Vous êtes victime de cyber malveillance ?
En cas d'incident de sécurité, Cyber Impact vous accompagne dans la gestion de crise et la résolution d’incident.
Notre approche repose sur une intervention rapide et efficace, afin de minimiser l’impact sur vos activités. De la détection à la remédiation, nous offrons un service complet adapté aux besoins des TPME, tout en garantissant un suivi rigoureux et des conseils pour prévenir de futures attaques.
Nous agissons principalement dans le Grand-Est et au Luxembourg : il est important de choisir un partenaire à proximité s’il faut rapidement intervenir sur site. Nous intervenons en Moselle ou dans le Bas-Rhin, dans les secteurs de Metz, Thionville, Saint-Avold, Sarreguemines, Sarrebourg, Haguenau, Strasbourg, et au Luxembourg.
Le nombre de machine composant l’infrastructure est un paramètre important. Cyberimpact se consacre majoritairement aux petites entreprises. Au-delà d’un certain nombre de machine, nous vous redirigerons vers spécialistes ayant la capacité requise pour la taille de votre entreprise.
Notre service en plusieurs étapes
De l’isolement de la menace à la restauration de vos systèmes, nous vous aidons à comprendre ce qu’il s’est passé en décrivant les différentes actions identifiées et tracées dans un « Timeline » qui facilitera la compréhension de la ou des attaques dans le temps.
Tous les « Findings » feront l’objet d’une présentation afin d’expliquer l’incident en question dans un langage compréhensible par tous.
A cela s’associeront les recommandations nécessaires dans un rapport détaillé pour éviter que cela ne se reproduise.
Enfin, un plan d’action décrivant les optimisations nécessaires pour améliorer la sécurité du SI vous sera aussi fourni visant à vous aider sur le court terme dans le cadre d’une amélioration continue.
A propos du prestataire
Cyber Impact Expert en cyber sécurité dans la région de Metz - Nancy - Luxembourg.
Accompagne les petites et moyennes entreprises dans leur besoin en sécurité informatique.
Société Alcibiade
2 rue Sainte Scholastique 57310 Guénange
06 95 86 41 90 / contact@cyberimpact.eu
RCS Thionville : 919 800 151 / SIRET : 919 800 151 00012
Déclaration d’activité enregistrée sous le numéro 44570444157 auprès du préfet de région GRAND EST
Isolement de la menace
(Ce que vous pouvez déjà faire si vous le pouvez)
Isoler les machines du réseau pour éviter la propagation de l'attaque et ne surtout pas les éteindre pour conserver les traces de l’attaque dans la mémoire interne de la machine. En effet garder la machine allumée peut potentiellement aider à l’investigation de l’attaque, via l'analyse de données.
Cette étape critique permet de limiter les dommages tout en conservant les preuves nécessaires pour une analyse approfondie.
Diagnostic
Lorsqu'un incident de sécurité survient, il est crucial de comprendre rapidement l'étendue des dommages.
Nous procédons à une évaluation initiale détaillée, visant à identifier les systèmes, les données et les processus affectés.
Cette analyse permet de déterminer si l'incident concerne uniquement un sous-ensemble de l'infrastructure ou s'il touche l'ensemble de l'organisation.
Premières analyses
L’analyse de preuves passe par l'exploitation des logs du pare-feu, des serveurs et des équipements réseau pour repérer les anomalies. Ces journaux permettent de retracer les activités suspectes, telles que des connexions non autorisées, des tentatives d'accès aux données sensibles, ou des transferts inhabituels de fichiers.
Malheureusement, d’expérience, il est courant que la rétention (Temps d’enregistrement des informations) des logs ne dépasse pas quinze jours la plupart du temps. Pour cette raison précise il est conseillé de mettre en place un « Collecteur », garantissant une rétention de log acceptable pour la plupart des petites entreprises qui en cas d’attaque permettra d’avoir à minima les informations nécessaires pour une traçabilité efficace.
Nous utiliserons aussi des outils pour prélever, capturer et analyser les flux réseau des systèmes compromis avant et après leur isolement. Cela permet de comprendre comment la menace se déplace, si des communications externes sont en cours, et quelles informations ont pu être exfiltrées.
Sur les systèmes isolés, des captures de flux et des processus peuvent être nécessaires pour inspecter les processus et services actifs et identifier ceux qui ne devraient pas être en cours d'exécution.
Nous analyserons aussi les fichiers et répertoires à la recherche de modifications récentes (création, suppression, ou altération).
Un timeline sera édité depuis la date de compromission avec les preuves prélevées et les analyses correspondantes de chaque « objet » de l’infrastructure. Tous les prélèvements seront listés et signés techniquement afin de garantir l’intégrité de celles-ci.
Une cartographie des systèmes d’exploitation est réalisée, ainsi que les applications installées et leurs statuts de mise à jour.
Cette analyse permet de déterminer si l'incident est lié uniquement un sous-ensemble de l'infrastructure ou s'il touche l'ensemble de l'organisation. Nous examinons les signes d'intrusion, les failles exploitables, ainsi que la nature et l'origine de la menace possible (virus, ransomware, phishing, etc.). L’objectif est de fournir une vision claire et précise des impacts opérationnels, financières et juridiques potentielles.
Afin de prioriser les actions de réponse et de limiter les interruptions de service, en évaluant le tout depuis les premiers instants, nous garantissons une limitation des pertes afin de préserver la continuité de votre activité.
Remédiation
A l’issue des analyses, et l’étendue de l’incident cerné, nous rentrerons en phase de remédiation.
Nous restaurerons les machines dans la mesure du possible, en s’assurant que les différents redéploiements soient conformes et sain, une liste des systèmes réinstallés sera accompagnée chacun d’une empreinte garantissant l’intégrité avec un minimum de perte de données.
Analyse des vulnérabilités
Dans le cadre de notre analyse de sécurité, et une fois l’infrastructure décortiquée dans les règles de l’art, nous vous remettrons un rapport du statut de votre infrastructure visant à aider vos administrateurs à corriger et renforcer la configuration de votre SI.
Cet outil analyse en profondeur vos systèmes, applications et réseaux afin de détecter non seulement les vulnérabilités mais également les différences du niveau de configuration aux benchmarks CIS (Center for Internet Security), afin de nous assurer que vos systèmes respectent les meilleures pratiques de sécurité.
Cette approche permet de corriger les failles actuelles tout en renforçant la protection contre les attaques futures.
Rapport d'incident
En fin de mission, nous vous fourniront un rapport détaillé d’analyse et de remédiation de l’incident de sécurité ainsi qu’un plan d’action.
Ce document regroupe toutes les informations pertinentes collectées durant la mission, l'analyse des vulnérabilités, et les actions correctives à entreprendre.
