Analyse forensic de votre infrastructure cloud

Une analyse forensic est une investigation post-incident où un expert sécurité cherche l’origine de la faille, vérifie la pertinence des actions réalisées à la suite de l’attaque subie et propose des actions de remédiation à court et moyen terme pour une réponse à incident adaptée.

Analyse forensic

LES ENJEUX

Pourquoi faire une analyse forensic ?

Il existe 3 raisons qui poussent nos clients à faire appel à nos services d’analyse forensic :

comprendre

Comprendre l'origine de l'attaque

L’investigation post-incident permet à nos clients de rapidement comprendre par quel moyen l’attaquant a accédé à votre système et ainsi rapidement corriger la vulnérabilité. L’analyse forensic est très importante car identifier la faille exploitée permet de prévenir l’apparition de vulnérabilités dans le futur.

rassurer

Rassurer les équipes

Subir une attaque est un événement très stressant pour vos équipes. L’intervention de nos équipes spécialisées en sécurité cloud vous permet d’évaluer la qualité de votre réponse à l’incident et de rassurer en interne. Nous vérifions aussi l’exhaustivité des actions mises en place pour aider votre service juridique à communiquer avec les utilisateurs et la CNIL.

conforme

Mettre en place un plan d'action

Il est souvent difficile d’évaluer la priorité et la complexité des chantiers à mener à la suite d'un incident. L’analyse forensic vous permet de mieux comprendre le risque associé à chaque vulnérabilité, de choisir les actions à mener en priorité, et de construire un vrai plan de sécurité long terme qui préviendra l’introduction de nouvelles failles.

Nos offres d'investigations post-incident

Nos experts en Cybersécurité vous proposent deux types d’intervention : une analyse post-incident des vulnérabilités exploitées et une équipe qui mettra en place les premières corrections de votre plan.

Sécurisation post-incident

Après vous avoir conseillé sur les actions prioritaires à mener, nos experts mettent en place les corrections les plus urgentes. Accompagnés de vos équipes, ils implémentent ces mesures à la suite de l’analyse forensic. Vous trouverez les livrables de cette intervention dans la section “Livrables”.

Analyse forensic post-incident

Vous avez subi un incident de sécurité cloud ? Nos experts font un audit de votre infrastructure pour identifier le chemin parcouru par l’attaquant. En listant les ressources compromises, ils vous permettent de prioriser les actions à prendre pour prévenir d’éventuelles nouvelles failles de sécurité. Ils vérifient avec vous l’exhaustivité de ces actions pour conseiller votre service juridique sur votre communication aux utilisateurs et à la CNIL. Vous trouverez les livrables de cette intervention dans la section “Livrables”.

NOS PARTENAIRES & EXPERTISES

Des experts de la sécurité cloud

Theodo Cloud est partenaire de Google Cloud, AWS, Microsoft Azure, OVHcloud et Kubernetes. Nos experts en investigation post-incident sont formés et certifiés sur ces technologies. Cette maîtrise leur permet de comprendre votre système d'information et d’identifier très rapidement quelles failles ont été exploitées par les attaquants.

aws-partner
GCP-Partner
Gold Azure
kubernetes
argo cd
Vault

Ils nous font confiance

Samir Bouaked
sebastien monchamps
yoann gasque
NOTRE MÉTHODOLOGIE

Nos analyses forensic se déroulent selon la manière suivante :

padok-cybersecurity
  1. 1

    Recherche des failles utilisées par les attaquants

    Nos experts SecOps interviennent en moins de 72h pour retracer le parcours de l’attaquant lors d’une investigation post-incident. En faisant cela, ils identifient les vulnérabilités qui ont été exploitées dans le but de les corriger le plus rapidement possible.

  2. 2

    Analyse de l'ensemble de données compromises

    Pour connaître l’étendue des dégâts, notre équipe analyse minutieusement vos journaux d’événements et vos métriques pendant l’investigation post-incident. Ils déterminent avec certitude les composants de l’infrastructure qui ont été compromis, et si les attaquants ont effectué un vol de données. À la fin de cette analyse forensic, ils vous fournissent un rapport détaillé des vulnérabilités observées et des données compromises.

