SHIELD

Organisation et équipe

Incident response sur le terrain : les 90 premières minutes

Ce qu'on fait dans les 90 premières minutes d'un incident de sécurité, sur le terrain, sans les ressources d'un grand groupe.

Publié le 16 min de lecture Critique

Dernière revue:

Salle de réunion d'entreprise moderne

Il est 23h17. Une directrice administrative m’appelle, la voix blanche : un mail signé du PDG demande un virement « urgent et confidentiel », elle vient de comprendre que ce n’était pas lui. Première question que je pose : « Le virement est parti ? » Silence. « Oui, il y a quarante minutes. » Deuxième question : « Vous avez encore l’ordinateur allumé, le mail ouvert ? » « Non, j’ai tout fermé et redémarré pour être tranquille. » C’est là que les vraies pertes commencent — pas avec l’attaque, avec les quarante minutes de silence et le redémarrage qui efface tout.

Angle de lecture

Le piège habituel

L’incident response se résume, dans la tête de la plupart des gens, à « appeler quelqu’un qui saura ». Cette phrase suppose deux choses fausses : que le quelqu’un existe et qu’il décroche, et que les premières minutes ne comptent pas tant qu’on finit par joindre la bonne personne. Les deux sont fausses. La personne n’est presque jamais joignable dans l’heure, et les premières minutes sont précisément celles qui déterminent l’ampleur des dégâts.

Le deuxième piège est le réflexe de nettoyage. Face à un appareil qui se comporte mal, à un compte qui envoie des mails seuls, à un mail de rançon, l’instinct dit : ferme tout, redémarre, lance l’antivirus, supprime le fichier suspect. Chacun de ces gestes détruit des preuves et, souvent, n’arrête rien du tout. L’attaquant n’est pas dans la pièce ; il opère depuis un serveur à l’autre bout du monde, et éteindre votre machine ne le déconnecte pas — ça efface seulement ce qui aurait permis de comprendre ce qu’il a fait.

Le troisième piège, le plus coûteux, c’est l’idée que la réponse à incident se conçoit pendant l’incident. Le NISTInstitut américain qui publie les standards de référence en cybersécurité (CSF, SP 800-*)., dans son guide de référence le SP 800-61Processus structuré de gestion d'un incident de sécurité : détection, containment, eradication, recovery., place la préparation comme première phase du cycle, avant même la détection. Ce n’est pas de la théorie bureaucratique. Quand l’incident arrive, vous n’avez plus la bande passante mentale pour réfléchir : vous exécutez ce qui est déjà décidé, ou vous improvisez mal. Les 90 premières minutes ne s’inventent pas à 23h17. Elles se préparent un mardi après-midi tranquille, des semaines plus tôt.

Ce qui se passe vraiment dans les 90 premières minutes

Un incident, sur le terrain, n’arrive jamais sous la forme propre des manuels. Il arrive comme un doute. « C’est bizarre, ce mail. » « Mon laptop rame depuis ce matin. » « Pourquoi je suis déconnecté de tous mes comptes ? » La première bataille n’est pas technique, elle est cognitive : reconnaître qu’on a peut-être un incident, et accepter de réagir comme tel avant d’en être certain. Le coût d’une fausse alerte traitée sérieusement est faible. Le coût d’un vrai incident traité comme une fausse alerte est catastrophique.

Le modèle de menace réel sur le terrain tient en trois familles. La première : la compromission de compte. Identifiants volés par phishingAttaque par ingénierie sociale qui pousse la cible à donner ses identifiants ou exécuter du code., réutilisés depuis une fuite, ou capturés via un MFAAuthentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter. contourné. Le signe typique : des connexions depuis un pays où vous n’êtes pas, des règles de transfert automatique créées dans la messagerie sans votre action, des mails envoyés en votre nom. La deuxième : l’appareil compromis. Logiciel malveillant, accès physique pendant une absence, implant installé. Signes : lenteur soudaine, batterie qui fond, applications inconnues, connexions réseau inattendues. La troisième : la fraude par ingénierie sociale, dont la fraude au présidentArnaque où un attaquant se fait passer pour un dirigeant pour ordonner un virement urgent. est le cas vedette — pas de logiciel malveillant, juste un humain manipulé qui exécute lui-même l’action de l’attaquant.

