MÉTHODOLOGIE ANSSI
L'Agence Nationale de la Sécurité des Systèmes d'Information publie les référentiels français en matière de gestion d'incident cyber. Notre intervention curative s'appuie sur ses guides opérationnels.
À propos de l'ANSSI
Créée en 2009 et rattachée au Premier ministre, l'ANSSI est l'autorité nationale en matière de cybersécurité et de cyberdéfense. Elle accompagne les administrations, les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE) dans la protection de leurs systèmes d'information, et publie des guides opérationnels accessibles à tous — y compris aux PME.
Dans le cadre des directives NIS2, RGPD et de la qualification SecNumCloud, ses méthodologies sont devenues une référence obligatoire pour de nombreuses organisations françaises.
Gestion de crise cyber — 7 phases ANSSI
Issues du guide « Crise d'origine cyber, les clés d'une gestion opérationnelle et stratégique » publié par l'ANSSI en partenariat avec le Club des Directeurs de Sécurité des Entreprises (CDSE).
Préparation & anticipation
Mettre en place les conditions pour gérer une crise avant qu'elle ne survienne.
- Cartographie des actifs critiques et des dépendances
- Définition d'une cellule de crise et de son fonctionnement
- Procédures écrites, contacts d'astreinte, exercices réguliers
- Sauvegardes hors-ligne testées
Détection & qualification
Identifier qu'un incident est en cours et évaluer sa gravité.
- Centralisation des journaux (SIEM, EDR)
- Validation des indicateurs : faux positif ou vraie alerte ?
- Évaluation du périmètre impacté et du niveau de criticité
Alerte & activation de la cellule de crise
Mobiliser les bons acteurs et déclencher les procédures.
- Notification de la direction et des parties prenantes
- Activation de la cellule de crise (technique + métier + COM)
- Information CNIL si données personnelles concernées (sous 72 h)
- Dépôt de plainte si infraction caractérisée
Confinement & isolation
Stopper la propagation et préserver les preuves.
- Isolation réseau des systèmes compromis (sans les éteindre)
- Désactivation des comptes utilisés par l'attaquant
- Préservation forensique : empreintes, mémoire, journaux
Investigation & analyse
Comprendre l'attaque pour pouvoir l'éradiquer.
- Identification du vecteur d'entrée initial (patient zéro)
- Cartographie des mouvements latéraux et des privilèges acquis
- Liste exhaustive des comptes, machines et données compromis
- Recherche de portes dérobées (persistances)
Remédiation & retour à la normale
Reconstruire un système sain et durcir les défenses.
- Reconstruction des systèmes affectés (jamais de simple nettoyage)
- Restauration de données saines depuis sauvegardes hors-ligne
- Rotation des secrets (mots de passe, clés, certificats)
- Durcissement : MFA, segmentation, supervision renforcée
Capitalisation & retour d'expérience
Tirer les leçons pour ne pas revivre la même crise.
- Rapport post-incident détaillé (RCA, chronologie, IoC)
- Mise à jour des procédures et de la cartographie des risques
- Communication interne et exercice de simulation
- Plan d'action correctif chiffré et priorisé
Comment Humanix applique ces principes
Notre intervention curative sur site suit ces 7 phases dans l'ordre, adaptées au format PME : sans la lourdeur d'une cellule de crise de grand groupe, mais avec la même rigueur méthodologique.
Concrètement, nos phases d'intervention couvrent les phases 02 à 07 de l'ANSSI. La phase 01 (préparation) est, elle, l'objet de nos prestations de gouvernance & conformité et d'architecture sécurisée — qui visent justement à anticiper la crise.
Pour le détail action par action (quoi, pourquoi, comment, quand, obligations légales et outils), consultez notre méthodologie Humanix complète.
Pour aller plus loin
Les guides officiels de l'ANSSI sont en accès libre et téléchargeables au format PDF.