CERT / CSIRT

TEHTRIS CERT / CSIRT

Réponse à incident de cybersécurité

TEHTRIS CERT centralise et coordonne la gestion des incidents de cybersécurité. La mise en place de capteurs internes à la XDR Platform (EDR, EPP, SIEM, Honeypots…) permet de cybersurveiller les actions réalisées sur les systèmes d’information de nos clients. En cas de suspicion ou d’attaque avérée et au regard du périmètre et des technologies impactés, une équipe est constituée afin de disposer de profils experts dans tous les domaines techniques et juridiques de la cybersécurité.

Notre mission consiste à appuyer nos clients lorsqu’ils font face à une crise dont l’origine est une menace cybernétique. Notre expertise et nos nombreux retours d’expérience nous permettent de rapidement qualifier la nature d’un incident tout en identifiant l’impact sur vos ressources informatiques. Les technologies de la XDR Platform permettent de déployer rapidement des solutions de détection et confinement afin de contenir les menaces dans le but de leur éradication.

Voici le cycle de traitement d’un incident :

Préparation

Veille technologique et préparation d’outils et procédures à utiliser en cas d’incident

Identification

Analyse et compréhension de l’incident. Identification du périmètre, réalisation d’hypothèses

Confinement

Identification des mesures permettant de stopper la progression d’un attaquant

Éradication

Suppression de la menace et mise en place de barrières l’empêchant de se représenter

Remise en service 

Conseils sur les actions à mettre en œuvre pour rétablir le service

Capitalisation

Réflexion sur les axes d’amélioration permettant de mieux réagir lors d’un prochain d’un incident du même type

CERT

En tant que CSIRT, TEHTRIS est membre de la liste officielle des entités de type CERT [CERT TEHTRIS].​

Document officiel CERT TEHTRIS - RFC 2350

CONTACT

Short name: CERT-TEHTRIS

Long name: CERT TEHTRI-Security

Address: 13-15 rue Taitbout, 75009, PARIS, FRANCE

Phone: +33 (0) 9-72-43-07-64

Mail : moc.sirthet@trec

ID: 19C7 677A AB9A 85E6

Fingerprint: A1F2 9BA1 2811 4E68 043C 07C5 19C7 677A AB9A 85E6

Renseignement d’Intérêt Cyber (RIC)

TEHTRIS CERT collecte et centralise des informations d’intérêt cyber en provenance de partenaires privés, publics et communautaires (dont COVID-19 CTI League et COVID19 CyberThreatCoalition). Ces échanges d’informations sont associés à des flux en provenance de sources ouvertes (OSINT) dont la collecte est réalisée par des serveurs basés sur MISP (Malware Information Sharing Platform).

Le traitement des informations collectées est réalisé en respectant le principe du besoin d’en connaître. De plus, lorsqu’un client nous transmet des indicateurs de compromission afin de vérifier s’ils sont présents sur ses systèmes d’information, nous utilisons des protocoles et outils dédiés permettant de ne pas partager ou rechercher ces indicateurs sur les systèmes d’information d’autres clients. La recherche d’indicateurs de compromission en provenance des rapports [TLP:WHITE] de l’ANSSI est effectué automatiquement sur l’ensemble des parcs informatiques de nos clients équipés d’EDR.

Veille technologique et bulletins de cybersécurité

Une veille permanente est réalisée afin de permettre la protection des systèmes d’information de nos clients grâce à la TEHTRIS XDR Platform. La conception de certaines technologies comme TEHTRIS EDR permet de détecter voire protéger les vulnérabilités d’éditeurs (comme Microsoft) avant même que les correctifs ne soient disponibles. Pour en savoir plus, n’hésitez pas à demander une démonstration en remplissant notre formulaire de contact.

Vulnérabilité Zerologon

Vulnérabilité Zerologon Une vulnérabilité nommée Zerologon et portant le numéro CVE-2020-1472 a été publiée le 11 aout 2020 par Microsoft [1]. Elle impacte MS-NRPC [2], protocole nécessaire au bon fonctionnement d’un domaine Microsoft, et utilisé par les contrôleurs de domaine (RODC [3] inclus). Le 11 septembre 2020, un code d’exploitation

En savoir plus »

Vulnérabilité SIGRed

Vulnérabilité SIGRed Une vulnérabilité nommée SIGRed et portant le numéro de CVE-2020-1350 a été découverte et reportée le 19 mai 2020 par l’équipe de recherche de Checkpoint à Microsoft. RISQUES Exécution de code à distance Compromission du serveur Exfiltration de données SYSTÈMES AFFECTÉS Les versions serveurs suivantes sont affectées (lorsque

En savoir plus »

Réseau européen de capteurs

RÉSEAU EUROPÉEN DE CAPTEURS Lors de l’exploitation des journaux en provenance d’une entreprise, il a été constaté qu’une adresse IP avait, à de nombreuses reprises, essayé de contacter des serveurs sensibles. Ces derniers étant inconnus des bases de renseignements en sources ouvertes, une investigation a été menée afin de comprendre

En savoir plus »

TEHTRIS TEAM