1. Accueil
  2. Documentation
  3. Blog
  4. L’histoire d’un RSSI face à l’inattendu : quand Defants AIR change la donne

L’histoire d’un RSSI face à l’inattendu : quand Defants AIR change la donne

Anticipez l’imprévu et reprenez le contrôle en un éclair.
Découvrez comment François, RSSI d’une ETI industrielle, a neutralisé une attaque ciblant son NAS Synology en moins de deux heures grâce à Defants AIR : collecte forensique instantanée, playbooks automatisés et visibilité temps réel.

Chapitre 1 : L’alerte qui change tout

François, RSSI d’une ETI de 500 collaborateurs dans l’industrie et le transport, démarre sa journée comme d’habitude. Mais à 8h45 le 12 mars 2025, son téléphone vibre : une alerte critique signale un pic d’activité anormal sur le port Transmission de l’un de ses NAS Synology, cœur de la gestion documentaire et des backups.
Malgré un inventaire à jour et des procédures claires, François comprend immédiatement qu’il fait face à une menace grave : une vulnérabilité récemment dévoilée dans le Synology Replication Service (CVE-2024-10442) pourrait permettre l’exécution de commandes à distance. Son équipe est déjà sous pression, et aucun incident de cette ampleur n’était prévu.

« J’ai senti l’adrénaline monter : en quelques minutes, nos sauvegardes pouvaient être chiffrées ou exfiltrées. »

Chapitre 2 : Évaluer les options pour une réponse optimale

François se retrouve face à un dilemme courant : choisir entre un prestataire traditionnel, un fournisseur EDR pur, ou s’appuyer sur Defants AIR. Pour éclairer sa décision, il pèse le pour et le contre de plusieurs approches :

  • Prestataire A : scripts, copies de disque sans agent, heures de préparation et facturation élevée par incident.

  • Defants AIR : processus industrialisés et automatisés, collecte forensique native via Velociraptor, déploiement en quelques minutes, et accompagnement par une équipe d’experts.

Séduit par la promesse d’une reprise d’activité accélérée, François fait appel à Defants AIR.

Chapitre 3 : L’investigation éclair

En coulisses, Velociraptor, intégré nativement à Defants AIR, réalise une collecte en profondeur et une réactivité inégalée :

  1. Processus et services actifs : liste des PID, utilisateurs et chemins exécutables (ps aux, lsof).

  2. Connexions réseau historiques : captures des connexions TCP/UDP (netstat, ss, /var/log/firewall.log).

  3. Logs système et applicatifs : agrégation des fichiers /var/log/messages, /usr/syno/etc/log/synolog.log, journaux SMB/NFS (/var/log/samba), SSH (/var/log/auth.log).

  4. Configuration DSM et packages : extrait de /etc/synoinfo.conf, versionnage des paquets installés, paramètres de réplication et de sauvegarde.

  5. Snapshots BTRFS : inventaire des sous-volumes et points de restauration (btrfs subvolume list).

  6. Dump mémoire : capture de la mémoire vive via Velociraptor, incluant les structures de processus et les modules chargés.

  7. Tâches planifiées : crontabs utilisateurs et tâches du Synology Task Scheduler (/etc/crontab, interface DSM Task Scheduler).

  8. Artefacts spécifiques Synology : journaux de Transmission, logs USB et périphériques montés, fichiers de configuration réseau (/etc/network/interfaces).

François consulte en temps réel le tableau de bord : il suit la progression de la collecte, visualise les découvertes forensiques et les IOC de la Threat Intelligence intégrée, et reçoit chaque matin un rapport synthétique pour prendre les meilleures décisions.

« Je pouvais suivre chaque étape, comprendre comment l’attaquant avait franchi nos défenses, et adapter notre réponse instantanément. »

Chapitre 4 : Containment et remédiation à chaud

Grâce aux playbooks adaptatifs de Defants AIR :

  • 08 h 49 : isolation réseau du NAS infecté

  • 09 h 02 : déploiement du patch DSM 7.2.2-72806-1 et du Replication Service 1.3.0-0423

  • 09 h 15 : basculement automatique sur un snapshot sain

En moins de deux heures, le périmètre est sécurisé, les dossiers sont restaurés sans perte, et les utilisateurs retrouvent leur service.
En moins de 24 heures, le chemin d’attaque est entièrement identifié, tous les actifs compromis sont inventoriés et isolés, et les comptes compromis sont révoqués pour une éradication rapide de l’attaquant.

Chapitre 5 : L’après-crise et la consolidation de la sécurité

Une fois l’incident sous contrôle, François transforme cette remise en question en opportunité de renforcement :

  • Analyse post-mortem automatisée : rapport détaillé des causes racines et recommandations actionnables

  • Durcissement DSM : vérification et renforcement automatique des configurations, pare-feu, SSH

  • Optimisation des sauvegardes : tests de restauration systématiques des snapshots BTRFS avec alertes en cas d’échec

  • Formation continue : sessions interactives basées sur les données réelles de l’incident

Conscient que le risque zéro n’existe pas, François s’appuie désormais sur Defants AIR pour :

  • Maintenir une réactivité accrue sans surcharge opérationnelle

  • Bénéficier d’une visibilité permanente sur l’intégrité et la sécurité des NAS

  • Obtenir une tranquillité d’esprit grâce à des playbooks éprouvés

Avec Defants AIR, François sait qu’il n’est jamais seul face à la menace.

Épilogue : Conseils du RSSI pour prévenir la prochaine attaque

  1. Automatiser vos mises à jour DSM et services via Defants AIR

  2. Activer la 2FA sur tous les accès administratifs

  3. Segmenter votre réseau (production, sauvegarde, labo)

  4. Tester régulièrement vos playbooks d’incident

  5. S’appuyer sur une intelligence comportementale pour anticiper l’inattendu

Envie de voir Defants AIR en action ?

Demandez une démo ou démarrez votre essai gratuit sur

26 Mar 2025

Sortie de la v1.16 Defants AIR

07 Mar 2025

IoA : Indicateurs d'attaque

15 Fév 2025

L’intelligence artificielle au service de la cybersécurité