Pratique
Premiers réflexes après compromission
Après une suspicion de compromission, les premières minutes comptent. Il faut contenir, préserver les preuves, comprendre l'étendue et éviter les actions qui effacent les traces.
Ne pas paniquer
Avant d'agir, note :
- ce qui a été observé
- heure de découverte
- machine ou compte concerné
- personne qui a signalé
- actions déjà faites
- niveau d'urgence apparent
Une chronologie claire vaut mieux qu'une série d'actions improvisées.
Contenir
Selon le cas :
- isoler la machine
- couper une session
- désactiver un compte
- révoquer un token
- bloquer une IP ou un domaine
- suspendre une clé API
- limiter temporairement un accès
Le containment doit limiter l'impact sans détruire les preuves.
Préserver les preuves
À éviter :
- réinstaller immédiatement
- nettoyer les logs trop tôt
- supprimer les fichiers suspects sans copie
- redémarrer sans nécessité
- changer trop de choses sans notes
À faire :
- capturer les logs utiles
- noter les commandes exécutées
- sauvegarder les fichiers suspects
- exporter les événements importants
- garder les horodatages
Comprendre l'étendue
Questions essentielles :
- quel compte est touché
- quelle machine est touchée
- quelles données sont concernées
- quels accès existent
- depuis quand
- quels autres systèmes sont liés
- des secrets ont-ils été exposés
Réduire le risque
- changer les mots de passe concernés
- révoquer les sessions
- révoquer ou tourner les secrets
- corriger la faille d'entrée
- mettre à jour les systèmes
- renforcer les règles d'accès
- augmenter temporairement la surveillance
Documenter
Le rapport doit contenir :
- chronologie
- périmètre touché
- preuves principales
- hypothèses
- actions réalisées
- décisions prises
- actions restantes
À retenir
Une bonne réaction après compromission cherche d'abord à contenir et comprendre. Nettoyer trop vite peut faire perdre les preuves nécessaires pour éviter que l'incident revienne.