Ces trois familles ont un point commun : le temps joue contre vous, et de façon non linéaire. Dans les premières minutes, les dégâts sont contenables — une session encore ouverte qu’on peut révoquer, un virement encore en file d’attente qu’on peut bloquer, un attaquant encore en phase de reconnaissance. Passé un certain seuil, l’attaquant a consolidé sa position : il a créé des accès persistants, exfiltré ce qui l’intéressait, effacé ses traces. La fenêtre utile se compte en dizaines de minutes, pas en jours. C’est pour ça que la métaphore des 90 minutes tient : ce n’est pas un chiffre magique, c’est l’ordre de grandeur de la fenêtre pendant laquelle vos actions changent encore l’issue.

Comprenez comment un attaquant exploite un compte de messagerie compromis, parce que c’est le scénario le plus courant et le plus mal géré. La première chose qu’il fait n’est pas de vous voler — c’est de s’installer. Il crée une règle de transfert silencieuse qui copie vos mails entrants vers une adresse externe. Il consulte vos contacts, votre historique de virements, le ton de vos échanges avec la comptabilité. Il attend. Parfois plusieurs semaines. Le jour où une vraie facture fournisseur arrive, il intervient : il modifie l’IBAN, répond à votre place, et le virement part vers son compte. Vous ne voyez rien, parce que ses réponses sont supprimées de votre boîte « envoyés » au fur et à mesure. Quand vous découvrez le problème, l’argent est parti et l’attaquant connaît déjà votre prochaine échéance. Sur un appareil compromis, la mécanique diffère mais la logique est identique : l’implant ne fait pas de bruit, il observe, il attend le moment où vous tapez le mot de passe qui ouvre le vrai coffre.

Le déclencheur de l’incident est rarement, sur le terrain, une alerte technique propre. C’est un fournisseur qui s’étonne de ne pas avoir été payé alors que vous avez l’ordre de virement sous les yeux. C’est un collègue qui demande pourquoi vous lui avez envoyé un fichier zip à 3h du matin. C’est la banque qui appelle pour confirmer un virement que vous n’avez pas initié. Dans tous ces cas, l’incident a commencé bien avant que vous n’en ayez connaissance — et le compteur des 90 minutes ne démarre pas à l’intrusion, il démarre à votre prise de conscience. C’est exactement pour ça que la détection compte autant : plus vous découvrez tôt, plus la fenêtre utile reste ouverte. Une entreprise qui découvre la compromission par sa propre supervision a encore des cartes en main. Une entreprise qui la découvre par le message de rançon affiché sur ses écrans n’en a plus aucune.

La routine des 90 minutes : isoler, préserver, alerter

La bonne approche tient en trois verbes, exécutés dans cet ordre, et appris par cœur avant l’incident : isoler, préserver, alerter. Cet ordre n’est pas négociable, parce que chaque étape protège la suivante. On isole pour stopper l’hémorragie, on préserve pour pouvoir comprendre, on alerte pour mobiliser ceux qui décideront de la suite. La plupart des gens font l’inverse — ils paniquent, nettoient, puis appellent — et perdent les trois bénéfices d’un coup.

Isoler, ça veut dire couper l’accès de l’attaquant, pas couper le courant. Pour un compte compromis : changer immédiatement le mot de passe du compte de messagerie principal (c’est le compte de récupération de tout le reste), puis révoquer toutes les sessions actives depuis un autre appareil sain. Google, Apple, Microsoft offrent tous un « se déconnecter de tous les appareils ». Pour un appareil compromis : couper le réseau sans éteindre. Pour une fraude en cours : appeler la banque pour tenter le rappel du virement — chaque minute compte, un virement SEPA standard reste rappelable un court laps de temps.

Préserver, c’est documenter avant de toucher. Photographiez l’écran avec votre téléphone — le mail frauduleux, le message de rançon, le comportement anormal. Notez l’heure exacte à laquelle vous avez remarqué le problème. Ne supprimez rien, ne « rangez » rien, ne videz pas la corbeille. Ces éléments serviront à trois publics : l’expert forensicsDiscipline qui analyse les traces numériques après un incident pour reconstituer ce qui s'est passé. qui reconstituera l’attaque, l’assureur qui exigera la preuve de votre diligence, et le régulateur si des données personnelles sont concernées. Un incident bien documenté dans la première heure vaut dix fois un incident reconstitué de mémoire trois jours plus tard.

