Rechercher
Switch Language

Réponse aux incidents

Le CSIRT Synacktiv vous assiste en cas d'incident de sécurité informatique impactant votre système d'information et plus généralement votre activité.

 Un incident de sécurité informatique peut gravement impacter votre activité. Les prestations du CSIRT Synacktiv visent à appuyer vos équipes dans les différentes étapes d'un incident :
  • en amont, en travaillant avec vous à anticiper les besoins techniques et opérationnels inhérents à une crise cyber ;
  • pendant la crise, en mobilisant nos experts pour endiguer la menace, investiguer les traces numériques et piloter le retour à la normale ;
  • en aval, en vous aidant à reconstruire des fondations saines.
ri

Préparation aux incidents

Anticiper la menace est la meilleure façon d'en réduire les impacts le jour J. Nous intervenons en amont pour préparer vos équipes et votre système d'information à réagir efficacement. Pour vous assurer une tranquillité d'esprit, nous proposons un abonnement CSIRT. Ce contrat vous garantit une capacité d'intervention avec un SLA défini (délais d'engagement) et permet à nos experts de connaître votre contexte technique pour une réaction immédiate et adaptée.

Sur le plan organisationnel, nous éprouvons vos processus via des exercices de gestion de crise (ou tabletop exercises), basés sur des scénarios sur mesure. Nous pouvons aussi formaliser des fiches réflexes, véritables guides opérationnels pour gagner un temps précieux lors du déclenchement d'une alerte.

Sur le volet technique, la visibilité est clé. Nous réalisons des audits de journalisation pour vérifier l'exhaustivité et la pertinence de vos logs, indispensables aux investigations futures. Nous effectuons également des états des lieux ciblés sur vos infrastructures critiques (Active Directory, tenant Entra ID ou AWS) pour identifier et corriger les erreurs de configuration ou problèmes de permissions avant qu'ils ne soient exploités.

Réponse aux incidents

L'investigation numérique est une étape clé dans toute réponse à incident. Elle a pour but de reconstituer le plus précisément possible le déroulé d'une attaque à partir des traces laissées sur les systèmes.
 
Nos équipes s'attachent à effectuer une analyse approfondie des équipements compromis pour comprendre le mode opératoire, délimiter le périmètre visé et mesurer les impacts de l'attaque. En cas de suspicion de compromission, nous pouvons effectuer une levée de doute. Il s'agit d'une étude sur un périmètre délimité à la recherche d'anomalies trahissant la présence (actuelle ou passée) d'un attaquant. Ce type d'analyse peut s'accompagner de la recherche d'un implant (logiciel ou matériel) lié à une menace avancée/ciblée.
 
Au même titre que nous réalisons des audits de vulnérabilités, l'audit de compromission vise à passer en revue votre système d'information à la recherche de traces de malveillance qui auraient échappées à votre système de détection. Avec une approche plus générale que la levée de doute, l'audit de compromission a pour objectif de vous faire gagner en confiance dans l'état de sécurité de votre parc.
 
Nous pouvons aussi appuyer une cellule de crise déjà existante sur le volet de l'investigation numérique ou proposer une contre-expertise post-incident pour confronter nos points de vue.

Cyber-remédiation

Une fois l'incident contenu, l'objectif est de reconstruire un environnement sain et de rétablir la confiance dans le système d'information. Sur la base des conclusions de nos investigations, nous vous fournissons des recommandations post-incident concrètes. Celles-ci visent non seulement à colmater la brèche utilisée par l'attaquant, mais surtout à réduire durablement la surface d'exposition de votre SI pour rendre impossible une attaque similaire.
 
Pour les compromissions profondes affectant le cœur du réseau, nous vous accompagnons dans des opérations complexes telles que la bascule Active Directory (reconstruction d'un annuaire de confiance) ou le durcissement (hardening) de vos environnements Windows. Ces actions techniques visent à élever le niveau de sécurité structurel de votre parc informatique pour prévenir toute résurgence de la menace.

Formation

Le partage de connaissances est au cœur de l'ADN de Synacktiv. Nos experts, qui interviennent sur tout type d'incident, dispensent des formations techniques pointues (en présentiel ou en ligne) pour faire monter vos équipes en compétence.
 
Nos cursus couvrent l'ensemble du spectre de l'investigation numérique : du forensic système (Windows, Linux) à l'analyse de supports mobiles (smartphones), en passant par l'investigation Cloud et l'analyse de malware. Nous proposons également des sessions de sensibilisation pour un public plus large. Pour découvrir le détail de nos programmes et les prochaines sessions, nous vous invitons à consulter notre agenda de formations.
 

Abonnement CSIRT

L’abonnement au CSIRT Synacktiv vous permet de solliciter nos experts lors d’intervention ponctuelle ou longue (crise cyber). Lors de nos interventions, les objectifs permanents du CSIRT Synacktiv sont :

  • Endiguer et résoudre au plus rapidement l’incident de sécurité ou la crise subits ;

  • Satisfaire vos attentes selon les modalités souscrites ;

  • Comprendre la nature et l’origine des activités suspicieuses ou malveillantes constatées. La modularité de l’abonnement permet de doser l’effort souhaité pour atteindre des résultats ;

  • Mesurer le périmètre de compromission et les impacts sur les services ;

  • Piloter la résolution de l’incident de sécurité selon les pratiques de gestion de projet ;

  • Recommander des mesures d’urgence pour contenir l’attaque et des mesures plus longs termes pour réduire durablement le niveau d’exposition du système d’information.

 

L’abonnement au CSIRT Synacktiv peut se décomposer en 3 parties :

  1. un niveau de service et de modalité d’intervention : ce niveau de service décrit globalement les attentes en termes de délai d’intervention 24/7 (HNO) ou heure de travail (HO) ;

  2. une réserve de jour-homme (ou heure-homme) souscrit initialement : ce volume est consommé au fur et à mesure des interventions. Il peut être abondé au cours de la souscription si le besoin est supérieur à celui exprimé initialement ;

  3. des options sous la forme de prestations complémentaires pouvant être souscrites tout au long de l’abonnement afin d’augmenter le niveau de maturité et de protection de votre système d’information.

 

Formule Abonnement

 

Outils

Synacktiv se repose sur des outils et des connaissances en source ouverte libre d'usage commercial, des productions internes (leakozorus.) et des logiciels/outils du marché de l'investigation numérique (ex: tableau, DFIR ORC, Velociraptor, etc.)

Derniers articles

LinkPro eBPF rootkit

LinkPro : analyse d'un rootkit eBPF

Lors d'une investigation numérique liée à la compromission d'une infrastructure hébergée sur AWS, une backdoor furtive ciblant les systèmes GNU/Linux a été découverte. Cette backdoor dispose notamment ...

Nous joindre

N'hesitez pas à nous contacter afin de nous faire part de vos besoins. Notre équipe commerciale se tient à votre disposition pour répondre à toutes vos questions.

Contactez-nous

Nous contacter

01 45 79 74 75
contact@synacktiv.com
Clé GPG

PARIS

5 boulevard Montmartre
75002 Paris

TOULOUSE

4 Rue du Pont Guilhemery
31000 Toulouse

LYON

56 rue Smith
69002 Lyon

RENNES

7D Rue de Châtillon
35000 Rennes

LILLE

7 Boulevard Louis XIV
59000 Lille

BORDEAUX

4/6 Cours de l'Intendance
33000 Bordeaux
Copyright © Synacktiv 2025