Le cycle complet de réponse à incident
Étapes du cycle
- Détection
- Identifier un comportement suspect ou une alerte (SIEM, EDR…)
- Qualification
- Est-ce un vrai incident ? Quelle gravité ? Quelle portée ?
- Containment (confinement)
- Stopper l’attaque sans tout casser
- Court terme (couper un accès), moyen terme (réimager une machine)
- Éradication
- Supprimer la cause : malware, faille, compte compromis…
- Remédiation
- Réinitialiser les systèmes, restaurer les données, patcher
- Retour à la normale
- Remise en ligne, tests, communication interne
- Retex (lessons learned)
- Documentation, amélioration continue
Représentation schématique
Détection → Qualification → Containment → Éradication → Remédiation → Retex
Règle d’or
Warning
Un bon incident mal géré devient une crise.
Une crise bien gérée peut devenir un levier de maturité SSI.