Checklist de Réponse aux Incidents

Introduction

Lorsqu'un incident de sécurité survient, la pression monte et la clarté de pensée devient un luxe. La différence entre une réponse maîtrisée et une improvisation chaotique tient souvent à une seule chose : la préparation. Une checklist bien entretenue ne remplace pas l'expertise, mais elle garantit que les étapes critiques ne sont pas oubliées quand la pression est à son comble.

Cette checklist suit le cycle de vie de la réponse aux incidents défini dans NIST SP 800-61 Rev. 2 (Computer Security Incident Handling Guide), enrichi des leçons tirées d'interventions réelles dans de nombreux secteurs. Elle couvre cinq phases : Preparation (Préparation), Detection & Analysis (Détection et analyse), Containment (Confinement), Eradication & Recovery (Éradication et rétablissement) et Post-Incident Activity (Activité post-incident).

Imprimez-la. Affichez-la dans votre SOC. Adaptez-la à votre environnement. L'objectif n'est pas de la suivre aveuglément — c'est de s'assurer que rien ne passe entre les mailles quand chaque minute compte.

Phase 1 : Préparation

La préparation est la phase dans laquelle vous investissez avant que quoi que ce soit ne tourne mal. Chaque heure consacrée ici rapporte des dividendes lorsqu'un incident se produit. L'objectif est de s'assurer que vos équipes, processus et technologies sont prêts à détecter les incidents de sécurité, à y répondre et à s'en remettre.

• Maintenir un inventaire d'actifs à jour couvrant le matériel, les logiciels, les services cloud et les référentiels de données
• Documenter le plan de réponse aux incidents et le réviser au moins annuellement ou après des changements organisationnels significatifs
• Tenir à jour un répertoire de contacts incluant les membres de l'équipe RI, le conseil juridique, la direction, les relations presse/communication, les liaisons avec les forces de l'ordre, les contacts d'assurance et les fournisseurs clés
• S'assurer que les kits d'outils forensiques sont en place, testés et accessibles — inclure des bloqueurs d'écriture, des outils d'imagerie forensique et des utilitaires de capture réseau
• Vérifier l'intégrité des sauvegardes régulièrement et tester les procédures de restauration complète au moins chaque trimestre
• Établir des canaux de communication hors bande (ex. plateforme de messagerie dédiée, téléphones satellites ou appareils préconfigurés) en cas de compromission des canaux principaux
• Préparer des modèles de communication pour les notifications internes, les divulgations aux clients, les dépôts réglementaires et les communiqués de presse
• Réviser et tester les politiques de collecte et de conservation des journaux — s'assurer que les journaux critiques sont transmis à un stockage centralisé, inviolable, avec une rétention suffisante
• Organiser des exercices sur table au moins deux fois par an, en alternant des scénarios couvrant les rançongiciels, les violations de données, les menaces internes, la compromission de la chaîne d'approvisionnement et la compromission de messagerie professionnelle
• Établir et entretenir des relations avec des prestataires RI externes afin que les accords-cadres et les NDA soient en place avant d'en avoir besoin
• Réviser annuellement la couverture de la cyber-assurance — comprendre les exigences de notification, les listes de fournisseurs agréés, les plafonds de couverture et les exclusions
• Documenter la topologie réseau et les diagrammes de flux de données, y compris les environnements cloud, les intégrations tierces et les voies d'accès distant
• Stocker les identifiants des systèmes critiques (administrateur de domaine, hyperviseur, pare-feu, sauvegarde) dans un emplacement hors ligne sécurisé accessible au personnel RI autorisé
• Définir des niveaux de gravité d'incident (ex. SEV1 à SEV4) avec des critères d'escalade clairs, des délais de réponse attendus et des niveaux d'autorité
• Pré-autoriser les actions d'urgence telles que l'isolation de segments réseau, le verrouillage de comptes et les arrêts de systèmes — documenter qui peut autoriser quoi
• Assurer une couverture de détection et de réponse sur les endpoints (EDR) sur tous les endpoints, y compris les serveurs, postes de travail et charges de travail cloud
• Maintenir une liste à jour des actifs stratégiques et de la classification des données qu'ils contiennent
• Réviser les exigences réglementaires de notification applicables à votre secteur et à vos juridictions (NIS2, RGPD, réglementations sectorielles)

Phase 2 : Détection & analyse

La détection est là où le processus de réponse aux incidents commence véritablement. La qualité de votre analyse initiale conditionne toutes les décisions qui suivent. Agissez vite, mais ne sacrifiez pas la précision — un type d'incident mal identifié peut envoyer votre équipe dans la mauvaise direction.

