Cellule de crise activable 24/7 en cas d'incident majeur. Investigation, confinement, éradication, retour à la normale, retour d'expérience. Une équipe dédiée jusqu'à la sortie de crise.
Compromission active : ransomware en cours, exfiltration en cours, mouvement latéral détecté, élévation de privilèges sur le contrôleur de domaine. Chaque heure compte. Plus vous attendez, plus la remédiation devient coûteuse et plus le périmètre touché s'étend.
Suspicion forte : alertes EDR multiples non concluantes, comportements anormaux sur des comptes sensibles, fuites suspectées de données. Une investigation rapide permet de confirmer ou d'écarter et d'agir avant que la situation ne dégénère.
Post-incident : un incident a été contenu mais les questions restent. Comment l'attaquant est entré ? Quelle est l'étendue exacte ? Y a-t-il des persistances ? Des comptes encore compromis ? Une investigation approfondie est nécessaire pour réellement clore l'incident.
Phase 1 : préparation. Avant tout incident, nous documentons votre architecture, vos contacts critiques, vos procédures de continuité. Pour les clients sous contrat de retainer, cette phase est faite à froid.
Phase 2 : identification. Confirmer qu'il y a bien un incident, comprendre sa nature, qualifier son périmètre initial. Cette phase dure typiquement quelques heures à un jour.
Phase 3 : confinement. Isoler les systèmes compromis, couper les voies de propagation, préserver les preuves. L'objectif est d'arrêter l'hémorragie sans détruire les indices.
Phase 4 : éradication. Supprimer les portes dérobées, réinitialiser les comptes compromis, durcir les configurations exploitées par l'attaquant.
Phase 5 : récupération. Restauration progressive des systèmes, vérification de l'absence de persistance, validation par tests, reprise des opérations.
Phase 6 : leçons apprises. Document post-incident détaillé, présentation au comité de direction, plan d'action pour éviter la récurrence.
Échange gratuit de 30 minutes avec un consultant senior. Cadrage, devis ferme sous 48h.
—