Plan de réponse aux incidents
Présentation
TRINEXTA applique une méthodologie structurée permettant d'identifier, contenir, traiter et résoudre les incidents de sécurité affectant les systèmes d'information de ses clients. L'objectif est de réduire les impacts opérationnels, financiers et techniques, tout en assurant une reprise rapide des activités.
L'ensemble des opérations de réponse à incident et de remédiation est assuré par l'équipe interne de TRINEXTA, sans sous-traitance.
Signaler un incident
Étape 1 - Détection de l'incident
Un incident peut être détecté par un utilisateur, un antivirus, un pare-feu, une solution EDR/XDR, un système de supervision, un prestataire externe ou une alerte Microsoft 365.
Exemples : compte compromis, virus, ransomware, fuite de données, intrusion réseau, site internet piraté.
Étape 2 - Qualification
Les équipes TRINEXTA évaluent la nature de l'incident, les systèmes concernés, les données concernées, les risques métier et le niveau de criticité.
| Criticité | Caractérisation |
|---|---|
| Faible | Incident isolé, aucun impact majeur. |
| Moyenne | Plusieurs utilisateurs impactés. |
| Élevée | Service métier dégradé. |
| Critique | Arrêt de production, ransomware, fuite de données, compromission généralisée. |
Étape 3 - Contention
Objectif : empêcher la propagation. Actions possibles : isolation des postes, blocage des comptes compromis, déconnexion des serveurs, blocage des accès externes et suspension temporaire des services.
Étape 4 - Préservation de la preuve
Avant toute manipulation d'un disque ou d'une machine virtuelle, TRINEXTA garantit l'intégrité et la recevabilité des preuves :
- -Aucune action directe sur le système d'origine : nous réalisons d'abord une copie bit à bit (image forensique) du disque, ou un snapshot pour les environnements virtualisés.
- -Toute l'analyse est ensuite menée sur la copie, jamais sur le support original.
- -L'intégrité est vérifiée par le calcul et le contrôle d'empreintes cryptographiques (hash SHA-256) avant et après copie.
- -Pour les supports physiques, utilisation d'un bloqueur d'écriture (write-blocker) afin d'empêcher toute modification.
- -Chaque opération est horodatée et journalisée, et une chaîne de conservation (chain of custody) est documentée pour assurer la recevabilité des éléments.
Étape 5 - Investigation
Analyse technique de l'origine de l'attaque, de la méthode utilisée, de l'étendue de la compromission, des données concernées et des journaux systèmes.
Étape 6 - Éradication
Suppression de la menace : nettoyage, réinstallation, application des correctifs de sécurité, réinitialisation des mots de passe et renforcement des protections.
Étape 7 - Restauration
Retour progressif à la normale : vérification des sauvegardes, restauration des données, validation des services et contrôles de sécurité.
Étape 8 - Retour d'expérience
TRINEXTA recommande une analyse des causes, la mise à jour des procédures, le renforcement des mesures de sécurité et la sensibilisation des utilisateurs.
Obligations réglementaires
Déclarer l'incident à la CNIL
En cas de violation de données personnelles (sous 72 heures lorsque cela s'applique).
cnil.frServices proposés par TRINEXTA
- -Assistance en cas de cyberattaque
- -Audit de sécurité
- -Sécurisation Microsoft 365
- -Mise en place du MFA
- -Sauvegardes
- -Protection anti-ransomware
- -Supervision
- -Infogérance
- -Réponse aux incidents
- -Sensibilisation cybersécurité
Zone d'intervention
TRINEXTA accompagne les organisations situées en Île-de-France :
- -Essonne (91)
- -Paris (75)
- -Hauts-de-Seine (92)
- -Seine-Saint-Denis (93)
- -Val-de-Marne (94)
- -Yvelines (78)
- -Val-d'Oise (95)
- -Seine-et-Marne (77)
Interventions sur site et à distance selon le niveau d'urgence.
Vous aider àsurmonter vosdéfis technologiques
Trinexta by Trustech IT Support simplifie et sécurise votre informatique. Un accompagnement fiable, souple et adapté à votre performance.