Les 6 phases (NIST SP 800-61)
1. Preparation → 2. Détection → 3. Containment → 4. Eradication → 5. Recovery → 6. Lessons Learned
Phase 1 — Preparation
Avant l'incident :
- Équipe IR : rôles définis, contacts à jour
- Playbooks : procédures pour les scénarios courants
- Outils : SIEM, EDR, forensics toolkit prêts
- Backups : testés et vérifiés régulièrement
- Communication : canaux sécurisés, modèles d'emails
Phase 2 — Détection et analyse
Sources de détection
| Source | Type d'alerte |
|---|---|
| SIEM | Corrélations, anomalies |
| EDR | Comportement suspect sur endpoints |
| IDS/IPS | Signatures, trafic anormal |
| Utilisateurs | Rapports d'activité suspecte |
| Threat Intel | IOC (Indicators of Compromise) |
Triage
| Sévérité | Critère | Response Time |
|---|---|---|
| P1 Critical | Système en production compromis | Immédiat |
| P2 High | Données sensibles exposées | < 1 heure |
| P3 Medium | Activité suspecte confirmée | < 4 heures |
| P4 Low | Alerte à investiguer | < 24 heures |
Collecte d'evidence
$date -u
Timestamp UTC de début d'investigation
$last -50
Historique des connexions
$ps auxf
Processus en cours avec arbre
$netstat -tulnp
Connexions réseau actives
$find /tmp /var/tmp -type f -mtime -1
Fichiers modifiés dans les dernières 24h dans /tmp
Phase 3 — Containment
Limiter la propagation sans détruire les preuves.
Court terme
- Isoler la machine du réseau (VLAN de quarantaine)
- Bloquer les IPs malveillantes au firewall
- Revoquer les credentials compromis
- Rediriger le trafic DNS malveillant
Long terme
- Patcher la vulnérabilité exploitée
- Renforcer les contrôles d'accès
- Déployer des règles de détection supplémentaires
Phase 4 — Eradication
Supprimer la cause et les artefacts de l'attaque.
- Supprimer les malwares/backdoors
- Fermer les comptes compromis
- Patcher les systèmes vulnérables
- Scanner les systèmes adjacents
$clamscan -r /var/www/
Scan antivirus du répertoire web
$rkhunter --check
Vérifier la présence de rootkits
Phase 5 — Recovery
Restaurer les services en toute sécurité.
- Restaurer depuis des backups vérifiés
- Monitorer intensivement les systèmes restaurés
- Valider l'intégrité des données
- Rétablir l'accès progressivement
- Vérifier que l'attaquant n'a plus d'accès
Phase 6 — Lessons Learned (Post-mortem)
Structure du post-mortem
- Timeline : chronologie détaillée de l'incident
- Root Cause : analyse des causes profondes (5 Whys)
- Impact : données affectées, durée, coût
- What went well : ce qui a fonctionné dans la réponse
- What went wrong : ce qui n'a pas fonctionné
- Action items : correctifs avec owners et deadlines
Questions clés
- Comment l'attaquant est-il entré ?
- Combien de temps est-il resté non détecté ?
- Quelles données ont été accédées/exfiltrées ?
- Nos contrôles ont-ils fonctionné comme prévu ?
- Comment prévenir ce type d'incident à l'avenir ?
IOC (Indicators of Compromise)
| Type | Exemple |
|---|---|
| IP | 185.143.223.xxx |
| Domaine | malware-c2.evil.com |
| Hash fichier | sha256:abc123... |
| URL | https://evil.com/payload.exe |
[email protected] | |
| User-Agent | Chaine UA spécifique au malware |
Outils forensics
| Outil | Usage |
|---|---|
| Volatility | Analyse de mémoire RAM |
| Autopsy | Analyse de disque |
| YARA | Détection de malware par règles |
| Velociraptor | Collecte d'artefacts à distance |
| TheHive | Plateforme de gestion d'incidents |