Fondamentaux

Incident Response

Processus de réponse aux incidents — détection, containment, eradication et recovery

incidentréponseforensicscontainmentrecovery

Les 6 phases (NIST SP 800-61)

1. Preparation  →  2. Détection  →  3. Containment  →  4. Eradication  →  5. Recovery  →  6. Lessons Learned

Phase 1 — Preparation

Avant l'incident :

  • Équipe IR : rôles définis, contacts à jour
  • Playbooks : procédures pour les scénarios courants
  • Outils : SIEM, EDR, forensics toolkit prêts
  • Backups : testés et vérifiés régulièrement
  • Communication : canaux sécurisés, modèles d'emails

Phase 2 — Détection et analyse

Sources de détection

SourceType d'alerte
SIEMCorrélations, anomalies
EDRComportement suspect sur endpoints
IDS/IPSSignatures, trafic anormal
UtilisateursRapports d'activité suspecte
Threat IntelIOC (Indicators of Compromise)

Triage

SévéritéCritèreResponse Time
P1 CriticalSystème en production compromisImmédiat
P2 HighDonnées sensibles exposées< 1 heure
P3 MediumActivité suspecte confirmée< 4 heures
P4 LowAlerte à investiguer< 24 heures

Collecte d'evidence

$date -u
Timestamp UTC de début d'investigation
$last -50
Historique des connexions
$ps auxf
Processus en cours avec arbre
$netstat -tulnp
Connexions réseau actives
$find /tmp /var/tmp -type f -mtime -1
Fichiers modifiés dans les dernières 24h dans /tmp

Phase 3 — Containment

Limiter la propagation sans détruire les preuves.

Court terme

  • Isoler la machine du réseau (VLAN de quarantaine)
  • Bloquer les IPs malveillantes au firewall
  • Revoquer les credentials compromis
  • Rediriger le trafic DNS malveillant

Long terme

  • Patcher la vulnérabilité exploitée
  • Renforcer les contrôles d'accès
  • Déployer des règles de détection supplémentaires

Phase 4 — Eradication

Supprimer la cause et les artefacts de l'attaque.

  • Supprimer les malwares/backdoors
  • Fermer les comptes compromis
  • Patcher les systèmes vulnérables
  • Scanner les systèmes adjacents
$clamscan -r /var/www/
Scan antivirus du répertoire web
$rkhunter --check
Vérifier la présence de rootkits

Phase 5 — Recovery

Restaurer les services en toute sécurité.

  • Restaurer depuis des backups vérifiés
  • Monitorer intensivement les systèmes restaurés
  • Valider l'intégrité des données
  • Rétablir l'accès progressivement
  • Vérifier que l'attaquant n'a plus d'accès

Phase 6 — Lessons Learned (Post-mortem)

Structure du post-mortem

  1. Timeline : chronologie détaillée de l'incident
  2. Root Cause : analyse des causes profondes (5 Whys)
  3. Impact : données affectées, durée, coût
  4. What went well : ce qui a fonctionné dans la réponse
  5. What went wrong : ce qui n'a pas fonctionné
  6. Action items : correctifs avec owners et deadlines

Questions clés

  • Comment l'attaquant est-il entré ?
  • Combien de temps est-il resté non détecté ?
  • Quelles données ont été accédées/exfiltrées ?
  • Nos contrôles ont-ils fonctionné comme prévu ?
  • Comment prévenir ce type d'incident à l'avenir ?

IOC (Indicators of Compromise)

TypeExemple
IP185.143.223.xxx
Domainemalware-c2.evil.com
Hash fichiersha256:abc123...
URLhttps://evil.com/payload.exe
Email[email protected]
User-AgentChaine UA spécifique au malware

Outils forensics

OutilUsage
VolatilityAnalyse de mémoire RAM
AutopsyAnalyse de disque
YARADétection de malware par règles
VelociraptorCollecte d'artefacts à distance
TheHivePlateforme de gestion d'incidents