SYS::STATUS SOC · OPÉRATIONNEL
FR / EN
cl
CostLink Systèmes
v.2026.05 · soc·mtl
portail
~ / services
[ROOT] · CATALOGUE COMPLET

Six métiers. Une seule équipe. Opérée depuis
Montréal.

Pas de complexité enterprise inutile. Pas d'outils SMB sous-équipés. Chaque mandat est calibré pour les organisations québécoises de cinquante à deux mille personnes — et livre la preuve documentaire que vous présenterez à votre auditeur, votre régulateur, ou votre assureur cyber.

demander une évaluation parcourir le catalogue
catalogue · 6 services ls -la
01Détection et réponse gérées 02Intervention sur incident 03Évaluation offensive 04Conformité documentaire 05Protection des terminaux 06Formation et simulation
total: 6 modules ● tous actifs
[01] · MDR — DÉTECTION ET RÉPONSE GÉRÉES

Le centre. Toujours allumé.

Surveillance ininterrompue par une équipe d'analystes bilingues à Montréal. Détection sur l'ensemble des signaux — terminal, réseau, infonuagique, identité. Quand un signal devient une alerte, un humain est sur le clavier en moins de quinze minutes médian (vingt-deux minutes au 95e centile).

Le centre n'est pas un tableau de bord. C'est un mandat humain. Les rapports mensuels documentent ce qui a été vu, contenu, et appris — pas un compte d'alertes brut. Chaque organisation reçoit ses deux analystes attitrés plus une équipe d'escalade.

// MENACES TYPIQUEMENT DÉTECTÉES
RANSOMWARE Familles Akira, LockBit, Royal — détection par comportement de chiffrement avant impact, isolation immédiate du terminal. P1
PHISHING + BEC Compromission boîte courriel cadre, redirection de paiement, fraude au virement. Triage M365 + intercepteur d'enchaînement. P1
EXFILTRATION Téléversement anormal vers infonuagique tiers, accès massif aux partages réseau, tunnels DNS. P2
PRIVILÈGES AD Élévation Kerberoasting, DCSync, mouvements latéraux. Détection par signal d'identité corrélé. P2
ÉTAT-NATION TTP attribués (APT29, APT41), persistance sophistiquée. Mandat d'escalade vers le CCCS si confirmé. P3
// STACK TECHNIQUE
CrowdStrike Falcon SentinelOne Singularity Microsoft Defender XDR Splunk Enterprise Elastic SIEM Microsoft Sentinel Velociraptor (DFIR) YARA · Sigma · MITRE ATT&CK
// CE QUI EST INCLUS
  • Surveillance 24/7/365 par analystes bilingues
  • Triage et escalade en moins de 15 minutes médian
  • Confinement actif (isolation de terminal, blocage d'identité)
  • Rapport mensuel signé, audit-ready
  • Portail tenant avec ticketing, journal d'alertes, posture
  • Revue trimestrielle avec le directeur des opérations
  • Intégration BYOK des outils existants (EDR client)
contract.spec · mdr standard
PARAMÈTRES OPÉRATIONNELS
MTTR — détection< 15 min
MTTR — escalade< 22 min (P95)
Couverture24/7/365
Analystes dédiés2 + escalade
Signaux corrélésEDR · log · cloud · ID
Rapportsmensuel signé
Engagement12 mois min.
Hébergement donnéesQuébec
Loi 25conforme
// VOLUMÉTRIE OBSERVÉE
Événements/jour analysés 412 384
Alertes triées (mensuel) ~2 800
Incidents confirmés 12 — 18
Confinements actifs ~6 / mois
Faux positifs (% triés) 2.8 %
tarification mdr méthodologie
[02] · IR — INTERVENTION SUR INCIDENT

Quand l'événement survient.

Quatre heures sur site, ou immédiatement à distance. Une équipe d'intervention dédiée prend la main : confinement, forensique numérique, négociation avec acteur de menace si requise, communication aux régulateurs et assureurs, plan de remédiation phasé.

Disponible en mandat ponctuel ou en rétainer annuel (heures bloquées · tarif fixe · SLA déclenchement < 2 h). Le rétainer évite la négociation tarifaire en pleine crise — la facture est connue à l'avance.

