Cas client anonymisé

L'incident — minute par minute

Une PME québécoise post-incident, déjà compromise une fois en mars 2026. Hoogin était déployé depuis quatre semaines. Voici la deuxième compromission, détectée et résolue avant qu'elle ne fasse des dégâts.

Contexte

Une PME de 15 personnes, M365 + GravityZone + DNS GoDaddy

Firme de génie-conseil environnemental basée au Québec. Microsoft 365, infrastructure cloud, site web statique, parc Bitdefender GravityZone. Suite à une compromission en mars 2026, Hoogin a été déployé : audit M365, agent SIEM, intégration GravityZone, alerting Telegram.

Chronologie

T+0 → T+18 min

  1. T+0 étape 1 / 7

    Sign-in M365 risqué détecté

    Microsoft Entra ID flag un sign-in depuis une IP atypique pour l'utilisateur cible. Niveau de risque : élevé. L'événement remonte au portail Hoogin via le collecteur Microsoft Graph.

    entra_signinLogsgraph_riskyUsers
  2. T+2 s étape 2 / 7

    Alerte endpoint corrélée

    GravityZone détecte une exécution de PowerShell encodée sur le poste de l'utilisateur. Le collecteur live remonte l'alerte au même portail.

    gz_alerts_live
  3. T+3 s étape 3 / 7

    Wazuh confirme l'événement Exchange

    Le SIEM Wazuh remonte une règle de transfert créée silencieusement sur la boîte aux lettres de l'utilisateur. Trois sources, un seul utilisateur, une seule fenêtre temporelle.

    wazuh_msexchangewazuh_filetransfer_rule
  4. T+4 s étape 4 / 7

    Corrélation et options proposées

    Le moteur Hoogin recoupe les trois événements, identifie la chaîne d'attaque et émet une alerte CRITICAL. Trois options de remédiation, classées par impact métier.

    correlation_engine
  5. T+5 min étape 5 / 7

    Décision opérateur

    L'opérateur Hoogin valide l'option de remédiation : verrouiller le compte, révoquer les sessions, supprimer la règle de transfert, isoler le poste GravityZone. Notification au dirigeant par Telegram.

  6. T+12 min étape 6 / 7

    Remédiation exécutée

    Compte verrouillé via Graph API. Sessions révoquées via revokeSignInSessions. Règle de transfert supprimée via Set-InboxRule. Poste isolé via API GravityZone. Indicateurs de compromission ajoutés au feed Hoogin.

  7. T+18 min étape 7 / 7

    Post-mortem généré, dirigeant briefé

    Rapport post-mortem généré automatiquement avec chronologie, sources, actions, leçons. Le dirigeant reçoit le brief écrit. Les indicateurs de compromission sont distribués aux autres clients Hoogin.

    post_mortemioc_feed

Ce que ça change

Pourquoi c'est différent

1

La corrélation, pas la collection

Trois alertes isolées en 4 secondes auraient été noyées dans n'importe quel SIEM générique. Hoogin recoupe et priorise pour vous.

2

Des options, pas des automatismes aveugles

Le moteur ne ferme rien tout seul. Il propose, l'opérateur décide, l'action est tracée.

3

Le post-mortem est gratuit

Chaque incident génère un rapport écrit. Pas de double facturation pour la doc, pas d'oubli, pas de version perdue.

4

Les IoC profitent à tous nos clients

Les indicateurs de compromission identifiés chez ce client protègent les autres clients Hoogin dans les minutes qui suivent.

Vous avez vécu une compromission ?

On vous livre un audit M365 et un score de posture en moins d'une semaine. Pas d'engagement.

Demander une démo