Intervention · Méthode

Réponse à incident. Notre méthode en 4 phases.

Comment on traite un incident cyber chez Smart Cyberon : analyse forensique → confinement → remédiation → retour à la normale. Méthodologie transparente, livrables clairs à chaque jalon, communication régulière avec votre équipe.

Audit forensique2 900 CHF · forfait
Remédiation4 500 à 9 000 CHF
SLA audit24h ouvrées
Les 4 phases en détail

De la découverte au post-mortem.

Chaque phase produit un livrable activable. Vous savez où on en est, ce qu'on a trouvé, et ce qui reste à faire. Pas de boîte noire.

manage_search
Phase 01 · Sous 24h

Audit forensique

Analyse des logs HTTP/SSH/système sur les 30 derniers jours. Identification du point d'entrée précis (CVE, credentials, configuration). Inventaire exhaustif des backdoors. Évaluation des données potentiellement exfiltrées. Rapport remis sous 24h, call de restitution 60 min. Voir page dédiée : /audit-cyber-urgence.

block
Phase 02 · Jour 1-2

Confinement

Isolation du serveur du trafic public (maintenance HTML statique), révocation immédiate de tous les accès compromis (admin WP, SSH, FTP, API), changement des mots de passe et clés. Si données personnelles touchées : déclenchement de la notification autorité (PFPDT, CNIL, APD, CAI selon votre pays).

cleaning_services
Phase 03 · Jour 2-5

Remédiation

Nettoyage profond du code (suppression backdoors identifiés), restauration depuis sauvegarde saine si disponible, mise à jour de la stack complète (CMS, plugins, PHP, kernel). Déploiement du hardening : WAF managé en edge, IPS comportemental, règles WAF custom, hardening SSH par clé, VPN-only pour admin.

check_circle
Phase 04 · Jour 5+

Retour à la normale

Tests fonctionnels complets, validation par votre équipe, remise en ligne progressive (subdomain par subdomain si critique). Post-mortem documenté : timeline de l'incident, leçons apprises, recommandations long terme. Option Protection continue pour empêcher la récidive.

Engineer Smart Cyberon en pleine intervention pendant une réponse à incident cyber
Nos principes

Comment on travaille pendant l'incident.

01 · Transparence

Communication toutes les 2h

Pendant l'intervention active, point régulier avec votre décideur. Vous savez où on en est, ce qu'on a trouvé, ce qui reste. Pas de "ça avance" — des faits précis.

02 · Documentation

Timeline détaillée écrite

Toutes les actions sont horodatées. Le rapport final contient le déroulé exact de l'incident et de la réponse. Utilisable pour notification autorité, dossier assurance, débriefing interne.

03 · Confidentialité

NDA mutuel par défaut

Aucune mention publique du client sans accord écrit. Données et logs traités sur infrastructure suisse. Nos cas clients sont anonymisés jusqu'à autorisation explicite.

Suite logique

Démarrer une intervention ou anticiper.

Questions fréquentes

Ce qu'on nous demande pendant l'incident.

Incident actif vs symptômes suspects — comment vous savez ?
Triage initial 15 à 30 min : vérification logs, indicateurs de compromission (IOC), comportement réseau. Différencie "compromission probable" (lance audit forensique) de "symptôme intermittent" (monitoring renforcé sans intervention lourde). Si doute, on assume compromission et l'audit forensique se déclenche.
Contact en heures non-ouvrées ?
Hotline urgence accessible 24/7 via formulaire web et téléphone. Premier contact engineer sous 1h en heures bureau (lundi-vendredi 8h-18h heure suisse). Hors heures : callback sous 12h ouvrées. Si vous êtes abonné Protection continue, hotline directe avec intervention dans l'heure incluse.
Données déjà exfiltrées — notification autorités obligatoire ?
Oui dans 3 cas : (1) données personnelles UE → notification CNIL/autorité nationale sous 72h via RGPD art. 33 ; (2) données personnelles CH → notification PFPDT selon nLPD ; (3) infrastructures critiques → notification NCSC. On vous aide à rédiger la notification, mais c'est votre responsabilité contractuelle de la déposer.
Vous gérez la com de crise (presse, clients, équipe) ?
Non, pas notre cœur de métier. On vous donne les faits techniques (timeline IOC, données exposées, mesures prises) pour vos communications officielles. Si besoin de partenaire com crise, on vous oriente vers des cabinets spécialisés (réseau curé).
Et si l'attaquant est encore actif quand on intervient ?
Confinement immédiat : isolation du serveur compromis (firewall ou shutdown selon impact business). Préservation des preuves (snapshot disque, dump mémoire RAM si possible). Notification autorités si pertinent. Puis audit forensique en mode "attaquant connecté" avec précautions supplémentaires (canal communication chiffré, isolation environnement audit).
Vous hésitez à déclencher ?

Appel de pré-diagnostic offert (15 min).

Vous nous décrivez les symptômes (alerte, mail OFCS/NCSC/CERT, défacement, redirections). On vous dit si c'est un incident actif ou un faux positif, et si une intervention urgente est nécessaire. Sans engagement.

Réserver un pré-diagnostic
Analyse forensique des artefacts d'attaque, recherche du point d'entrée et des backdoors
Vous êtes en incident maintenant ?

Mandat signé aujourd'hui. Phase 01 démarrée sous 1h.