Réponse à incident · 01
Éradiquer toute persistance
Restaurer sans éradiquer, c'est réinviter l'attaquant. Nous traquons et supprimons l'ensemble des points de persistance : implants, tâches planifiées, comptes et clés créés par l'attaquant, règles de messagerie détournées, modifications de l'annuaire. L'éradication porte sur tout le parc, pas seulement sur les machines visibles.
Réponse à incident · 02
Reconstruire un SI sain et durci
La reconstruction repart de bases vérifiées : sauvegardes contrôlées pour exclure toute réinfection, réinstallation des systèmes critiques, reconstruction ou assainissement de l'Active Directory lorsque le domaine a été compromis. Nous en profitons pour durcir les configurations et corriger le vecteur d'entrée initial.
Notre méthode
Une intervention cadrée, du premier échange au suivi.
La même rigueur à chaque mission, quel que soit le périmètre.
Cadrage
Périmètre, objectifs et règles d'engagement définis avec vous.
Intervention
Nos experts exécutent la mission : outillage et analyse manuelle.
Restitution
Rapport priorisé par le risque, synthèse direction et plan d'action.
Accompagnement
Suivi de la remédiation et contre-vérification des correctifs.
Le pôle Réponse à incident & CERT
La vue d'ensemble et les prestations sœurs de ce pôle d'expertise.
Prêt à y voir clair sur votre exposition ?
Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.
Questions fréquentes
Faut-il tout reconstruire de zéro ?
Pas systématiquement. L'étendue de la reconstruction dépend du niveau de compromission établi par l'investigation forensic. Un domaine Active Directory dont le compte krbtgt a été compromis impose des mesures lourdes ; un périmètre circonscrit se traite plus finement.
Quand peut-on considérer l'incident clos ?
Quand la persistance est éradiquée, le vecteur d'entrée corrigé, les systèmes restaurés et surveillés, et qu'un retour d'expérience a acté les mesures de fond. Un contre-audit permet de vérifier qu'aucune porte n'a été oubliée.