Alerter, c’est mobiliser les bonnes personnes dans le bon ordre, avec les bonnes informations. Pas un mail noyé dans une boîte — un appel. La personne sécurité, le prestataire forensicsDiscipline qui analyse les traces numériques après un incident pour reconstituer ce qui s'est passé. identifié à l’avance, et selon le cas la banque, l’assureur, la direction. L’information à transmettre tient en quatre points : quoi (nature de l’incident), quand (heure de détection), quoi de touché (comptes, appareils, données), et ce que vous avez déjà fait. Une alerte précise déclenche une réponse rapide ; une alerte vague déclenche une demi-heure de questions.

Un détail sépare les gens préparés des autres : par quel canal alerter quand le canal habituel est peut-être compromis ? Si votre messagerie d’entreprise est l’objet de l’incident, n’écrivez pas votre alerte dans cette messagerie — l’attaquant la lirait, et il saurait que vous savez. Utilisez un canal hors-bande : un appel téléphonique, un SMS, une messagerie chiffrée comme SignalMessagerie open-source à E2EE par défaut, opérée par la Signal Foundation. sur un appareil sain. Ce principe de communication hors-bande vaut pour toute la cellule de crise : tant que vous n’avez pas la certitude que vos systèmes sont propres, vous partez du principe que l’attaquant écoute. Cela paraît paranoïaque jusqu’au jour où vous comprenez que l’attaquant a effectivement lu, en temps réel, le mail interne où le DSI annonçait la procédure de remédiation — et qu’il a accéléré son exfiltration en conséquence.

Reste la question de l’ordre dans les cas mixtes, et c’est là que les plans tiennent ou cèdent. Un appareil compromis qui a servi à se connecter à des comptes critiques implique les deux premières familles à la fois : vous isolez l’appareil du réseau (sans l’éteindre), puis vous traitez les comptes depuis un autre appareil sain — changement de mots de passe, révocation des sessions — exactement comme pour une compromission de compte. Une fraude au virement déclenchée par un mail frauduleux peut signaler soit une simple usurpation d’adresse (le compte n’est pas compromis, seul le nom affiché est falsifié), soit une compromission réelle du compte expéditeur. Dans le doute, traitez le pire des deux : vous bloquez le virement, puis vous vérifiez l’intégrité du compte concerné. Cette discipline — toujours traiter l’hypothèse la plus grave compatible avec ce que vous observez — est ce qui évite de « réparer » à moitié un incident qui repart de plus belle trois jours après.

Ce que ça implique concrètement

Pour vous, en tant que personne

Vous n’avez pas de RSSI à appeler à 23h. Votre plan tient donc en trois réflexes mémorisés, à mettre en place cette semaine, pour zéro euro.

1. Sachez révoquer vos sessions et changer vos mots de passe depuis un autre appareil. Ouvrez une fois, à froid, les réglages de sécurité de votre compte Google, Apple ou Microsoft. Repérez le bouton « se déconnecter de tous les appareils ». Mémorisez le chemin. Le soir d’un incident n’est pas le moment de l’apprendre.

2. En cas de doute sur un appareil : coupez le réseau, n’éteignez pas, ne nettoyez pas. Mode avion, puis vous respirez. Vous ne lancez pas l’antivirus, vous ne supprimez pas les fichiers suspects, vous ne redémarrez pas. Vous prenez une photo de ce qui est anormal avec votre téléphone.

3. En cas de fraude au virement : appelez votre banque immédiatement, pas demain. Un virement récent peut parfois être rappelé s’il n’est pas encore exécuté. Vous appelez aussi le proche ou le contact concerné par un canal différent (téléphone, pas le mail suspect) pour vérifier. Les 90 premières minutes déterminent les 90 jours suivants : passé ce délai, vous gérez des conséquences, plus l’incident.

Pour vous, RSSI / DSI / dirigeant

La bascule de l’incident response terrain change votre cadrage en cinq points.

