Référentiel international

NIST SP 800-61 REV. 3

Publié par le NIST en avril 2025, le standard de référence pour la réponse à incident est désormais articulé autour du Cybersecurity Framework 2.0. Nos interventions s'y alignent au quotidien.

À propos du NIST & de SP 800-61

Le National Institute of Standards and Technology est l'agence américaine de normalisation. Sa série Special Publication 800 couvre la cybersécurité, et la publication SP 800-61 définit le standard international de gestion d'incident.

La révision 3 (avril 2025) aligne le document sur le Cybersecurity Framework 2.0 : la gestion d'incident y est désormais présentée comme un Community Profile du CSF, articulé autour des fonctions Govern · Identify · Protect · Detect · Respond · Recover. Le cycle historique en 4 phases reste pleinement valable et constitue toujours la grille mentale utilisée par les équipes CSIRT, CERT et SOC du monde entier — il est mappé aux fonctions Detect, Respond et Recover du CSF.

Ce framework est compatible avec le référentiel français de l'ANSSI : les phases sont équivalentes, NIST consolide simplement certaines étapes dans un cycle plus compact.

Le cycle en 4 phases

Le NIST décrit la gestion d'incident comme un cycle continu : l'apprentissage de chaque incident améliore la préparation au suivant.

PHASE 1

Preparation

Outillage, formation et procédures avant tout incident.

PHASE 2

Detection & Analysis

Identifier, qualifier et prioriser l'événement.

PHASE 3

Containment, Eradication & Recovery

Stopper, nettoyer, restaurer.

PHASE 4

Post-Incident Activity

Apprendre et améliorer.

01 Preparation — Préparation

Tout ce qui doit être en place avant qu'un incident survienne : c'est la phase la plus sous-estimée et pourtant la plus déterminante pour la rapidité de réaction.

Inventaire des actifs critiques (CMDB)

Annuaire des contacts d'astreinte (interne + prestataires)

Procédures écrites par scénario (ransomware, phishing, fuite)

Outillage : EDR, SIEM, capture mémoire, image disque

Sauvegardes hors-ligne testées (règle 3-2-1)

Formation des équipes & exercices réguliers (tabletop)

02 Detection & Analysis — Détection & Analyse

Identifier qu'un événement de sécurité est en cours, le qualifier (faux positif vs incident réel) et en mesurer la portée.

Sources de détection : alertes EDR, SIEM, signalements utilisateurs

Validation initiale : confirmer qu'il s'agit bien d'un incident

Évaluation de la priorité (impact métier × gravité technique)

Collecte des Indicators of Compromise (IoC)

Documentation continue : qui, quoi, quand, où

Notification : management, équipes concernées, parties prenantes

03 Containment, Eradication & Recovery — Confinement, Éradication & Récupération

Cœur de l'intervention technique : trois sous-phases distinctes mais liées.

Containment : isolation rapide (réseau, comptes, segmentation)

Choix entre confinement à court terme (urgence) ou long terme (planifié)

Préservation des preuves (forensique) avant toute modification

Eradication : suppression des malwares, comptes, persistances

Identification et fermeture du vecteur d'entrée initial

Recovery : reconstruction des systèmes, restauration, supervision renforcée

04 Post-Incident Activity — Activité post-incident

La phase clé pour transformer la crise en apprentissage. Trop souvent négligée dans les PME, c'est pourtant elle qui évite la récidive.

Réunion « lessons learned » sous 14 jours après résolution

Rapport post-mortem : chronologie, causes racines, coûts

Mise à jour des procédures et de la cartographie des risques

Plan d'action correctif chiffré et priorisé

Conservation des preuves selon politique légale

Communication interne (transparence sans blâme)

Comment Humanix applique ces principes

Lors d'une intervention curative sur site, nous prenons en charge directement les phases 2, 3 et 4. La phase 1 (préparation) est l'objet de nos prestations en amont : formation défensive, architecture sécurisée et gouvernance.

Le double alignement ANSSI + NIST garantit que notre méthode est conforme à la fois aux exigences réglementaires françaises (NIS2, RGPD, qualification des prestataires) et aux standards internationaux attendus par vos assureurs et vos clients étrangers.

Pour le détail action par action (quoi, pourquoi, comment, quand, obligations légales et outils), consultez notre méthodologie Humanix complète.

Source officielle

NIST SP 800-61 Rev. 3 — Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile

NIST, April 2025 — PDF anglais, en accès libre

Retour à l'intervention curative