Humanix-Cybersecurity Logo
Notre méthode complète

NOTRE MÉTHODOLOGIE
D'INTERVENTION CURATIVE

Notre démarche complète d'assistance et intervention curative sur site (déplacement) pour la remédiation d'un incident de sécurité informatique. Six phases alignées sur les référentiels ANSSI et NIST SP 800-61 Rev. 3, avec pour chacune : ce que nous faisons, pourquoi, comment, quand, les obligations légales applicables et les outils utilisés.

Vue d'ensemble — 6 phases

Cliquez sur une phase pour aller directement à son détail.

PHASE 0 Préparation & anticipation PHASE 1 Premier contact & cadrage légal PHASE 2 Déplacement, confinement & preuves PHASE 3 Investigation & éradication PHASE 4 Remédiation & durcissement PHASE 5 Rapport, capitalisation & légal
00

Préparation & anticipation
Avant l'incident

Quoi

Préparer le terrain pour qu'une réponse rapide soit possible le jour J. Audit de l'existant, déploiement des outils de détection, formalisation des procédures et des contacts.

Pourquoi

80 % de la rapidité de réaction se joue avant l'incident. Une PME sans sauvegardes hors-ligne ni EDR perd des semaines à reconstruire — celle qui s'est préparée repart en moins de 48 h.

Comment

  • Audit de gouvernance et cartographie des actifs critiques
  • Déploiement EDR sur tous les endpoints
  • Centralisation des journaux (SIEM ou solution managée)
  • Politique de sauvegarde 3-2-1 avec test de restauration
  • Formation et exercices tabletop annuels

Quand

En amont, dans le cadre d'une prestation préventive (gouvernance, architecture, formation). Revue annuelle minimum, à chaque changement majeur du SI.

Obligations légales applicables

  • RGPD Art. 32 — Mesures techniques et organisationnelles « appropriées au risque » (chiffrement, sauvegardes, tests réguliers).
  • NIS2 (Directive UE 2022/2555) — Mesures de gestion des risques cyber pour les entités essentielles et importantes. Transposition française : Loi du 2 mai 2025.
  • Code des assurances — La plupart des polices cyber exigent un niveau minimal d'hygiène (MFA, sauvegardes hors-ligne, EDR) pour la couverture.
Outils PingCastle BloodHound CIS-CAT Pro Microsoft Defender / CrowdStrike / SentinelOne Veeam / Acronis Wazuh / ELK / Splunk KeePass / Vaultwarden Humanix Académie
ANSSI : Phase 01 — Préparation & anticipation NIST CSF 2.0 : Govern · Identify · Protect
01

Premier contact, qualification & cadrage légal
T0 — Heure 0

Quoi

Recevoir l'appel d'urgence, qualifier la nature et la gravité de l'événement, sécuriser le cadre contractuel (NDA), démarrer la chronologie de l'intervention.

Pourquoi

Une qualification rapide évite la sur-réaction (couper toute la production sur fausse alerte) ou la sous-réaction (laisser un ransomware se propager 6 h). Le cadre légal protège les deux parties.

Comment

  • Appel téléphonique direct au 06 61 02 61 53
  • Fiche incident structurée : type d'événement, périmètre supposé, impact métier observé
  • Premier conseil de confinement à distance (instructions précises au DSI)
  • Signature électronique d'un NDA standard avant tout échange technique
  • Démarrage du chronométrage RGPD (72 h depuis « prise de connaissance »)

Quand

T0 — dès le premier contact, en heures ouvrées. Confinement à distance immédiat pendant la mise en route vers le site.