1. Le plan se rédige avant l’incident, et il tient sur deux pages. Pas un classeur de 80 pages que personne ne lira sous stress. Deux pages : qui appeler et dans quel ordre, avec quels numéros (mémorisés, pas seulement enregistrés), quels systèmes isoler en priorité, quelle communication externe déclencher, à quel seuil notifier la CNILAutorité française de protection des données, régulateur RGPD pour la France.. Le NISTInstitut américain qui publie les standards de référence en cybersécurité (CSF, SP 800-*). appelle ça la phase de préparation ; c’est celle qui rend les quatre suivantes possibles. Conséquence directe : si ce document n’existe pas, c’est votre action de cette semaine, pas un projet de trimestre.

2. Le prestataire forensics se choisit à froid, pas dans la panique. Identifiez et contractualisez avant l’incident un cabinet forensicsDiscipline qui analyse les traces numériques après un incident pour reconstituer ce qui s'est passé. ou un MSSPFournisseur qui opère la sécurité d'un client en externalisation (SOC managé, EDR managé, etc.). joignable en astreinte. Le jour où vous en avez besoin, vous n’avez ni le temps de comparer des devis, ni le recul pour négocier. Conséquence directe : un retainer d’astreinte coûte quelques milliers d’euros par an ; son absence coûte les trois jours de silence pendant lesquels les preuves disparaissent.

3. La capacité de détection conditionne tout le reste. Vous ne pouvez répondre qu’aux incidents que vous voyez. Sans SIEMPlateforme qui agrège les logs de sécurité, corrèle, alerte, et permet l'investigation., sans EDRAgent installé sur les postes/serveurs qui détecte les comportements suspects et permet d'investiguer. sur les postes, sans alertes sur les connexions anormales, l’incident vous est révélé par l’attaquant — message de rançon, virement parti — c’est-à-dire trop tard. Conséquence directe : le budget détection n’est pas un confort, c’est ce qui transforme une découverte à J+30 en fenêtre utile de quelques heures.

4. La préservation des preuves est une discipline, pas un réflexe. Formez les premiers répondants — souvent le support IT, parfois un dirigeant — à isoler sans éteindre, à ne pas restaurer avant capture, à documenter l’heure et la nature. Une image forensiqueDiscipline qui analyse les traces numériques après un incident pour reconstituer ce qui s'est passé. se prend avant toute remédiation, jamais après. Conséquence directe : sans cette discipline, vous remédiez à l’aveugle et vous ne saurez jamais si l’attaquant est toujours présent ni ce qu’il a exfiltré.

5. La communication de crise fait partie de la réponse technique. Qui parle, à qui, quand. Les salariés, les clients, le régulateur, l’assureur, parfois la presse. Une notification RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. se déclenche dans les 72 heures quand des données personnelles sont concernées — ce délai court à partir de la connaissance de l’incident, pas de sa résolution. Conséquence directe : un volet communication absent du plan transforme un incident gérable en crise de réputation et en exposition réglementaire.

Pour vous, dirigeant

On vous appelle un dimanche soir. Quelque chose a brûlé — un compte compromis, un virement parti, un message de rançon sur les écrans. Dans les 90 premières minutes, votre rôle n’est pas technique. Vous ne touchez pas un clavier. Votre rôle, c’est la décision et la communication, et il se joue presque entièrement sur des choix que vous auriez dû trancher avant.

Trois questions doivent avoir une réponse écrite avant que ça arrive. Si vous les découvrez à 23h, vous improvisez, et l’improvisation sous le choc est la pire conseillère.

Qui dirige la crise ? Pas vous. Un dirigeant qui prend la barre technique d’un incident désorganise tout le monde et se rend indisponible pour ce que lui seul peut faire. Désignez à froid un pilote de crise — interne ou prestataire — qui a l’autorité d’agir sans vous demander chaque mouvement. Votre travail est de le couvrir, pas de le remplacer.

Qui parle à l’extérieur ? Une seule voix. Salariés, clients, partenaires, presse : tout passe par une personne et un message validé. Le pire scénario n’est pas l’incident, c’est trois versions contradictoires qui sortent en parallèle parce que personne n’avait dit qui parlait. Décidez-le maintenant, par écrit.

