CERT SERVICES

Pour savoir, comprendre et anticiper.
Pour détecter, réagir et remédier.

• Réponse à incident,

• Gestion de crise,

• Managed Detection & Response (CERT & SOC),

• Audits techniques (code, architecture, configuration),

• Tests d’intrusion,

• Threat Intel Based Ethical Red Teaming — TIBERT,

Intégration de la Cyber Threat Intelligence au coeur des dispositifs.

 

 

Nos équipes CERT détectent et analysent les incidents de sécurité et proposent des actions de remédiation à nos clients, afin de garantir un rétablissement rapide du système d’information.

 

La conformité des SI vis-à-vis de référentiels internationaux est également évaluée en se basant sur les meilleures pratiques.

Pentest / TIBER

Threat Intel Based read team

• Mise en conformité des SI vis-à-vis des législations en vigueur, des contraintes internes et des référentiels de sécurité, grâce à l’implémentation de politiques de sécurité, de procédures et de standards conformes aux bonnes pratiques de sécurité.

• Politiques de sécurité, standards internes, processus internes, procédures internes et contrôle interne.

Gestion des Incidents
de Sécurité

Nos équipes DFIR interviennent à la demande ou sur site en assistance continue.

Ces analystes sont experts dans la gestion des incidents de sécurité, l’investigation numérique et l’analyse de code malveillant.

Threat
Hunting

Contrairement aux démarches de réponse sur incident de sécurité classiques qui sont déclenchées à partir d’une alerte spécifique, le Threat Hunting est une activité proactive visant à vérifier la présence actuelle ou passée de menaces sur l’infrastructure de l’entreprise.

 

LET’S PURPLE
YOUR ORGANISATION

Tester vos défenses et améliorer vos capacités de détection (mode Purple / Red Team) en simulant des attaques informatiques avancées et en reproduisant les TTPs des adversaires qui ciblent votre secteur d’activité ;

Définir et mettre en place une démarche de Cyber Threat Intelligence stratégique et opérationnelle, notamment au sein de CERT / CSIRT ou de SOC ;

Piloter vos projets de Cyber Threat Intelligence (aide au choix et déploiement d’une plateforme dédiée, aide au choix des feeds d’IoC privés, accompagnement à la mise en place d’une gouvernance CTI, etc.).

pentest / TIBER

threat intel based red team

DÉFI
| identifier et corriger les vulnérabilitéS

 

TESTS D’INTRUSION :

Nous aidons nos clients à identifier les vulnérabilités de leurs systèmes d’information via des tests d’intrusions et nous proposons des recommandations pragmatiques pour les aider à corriger les vulnérabilités décelées.

 

AUDIT THREAT INTEL BASED RED TEAM — TIBER :

Nous proposons des tentatives d’intrusion à travers des scénarios réalistes et complexes. Nous lançons des attaques spécifiques afin d’atteindre un but défini, sans aucune restriction dans les techniques utilisées par nos auditeurs (social engineering, phishing, lock-picking, intrusion physique, etc.).


TESTS

D’INTRUSION

— 1 —

Accord &
autorisation
d’audit
 

  • Formalisation et signature de la fiche d’autorisation de tests d’intrusion :
    • Validation du périmètre d’audit
    • Validation du planning d’audit
    • Définition des conditions de réalisation
    • Transmission des adresses IP utilisées par SEKOIA pour réaliser les tests

— 2 —

initialisation
de la
prestation

  • Réunion de lancement :
    • Rappel du contexte et du périmètre,
    • Confirmation des objectifs,
    • Présentation de la démarche et de la méthodologie,
    • Validation du planning,
    • Identification des interlocuteurs,
    • Préparation d’un moyen d’échange sécurisé.

— 3 —

Réalisation
de l’audit

  • Exécution des tests selon la méthodologie de SEKOIA et selon les conditions définies.
  • Des points d’avancement réguliers sont réalisés afin de tenir informé le client de l’avancement des tests.
  • En cas de découverte d’une vulnérabilité critique, le client est informé sans délai : une note technique décrivant la vulnérabilité et une recommandation à court terme sont communiquées.