Obligations légales applicables

  • Secret professionnel — Accord de Non-Divulgation (NDA) signé avant tout échange technique approfondi. Confidentialité contractuelle dès l'appel.
  • Code pénal Art. 323-1 à 323-7 — Si infraction caractérisée (intrusion, vol de données, sabotage), conseil immédiat sur le dépôt de plainte.
  • RGPD Art. 33 — Le délai de 72 h pour notifier la CNIL démarre dès « prise de connaissance » par le responsable de traitement, pas au moment de la notification par Humanix. Documenter T0 est crucial.
Outils Modèle NDA standard Fiche d'incident type Signature électronique (Yousign / DocuSign) Ligne directe Florian DURANO
ANSSI : Phase 02 (Détection & qualification) + Phase 03 (Alerte) NIST CSF 2.0 : Detect · Respond.MA
02

Déplacement sur site, confinement & préservation des preuves
T+30 min à T+4 h

Quoi

Intervention physique dans vos locaux. Isolation immédiate des systèmes compromis (sans extinction). Préservation forensique des éléments de preuve.

Pourquoi

Le confinement physique garantit qu'aucun script résiduel ne reprend la main. La préservation forensique conditionne à la fois l'investigation (phase 3) et la validité d'un éventuel dépôt de plainte.

Comment

  • Déconnexion réseau physique (jamais extinction — perte mémoire RAM)
  • Désactivation des comptes AD compromis (Disable, pas suppression)
  • Segmentation pare-feu d'urgence pour isoler les VLAN sains
  • Capture mémoire (RAM dump) avec Volatility ou DumpIt
  • Image disque forensique (FTK Imager, dd) avec hash SHA-256
  • Export et conservation des journaux système, AD, EDR, pare-feu
  • Chain of custody documentée (qui · quoi · quand)

Quand

T+30 min à T+1 h dans le Gard. T+1 h à T+1 h 30 sur Hérault / Vaucluse. Confinement à distance pendant le trajet via instructions au DSI.

Obligations légales applicables

  • Code de procédure pénale Art. 81 & 802-1 — La chain of custody (hash SHA-256, scellés numériques) conditionne la recevabilité des preuves devant un tribunal.
  • RGPD Art. 33 §3 — La notification CNIL doit décrire « la nature de la violation, les catégories et le nombre approximatif de personnes concernées ». La préservation des journaux permet ce constat.
  • Convention de Budapest (2001) — Cadre international pour la coopération en matière de cybercriminalité ; la préservation rapide des données est explicitement prévue (Art. 16).
Outils FTK Imager dd / dc3dd Volatility 3 DumpIt KAPE Velociraptor Wireshark / tcpdump PowerShell forensic
ANSSI : Phase 04 — Confinement & isolation NIST CSF 2.0 : Respond.MA · Respond.AN
03

Investigation forensique & éradication
J+0 à J+5

Quoi

Comprendre l'attaque : identifier le patient zéro, cartographier les mouvements latéraux, lister exhaustivement les comptes, machines et données compromis. Supprimer toutes les persistances.

Pourquoi

Une remédiation incomplète garantit la récidive. Un attaquant avancé aura semé des portes dérobées (Golden Ticket, comptes shadow, scheduled tasks, registry persistence) qui survivent à un simple nettoyage antivirus.

Comment

  • Analyse de timeline (timesketch · Plaso / log2timeline)
  • Recherche d'Indicators of Compromise (IoC) sur tout le SI via règles YARA
  • Audit Active Directory : recherche de privesc, Golden Ticket, DCSync (BloodHound)
  • Analyse mémoire : processus injectés, hooks, modules cachés (Volatility)
  • Reverse engineering basique du malware si custom (Ghidra, x64dbg)
  • Cartographie TTPs via MITRE ATT&CK
  • Suppression : malwares, comptes attaquants, scheduled tasks, services suspects

Quand

J+0 à J+5 typique. Plus court pour incidents simples (phishing ciblé). Plus long pour intrusions persistantes ou compromission Active Directory.

