Maîtriser le cycle d’incident response NIST SP 800-61 (préparation, détection, analyse, containment, eradication, recovery, lessons learned), les techniques forensic de base (chain of custody, acquisition d’image disque/mémoire, timeline analysis), Volatility, Autopsy, FTK Imager. Tout pour la PBQ Security+ et un poste analyste IR.
📍 À lire d’abord : Pilier Security+ SY0-701 · Home lab Security+.
Introduction
Incident response (IR) et forensic numérique sont au cœur du domaine 4 Security Operations (28 % du Security+). C’est aussi le métier le plus demandé en 2026 dans les SOC ouest-africains : analyste IR junior 600 000-900 000 FCFA, expert forensic 1 200 000-1 800 000 FCFA. Ce tutoriel construit la méthodologie NIST + outils open-source (Volatility, Autopsy, FTK Imager).
Prérequis
- Lab Security+ avec Kali + Windows.
- Compréhension Linux et Windows admin.
- Niveau intermédiaire.
- Temps : 3 heures.
Étape 1 — Le cycle NIST SP 800-61 Rev. 2
Sept phases, à connaître par cœur.
1. Preparation : runbooks, équipe IR, outils, communications, exercices
2. Detection & Analysis : alerter (SIEM, EDR), confirmer l'incident, classifier severity
3. Containment : court-terme (isoler), long-terme (image avant rebuild)
4. Eradication : éliminer la cause root (malware, comptes compromis, vulns)
5. Recovery : restaurer services, monitorer, valider
6. Post-Incident Activity : lessons learned meeting dans les 2 semaines
(parfois numéroté 7. Reporting selon source)
À l’examen, ordre testé. Si question : « Après détection d’un ransomware, quelle est la première étape ? » → Containment (isoler la machine du réseau pour stopper la propagation).
Étape 2 — Préparation : runbooks et équipe
L’équipe IR (ou CSIRT) typique :
Incident Commander : décide, escalade, coordonne
Forensic Analyst : acquisition + analyse technique
Communication Lead : interne (direction, employés) + externe (client, presse, autorité)
Legal/Compliance : obligations réglementaires (GDPR, lois nationales)
Recovery Lead : restauration des services
Threat Intel : contextualise avec menaces connues (TTP, IOC)
Runbooks (procédures) à préparer : Ransomware, Phishing, Compromise de compte, DDoS, Insider threat, Data breach. Chaque runbook décrit les étapes, escalations, contacts.
À l’examen : retenir que la préparation est ce qui sépare un incident bien géré (1-2 jours) d’un désastre (semaines de crise).
Étape 3 — Détection : SIEM, EDR, signaux
Sources de détection courantes :
SIEM : Splunk, Elastic SIEM, Microsoft Sentinel, Wazuh (open-source)
Aggregate logs + corrélation + alerting
EDR : CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint
Détection comportementale endpoint
NDR : Network Detection and Response (Vectra, Darktrace, ExtraHop)
NetFlow logs : iptables, pfSense, Cisco NetFlow
Anti-malware : Windows Defender, ESET, Sophos
User reports : phishing reporté par employé (souvent 1ère détection !)
Threat intel : feeds IOC (MISP, AlienVault OTX, Recorded Future)
À l’examen : connaître MTTR, MTTD (Mean Time To Detect — un IBM 2024 report indique moyenne 204 jours ! La rapidité de détection est l’enjeu).
Étape 4 — Containment : court terme
L’objectif est limiter l’impact pendant qu’on enquête.
Isolation réseau : déconnecter la machine du LAN (couper câble, désactiver Wi-Fi)
Ne PAS éteindre (perd la mémoire RAM, précieuse en forensic)
Désactiver compte : disable user dans AD si compromis
Bloquer IOC : ajouter IPs/domaines/hash au firewall et EDR
Isoler segment : VLAN entier si propagation suspectée
Capture flux : Wireshark pour observer le trafic suspect avant containment complet
Décision critique : containment court terme (rapide, sale) vs long terme (propre mais plus lent). Pour un ransomware, court terme prime.
