Réponse à incident

La réponse à incident transforme une situation confuse en actions ordonnées. L'objectif est de limiter l'impact, comprendre les faits et restaurer durablement.

Principes

Une réponse efficace doit :

• contenir le risque
• préserver les preuves
• protéger les actifs critiques
• communiquer clairement
• restaurer sans réintroduire la cause
• documenter les décisions
• tirer des leçons

Phases

Triage

Vérifier ce qui est confirmé, probable ou inconnu. Identifier les actifs touchés, les comptes impliqués, l'heure de début probable et les données à risque.

Confinement

Isoler les machines, suspendre les comptes, bloquer les indicateurs, couper certains accès ou segmenter temporairement. Le confinement doit préserver autant que possible les preuves utiles.

Éradication

Supprimer la cause : malware, compte compromis, mauvaise configuration, secret exposé, vulnérabilité non corrigée ou accès persistant.

Restauration

Remettre les services en production avec surveillance renforcée. Restaurer sans comprendre la cause peut réinfecter l'environnement.

Retour d'expérience

Comprendre ce qui a marché, ce qui a manqué et ce qui doit changer : détection, procédures, sauvegardes, durcissement, formation ou architecture.

Chronologie

La chronologie est centrale.

À noter :

• première alerte
• première action
• comptes touchés
• machines touchées
• changements observés
• décisions prises
• preuves collectées
• heure de restauration

Communication

Une crise technique devient vite une crise de coordination.

Bonnes pratiques :

• canal de communication clair
• rôles définis
• informations sensibles limitées
• points réguliers
• décisions écrites
• langage compréhensible par le métier

Compte rendu

Le rapport doit expliquer :

• chronologie
• impact
• cause probable
• preuves principales
• décisions
• actions menées
• limites de l'analyse
• mesures préventives