Qu'est-ce que la réponse à incident cyber ?

La réponse à incident (Incident Response) désigne l'ensemble des actions menées pour détecter, confiner, éradiquer et récupérer après une cyberattaque. L'objectif est triple : arrêter l'hémorragie, limiter les dégâts et restaurer les opérations le plus rapidement possible.

Chaque minute compte lors d'un incident de sécurité. Un ransomware peut chiffrer 100 000 fichiers en moins de 10 minutes. Un attaquant dans votre Active Directory peut compromettre l'ensemble du domaine en quelques heures. Une fraude au président peut entraîner un virement irréversible en quelques minutes.

Notre approche s'appuie sur le framework NIST SP 800-61 (Computer Security Incident Handling Guide) et le PRIS (Plan de Réponse aux Incidents de Sécurité) recommandé par l'ANSSI. Nous combinons la rapidité d'intervention d'un pompier cyber avec la rigueur méthodologique d'un expert forensique.

Contrairement à beaucoup de prestataires, nous ne nous contentons pas de « nettoyer » l'incident : nous identifions la cause racine, nous nous assurons que l'attaquant est définitivement éjecté, et nous renforçons vos défenses pour éviter toute récidive. Nos interventions produisent également des preuves exploitables pour un dépôt de plainte.

4 min

Temps moyen de chiffrement d'un ransomware

277j

Délai moyen de détection d'une intrusion (IBM)

4,45 M$

Coût moyen d'une violation de données (2024)

21j

Durée moyenne d'arrêt post-ransomware

Types d'incidents que nous gérons

Ransomware

LockBit, BlackCat/ALPHV, Cl0p, Play, Royal. Confinement, éradication, récupération de données, négociation si nécessaire.

Compromission Active Directory

DCSync, Golden/Silver Ticket, Kerberoasting, AdminSDHolder. Récupération de contrôle du domaine.

BEC (Business Email Compromise)

Fraude au président, usurpation d'identité email, détournement de paiement. Blocage, traçage, récupération de fonds.

APT (Advanced Persistent Threat)

Attaques ciblées étatiques ou cybercriminelles organisées. Investigation long terme, éradication complète, hardening.

Exfiltration de données

Détection et blocage d'exfiltration, identification du périmètre impacté, notification CNIL, gestion de crise.

Compromission cloud

Accès non autorisé Azure / AWS / GCP, déploiement de cryptominers, abus de tokens, escalade de privilèges cloud.

Sabotage & destruction

Wipers, suppression de sauvegardes, corruption de bases de données. Récupération, investigation, renforcement.

Supply chain attack

Compromission via un fournisseur ou un logiciel tiers. Analyse de l'impact, confinement, évaluation de la chaîne d'approvisionnement.

Notre cadre de référence — NIST SP 800-61

1

Préparation

Outillage, playbooks, équipe formée, procédures de communication, contacts d'urgence. La préparation fait la différence.

2

Détection & Analyse

Identification de l'incident, qualification de la sévérité, analyse initiale des indicateurs de compromission (IOC).

3

Confinement, Éradication, Récupération

Isolation des systèmes, suppression de la menace, restauration des services. Le cœur de l'intervention.

4

Activité post-incident

Retour d'expérience, amélioration des défenses, mise à jour des playbooks, renforcement de la posture.

Quand déclencher une réponse à incident ?

Certains signaux doivent déclencher immédiatement une procédure de réponse à incident. Ne cherchez pas à gérer seul : chaque minute perdue aggrave l'impact.

► Fichiers chiffrés — Extensions modifiées (.locked, .encrypted), notes de rançon sur les partages
► Alerte EDR/SIEM critique — Détection de mouvement latéral, Cobalt Strike, Mimikatz
► Comptes privilégiés compromis — Connexions admin inhabituelles, création de comptes suspects
► Trafic réseau anormal — Communications C2 détectées, exfiltration DNS, beaconing

► Email suspect confirmé — Phishing ciblé réussi, identifiants compromis, MFA bypass
► Virement frauduleux — Changement de RIB fournisseur, demande de virement urgente du « PDG »
► Services inaccessibles — DDoS, sabotage, chiffrement de serveurs critiques
► Publication de données — Vos données apparaissent sur un site de leak ou le dark web

Règle d'or

Dans le doute, appelez. Un faux positif coûte une heure de qualification. Un vrai positif non traité peut coûter des millions. Nous préférons être appelés pour rien que trop tard.