Étape 5 — Forensic : chain of custody
La chain of custody documente qui a manipulé une preuve, quand, comment. Sans chain of custody, les preuves ne sont pas recevables en justice.
Document standard :
- Timestamp début + fin de chaque manipulation
- Identité de la personne (nom, fonction, signature)
- Action effectuée (acquisition, transport, analyse)
- Hash SHA-256 de l'image avant et après chaque action (preuve d'intégrité)
- Stockage sécurisé entre étapes (coffre, logs accès)
Toute manipulation hors chain = preuve invalidée. C’est pourquoi on n’enquête JAMAIS sur le système original — on travaille sur une copie forensique vérifiée.
Étape 6 — Acquisition d’image : disque et mémoire
Acquisition disque avec FTK Imager (Windows) :
1. Connecter disque cible via write-blocker (matériel : Tableau, CRU, Wiebetech)
2. Open FTK Imager > File > Create Disk Image
3. Source = physical drive
4. Destination = .E01 format avec compression et hash
5. Lancer (~1h pour 1 To)
6. Vérifier hashes SHA-256 source et destination identiques
Acquisition mémoire RAM (volatile, prioritaire) :
# Sur Windows, avec WinPmem (gratuit)
winpmem.exe --output memory.aff4
# Sur Linux, avec LiME (kernel module)
sudo insmod lime.ko "path=memory.lime format=lime"
Mémoire vive contient : processus en cours, connexions réseau, clés de chiffrement, malware in-memory (souvent invisibles sur disque). Prioritaire avant containment qui éteint la machine.
Étape 7 — Analyse forensic avec Volatility
Volatility 3 est l’outil de référence pour analyser un dump mémoire.
# Installer Volatility 3 sur Kali
pip3 install volatility3
# Identifier l'OS du dump
vol -f memory.lime windows.info
# Lister les processus
vol -f memory.lime windows.pslist
# Connexions réseau actives
vol -f memory.lime windows.netscan
# Détecter rootkits / hidden processes
vol -f memory.lime windows.malfind
# Lister les DLL chargées d'un processus
vol -f memory.lime windows.dlllist --pid 1234
# Hashes des passwords stockés
vol -f memory.lime windows.hashdump
Workflow IR typique : pslist pour processus suspects → netscan pour C2 connections → malfind pour code injecté → dumpfiles pour extraire le malware.
Étape 8 — Analyse forensic disque avec Autopsy
Autopsy (gratuit, basé sur The Sleuth Kit) est l’équivalent open-source de FTK / EnCase.
1. Lancer Autopsy depuis Kali (autopsy CLI ou GUI)
2. New Case > saisir métadonnées
3. Add Data Source > Disk Image (.E01 ou .dd)
4. Cocher modules : File Type Identification, Hash Lookup (NSRL), Embedded File Extraction,
EXIF Parser, Keyword Search, Web Activity, Recent Activity, Email Parser
5. Run ingest, attendre 30-60 min selon taille
6. Naviguer dans Tree : Web History, Recent Files, Deleted Files, Timeline
Outputs précieux : artifacts utilisateur (historique navigateur, fichiers récents, USB connectés), timeline globale (toutes les activités triées par horodatage), fichiers supprimés (récupérables si pas écrasés).
Étape 9 — Timeline analysis
La timeline reconstruit la chronologie de l’incident en croisant tous les artefacts.
Sources : MFT NTFS (création/modification fichiers), Event Logs Windows (logon/logoff), browser history, Prefetch (programmes exécutés), Registry hives (USB plugins, MRU).
Outils : log2timeline / plaso (Python, génère super-timeline CSV de ~millions d’événements), Timesketch (UI web pour explorer plaso output).
