← Retour à ForgeWork Réponse aux incidents · 24/7

Réponse aux incidents 24/7 & investigation numérique pour les organisations européennes

Si votre organisation est confrontée à un ransomware, une compromission de compte, un vol de données, une intrusion cloud ou une activité d'attaquant en cours, ForgeWork vous aide à confiner l'incident, préserver les preuves, investiguer la cause racine, soutenir la déclaration réglementaire et guider la reprise.

Appeler +32 2 315 25 83 Demander un triage

Première réponse aussi vite que possible, 24/7. Le téléphone est le plus rapide pour les attaques actives. Le formulaire ci-dessous convient pour le triage lorsqu'un attaquant n'est pas activement en mouvement.

Normes éditoriales · Sensibilisé NIS2 / RGPD / DORA · Plateforme DFIR Assist · Playbooks gratuits

Maintenant — avant notre arrivée

Si vous suspectez une intrusion active, les 30 prochaines minutes comptent. Voici les actions à entreprendre (et à éviter) avant que tout intervenant — nous ou un autre — n'intervienne.

N'effacez aucun système affecté. Réinstaller ou restaurer depuis une sauvegarde avant la collecte forensique détruit les preuves dont nous avons besoin pour trouver la cause racine.
Déconnectez les hôtes compromis du réseau, mais ne les éteignez pas. Débrancher le câble réseau (ou désactiver le Wi-Fi / la carte réseau virtuelle) stoppe l'activité de l'attaquant tout en préservant les preuves volatiles en mémoire.
Préservez les journaux. Windows Event Logs, télémétrie EDR, journaux d'audit cloud (AWS CloudTrail, Azure Activity, M365 Unified Audit), pare-feu et passerelle de messagerie. Beaucoup ont une rétention par défaut courte — prolongez-la maintenant si vous le pouvez.
Notez l'heure exacte de la détection et les indicateurs observés. Un journal écrit court et horodaté de ce que vous avez vu et fait est plus utile que votre mémoire deux jours plus tard dans une réponse.
Limitez l'usage des identifiants administrateur ; faites-les pivoter après le triage. Évitez de vous connecter aux systèmes compromis avec des comptes privilégiés — supposez que le vol d'identifiants est en cause jusqu'à preuve du contraire.
Évitez de contacter l'attaquant avant d'avoir un plan. Une communication précoce ou non coordonnée peut accélérer une action destructrice ou affaiblir votre position de négociation.
Informez votre conseil juridique et votre assureur cyber. Ne tardez pas. De nombreuses polices exigent une notification rapide, et le conseil doit être impliqué avant que les horloges réglementaires (NIS2 24h, RGPD 72h) ne démarrent.

Demander un triage d'urgence

N'incluez pas de journaux, identifiants, mots de passe, captures d'écran avec des données personnelles, échantillons de malware ou preuves sensibles dans ce formulaire. Nous passerons à un canal sécurisé (Signal / PGP) pour ces détails après le premier contact.

Organisation Votre nom Meilleur téléphone ou e-mail pour vous joindre Type d'incident

Un attaquant est-il actif en ce moment ? Oui Non Pas sûr

Canal sécurisé préféré pour le suivi

Les soumissions du formulaire parviennent à notre équipe d'astreinte à [email protected]. Nous répondons aussi vite que possible, 24/7. Pour les attaques actives, appelez +32 2 315 25 83.

Ce que nous faisons dans les 4 premières heures

Voici les activités qu'une équipe de réponse ForgeWork exécute dans la fenêtre d'ouverture d'une mission. L'horloge démarre lorsque nous acceptons la mission et que votre contact désigné est en ligne avec nous.

Heure 0

Appel de triage, évaluation du périmètre, actions d'arrêt de l'hémorragie

Appel sécurisé avec votre incident commander désigné. Nous recensons ce qui est connu, les systèmes affectés, les actions de confinement déjà prises et la situation réglementaire (NIS2 applicable ? données personnelles RGPD ? DORA ?). Nous convenons des actions immédiates d'arrêt de l'hémorragie : verrouillages de comptes, isolation de segments, blocage des indicateurs connus. Nous déplaçons la communication vers un canal hors bande qui ne dépend pas d'une infrastructure potentiellement compromise.

Heure 0 – 1

La collecte sécurisée des preuves commence

Nous démarrons une collecte d'artefacts structurée avec les playbooks DFIR Assist : captures mémoire des endpoints affectés, exports de télémétrie EDR, extractions de journaux d'audit cloud, journaux du fournisseur d'identité et télémétrie réseau. La collecte se déroule en parallèle du confinement — nous n'attendons pas que « l'investigation commence » pour préserver les preuves, car les attaquants les détruisent activement.

