INCIDENT EN COURS ? APPELEZ LE +971 58 594 6337 · SIGNAL DISPONIBLE · CENTRE D'INTERVENTION 24H/24, 7J/7 TEMPS MOYEN DE CONFINEMENT : 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — MISE À JOUR DE LA BIBLIOTHÈQUE DE DÉCHIFFREMENT NE COUPEZ PAS L'ALIMENTATION DES HÔTES INFECTÉS — PRÉSERVEZ LA MÉMOIRE INCIDENT EN COURS ? APPELEZ LE +971 58 594 6337 · SIGNAL DISPONIBLE · PONT D'INTERVENTION 24H/24, 7J/7 TEMPS MOYEN DE CONFINEMENT : 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — BIBLIOTHÈQUE DE DÉCHIFFREMENT MISES À JOUR NE COUPEZ PAS L'ALIMENTATION DES HÔTES INFECTÉS — PRÉSERVEZ LA MÉMOIRE
Anglais Espagnol Magyar العربية Русский Ukrainien Deutsch Slovenčina Thai Chinois 日本語 한국어 Roumain Français Hindi Bengali Bahasa Indonesia Português Italiano Tagalog Tiếng Việt فارسی Kiswahili Burmese Amharic Türkçe Urdu Basa Jawa Polonais Tchèque
system.log
5 dernières minutes · 20 événements
Instantanés
7 derniers jours · 7 instantanés
Aucune sauvegarde trouvée
Dernier référentiel connu : inaccessible

ce qu’un incident non traité
coûte réellement.

Extrait de nos données internes sur la réponse aux incidents et de rapports publics vérifiés couvrant la période 2024-2025 — plusieurs secteurs d'activité, plusieurs zones géographiques.

01
5,08 millions de dollars
Coût total moyen d'un incident lié à un rançongiciel ou à une extorsion
02
241
Nombre moyen de jours nécessaires pour détecter et contenir une violation en l'absence d'une équipe dédiée à la réponse aux incidents
03
24
Jours d'indisponibilité opérationnelle en moyenne par attaque de ransomware
04
4
Nombre médian de jours entre l'intrusion initiale et le chargement de la charge utile de chiffrement
05
50
des attaques par ransomware se soldent encore par le chiffrement des données
06
28
Des victimes dont les données ont été chiffrées ont également subi une exfiltration de données à des fins d'extorsion
Auto-évaluation // 4 questions • 30 secondes

avant de paniquer,
évaluez l'ampleur du problème.

Répondez à quatre questions. Nous générerons un score de gravité en temps réel et les quatre premières mesures que votre équipe doit prendre immédiatement — avant que quiconque ne tape sur son clavier sous le coup de la colère.

QUESTION 01 / 04
Qu'avez-vous découvert en premier ?
Le premier élément observable détermine le temps dont vous disposez.
QUESTION 02 / 04
Quelle est l'étendue de la propagation ?
Comptez les hôtes pour lesquels un cryptage ou une altération a été confirmé.
QUESTION 03 / 04
État de la sauvegarde ?
« Immutable » signifie véritablement immutable — verrouillage d'objet, isolation physique ou hors ligne.
QUESTION 04 / 04
Signes de vol de données ?
L'exfiltration transforme une opération de récupération en une opération de divulgation.
RÉSULTAT
Triage terminé.
Il s'agit d'une estimation approximative. Un analyste PWN-ALL peut affiner cette estimation en 15 minutes sur la passerelle de réponse.
OUVRIR LA PLATEFORME D'INTERVENTION
▸ VERDICT EN DIRECT
en attente de données
Répondez aux questions à gauche. La gravité est mise à jour en temps réel.
00255075100

▸ Quatre premières actions

  1. Isolez les hôtes affectés du réseau — ne les éteignez pas.
  2. Conservez les copies d'ombre de la mémoire et des volumes sur au moins un hôte.
  3. Révoquez les identifiants utilisés au cours des dernières 72 heures ; renouvelez les comptes de service.
  4. Établissez un pont de communication avec PWN•ALL avant de toucher aux sauvegardes.
Pipeline de réponse

quatre phases.
Un seul pont.

Nous traitons chaque incident via un pont d'intervention unique et audité : votre équipe, nos analystes DFIR, un calendrier partagé et des justificatifs à chaque étape.

PHASE 01 // 0–60 min

Contenir

Isolation au niveau du réseau sans détruire les preuves. Nous stoppons les mouvements latéraux au niveau du commutateur, bloquons le C2, gelons les comptes privilégiés et préservons la mémoire sur les hôtes pivots.

Durée médiane de présence avant le chiffrement : 4 jours. La fenêtre de confinement se mesure en heures, pas en quarts de travail.
PHASE 02 // 1 à 6 h

Portée

Triage forensic de chaque ressource chiffrée, vecteur d'accès initial, persistance et traces d'exfiltration. Nous identifions la souche, les TTP de l'opérateur et la durée de présence.

En l'absence d'une équipe dédiée à la réponse aux incidents (IR), le cycle de vie moyen d'une violation s'étend sur 241 jours, de l'intrusion à la maîtrise.
PHASE 03 // 6 à 48 h

Récupération

Reconstruction en salle blanche, vérification de l'intégrité des sauvegardes, comparaison des décrypteurs avec notre bibliothèque interne et, lorsque les clés existent, décryptage par étapes des données de production.

