Détection & réponse aux incidents Mis à jour : Juin 2026

SIEM (Security Information and Event Management) : collecte, corrèle et alerte sur les logs de sécurité. Wazuh : open source, gratuit, déployable on-premise ou cloud. Couvre : intégrité fichiers, détection malware, alertes MITRE ATT&CK. Microsoft Sentinel : SIEM cloud natif, intégré à Microsoft 365. Tarification à la donnée. Recommandation PME < 100 postes : Wazuh. PME Microsoft 365 : Sentinel.

Sources critiques : contrôleurs de domaine (authentifications, changements de groupes), pare-feux (connexions refusées, trafic sortant anormal), endpoints (processus créés, connexions réseau), messagerie (envois en masse, PJ suspectes), applications critiques (ERP, CRM). Événements Windows clés : 4625 (échec auth), 4688 (processus créé), 4698 (tâche planifiée créée), 7045 (service créé).

IoC = traces d'une attaque. Types : IP malveillantes, hash de fichiers malveillants, domaines C2, patterns de comportement (connexion à 3h du matin, exfiltration massive). Sources de threat intelligence gratuites : MISP, AlienVault OTX, Feodo Tracker, URLhaus. Intégrer les IoC dans votre SIEM pour des alertes automatiques. Durée de vie d'un IoC : 24-72h pour les IPs, plus long pour les domaines.

Structure d'un playbook : (1) Détection et triage (faux positif ou réel ?), (2) Qualification (criticité, périmètre impacté), (3) Containment (isolation des systèmes compromis), (4) Éradication (supprimer la cause racine), (5) Récupération (restaurer depuis sauvegardes saines), (6) Post-incident (REX, amélioration). Avoir un playbook spécifique pour ransomware, phishing réussi, fuite de données.

Isoler sans éteindre : débrancher du réseau (câble ou Wi-Fi) sans éteindre le système. Pourquoi ? Les données de la RAM (processus malveillants, clés de chiffrement) sont perdues à l'extinction. Exception : si le ransomware est en cours de chiffrement, éteindre immédiatement pour limiter les dégâts. Notifier les parties prenantes (direction, assureur) avant d'isoler un système critique.

Sans être expert : capturer l'image mémoire (Winpmem, FTK Imager), copier les logs avant reset, photographier l'écran, noter l'heure précise. Chain of custody : documenter qui a touché quoi et quand. Si vous anticipez une procédure judiciaire ou une réclamation d'assurance : ne rien effacer, faire appel à un spécialiste forensique certifié (DFIR).

Canada : signaler au Centre canadien pour la cybersécurité (CCCS) via cyber.gc.ca. GRC : si crime (extorsion, accès non autorisé). CAI (Québec) : si données personnelles compromises, dans les 72h si risque sérieux. Assureur : immédiatement, respecter les conditions de la police. Avantage du signalement CCCS : accès à des ressources gratuites et assistance possible.