Traitement concret d’incidents : 3 cas détaillés
Cas 1 — Ransomware sur un poste clé
- Détection : EDR → chiffrement en cours
- Containment : isolement VLAN + désactivation Wi-Fi
- Analyse : récupération IOC + snapshot RAM
- Remédiation : réinstallation poste + restauration fichiers
- Notification : DPO (car données RH concernées)
- Retex : politique MFA renforcée, EDR étendu à toute la BU
Cas 2 — Compte VPN compromis
- Détection : alerte NDR + horaires de connexion incohérents
- Qualification : accès admin en dehors des heures de travail
- Action : réinitialisation mot de passe, session kill
- Analyse : logs SIEM + OpenCTI → IP malveillante connue
- Remédiation : MFA obligatoire activé + restriction géographique
- Retex : enrichissement IOC sur SIEM
Cas 3 — Shadow IT + fuite Dropbox
- Détection : alerte CASB + signalement RH
- Qualification : partage non autorisé vers adresse perso
- Action : suspension temporaire du compte concerné
- Analyse : fichiers partagés, destinataire, nature des données
- Notification : DPO → CNIL notifiée sous 72h
- Retex : durcissement politique Shadow IT + audit des accès Dropbox