• Valider l'alerte — écarter les faux positifs en corrélant sur plusieurs sources de données (SIEM, EDR, journaux réseau, signalements utilisateurs)
• Déterminer la portée de l'incident et attribuer une classification de gravité initiale selon vos critères prédéfinis
• Identifier tous les systèmes, comptes utilisateurs et stockages de données affectés — supposer que la portée est plus grande que les preuves initiales ne le suggèrent
• Établir une chronologie de l'incident depuis le premier indicateur de compromission (IOC) connu jusqu'au présent
• Documenter les indicateurs de compromission initiaux : hachages de fichiers, adresses IP, noms de domaine, adresses e-mail, clés de registre et modèles comportementaux
• Activer l'équipe de réponse aux incidents et attribuer des rôles clairs : commandant d'incident, responsable technique, responsable communication, responsable documentation
• Ouvrir un ticket de suivi d'incident dans votre système de gestion des cas avec un identifiant d'incident unique
• Commencer un journal d'incident détaillé avec des entrées horodatées pour chaque action entreprise, décision prise et constat relevé
• Déterminer si l'acteur malveillant est encore actif dans l'environnement — cela modifie fondamentalement votre approche de confinement
• Identifier le vecteur d'attaque : hameçonnage, exploitation de vulnérabilité, vol d'identifiants, compromission de la chaîne d'approvisionnement, action interne ou accès physique
• Évaluer le risque d'exposition des données — déterminer si des données réglementées (données personnelles, PHI, financières), de la propriété intellectuelle ou des identifiants ont été consultés ou exfiltrés
• Notifier les parties prenantes concernées conformément à vos critères d'escalade — ne pas attendre des informations complètes pour commencer l'escalade
• Engager immédiatement le conseil juridique si une violation de données impliquant des données personnelles est suspectée — les considérations de privilège juridique sont importantes
• Préserver les preuves volatiles (processus en cours, connexions réseau, contenu de la mémoire) avant toute action de confinement susceptible de modifier l'état du système
• Consulter les flux de renseignements sur les menaces pour identifier les campagnes connues correspondant aux TTP (Tactics, Techniques, and Procedures) observés

Phase 3 : Confinement

Le confinement vise à stopper l'hémorragie sans détruire les preuves ni alerter un adversaire qui surveille encore. Il comporte deux sous-phases : le confinement à court terme (stopper les dommages immédiats) et le confinement à long terme (maintenir un état stable pendant la préparation à l'éradication). L'équilibre entre rapidité et prudence dépend de si l'attaquant est encore actif.

Confinement à court terme

• Isoler les systèmes affectés du réseau — utiliser l'isolation réseau EDR, des modifications VLAN ou une déconnexion physique selon l'urgence
• Bloquer les IOC identifiés (adresses IP malveillantes, domaines, hachages de fichiers) au niveau du pare-feu, du proxy, du résolveur DNS et de la passerelle e-mail
• Désactiver les comptes utilisateurs compromis et révoquer les sessions actives, y compris les jetons OAuth et les clés API
• Capturer des images forensiques des systèmes affectés avant toute remédiation — c'est votre preuve et vous ne pouvez pas la recréer ultérieurement
• Collecter et préserver les journaux pertinents provenant du SIEM, de l'EDR, des pare-feux, des proxys, du DNS, des systèmes d'authentification et des journaux d'audit cloud
• Si la messagerie est compromise, établir immédiatement un canal de communication sécurisé — ne pas discuter des plans de réponse via un support compromis

Confinement à long terme

• Réinitialiser les identifiants des comptes affectés et potentiellement affectés — opter pour des réinitialisations plus larges en cas de doute
• Rediriger le DNS des domaines compromis ou mettre en place un sinkholing DNS pour les canaux de communication C2
• Mettre en place une surveillance renforcée sur les systèmes et segments réseau adjacents pour détecter les tentatives de déplacement latéral
• Appliquer des modifications temporaires du contrôle d'accès pour limiter l'exposition tout en maintenant les opérations métier essentielles
• Documenter toutes les actions de confinement avec des horodatages précis et la justification de chaque décision
• Évaluer en continu si les mesures de confinement tiennent — surveiller l'apparition de nouveaux IOC ou de tentatives de contournement
• Évaluer si l'activation du plan de continuité d'activité est nécessaire et communiquer en conséquence avec les parties prenantes métier
• S'assurer que la chaîne de possession des preuves (chain of custody) est maintenue pour tout système susceptible d'être impliqué dans des procédures judiciaires

Phase 4 : Éradication & rétablissement

L'éradication supprime la menace de votre environnement. Le rétablissement restaure les opérations normales. Les deux doivent être menés de manière approfondie — une éradication précipitée invite à la re-compromission, et un rétablissement précipité réintroduit des risques. La patience ici n'est pas un luxe ; c'est une discipline.

