P.I.L.O.T.E

2 min de lecture

7.3 Analyse des incidents (RS.AN)

Objectif de la catégorie

Cette catégorie garantit que chaque incident détecté fait l’objet d’une analyse approfondie permettant d’en comprendre les causes, les impacts et les pistes d’amélioration pour éviter sa répétition.

Analysis

Il ne suffit pas d’éteindre l’incendie : il faut en comprendre l’origine pour éviter qu’il ne se reproduise.

RS.AN-01 : Détection et confirmation

  • Processus de validation des événements suspects :
    • Alertes SIEM, remontées internes, signaux externes (clients, partenaires)
  • Qualification en incident selon des critères clairs :
    • Impact, périmètre, données touchées
  • Traçabilité dans un outil de gestion des incidents (ticket, journal)

RS.AN-02 : Analyse technique

  • Objectifs :
    • Identifier vecteur d’intrusion, déroulé de l’attaque, système touché
  • Outils :
    • EDR, forensic, analyse mémoire, reverse engineering
  • Éléments collectés :
    • Timestamps, adresses IP, fichiers malveillants, logs système

RS.AN-03 : Analyse d’impact

  • Dimensions à analyser :
    • Opérationnelle (rupture d’activité ?)
    • Financière (pertes directes/indirectes ?)
    • Juridique (RGPD ? clause contractuelle violée ?)
    • Image (médias, clients, partenaires…)
  • Évaluation de la gravité et classification

RS.AN-04 : Corrélation avec d’autres événements

  • Recherche de similarités avec d’autres incidents :
    • Historique interne
    • Flux CTI (Threat Intelligence)
  • Permet d’identifier des campagnes ciblées ou des menaces persistantes (APT)

RS.AN-05 : Documentation de l’incident

  • Rédaction d’un rapport d’incident complet :
    • Chronologie, acteurs, faits, causes, conséquences
    • Pièces jointes techniques
  • Diffusion vers les parties prenantes autorisées
  • Archivage sécurisé, versionnage, horodatage

Synthèse opérationnelle

ÉlémentBonnes pratiques
ConfirmationCritères de qualification + ticketing
AnalyseTechniques forensic, outils EDR
ImpactsModèle d’analyse multi-domaine
CorrélationHistorique incidents + CTI externe
DocumentationRapport standardisé + diffusion restreinte

Vue Graphique