// PHASES D'INTERVENTION
T+00 — T+02h Mobilisation. Briefing client, déploiement à distance, premiers indicateurs de compromission, périmètre établi. phase 1
T+02h — T+24h Confinement. Isolation des actifs touchés, révocation d'accès, blocage réseau ciblé, préservation des preuves. phase 2
T+24h — T+96h Investigation. Forensique terminal et réseau, reconstitution de la chaîne d'attaque, identification du vecteur initial. phase 3
T+96h — T+14j Remédiation. Éradication, restauration contrôlée, durcissement des points faibles identifiés, retour graduel à l'opérationnel. phase 4
T+14j — T+45j Rapport et leçons. Dossier complet, communication régulateur (Loi 25, AMF, BSIF si applicable), feuille de route post-incident. phase 5
// EXPERTISES DISPONIBLES
Forensique terminal Forensique réseau Forensique infonuagique (Azure · AWS · GCP) Forensique M365 · Google Workspace Reverse engineering · malware Négociation rançon Comm. régulateurs (Loi 25 · AMF) Liaison assureur cyber Témoignage expert
// ÉTUDES DE CAS DISPONIBLES
CABINET-XX · MAR 2024
Ransomware Akira · 39 min de confinement
2 847 dossiers · 16 ans d'archives · rançon refusée
MFG-YY · NOV 2024
Compromission OT · arrêt < 6 h
3 sites · ligne de production · zéro perte data
contract.spec · ir · retainer urgence
PARAMÈTRES INTERVENTION
Déclenchement< 2 h
Présence sur site< 4 h · GRM
Équipe minimum3 intervenants
Chef d'incidentCISSP · GCFA
Forensique inclusterminal · réseau · cloud
Rétainer annuel40 h bloquées
Tarif horaire — hors rétainerpremium ×1.8
Loi 25 notif.prise en charge
// LIGNE D'URGENCE
1 (438) 794-1985
opt. 1 · réponse humaine < 2 min · 24/7/365
ouvrir un rétainer cadre d'intervention
[03] · PENTEST — ÉVALUATION OFFENSIVE

Trouver les trous
avant l'adversaire.

Tests d'intrusion exécutés par notre équipe rouge interne. Aucun sous-traitant. Le mandat couvre la surface convenue — externe, interne, applicative, infonuagique, sociale — avec un rapport livré au client en moins de quatorze jours après la dernière exécution.

Trois formats. Le test à profondeur fixe (cadrage prévisible), la red team objectif (objectif d'infiltration libre choisi par CostLink), et le programme continu (testing par vagues sur 12 mois — équivalent à un programme bug bounty privé).

// SURFACES COUVERTES
EXTERNE Reconnaissance OSINT, exploitation des services publics, contournement WAF, prise de pied initial. 2 sem.
INTERNE Une fois sur le LAN — élévation Active Directory, mouvement latéral, accès aux données critiques. 3 sem.
APPLICATIF Tests applications web et API selon OWASP Top 10 + ASVS Level 2. Source ou boîte noire. 2 sem.
INFONUAGIQUE Évaluation posture Azure, AWS, GCP, M365 — mauvaises configurations, IAM, escalade de privilèges. 2 sem.
SOCIAL Hameçonnage ciblé, prétextage téléphonique, accès physique. Mandat séparé, conditions strictes. sur appel
RED TEAM Objectif libre — accès aux données les plus sensibles. Aucune ligne d'engagement détaillée à l'avance. 4 — 8 sem.
// CERTIFICATIONS DE L'ÉQUIPE
OSCP × 5 OSCE × 2 OSEP × 2 CRTO GPEN GWAPT GXPN
// LIVRABLES
  • Rapport exécutif (sommaire risque · décideurs)
  • Rapport technique détaillé (preuves d'exploitation reproductibles)
  • Cotation CVSS 4.0 + risque métier propre à votre contexte
  • Plan de remédiation phasé (quick wins · 30j · 90j · stratégique)
  • Réunion de débriefing technique avec votre équipe
  • Retest gratuit des correctifs · 60 jours
  • Attestation signée — utilisable pour vos audits SOC 2 · ISO
contract.spec · pentest red team
CADRAGE STANDARD
Profondeur fixe — externe2 semaines
Profondeur fixe — interne3 semaines
Red team objectif4 — 8 sem.
Programme continu12 mois
Rapport — délai< 14 jours
Retest correctifsinclus · 60 j
Sous-traitancejamais
Attestation auditsignée
// STATISTIQUES (12 derniers mois)
Mandats exécutés43
Vulnérabilités critiques112
Vulnérabilités hautes389
Cibles compromises (red team)9 / 11
Délai d'accès domain admin2.3 j (médian)
Faux positifs rapportés0
cadrer un test méthodologie offensive
[04] · CONFORMITÉ DOCUMENTAIRE

La preuve. Signée. Datée.

