CERT SERVICES

La complémentarité des ressources de SEKOIA au service de :

• La réponse à incident,

• La gestion de crise,

• Le Managed Detection & Response (CERT & SOC),

L’intégration de la Cyber Threat Intelligence au coeur des dispositifs.

Nos équipes CERT détectent et analysent les incidents de sécurité et proposent des actions de remédiation à nos clients, afin de garantir un rétablissement rapide du système d’information.

 

La conformité des SI vis-à-vis de référentiels internationaux est également évaluée en se basant sur les meilleures pratiques.

Gestion des Incidents de Sécurité

Nos équipes DFIR interviennent à la demande ou sur site en assistance continue.

Ces analystes sont experts dans la gestion des incidents de sécurité, l’investigation numérique et l’analyse de code malveillant.

Threat Hunting

Contrairement aux démarches de réponse sur incident de sécurité classiques qui sont déclenchées à partir d’une alerte spécifique, le Threat Hunting est une activité proactive visant à vérifier la présence actuelle ou passée de menaces sur l’infrastructure de l’entreprise.

 

LET’S PURPLE YOUR ORGANISATION

• tester vos défenses et améliorer vos capacités de détection (mode Purple / Red Team) en simulant des attaques informatiques avancées et en reproduisant les TTPs des adversaires qui ciblent votre secteur d’activité ;

• définir et mettre en place une démarche de Cyber Threat Intelligence stratégique et opérationnelle, notamment au sein de CERT / CSIRT ou de SOC ;

• piloter vos projets de Cyber Threat Intelligence (aide au choix et déploiement d’une plateforme dédiée, aide au choix des feeds d’IoC privés, accompagnement à la mise en place d’une gouvernance CTI, etc.).

GESTION DES INCIDENTS
DE Sécurité

DÉFI
| être prêt pour réagir à temps.

Dès sa création, SEKOIA a accompagné les premières sociétés du CAC40 dans le déploiement de leur CERT interne. En 2013 est créé le CERT SEKOIA, un service inter-entreprises au bénéfice des OIV et autres acteurs du CAC40 et du SBF120.

 

 

Le CERT est une structure certifiée et homologuée.
Il puise ses ressources dans nos équipes spécialisées, monte en puissance et adapte ses moyens à la moindre alerte.

L’activité du CERT a orienté SEKOIA vers la confrontation régulière aux menaces. De ce fait, plus qu’une sensibilité, SEKOIA à développé et fondé ses activités sur une réelle expertise en Threat Intel.

— 1 —

préparation

Nos analystes possèdent les outils et les procédures pour répondre à de nombreux types d’incidents.

— 2 —

identification

Analyse et compréhension de l’incident.

Identification du périmètre et des impacts.

— 3 —

confinement

Propositions de mesures de confinement afin d’empêcher l’aggravation de l’incident.

— 4 —

éradication

Définition et coordination d’un plan d’action permettant de supprimer la menace.

— 5 —

remise
en service

Accompagnement vers la remise en service des composants impactés.

— 6 —

retour
d’expérience

Rapport détaillant le déroulement de l’incident, de la réponse, ainsi que des mesures concrètes.

treat hunting

DÉFI
| trouver ce que personne ne cherche.

Le Threat Hunting est une activité proactive dont l’objectif est d’en savoir plus sur l’état présent de l’infrastructure de l’entreprise, et sur l’historique des menaces qui l’ont affectée.   

Cette activité se distingue de la réaction sur incident dans la mesure où les équipes examinent une infrastructure à priori saine, dans une démarche critique et en disposant de temps nécessaire pour investiguer sereinement sur tout le spectre des menaces possibles.

 


investigations
proactive

— 1 —

Threat
Intelligence

Nos analystes commencent par analyser les menaces principales au vu du contexte client.

Ils analysent ensuite les Tactiques, Techniques et Procédures (TTPs) utilisés par celles-ci.

Cela permet de décider avec le client les hypothèses de recherche.

— 2 —

Collecte
des traces

En fonction des hypothèses définies, nous procédons à la collecte de nombreuses traces numériques comme des journaux de navigation ou des traces d’exécution.

Nous utilisons nos outils de collecte open-source FastIR.

— 3 —

Investigations
numériques

Les traces collectées sont comparées avec nos bases d’indicateurs de compromission afin de vérifier la présence de menaces connues.

Elles sont également analysées à la recherche de patterns suspects génériques et spécifiques aux hypothèses de recherche.

— 4 —

Rapport

Nous rédigeons un rapport reprenant les éléments suivants :

  • Hypothèses de recherche,
  • Vérifications effectuées,
  • Le cas échéant, détails sur les menaces découvertes,
  • Recommandations d’amélioration.

Rapports flash intelligence

SEKOIA intègre une équipe CTI qui mène une veille continue des actualités de la SSI, met en œuvre des bulletins de sécurité contextualisés et construit une cartographie des risques de chaque secteur en fonction des menaces.

  • Des rapports d’analyse des cybermenaces pour rester informés sur les menaces pesant sur votre organisation et votre secteur d’activité (exemples : nouveaux modes opératoires d’APT, vulnérabilités critiques, derniers incidents connus, etc.),
  • Une synthèse, une analyse et des recommandations concrètes pour prévenir, bloquer ou détecter ces cybermenaces.

 

flux de renseignement sur les cybermenaces.

  • Un flux d’indicateurs de compromission (IoC) contextualisé et personnalisé au modèle de menace de nos clients, à leur secteur d’activité et à leurs implantations géographiques. Notre flux est issu de sources ouvertes, qualifiées et enrichies mais également d’investigations menées par les analystes de l’équipe Purple Team de SEKOIA.
  • Un flux reposant sur les derniers standards internationaux en matière de partage de Threat Intelligence : STIX v2 et TAXII.

 

mise en place
d’une démarche de CTI

| conseil et assistance

Des études et des investigations à la demande sur des sujets liés aux cybermenaces (focus sur une APT, sur un nouveau logiciel malveillant, Threat Landscape sectoriel…) et aux risques liés à l’émergence de nouvelles technologies ou de nouveaux usages (Cloud, Blockchain…).

  • Aide au choix d’une plateforme de Threat Intelligence,
  • Aide au choix de flux d’indicateurs de compromission,
  • Formation en Threat Intelligence.

NEVER WAS SO MUCH OWED BY SO MANY TO SO FEW —W. Churchild.