La prestation de réponse à incident a pour but de vous assister à la suite d’une intrusion avérée (pendant ou une fois la menace éradiquée) sur un ou plusieurs éléments de votre système d’information.

Contactez-nous


Pourquoi organiser ce type de prestation ?



La prestation de réponse à incident est effectuée par un ou plusieurs ingénieurs sécurité spécialisés dans l’intrusion et l’investigation numérique et a pour but de vous assister à la suite d’une intrusion avérée (pendant ou une fois la menace éradiquée) sur un ou plusieurs éléments de votre système d’information.

 

Notre réactivité nous permet de répondre en moins d’un jour ouvré et d’intervenir du jour au lendemain afin de comprendre l’origine de la menace, d'étudier son fonctionnement pour préparer un plan d’éradication ou tout simplement d’identifier le chemin utilisé par le logiciel malveillant lors de l’intrusion informatique

 

Une étape d’analyse de malware peut également être intégrée dans la prestation, ceci dans le cas où la menace n’est pas publiquement connue :

  • Analyse dynamique du malware : Cette première étape d’analyse permet d’obtenir un premier niveau d’information assez rapidement par une écoute des appels système et communications réseau effectués par le malware en mettant en place un environnement et des sondes dédiées.
  • Analyse statique du malware : Nous complétons ensuite l’analyse du malware par une analyse statique, c'est-à-dire l’action de désassembler ou décompiler le binaire pour en comprendre son fonctionnement. La durée de cette étape dépend de la taille du binaire à analyser ainsi que les éventuelles méthodes d’obfuscation en place.
 

Nos équipes sont également en mesure de vous accompagner suite à l’investigation afin de rendre vos systèmes plus solides et résistants à ce type de menace : cette phase est appelée « reconstruction du SI » et est cruciale pour le maintien d’un système sécurisé.

 



Méthodologie et approche

Nous vous accompagnons afin de remédier à la situation de la manière la plus efficace possible. La méthodologie employée varie cependant en fonction du contexte et nous sommes en mesure de nous adapter à chaque situation.

Il est possible de travailler sur la situation à distance (par exemple, dans le cas d’un serveur compromis hébergé en externe). Mais aussi sur site, dans la majorité des cas nécessaire si l’on fait face à une compromission locale :

  • L’approche employée peut être faite dans le détail, avec par exemple l’analyse forensique d’un poste suspect, mais aussi globale dans le cas d’une compromission massive.
  • Nos équipes travaillent avec les vôtres pour une collaboration pertinente et pragmatique.

Objectifs

Les objectifs peuvent être multiples:

  • Identifier les causes d’un incident ayant eu lieu dans le passé, afin de fermer les points d’entrées utilisés ou vérifier qu’il n’en existe pas d’autres
  • Intervenir pendant la crise, afin d’aiguiller vos équipes sur l’approche à suivre et apporter notre expertise
  • Trouver des moyens de ralentir et annihiler la menace, puis de reconstruire le système d’information avec un gain en termes de sécurité
  • Investiguer sur un élément, un ensemble d’éléments ou un réseau entier afin de savoir si celui-ci est sujet à une attaque en cours.

De manière technique, cela se traduit par:

  • Récupération et analyse des journaux système, réseau et applicatif, artefacts système (processus exécutés, éléments modifiés, etc.), mémoire volatile, fichiers et dossiers cachés ou tout autre indicateur de compromission (IOC)
  • Analyse de logiciels malveillants : certains de nos consultants possèdent une expérience importante en termes d’analyse de binaire (rétro-ingénierie) et sont capables d’analyser des menaces non documentées publiquement
  • Aide à la mise en place de configuration (système, réseau et applicative) durcie en termes de sécurité




Pourquoi SSL247® ?

SSL247® a plus de 15 ans d'expérience et d'expertise dans l'industrie de la sécurité web et possède de nombreuses accréditations telles que l' EMEA Symantec Champion Award 2017 et la certification ISO 27001:2013.

Rapidité de notre équipe et flexibilité des solutions proposées

Des consultants dédiés et accrédités sont disponibles à tout moment de la journée par téléphone ou par e-mail. Ils seront à l'écoute de vos besoins pour vous fournir des solutions adaptées.

Compétences techniques solides

Nos auditeurs sont formés régulièrement par des organismes tiers et effectuent également une veille sécurité permanente pour vous proposer des solutions sur mesure et flexibles visant l’amélioration continue de votre sécurité.

Experts certifiés

En participant à des conférences sécurité dans le monde entier, nos experts sont au courant des dernières vulnérabilités et techniques d'attaques. Ils possèdent les certifications : OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) et OPST (OSSTMM Professional Security Tester).



Contactez-nous

Pour plus d'informations sur les bénéfices d’une prestation d’évaluation de sécurité pour votre entreprise, n'hésitez pas à nous contacter :

03 66 72 95 95
sales@ssl247.fr