Module 14 / 15
🚨

Réagir efficacement face à un incident de sécurité

Du phishing reçu au ransomware actif : apprenez à reconnaître, contenir et signaler tout incident cyber avec les bons réflexes.

⏱️ ~20 min
📚 8 leçons
🎯 Intermédiaire
🎯 Objectif du module

À la fin de ce module, vous saurez…

  • Reconnaître et qualifier un incident de sécurité
  • Appliquer les étapes d'un plan de réponse aux incidents
  • Signaler un incident aux autorités compétentes (RCMP, Centre canadien pour la cybersécurité)
  • Récupérer vos systèmes depuis des sauvegardes de façon sécurisée
  • Documenter et tirer les leçons d'un incident pour éviter les récidives
1

Qu'est-ce qu'un incident de sécurité ?

Un incident de sécurité est tout événement qui compromet la confidentialité, l'intégrité ou la disponibilité de vos informations ou systèmes. Il ne s'agit pas nécessairement d'une attaque en cours : cela peut être une tentative détectée, une fuite accidentelle de données ou une compromission confirmée.

Types d'incidents courants

  • Ransomware : vos fichiers sont chiffrés et une rançon est demandée
  • Hameçonnage réussi : un employé a cliqué sur un lien et entré ses identifiants
  • Accès non autorisé : connexion suspecte détectée sur un compte ou serveur
  • Fuite de données : des informations clients ou internes ont été exposées
  • Malware actif : un logiciel malveillant est détecté sur un appareil
💡
À retenirMieux vaut déclarer un incident qui s'avère bénin que d'ignorer une compromission réelle. Le coût de la non-réaction est toujours plus élevé.
2

Les premières 60 minutes — les réflexes qui comptent

La première heure après la détection d'un incident est critique. Vos actions dans cette fenêtre déterminent l'étendue des dégâts, la préservation des preuves et la rapidité de récupération.

✓ Les 4 règles d'or des premières 60 minutes

  • Isoler immédiatement — déconnectez l'appareil infecté du réseau (Wi-Fi et câble Ethernet). Empêchez la propagation latérale.
  • Ne pas éteindre l'appareil — sauf si c'est votre seule option. La mémoire vive (RAM) contient des preuves forensiques volatiles précieuses.
  • Ne pas céder à la panique — les erreurs précipitées aggravent la situation. Respirez, suivez votre plan.
  • Documenter dès maintenant — notez l'heure exacte de détection, ce que vous avez vu, ce que vous avez fait. Prenez des photos de l'écran.

✗ Erreurs fréquentes à éviter

  • Redémarrer l'ordinateur "pour voir si ça passe" — efface les traces en mémoire
  • Informer tout le monde en même temps par email — l'attaquant surveipe peut-être votre boîte
  • Tenter de supprimer le malware vous-même sans expertise — risque d'effacer les preuves
  • Continuer à travailler normalement en espérant que ça s'arrange
3

Contenir sans détruire — préserver les preuves

La confinement vise à limiter la propagation sans détruire les preuves qui permettront d'identifier l'attaquant, de comprendre ce qui s'est passé et — dans le cas d'un litige ou d'une assurance — de documenter le préjudice.

✓ Procédure de confinement

  • Déconnectez l'appareil du réseau sans l'éteindre (débranchez le câble, désactivez le Wi-Fi)
  • Photographiez tous les écrans avant toute intervention — messages de ransomware, alertes, journaux visibles
  • Sauvegardez les journaux système si accessibles (logs d'événements Windows, syslog Linux)
  • Identifiez les autres appareils du même réseau qui pourraient être compromis
  • Changez les mots de passe des comptes exposés — depuis un appareil sain, pas celui infecté
  • Notez tout : heures, actions, personnes impliquées — cette chronologie vaudra de l'or
💡
À retenirUn appareil compromis est une scène de crime. Préservez les preuves comme le ferait un enquêteur. Ne nettoyez rien sans l'accord d'un expert.
4

Qui appeler ? — La chaîne d'escalade

Selon la gravité et la nature de l'incident, plusieurs interlocuteurs doivent être contactés, dans le bon ordre.

✓ Chaîne d'escalade recommandée

  • 1. Équipe IT interne ou prestataire : premier réflexe — ils ont accès à votre infrastructure
  • 2. Centre canadien pour la cybersécurité : cyber.gc.ca — signalement et soutien technique gratuit pour les organisations canadiennes
  • 3. GRC (RCMP) : pour tout cybercrime — vol de données, ransomware, fraude. Portail : rcmp-grc.gc.ca
  • 4. Votre banque : immédiatement si des données financières ou des accès bancaires sont compromis
  • 5. Délégué à la protection des données (DPO) / responsable légal : pour évaluer vos obligations de signalement légal
  • 6. Assureur cyber : si vous avez une police cyber — documentez avant toute intervention

Pour les PME sans équipe IT : le Centre canadien pour la cybersécurité offre une ligne d'assistance aux organisations canadiennes : 1-833-CYBER-88.

5

Signalement légal au Canada — vos obligations

Au Canada, la notification de brèche est encadrée par plusieurs lois. La méconnaître peut aggraver vos responsabilités légales.

