Le cycle complet de réponse à incident

Étapes du cycle

  1. Détection
    • Identifier un comportement suspect ou une alerte (SIEM, EDR…)
  2. Qualification
    • Est-ce un vrai incident ? Quelle gravité ? Quelle portée ?
  3. Containment (confinement)
    • Stopper l’attaque sans tout casser
    • Court terme (couper un accès), moyen terme (réimager une machine)
  4. Éradication
    • Supprimer la cause : malware, faille, compte compromis…
  5. Remédiation
    • Réinitialiser les systèmes, restaurer les données, patcher
  6. Retour à la normale
    • Remise en ligne, tests, communication interne
  7. Retex (lessons learned)
    • Documentation, amélioration continue

Représentation schématique

Détection → Qualification → Containment → Éradication → Remédiation → Retex

Règle d’or

Warning

Un bon incident mal géré devient une crise.
Une crise bien gérée peut devenir un levier de maturité SSI.