CERT - Almond

Tristan PINCEAUX | Lead CERT

La recrudescence des attaques informatiques est une menace à laquelle toutes les entreprises font face aujourd’hui. Ces dernières, si elles n’ont pas la maturité nécessaire pour gérer un incident seules, doivent être en mesure de s’appuyer sur des experts en cybersécurité.
Les enjeux sont multiples : endiguer les actions des attaquants, éradiquer les menaces et mécanismes de persistance, rétablir les conditions opérationnelles et relancer la Production au plus vite.
L’équipe du CERT CWATCH Almond est là pour vous accompagner dans toutes ces phases afin de réagir rapidement et de la meilleure manière aux cyber-attaques.

A la lumière des grandes tendances ayant marqué le paysage cyber et l’évolution continue du niveau de menace due à l’amélioration constante des capacités des acteurs malveillants dont les principales intentions restent le gain financier, l’espionnage et la déstabilisation, il en ressort une nécessité accrue d’avoir une équipe capable de faire face à ces cybermenaces en proposant des réponses sur incidents adaptées avec une bonne gestion de crises.
Notre équipe CERT (Computer Emergency Response Team) CWATCH, avec son personnel hautement qualifié et son expertise développée à travers les divers incidents traités, vous propose un accompagnement structuré et de qualité, au niveau technique comme humain, afin que vous puissiez surmonter les éventuels incidents de sécurité affectant votre système d’information.

Nos services

assurés par notre CERT

Réponse aux incidents de sécurité

Accompagnement à la gestion de crise

Investigation forensique sur environnement Linux, Windows (Active Directory, Windows 7/8/10/11, Exchange, Windows Server, …), évènements réseaux, …

Investigation PFI (environnements PCI-DSS et Cartes Bancaires)

Levée de doute sur alertes Antivirus

Accompagnement à la remédiation

Accompagnement à la continuité et à la reprise d’activité (après rançongiciel par exemple)

Accompagnement dans la communication externe et interne : avec les autorités, les parties prenantes (stakeholders) et les utilisateurs / clients

Audit de recherche de compromission (Bilan de sécurité / Sanity check-up)

Analyse récurrente de postes de travail ou de serveurs critiques (ex: VIP)

Rétro-ingénierie d’un malware ou d’une souche malveillante

Renseignement sur la menace (CTI)

Recherches en sources ouvertes et semi-ouvertes de fuite de données ou d’identifiants

Vigilance externe pour les assets publics

Déroulement d'une réponse à incident

Détection

Vous contactez le CERT CWATCH dès que vous soupçonnez ou détectez un incident de sécurité

Qualification

Un expert CWATCH vous rappelle pour qualifier l’incident et prendre le contexte

Dispositif de réponse

Le CERT CWATCH vous propose un dispositif initial de réponse

Accord

Vous nous confirmez formellement votre accord pour démarrer le dispositif de réponse

Opérations

Nous démarrons les opérations de réponse en intervenant à distance ou sur site : collecte, analyse, réaction & remédiation

Révision

Avec la compréhension progressive de l’incident, les experts révisent régulièrement avec vous la stratégie de réponse. Des comptes-rendus et points de suivis réguliers peuvent être réalisés

Rapport

Un rapport final à destination des parties prenantes est rédigé, en incluant le détail de l’incident, des investigations et des recommandations à suivre

Exemples de missions

Situation au déclenchement du service CERT	Opérations menées par le CERT
Le service informatique a repéré un comportement anormal sur un serveur exposé sur Internet et soupçonne une compromission.	Le CERT liste l’ensemble des données à collecter pour lever le doute sur la compromission et fournit à l’équipe informatique un agent de collecte à lancer sur le serveur. Les données de l’agent de collecte et les logs du firewall sont envoyés au CERT, qui après analyse confirme qu’une vulnérabilité a été exploitée pour installer un Remote Shell et prendre le contrôle du serveur. L’objectif est à présent de mesurer l’étendue de la compromission et de gérer la situation de crise interne. Avec l’accord du client, le CERT dépêche un expert sur site pour coordonner les opérations et rassurer les différentes parties prenantes pendant que les opérations d’investigation se poursuivent. Après 2 jours d’investigation, le CERT établit que l’attaquant n’a pas réussi à compromettre d’autres ressources. Une procédure d’éradication de l’attaque et de retour à la normale est documentée ainsi que la chaîne des événements, les vulnérabilités exploitées et le plan de remédiation associé.
Un malware de type ransomware chiffre les données sur plusieurs postes de travail et partage réseau.	Le CERT établit avec le responsable informatique un plan d’urgence pour contenir l’attaque et suit à distance les gestes techniques (isolation du réseau de certaines machines, mise en sécurité de sauvegardes…) Une fois que le contrôle de la situation est en place, le CERT fournit au responsable IT un outil de collecte à lancer sur un poste infecté et une liste d’actions de vérification des vecteurs d’attaque (mail, web, clé USB). Les données collectées permettent au CERT d’identifier le malware utilisé et d’identifier la source (un mail avec pièce jointe piégée envoyé à au moins 4 employés). Ne parvenant pas à être rapidement sûr de l’absence d’autres destinataires du mail piégé, un message d’alerte est rédigé pour les employés avec l’aide du CERT. En parallèle les marqueurs de l’attaque (malware utilisé et impact sur le poste, émetteur et sujet du mail…) sont utilisés pour dériver des règles de blocage sur le firewall, le serveur / relais de messagerie et l’antivirus des postes. Le malware utilisé s’appuyant sur une clé de chiffrement stockée en mémoire, une station infectée qui n’a pas été redémarrée est mise à disposition du CERT. Cela permet de récupérer la clé de chiffrement et de déchiffrer 80% des données. La direction sollicite le CERT pour évaluer l’opportunité de payer la rançon demandée pour avoir une chance de retrouver les données restantes et décide de ne pas prendre cette option. Le CERT établit avec le responsable informatique et le prestataire gérant les sauvegardes et le parc informatique un plan de restauration (ordre de reconstruction des postes / restauration des sauvegardes). Un fois les opérations de retour à la normale terminées, le CERT propose un plan de durcissement du filtrage des mails et de la navigation web ainsi qu’un programme de sensibilisation des employés.

