Diagnostic

Lorsqu'un incident de sécurité survient, il est crucial de comprendre rapidement l'étendue des dommages. 

Nous procédons à une évaluation initiale détaillée, visant à identifier les systèmes, les données et les processus affectés.
Cette analyse permet de déterminer si l'incident concerne uniquement un sous-ensemble de l'infrastructure ou s'il touche l'ensemble de l'organisation.

Premières analyses

L’analyse de preuves passe par l'exploitation des logs du pare-feu, des serveurs et des équipements réseau pour repérer les anomalies. Ces journaux permettent de retracer les activités suspectes, telles que des connexions non autorisées, des tentatives d'accès aux données sensibles, ou des transferts inhabituels de fichiers.

Malheureusement, d’expérience, il est courant que la rétention (Temps d’enregistrement des informations) des logs ne dépasse pas quinze jours la plupart du temps. Pour cette raison précise il est conseillé de mettre en place un « Collecteur », garantissant une rétention de log acceptable pour la plupart des petites entreprises qui en cas d’attaque permettra d’avoir à minima les informations nécessaires pour une traçabilité efficace. 

Nous utiliserons aussi des outils pour prélever, capturer et analyser les flux réseau des systèmes compromis avant et après leur isolement. Cela permet de comprendre comment la menace se déplace, si des communications externes sont en cours, et quelles informations ont pu être exfiltrées.

Sur les systèmes isolés, des captures de flux et des processus peuvent être nécessaires pour inspecter les processus et services actifs et identifier ceux qui ne devraient pas être en cours d'exécution.

Nous analyserons aussi les fichiers et répertoires à la recherche de modifications récentes (création, suppression, ou altération).
Un timeline sera édité depuis la date de compromission avec les preuves prélevées et les analyses correspondantes de chaque « objet » de l’infrastructure. Tous les prélèvements seront listés et signés techniquement afin de garantir l’intégrité de celles-ci.

Une cartographie des systèmes d’exploitation est réalisée, ainsi que les applications installées et leurs statuts de mise à jour.
Cette analyse permet de déterminer si l'incident est lié uniquement un sous-ensemble de l'infrastructure ou s'il touche l'ensemble de l'organisation. Nous examinons les signes d'intrusion, les failles exploitables, ainsi que la nature et l'origine de la menace possible (virus, ransomware, phishing, etc.). L’objectif est de fournir une vision claire et précise des impacts opérationnels, financières et juridiques potentielles.

Afin de prioriser les actions de réponse et de limiter les interruptions de service, en évaluant le tout depuis les premiers instants, nous garantissons une limitation des pertes afin de préserver la continuité de votre activité.