Incident
Kit incident cyber 24/48h : décider, préserver les preuves et reprendre sans aggraver
Quand l'incident démarre, le risque n'est pas seulement technique. Le vrai danger est de multiplier les gestes qui rassurent sur le moment mais détruisent les preuves, rouvrent une porte ou rendent la reprise plus confuse. Ce kit transforme les bonnes pratiques publiques en séquence terrain adaptée à une PME/ETI : qui décide, quoi isoler, quoi garder, quoi dire et dans quel ordre reprendre.
Heures 0 à 4 : cadrer avant de courir
La première décision consiste à nommer une cellule courte : un décideur, un responsable technique, un contact métier, une personne qui tient le journal et un point de contact externe si nécessaire. Le but n'est pas de créer une grande réunion, mais d'éviter que dix personnes prennent dix décisions contradictoires.
Adrien cadrerait cette phase avec trois listes visibles : ce qui est confirmé, ce qui est suspecté, ce qui est encore inconnu. Tant que ces trois colonnes ne sont pas séparées, l'organisation mélange alerte, hypothèse et certitude. C'est souvent là que les erreurs commencent.
- incident lead nommé
- journal de crise ouvert
- périmètre suspect initial
- actions interdites temporairement
- canal de communication hors SI
Préserver sans paralyser
Préserver les preuves ne veut pas dire regarder l'incident se dérouler. Il faut isoler ce qui propage encore, mais éviter les gestes destructeurs non documentés. Une machine témoin, quelques exports de logs et une chronologie simple peuvent changer la qualité du retour d'expérience.
La bonne question n'est pas seulement 'que coupe-t-on ?'. C'est 'que doit-on pouvoir expliquer demain ?'. Pour une direction, cette nuance compte : elle permet de justifier les décisions, la notification éventuelle, les échanges avec prestataires et la remise en service.
- ne pas effacer les notes de rançon
- ne pas purger les logs
- isoler plutôt que formater
- horodater les actions
- garder les preuves dans un espace dédié
Heures 4 à 24 : reprendre l'identité et les accès
Beaucoup de reprises échouent parce que l'environnement restauré reste accessible par le même compte, la même session, la même clé API ou le même accès prestataire. Avant de rallumer largement, il faut réduire les chemins de retour : comptes privilégiés, VPN, bastions, consoles cloud, comptes de service et délégations.
Cette phase ne vise pas un durcissement parfait. Elle vise un minimum viable de reprise : accès sensibles maîtrisés, MFA vérifiée, comptes suspects neutralisés, chemins d'administration connus et exceptions écrites.
- comptes suspects désactivés
- MFA vérifiée
- sessions révoquées
- accès prestataires revus
- comptes de service identifiés
Jour 2 : reprendre avec une décision métier
Le deuxième jour doit transformer la crise en trajectoire : quels services redémarrent, avec quel niveau de confiance, quelle surveillance, quel mode dégradé et quelle communication. Restaurer l'outil le plus visible n'est pas toujours la bonne priorité si l'identité, le DNS, les certificats ou l'application amont ne suivent pas.
Le livrable utile tient en une page : état de la situation, services critiques, risques résiduels, prochaines 24 heures, décisions attendues et preuves disponibles. C'est ce qui permet à la direction de piloter plutôt que subir.
- ordre de restauration métier
- risques résiduels visibles
- surveillance renforcée
- communication validée
- plan 7 jours
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Qui dirige la cellule courte pendant les 24 premières heures ?
- Qu'est-ce qui doit être isolé tout de suite et qu'est-ce qui doit rester observable ?
- Quels services métier doivent reprendre en premier, même en mode dégradé ?
- Qui valide une remise en ligne avec risque résiduel ?
- À quel moment faut-il mobiliser juridique, assurance, prestataire, autorités ou clients ?
Technique
À vérifier techniquement
- Connexions VPN ou administrateur hors horaires habituels
- Désactivation EDR/antivirus, purge de journaux ou arrêt de services de sécurité
- Création de comptes locaux, GPO récentes, tâches planifiées ou outils d'administration détournés
- Chiffrement, suppression VSS, modification de sauvegardes ou activité SMB anormale
- Alertes M365/Entra ID, règles de transfert, consentements OAuth ou connexions impossibles à justifier
Preuves
Preuves à conserver
- Horodatage de la première alerte et personne qui l'a constatée
- Copies ou exports de logs firewall, VPN, AD, EDR, M365/Entra ID et sauvegarde
- Liste des comptes privilégiés utilisés récemment et exceptions d'accès actives
- Capture de note de rançon, fichiers témoins, machines isolées et décisions de confinement
- État des sauvegardes : dernière sauvegarde saine connue, test de restauration, dépendances
Pièges
Erreurs fréquentes
- Redémarrer ou formater trop vite des systèmes qui contiennent encore les traces utiles.
- Restaurer avant d'avoir réduit le risque de retour par l'identité ou les accès distants.
- Confondre sauvegarde disponible et restauration réellement validée par le métier.
- Laisser chaque équipe rallumer son périmètre sans journal de décision commun.
Questions fréquentes
Ce kit remplace-t-il un prestataire de réponse à incident ?
Non. Il sert à cadrer les premières décisions, préserver les preuves et préparer une mobilisation propre. En cas d'incident confirmé, un accompagnement spécialisé peut rester nécessaire.
Faut-il toujours notifier ou communiquer ?
Non. Cela dépend du type d'incident, des données touchées, du risque pour les personnes, des obligations contractuelles et du périmètre. Le kit aide surtout à collecter les éléments pour décider correctement.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.