Ce workshop propose une immersion complète dans un scénario d’analyse forensique élaboré à partir d’un véritable cas de réponse à incident. L’objectif est de plonger les participants dans la peau d’une équipe de réponse à incident chargée de retracer l’ensemble des actions d’un attaquant ayant infiltré un réseau. Pour ce faire, les participants disposeront de plusieurs machines virtuelles à exécuter localement ou via un environnement cloud. Ils utiliseront notre serveur Velociraptor, un outil open source puissant de collecte et d’investigation, afin d’analyser les traces laissées par les intrusions et de reconstruire chaque étape de la compromission.

L’histoire se déroule autour de deux scénarios d’attaque distincts. Le premier scénario débute avec un service SSH exposé publiquement. Une fois ce service compromis, les participants devront identifier comment l’attaquant a pivoté vers le réseau interne, mené une campagne de Kerberoasting afin d’obtenir des informations d’authentification, puis escaladé ses privilèges jusqu’à atteindre le rôle de domaine administrateur. L’exfiltration des données viendra clore ce scénario, obligeant les participants à reconstituer la chronologie complète des événements et à découvrir les mécanismes de persistance utilisés.

Le second scénario, quant à lui, simule un accès initial via une campagne de phishing réussie. Après cette compromission initiale, l’attaquant progresse dans le réseau en exploitant des failles de configuration et réalise un DC SYNC, une attaque redoutable visant à extraire les secrets du contrôleur de domaine. Comme dans le premier cas, des Command & Control (C2) seront déployés pour illustrer la sophistication et la persistance des attaquants modernes. Les participants devront analyser ces traces, identifier les indicateurs de compromission et comprendre les techniques d’escalade de privilèges utilisées par l’adversaire.

Ce workshop se veut extrêmement concret et opérationnel. Il ne s’agit pas d’un simple exercice théorique, mais d’un véritable entraînement à la détection et à l’analyse d’incidents complexes. L’accent sera mis sur la capacité à relier des indices disparates pour reconstruire une attaque de bout en bout. Les participants apprendront à utiliser Velociraptor pour effectuer des analyses de journaux, identifier des anomalies, comprendre les techniques d’évasion et repérer les mécanismes de persistance. Chaque découverte permettra de compléter le puzzle et de mieux appréhender la logique de l’attaquant.

Au-delà de l’aspect technique, l’objectif est également d’insister sur la nécessité d’une approche proactive de la cybersécurité. Trop souvent, les équipes se contentent de détecter ce qui correspond à leurs attentes, négligeant les signaux faibles ou les comportements anormaux. Ce workshop mettra en lumière l’importance d’une observation fine et d’une pensée critique pour anticiper les attaques et réduire les temps de détection et de réponse.

Cet atelier s’adresse à tous les professionnels de la cybersécurité, aux équipes SOC, aux analystes forensiques et aux administrateurs système qui souhaitent renforcer leurs compétences en réponse à incident et en investigation post-mortem. En repartant, les participants auront acquis des méthodes concrètes pour analyser un environnement compromis, identifier des intrusions sophistiquées et concevoir des stratégies de défense plus efficaces.