Cinq cadres couverts en pratique courante : Loi 25, ISO 27001, SOC 2 Type II, PCI-DSS v4, NIST CSF 2.0. Chaque mandat livre le dossier documentaire qui passe l'audit — politiques, procédures, registres, preuves opérationnelles, plan de remédiation des écarts identifiés.

Pas de copier-coller de gabarits. Le cabinet d'avocats n'a pas la même politique de conservation que la coopérative financière, ni le manufacturier le même registre d'accès que la clinique. Chaque livrable est calibré sur votre périmètre réel.

// CADRES COUVERTS
Loi 25
actif
Vie privée · Québec

Mandat complet : nomination du responsable, registre des incidents, évaluations des facteurs relatifs à la vie privée, politique de gouvernance, formation des employés.

ISO 27001
actif
SMSI · international

Préparation à la certification, déclaration d'applicabilité (SoA), évaluation des risques, plan de traitement, audits internes, accompagnement au stage 1 et 2.

SOC 2 II
actif
Contrôles fiduciaires

Cadrage des Trust Service Criteria (sécurité · disponibilité · confidentialité · vie privée · intégrité), preuve continue, période d'observation, liaison avec votre auditeur CPA.

PCI-DSS v4
v4.0.1
Données paiement

Détaillants multi-sites, e-commerce, restaurants franchisés. Cadrage SAQ, AOC, analyse de portée, segmentation réseau, journal de transactions.

NIST CSF 2.0
cadre
Cadre de référence

Mesure de posture sur les six fonctions (govern · identify · protect · detect · respond · recover) — utile en cadrage initial ou pour appels d'offres fédéraux.

CMMC 2.0
sur demande
Défense · sous-traitants

Pour les sous-traitants du ministère de la Défense (CA·US). Niveau 1 et 2 couverts. Disponible sur engagement spécifique.

// LIVRABLES DOCUMENTAIRES
  • Politiques calibrées (gouvernance · accès · classification · conservation · incident · BYOD)
  • Procédures opérationnelles écrites pour chaque contrôle
  • Registres maintenus (accès · incidents · changements · risques · fournisseurs)
  • Évaluations annuelles (risques · facteurs vie privée · vulnérabilités)
  • Préparation auditeur · réponse aux demandes de preuve
  • Tableau de bord conformité tenant (vue continue)
contract.spec · compliance actif
PARAMÈTRES TYPIQUES
Cadrage initial3 — 6 sem.
Première certification6 — 12 mois
Maintien · récurrencetrimestriel
Audit interneannuel inclus
Cadres simultanésjusqu'à 4
Mandats actifs (réseau)44
Taux de réussite audit100 %
// CITATION CLIENT

« En préparation SOC 2 II, l'auditeur a demandé treize preuves opérationnelles. CostLink avait déjà les treize prêtes. La période d'observation s'est conclue sans qualification. »

— Directrice conformité · cabinet comptable · Montréal · 2025
matrice détaillée cadrer un mandat
[05] · PROTECTION DES TERMINAUX

EDR · XDR ·
déployé. Maintenu.

Déploiement et opération continue de la couche EDR sur l'ensemble du parc — postes, serveurs, mobiles. Politiques de prévention calibrées, mises à jour validées par fenêtre de maintenance, isolation automatique sur compromission confirmée.

Trois modèles : nous opérons votre licence existante (BYOL), nous fournissons la licence sous notre tenant (managed), ou nous co-administrons avec votre équipe interne. Aucun mandat n'exige un changement d'éditeur sans bénéfice opérationnel clair.

// MODÈLES OPÉRATIONNELS
BYOL Bring Your Own License. Nous opérons votre licence EDR existante sous votre tenant. Migration zéro, économies d'échelle préservées. conservé
MANAGED Licence sous CostLink. Nous fournissons et opérons la licence sous notre tenant. Idéal pour les organisations qui démarrent ou consolident. option
CO-ADMIN Co-administration. Votre équipe garde la main sur les politiques métier. Notre équipe opère le triage, l'escalade, le réglage continu. hybride
// PLATEFORMES SUPPORTÉES
CrowdStrike Falcon SentinelOne Singularity Microsoft Defender for Endpoint Palo Alto Cortex XDR Sophos Intercept X Bitdefender GravityZone
// CE QUI EST OPÉRÉ
  • Déploiement initial (postes · serveurs · cloud workloads · mobiles MDM)
  • Réglage continu des politiques de prévention (faux positifs < 0.4 %)
  • Isolation automatique sur compromission confirmée
  • Mises à jour validées en fenêtre de maintenance convenue
  • Rapports de santé du parc (couverture · dérive · postes hors mandat)
contract.spec · endpoint standard
PARAMÈTRES OPÉRATIONNELS
Couverture cible≥ 99.2 %
Dérive tolérée< 0.8 %
Faux positifs (cible)< 0.4 %
Mise à jour — délai< 7 j (validé)
Isolation auto.activée
Fenêtre maintenancenégociée
Modèles supportésBYOL · managed · hybride
// COMBINAISON RECOMMANDÉE