Obligations légales applicables

  • Audit trail — Toutes les actions menées par l'intervenant Humanix sont journalisées (commandes, modifications, suppressions) pour traçabilité contractuelle et judiciaire.
  • Code pénal Art. 323-1+ — Si l'investigation révèle une infraction, conservation des preuves dans leur état original pour saisine.
  • RGPD Art. 5 §1.f — Principe d'« intégrité et confidentialité » : la manipulation des données pendant l'investigation doit être minimale et tracée.
Outils Volatility 3 Autopsy / Sleuthkit KAPE Velociraptor BloodHound PingCastle YARA Plaso / log2timeline timesketch MITRE ATT&CK Ghidra
ANSSI : Phase 05 — Investigation & analyse NIST CSF 2.0 : Respond.AN · Respond.MI
04

Remédiation, restauration & durcissement
J+1 à J+15

Quoi

Reconstruire des systèmes sains. Restaurer les données depuis sauvegardes saines. Durcir les configurations pour empêcher la récidive sur le même vecteur.

Pourquoi

Un nettoyage in-place n'est jamais fiable face à un attaquant avancé. La reconstruction depuis ISO officielles garantit un état connu et sain — le seul état que vous pouvez signer.

Comment

  • Réinstallation OS depuis images officielles (jamais clone d'un système ex-compromis)
  • Restauration sélective depuis sauvegardes hors-ligne validées
  • Rotation complète des secrets : mots de passe AD, clés API, certificats X.509, tokens cloud
  • Application des CIS Benchmarks (niveau 1 ou 2 selon contexte)
  • Application des recommandations ANSSI (durcissement Windows / Linux)
  • Déploiement ou renforcement MFA partout (administrateurs en priorité)
  • Re-segmentation réseau si insuffisante (VLAN, micro-segmentation)
  • Supervision renforcée pendant 30 jours minimum (alertes EDR/SIEM doublées)

Quand

J+1 à J+15 selon la taille du SI. Restauration prioritaire des services métiers critiques en J+1 à J+3.

Obligations légales applicables

  • RGPD Art. 33 — Si fuite de données personnelles, notification CNIL sous 72 h depuis prise de connaissance via le téléservice notifications.cnil.fr.
  • RGPD Art. 34 — Notification des personnes concernées si la violation présente un « risque élevé » (vol d'identité, fraude, données sensibles).
  • NIS2 (Directive UE 2022/2555) — Notification ANSSI : alerte précoce sous 24 h, notification d'incident sous 72 h, rapport final sous 1 mois pour les entités essentielles et importantes.
  • Code monétaire et financier — Notification ACPR sous 4 h pour les acteurs régulés du secteur financier (DSP2).
Outils CIS-CAT Pro ANSSI baselines KeePass / Vaultwarden / HashiCorp Vault Veeam / Acronis Microsoft Authenticator YubiKey GPO / Intune Ansible / scripts custom
ANSSI : Phase 06 — Remédiation & retour à la normale NIST CSF 2.0 : Recover.RP · Recover.IM
05

Rapport post-incident, capitalisation & accompagnement légal
J+7 à J+21

Quoi

Livrable formel détaillé : chronologie, causes racines, IoC, impact estimé, recommandations correctives chiffrées. Accompagnement des déclarations légales et du dossier d'assurance.

Pourquoi

Sans rapport formel, l'incident reste un traumatisme sans valeur pédagogique. Pour les assurances cyber, le rapport conditionne l'indemnisation. Pour la direction, c'est l'outil d'arbitrage des investissements futurs.

Comment

  • Rapport structuré : executive summary (1 page direction) + détails techniques + IoC + plan d'action
  • Cartographie TTPs au format MITRE ATT&CK pour partage avec la communauté
  • Assistance à la rédaction de la notification CNIL (formulaire en ligne)
  • Assistance au dépôt de plainte via pre-plainte-en-ligne.gouv.fr ou directement au commissariat
  • Liaison avec l'assureur cyber : transmission du dossier technique demandé
  • Réunion « lessons learned » avec direction et équipes

Quand

Rapport préliminaire à J+7. Rapport final entre J+15 et J+21. Réunion REX dans les 30 jours suivant la résolution.

