Réponse à incident
Cybersécurité — Assistance & réponse à incident
Ransomware, compromission de messagerie, exfiltration de données : nous intervenons directement, sans sous-traitance, pour diagnostiquer, contenir, éradiquer et restaurer votre activité. Support prioritaire ; 24/7 sur devis.
Ce que nous faisons en cas d’attaque
- Diagnostiquer rapidement l’incident : périmètre, vecteur, chronologie, systèmes impactés.
- Isoler et contenir : segmentation, blocage comptes/flux, arrêt contrôlé des services compromis.
- Éradiquer : suppression charges malveillantes, assainissement endpoints/serveurs, chasse aux persistences.
- Restaurer l’activité : priorisation métiers, récupération depuis sauvegardes intègres, vérifications post-restauration.
- Mettre en place des correctifs : MFA, durcissements, patchs, EDR/antivirus, durées de rétention adaptées.
- Préserver les preuves : collecte journaux/artefacts, horodatages, conservation pour assurance/autorités.
Objectif : Limiter l’impact, réduire le temps d’arrêt, sécuriser la reprise.
Supervision & alertes
Surveillance 24/7 des indicateurs critiques, alertes corrélées, playbooks d’escalade clairs.
Durcissement
MFA partout, segmentation réseau, durcissement AD/Azure AD, politique de patching et de droits minimaux.
PRA & sauvegardes
Plans de reprise, sauvegarde off-site chiffrée, tests de restauration réguliers, rétention adaptée aux menaces.
Processus d’intervention (6 étapes)
- Qualification — point de contact, périmètre, criticité, premières mesures d’urgence.
- Investigation — collecte journaux, triage, hypothèses et preuves.
- Containment — isolement des segments/actifs à risque, contrôle des identités/jetons.
- Remédiation — éradication, correctifs, durcissements.
- Restauration — reprise progressive des services et validation métier.
- Leçons apprises — rapport, plan d’amélioration, priorisation des chantiers.