Réponse à incident
Plan de réponse à incident (IR plan), intervention en urgence sur breach, forensics, notification CNIL sous 72h, post-mortem rigoureux. Préparation NIS 2 et accompagnement crise.
Le contexte
En 2026, ce n'est plus une question de « si » mais « quand ». Selon IBM Security 2025, 81 % des entreprises ont subi au moins un incident de sécurité dans l'année. Et le coût moyen d'un breach atteint 4.8 M$. Mais ce coût varie énormément : entreprises avec IR plan testé → 1.8 M$. Sans plan → 6.2 M$. Le facteur principal : les 24 premières heures.
Beaucoup d'équipes découvrent qu'elles ne savent pas quoi faire au moment où ça arrive : qui appeler, comment isoler, comment préserver les preuves, comment communiquer, quand notifier la CNIL (72h obligatoires depuis le RGPD). Improvisation = panique = décisions coûteuses. La bonne nouvelle : c'est préparable.
Notre approche : plan IR documenté ET testé (tabletop exercises trimestriels), runbook par type d'incident (ransomware, breach data, compte compromis, DDoS), procédure de notification CNIL prête à dégainer, et astreinte 24/7 disponible pour les structures qui n'ont pas leur propre équipe sécurité. Quand ça pète, on répond avant que la panique s'installe.
< 1 h
Délai d'intervention
Sur les clients en astreinte 24/7. Mobilisation initiale garantie.
72 h
Notification CNIL
Délai légal RGPD strictement respecté grâce à un workflow prêt
3.4 M$
Économie moyenne
Sur le coût d'un breach pour les entreprises avec IR plan testé
0
Improvisation
Chaque action documentée dans le runbook avant l'incident
Ce qu'on couvre
De la préparation en amont à l'intervention crise, du forensics au post-mortem.
Préparer avant que ça pète.
Plan de réponse à incident documenté : équipe, rôles, communications, escalades, fournisseurs. Runbooks par type d'incident (ransomware, breach data, compte compromis, DDoS, défacement web). Templates de communication interne et externe. Testé en tabletop trimestriellement.
Astreinte 24/7 sur demande.
Activation immédiate sur appel/email. Triage initial (gravité, scope, impact). Isolation des systèmes compromis. Préservation des preuves forensics. Coordination avec ton équipe interne et tes fournisseurs (cloud, ISP).
Reconstituer l'attaque.
Analyse des logs (système, app, réseau, cloud). Timeline complète de l'incident. Identification de la kill chain (entrée, mouvement latéral, exfiltration). Indicateurs de compromission (IOC) extraits. Préservation chain-of-custody pour aspects légaux.
Sous 72h, prêt à dégainer.
Évaluation de la nécessité de notification (article 33 RGPD). Rédaction de la notification CNIL conforme. Notification aux personnes concernées si nécessaire (article 34). Préparation aux questions éventuelles de la CNIL. Documentation complète conservée.
Pour que ça ne se reproduise pas.
Post-mortem sans culpabilisation (blameless). Identification de la cause racine (RCA). Liste des actions correctives priorisées. Mise à jour du IR plan et runbooks selon les apprentissages. Partage interne pour sensibiliser l'équipe.
Tester sans risquer.
Exercices de simulation trimestriels avec ton équipe. Scénarios réalistes (ransomware, ex-employé malveillant, fournisseur compromis, breach data). Mesure du temps de réponse, identification des faiblesses. Documentation des gaps pour amélioration continue.
Notre approche
Inspiré du NIST SP 800-61 et du framework SANS, adapté à la réalité opérationnelle des structures qu'on accompagne.
Construction du IR plan : équipe, rôles, escalades, communications. Runbooks par type d'incident. Inventaire des fournisseurs critiques (cloud, support légal, communications). Tests des canaux de notification (CNIL, équipe, clients).
Configuration des alertes SIEM/EDR sur indicateurs critiques. Tuning pour réduire les faux positifs. Intégration avec PagerDuty/Slack pour réveiller la bonne personne. Documentation des seuils et procédures d'escalade.
Activation IR. Triage rapide : gravité, scope. Containment (isoler les systèmes touchés). Eradication (supprimer l'accès attaquant). Recovery (restaurer les services proprement). Communication continue avec ton management.
Post-mortem blameless avec ton équipe. RCA technique et organisationnelle. Liste d'actions correctives priorisées (immédiat / 30j / 90j). Mise à jour du IR plan et des runbooks. Présentation aux dirigeants.
Outils & frameworks
Combinaison d'outils SIEM/EDR, frameworks IR reconnus, et templates communications testés.
SIEM & EDR
Datadog · Sentinel · Splunk · CrowdStrike · SentinelOne
Datadog si déjà APM. Sentinel pour les comptes Azure. Splunk en enterprise. CrowdStrike Falcon pour le endpoint protection moderne. SentinelOne alternative compétitive.
Frameworks IR
NIST SP 800-61 · SANS PICERL · MITRE ATT&CK · ENISA
NIST SP 800-61 méthode US standard. SANS PICERL framework opérationnel. MITRE ATT&CK pour mapper la kill chain. ENISA pour le contexte européen et NIS 2.
Forensics
Volatility · Autopsy · Wireshark · ELK · Velociraptor
Volatility pour la mémoire. Autopsy pour l'analyse disque. Wireshark pour les captures réseau. ELK pour l'analyse des logs. Velociraptor moderne et performant.
Communications & coord
Slack · PagerDuty · OpsGenie · Statuspage · Notion
Slack/PagerDuty pour l'alerte. OpsGenie alternative. Statuspage pour la com externe. Notion comme single source of truth pendant la crise.
Threat intel
MISP · OpenCTI · VirusTotal · CrowdStrike Intel
MISP partage IOC. OpenCTI plateforme open-source CTI. VirusTotal pour vérifier rapidement. CrowdStrike Intel premium si déjà client.
Compliance & légal
CNIL · ANSSI · Cert-FR · CCN-CERT · NIS 2
CNIL pour notification breach RGPD. ANSSI pour conseil et assistance France. Cert-FR pour les alertes nationales. CCN-CERT espagnol équivalent. NIS 2 transposée en France 2024.
Garanties chiffrées
< 1 h
Mobilisation
Sur clients en astreinte : intervention initiale sous 1 h ouvré, sous 4 h en heures non ouvrées.
72 h
Notification CNIL
Délai légal RGPD strictement respecté. Workflow et templates préparés à l'avance.
0
Improvisation
Toutes les actions documentées dans des runbooks pré-testés. Pas de décisions sous panique.
100%
Post-mortem livré
Chaque incident clôturé par un post-mortem complet avec actions correctives priorisées.
Tarification
Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.
Réponse sous 48 h ouvrées Demander un devis →Ton mail est prêt 🚀
On a ouvert ton client mail avec toutes les infos pré-remplies. Appuie sur Envoyer et l'équipe te répond sous 24h ouvrées.