Obligations légales applicables (récapitulatif)

  • RGPD Art. 33 — Notification CNIL sous 72 h depuis prise de connaissance via notifications.cnil.fr.
  • RGPD Art. 34 — Notification des personnes concernées si risque élevé.
  • NIS2 — Alerte précoce 24 h, notification d'incident 72 h, rapport final 1 mois auprès du CSIRT national (ANSSI).
  • Code pénal Art. 323-1 à 323-7 — Dépôt de plainte possible pour intrusion, vol de données, sabotage, atteinte à un STAD.
  • LCEN (Loi 2004-575) Art. 6 — Conservation des données techniques de connexion : 1 an pour les hébergeurs.
  • Convention de Budapest Art. 16-21 — Coopération internationale en matière de preuves numériques.
Outils Template rapport (Markdown → PDF via Pandoc) notifications.cnil.fr pre-plainte-en-ligne.gouv.fr Plateforme NIS2 ANSSI MITRE ATT&CK Navigator DFIR-IRIS (case management)
ANSSI : Phase 07 — Capitalisation & retour d'expérience NIST CSF 2.0 : Recover.CO · Govern.OC

Cadre légal applicable

Textes que nous prenons en compte à chaque intervention, indépendamment du secteur du client.

RGPD · Règlement UE 2016/679

Notification de violation de données personnelles

Articles 32 (sécurité), 33 (notification CNIL sous 72 h), 34 (notification aux personnes concernées si risque élevé), 5 (intégrité & confidentialité).

Directive UE 2022/2555 · NIS2

Notification d'incident aux autorités sectorielles

Alerte précoce sous 24 h, notification complète sous 72 h, rapport final sous 1 mois auprès du CSIRT national (ANSSI). Transposition française : loi du 2 mai 2025.

Code pénal · Articles 323-1 à 323-7

Atteintes aux systèmes de traitement automatisé

Intrusion (323-1), entrave (323-2), introduction frauduleuse de données (323-3), association de malfaiteurs (323-4). Préservation des preuves pour saisine du procureur.

LCEN 2004-575 · Article 6

Conservation des données techniques

Obligation pour les hébergeurs et FAI de conserver les données techniques de connexion pendant 1 an, mobilisables sur réquisition judiciaire.

Convention de Budapest · 2001

Cybercriminalité — coopération internationale

Cadre de coopération transfrontalière pour la préservation et l'échange de preuves numériques (Articles 16-21).

Loi informatique & libertés modifiée

Cadre national d'application du RGPD

Pouvoirs de la CNIL, sanctions, dispositions sectorielles (santé, justice, défense). Loi n° 78-17 du 6 janvier 1978 modifiée.

Alignement référentiels — Vue synthétique

Comment nos 6 phases se mappent aux référentiels ANSSI et NIST SP 800-61 Rev. 3.

Phase Humanix ANSSI — 7 phases NIST CSF 2.0 — Functions
00 · Préparation & anticipation 01 — Préparation & anticipation Govern · Identify · Protect
01 · Premier contact & cadrage 02 — Détection & qualification
03 — Alerte & cellule de crise		 Detect · Respond.MA
02 · Déplacement, confinement & preuves 04 — Confinement & isolation Respond.MA · Respond.AN
03 · Investigation & éradication 05 — Investigation & analyse Respond.AN · Respond.MI
04 · Remédiation & durcissement 06 — Remédiation & retour à la normale Recover.RP · Recover.IM
05 · Rapport, capitalisation & légal 07 — Capitalisation & retour d'expérience Recover.CO · Govern.OC

Besoin d'une intervention curative ?

Cette méthodologie est appliquée à chaque déplacement sur site. Pour la déclencher, un seul appel suffit.

[ DÉCOUVRIR L'OFFRE INTERVENTION CURATIVE ]
Urgence — 06 61 02 61 53