Devenir premier répondant en Réponse aux cyberincidents 2026
About this Event
Devenez Premier Répondant en Réponse aux Cyberincidents !
Détecter une menace ne suffit pas ; c’est votre rapidité à poser les bons gestes au bon moment qui protègeront votre organisation. Cette formation intensive de 3 jours (21 heures) en présentiel vous plonge au cœur de l’action pour vous doter d’une véritable expertise opérationnelle en réponse aux incidents (IR).
Ce que vous allez maîtriser
- Le cycle de vie complet de l’incident : de la détection au retour à la normale, en appliquant des cadres d’intervention reconnus (NIST/SANS).
- La neutralisation des menaces critiques : rançongiciels, attaques DDoS, hameçonnage ciblé, fuites de données (Dark Web) et menaces internes, harponnage, ingénierie sociale, infection par des maliciels et bien d’autres encore.
- Les réflexes légaux et techniques : préserver les preuves numériques de façon défendable et coordonner efficacement les gestionnaires de crise et les fournisseurs.
- L’action immédiate grâce aux playbooks : appliquer des méthodologies d’endiguement et d’éradication éprouvées sur des centaines de cas réels.
Une approche axée sur le terrain
Au-delà de la théorie, préparez-vous à des ateliers pratiques immersifs. Vous serez amené à effectuer des copies miroirs, à analyser dynamiquement des maliciels, à enquêter sur des compromissions de courriels (BEC) et à décortiquer des études de cas de rançongiciels réels.
Informations générales
- Durée totale — Environ 21 heures, réparties sur 3 jours
- Format — Formation présentielle
- Alternance de présentations théoriques
- Démonstrations techniques
- Retours d’expérience terrain
- Ateliers pratiques encadrés
Public cible
Conçue pour les analystes SOC/CERT, les équipes TI/Sécurité et les responsables cybersécurité qui veulent être opérationnels immédiatement.
Prérequis
- Connaissances de base en systèmes d’information et réseautique
- Notions générales en cybersécurité
- Aucune expertise avancée en enquête numérique requise
Objectif pédagogique global
À l’issue de la formation, les participants seront capables d’intervenir efficacement lors d’un cyberincident, en appliquant un cadre reconnu de réponse aux incidents, des méthodes défendables et des méthodologies adaptées aux situations réelles rencontrées en organisation.
Méthodes pédagogiques
- Présentations structurées
- Démonstrations techniques en direct
- Études de cas inspirées d’incidents réels
- Ateliers pratiques encadrés pas à pas
- Discussions ouvertes et retours d’expérience terrain
Inclus
- 1 billet Hackfest (conférences, villages, Beginner CTF, etc.)
- Nourriture (dîner et café)
Non inclus
- Billet CTF
Logistique
- Matériel: BYOD (Bring your own device).
Syllabus du cours
Jour 1 – Fondamentaux de la réponse aux incidents
Introduction (30 minutes)
- Présentation du cours, des objectifs et du déroulement
- Présentation des formateurs et des participants
- Alignement sur le vocabulaire et les attentes
Module 1 – Fondamentaux de la réponse aux incidents (4h)
- Différence entre événement de sécurité et incident
- Rôles SOC / CERT / DFIR
- Acteurs clés : breach coach, assureurs, firmes externes
- Réponse interne vs firme externe (avantages / inconvénients)
- Cycle de réponse aux incidents (NIST, SANS)
- Incident vs enquête numérique
- Préservation et acquisition de preuves numériques
- Chaîne de possession de la preuve et erreurs fréquentes
- Prise de notes défendable à des fins légales
- Présentation des playbooks de réponse aux incidents
- Atelier — réalisation d’une copie miroir avec prise de notes manuelle
Module 2 – Attaques DDoS / DoS (1h)
- Définition et principes des attaques DoS et DDoS
- Vecteurs d’attaque courants et typologies
- Stratégies d’endiguement, d’investigation et de mitigation
- Coordination avec les fournisseurs et les ISP
- Utilisation de NetFlow et des données réseau
- Application d’un playbook DDoS
Module 3 – Harponnage et ingénierie sociale (1h30)
- Définition et mécanismes psychologiques utilisés
- Vecteurs : courriel, vishing, smishing
- Impacts organisationnels
- Endiguement et investigation
- Mesures de mitigation et d’éradication
- Utilisation d’un playbook dédié
Jour 2 – Menaces techniques majeures
Module 4 – Hameçonnage (1h)
- Analyse d’un courriel de phishing
- Vecteurs et scénarios usuels
- Endiguement, investigation et mitigation
- Playbook phishing
- Atelier — analyse complète d’un courriel de phishing
Module 5 – Atteinte à la réputation (1h)
- Usurpation de marque
- Hameçonnage ciblant les clients
- Défacement de site web
- Gestion de l’endiguement et de la communication
- Playbook associé
Module 6 – Maliciels (2h)
- Vecteurs d’infection courants
- Analyse dynamique vs rétro-ingénierie
- Artefacts OS : registre, services, autoruns
- Analyse des journaux système
- Utilisation des IOC
- Stratégies d’endiguement et d’éradication
- Playbook pour postes, serveurs, téléphones et réseau
- Atelier — analyse dynamique d’un maliciel
Module 7 – Rançongiciels (3h+)
- Vecteurs d’entrée
- Mouvements latéraux
- Processus de chiffrement
- Exfiltration de données
- Gestion de crise et communication
- Négociation et prise de décision stratégique
- Restauration vs déchiffrement
- Playbook rançongiciel
- Atelier — étude de cas réel de ransomware (simplifié)
Jour 3 – Incidents complexes et organisationnels
Module 8 – Fuite d’information (3h)
- Fuites volontaires et involontaires
- Menace interne vs acteur externe
- Vecteurs : courriels, USB, photos, canaux covert
- Impact réputationnel et opérationnel
- Playbook fuite de données
- Atelier — introduction et exploration du Dark Web
Module 9 – Compromission d’un tiers (1h)
- Enjeux de dépendance et de responsabilité
- Coordination et communication inter-organisation
- Introduction au protocole SIFMA
- Endiguement et investigation
- Playbook fournisseur
Module 10 – Menace interne (1h)
- Contraintes légales et RH
- Préservation de la preuve
- Méthodes d’investigation défendables
- Référence aux procédures type Anton Piller
- Playbook menace interne
Module 11 – Compromission (3h)
- Compromission d’identité
- Compromission de comptes courriel (BEC)
- Compromission de services ou d’applications
- Vecteurs usuels
- Endiguement, investigation et mitigation
- Playbook compromission
Atelier — investigation d’une compromission de boîte courriel
---
Biographie
Jean-François Brouillette
La carrière de Jean-François a débuté dans la gestion de systèmes informatiques il y a un peu plus d’une dizaine d’années avant de se spécialiser en cybersécurité. Il a passé quelques années à agir à titre de consultant et à répondre à des situations de crises à travers le monde dans des organisations d’envergures lors de cyberattaques. Jean-François s’est ensuite joint à l’équipe de la Banque Nationale du Canada afin d’appuyer leur équipe de cyberdéfense et aider à faire progresser la pratique de réponse aux cyberincidents. Fondateur de Cyber Formation Québec, il désire promouvoir le partage de connaissance en cybersécurité avec les passionnés et l'ensemble des professionnels en TI en fournissant du contenu francophone de qualité."
Where is it happening?
Event Location & Nearby Stays:
CAD 1724.70



















