Réponse à incident

Astar propose son assistance à toutes les étapes d’un incident de sécurité :

  • Gestion de crise : lorsque l’incident est en cours et qu’il faut de l’aide pour le résoudre (150 € HT de l’heure - 300 € de l’heure la nuit et le weekend)
  • Analyse forensique : lorsque l’incident est passé et qu’il faut découvrir comment il a pu se produire et jusqu’où ont été les attaquants (forfait: 5 000 € HT ou prestation sur mesure)
  • Renforcement des défenses : lorsque les causes de l’incident sont connues et qu’il faut de l’aide pour corriger les failles ou augmenter la résistance du système d’information (800 € HT par jour)

Gestion de crise

Si vous subissez actuellement une attaque, vous pouvez faire appel à nous pour vous aider à gérer, en direct, cet événement.

Cette prestation consiste essentiellement à monter une cellule de crise (où à rejoindre la votre si vous en avez déjà une) avec un ingénieur Astar afin de vous assister dans la résolution de l’incident.
Dans ces moments de stress intense, il est difficile d’avoir les idées claires et de prendre les meilleures décisions. Disposer d’un point de vue extérieur et expérimenté favorise une résolution rapide de l’incident tout en diminuant les risques de dommages collatéraux ou de nouveaux départs de feu.

Les consultants Astar s’occupent de dresser un plan de gestion ordonné afin d’accomplir les bonnes actions dans le bon ordre (communication, action, prise d’information, etc.).
Ils coordonnent les personnes capables d’agir sur place et suggèrent les moyens de résolution qu’ils jugent les plus adéquats.
Ils mettent à disposition une trousse à outils toute faite pour les opérations incontournables (copie de la RAM, recherche de maliciel, …) Ils prennent également soin de faciliter les investigations futures (recherche de l’origine de l’intrusion, des auteurs, de la portée réelle, …) via la collecte et la sauvegarde des éléments clés.

Cette prestation est facturée à l’heure (150 € HT en journée, 300 € HT la nuit et le weekend). Le client n’a pas besoin de s’engager sur un nombre d’heures minimal et il peut décider à tout moment de la fin de cette assistance.

Contactez-nous link avec le nom d’objet CSIR-CRI pour plus d’information.

Analyse forensique

Objectifs et méthodologie

L’analyse forensique (aussi appelée “forensic” ou “investigation numérique”) a pour objectif d’élucider, dans la mesure du possible, les sources, les causes, les techniques, les tactiques et la chronologie de l’attaque subie.

Les recherches portent autant sur l’amont des dommages subis (accès initial, escalade de privilège, contournement des défenses, exécution malveillante, etc.) que sur l’aval (persistance, mouvements, latéraux, exfiltration d’identifiants, découverte, etc.).

L’investigation en amont consiste à remonter la chaîne des causalités depuis les événements dommageables observés :

  • Identifier le(s) programme(s) malveillant(s) (si l’attaque était automatisée) ou les commandes à l’origine des dommages observés
  • Identifier les méthodes (tactiques et techniques) d’exécution de ce programme ou de ces commandes (escalade de privilège, vol d’identifiants, contournement des défenses, …)
  • Identifier les moyens d’obtentions de ces méthodes (attaque par force brute, exploitation de vulnérabilité, ingénierie sociale, …)
  • Identifier les sources ayant réalisé l’intrusion initiale

L’investigation en aval consiste à suivre les actions des agents malveillants au sein du réseau :

  • Identifier les actifs à l’origine des dommages observés
  • Identifier les sources, depuis lesquelles les attaquants ont accédé à ces actifs, et les destinations, auxquelles ils ont accédé depuis ces actifs
  • Identifier les méthodes (tactiques et techniques) de reconnaissance et de propagation au sein du système d’information
  • Cartographier les actifs compromis et les méthodes de compromission
  • Identifier d’éventuels accès persistants ou des activités résiduelles de la menace au sein du réseau

La méthodologie d’investigation d’Astar s’appuie sur le formalisme de la matrice ATT&CK mise à disposition par le MITRE pour décrire les tactiques et techniques.
Astar emploie uniquement des méthodes d’investigation conformes à l’état de l’art et non destructives vis-à-vis des preuves analysées.

Cette prestation est un engagement de moyens au cours duquel Astar explore toutes les pistes à disposition et restitue :

  • Les constats et les déductions
  • Les hypothèses et, le cas échéant, les certitudes, à propos de l’amont et de l’aval de l’attaque
  • Les recommandations pour rétablir et améliorer le niveau de sécurité

Les analyses forensiques peuvent également être conduites dans le cadre d’une plainte. Dans ce cas, Astar propose une prestation sur mesure et suit une méthodologie très cadrées (collecte opposable des preuves, déclaration de tous les outils utilisées avec version et somme de contrôle, …).
Le livrable est un rapport d’expertise complet pouvant être produit comme preuve dans une démarche judiciaire.

