Plan de reponse aux incidents — Sensibilisation Essentielle

Objectifs d'apprentissage

Definir les six phases d'un plan de reponse aux incidents (NIST SP 800-61)
Assigner les roles et responsabilites dans l'equipe de reponse aux incidents
Tester le plan avec des exercices tabletop reguliers

Les six phases de la reponse aux incidents

Le cadre NIST SP 800-61 definit six phases : 1) Preparation (politiques, outils, formation en place avant l'incident), 2) Detection et analyse (identifier et confirmer l'incident, evaluer son scope), 3) Confinement (isoler les systemes affectes pour stopper la propagation), 4) Eradication (supprimer la cause racine : malware, backdoor, compte compromis), 5) Recuperation (restaurer les systemes a partir de sauvegardes saines), 6) Post-incident (lecons apprises, amelioration du plan). Ces phases peuvent se chevaucher en pratique.

🔔 À retenir : La phase de Preparation est la plus importante : un plan de reponse aux incidents redigé pendant l'incident est inutile. La phase Post-incident est souvent negligée mais essentielle pour ne pas repeter les memes erreurs.

Roles et responsabilites dans l'equipe de reponse

Pour une PME, l'equipe de reponse aux incidents est souvent petite : Coordinateur d'incident (IT ou CISO, coordonne la reponse), Responsable technique (execute les actions techniques), Responsable communication (informe la direction, les clients, les partenaires selon les obligations), et Contact juridique/RH (pour les incidents impliquant des donnees personnelles ou des employes). Il faut aussi avoir pre-identifie des ressources externes : forensique/DFIR, avocat specialise, assureur cyber.

⚠ Attention : La Loi 25 impose de notifier la Commission d'acces a l'information (CAI) dans les 72 heures d'un incident grave impliquant des donnees personnelles. Identifier votre avocat specialise en protection des donnees AVANT l'incident.

Exercices tabletop : tester le plan avant de le subir

Un exercice tabletop (table-top exercise) est une simulation theorique d'un incident : les participants discutent de leurs actions face a un scenario presente (ransomware, violation de donnees, compromission d'un sous-traitant). Cet exercice sans couts eleves identifie les lacunes du plan, les incomprehensions de role, et les dependances non documentees. Un exercice annuel minimum est recommande, avec un vrai incident tabletop tous les deux ans.

Checklist pratique

Un plan de reponse aux incidents (IRP) est documente, approuve et accessible hors ligne

Les roles et les contacts de l'equipe de reponse sont definis et connus de tous les membres

Un exercice tabletop a ete realise dans les 12 derniers mois

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

6 phases NIST : Preparation → Detection → Confinement → Eradication → Recuperation → Post-incident
Loi 25 : notification CAI dans les 72 h d'un incident grave — identifier l'avocat avant l'incident
Tabletop annuel : identifier les lacunes du plan avant de subir le vrai incident
Plan IRP accessible hors ligne : si le reseau est chiffre, votre plan stocke dans le cloud est inaccessible