À partir de quand prévient-on clients et autorités ? Ce n’est pas un choix de confort, c’est une réponse réglementaire. Quand des données personnelles sont touchées, le compteur de notification court à partir du moment où vous savez, pas de la résolution. Le seuil de déclenchement et les destinataires se définissent à froid, avec votre juridique, pas dans la panique d’un dimanche soir.

La pire décision est celle qu’on improvise sous le choc, à 23h un dimanche, sans avoir eu la conversation avant. Cette conversation prend une heure, un mardi tranquille. Ayez-la pendant qu’il ne se passe rien. C’est le seul moment où vous penserez clairement.

Erreurs qu’on voit tout le temps

  • Attendre d’être sûr avant d’agir. Le doute est le signal. Traiter une fausse alerte sérieusement coûte une demi-heure ; traiter un vrai incident comme une fausse alerte coûte l’entreprise.
  • Éteindre ou redémarrer l’appareil suspect. On détruit la mémoire vive, donc les preuves, et on n’arrête pas l’attaquant qui opère à distance.
  • Nettoyer soi-même. Lancer l’antivirus local (peut-être déjà neutralisé), supprimer les fichiers suspects, restaurer les serveurs : autant de gestes qui effacent les traces et propagent parfois la compromission.
  • Notifier par mail au lieu d’appeler. Un mail dans la boîte du RSSI un vendredi soir, c’est zéro réponse avant lundi. Et si le compte mail est lui-même compromis, l’attaquant lit votre alerte.
  • Garder le silence par peur des conséquences. L’incident non déclaré est toujours pire que l’incident déclaré : pas de remédiation, pas de couverture assurance, et une faute caractérisée vis-à-vis du régulateur.
  • Improviser le forensics et la communication. Sans prestataire identifié et sans volet communication écrit, on perd les premières heures à chercher qui appeler et quoi dire — exactement les heures qui comptent.

Checklist actionnable

  • N1 Savoir révoquer ses sessions et changer ses mots de passe depuis un autre appareil sain
  • N1 En cas de doute sur un appareil : couper le réseau, ne pas éteindre, ne pas nettoyer
  • N1 Photographier l'écran et noter l'heure de détection avant de toucher à quoi que ce soit
  • N1 En cas de fraude au virement : appeler la banque immédiatement et vérifier par un canal différent
  • N2 Plan d'incident écrit sur 2 pages : qui appeler, dans quel ordre, quoi isoler, quelle communication
  • N2 Numéros clés mémorisés (sécurité, banque, avocat), pas seulement enregistrés dans le téléphone
  • N2 Prestataire forensics ou MSSP identifié et contractualisé en astreinte avant l'incident
  • N2 Premiers répondants formés à isoler sans éteindre et à préserver les preuves
  • N2 Volet communication de crise et seuils de notification RGPD/CNIL définis à l'avance
  • N3 Détection en place (EDR sur les postes, SIEM, alertes sur connexions anormales) et MTTD/MTTR suivis
  • N3 Exercice d'incident à blanc annuel, chronométré, avec les vrais acteurs

Pour aller plus loin

Le cadre de référence reste le guide de gestion d’incident du NISTInstitut américain qui publie les standards de référence en cybersécurité (CSF, SP 800-*). (SP 800-61), qui structure la réponse en quatre phases — préparation, détection et analyse, confinement-éradication-récupération, leçons apprises. L’ENISAAgence européenne de cybersécurité, publie le Threat Landscape annuel. publie un guide de bonnes pratiques équivalent pour le contexte européen, utile notamment pour articuler la réponse technique avec les obligations de notification.

Côté Shield, trois lectures complètent celle-ci. Dirigeant exposé : modèle de menace spécifique détaille pourquoi les fraudes par ingénierie sociale ciblent en priorité le sommet de l’organigramme. Politique de voyage d’entreprise cadre les procédures à définir avant qu’un collaborateur ne parte avec des données sensibles. Et Retour de mission : décontamination traite le cas particulier d’un appareil potentiellement compromis pendant un déplacement — la suite logique d’un incident détecté sur le terrain.

Articles liés