DFIR · forensique au sein de la réponse à incident

Digital forensics : reconstituer l'attaque, au sein de la réponse à incident.

Après un incident, il faut des réponses factuelles : comment ils sont entrés, ce qu'ils ont touché, ce qu'ils ont emporté. La digital forensics Fortgale est la phase analytique de la réponse à incident : preuves, reconstitution de la chaîne, IOC. Non pas des expertises judiciaires, mais une analyse technique qui pilote la containment et les notifications.

Endpoint · logsAcquisition de preuves
Chaîne d'attaqueVecteur + mouvement latéral
IOC · MITREIndicateurs cartographiés
Standards
MITRE ATT&CK
NIST IR
ISO/IEC 27001
Livrables
Preuves · chaîne de possession
Chronologie de l'attaque
IOC
Ce que nous faisons · DFIR

Trois questions, une reconstitution.

La forensique Fortgale vit au sein de la réponse à incident : les analystes qui contiennent sont ceux qui reconstituent l'attaque.

01 ·

Acquisition des preuves

Images disque et mémoire, collecte des logs et artefacts sur les endpoints et l'infrastructure, avec préservation et chaîne de possession. Les preuves avant qu'elles ne se dégradent.

02 ·

Reconstitution de la chaîne

Vecteur initial, persistance, mouvement latéral, élévation. La chronologie de l'attaque cartographiée sur MITRE ATT&CK, de la première compromission à l'objectif.

03 ·

Ce qui a été touché ou exfiltré

Distinguer ce qui a été consulté, chiffré ou copié vers l'extérieur : la base des notifications et de la déclaration d'assurance. Plus les IOC pour bloquer une réintrusion.

Honnête sur le périmètre

Forensique opérationnelle, pas forensique de prétoire.

Fortgale délivre la forensique comme volet de la réponse à incident. Les preuves et la reconstitution appuient les notifications, l'assurance et les décisions internes. Les rapports assermentés et les expertises techniques en contexte judiciaire relèvent d'un autre métier, que Fortgale ne propose pas : nous le disons clairement.

Au sein de la réponse à incident

La forensique alimente la containment et l'éradication. Voir le service Incident Response et le MDR qui l'opère 24·7·365.

Nourrie par la recherche

L'analyse des malwares et des acteurs (par ex. CTI, 287 outils et acteurs profilés) accélère la reconstitution : nous savons déjà comment ils se déplacent.

Cas réel · reconstitution de la chaîne

Lors de l'Operation Storming Tide, l'équipe Fortgale a reconstitué une chaîne multi-étapes (Mora_001 : Matanbuchus 3.0 → Astarion RAT → SystemBC, exfiltration RClone), cartographiée MITRE, avec IOC publiés. Exfiltration et ransomware empêchés.

Lire l'analyse →
Cas réel · analyse de malware

Sur Nebula Broker, l'équipe a analysé le malware propriétaire BrokerLoader et attribué l'acteur : Mandiant (Google) l'a ensuite confirmé sous le nom UNC4990. Analyse forensique du code, pas seulement des alertes.

Lire la recherche →
FAQ · DFIR

Ce qu'est notre forensique (et ce qu'elle n'est pas).

Produisez-vous des rapports forensiques assermentés ou des expertises judiciaires ?

Non. Nous délivrons la digital forensics comme phase de la réponse à incident (DFIR) : analyse de l'attaque, preuves, reconstitution. Nous n'offrons pas de rapports assermentés ni d'expertises techniques en contexte judiciaire : c'est un métier forensique dédié au cadre juridique, distinct du nôtre.

Qu'inclut la forensique Fortgale ?

Acquisition et préservation des preuves (disque, mémoire, logs), analyse des artefacts, reconstitution du vecteur et du mouvement latéral, identification de ce qui a été exfiltré, IOC cartographiés sur MITRE ATT&CK.

Quand intervient l'analyse forensique ?

Pendant et après un incident, au sein de la réponse à incident. Elle répond à trois questions : comment ils sont entrés, ce qu'ils ont touché, ce qu'ils ont emporté. Les réponses pilotent la containment, la restauration et les notifications.

Les preuves servent-elles l'autorité ou l'assurance ?

Oui : elles appuient la notification de violation de données, la déclaration de cyber-assurance et la documentation interne. L'appréciation juridique et les actes formels restent au responsable de traitement, au DPO ou au conseil juridique.

Différence entre DFIR et réponse à incident ?

L'IR est le processus complet (détection, containment, éradication, restauration) ; la forensique est la composante analytique qui reconstitue les faits. Chez Fortgale, c'est le même poste avancé : ceux qui contiennent sont ceux qui reconstituent.

Besoin de comprendre ce qui s'est passé ?

Reconstituer l'attaque est le premier pas pour la clore.

Parlez à l'équipe IR Fortgale : nous acquérons les preuves, reconstituons la chaîne d'attaque et identifions ce qui a été exfiltré, au sein d'un service de réponse à incident avec un SOC européen 24·7·365.

Délai de réponse : < 1 jour ouvré.