Situation au déclenchement du service CERT

Opérations menées par le CERT

Le service informatique a repéré un comportement anormal sur un serveur exposé sur Internet et soupçonne une compromission.

Le CERT liste l’ensemble des données à collecter pour lever le doute sur la compromission et fournit à l’équipe informatique un agent de collecte à lancer sur le serveur.
Les données de l’agent de collecte et les logs du firewall sont envoyés au CERT, qui après analyse confirme qu’une vulnérabilité a été exploitée pour installer un Remote Shell et prendre le contrôle du serveur.
L’objectif est à présent de mesurer l’étendue de la compromission et de gérer la situation de crise interne. Avec l’accord du client, le CERT dépêche un expert sur site pour coordonner les opérations et rassurer les différentes parties prenantes pendant que les opérations d’investigation se poursuivent.
Après 2 jours d’investigation, le CERT établit que l’attaquant n’a pas réussi à compromettre d’autres ressources. Une procédure d’éradication de l’attaque et de retour à la normale est documentée ainsi que la chaîne des événements, les vulnérabilités exploitées et le plan de remédiation associé.

Un malware de type ransomware chiffre les données sur plusieurs postes de travail et partage réseau.

Le CERT établit avec le responsable informatique un plan d’urgence pour contenir l’attaque et suit à distance les gestes techniques (isolation du réseau de certaines machines, mise en sécurité de sauvegardes…)
Une fois que le contrôle de la situation est en place, le CERT fournit au responsable IT un outil de collecte à lancer sur un poste infecté et une liste d’actions de vérification des vecteurs d’attaque (mail, web, clé USB). Les données collectées permettent au CERT d’identifier le malware utilisé et d’identifier la source (un mail avec pièce jointe piégée envoyé à au moins 4 employés).
Ne parvenant pas à être rapidement sûr de l’absence d’autres destinataires du mail piégé, un message d’alerte est rédigé pour les employés avec l’aide du CERT. En parallèle les marqueurs de l’attaque (malware utilisé et impact sur le poste, émetteur et sujet du mail…) sont utilisés pour dériver des règles de blocage sur le firewall, le serveur / relais de messagerie et l’antivirus des postes.
Le malware utilisé s’appuyant sur une clé de chiffrement stockée en mémoire, une station infectée qui n’a pas été redémarrée est mise à disposition du CERT. Cela permet de récupérer la clé de chiffrement et de déchiffrer 80% des données. La direction sollicite le CERT pour évaluer l’opportunité de payer la rançon demandée pour avoir une chance de retrouver les données restantes et décide de ne pas prendre cette option.
Le CERT établit avec le responsable informatique et le prestataire gérant les sauvegardes et le parc informatique un plan de restauration (ordre de reconstruction des postes / restauration des sauvegardes). Un fois les opérations de retour à la normale terminées, le CERT propose un plan de durcissement du filtrage des mails et de la navigation web ainsi qu’un programme de sensibilisation des employés.

Pourquoi nous choisir ?

Une équipe d’experts qualifiés et certifiés

Une équipe pluridisciplinaire

Des experts multilingues

Des outils de recherches et collectes développées en interne

Un suivi actif de la veille cyber

Besoin d’assistance sur un incident de sécurité

Que vous soyez client ou non d’Almond, contactez le CERT CWATCH

+33 (0) 1 83 75 36 94

(à toujours privilégier en cas d’urgence)

alerte@cwatch.almond.consulting

Almond est un utilisateur autorisé de la marque CERT™ :
Veille technologique, amélioration continue de nos méthodologies
de réponse à incidents et partage de connaissances (IOC) entre CERT™.

Le CERT d’Almond est membre du réseau InterCERT France depuis 2020. InterCERT-FR est une association loi 1901 qui rassemble les équipes de réponse aux incidents (CSIRT) en France.