Mouvement latéral
Un attaquant déjà dans votre LAN scanne pour pivoter. Le premier port qu'il touche est un leurre — vous le détectez avant qu'il n'atteigne un serveur réel.
Honeypot souverain · OpenCanary
Détectez l'attaquant déjà dans votre réseau, avant qu'il n'atteigne vos actifs
Toute interaction avec un leurre est, par définition, malveillante. SYLink déploie en périmètre, en DMZ et au cœur du LAN des services factices (SSH, RDP, SMB, Active Directory, partages, API…). Le moindre scan, la moindre authentification, la moindre lecture d'un faux partage déclenche une alerte qualifiée — sans bruit, sans faux positif.
0
faux positif
par construction — toute interaction est malveillante
20+
services émulés
SSH, RDP, SMB, FTP, HTTP, MySQL, AD…
< 1 s
alerte temps-réel
vers SOC + SIEM
On-prem
ou cloud souverain
rien ne quitte votre réseau
Six menaces invisibles
Ce que votre IDS et votre EDR ne voient pas — un honeypot le révèle
Les attaques modernes passent sous le radar des signatures. Le honeypot ne corrèle rien, ne note rien : il déclenche dès que quelqu'un l'effleure. C'est la détection la plus fiable pour ces six scénarios.
Bruteforce credentials
Tentatives d'authentification sur un faux SSH, RDP ou Active Directory. Vous capturez les identifiants testés, l'IP source et les heures d'attaque.
Reconnaissance interne
nmap, masscan, port scans, énumération SMB — autant d'actions invisibles dans un IDS classique mais qui se révèlent immédiatement face à un honeypot.
Exfiltration de données
Faux partages SMB nommés « RH », « Comptabilité », « Direction ». Aucune raison légitime d'y accéder : toute lecture déclenche un incident qualifié.
Insiders & supply chain
Collaborateurs curieux, partenaires qui dépassent leur périmètre, prestataires aux droits trop larges. Le honeypot révèle le franchissement, sans surveiller massivement.
Exploitation 0-day & ransomware
Une famille ransomware moderne scanne le LAN avant de chiffrer. Le leurre capture la souche, ses TTPs MITRE et ses IOCs avant la phase destructrice.
Zones de déploiement
Quatre zones, quatre familles d'attaquants à piéger
Zone 1Externe
Périmètre Internet
Services factices exposés en bordure (SSH, HTTP, RDP). Capture des scanners automatisés, bots de bruteforce, premiers vecteurs d'accès initial.
Zone 2Pivot
DMZ
Faux serveur applicatif HTTP/SMB qui mime une appli métier. Détecte le pivot d'un attaquant qui a déjà compromis un service de bordure.
Zone 3Latéral
LAN interne
Leurres au cœur du réseau : partages SMB, comptes Active Directory factices, faux GitLab interne, faux endpoints API. C'est ici qu'on détecte le mouvement latéral.
Zone 4Ciblé
Cloud / OT-SCADA
Conteneurs et VM décoy en cloud souverain, modules industriels (Modbus, S7, BACnet) pour les sites OT. Couvre les attaques ciblées sur infra hybride.
Trois paliers
Choisir son palier — Basic, Enterprise ou VIP
Une seule plateforme honeypot, trois profondeurs de couverture. Vous changez de palier sans redéployer, vos historiques de captures restent disponibles, l'intégration SOC suit automatiquement.
Honeypot Basic
7services émulés
Déploiement périmètre et DMZ. Pour les TPE/PME qui veulent une détection précoce sans surcharge SOC.
TPE · PME en démarrage
Honeypot Enterprise
14services émulés
Couverture LAN complète, AD factice, canary tokens et corrélation SIEM. Le bon palier pour un programme cyber structuré.
PME / ETI · MSP · administrations
Honeypot VIP
20services émulés
Honeypots haute interaction, modules OT/SCADA, threat hunting. Pour OIV/OSE et environnements industriels.
Grand compte · OIV / OSE · industrie
| Fonctionnalité | Basic 7 services | Enterprise 14 services | VIP 20 services |
|---|---|---|---|
| Faux SSH (port 22) | |||
| Faux Telnet / FTP | |||
| Faux HTTP / HTTPS | |||
| Faux RDP (3389) | |||
| Faux SMB / partages factices | |||
| Détection nmap / masscan | |||
| Alerte temps-réel SIEM | |||
| Faux MySQL / MSSQL / Redis | — | ||
| Faux Active Directory (Kerberos) | — | ||
| Comptes admin factices surveillés | — | ||
| Canary tokens (docs, URL, fichiers) | — | ||
| Capture TTPs MITRE ATT&CK | — | ||
| Forensic complet des sessions | — | ||
| Quarantaine auto via firewall | — | ||
| Modules OT/SCADA (Modbus, S7, BACnet) | — | — | |
| Faux GitLab / API endpoints internes | — | — | |
| Honeypot haute interaction (full OS) | — | — | |
| Corrélation CTI 12M+ IOCs | — | — | |
| Threat hunting assisté analyste | — | — | |
| Reporting COMEX trimestriel | — | — |
Cas d'usage
Six scénarios récurrents qu'un honeypot détecte avant l'incident
Ransomware en phase de reconnaissance
Une souche moderne scanne le LAN avant chiffrement. Le honeypot répond, capture le binaire et les IOCs — confinement avant la phase destructrice.
Compte « administrateur » factice
Un compte AD nommé « adm-domain » sans aucun usage légitime. Toute tentative d'authentification = incident qualifié, source identifiée en quelques secondes.
Insider qui dépasse son périmètre
Partage SMB « Direction » accessible mais surveillé. Un collaborateur qui l'ouvre déclenche une alerte RH-conforme — preuve forensic horodatée.
Supply chain compromis
Prestataire dont les credentials ont fuité tente d'accéder à votre faux GitLab interne. Vous coupez l'accès et alertez le partenaire avant exfiltration réelle.
Bruteforce RDP automatisé
Bots qui testent admin/password sur un faux RDP exposé : vous récupérez les listes d'identifiants utilisés, les enrichissez en CTI et durcissez vos vrais services.
Détection 0-day par TTPs
Un attaquant inconnu utilise une technique MITRE T1021 (lateral movement). Le leurre capture la séquence : vous identifiez le groupe sans signature préalable.
Déployer un honeypot dans votre réseau ?
Démo 30 minutes : nous installons un leurre sur votre périmètre ou en LAN — vous voyez en direct ce qui s'y connecte. Sans engagement, sous 48 h.