Notre intervention d'urgence en 6 phases

Une méthodologie éprouvée sur plus de 150 incidents. Du premier appel à la restauration complète, chaque phase est calibrée pour minimiser l'impact business.

1

Triage & qualification

H0 — 1h

Première évaluation de la situation : nature de l'incident, périmètre impacté, sévérité. Décision immédiate sur le niveau de réponse à engager.

Activités

• Appel de qualification avec l'IT interne
• Collecte des premiers IOC
• Classification de sévérité (P1-P4)
• Activation du playbook adéquat
• Décision : intervention site / remote

Livrables

• Fiche d'incident initiale
• Classification de sévérité
• Plan d'action immédiat
• Liste des premiers IOC
• Communication initiale à la direction

Résultat

• Nature de l'incident identifiée
• Niveau de réponse défini
• Équipe d'intervention mobilisée
• Premières mesures conservatoires
• Direction informée

2

Confinement

H1 — H4

Isolation de la menace pour stopper sa propagation. L'objectif est d'empêcher l'attaquant de progresser sans détruire les preuves forensiques.

Activités

• Isolation réseau des systèmes compromis
• Blocage des IOC (IP, domaines, hash)
• Désactivation des comptes compromis
• Segmentation d'urgence du réseau
• Préservation des preuves forensiques

Livrables

• Carte de confinement réseau
• Liste des systèmes isolés
• Règles firewall d'urgence
• Journal des actions de confinement
• Collecte forensique initiale (RAM, logs)

Résultat

• Propagation stoppée
• Attaquant isolé / coupé
• Preuves préservées
• Périmètre d'impact délimité
• Services critiques protégés

3

Investigation & éradication

H4 — H48

Analyse forensique complète pour comprendre la cause racine, identifier tous les systèmes compromis et éradiquer définitivement l'attaquant.

Activités

• Analyse forensique mémoire et disque
• Reconstruction de la timeline d'attaque
• Identification du vecteur initial
• Hunting sur l'ensemble du parc
• Suppression des backdoors et persistances

Livrables

• Rapport d'investigation préliminaire
• Timeline complète de l'attaque
• Liste des IOC définitifs
• Inventaire des systèmes impactés
• Plan d'éradication détaillé

Résultat

• Cause racine identifiée
• Tous les accès attaquant éliminés
• Périmètre exact de compromission
• Données exfiltrées identifiées
• Système prêt pour la reconstruction

4

Restauration & récupération

H24 — J7

Reconstruction sécurisée des systèmes, restauration des données, remise en service progressive avec validation à chaque étape.

Activités

• Reconstruction des serveurs critiques
• Restauration des sauvegardes vérifiées
• Reset des mots de passe (KRBTGT, admin)
• Hardening avant remise en production
• Tests fonctionnels post-restauration

Livrables

• Plan de restauration priorisé
• Check-list de vérification par système
• Procès-verbal de remise en service
• Configuration hardened documentée
• Point de situation quotidien

Résultat

• Services critiques restaurés
• Données récupérées et validées
• Posture de sécurité renforcée
• Surveillance accrue en place
• Opérations business reprises

5

Surveillance post-incident

J7 — J30

Surveillance renforcée pendant 30 jours pour détecter toute tentative de retour de l'attaquant. Déploiement de capacités de détection avancées.

