Réponse à incident après une cyberattaque lorsqu’il y a perte de données

Notre premier objectif :
la reprise d’activité

Le règlement de la rançon n’est pas l’unique solution

Fort de son expertise en récupération de données depuis plus de 20 ans, Recoveo a acquis un savoir faire unique qui nous permet de récupérer les données rendues inaccessibles par les hackers. La récupération de données sur des serveurs en panne est notre cœur de métier. Nous avons développé nos propres outils tel que Raidtools qui nous permet d’agir sur des systèmes de Raid très complexes.

Tout n’est pas forcément chiffré

L’intrusion dans votre système peut remonter à plusieurs mois, mais les hackers vont très vite lorsqu’ils lancent l’action de sabotage des serveurs. Dans la précipitation et face aux capacités importantes des serveurs de stockage : ils sont incapables de tout chiffrer. Plus il y a des copies de sauvegarde plus nous avons des chances de récupérer des données. Chaque groupe de hacker a ses méthodes de destruction et elles peuvent évoluer. Nous devons réaliser une analyse de faisabilité pour savoir s’il y a des possibilités de récupérer les données perdues.

Notre capacité technique & délais

Nous avons dimensionné notre capacité de traitement pour pouvoir traiter plusieurs dossiers Serveurs en simultané. Notre objectif est toujours d’être en surcapacité pour ne pas craindre les surcroîts d’activité. La R&D représente 4% du budget annuel ce qui nous permet des développements d’outils internes. Nous disposons aussi de serveurs de prêt pour accélérer le retour des données. Notre objectif c’est d’aller au toujours au plus court afin de restituer au plus vite les données. Les choix techniques qui sont fait suivent toujours l’objectif de vitesse.

Les 10 commandements pour préserver vos données

Nous avons constaté que les systèmes de stockage qui nous sont confiés sont souvent manipulés dans la panique suite à l’attaque. Or, ces supports peuvent contenir des données qui n’ont pas été détruites et sont très sensibles aux réécritures.

Nous avons souhaité partager notre retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement de stockage dans le cadre d’une infection par ransomware.

Vous pouvez accéder au téléchargement gratuit de notre livre blanc « 10 conseils pour récupérer ses données suite à une cyberattaque par ransomware » en cliquant sur le bouton suivant :

La méthode

Notre mission de récupération de données se conduit de façon méthodique :

Clonage des disques

(en respectant la non détérioration de la preuve)

Recherche manuelle des paramètres RAID

Recherche de couches système antérieurs à l’attaque (failles)

Test et retour des fichiers

La gestion de l’urgence en 24/24 7/7

La prise en charge de la demande est immédiate par la cellule d’urgence. Cette dernière peut être mise en place en moins de 60 minutes. Elle est composée de plusieurs ingénieurs en fonction du nombre de serveurs et des compétences nécessaire. Un ingénieur commercial est l’interlocuteur unique le suivi du dossier. Nuit, week-end, jours fériés tout est possible en fonction de votre urgence. L’astreinte permet d’avoir un délai restitution trois fois plus rapide qu’une intervention standard.

Confidentialité

Nous avons compris que chaque situation était différente et qu’en terme de communication généralement nos commanditaires préfèrent faire profil bas. Nos success stories sont volontairement floues sur le secteur d’activité et la localisation. Nous pouvons vous garantir un ZERO communication si vous le souhaitez par la signature d’un NDA. La société est française et traite dans ses laboratoires tous les supports quelques soit le type de panne sans faire aucune sous traitance. Tous les contrats de travails de nos collaborateurs contiennent une clause de confidentialité.

Investigation numérique & sécurité

Notre action peut se faire en amont d’une investigation numérique. Nos copies bas niveaux sont protégées en écriture par des bloqueurs pour ne pas compromettre la preuve. Il vous est donc possible de lancer des recherches après la récupération de données et la remise en route des serveurs. Vous pouvez nous demander de réaliser des copies forensiques des disques. Notre laboratoire est coupé d’internet pour éviter toute possibilité de fuite.

Success Story

Eté 2020

Sauvetage réussi pour cet industriel de Nouvelle Aquitaine pris pour cible par une cyberattaque.
5 serveurs sont rendus inaccessibles par les assaillants.
Le serveur de production (ERP) et le serveur de messagerie sont cryptés. L’usine est à l’arrêt complet.
Une enquête est menée par la gendarmerie : ils saisiront les deux serveurs principaux.
Nous recevons le soir les 3 serveurs de backup. Il s’agit de 3 modèles synology.
Nous retrouvons les traces d’un backup veeam très récent.
Nous sauverons 100 % des données sous 4 jours.