Réponse à incident & CERT

Remédiation et reconstruction du SI

Une fois l'attaquant compris, il faut l'éradiquer et rebâtir un système d'information de confiance. La remédiation ne se limite pas à restaurer une sauvegarde : elle supprime toute persistance et durcit ce qui a été exploité.
Experts seniors nominatifs
Prix publics affichés
Livrables priorisés par le risque
Intervention partout en France

Réponse à incident · 01

Éradiquer toute persistance

Restaurer sans éradiquer, c'est réinviter l'attaquant. Nous traquons et supprimons l'ensemble des points de persistance : implants, tâches planifiées, comptes et clés créés par l'attaquant, règles de messagerie détournées, modifications de l'annuaire. L'éradication porte sur tout le parc, pas seulement sur les machines visibles.

Réponse à incident · 02

Reconstruire un SI sain et durci

La reconstruction repart de bases vérifiées : sauvegardes contrôlées pour exclure toute réinfection, réinstallation des systèmes critiques, reconstruction ou assainissement de l'Active Directory lorsque le domaine a été compromis. Nous en profitons pour durcir les configurations et corriger le vecteur d'entrée initial.

Suppression des implants et des mécanismes de persistance.
Réinitialisation des secrets (mots de passe, clé Kerberos krbtgt, jetons).
Restauration à partir de sauvegardes vérifiées ou réinstallation propre.
Durcissement des configurations et correction de la faille d'origine.

Notre méthode

Une intervention cadrée, du premier échange au suivi.

La même rigueur à chaque mission, quel que soit le périmètre.

1

Cadrage

Périmètre, objectifs et règles d'engagement définis avec vous.

2

Intervention

Nos experts exécutent la mission : outillage et analyse manuelle.

3

Restitution

Rapport priorisé par le risque, synthèse direction et plan d'action.

4

Accompagnement

Suivi de la remédiation et contre-vérification des correctifs.

Le pôle Réponse à incident & CERT

La vue d'ensemble et les prestations sœurs de ce pôle d'expertise.

Prêt à y voir clair sur votre exposition ?

Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.

Questions fréquentes

Faut-il tout reconstruire de zéro ?

Pas systématiquement. L'étendue de la reconstruction dépend du niveau de compromission établi par l'investigation forensic. Un domaine Active Directory dont le compte krbtgt a été compromis impose des mesures lourdes ; un périmètre circonscrit se traite plus finement.

Quand peut-on considérer l'incident clos ?

Quand la persistance est éradiquée, le vecteur d'entrée corrigé, les systèmes restaurés et surveillés, et qu'un retour d'expérience a acté les mesures de fond. Un contre-audit permet de vérifier qu'aucune porte n'a été oubliée.