Rechercher

Incident Response

  1. Orange Cyberdefense
  2. Services
  3. Management & Support
  4. Incident Response

Incident Response, un service CSIRT pour défendre les entreprises pendant une cyberattaque

Les cyberattaques font désormais partie de la réalité des entreprises. Selon Gartner, d’ici 2020, 60% des entreprises digitales subiront une défaillance majeure en raison d’une cyberattaque.

La plupart des entreprises manquent de main-d’œuvre spécialisée, expérimentée et qualifiée pour détecter et contrer ces menaces. En préparant une réponse proactive aux incidents, les entreprises:

  • Gardent l’esprit serein en suivant un plan d’action en cas d’urgence
  • Gagnent du temps en activant directement les premières étapes du processus
  • Sont assurées de l’intervention d’un expert dans un temps donné

Les enjeux des entreprises face aux cyberattaques

Qualifier les comportements suspects

Un comportement anormal du Système d’Information peut être le signe d’une cyberattaque. Incident Response aide l’entreprise à évaluer la situation pour déterminer si elle est effectivement victime d’une attaque.

Réagir rapidement et efficacement en cas d’attaque

24h : c’est le temps moyen entre une intrusion et l’accès en mode administrateur au Système d’Information.

Pour réagir rapidement et efficacement, Incident Response met à disposition des entreprises une hotline accessible 24h/24, 7j/7. En fonction du contrat souscrit, les experts d’Incident Response interviennent à partir de 3h maximum à distance et 5h maximum sur site.

Éviter les nouvelles cyber-attaques

Incident Response utilise le retour d’expérience des cyberattaques pour renforcer la sécurité de l’entreprise et prévenir les attaques similaires.

L'intervention des experts Incident Response

Analyse complète de l’incident au travers d’une approche éprouvée basée sur NIST et SANS : détermination d’une zone restreinte touchée par l’incident, puis élargissement de cette zone jusqu’à la connaissance totale de l’incident.

Stratégie de remédiation, mise en place par l’entreprise avec notre support, pour : 
Sécuriser les zones non impactées par l’incident et ainsi éviter son expansion.
Expulser l’attaquant.
Restaurer l’intégrité du Système d’Information.
Renforcer la sécurité du Système d’Information pour prévenir les attaques similaires.

Le rapport d’investigation

Il permet de comprendre ce qui s’est passé pour continuellement renforcer la sécurité du Système d’Information. Le rapport d’investigation inclut :

  • La chronologie détaillée des événements constituant l’incident
  • L’étendue de l’impact
  • Les indicateurs de compromission liés à l’incident
  • Les éléments d’intelligence liés aux agents de menace
  • La stratégie de remédiation
  • Les preuves à utiliser en cas d’action en justice
Des options d’investigation numérique
  • Analyse post mortem pour reconstruire la chronologie d’une compromission, identifier le vecteur d’attaque et la liste des actions malveillantes réalisées sur les actifs compromis (introduction d’une porte dérobée, compromission de compte, vol de données, etc.)
  • Analyse de malware, pour analyser en profondeur le fonctionnement d’un malware.
  • Audit de vigilance pour lever le doute sur une éventuelle compromission, suite au constat de comportements anormaux. L’audit de vigilance permet d’obtenir une meilleure visibilité sur l’état de santé d’un parc informatique.
  • Localisation et sécurisation de preuves en vue d’exploitation légale.

Contactez nos experts