CSIRT Synacktiv
Le CSIRT Synacktiv vous assiste en cas d'incident de sécurité informatique impactant votre système d'information et plus généralement votre activité. Nous intervenons sur tout type d'incident (systèmes sur site, service en cloud, téléphone, appliance, etc.) afin de poser un diagnostic technique précis. Prérequis nécessaire pour vous guider à retenir une réaction adaptée, éradiquer la menace et rétablir le service impacté. Le savoir-faire offensif de Synacktiv apporte un éclairage original à nos analyses. Au total une soixantaine d'experts expérimentés pouvant intervenir sur tout type d'intervention.
Nous contacter : csirt@synacktiv.com et notre clé GPG ou par téléphone (+33) 9 7118 2769
Nous traitons les demandes en semaine du lundi au vendredi de 9h à 19h (sauf durant les jours fériés) Romance Standard Time (UTC+1 en tenant compte du passage à l'heure d'été). Une interface web sécurisée est mise à disposition à la suite du premier échange afin de procéder à des échanges sécurisés.
Le formulaire d'information du CSIRT au format 2350 : rfc2350-csirt_synacktiv-en-1.2.pdf accompagné de sa signature numérique
- Notre expertise et activité :
- préparation technique aux incidents de sécurité : nous aidons vos équipes à ajouter certains journaux utiles à l'investigation en cas d'incident
- investigation numérique : nous faisons parler votre système au-delà des journaux pour reconstituer précisément le déroulé d'une attaque
- levée de doute et recherche d'implant (logiciel et matériel) : notre expertise en sécurité offensive est mise à profit pour vous aider à identifier une attaque ciblée
- audit de compromission : au même titre que nous réalisons des audits de vulnérabilités, nous nous concentrons ici à rechercher un attaquant qui n'aurait pas été découvert par ailleurs
- réponse aux incidents & crises : nous appuyons votre cellule de crise sur le volet de l'investigation numérique
- recommandations post-incident : sur la base de nos analyses, nous vous préconisons les mesures afin de rendre impossible une attaque similaire et réduire la surface d'exposition de votre système d'information
- contre-expertise post-incident : en cas de doute sur une analyse, nous pouvons confronter nos points de vue :)
Que faire en cas d'incident ?
Chaque incident étant de nature différente, il est difficile d'avoir une procédure générique. Nous vous recommandons de nous contacter pour avoir la conduite à tenir.
Néanmoins, certaines mesures sont invariantes selon les situations :
- sauf cas particulier, il est préférable de ne pas éteindre un système supposé compromis mais plutôt de l'isoler du réseau. Ceci permet a posteriori de capturer l'état de la mémoire post-compromission et d'obtenir des informations volatiles précieuses pour caractériser l'attaque. Le système sera laissé tel quel le temps de l'investigation.
- en cas d'attaque détruisant votre système d'information (ex: rançongiciel, sabotage), il est recommandé de couper les accès Internet ainsi que les liens vers les prestataires (VPN). Les serveurs de sauvegarde, les serveurs d'infrastructure (AD, passerelle, DNS) et les serveurs critiques doivent être prioritairement préservés et isolés, voire éteints. La coupure électrique / l'isolement total de tout ou partie du parc est généralement une pratique recommandée dans le cas où l'événement n'est pas maîtrisé et en apparence global.
- en cas de compromission de boites aux lettres en Cloud, il est recommandé d'activer le MFA sur le compte et de procéder à la vérification du paramétrage de la boite aux lettres (redirection, délégation, transfert automatique, etc.)
- en cas de suspicion d'activité malveillante, nous recommandons d'augmenter le niveau de verbosité des journaux, de procéder rapidement à un traitement d'incident et de rester discret (notamment sur la messagerie du système d'information).