Acquisition des preuves
Images disque et mémoire, collecte des logs et artefacts sur les endpoints et l'infrastructure, avec préservation et chaîne de possession. Les preuves avant qu'elles ne se dégradent.
Après un incident, il faut des réponses factuelles : comment ils sont entrés, ce qu'ils ont touché, ce qu'ils ont emporté. La digital forensics Fortgale est la phase analytique de la réponse à incident : preuves, reconstitution de la chaîne, IOC. Non pas des expertises judiciaires, mais une analyse technique qui pilote la containment et les notifications.
La forensique Fortgale vit au sein de la réponse à incident : les analystes qui contiennent sont ceux qui reconstituent l'attaque.
Images disque et mémoire, collecte des logs et artefacts sur les endpoints et l'infrastructure, avec préservation et chaîne de possession. Les preuves avant qu'elles ne se dégradent.
Vecteur initial, persistance, mouvement latéral, élévation. La chronologie de l'attaque cartographiée sur MITRE ATT&CK, de la première compromission à l'objectif.
Distinguer ce qui a été consulté, chiffré ou copié vers l'extérieur : la base des notifications et de la déclaration d'assurance. Plus les IOC pour bloquer une réintrusion.
Fortgale délivre la forensique comme volet de la réponse à incident. Les preuves et la reconstitution appuient les notifications, l'assurance et les décisions internes. Les rapports assermentés et les expertises techniques en contexte judiciaire relèvent d'un autre métier, que Fortgale ne propose pas : nous le disons clairement.
La forensique alimente la containment et l'éradication. Voir le service Incident Response et le MDR qui l'opère 24·7·365.
Les preuves rendent exacte la notification de violation de données et la notification NIS2 au CSIRT. L'acte juridique reste au responsable de traitement ou au DPO.
L'analyse des malwares et des acteurs (par ex. CTI, 287 outils et acteurs profilés) accélère la reconstitution : nous savons déjà comment ils se déplacent.
Lors de l'Operation Storming Tide, l'équipe Fortgale a reconstitué une chaîne multi-étapes (Mora_001 : Matanbuchus 3.0 → Astarion RAT → SystemBC, exfiltration RClone), cartographiée MITRE, avec IOC publiés. Exfiltration et ransomware empêchés.
Lire l'analyse →Sur Nebula Broker, l'équipe a analysé le malware propriétaire BrokerLoader et attribué l'acteur : Mandiant (Google) l'a ensuite confirmé sous le nom UNC4990. Analyse forensique du code, pas seulement des alertes.
Lire la recherche →Non. Nous délivrons la digital forensics comme phase de la réponse à incident (DFIR) : analyse de l'attaque, preuves, reconstitution. Nous n'offrons pas de rapports assermentés ni d'expertises techniques en contexte judiciaire : c'est un métier forensique dédié au cadre juridique, distinct du nôtre.
Acquisition et préservation des preuves (disque, mémoire, logs), analyse des artefacts, reconstitution du vecteur et du mouvement latéral, identification de ce qui a été exfiltré, IOC cartographiés sur MITRE ATT&CK.
Pendant et après un incident, au sein de la réponse à incident. Elle répond à trois questions : comment ils sont entrés, ce qu'ils ont touché, ce qu'ils ont emporté. Les réponses pilotent la containment, la restauration et les notifications.
Oui : elles appuient la notification de violation de données, la déclaration de cyber-assurance et la documentation interne. L'appréciation juridique et les actes formels restent au responsable de traitement, au DPO ou au conseil juridique.
L'IR est le processus complet (détection, containment, éradication, restauration) ; la forensique est la composante analytique qui reconstitue les faits. Chez Fortgale, c'est le même poste avancé : ceux qui contiennent sont ceux qui reconstituent.
Parlez à l'équipe IR Fortgale : nous acquérons les preuves, reconstituons la chaîne d'attaque et identifions ce qui a été exfiltré, au sein d'un service de réponse à incident avec un SOC européen 24·7·365.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.