Activités

• Déploiement EDR sur l'ensemble du parc
• Monitoring des IOC spécifiques
• Threat hunting proactif quotidien
• Surveillance des dark web leaks
• Analyse des alertes en temps réel

Livrables

• Dashboard de surveillance en temps réel
• Rapports de surveillance hebdomadaires
• Règles de détection personnalisées
• Alertes automatiques configurées
• Rapport de fin de surveillance

Résultat

• Absence de récidive confirmée
• Capacités de détection renforcées
• Visibilité accrue sur le SI
• Équipe IT formée aux nouveaux outils
• Transition vers le run sécurisé

6

RETEX & renforcement

J30 — J45

Retour d'expérience complet, rapport d'incident final, plan de renforcement de la posture de sécurité pour éviter toute récidive.

Activités

• Réunion RETEX avec toutes les parties
• Rédaction du rapport d'incident final
• Élaboration du plan de renforcement
• Mise à jour des playbooks IR
• Recommandations d'investissement

Livrables

• Rapport d'incident complet (50-100 pages)
• Plan de renforcement priorisé
• Playbooks IR mis à jour
• Fiche RETEX pour la direction
• Dossier pour le dépôt de plainte

Résultat

• Leçons tirées et documentées
• Défenses renforcées
• Organisation mieux préparée
• Base pour déclaration assurance
• Conformité CNIL/NIS2 documentée

Prestation clé en main — tout est inclus

De la première alerte à la reprise complète des opérations. Un seul interlocuteur, une méthodologie éprouvée, zéro surprise.

Gestion de crise

Pilotage de la cellule de crise, coordination des parties prenantes, communication interne et externe.

✓ Animation de la cellule de crise
✓ Coordination direction / IT / juridique
✓ Communication de crise (interne/externe)
✓ Interface avec l'assurance cyber
✓ Notification CNIL sous 72h si nécessaire
✓ Assistance au dépôt de plainte

Investigation forensique

Analyse technique complète pour comprendre l'attaque de bout en bout et constituer les preuves.

✓ Analyse mémoire et disque (Volatility, Autopsy)
✓ Reconstruction de timeline d'attaque
✓ Identification du vecteur initial
✓ Extraction et analyse des IOC
✓ Threat hunting sur l'ensemble du parc
✓ Rapport d'investigation détaillé

Restauration & reconstruction

Remise en service sécurisée de votre infrastructure avec hardening intégré.

✓ Reconstruction des contrôleurs de domaine
✓ Restauration des données depuis sauvegardes
✓ Reset KRBTGT et mots de passe admin
✓ Hardening Active Directory
✓ Déploiement EDR / SIEM d'urgence
✓ Tests de validation avant mise en production

Renforcement post-incident

Amélioration durable de votre posture de sécurité pour éviter toute récidive.

✓ Plan de renforcement priorisé
✓ Surveillance renforcée 30 jours
✓ Playbooks de réponse à incident
✓ Formation de l'équipe IT
✓ Retour d'expérience structuré
✓ Rapport pour assurance cyber

Double expertise : réponse opérationnelle + forensique

Là où d'autres prestataires « nettoient » rapidement sans comprendre l'attaque, nous combinons vitesse d'intervention et rigueur forensique. Résultat : vous repartez vite et vous savez exactement ce qui s'est passé.

Volet opérationnel

►
Confinement immédiat — Isolation réseau, blocage des comptes compromis, coupure des communications C2 dans l'heure.
►
Éradication complète — Suppression de chaque backdoor, tâche planifiée, service malveillant, clé de registre de persistance.
►
Reconstruction sécurisée — Rebuild AD, restauration de sauvegardes, hardening, déploiement EDR avant remise en production.
►
Gestion de crise — Pilotage de cellule de crise, communication, coordination assurance/juridique/ANSSI/CNIL.
►
Négociation ransomware — Si nécessaire : évaluation de la menace, négociation tactique, gestion du paiement (dernier recours).
►
Surveillance post-incident — 30 jours de monitoring renforcé pour garantir l'absence de récidive.