Endpoint seul rate ce qui ne touche jamais un terminal — compromissions cloud, abus d'identité M365, mouvement latéral réseau.

Recommandé en bundle avec MDR pour couverture multi-signal complète. Tarif bundlé sous engagement 24 mois.

cadrer le parc voir bundle mdr
[06] · FORMATION ET SIMULATION

L'humain. Le pare-feu
qu'on entraîne.

Formation continue calibrée par rôle. Campagnes d'hameçonnage simulé avec courbes d'apprentissage mesurées. Exercices sur table pour les comités de direction. Tout est livré en français québécois — pas de traduction approximative d'un programme américain.

Mesurer ce qui compte : pas le taux de complétion des modules, mais le taux de signalement réel d'un courriel suspect, le délai de signalement, et la baisse de taux de clic au fil des trimestres.

// MODULES DISPONIBLES
SENSIBILISATION Microformations 5–8 min par mois, calibrées par rôle. Métriques de complétion et de compréhension. tous postes
PHISHING SIM Campagnes d'hameçonnage simulé mensuelles. Scénarios québécois (Hydro, Revenu QC, banques canadiennes). tous postes
CADRES Atelier de quatre heures pour comités de direction : risques cyber, obligations légales, posture publique en cas d'incident. direction
TT-EX Exercices sur table (tabletop) — simulation d'incident en temps réel, équipe de gestion de crise mobilisée. direction
TECH Formations techniques pour équipes TI internes (durcissement, réponse, forensique de base, M365). équipe TI
// MÉTRIQUES SUIVIES
  • Taux de clic — campagne simulée (cible < 4 %)
  • Taux de signalement réel (cible > 25 %)
  • Délai médian de signalement (cible < 8 min)
  • Courbe trimestrielle par département
  • Rapport annuel utilisable en preuve Loi 25 (sensibilisation requise)
contract.spec · formation continu
PARAMÈTRES CONTINUS
Cadence — microformationsmensuel
Cadence — campagne sim.mensuel
Ateliers cadrestrimestriel
Tabletop annuelinclus
LanguesFR-QC · EN-CA
Plateforme LMSincluse
Rapport annuelLoi 25 ready
// EXEMPLE — COURBE 12 MOIS
janv · 24% clic déc · 2.8% clic
démarrer un programme approche pédagogique
[07] · ASSEMBLAGES

$ bundles --starter

Trois assemblages courants. Pas de prix au catalogue — chaque organisation a sa propre densité d'actifs, son profil de risque et son cadre réglementaire. La tarification est cadrée après évaluation initiale gratuite.

// SOCLE
Démarrage
50 — 250 postes
cadré/mois
engagement 12 mois
  • MDR 24/7 multi-signal
  • EDR opéré (BYOL ou managed)
  • Rapport mensuel signé
  • Portail tenant
  • Intervention sur incident à la demande
cadrer
// COURANT — RECOMMANDÉ
Standard
100 — 800 postes
cadré/mois
engagement 24 mois
  • Tout du Socle
  • Rétainer IR · 40 h bloquées
  • Pentest annuel (externe)
  • Programme formation continu
  • Cadre conformité (1 au choix)
cadrer · standard
// COMPLET
Intégral
500 — 2 000 postes
cadré/mois
engagement 36 mois
  • Tout du Standard
  • Pentest semestriel + red team
  • Cadres conformité multiples
  • Directeur sécurité partagé (vCISO)
  • Comité trimestriel sur place
cadrer

Aucune tarification publique. Cadrage transparent après évaluation gratuite de quatre semaines. voir notre méthodologie →

[08] · PROCHAINE ÉTAPE

Une évaluation. Quatre semaines.
Sans engagement.

Un directeur passe par votre posture actuelle — gouvernance, technique, humaine — et vous remet un rapport et une feuille de route. Si nous travaillons ensemble par la suite, le rapport est crédité sur le premier mandat. Sinon, gardez-le.

demander l'évaluation voir notre méthodologie