✓ Cadre légal canadien

  • LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) : oblige les entreprises fédérales à signaler toute brèche présentant un risque réel de préjudice grave au Commissariat à la protection de la vie privée (CPVP) et aux personnes touchées — dans les meilleurs délais.
  • Loi 25 (Québec) : obligation de signalement au CAI (Commission d'accès à l'information) dans un délai de 72 heures pour tout incident impliquant des renseignements personnels présentant un risque de préjudice sérieux.
  • Autres provinces : l'Alberta (PIPA) et la Colombie-Britannique ont aussi des obligations similaires. Vérifiez la loi applicable à votre province.
  • Secteur financier et santé : obligations supplémentaires sous FINTRAC, lois provinciales sur la santé, etc.

✗ Erreurs légales fréquentes

  • Attendre d'être certain à 100% avant de signaler — le délai court dès le moment de détection
  • Minimiser l'étendue de la brèche dans le signalement — aggrave les sanctions
  • Ne pas notifier les personnes touchées — obligation légale distincte du signalement aux autorités
  • Détruire des preuves avant enquête — obstruction à la justice
6

Récupération depuis les sauvegardes — la règle 3-2-1

La récupération ne commence qu'après que l'incident est contenu et la menace éliminée. Récupérer sur un système encore compromis revient à nettoyer un plancher sous la pluie.

✓ La règle 3-2-1

  • 3 copies de vos données (l'originale + 2 sauvegardes)
  • 2 supports différents (ex. : disque dur externe + cloud)
  • 1 copie hors site (cloud ou emplacement physique différent)
  • Tester les sauvegardes régulièrement — une sauvegarde non testée n'est pas une sauvegarde fiable

✗ Ransomware : NE PAS payer

  • Payer ne garantit pas la récupération des données — 40 % des victimes ne récupèrent rien
  • Payer finance les groupes criminels et encourage de nouvelles attaques
  • Votre organisation devient une cible connue comme "payeuse" — attendez-vous à une récidive
  • La clé de déchiffrement fournie peut elle-même contenir un malware
💡
À retenirVotre meilleure défense contre un ransomware est une sauvegarde récente, testée, et hors ligne. Préparez-la aujourd'hui — pas après l'incident.
7

Communication interne et externe — rester factuel

La gestion de la communication pendant et après un incident est aussi critique que la réponse technique. Une mauvaise communication peut aggraver la crise, créer une panique inutile ou exposer votre organisation à des risques légaux supplémentaires.

✓ Principes de communication de crise

  • Centralisez : désignez une seule personne porte-parole. Évitez les communications spontanées de multiples employés.
  • Soyez factuel : communiquez ce que vous savez avec certitude. Évitez la spéculation.
  • Communiquez tôt : mieux vaut dire "nous enquêtons sur un incident" que de laisser circuler des rumeurs.
  • Protégez vos canaux : si l'email est compromis, utilisez un canal alternatif pour les communications internes.

✗ Template de notification aux personnes touchées

  • "Objet : Avis important concernant la sécurité de vos informations"
  • Décrivez ce qui s'est passé, quand, et quelles informations ont été touchées
  • Expliquez ce que vous faites pour résoudre le problème
  • Indiquez les mesures que les personnes touchées peuvent prendre pour se protéger
  • Fournissez un contact pour les questions — et tenez-le à jour
8

Après l'incident — leçons apprises et amélioration

La phase post-incident est souvent négligée, mais c'est elle qui transforme une crise en apprentissage organisationnel. Un post-mortem (ou revue après action) bien conduit réduit considérablement le risque de récidive.

✓ Conduite du post-mortem

  • Chronologie complète : reconstituez les événements de la détection à la résolution
  • Cause racine : identifiez la vulnérabilité initiale — pas pour blâmer, mais pour corriger
  • Impact réel : données touchées, durée d'indisponibilité, coût estimé
  • Actions correctives : listez les changements à apporter avec un responsable et une date
  • Mise à jour du plan de réponse : intégrez les leçons dans votre documentation
💡
À retenirLe post-mortem n'est pas une séance de blâme. Son but est de comprendre systémiquement ce qui a échoué et d'en faire un processus plus robuste.
🎬 Scénario — PME touchée par un ransomware

Situation : Lundi matin 8h30, Marie, directrice d'une PME de 12 employés, allume son ordinateur. Tous ses fichiers ont une extension .locked. Un message réclame 15 000 $ en Bitcoin dans 48 heures.

Décision 1 — Isoler immédiatement : Marie débranche son ordinateur du réseau sans l'éteindre. Elle demande aux employés de ne pas allumer leurs postes tant que l'étendue n'est pas connue. Résultat : 3 postes supplémentaires auraient été chiffrés si le réseau était resté actif.

Décision 2 — Photographier et documenter : Marie prend des photos du message de ransomware avec son téléphone, note l'heure exacte (8h31). Ces preuves seront essentielles pour l'assurance et la GRC.

Décision 3 — Appeler le Centre canadien pour la cybersécurité : cyber.gc.ca fournit une orientation immédiate, confirme le groupe ransomware identifié, et recommande un prestataire de réponse aux incidents. Ne pas payer — ce groupe a une clé de déchiffrement publique disponible.

Décision 4 — Vérifier les sauvegardes : La sauvegarde sur NAS local est chiffrée (elle était connectée au réseau). La sauvegarde cloud de la semaine précédente est intacte. Perte de données : 5 jours de travail. Coût de récupération : 2 jours d'expertise + restoration. Rançon payée : 0 $.

Leçon : Une sauvegarde déconnectée (hors ligne) aurait réduit la perte à quasi-zéro. La règle 3-2-1 est non négociable.

Quiz — Module 14

4 questions sur la réponse aux incidents de sécurité.