# Plaso super-timeline depuis image disque
log2timeline.py timeline.plaso disk.E01
psort.py -o l2tcsv -w timeline.csv timeline.plaso
# Filtrer par fenêtre temporelle
psort.py -o l2tcsv -w incident.csv timeline.plaso "date > 'datetime > 2026-04-25 14:00:00' AND date < 'datetime < 2026-04-25 16:00:00'"
Étape 10 — Lessons learned et reporting
Dans les 2 semaines après recovery, organiser un meeting post-mortem :
1. Recap timeline incident (sans blame)
2. Ce qui a bien marché (points forts)
3. Ce qui a manqué (gaps détection, response, communication)
4. Action items avec owners et deadlines (patches, formations, runbooks à updater)
5. Mise à jour des runbooks et threat intel
Reporting externe selon obligations réglementaires : déclaration GDPR à la CNIL Sénégal sous 72h, ARTCI Côte d’Ivoire pour les opérateurs télécom, etc.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| Éteindre la machine compromise | Perd la RAM, faire dump mémoire AVANT containment |
| Travailler directement sur le disque source | Toujours sur copie image avec write-blocker |
| Ne pas documenter chain of custody | Preuves invalidées en justice |
| Lessons learned remis à plus tard | Toujours dans les 2 semaines, sinon oubli des détails |
| Communiquer publiquement avant containment | Coordonner avec Legal et Communication leads |
Adaptation au contexte ouest-africain
Banques régionales : équipe SOC interne ou MSSP (Managed Security Service Provider) externe pour 24/7. Plusieurs banques sous-traitent l’IR à Atlantique IT, Avizo, Wari, ou cabinet international.
ESN cybersec qui veulent ajouter une offre IR : équipe minimum 3 analystes + 1 forensic + 1 incident commander. Outils gratuits : Wazuh + Volatility + Autopsy. Investissement initial 1-2 millions FCFA pour matériel et formation.
Centres de formation : exercice tabletop type Cyber Range avec scénario ransomware ou phishing en équipes de 4-5 étudiants joue un rôle pédagogique majeur. Préparation Security+ + employabilité immédiate.
FAQ
Faut-il être expert forensic pour le Security+ ?
Non, on teste les concepts (cycle NIST, chain of custody, types de preuves). Les détails techniques Volatility/Autopsy sont pour CySA+ ou GCFE.
Combien de temps pour résoudre un incident type ?
Phishing : 4-8 heures. Compromission compte : 1-2 jours. Ransomware : 1-4 semaines (recovery long). Breach majeur : 1-6 mois.
Open-source ou commercial pour forensic ?
Open-source (Volatility, Autopsy, plaso) couvre 80 % des besoins. Commercial (FTK, EnCase, X-Ways) recommandé pour judiciaire avec rapport pro.
Pour aller plus loin
- 🔝 Pilier Security+ SY0-701
- ⬅️ Tous les tutoriels Security+ : Home lab · Cryptographie · Risk management · IAM · Sécurité réseau
- ➡️ Pour aller plus loin technique : CySA+ (analyste senior) ou GCIH (SANS, plus cher mais excellent).
- Documentation : NIST SP 800-61 Rev. 2 (gratuit), Volatility docs, Autopsy docs.
Mots-clés : incident response NIST 800-61, chain of custody, FTK Imager, Volatility memory forensic, Autopsy disk forensic, plaso timeline, lessons learned, SOC analyste IR.
Approfondissement et cas pratiques
Études de cas réelles ouest-africaines
Cas 1 — Banque régionale, Dakar, 2024. Une banque de niche sénégalaise avec 12 agences et 350 employés a subi une intrusion par phishing ciblé d’une assistante de direction. Le compte compromis avait des droits étendus sur le SI bancaire faute de RBAC granulaire. L’attaquant a fait du lateral movement en 6 heures, exfiltré 25 Go de données clients, et activé un ransomware qui a chiffré 60 % des serveurs. Coût de l’incident : 1,2 milliards FCFA en remédiation, perte d’image, amendes ARTP, indisponibilité 11 jours. Leçons appliquées post-incident : MFA obligatoire (Conditional Access), Zero Trust segmentation, EDR sur tous endpoints, exercices phishing trimestriels, séparation des privilèges admin avec PIM.