 

— 4 —

restitution
des travaux

  • Fourniture d’un rapport d’audit structuré en trois parties :
    • Synthèse managériale,
    • Synthèse technique,
    • Rapport détaillé.
  • Transmission d’une proposition de plan d’action.
  • Réunion de restitution : présentation des résultats et des conclusions de l’audit, discussion des recommandations avec les parties prenantes.
  • Audit de validation : vérification des corrections des vulnérabilités après mise en œuvre du plan d’actions.


audit

red team

Intrusion
physique

détournement
flux
et réseaux


intrusion
réseaux
ou systèmes

exploitation
de
vulnérabilités

Nous proposons des tentatives d’intrusion à travers des scénarios réalistes et complexes. Nous lançons des attaques spécifiques afin d’atteindre un but défini, sans aucune restriction dans les techniques utilisées par nos auditeurs (social engineering, phishing, lock-picking, intrusion physique, etc.).

Nous conservons confidentielle la nature de nos clients, leurs noms ainsi que le détail des failles et manquements découverts.

GESTION DES INCIDENTS
DE Sécurité

DÉFI
| être prêt pour réagir à temps.

Dès sa création, SEKOIA a accompagné les premières sociétés du CAC40 dans le déploiement de leur CERT interne. En 2013 est créé le CERT SEKOIA, un service inter-entreprises au bénéfice des OIV et autres acteurs du CAC40 et du SBF120.

 

 

Le CERT est une structure certifiée et homologuée.
Il puise ses ressources dans nos équipes spécialisées, monte en puissance et adapte ses moyens à la moindre alerte.

L’activité du CERT a orienté SEKOIA vers la confrontation régulière aux menaces. De ce fait, plus qu’une sensibilité, SEKOIA à développé et fondé ses activités sur une réelle expertise en Threat Intel.

— 1 —

préparation

Nos analystes possèdent les outils et les procédures pour répondre à de nombreux types d’incidents.

— 2 —

identification

Analyse et compréhension de l’incident.

Identification du périmètre et des impacts.

— 3 —

confinement

Propositions de mesures de confinement afin d’empêcher l’aggravation de l’incident.

— 4 —

éradication

Définition et coordination d’un plan d’action permettant de supprimer la menace.

— 5 —

remise
en service

Accompagnement vers la remise en service des composants impactés.

— 6 —

retour
d’expérience

Rapport détaillant le déroulement de l’incident, de la réponse, ainsi que des mesures concrètes.

treat hunting

DÉFI
| trouver ce que personne ne cherche.

Le Threat Hunting est une activité proactive dont l’objectif est d’en savoir plus sur l’état présent de l’infrastructure de l’entreprise, et sur l’historique des menaces qui l’ont affectée.   

Cette activité se distingue de la réaction sur incident dans la mesure où les équipes examinent une infrastructure à priori saine, dans une démarche critique et en disposant de temps nécessaire pour investiguer sereinement sur tout le spectre des menaces possibles.

 


investigations
proactive

— 1 —

Threat
Intelligence

Nos analystes commencent par analyser les menaces principales au vu du contexte client.

Ils analysent ensuite les Tactiques, Techniques et Procédures (TTPs) utilisés par celles-ci.

Cela permet de décider avec le client les hypothèses de recherche.

— 2 —

Collecte
des traces

En fonction des hypothèses définies, nous procédons à la collecte de nombreuses traces numériques comme des journaux de navigation ou des traces d’exécution.

Nous utilisons nos outils de collecte open-source FastIR.

— 3 —

Investigations
numériques

Les traces collectées sont comparées avec nos bases d’indicateurs de compromission afin de vérifier la présence de menaces connues.

Elles sont également analysées à la recherche de patterns suspects génériques et spécifiques aux hypothèses de recherche.

