Astar propose son assistance à toutes les étapes d’un incident de sécurité :
Si vous subissez actuellement une attaque, vous pouvez faire appel à nous pour vous aider à gérer, en direct, cet événement.
Cette prestation consiste essentiellement à monter une cellule de crise (où à rejoindre la votre si vous en avez déjà une) avec un ingénieur Astar afin de vous assister dans la résolution de l’incident.
Dans ces moments de stress intense, il est difficile d’avoir les idées claires et de prendre les meilleures décisions. Disposer d’un point de vue extérieur et expérimenté favorise une résolution rapide de l’incident tout en diminuant les risques de dommages collatéraux ou de nouveaux départs de feu.
Les consultants Astar s’occupent de dresser un plan de gestion ordonné afin d’accomplir les bonnes actions dans le bon ordre (communication, action, prise d’information, etc.).
Ils coordonnent les personnes capables d’agir sur place et suggèrent les moyens de résolution qu’ils jugent les plus adéquats.
Ils mettent à disposition une trousse à outils toute faite pour les opérations incontournables (copie de la RAM, recherche de maliciel, …) Ils prennent également soin de faciliter les investigations futures (recherche de l’origine de l’intrusion, des auteurs, de la portée réelle, …) via la collecte et la sauvegarde des éléments clés.
Cette prestation est facturée à l’heure (150 € HT en journée, 300 € HT la nuit et le weekend). Le client n’a pas besoin de s’engager sur un nombre d’heures minimal et il peut décider à tout moment de la fin de cette assistance.
Contactez-nous avec le nom d’objet CSIR-CRI pour plus d’information.
L’analyse forensique (aussi appelée “forensic” ou “investigation numérique”) a pour objectif d’élucider, dans la mesure du possible, les sources, les causes, les techniques, les tactiques et la chronologie de l’attaque subie.
Les recherches portent autant sur l’amont des dommages subis (accès initial, escalade de privilège, contournement des défenses, exécution malveillante, etc.) que sur l’aval (persistance, mouvements, latéraux, exfiltration d’identifiants, découverte, etc.).
L’investigation en amont consiste à remonter la chaîne des causalités depuis les événements dommageables observés :
L’investigation en aval consiste à suivre les actions des agents malveillants au sein du réseau :
La méthodologie d’investigation d’Astar s’appuie sur le formalisme de la matrice ATT&CK mise à disposition par le MITRE pour décrire les tactiques et techniques.
Astar emploie uniquement des méthodes d’investigation conformes à l’état de l’art et non destructives vis-à-vis des preuves analysées.
Cette prestation est un engagement de moyens au cours duquel Astar explore toutes les pistes à disposition et restitue :
Les analyses forensiques peuvent également être conduites dans le cadre d’une plainte. Dans ce cas, Astar propose une prestation sur mesure et suit une méthodologie très cadrées (collecte opposable des preuves, déclaration de tous les outils utilisées avec version et somme de contrôle, …).
Le livrable est un rapport d’expertise complet pouvant être produit comme preuve dans une démarche judiciaire.
Comme il est généralement difficile d’estimer, à priori, la qualité des matériaux d’investigation disponibles (journaux d'événements, copie du maliciel, …) et les chances d'élucidation, Astar propose deux approches tarifaires :
Après avoir subi un incident, on souhaite parfois ne pas perdre trop de temps sur les aspects commerciaux afin de démarrer l’analyse le plus tôt possible.
Pour les clients qui veulent limiter les allers-retours avec le service achat, nous proposons une analyse forensique préliminaire forfaitaire au prix de 5000 € HT (plus frais de déplacement).
Un ingénieur Astar est dépêché sur place et alloue environ 4 jours à l’investigation de l’incident.
Son objectif est d'établir des conclusions sur tous les sujets qui le peuvent dans le temps imparti et de réduire les hypothèses possibles pour les questions qui demeurent en suspens.
Il restitue alors un rapport d’intervention technique qui décrit toutes les investigations menées, les hypothèses et conclusions, les preuves collectées et une estimation du temps nécessaire pour faire la lumière sur les questions demeurées irrésolues.
Ce rapport est conçu pour servir de base exhaustive à toute investigation future qui viendrait en complément (même de la part d’un autre prestataire).
A l’issue de cette analyse préliminaire, le client peut se contenter des résultats ou bien demander une extension pour continuer les investigations sur un ou plusieurs points.
Ce format forfaitaire est, de l’expérience d’Astar, souvent bien adapté. En effet, même si toutes les questions ne reçoivent pas une réponse certaine, il est fréquent que les actions à mener par le client diffèrent finalement peu selon que telle ou telle hypothèse soit vraie (par exemple: même si une intrusion par force brute est suspectée sans être avérée, le client doit de toute façon changer tous les mots de passe car la base Active Directory a été exposée). Cette analyse préliminaire est donc très souvent suffisante pour donner des recommandations pertinentes même lorsque toutes les questions n’ont pas pu être élucidées.
Si vous souhaitez une prestation sur mesure, Astar vous proposera un devis de 20 jours d’analyse (au prix de 900 € HT/Jour, plus les éventuels frais de déplacement) dont vous ne paierez finalement que les jours réellement consommés.
Un ingénieur Astar est envoyé sur place et mène les analyses sur les matériaux d’investigation à disposition. Il rend compte, chaque soir, de ses avancées de la journée, des pistes qu’il projette d’explorer le lendemain et des chances qu’il estime d’obtenir des réponses concluantes.
Si le client estime posséder assez d'éléments, ou bien que les moyens nécessaires pour en obtenir plus sont trop couteux, il peut décider de mettre fin à l’analyse à tout moment. Il s’accordera avec l’ingénieur Astar sur le format de rapport attendu selon son besoin (simple note technique d’intervention ou rapport complet pouvant servir devant un tribunal).
Une fois le rapport terminé, seuls les jours réellement consommés sur le devis initial sont facturés.
Contactez-nous avec le nom d’objet CSIR-FOR pour plus d’information.
Le rétablissement ou l’amélioration du niveau de sécurité, après une attaque, peut être une tâche délicate.
Il arrive notamment qu’il soit nécessaire de mobiliser des compétences qu’on ne possède pas parmi son personnel et qui n’auraient pas vocation à être internalisées de manière pérenne.
Dans ces cas-là, il est pertinent de recourir à une assistance technique ponctuelle de quelques jours/semaines. Astar peut détacher des ingénieurs chez ses clients pour les accompagner dans la résolution des problèmes (revue des permissions, recherche des machines obsolètes, sécurisation d’une interface Web, …) ou la mise en place d’améliorations (déploiement d’un SIEM, d’un scanner de vulnérabilités, d’un outil de cartographie du SI, …).
Ce type de prestation est facturé à la demi-journée (450 € HT la demi-journée). Astar proposera un nombre de jours pertinent et le client ne paiera que les demi-journées effectivement consommées. Le client n’a pas besoin de s’engager sur un nombre de jours minimal et il peut décider à tout moment de la fin de l’assistance technique, sans préavis.
Contactez-nous avec le nom d’objet CSIR-DEF pour plus d’information.