Volet forensique

►
Préservation des preuves — Collecte forensique avant toute action de remédiation. Chaîne de custody, hash SHA-256.
►
Timeline d'attaque — Reconstruction minute par minute du déroulé de l'incident. Vecteur initial, mouvement latéral, exfiltration.
►
Attribution — Identification du groupe attaquant (TTPs MITRE ATT&CK), mode opératoire, outils utilisés, infrastructure C2.
►
Rapport d'incident — Document structuré de 50 à 100 pages, exploitable pour plainte, assurance, notification CNIL, conformité NIS2.
►
IOC & Threat Intelligence — Extraction des indicateurs de compromission pour bloquer la menace et alimenter votre défense future.
►
Expert judiciaire — Rapport recevable en justice. Témoignage d'expert si procédure pénale engagée contre l'attaquant.

Cas client — Ransomware BlackCat, 200 postes, recovery 72h

Retour d'expérience anonymisé d'une intervention d'urgence suite à une attaque ransomware BlackCat (ALPHV) sur une ETI industrielle.

Contexte

► Secteur : Industrie manufacturière, 450 collaborateurs, 3 sites
► Incident : Ransomware BlackCat (ALPHV) — 200 postes et 15 serveurs chiffrés
► Impact : Production arrêtée, ERP inaccessible, sauvegardes partiellement atteintes
► Rançon : 2,5 M$ demandés (non payés)

Résultats

72h

Services critiques restaurés

0

Données définitivement perdues

0 €

Rançon payée

100%

Parc reconstruit et sécurisé

Chronologie de l'intervention

H0-H4

Triage & confinement

Appel reçu à 3h du matin. Connexion VPN à H+45min. Isolation des 3 sites, coupure Internet, préservation des sauvegardes offline.

H4-H48

Investigation & éradication

Vecteur initial : VPN sans MFA. Mouvement latéral via PsExec + Cobalt Strike. Éradication de tous les accès attaquant. KRBTGT reset ×2.

H48-H72

Restauration

Reconstruction des DC, restauration ERP depuis sauvegardes offline, déploiement EDR sur 200 postes, remise en production progressive.

J3-J30

Surveillance & hardening

30 jours de surveillance 24/7. MFA déployé sur tous les accès. Segmentation réseau. Sauvegardes 3-2-1 immuables. Zéro récidive.

Nos engagements contractuels

Des engagements concrets, inscrits au contrat. Quand votre entreprise est sous attaque, vous avez besoin de certitudes.

SLA <4h garanti

Début d'intervention dans les 4 heures suivant votre appel, 24h/24, 7j/7, week-ends et jours fériés inclus. Pénalité contractuelle si non respecté.

Expert unique dédié

Un seul consultant senior de bout en bout. Pas de turnover en pleine crise. La continuité est cruciale quand chaque minute compte.

Surveillance 30 jours

30 jours de surveillance post-incident inclus dans chaque intervention. Détection de toute tentative de retour de l'attaquant.

Confidentialité absolue

NDA systématique, habilitation Confidentiel Défense, chiffrement de bout en bout des communications et des données d'incident.

Questions fréquentes sur la réponse à incident

Trois règles : 1) Ne paniquez pas, ne coupez rien sans réflexion — éteindre un serveur détruit la mémoire vive qui contient des preuves cruciales. 2) Isolez les systèmes compromis du réseau (débranchez le câble ou désactivez le Wi-Fi, mais ne les éteignez pas). 3) Appelez-nous immédiatement. Nous vous guiderons pas à pas dès le premier appel.

L'ANSSI et Europol recommandent de ne pas payer. Le paiement finance le crime organisé, ne garantit pas la récupération de vos données, et vous désigne comme cible facile pour de futures attaques. Dans 90% des cas, nous restaurons les données sans payer, grâce aux sauvegardes ou à des techniques de déchiffrement. Le paiement n'est envisagé qu'en tout dernier recours, après épuisement de toutes les alternatives.

La moyenne du marché est de 21 jours. Avec notre intervention, les services critiques sont généralement restaurés en 48 à 72 heures (ERP, messagerie, accès fichiers). La reconstruction complète du parc prend 1 à 3 semaines selon la taille. Le facteur clé : la qualité de vos sauvegardes. Des sauvegardes offline et immuables réduisent drastiquement le délai de recovery.

