INCIDENT RESPONSE & FORENSICS

1 – SOC SERMA NES

en charge de la détection et de la qualification des incidents.

2 – CSIRT SERMA NES

Pilotage des plans de réactions efficaces et mise en œuvre de mesures correctives organisationnelles et technologiques, jusqu’à la résolution des incidents.
Incident Response : Réaction de manière proportionnée et rapide.

3 – ANALYSE FORENSIQUE

SERMA NES met à votre disposition une Task Force d’intervention et d’investigation agile et adaptée à votre situation.

Déroulement de l’intervention

Avant l'incident

Organisation spécifique adaptée à la sensibilité de votre SI

  • Organisation dotée des pouvoirs de décision :
    • Qualification, justification et approbation des décisions
    • Comment la décision sera auditée ultérieurement
  • Organisation transverse : juridique, SSI, infrastructure, marketing, relations publiques, DAF etc…
  • Harmonisation et systématisation de l’approche du traitement des incidents par les fonctions sollicitées selon leur niveau de sensibilité.

Mise en œuvre de moyens personnalisés

  • Skillset : qualités organisationnelles de formalisation, d’animation, de pilotage et de communication, maîtrise des procédures et outils, de l’environnement du client
  • Toolset : détection et réaction, processus de déclenchement / escalade / arbitrage / cessation d’investigation

Compréhension des environnements, définition de la « posture initiale » de la société, et détermination des SLA en cohérence avec les besoins spécifiques

Mise en situation de crise pour tester l’efficacité de l’organisation et des outils en place

Etablissement d’une convention comprenant : la démarche globale, le contexte et les moyens

Seules les personnes adaptées doivent être intégrées à la cellule de réaction et préservation de la confidentialité

Après l'incident
  • Observation : utilisation d’outils technologiques pour détecter un décalage vis-à-vis de la posture initiale ou d’un état stabilisé préalable sur :
    • le réseau
    • les systèmes
    • les applications
    • la société

 

    • Orientation : utilisation d’outils analytiques pour déterminer ce qui se passe et prise en compte d’informations contextuelles :
      • organisation en cours de fusion ou acquisition
      • ouverture du réseau à des nouveaux partenaires
      • l’organisation souhaite-t-elle implémenter un plan social
      • actualité géopolitique
      • nouveau malware disponible sur le marché
      • nouvelles réglementations / lois

 

  • Décision : Prise d’une décision stratégique, tactique, rationnelle et fiable et donner les pouvoirs aux opérationnels préalablement désignés.

 

  • Action : Utilisation du mandat fourni par les décideurs pour la mise en place de la solution choisie au travers d’outils technologiques sur les systèmes impactés
    • Tenue d’un registre des actions afin de les évaluer en termes d’efficacité et de légitimité
Analyse forensique

SERMA Nes met en oeuvre des outils de forensique pour déterminer les preuves de l’intrusion. Qui a fait quoi, quand, sur quel système ?

La démarche :
  • Précautions prises lors de l’acquisition des preuves irréfutables pour présentation devant les tribunaux sur les équipements, disques, médias …
  • Labellisation
  • Copie des configurations ou des médias sur laquelle l’investigation est menée, au travers d’une procédure garantissant l’intégrité des preuves. Cette démarche doit être supervisée par des témoins / huissier de justice
  • Mise sous scellée de l’équipement concerné : assistance par un huissier de justice et mise au coffre
  • Collecte des éléments de preuves au travers d’outils spécialisés et éprouvés
  • Ecriture d’un rapport de l’ensemble des observations effectuées
  • Assistance à la détermination de la marche à suivre : dépôt de plainte …

Exemples d’interventions

Fuite de données sur Internet (exfiltration)

Cyber terrorisme (Cryptolocker)

Perte d’un fichier critique

Menace sur des employés de la société, chantage

Litiges au sein d’une entreprise

Malwares, Ransomwares

Perte d’un dossier au détriment d’un concurrent

Pour plus d’informations concernant ces prestations, notre équipe commerciale est à votre disposition :