Construire son plan de réponse à incident (avant la crise)
Le pire moment pour décider qui fait quoi, c'est en pleine crise. Un plan de réponse à incident écrit et testé transforme la panique en exécution : chacun connaît son rôle, les bonnes décisions sont prises vite, et les dégâts sont contenus. C'est le document que peu d'organisations ont — et que toutes devraient avoir.
L'essentieldécideur Un plan de réponse à incident répond, à froid, aux questions qu'on n'a pas le temps de se poser à chaud : qui décide, qui agit, qui communique, qui prévenir, et dans quels délais. Il s'appuie sur un cycle éprouvé (préparation → détection → confinement → éradication → rétablissement → leçons). Sans plan, chaque incident se gère dans l'improvisation. Avec un plan testé, vous gagnez les heures qui font toute la différence.
Le cycle de réponse à incident (inspiré NIST / SANS)
Une cellule de crise : qui fait quoi (à définir AVANT)
Les composants d'un plan utile technique
Un plan de réponse à incident (PRI / IRP) n'est pas un document de 80 pages que personne ne lit. C'est un outil opérationnel comprenant :
Rôles et responsabilités : qui coordonne, qui agit techniquement, qui décide (direction), qui communique. Nommez des personnes, pas des fonctions floues.
Classification de gravité : des niveaux (ex. mineur / majeur / critique) qui déclenchent des réponses et des escalades différentes.
Arbre d'escalade : qui alerter, dans quel ordre, à partir de quel seuil — avec les coordonnées à jour.
Procédures par type d'incident : ransomware, compromission de compte, fuite de données… au moins les scénarios les plus probables.
Plan de communication : interne, clients, partenaires, et autorités (ANSSI, CNIL si données personnelles).
Contacts externes : prestataire IR, assureur cyber, conseil juridique.
Post-mortem : analyse à froid pour corriger les causes et améliorer le plan.
Le cycle de réponse
La plupart des plans s'appuient sur un cycle de type NIST ou SANS : Préparation (tout ce qui se fait avant), Détection & analyse, Confinement, Éradication, Rétablissement, puis Leçons apprises. C'est une boucle : chaque incident nourrit la préparation du suivant.
Lien NIS2 : la directive attend une capacité de gestion et de notification des incidents (alerte précoce, notification, rapport). Un plan de réponse formalisé est une brique directe de cette conformité — et un atout en cas d'audit ISO 27001.
Par où commencer
Une page d'abord : qui appeler, dans quel ordre, avec quels numéros. Mieux qu'un manuel parfait jamais écrit.
Imprimez-le : en cas d'attaque, le réseau et la messagerie peuvent être indisponibles. Une copie papier (et hors ligne) est indispensable.
Testez par un exercice (table-top) : simulez un scénario à l'oral, une heure, une fois par an. Vous découvrirez les trous avant l'attaquant.
Reliez-le à vos sauvegardes et à votre veille : un bon plan s'appuie sur des sauvegardes testées et une priorisation claire des vulnérabilités.
Construire ce plan, définir les rôles et l'éprouver par un exercice, c'est un accompagnement type que je propose — bien moins coûteux qu'une crise gérée à l'aveugle.