Si l'attaque implique des données personnelles (ce qui est presque toujours le cas), vous devez notifier la CNIL dans les 72 heures (Article 33 du RGPD). Si le risque est élevé pour les personnes concernées, vous devez également les informer individuellement (Article 34). Nous vous assistons dans la rédaction de la notification et l'évaluation de l'impact sur les données personnelles.

Oui, 80% de nos interventions débutent à distance. Nous utilisons des outils de collecte et d'analyse à distance (Velociraptor, KAPE, EDR) qui permettent de commencer le triage et le confinement en quelques minutes. Pour les cas nécessitant une présence physique (reconstruction d'infrastructure, collecte de disques), nous nous déplaçons sous 24h partout en France.

Dans la grande majorité des cas, oui. Les polices d'assurance cyber couvrent généralement les frais de réponse à incident (investigation forensique, remédiation, perte d'exploitation, notification). Nous travaillons régulièrement avec les principaux assureurs (AXA, Allianz, Hiscox, Beazley) et connaissons leurs exigences en matière de documentation et de reporting.

Quatre actions essentielles : 1) Sauvegardes 3-2-1 avec copie offline immuable. 2) EDR sur tous les postes et serveurs. 3) MFA sur tous les accès (VPN, O365, admin). 4) Plan de réponse à incident rédigé, testé et connu de l'équipe. Nous proposons un service de « préparation IR » (retainer) qui inclut la rédaction des playbooks, un exercice de crise annuel et un accès prioritaire à notre hotline.

Oui, et c'est même obligatoire pour activer la couverture assurance cyber (Loi LOPMI, Article 5). Le dépôt de plainte doit être effectué dans les 72 heures suivant la découverte de l'incident. Nous vous assistons dans la rédaction de la plainte et fournissons les éléments techniques nécessaires. Le dépôt se fait auprès du commissariat ou de la gendarmerie locale, ou directement auprès du Parquet.

Pourquoi nous choisir pour votre réponse à incident ?

Intervention immédiate

SLA <4h, 24/7. Nous intervenons à distance en quelques minutes et sur site sous 24h. Chaque heure gagnée réduit l'impact.

+150 incidents gérés

Ransomware, APT, BEC, sabotage, exfiltration. Tous les types d'incidents, tous les secteurs, toutes les tailles.

Forensique intégré

Preuves préservées pendant la remédiation. Rapport exploitable pour plainte, assurance et conformité. Expert judiciaire.

Reconstruction sécurisée

Pas de simple « nettoyage » : reconstruction complète avec hardening, EDR, segmentation. Vous repartez plus fort qu'avant.

Habilitation CD

Habilitation Confidentiel Défense active. Capacité à gérer des incidents dans les secteurs les plus sensibles.

+20 ans d'expérience

Deux décennies en cybersécurité, dont 10 ans en DFIR. Ancien développeur Microsoft — connaissance intime des internals Windows.

Offre Retainer — Préparation à l'incident

La meilleure réponse à incident est celle qui a été préparée en amont. Notre offre retainer vous donne un accès prioritaire à notre équipe et vous prépare à réagir efficacement.

Essentiel

Pour les PME qui veulent être prêtes

✓ Accès hotline 24/7
✓ SLA intervention <4h
✓ Playbook IR personnalisé
✓ 1 exercice de crise/an
✓ Tarif préférentiel en cas d'incident

Premium

Pour les ETI et grands comptes

✓ Tout Essentiel, plus :
✓ SLA intervention <2h
✓ 2 exercices de crise/an
✓ Crédit jours prépayés
✓ Threat Intelligence trimestrielle
✓ Revue annuelle de posture

Défense

Pour les secteurs sensibles

✓ Tout Premium, plus :
✓ SLA intervention <1h
✓ Habilitation Confidentiel Défense
✓ Threat hunting mensuel proactif
✓ Surveillance dark web dédiée
✓ Rapport ANSSI prêt à l'emploi

Nos playbooks de réponse à incident

Chaque type d'incident possède un playbook dédié, éprouvé sur des dizaines de cas réels. Voici un aperçu de nos procédures standardisées.