Format de la prestation

Comme il est généralement difficile d’estimer, à priori, la qualité des matériaux d’investigation disponibles (journaux d’événements, copie du maliciel, …) et les chances d’élucidation, Astar propose deux approches tarifaires :

Forfait d’analyse préliminaire

Après avoir subi un incident, on souhaite parfois ne pas perdre trop de temps sur les aspects commerciaux afin de démarrer l’analyse le plus tôt possible.
Pour les clients qui veulent limiter les allers-retours avec le service achat, nous proposons une analyse forensique préliminaire forfaitaire au prix de 5000 € HT (plus frais de déplacement).

Un ingénieur Astar est dépêché sur place et alloue environ 4 jours à l’investigation de l’incident.
Son objectif est d’établir des conclusions sur tous les sujets qui le peuvent dans le temps imparti et de réduire les hypothèses possibles pour les questions qui demeurent en suspens.
Il restitue alors un rapport d’intervention technique qui décrit toutes les investigations menées, les hypothèses et conclusions, les preuves collectées et une estimation du temps nécessaire pour faire la lumière sur les questions demeurées irrésolues.
Ce rapport est conçu pour servir de base exhaustive à toute investigation future qui viendrait en complément (même de la part d’un autre prestataire).

A l’issue de cette analyse préliminaire, le client peut se contenter des résultats ou bien demander une extension pour continuer les investigations sur un ou plusieurs points.

Ce format forfaitaire est, de l’expérience d’Astar, souvent bien adapté. En effet, même si toutes les questions ne reçoivent pas une réponse certaine, il est fréquent que les actions à mener par le client diffèrent finalement peu selon que telle ou telle hypothèse soit vraie (par exemple: même si une intrusion par force brute est suspectée sans être avérée, le client doit de toute façon changer tous les mots de passe car la base Active Directory a été exposée). Cette analyse préliminaire est donc très souvent suffisante pour donner des recommandations pertinentes même lorsque toutes les questions n’ont pas pu être élucidées.

Analyse sur mesure

Si vous souhaitez une prestation sur mesure, Astar vous proposera un devis de 20 jours d’analyse (au prix de 900 € HT/Jour, plus les éventuels frais de déplacement) dont vous ne paierez finalement que les jours réellement consommés.
Un ingénieur Astar est envoyé sur place et mène les analyses sur les matériaux d’investigation à disposition. Il rend compte, chaque soir, de ses avancées de la journée, des pistes qu’il projette d’explorer le lendemain et des chances qu’il estime d’obtenir des réponses concluantes.
Si le client estime posséder assez d’éléments, ou bien que les moyens nécessaires pour en obtenir plus sont trop couteux, il peut décider de mettre fin à l’analyse à tout moment. Il s’accordera avec l’ingénieur Astar sur le format de rapport attendu selon son besoin (simple note technique d’intervention ou rapport complet pouvant servir devant un tribunal).
Une fois le rapport terminé, seuls les jours réellement consommés sur le devis initial sont facturés.

Contactez-nous link avec le nom d’objet CSIR-FOR pour plus d’information.

Renforcement des défenses

Le rétablissement ou l’amélioration du niveau de sécurité, après une attaque, peut être une tâche délicate.
Il arrive notamment qu’il soit nécessaire de mobiliser des compétences qu’on ne possède pas parmi son personnel et qui n’auraient pas vocation à être internalisées de manière pérenne.

Dans ces cas-là, il est pertinent de recourir à une assistance technique ponctuelle de quelques jours/semaines. Astar peut détacher des ingénieurs chez ses clients pour les accompagner dans la résolution des problèmes (revue des permissions, recherche des machines obsolètes, sécurisation d’une interface Web, …) ou la mise en place d’améliorations (déploiement d’un SIEM, d’un scanner de vulnérabilités, d’un outil de cartographie du SI, …).

Ce type de prestation est facturé à la demi-journée (400 € HT la demi-journée). Astar proposera un nombre de jours pertinent et le client ne paiera que les demi-journées effectivement consommées. Le client n’a pas besoin de s’engager sur un nombre de jours minimal et il peut décider à tout moment de la fin de l’assistance technique, sans préavis.

Contactez-nous link avec le nom d’objet CSIR-DEF pour plus d’information.