Classification et triage des incidents
Pourquoi classifier ?
- Prioriser les ressources
- Structurer les playbooks
- Respecter les SLAs
- Savoir quoi notifier (DPO, CNIL…)
Critères de tri
| Critère | Exemples |
|---|---|
| Impact | Indisponibilité, fuite, perte |
| Portée | 1 PC / 1 BU / tout le SI |
| Gravité technique | Accès admin, chiffrement, vol |
| Données concernées | Perso, RH, client, financier |
| Criticité métier | Impact production, finance |
Niveaux d’urgence typiques
| Niveau | Réaction | Exemple |
|---|---|---|
| 1 | Critique immédiate | Ransomware chiffrant en cours |
| 2 | Haute priorité | Compromission d’un accès VPN admin |
| 3 | Moyenne | Tentative de phishing ciblé |
| 4 | Faible | Faux positif ou alerte faible |
Tip
La matrice de criticité (impact × probabilité) est souvent utilisée en amont.