Playbook Ransomware

01 Identifier la souche (extension, note de rançon)
02 Isoler le réseau (couper Internet, segmenter)
03 Préserver la RAM des systèmes actifs
04 Identifier le vecteur initial (VPN, email, RDP)
05 Évaluer l'étendue du chiffrement
06 Vérifier l'intégrité des sauvegardes
07 Éradiquer (KRBTGT reset, backdoors, persistances)
08 Restaurer depuis sauvegardes vérifiées
09 Hardening avant remise en production
10 Surveillance post-incident 30 jours

Playbook Compromission AD

01 Détecter l'étendue de la compromission AD
02 Identifier les comptes compromis (admin, service)
03 Détecter Golden/Silver Tickets
04 Analyser les GPO modifiées
05 Double reset KRBTGT (attente réplication)
06 Reset de tous les comptes admin
07 Nettoyer les AdminSDHolder, ACLs, GPOs
08 Déployer LAPS, tiering admin, MFA
09 Activer la surveillance avancée (4768, 4769, 4776)
10 Audit AD complet post-remédiation

Playbook BEC / Fraude au président

01 Bloquer le compte email compromis
02 Contacter la banque (rappel de virement <48h)
03 Analyser les journaux O365 (Unified Audit Log)
04 Identifier les règles de transfert malveillantes
05 Traçer l'origine de la compromission
06 Vérifier les autres comptes (mouvement latéral)
07 Déployer MFA sur tous les comptes
08 Configurer les alertes Microsoft Defender
09 Déposer plainte (obligatoire pour assurance)
10 Sensibilisation ciblée des équipes financères

Playbook Exfiltration de données

01 Identifier et bloquer le canal d'exfiltration
02 Capturer le trafic réseau (PCAP)
03 Quantifier le volume de données exfiltrées
04 Identifier la nature des données concernées
05 Évaluer l'impact RGPD (données personnelles)
06 Préparer la notification CNIL (72h)
07 Évaluer la nécessité d'informer les personnes
08 Déployer DLP et surveillance renforcée
09 Rechercher les données sur le dark web
10 Rapport pour assurance et plainte

Cybermenaces en chiffres — 2024-2025

Comprendre le paysage des menaces actuelles pour mieux se préparer. Voici les statistiques clés issues de nos interventions et des rapports internationaux.

+38%

Augmentation des attaques ransomware en France (ANSSI 2024)

67%

Des entreprises françaises victimes d'une cyberattaque en 2024

4,45 M$

Coût moyen d'une violation de données (IBM Cost of a Data Breach 2024)

21 jours

Durée moyenne d'interruption après un ransomware (Coveware 2024)

Top 5 des vecteurs d'intrusion initiale

Phishing / spear-phishing36%

Exploitation de vulnérabilités28%

Identifiants compromis (VPN, RDP)22%

Supply chain / tiers compromis9%

Menace interne5%

Top 5 des groupes ransomware actifs en France

1

LockBit 3.0

RaaS, double extorsion, délai moyen d'attaque : 5 jours

2

BlackCat / ALPHV

Rust-based, triple extorsion (leak + DDoS), ciblage ETI

3

Cl0p

Exploitation de vulnérabilités 0-day (MOVEit, GoAnywhere)

4

Play

Ciblage PME/ETI françaises, exploitation ProxyNotShell

5

Akira

Groupe émergent, ciblage VPN Cisco, collectivités territoriales

Les 10 prérequis essentiels pour survivre à un incident

Même sans retainer, ces 10 mesures fondamentales réduisent drastiquement l'impact d'un incident. Vérifiez chaque point dès maintenant.

1

Sauvegardes 3-2-1 avec copie offline immuable

3 copies, 2 supports différents, 1 hors site. La copie offline est la clé : sans elle, le ransomware chiffre aussi les sauvegardes. Testez la restauration tous les trimestres.

