Articles / Vous SEREZ piraté. Voici comment survivre aux 72 premières h

Vous SEREZ piraté. Voici comment survivre aux 72 premières heures.

ump — Un mot de passe pourri backfill · Voir sur Substack ↗ ⚠ Contenu partiel (paywall)

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
278 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

74% des intrusions démarrent par l'humain : phishing, creds volés, erreur de conf. La vraie question n'est pas "si" mais "combien de temps avant de vous en rendre compte". Les 72h qui suivent définissent tout. https://jvn.substack.com/p/vous-serez-pirate-voici-comment-survivre

📅 27/05 à 19h07 dans 3j
✓ Publié 27/05 à 19h07
🧵 Thread posted
1769 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Vous serez piraté. Pas peut-être. Pas si malchance. 74% des intrusions passent par l'humain (Verizon DBIR 2024). Phishing, creds volés, config pourrie. Le vrai enjeu : survivre aux 72 premières heures.

2/8

2/ Dans les 72h post-compromission, l'attaquant fait ses courses : — Élévation de privilèges — Mouvement latéral — Exfiltration de données — Déploiement de ransomware Chaque heure compte. Littéralement.

3/8

3/ Première erreur fatale : croire qu'on détecte vite. Temps médian de détection d'une intrusion : plusieurs semaines. Pendant ce temps, l'attaquant pose ses backdoors, mappe le réseau, prépare son ransomware.

4/8

4/ Les 72h critiques commencent QUAND VOUS DÉTECTEZ. Pas quand l'attaquant entre. Ce qui se passe dans cette fenêtre : — Containment raté = propagation — Forensics bâclé = re-compromission — Communication foireuse = panique organisationnelle

5/8

5/ Checklist terrain des 72 premières heures : — Isolation réseau (intelligente, pas brutale) — Collecte forensics AVANT extinction — Reset creds sur périmètre élargi — Timeline d'attaque claire — Communication factuelle, pas rassurante

6/8

6/ La plupart des boîtes n'ont AUCUN plan pour ces 72h. Elles ont un "plan de continuité", un "plan de crise". Mais rien sur : qui fait quoi, dans quel ordre, avec quels accès, quand tout brûle.

7/8

7/ Le ransomware qu'on voit au jour J ? Il est là depuis 15 jours minimum. Les 72h qui comptent, c'est entre la détection et l'endiguement. Pas entre l'infection et la note de rançon.

8/8

8/ Vous serez piraté. La question est : avez-vous répété les 72 premières heures ? Ou vous allez improviser sous pression, avec des logs incomplets et des décideurs qui ne comprennent rien ? Le guide complet ici : https://jvn.substack.com/p/vous-serez-pirate-voici-comment-survivre

📅 16/07 à 12h42 dans 53j
✓ Publié 16/07 à 12h42
💡 Standalone #1 posted
218 chars
Sans lien · Matin 7h30–9h · 70% du mix

Le ransomware qu'on découvre un lundi matin ? Il est dans le SI depuis 2 semaines. Les 72h critiques, c'est pas entre l'infection et la rançon. C'est entre votre détection et votre endiguement. Nuance qui coûte cher.

📅 14/07 à 08h53 dans 51j
✓ Publié 14/07 à 08h53
💬 Standalone #2 posted
266 chars
Sans lien · Matin 7h30–9h · 70% du mix

74% des intrusions passent par l'humain. Mais 100% des réponses foirées passent par l'absence de plan. Vous avez un "plan de crise". Super. Mais qui coupe quoi, qui collecte les logs, qui reset les creds, dans quel ordre ? Improviser sous ransomware, c'est perdre.

📅 20/07 à 08h24 dans 57j
✓ Publié 20/07 à 08h24
🔥 Provoc posted
245 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Votre EDR détecte une compromission ? Félicitations : vous êtes déjà en retard de 15 jours. L'attaquant a mappé votre AD, exfiltré vos données sensibles, et pose tranquillement ses backdoors pendant que vous organisez votre "cellule de crise".

📅 22/07 à 18h30 dans 59j
✓ Publié 22/07 à 18h30