01
Préparation
Choix du segment réseau cible (LAN bureau, VLAN serveurs, OT) et de la persona du leurre (serveur de sauvegarde, contrôleur secondaire, NAS).
Étape 01
Catalogue produits
Famille Threat Intel
SYLink Hornetbot
Honeypot d'entreprise · MTTD < 30 s · détection mouvement latéral
Le tripwire silencieux qui sonne quand l'attaquant se croit invisible. SYLink Hornetbot est un leurre d'entreprise auto-hébergé déployé en quelques minutes dans votre LAN ou votre VLAN serveurs : il imite un serveur Windows légitime (partages SMB, RDP, SSH, applicatifs métiers factices) et alerte au premier scan, à la première tentative d'authentification, à la première écriture sur un partage piégé. Aucun utilisateur n'a de raison légitime d'y toucher — toute interaction est un signal d'attaque qualifié.
Le produit, en clair
À quoi sert SYLink Hornetbot
Le tripwire silencieux qui sonne quand l'attaquant se croit invisible. SYLink Hornetbot est un leurre d'entreprise auto-hébergé déployé en quelques minutes dans votre LAN ou votre VLAN serveurs : il imite un serveur Windows légitime (partages SMB, RDP, SSH, applicatifs métiers factices) et alerte au premier scan, à la première tentative d'authentification, à la première écriture sur un partage piégé. Aucun utilisateur n'a de raison légitime d'y toucher — toute interaction est un signal d'attaque qualifié.
À retenir
SYLink Hornetbot — Honeypot d'entreprise · MTTD < 30 s · détection mouvement latéral.
Le mode d'emploi technique
Comment s'en servir
Le leurre qui parle attaquant
Le Hornetbot expose un éventail crédible de services réseau d'entreprise : un faux serveur de sauvegarde, des partages SMB sensibles (comptabilité, RH, sauvegardes), un accès RDP exposé, des bases de données apparemment mal sécurisées. Côté attaquant, c'est un poste de travail qu'on adore trouver — sous-sécurisé, riche en données, isolé. Côté défense, c'est un piège : aucun utilisateur n'y a accès, aucun process métier n'y écrit, aucune appli ne s'y connecte.
Toute interaction est qualifiée à la source : une simple sonde TCP devient un signal "reconnaissance", une tentative d'authentification SSH devient "credential spraying", la lecture du partage Comptabilité$ devient "exfiltration de stade 2". Le moteur SYLink corrèle l'événement avec le contexte (heure, IP source, vélocité), enrichit avec la CTI souveraine et déclenche l'alerte vers UniSOC ou votre SIEM en moins de 30 secondes.
L'attaquant ne sait pas qu'il est observé. Pendant qu'il déroule sa kill-chain sur ce qu'il croit être un serveur réel, vos analystes ont déjà identifié son IP source, listé ses outils et démarré le confinement.
Capacités clés
- Détection au stade reconnaissance / mouvement latéral, en amont de l'EDR
- MTTD typique observé sur déploiements clients : 18 à 30 minutes après compromission initiale
- Aucune donnée personnelle, aucun trafic sortant non maîtrisé
- Compatible LAN, VLAN serveurs, VLAN OT, DMZ — multi-instances pour multi-sites
- Intégration native UniSOC : événements corrélés avec votre supervision globale
Où se place le produit dans votre topologie ?
Intégration dans votre réseau
VM leurre déployée dans votre LAN ou VLAN serveurs : elle imite un serveur d'entreprise (partages SMB, RDP, SSH, applicatifs factices) et alerte au premier scan ou à la première tentative d'authentification. Aucune fonction métier — toute interaction est qualifiée.
Pipeline de déploiement
Schéma de mise en œuvre
Déploiement type : import de la VM signée dans votre hyperviseur, attribution d'une IP cohérente avec le segment cible, choix d'un hostname plausible, branchement de la sortie syslog vers votre SIEM ou UniSOC. Première alerte testée par scan interne contrôlé.
- 02
Import VM
qcow2.zst dans Proxmox / KVM ou OVA dans VMware. Signature GPG vérifiée à l'import.
Étape 02 - 03
Personnalisation
Hostname, IP statique, partages factices, bannières adaptées à votre nomenclature interne.
Étape 03 - 04
Branchement alerting
Sortie syslog / webhook signé vers UniSOC SYLink ou votre SIEM. Test d'alerte par scan interne contrôlé.
Étape 04 - 05
Run & MCO
MAJ d'image signées poussées par canal SYLink (ou import manuel pour air-gap). Revue trimestrielle de la persona du leurre.
Étape 05
- 01
Préparation
Choix du segment réseau cible (LAN bureau, VLAN serveurs, OT) et de la persona du leurre (serveur de sauvegarde, contrôleur secondaire, NAS).
Étape 01 - 02
Import VM
qcow2.zst dans Proxmox / KVM ou OVA dans VMware. Signature GPG vérifiée à l'import.
Étape 02 - 03
Personnalisation
Hostname, IP statique, partages factices, bannières adaptées à votre nomenclature interne.
Étape 03 - 04
Branchement alerting
Sortie syslog / webhook signé vers UniSOC SYLink ou votre SIEM. Test d'alerte par scan interne contrôlé.
Étape 04 - 05
Run & MCO
MAJ d'image signées poussées par canal SYLink (ou import manuel pour air-gap). Revue trimestrielle de la persona du leurre.