Cas 2 — Opérateur télécom, Abidjan, 2025. Un opérateur ivoirien a découvert lors d’un audit annuel ISO 27001 que 40 % de ses serveurs Linux n’avaient pas été patchés depuis 18 mois. Un scan Nessus a révélé 1 200 CVE haute criticité dont 18 actuellement exploitées (tracées dans CISA Known Exploited Vulnerabilities). Plan de remédiation 90 jours : déploiement Ansible pour patching automatisé, fenêtre maintenance hebdomadaire, KPI patch cadence reportée mensuellement à la direction.
Cas 3 — Fintech, Lomé, 2024. Une fintech togolaise opérant sur 5 pays UEMOA a déployé une architecture Zero Trust dès sa création : MFA pour 100 % des employés, ZTNA en remplacement de VPN, micro-segmentation Kubernetes, vérification continue de la posture des devices via Microsoft Intune. Résultat : 0 incident sécurité en 24 mois, conformité PCI DSS validée du premier coup, baisse de 70 % du temps d’onboarding employé.
Cinq scénarios PBQ type examen détaillés
PBQ 1 : Configurer un firewall ACL. Tu as 10 règles à classer dans le bon ordre dans une UI drag-and-drop. La règle d’or : les règles les plus spécifiques d’abord, deny global en dernier. Block trafic Tor exit nodes en haut, allow flux internes connus, deny implicit any en fin.
PBQ 2 : Classifier un incident. On te présente 5 alertes SIEM. Tu dois les ranger par criticité (Critical / High / Medium / Low) en suivant le framework NIST. Critical = exfiltration confirmée + données sensibles. High = malware détecté avec persistence. Medium = scan réseau récurrent. Low = brute force basique sans succès.
PBQ 3 : Implémenter Zero Trust. Tu as une architecture legacy avec VPN + Active Directory + apps on-prem. On te demande quelles 5 décisions architecturales prendre pour migrer Zero Trust. Réponse : ZTNA replace VPN, MFA partout, identity-based segmentation, continuous verification, least-privilege RBAC.
PBQ 4 : Configurer un risk register. Tableau Excel à compléter avec 6 risques pré-listés. Tu dois calculer ALE pour chacun (AV × EF × ARO), choisir stratégie traitement (Mitigate/Transfer/Accept/Avoid), et assigner risk owner. Le calcul ALE est testé directement.
PBQ 5 : Forensic chain of custody. Scénario incident, tu dois ordonner 8 actions chronologiquement. La séquence canonique : isolate machine (pas éteindre), capture RAM avec FTK Imager, capture disque avec write-blocker, hash SHA-256 pour chaque image, signer formulaire chain of custody, transporter au labo, faire copie travail, analyser uniquement la copie.
Architecture défensive de référence pour PME africaine
[Internet] → [pfSense FW + Suricata IDS] → [DMZ : web public, mail]
→ [LAN segmenté]
├── VLAN-Data (postes utilisateurs)
├── VLAN-Voice (téléphonie IP)
├── VLAN-Mgmt (admin réseau)
├── VLAN-IoT (caméras, imprimantes)
└── VLAN-Invité (Wi-Fi visiteur)
Identités : Microsoft Entra ID + MFA + Conditional Access + PIM pour admins
Endpoints : Microsoft Defender for Endpoint sur tous postes + serveurs
Backup : Azure Backup GRS + immutability storage (rétention 30j daily, 12 mois mensuel)
Monitoring: Wazuh SIEM agrégant logs FW + endpoints + AD + apps métier
Dashboard live + alertes critiques routées vers SOC
Coût standard PME 50 employés : 8-15 millions FCFA/an tout compris
Cette architecture couvre les contrôles ISO 27001:2022 majeurs et permet de passer un audit PCI DSS niveau 2 sans investissement matériel additionnel au-delà du firewall et serveur de logs.