Heure 1 – 2

Plan de confinement + décision : isoler, surveiller ou traquer

Avec le premier périmètre visible, nous présentons une décision de confinement : isoler (couper l'accès de l'attaquant maintenant, en acceptant de ne pas encore voir toute son empreinte), surveiller (limiter le mouvement latéral tout en observant pour cartographier le périmètre) ou traquer (balayer activement tout le parc à la recherche d'indicateurs connus avant de dévoiler notre jeu). Chaque voie présente des compromis entre sécurité, qualité des preuves et continuité d'activité. Nous présentons ces compromis en termes métier ; votre direction décide.

Heure 2 – 4

L'acquisition forensique s'étend ; accompagnement sur l'horloge réglementaire

L'acquisition s'étend à d'autres endpoints, systèmes d'identité et tenants cloud selon ce que le triage a révélé. En parallèle, nous briefons votre équipe juridique sur l'horloge réglementaire : sous NIS2, la fenêtre d'alerte précoce est de 24 heures à compter de la prise de connaissance ; sous l'article 33 du RGPD, la fenêtre vers l'autorité de contrôle est de 72 heures ; sous DORA, les entités financières ont des obligations de classification et de notification à un rythme comparable. Nous fournissons les faits techniques qui alimentent ces notifications.

Pourquoi ForgeWork

Nous ne revendiquons pas de clients que nous n'avons pas. Voici ce que nous offrons.

Méthodologie

Nos missions suivent les phases de traitement d'incident du NIST SP 800-61 (Préparation, Détection et analyse, Confinement / Éradication / Reprise, Activité post-incident), exécutées sur des playbooks structurés pour les classes d'incidents que nous voyons le plus souvent : ransomware, compromission de messagerie professionnelle, intrusion cloud, initié malveillant et exfiltration de données. Nos normes rédactionnelles et la discipline que nous nous imposons sont décrites sur notre page Normes éditoriales.

Outillage

Les missions de réponse sont exécutées sur DFIR Assist, notre plateforme de workflows d'investigation numérique. DFIR Assist offre à nos intervenants des playbooks d'artefacts structurés, des routines de collecte scriptées et une surface d'investigation cohérente, afin que le travail soit reproductible et auditable plutôt que dépendant de la mémoire d'un seul ingénieur.

Maîtrise réglementaire

Les incidents européens comportent des horloges réglementaires non négociables. Nous travaillons aux côtés de votre conseil juridique pour soutenir la déclaration sous :

Directive NIS2 — alerte précoce dans les 24 heures suivant la prise de connaissance ; notification complète de l'incident dans les 72 heures ; rapport final dans un délai d'un mois. (Voir notre explication : NIS2 et réponse aux incidents.)
Article 33 du RGPD — notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles.
DORA — obligations de classification et de notification pour les entités financières, y compris la notification des incidents majeurs aux autorités compétentes.

Expérience de nos praticiens

Nos praticiens ont géré des incidents dans des secteurs réglementés, notamment les services financiers, la santé, l'industrie et les organisations du secteur public, et apportent cette expérience aux missions ForgeWork. Nous décrivons cela délibérément en termes d'expérience de praticien plutôt que de logos clients : ForgeWork est une jeune entreprise ; les personnes qui la composent ne le sont pas.

Ce qui se passe après la réponse

La fin de la crise immédiate n'est pas la fin de la mission. Un travail de réponse utile se poursuit après le confinement.

Rapport forensique. Constatations techniques, chronologie de l'attaque, actions de l'attaquant reconstituées à partir des preuves, indicateurs de compromission (IOC) et analyse de la cause racine. Structuré pour les dirigeants, les équipes techniques, le conseil juridique et les régulateurs.
Recommandations de reprise et de durcissement. Priorisées, cadrées, datées. Pas une checklist générique — les recommandations sont spécifiques à ce que l'attaquant a fait et à l'état de votre environnement.
Exercice sur table pour s'entraîner la prochaine fois. Un parcours guidé d'un scénario réaliste basé sur ce que nous venons de voir, afin que votre équipe exécute mieux la réponse la deuxième fois.
Workflows DFIR Assist pour votre équipe. Le cas échéant, les playbooks d'artefacts et workflows d'investigation que nous avons utilisés sont mis à la disposition de votre équipe interne afin que les futurs travaux de première réponse aillent plus vite.