La durée moyenne d'indisponibilité due à un ransomware est de 24 jours. Les organisations bien préparées réduisent ce délai à moins d'une semaine.
PHASE 04 // 2 à 14 jours

Renforcement

Correction des causes profondes, nettoyage des identités, déploiement d'EDR/MFA là où ils font défaut, et un rapport écrit que votre conseil d'administration, votre assureur et votre autorité de régulation peuvent réellement lire.

32 % des incidents liés aux ransomwares commencent par l'exploitation d'une vulnérabilité. La phase 4 ferme la porte qui leur a permis d'entrer.
Ce que nous traitons

chaque souche a un
point faible. Nous le trouvons.

Notre bibliothèque de recherche sur les décrypteurs et nos informations de négociation sont mises à jour à partir de cas réels que nous résolvons chaque semaine. S'il existe un moyen de récupérer les données sans payer, nous le trouvons en premier.

FAMILLE // AXÉ SUR WINDOWS

LockBit • BlackCat • Play

  • Contrôleur de domaine et ciblage Veeam
  • Effacement des clichés via vssadmin/WMI
  • Exfiltration par étapes via MEGA/Rclone
  • Récupération partielle de la clé le cas échéant
FAMILLE // HYPERVISEURS

Akira • Royal • Rhysida

  • Arrêt et chiffrement ESXi au niveau de la couche VMFS
  • Ransomware ELF sous Linux sur les appliances
  • Récupération de volume au niveau du datastore
  • Audit d'intégrité côté hyperviseur
FAMILLE // EXTORSION UNIQUEMENT

Cl0p • Karakurt • RansomHub

  • Vol de données pur, sans chiffrement
  • Surveillance et suppression des sites de fuite
  • Coordination des divulgations légales
  • Communications avec les opérateurs gérées par nos soins
Pont de réponse

un analyste est déjà
surveille l'horloge.

Dès que vous appelez, une passerelle partagée se met en place avec un historique des actions horodaté, la conservation des preuves et un tableau de gravité en temps réel. Votre assureur et votre équipe juridique peuvent se connecter en lecture seule.

00
heures
47
minutes
12
secondes
en direct
00:02analyst-04a rejoint le pont
00:05 hôtedc01 isolé au niveau du commutateur
00:11Tentative latérale bloquée — 10.4.2.88 → 10.4.2.12
00:18instantané de mémoire sécurisé — 4 hôtes
00:26correspondance de souche : lockbit 3.x (87 %)
00:34Référentiel de sauvegarde intact — veeam01 intact
00:41projet de plan de reprise — en attente de validation

Pas de mystère. Pas de silence.

Chaque incident PWN-ALL s'exécute sur le même modèle de pont que vos régulateurs et votre cyber-assureur acceptent déjà. Vous voyez ce que nous voyons. Vous approuvez chaque action destructive. Rien n'est crypté, supprimé ou payé sans votre accord.

Une fois la situation maîtrisée, vous repartez avec un rapport de chaîne de conservation, une chronologie cartographiée selon le modèle MITRE ATT&CK et un plan de renforcement de la sécurité sur 30/60/90 jours — pas un simple PDF rempli de captures d'écran.

Foire aux

que les gens
que les gens posent à 3 heures du matin.

Faut-il payer la rançon ?

Ce n'est presque jamais la bonne première décision. Nous ne négocions qu'en dernier recours, pendant l'évaluation des options de récupération, et uniquement après avoir obtenu l'autorisation juridique et l'accord sur les sanctions. Dans environ 94 % de nos cas, une récupération totale ou partielle est possible sans paiement.

Dans quel délai pouvez-vous être sur le pont ?

Notre SLA prévoit moins de 60 minutes entre le premier appel et la mise en relation avec un analyste sur une passerelle partagée avec votre équipe. Les conseils de confinement commencent généralement dans les 15 premières minutes, tandis que l'évaluation de l'étendue de l'incident se déroule en parallèle.

Nous avons déjà tout éteint. Est-ce grave ?

Ce n'est pas l'idéal — la mémoire volatile contient des clés, des processus injectés et des traces de l'opérateur — mais la situation est récupérable. Ne redémarrez aucun système avant que nous soyons en ligne. Nous disposons de procédures de triage à froid.

Travaillez-vous avec notre cyber-assureur ?

Oui. PWN-ALL est conçu pour s'intégrer aux panels d'intervention en cas d'incident (IR) standard. Nous fournissons à l'assureur un historique des actions horodatées, un contrôle des coûts et un rapport final dans le format accepté par la plupart des assureurs.

Que se passe-t-il si des données ont été volées en plus d'avoir été chiffrées ?

Nous évaluons l'exfiltration séparément : ce qui a été pris, d'où, et pendant combien de temps. Nous coordonnons ensuite la divulgation, les aspects juridiques et, le cas échéant, la surveillance des sites de fuite et les communications avec les opérateurs.

Pouvez-vous empêcher la prochaine attaque ?

C'est la phase 4. Remédiation des causes profondes, hygiène des identités, déploiement d'EDR/MFA et surveillance continue — associés à VulnScan et ConnGuard pour le périmètre.

24 h/24, 7 j/7, 365 j/an

N'attendez pas
lundi matin.

Chaque heure qui passe, les sauvegardes sont effacées, les preuves expirent et les opérateurs s'enfoncent davantage. PWN-ALL intervient le jour même, le week-end, les jours fériés — l'horloge s'en moque, et nous aussi.

APPELEZ LE +971 58 594 6337 → Demande de devis
SIGNAL DISPONIBLE AU MÊME NUMÉRO
50 % des attaques se terminent encore par un chiffrement. N'attendez pas pour savoir de quelle moitié il s'agit.