Pôle d'expertise
Réponse à incident : reprendre la main sur l'attaque
Réponse à incident · 01
Qu'est-ce que la réponse à incident ?
La réponse à incident (incident response) est la discipline qui consiste à reprendre le contrôle d'un système d'information compromis : détecter l'attaque, la contenir, en établir la portée exacte, éliminer la présence de l'attaquant et rétablir une activité de confiance. Elle mobilise une équipe dédiée, un CERT, capable d'agir dans l'urgence sans détruire les preuves.
AOCSI n'improvise pas dans la panique. Nos intervenants appliquent une méthode éprouvée, alignée sur les cadres de référence (SANS PICERL, NIST 800-61), tout en gardant le sang-froid qu'exige une crise. L'objectif est double : arrêter l'hémorragie au plus vite et préserver la chaîne de custody pour que l'analyse forensic, l'assureur et, le cas échéant, la justice disposent de preuves exploitables.
Réponse à incident · 02
Les six étapes de notre réponse
Notre intervention suit une trame ordonnée, du signal faible au retour d'expérience. Chaque étape conditionne la suivante : un confinement précipité peut détruire les traces, une éradication incomplète laisse une porte ouverte à l'attaquant.
Réponse à incident · 03
Ransomware : le scénario dont dépend votre survie
Le rançongiciel reste la menace qui fait le plus de dégâts : chiffrement des serveurs, vol de données préalable (double extorsion), production à l'arrêt. Face à une attaque par ransomware, les premières décisions sont irréversibles. Faut-il tout éteindre ? Isoler l'Active Directory ? Surtout, ne rien restaurer avant d'avoir mesuré ce qui a été exfiltré.
Nos intervenants savent distinguer un chiffrement en cours d'une extorsion déjà consommée, identifier la souche, chercher un éventuel outil de déchiffrement et, avant toute restauration, vérifier l'intégrité des sauvegardes. Nous vous aidons à ne pas transformer un incident maîtrisable en sinistre total.
Réponse à incident · 04
Un CERT porté par des experts seniors
La réponse à incident ne se délègue pas à des profils juniors qui découvrent l'attaque en même temps que vous. Chez AOCSI, ce sont des experts seniors nominatifs qui prennent la main, épaulés par le Collectif - notre réseau de chercheurs de spécialités complémentaires (forensic Windows, analyse de codes malveillants, cloud, systèmes industriels).
Cette organisation nous permet d'affecter à votre crise la compétence exacte dont elle a besoin et de tenir la durée : une réponse à incident sérieuse se compte en jours et en nuits, pas en heures ouvrées.
Réponse à incident · 05
Après l'incident : ce que vous recevez
Au terme de l'intervention, vous disposez d'un rapport d'incident complet : chronologie de l'attaque, vecteur d'entrée, périmètre de compromission, données concernées, indicateurs de compromission (IOC) et actions menées. Ce document alimente vos obligations de notification (CNIL sous 72 h pour une violation de données à caractère personnel, dossier assureur, dépôt de plainte).
Le retour d'expérience débouche sur un plan de remédiation priorisé. La réponse à incident s'articule naturellement avec nos prestations d'audit, de test d'intrusion et de RSSI externalisé pour éviter que le scénario ne se reproduise.
Réponse à incident · 06
Anticiper plutôt que subir : le retainer CERT
Chercher un prestataire de réponse à incident le jour de l'attaque fait perdre des heures décisives. Le retainer CERT est un contrat de réponse pré-négocié : conditions, périmètre et délais d'intervention convenus à froid, pour déclencher l'équipe en un appel le jour venu. C'est l'assurance d'une prise en charge immédiate, sans négociation dans l'urgence.
Notre méthode
Une intervention cadrée, du premier échange au suivi.
La même rigueur à chaque mission, quel que soit le périmètre.
Cadrage
Périmètre, objectifs et règles d'engagement définis avec vous.
Intervention
Nos experts exécutent la mission : outillage et analyse manuelle.
Restitution
Rapport priorisé par le risque, synthèse direction et plan d'action.
Accompagnement
Suivi de la remédiation et contre-vérification des correctifs.
Notre expertise en détail
Chaque facette de ce pôle fait l'objet d'une prestation dédiée, menée par des experts seniors.
Prêt à y voir clair sur votre exposition ?
Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.
Questions fréquentes
Vous êtes attaqué en ce moment : que faire ?
Ne payez rien, n'éteignez pas brutalement vos machines et ne restaurez pas dans la précipitation : vous risqueriez de détruire les preuves ou de réinfecter votre système. Isolez du réseau ce qui peut l'être et contactez-nous immédiatement via notre page /urgence-cyberattaque. Un expert senior vous guide dès les premières minutes.
Faut-il payer la rançon ?
AOCSI ne recommande pas le paiement : il finance l'écosystème criminel, n'offre aucune garantie de récupération et vous expose à un nouveau chantage. Notre priorité est de restaurer votre activité à partir de sauvegardes saines. La décision finale vous appartient, prise en connaissance de l'analyse de ce qui a réellement été chiffré et exfiltré.
Combien de temps dure une réponse à incident ?
Le confinement se joue dans les premières heures. L'investigation forensic et l'éradication prennent en général de quelques jours à quelques semaines selon l'étendue de la compromission. La reconstruction complète d'un annuaire lourdement compromis peut demander davantage. Nous vous donnons une visibilité réaliste dès la qualification.
Peut-on retrouver l'auteur et récupérer les données volées ?
L'investigation forensic établit le mode opératoire et rassemble des preuves exploitables, mais l'attribution formelle relève des autorités. Quant aux données exfiltrées, on ne les récupère pas : l'enjeu est d'en mesurer précisément la nature pour piloter la notification et limiter les conséquences.
Doit-on préparer la réponse à incident avant d'être attaqué ?
Oui. Un retainer CERT, un plan de réponse testé et des sauvegardes hors ligne vérifiées changent radicalement l'issue d'une crise. Les organisations préparées confinent plus vite, perdent moins de données et redémarrent en jours plutôt qu'en semaines.