Procédure standard de traitement d’un incident
Objectif
Permettre une réponse efficace, structurée et reproductible à tout incident, quel que soit son type.
Étapes type d’un playbook
- Détection / Alerte
- Source : SOC, utilisateur, outil (EDR, SIEM…)
- Qualification
- Réel ou faux positif ?
- Affectation d’un niveau de criticité
- Engagement de la procédure
- Escalade vers le CSIRT
- Vérification des preuves disponibles
- Confinement
- Isolement du poste / segment réseau
- Suspension de compte utilisateur
- Remédiation
- Réinitialisation système
- Restauration de données
- Notification
- Interne (DSI, direction…)
- Externe (CNIL, clients…) si besoin
- Clôture
- Retex
- Documentation complète
- Mise à jour des protections
Tip
Un modèle de PV incident ou playbook markdown peut être inclus dans un futur pack “outils”.