Retour au cours

Confinement et Éradication en Réponse aux Incidents

Maîtrise de la Cybersécurité : de Zéro à Héros

Stopper l'hémorragie

3. Confinement

Une fois l'incident vérifié, la priorité est d'empêcher l'attaquant de causer plus de dégâts et de bloquer la propagation de l'infection.

Court terme : Isoler l'hôte compromis du réseau (ex : débrancher le câble, bloquer le trafic au pare-feu).
Long terme : Changer les mots de passe, désactiver les comptes compromis, prendre des images forensiques des systèmes affectés avant la remédiation.

4. Éradication

C'est la phase où la cause profonde est identifiée et définitivement supprimée.

Analyse de la cause profonde (Root Cause Analysis) : Déterminer la vulnérabilité initiale (ex : « Un serveur web obsolète a été exploité »).
Nettoyage : Supprimer tous les artefacts de l'attaquant (portes dérobées, services malveillants, comptes utilisateurs et malwares).
Correctifs : Corriger la vulnérabilité originale ayant permis l'intrusion.