Comment nous travaillons

Nous intervenons sur autorisation d'urgence ou sous contrat. Des tarifs d'urgence s'appliquent aux incidents actifs ; les missions préventives (contrat, évaluation de préparation, exercice sur table) sont chiffrées selon le périmètre.

Nous ne publions pas de grille tarifaire fixe, car le périmètre de l'incident est le principal facteur de coût et un seul montant « à l'heure » ou « par incident » promettrait trop ou facturerait trop. À la place, nous nous engageons sur un cadrage honnête : après l'appel de triage initial, vous recevez un périmètre écrit et une grille tarifaire avant tout travail substantiel. Pour les urgences actives, le travail commence sous autorisation d'urgence pendant que le périmètre écrit est préparé en parallèle.

Contrat vs. mission d'urgence

Les clients sous contrat bénéficient d'un accès pré-cadré, de tarifs plus bas, d'une fenêtre de réponse engagée et de contrôles de préparation trimestriels. Les missions d'urgence ont des tarifs plus élevés et dépendent de notre disponibilité au moment où vous appelez. Si votre organisation dispose d'une cyberassurance, vérifiez votre police — de nombreux assureurs offrent des réductions de prime ou exigent un contrat IR actif.

Questions fréquentes

Nous pensons avoir été compromis. Que devons-nous faire maintenant ?

Voir la checklist ci-dessus. La version courte : n'effacez rien, n'éteignez pas les hôtes compromis, préservez les journaux, notez ce que vous avez vu et quand, ne contactez pas l'attaquant, informez le juridique et l'assurance. Appelez-nous ensuite ou remplissez le formulaire de triage.

À quelle vitesse ForgeWork répond-il ?

Notre objectif publié est une première réponse aussi vite que possible, 24/7, pour les missions d'urgence et les clients sous contrat. L'horloge de première réponse démarre lorsque nous recevons votre appel téléphonique ou votre formulaire d'admission d'urgence. Les clients sous contrat ont une voie plus rapide vers une action substantielle car l'approvisionnement et l'accès sont pré-arrangés.

Devons-nous impliquer les forces de l'ordre ?

Souvent oui. De nombreuses juridictions et réglementations comportent des obligations de déclaration qui peuvent impliquer une notification aux forces de l'ordre — NIS2, RGPD et les cadres sectoriels définissent chacun leurs propres exigences. Au-delà des obligations légales, l'implication des forces de l'ordre peut être utile : des agences comme l'EC3 d'Europol et les CERT nationaux fournissent du renseignement sur les menaces, coordonnent avec des partenaires internationaux et soutiennent les opérations de démantèlement. Nous conseillons sur les obligations de déclaration et facilitons la coordination. Nous ne fournissons pas de conseil juridique — c'est le rôle de votre conseil.

Pouvez-vous aider avec la notification NIS2 / RGPD / DORA ?

Nous fournissons les constatations techniques qui alimentent les notifications réglementaires, et nous travaillons étroitement avec votre équipe juridique pour que le récit technique soit exact, complet et conforme aux attentes du régulateur. Nous avons soutenu des notifications sous NIS2 (alerte précoce 24h, notification 72h), l'article 33 du RGPD (notification de violation de données personnelles sous 72h) et la classification d'incident DORA pour les entités financières.

Et si nous n'avons pas de plan de réponse aux incidents ?

De nombreuses organisations qui nous contactent pendant un incident n'ont pas de plan formel. Nous apportons la méthodologie, la structure et l'expérience pour guider la réponse quoi qu'il arrive. Après l'incident, élaborer et tester un plan IR devrait être une priorité — et c'est un domaine où nos missions proactives (exercices sur table, évaluations de préparation) peuvent aider.

Ressources associées

Réponse au ransomware : les 60 premières minutes — guide pratique de la première heure critique après une détection de ransomware.
Pourquoi votre plan de réponse aux incidents compte — l'argument pour investir dans la préparation avant qu'une crise ne survienne.
NIS2 et réponse aux incidents — ce que les fenêtres de 24h et 72h exigent réellement.
Checklist de réponse aux incidents — checklist téléchargeable pour les 24 premières heures d'un incident.
DFIR Assist — la plateforme de workflows d'investigation numérique de ForgeWork.
Normes éditoriales — comment nous écrivons, ce que nous revendiquons ou non.

Incident actif ? Appelez maintenant.

Le téléphone est le plus rapide. Le formulaire d'admission convient pour le triage lorsqu'un attaquant n'est pas activement en mouvement. Première réponse aussi vite que possible, 24/7.

Appeler +32 2 315 25 83 Demander un triage