JOUCLA CYBERDÉFENSE
Accueil
Réponse aux incidents

Cyberattaque ? On intervient.

Confinement, forensique, remédiation et reprise d'activité. Urgence 24/7.

Appeler

Confinement

Isolation immédiate des systèmes compromis.

Forensique

Analyse des traces et identification du vecteur d'attaque.

Remédiation

Nettoyage, correction et renforcement.

Reprise

Restauration des services et validation.

Rapport

Documentation pour direction, assurance et CNIL.

Prévention

Recommandations post-incident.

Besoin d'aide maintenant ?

Ligne d'urgence 24/7. Intervention sous 1 heure.

06 24 47 36 51
Cas réel

Ransomware LockBit un vendredi soir — reprise complète sans payer

Intervention d'urgence chez une ETI de 120 personnes — 38 serveurs chiffrés, reprise partielle à J+3, complète à J+9, aucune rançon versée

L'appel d'urgence

Vendredi 17h12. Le DSI d'une ETI industrielle (120 salariés, 3 sites) appelle la ligne d'urgence : "Tout est rouge, les écrans affichent un message LockBit, les partages ne répondent plus, le production manager panique." Personne dans l'entreprise n'a déjà vécu ça. L'équipe déployée sur site en 45 minutes, connexion à distance sur les éléments préservés dans l'heure, protocole de réponse enclenché.

[17h12] Appel ligne d'urgence — ransomware LockBit détecté

[17h18] Pré-diagnostic téléphonique + plan d'action envoyé

[17h25] Isolation WAN du site principal (coupure Internet de groupe)

[17h57] Équipe sur site — forensique live lancé

[18h30] Ampleur confirmée : 38 serveurs chiffrés, AD compromis

[19h15] Découverte d'une demande de 47 BTC (≈ 3 M€)

Le protocole de réponse en 9 jours

Décision de ne pas payer : appui ANSSI, procureur prévenu, ligne ferme. Forensique menée en parallèle de la reconstruction pour comprendre ET remettre en route. Cellule de crise activée : CODIR, métiers, IT, juridique, communication. Point quotidien 9h et 18h. Communication client transparente mais maîtrisée.

J0 (soir) → Confinement, isolation, préservation des preuves

J1 → Forensique : vecteur identifié (macro Office, lundi précédent)

J1 → Notification CNIL (violation de données < 72h)

J2 → Reconstruction AD from scratch + forêt dédiée "rescue"

J2 → Inventaire backups off-site → 91% exploitables

J3 → Reprise partielle : ERP + messagerie + 2 sites sur 3

J4-J6 → Restauration serveurs métier, tests, validation

J7 → Reconstruction des 9% de données manquantes (papier + export)

J9 → Reprise complète, retour à la normale toutes activités

Forensique — ce qu'on a trouvé

Patient zéro — Lundi J-4, macro Office (facture PDF piégée) service compta
Beacon C2 — Cobalt Strike beacon sur poste compta pendant 3 jours
Latéralisation — WMI + PsExec vers serveurs, 47 machines contaminées
Vol de credentials — Mimikatz sur 4 serveurs, DA compromis en 48h
Exfiltration — Rclone vers Mega.nz — 42 Go exfiltrés avant chiffrement
Déploiement LockBit — PsExec + GPO, chiffrement synchronisé 38 serveurs
Sabotage backups — Snapshots locaux effacés — off-site cloud intact
Message de rançon — Double extortion — 47 BTC ou publication des 42 Go

Équipe et partenaires mobilisés

Responsable de crise
Sur site J0 soir — Interface CODIR, pilotage global
2 analystes forensique
Sur site J0 à J3 — Triage, acquisition, analyse IOC
2 ingénieurs système
Sur site J1 à J9 — Reconstruction AD, serveurs, réseau
ANSSI + Cybermalveillance
Coordination J1 — Conseils, partage IOC, accompagnement

Coordination avec l'assureur cyber dès J1 (validation des frais engagés). Avocat spécialisé dépêché pour le volet RGPD et la plainte. Communication de crise maîtrisée — aucun titre presse négatif.

Livrables post-incident

Rapport forensique 80 pages
Timeline détaillée de l'attaque
IOC exportés (MISP, STIX/TAXII)
Notification CNIL sous 72h
Dossier assurance cyber complet
Plainte cyber circonstanciée
Plan de durcissement post-incident
Retour d'expérience CODIR

Résultat

0 € de rançon versée
Restauration depuis backups off-site + reconstruction ciblée
Reprise partielle J+3
ERP, messagerie et 2 sites sur 3 en fonction normale
Reprise complète J+9
Retour à l'activité nominale, 100% des métiers servis
Publication évitée
Données exfiltrées non publiées sur leak site LockBit
SOC déployé post-crise
Surveillance 24/7 et EDR sur tous les endpoints
18 mois sans incident
Hardening AD, MFA, backups 3-2-1, pentest annualisé

Besoin d'un accompagnement ?

Diagnostic gratuit de votre infrastructure. Réponse sous 24h.

06 24 47 36 51
Appeler