Passer au contenu principal
Responsable de la PON : Sécurité IT — Dernière révision : [Date]

Ce qui constitue un incident

Un incident est tout événement qui a — ou pourrait — avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité des systèmes ou des données de l’entreprise. Exemples :
  • Suspicion de violation de données ou d’accès non autorisé
  • Infection par rançongiciel ou logiciel malveillant
  • Exposition accidentelle de données sensibles
  • Panne système prolongée
  • Violation de la sécurité physique
En cas de doute, traitez-le comme un incident. Il est toujours préférable d’escalader inutilement que de manquer un événement réel.

Niveaux de gravité

NiveauDescriptionTemps de réponse
P1 — CritiqueViolation active, rançongiciel, exfiltration de donnéesImmédiat
P2 — ÉlevéViolation suspectée, panne système significativeDans l’heure
P3 — MoyenProblème isolé, aucune exposition de données confirméeDans les 4 heures
P4 — FaibleAnomalie mineure, aucun risque immédiatDans les 24 heures

Procédure de réponse

1

Identifier et signaler

Toute personne qui identifie ou suspecte un incident doit le signaler immédiatement à :N’essayez pas d’enquêter ou de résoudre l’incident vous-même.
2

Contenir

La sécurité IT évaluera la situation et prendra les mesures de confinement initiales, pouvant inclure :
  • Isoler les systèmes affectés du réseau
  • Suspendre les comptes compromis
  • Bloquer les adresses IP ou domaines malveillants
3

Évaluer

Déterminer l’étendue et la gravité :
  • Quels systèmes ou données ont été affectés ?
  • La menace est-elle toujours active ?
  • Existe-t-il des preuves d’exfiltration de données ?
4

Notifier

En fonction de la gravité et de l’étendue, notifier :
  • Les responsables d’équipe et la direction concernés
  • Le service juridique et la conformité (si une exposition de données est suspectée)
  • Les clients concernés (si requis par contrat ou réglementation)
  • Les autorités réglementaires (si requis par la loi)
5

Éradiquer et restaurer

Supprimer la cause racine et restaurer les systèmes à partir de sauvegardes propres ou d’états connus comme fiables. Vérifier l’intégrité avant de remettre les systèmes en ligne.
6

Revue post-incident

Dans les 5 jours ouvrés suivant la résolution, mener une revue post-incident pour documenter :
  • Chronologie des événements
  • Cause racine
  • Évaluation de l’impact
  • Actions entreprises
  • Mesures préventives pour l’avenir

Directives de communication

  • Ne discutez pas des incidents actifs sur les canaux publics, les réseaux sociaux ou avec des parties non autorisées
  • Les communications internes concernant les incidents doivent se limiter aux e-mails ou messages directs — pas aux canaux Slack
  • Toutes les communications externes doivent être approuvées par le service juridique avant envoi
Responsable de la PON : Sécurité IT