Contrairement aux grands comptes, les TPE et PME ne disposent pas de service de lutte contre les intrusions informatiques en interne. Basée à Montrouge (92), la société Sifaris leur propose deux services qui poursuivent deux objectifs complémentaires. D’une part »Forensic », qui est un service d’investigation et de collecte de preuves en cas d’attaque numérique. Et, d’autre part, Siem (Security Information and Event Management) qui est un outil de collecte d’événements et de détection des risques par l’analyse transversale de tous les équipements de l’entreprise (pare-feu, routeur, serveur…).
La problématique est de pallier à des intrusions et vols de données de plus en plus fréquents. Sur mandat de la justice ou du client lui-même et dans le cadre d’un acte de malveillance ou d’un vol de données avéré, le Forensic est une technique d’investigation. Des outils spécifiques rendent possibles la collecte et la conservation de preuves numériques. « La problématique est alors de conserver les preuves de manière légale », insiste Jean-François Beuze, président de Sifaris. « Et de faire intervenir des spécialistes ayant été formés ou bien certifiés EnCase Certified Examiner (EnCE). Nous nous sommes formés pour cela. » . Les supports d’investigation sont multiples: cloud, disques durs d’appareils fixes, clés USB, ordinateurs portables, GPS, smartphones, tablettes. Les investigations sont généralement menées sans éteindre les machines pour ne pas perdre les données volatiles. « Nous agissons comme un médecin légiste : après le constat de piratage ou de vol, nous notons et conservons toutes les informations afin de les remettre à la justice ou au client. » Pour venir à bout de ces tâches, Forensic utilise Guidance Encase, un logiciel d’investigation numérique, de détection et de remédiation des intrusions.
De son côté, Siem est un service de génération d’événements qui vise à alerter de potentielles attaques informatiques. Ce service externalisé corrèle l’ensemble des équipements informatiques de l’entreprise : pare feu, switch, routeurs, bases de données, serveurs, messageries, etc. A cet effet, Siem collecte les logs sur tous les appareils numériques pour générer une série de tableaux de bord et dresser un panorama journalier ou mensuel selon besoins des clients, des attaques subies . Les logs récoltés sont stockés et archivés sans modification permettant d’en garder une valeur juridique. Ce qui rend possible la géolocalisation d’une attaque malveillante. « Mais il faut être très rapide car la tactique des attaquants est de dissimuler leur adresse IP pour éviter d’être repéré », note Jean-François Beuze. Une véritable partie de gendarmes et voleurs dans le cyberespace !
Marlène Bourderon
Commentez