  3. 3

    Création d'un plan d'action post incident

    Nos experts vous conseillent sur le choix de réponse à incident approprié. Pour assurer la remise complète en condition de sécurité de votre infrastructure, ils vous proposent un plan d’action qui permet de prioriser les chantiers de sécurisation à mettre en place.

  4. 4

    Mise en place des correctifs

    Nos experts peuvent intervenir à la suite de cette analyse forensic pour vous aider à implémenter toutes les recommandations proposées. Cela vous permet ainsi de rapidement revenir à un niveau de sécurité cloud optimal sans surcharger vos équipes internes.

Les livrables des analyses forensic

Les différents livrables d’investigation post-incident sont précisés avec vous au début de la mission. Voici quelques exemples de livrables que nous vous fournissons :

journal-de-test

Journal de bord

Le journal de bord reprend tout l’historique des actions effectuées. Il récapitule le déroulement pas à pas de l’analyse forensic : tous les tests réalisés, les logs analysés et les vulnérabilités trouvées. Cela permet à l’équipe interne de garder la trace exacte des étapes de cette investigation post-incident.

rapport-test-intrusion

Rapport d'investigation post-incident

À la fin de chaque mission, nos experts rédigent un rapport détaillé comprenant le déroulé précis de l’attaque, preuves à l’appui, et des recommandations activables. Un niveau de priorité est attribué à chaque recommandation pour vous aider à comprendre l’urgence des actions à entreprendre.

synthese-manageriale

Synthèse managériale

La verticale sécurité de Theodo Cloud effectue une restitution orale et écrite à votre comité de direction pour présenter en termes clairs les conclusions de l’enquête. Ce document fournit un résumé non technique des principaux points de l’analyse forensic et fournit des détails sur les risques les plus critiques de votre sécurité cloud. De plus, il vous propose une priorisation/hiérarchisation des actions à entreprendre.

NOTRE PROMESSE

Restaurer votre confiance dans votre infrastructure et empêcher que l’attaque ne se reproduise

Nos experts en cybersécurité vous permettent de comprendre en détail tout le déroulé de l’attaque et de connaître précisément les données compromises. L’objectif est ensuite de vous conseiller sur les actions à entreprendre en priorité.

  • check-icon

    Des experts certifiés en sécurité offensive et défensive sur vos technologies

  • check-icon

    Des remédiations concrètes et activables, priorisées en fonction de leur impact

  • check-icon

    Une intervention rapide en moins de 72h

Cas Client

Analyse forensic d’une entreprise de vidéosurveillance

Notre client est un acteur majeur du monde de la vidéosurveillance, responsable de la sécurité cloud de flux vidéos critiques. En janvier 2021, son infrastructure AWS a été partiellement compromise et a été utilisée pour envoyer plus de 100 000 mails de phishing.

 

Le client risquait d’être banni du service SES d’AWS et craignait la compromission totale de son infrastructure. 

 

La verticale sécurité de Theodo Cloud est intervenu rapidement pour comprendre les failles que les pirates utilisaient pour accéder à son serveur de mails, corriger les vulnérabilités, évaluer les données qui avaient été compromises et proposer un plan de remédiation clair. 

duree

Durée du projet

  • 4 jours
points-cles

Points clés

  • Infrastructure AWS complexe et plus de 10 applications en production
  • Aucune information préalable sur l’origine possible de l’attaque
  • Besoin de remédiation à la vulnérabilité dans les plus brefs délais
resultat

Recommandations

  • Vulnérabilité détectée en moins de 24h : un serveur de développement non répertorié, accessible sans restriction depuis internet, en mode "debug"
  • Mise en place d'une vérification automatique en CI/CD qui empêche le déploiement de l'application si elle est configurée en mode "debug", prévenant ainsi tout risque de compromission à l’avenir