Étape 05
↓ Pipeline d'intégration — étape par étape, du cadrage à la mise en production ↓
Pré-requis
- Hyperviseur Proxmox / KVM ou VMware ESXi / Workstation
- 1 IP par instance dans le segment cible
- Sortie syslog / webhook accessible vers UniSOC ou votre SIEM
- Pour les périmètres OT : VLAN dédié et règles de filtrage adaptées
Ce que vous gagnez concrètement
Avantages
- 01
Détection du mouvement latéral en moins de 30 secondes
Là où un EDR détecte un comportement déjà en cours sur un poste compromis, le Hornetbot révèle l'attaquant dès qu'il scanne ou tente d'énumérer le réseau — souvent avant la première exécution malveillante.
- 02
Zéro faux positif par construction
Les services exposés par le Hornetbot n'ont aucune fonction métier. Une connexion = une intention. Vos analystes traitent uniquement des alertes vraies, qualifiées dès l'origine.
- 03
Auto-hébergé, vos données restent chez vous
Image VM Debian 13 livrée signée. Aucun télémétrie sortante, aucun cloud tiers, aucun callback hors de votre périmètre. Compatible air-gap pour les réseaux sensibles.
- 04
Conformité NIS2 · DORA · RGPD
Couvre les exigences de détection d'incident (NIS2 art. 21), de notification (art. 23), de résilience opérationnelle DORA et de minimisation RGPD — aucune donnée personnelle collectée.
La fiche technique complète
Spécifications
Format & déploiement
| Image | VM Debian 13 minimale · signée GPG |
| Formats | qcow2.zst (Proxmox / KVM) · OVA (VMware / Workstation) |
| Empreinte | ≈ 250–280 Mo · 1 vCPU · 1 Go RAM · 4 Go disque |
| Mise en service | Import VM → IP statique → premier signal en < 5 min |
| Mise à jour | Image signée poussée par canal SYLink ou import manuel air-gap |
Services leurres exposés
| SSH (port 22) | Bannière serveur Linux crédible · capture creds + commandes saisies |
| HTTP (port 80) | Page "BackupServer" thématisée · formulaire login factice |
| SMB (port 445) | Partages factices (ex. Comptabilité$, RH$, Sauvegardes$) · capture des accès |
| RDP (port 3389) | Bannière Windows Server · détection brute-force et énumération |
| Bases de données | Stubs Postgres · Redis · MongoDB · Elasticsearch (réponses minimales, log complet) |
| SNMP (port 161) | Réponses System / Interface crédibles pour piéger les outils de découverte |
| Tarpit TCP | Ralentit volontairement les scans massifs pour grappiller du temps de détection |
Fingerprint & furtivité
| Empreinte OS | TTL 128 · stack TCP/IP simulant Windows Server 2019 |
| Bannières | Versions et noms d'hôte cohérents avec votre nomenclature interne (configurable) |
| Hostname / domaine | Personnalisable pour s'intégrer dans votre AD (ex. SRV-BKP-03.intra) |
| Comportement | Aucune réponse aux scans "trop curieux" qui pourraient révéler la nature leurre |
Alerting & intégration
| Sortie événements | Syslog · JSON HTTP · webhook signé · e-mail |
| Connecteurs natifs | UniSOC SYLink · SIEM Splunk / Elastic / QRadar / Sentinel |
| Niveaux d'alerte | Info (scan) · Suspect (auth tentée) · Critique (creds capturés / fichier déposé) |
| Rétention locale | 30 jours de logs sur la VM · export continu vers SIEM |
| Signature des événements | HMAC pour intégrité forensique |
Pour qui c'est fait
Cibles
Collectivité multi-sites — détection d'un compromis annexe
Une mairie d'environ 80 000 habitants déploie 3 Hornetbots (mairie centrale, médiathèque, services techniques). Un poste de la médiathèque est compromis par un malware bureautique : 18 minutes après l'infection, le Hornetbot local capture une tentative d'énumération SMB depuis ce poste — l'attaque est confinée avant atteinte du SI central.
Cabinet juridique — RDP brute-force détecté en heures ouvrées
Un cabinet de 120 collaborateurs déploie un Hornetbot avec persona "serveur de sauvegarde" (RDP exposé en interne uniquement). En pleine journée, des tentatives RDP arrivent depuis un poste utilisateur — l'utilisateur n'a aucune raison d'y toucher. Compte AD compromis isolé en moins d'une heure.
Clinique / GHT — détection sur VLAN biomédical
Hornetbot avec persona "PACS secondaire" déployé sur le VLAN d'imagerie médicale. Toute interaction y est anormale par construction — alerte qualifiée immédiate en cas de propagation latérale depuis le VLAN bureautique.
Industrie / OT — sentinelle avant la zone process
Hornetbot positionné en frontière IT/OT, exposant un automate factice et un partage "Schemas$". Détection des outils de cartographie OT (énumération Modbus / SNMP) avant qu'ils n'atteignent les systèmes réels.
ETI 100–500 postes — multi-zones, alerting UniSOC
3 à 5 Hornetbots déployés sur les zones sensibles (LAN siège, AD, sauvegardes, finance). Tous remontent dans UniSOC, corrélés avec la CTI SYLink — vue unifiée du "qui s'agite où" dans le SI.
Cabinet d'avocats / d'expertise — signal vol de credentials
Persona "serveur dossiers clients" exposé en SMB. Toute énumération du partage déclenche une alerte critique — une session AD compromise est repérée avant exfiltration des données sensibles.
Tester SYLink Hornetbot sur votre infrastructure
Démo guidée 30 minutes, POC sur un périmètre pilote, accompagnement par nos équipes françaises basées à Clermont-Ferrand, Marseille et Rennes.