• Identifier et supprimer tous les logiciels malveillants, backdoors, web shells et mécanismes de persistance (tâches planifiées, clés de démarrage du registre, éléments de démarrage automatique, cron jobs, abonnements WMI)
• Corriger les vulnérabilités exploitées qui ont permis l'accès initial — si aucun correctif n'est disponible, mettre en œuvre des contrôles compensatoires
• Reconstruire les systèmes compromis à partir d'images fiables ou de supports d'installation — ne jamais tenter de « nettoyer » un système en lequel vous n'avez pas pleinement confiance
• Réinitialiser tous les identifiants dans le périmètre affecté, pas seulement ceux dont la compromission est avérée — inclure les comptes de service, les clés API et les identifiants machine
• Si Active Directory est compromis, réinitialiser le mot de passe du compte KRBTGT deux fois (avec l'intervalle approprié) et examiner toutes les appartenances aux groupes à privilèges
• Vérifier l'intégrité des systèmes restaurés à l'aide de la surveillance de l'intégrité des fichiers, de hachages de confiance et d'une analyse comportementale avant de les reconnecter à la production
• Mettre en œuvre des contrôles de sécurité supplémentaires identifiés lors de l'investigation pour prévenir la récurrence de la même attaque ou d'une attaque similaire
• Restaurer les systèmes par ordre de priorité basé sur la criticité métier et la cartographie des dépendances — commencer par l'infrastructure d'authentification
• Surveiller étroitement les systèmes restaurés pendant au moins 72 heures pour détecter tout signe de re-compromission, de logiciel malveillant résiduel ou d'activité de balise
• Valider que vos capacités de détection (règles SIEM, signatures EDR, détection réseau) peuvent désormais identifier les méthodes d'attaque spécifiques utilisées
• Mettre à jour les règles de pare-feu, les signatures IDS/IPS et les règles de filtrage des e-mails sur la base de tous les IOC et TTP découverts pendant l'investigation
• Restaurer progressivement la connectivité réseau entre les segments, en surveillant les schémas de trafic à chaque étape
• Confirmer avec toutes les parties prenantes concernées — opérations informatiques, responsables métier, service juridique et direction — avant de déclarer formellement l'incident résolu

Phase 5 : Activité post-incident

La phase post-incident est celle où les bonnes équipes deviennent d'excellentes équipes. Chaque incident est une opportunité d'apprentissage, mais seulement si vous capturez et exploitez les leçons. Cette phase n'est pas optionnelle — c'est là que vous construisez la mémoire institutionnelle qui rendra la prochaine réponse plus rapide et plus efficace.

• Mener un examen post-incident (rétrospective sans reproche) dans les 5 jours ouvrables pendant que les détails sont encore frais — inclure tous les participants, pas seulement l'équipe RI
• Produire un rapport final complet couvrant : chronologie complète, analyse des causes profondes, évaluation de l'impact métier, actions de réponse menées, ce qui a fonctionné, ce qui n'a pas fonctionné et des recommandations spécifiques
• Mettre à jour le plan de réponse aux incidents sur la base des leçons apprises — boucler la boucle entre ce qui s'est passé et ce que vous ferez différemment la prochaine fois
• Soumettre les notifications réglementaires dans les délais requis — NIS2 exige une alerte précoce dans les 24 heures et une notification complète dans les 72 heures à l'autorité compétente
• Notifier les personnes concernées si des données personnelles ont été compromises, conformément aux critères de l'Article 34 du RGPD et aux exigences sectorielles
• Déposer une demande d'indemnisation auprès de la cyber-assurance le cas échéant — fournir à l'assureur la chronologie de l'incident, l'évaluation de l'impact et les coûts de remédiation
• Informer la direction sur l'incident, l'efficacité de la réponse, le risque résiduel et les investissements en sécurité recommandés
• Mettre à jour les règles de détection, les tableaux de bord de surveillance et les requêtes de threat hunting sur la base de toutes les conclusions de l'investigation
• Planifier une évaluation de suivi (30 à 60 jours après l'incident) pour vérifier que toutes les actions de remédiation ont été menées à bien et sont efficaces
• Archiver toute la documentation de l'incident — journaux, images forensiques, communications, décisions et rapport final — dans un référentiel sécurisé avec contrôle d'accès et conservation appropriée

Adapter cette checklist

Cette checklist est un point de départ, non un produit fini. Chaque organisation possède une infrastructure, des obligations réglementaires, une tolérance au risque et des structures d'équipe qui lui sont propres. Prenez ce cadre et adaptez-le :

• Ajoutez des éléments spécifiques à votre environnement — si vous exploitez des systèmes OT/ICS, ajoutez des éléments pour l'isolation sécurisée de la technologie opérationnelle sans perturber les processus physiques
• Adaptez à vos outils — remplacez les références génériques (« SIEM », « EDR ») par les produits spécifiques que votre équipe utilise et incluez des commandes de référence rapide
• Attribuez des responsables — associez un rôle ou une personne responsable à chaque élément de la checklist pour éviter toute ambiguïté pendant un incident
• Gérez-la en version — traitez votre checklist RI comme du code. Suivez les modifications, révisez les mises à jour et assurez-vous que chacun travaille avec la version actuelle
• Testez-la — réalisez des exercices sur table avec cette checklist pour identifier les lacunes avant qu'un vrai incident ne le fasse