2

MFA sur tous les accès

VPN, Microsoft 365, admin consoles, accès RDP. Le MFA bloque 99,9% des attaques par identifiants compromis (source : Microsoft). Privilégiez FIDO2 ou app authenticator.

3

EDR sur tous les postes et serveurs

Un antivirus classique ne suffit plus. Un EDR (CrowdStrike, Microsoft Defender for Endpoint, Wazuh) détecte les comportements suspects, pas juste les signatures connues.

4

Segmentation réseau

Séparez les serveurs, les postes utilisateurs, les serveurs de sauvegarde et l'admin réseau. Sans segmentation, un ransomware se propage sur tout le parc en minutes.

5

Comptes admin dédiés (tiering)

Les administrateurs ne doivent JAMAIS utiliser leurs comptes admin pour naviguer sur Internet ou lire leurs emails. Comptes séparés Tier 0/1/2.

6

Journalisation centralisée

SIEM ou collecteur de logs centralisé (Graylog, Wazuh). Sans logs, l'investigation est aveugle. Rétention minimum : 6 mois (12 recommandés).

7

Patch management <30 jours

Les vulnérabilités critiques doivent être patchées en moins de 30 jours. 28% des intrusions exploitent des vulnérabilités connues non patchées.

8

Plan de réponse à incident documenté

Playbooks, contacts d'urgence, chaîne d'escalade, communication de crise. Le pire moment pour rédiger un plan, c'est pendant l'incident.

9

Assurance cyber active

Vérifiez les conditions de couverture AVANT l'incident. Depuis la loi LOPMI, le dépôt de plainte sous 72h est obligatoire pour activer la couverture.

10

Exercice de crise annuel

Un plan non testé est un plan qui ne marchera pas. Simulez un ransomware une fois par an avec toutes les parties prenantes (direction, IT, juridique, communication).

Réponse à Incident Cyber — Intervention d'Urgence

Qu'est-ce que la réponse à incident cyber ?

Types d'incidents que nous gérons

Ransomware

Compromission Active Directory

BEC (Business Email Compromise)

APT (Advanced Persistent Threat)

Exfiltration de données

Compromission cloud

Sabotage & destruction

Supply chain attack

Notre cadre de référence — NIST SP 800-61

Préparation

Détection & Analyse

Confinement, Éradication, Récupération

Activité post-incident

Quand déclencher une réponse à incident ?

Notre intervention d'urgence en 6 phases

Triage & qualification

Activités

Livrables

Résultat

Confinement

Activités

Livrables

Résultat

Investigation & éradication

Activités

Livrables

Résultat

Restauration & récupération

Activités

Livrables

Résultat

Surveillance post-incident

Activités

Livrables

Résultat

RETEX & renforcement

Activités

Livrables

Résultat

Prestation clé en main — tout est inclus

Gestion de crise

Investigation forensique

Restauration & reconstruction

Renforcement post-incident

Double expertise : réponse opérationnelle + forensique

Volet opérationnel

Volet forensique

Cas client — Ransomware BlackCat, 200 postes, recovery 72h

Contexte

Résultats

Chronologie de l'intervention

Triage & confinement

Investigation & éradication

Restauration

Surveillance & hardening

Nos engagements contractuels

SLA <4h garanti

Expert unique dédié

Surveillance 30 jours

Confidentialité absolue

Questions fréquentes sur la réponse à incident

Nous sommes attaqués, que faire en premier ?

Faut-il payer la rançon en cas de ransomware ?

Combien de temps pour reprendre l'activité après un ransomware ?

Devons-nous notifier la CNIL en cas de cyberattaque ?

Pouvez-vous intervenir à distance ?

Notre assurance cyber couvrira-t-elle l'intervention ?

Comment se préparer à un incident avant qu'il ne survienne ?

Faut-il porter plainte après une cyberattaque ?

Pourquoi nous choisir pour votre réponse à incident ?

Intervention immédiate

+150 incidents gérés

Forensique intégré

Reconstruction sécurisée

Habilitation CD

+20 ans d'expérience

Offre Retainer — Préparation à l'incident