation numérique
 Décrire le matériel de base pour la mise en place d’un laboratoire d’investigation
 Lister les différents formats de stockage de preuves numériques
 Faire usage des outils d’acquisition de données les plus rependus
 Décrire les méthodes d’acquisition RAID(Redundant array of independent disks)
 Expliquer comment faire usage des outils d’acquisition distant
 Expliquer les règles de contrôle des preuves numériques
 Lister les étapes dans la préparation de la recherche des preuves numériques
 Décrire comment sécuriser une scène de crime
 Expliquer les lignes directives pour la saisie des preuves numériques dans une scène de crime
 Lister les procédures pour la sauvegarde des preuves numériques
 Expliquer le but et la structure des systèmes de fichiers
 Décrire les logiciels disponibles dans le computer forensics
 Expliquer le processus de boot et la structure des disques dans les systèmes UNIX/LINUX
 Déterminer quelles données faut-il analyser dans une investigation numérique
 Expliquer les outils utilisés pour la validation des données
 Expliquer les techniques de dissimulation des données
 Décrire les types de fichiers numériques

Charly BENDOBAK 1
  Expliquer comment localiser et recouvrir les fichiers numériques
 Décrire comment identifier les fichiers de formats inconnus
 Expliquer l’importance des reports
 Décrire les grandes lignes de la rédaction d’un rapport
 De faire usage des outils d’investigation pour la génération d’un rapport
 Détecter un incident
 Caractériser un incident
 Remédier à un incident

CONTENU :
 DEFINITIONS DE BASE :Computers forensics, incident response …
 ROLE DE L’INVESTIGATION NUMERIQUE DANS UNE ENTREPRISE
 LA PROFESSION D’INVESTIGATEUR NUMERIQUE
 COMPREHENSION DE L’INVESTIGATION NUMERIQUE ET SES IMPLICATIONS JURIDIQUES
 MISE SUR PIED D’UN LABORATOIRE D’INVESTIGAATION
 LES OUTILS COURANT DE L’NVESTIGATION NUMERIQUE
 WINDOWS ET Ms-DOS
 PROCESSUS DU BOOT SOUS LINUX ET LA STRUCTURE DES FICHIIERS
 DETECTION ET CARACTERISATION D’UN INCIDENT
 LA COLLECTE DES DONNEES
 L’ANALYSE DES DONNEES
 LA REMEDIATION
 ETUDE DE CAS

LECTURE RECOMMENDEE :
 Bill Nelson_ Amelia Phillips_ Christopher Steuart-Guide to computer forensics and
investigations-Course Technology Cengage Learning (2010)
 Jason Luttgens, Matthew Pepe, Kevin Mandia-Incident Response & Computer Forensics-
McGraw-Hill Osborne Media (2014),Third edition.
 -Computer Forensics A Pocket Guide-IT Governance Publishing (2010)

Charly BENDOBAK 2