— 4 —

Rapport

Nous rédigeons un rapport reprenant les éléments suivants :

  • Hypothèses de recherche,
  • Vérifications effectuées,
  • Le cas échéant, détails sur les menaces découvertes,
  • Recommandations d’amélioration.

let’s purple
your organisation

DÉFI
| accompagner la création, l’amélioration et la structuration des capacités de détection .

Purple Teaming : mise à profit de champs de connaissance et capacitaires distincts, dans une démarche transverse qui vise à allier les compétences Blue Team, Red Team, alimentées et drivées par notre expertise en Threat Intelligence.

Inscrit dans une approche pragmatique et positive pour évaluer et améliorer les capacités de détection d’un SOC, l’accompagnement est personnalisé dans une montée en puissance progressive : de la détection des menaces courantes… à la détection de comportements complexes observés par SEKOIA dans son activité de suivi des attaquants.

SEKOIA se base sur le référentiel MITRE ATT&CK™ comme point de départ et framework idéal pour créer, évaluer et améliorer une stratégie de détection — le référentiel MITRE ATT&CK™ est devenu au fil des années le référentiel international en matière de Threat Intelligence : il liste de façon précise les différentes Tactiques, Techniques et Procédures (TTPs) utilisés par les groupes d’attaquants informatiques.

 

 


des Livrables
actionnables

— 1 —

contextualisation
de la démarche

Création de scénarios ou d’une liste de tests unitaires (techniques).

— 2 —

évaluation
de la maturité


  • Grille ATT&CK d’évaluation des capacités,
  • maturité de la détection de votre SOC.

— 3 —

amélioration
de la détection

Assistance au choix des logs et création de nouvelles règles de détection.

— 4 —

Recommandations

Liste de recommandations :

  • techniques (court, moyen & long terme),
  • organisationnelles (structuration de process SOC, gestion des incidents, escalade CERT, etc.).

pour la mise à profit
stratégique et technique
de l’intégration de la CTI.

• définir et mettre en place une démarche de Cyber Threat Intelligence stratégique et opérationnelle, notamment au sein de CERT / CSIRT ou de SOC ;

• piloter vos projets de Cyber Threat Intelligence (aide au choix et déploiement d’une plateforme dédiée, aide au choix des feeds d’IoC privés, accompagnement à la mise en place d’une gouvernance CTI, etc.).

Rapports Threat Intelligence

SEKOIA intègre une équipe CTI qui mène une veille continue des actualités de la SSI, met en œuvre des bulletins de sécurité contextualisés et construit une cartographie des risques de chaque secteur en fonction des menaces.

  • Des rapports d’analyse des cybermenaces pour rester informés sur les menaces pesant sur votre organisation et votre secteur d’activité (exemples : nouveaux modes opératoires d’APT, vulnérabilités critiques, derniers incidents connus, etc.),
  • Une synthèse, une analyse et des recommandations concrètes pour prévenir, bloquer ou détecter ces cybermenaces.

 

flux de renseignement sur les cybermenaces.

  • Un flux d’indicateurs de compromission (IoC) contextualisé et personnalisé au modèle de menace de nos clients, à leur secteur d’activité et à leurs implantations géographiques. Notre flux est issu de sources ouvertes, qualifiées et enrichies mais également d’investigations menées par les analystes de l’équipe Purple Team de SEKOIA.
  • Un flux reposant sur les derniers standards internationaux en matière de partage de Threat Intelligence : STIX v2 et TAXII.

 

mise en place
d’une démarche de CTI

| conseil et assistance

Des études et des investigations à la demande sur des sujets liés aux cybermenaces (focus sur une APT, sur un nouveau logiciel malveillant, Threat Landscape sectoriel…) et aux risques liés à l’émergence de nouvelles technologies ou de nouveaux usages (Cloud, Blockchain…).

  • Aide au choix d’une plateforme de Threat Intelligence,
  • Aide au choix de flux d’indicateurs de compromission,
  • Formation en Threat Intelligence.

NEVER WAS SO MUCH OWED BY SO MANY TO SO FEW —W. Churchild.