Compliance et conformité régionale 2026
Sénégal : loi 2008-12 sur la cybercriminalité (sanctionne accès non autorisé à un système informatique jusqu’à 7 ans de prison), loi 2008-08 sur les transactions électroniques, code des communications électroniques. CDP (Commission de Protection des Données) supervise traitements de données personnelles, déclaration obligatoire sous 72h en cas de breach affectant données nominatives.
Côte d’Ivoire : loi 2013-451 sur la cybercriminalité, ARTCI (Autorité de Régulation des Télécommunications) audite obligatoirement les opérateurs et plateformes financières. Sanctions jusqu’à 100 millions FCFA + 5 ans prison.
UEMOA / CEDEAO : règlement 08/2013/CM/UEMOA sur la protection des données personnelles, Acte additionnel A/SA.1/01/10 sur la lutte contre la cybercriminalité. Reconnaissance mutuelle des décisions judiciaires entre 8 pays UEMOA et 15 pays CEDEAO.
International applicable : RGPD pour toutes les données de citoyens UE (extraterritorialité), PCI DSS v4.0 obligatoire pour tout processeur de paiement carte (Wave, Orange Money, banques), HIPAA pour santé numérique avec patients américains.
Pour un poste d’analyste GRC ou compliance officer en banque africaine, maîtriser au minimum : ISO 27001, PCI DSS, RGPD, et la réglementation nationale (CDP/ARTCI) est requis.
Plan de carrière post-Security+ détaillé
0-6 mois post-cert : décrocher un poste analyste SOC L1 dans une banque régionale, opérateur télécom, ou ESN cybersec (Wari, NSIA Tech, Atlantique IT, Avizo, Smart Africa). Salaire de départ 500 000-700 000 FCFA. Activités : monitoring SIEM 24/7 en équipes tournantes, triage d’alertes, rédaction de tickets, escalade L2.
6-18 mois : monter en compétence sur l’investigation, suivre formation CySA+ (CompTIA Cybersecurity Analyst) ou GCIH (SANS GIAC). Salaire 700 000-1 000 000 FCFA. Activités : threat hunting, analyse forensic basique, contribution aux runbooks, formation des nouveaux L1.
18-36 mois : pivoter selon affinité — pentest (CEH puis OSCP), analyste senior (CySA+ puis GCIH), architecture (CISSP). Salaire 1 200 000-1 800 000 FCFA. Possibilité de remote pour clients européens via plateformes comme Toptal ou Malt.
36+ mois : positions de management (CISO adjoint, responsable SOC), consultant senior indépendant, ou freelance international. Salaire 2 000 000-4 000 000 FCFA si en local, 4-8 millions FCFA en remote international.
Évolution alternative — entrepreneur : créer son cabinet d’audit cybersec ou MSSP (Managed Security Service Provider) régional. Investissement initial 5-15 millions FCFA, rentabilité dès la 2e année avec 4-6 clients PME récurrents. Modèle qui se développe rapidement à Dakar et Abidjan en 2026.
Outils complémentaires recommandés
Pour le SOC analyst : Wazuh (SIEM open-source gratuit, alternative à Splunk pour PME), TheHive (case management open-source), MISP (threat intelligence sharing), VirusTotal Enterprise, Shodan Membership.
Pour le pentester : Burp Suite Pro (450 USD/an), Cobalt Strike (alternative open-source : Sliver, Havoc), Bloodhound (mapping AD), Responder (LLMNR/NBT-NS poisoning).
Pour le compliance : Vanta ou Drata (automation SOC 2 / ISO 27001), Rapid7 InsightVM (vulnerability management), Tenable.io (alternative).
Pour la formation continue : SANS Cyber Aces (gratuit), Cybrary (gratuit + premium 60 USD/mois), TryHackMe (14 USD/mois), Blue Team Labs Online.