Retour à des opérations normales

5. Récupération

La récupération consiste à restaurer les systèmes et services affectés dans un état de fonctionnement normal et sûr.

• Reconstruction : Les systèmes sont souvent effacés et reconstruits à partir de sauvegardes saines (pour garantir l'absence de portes dérobées résiduelles).
• Vérification : Tests approfondis pour s'assurer que tous les services fonctionnent correctement et que l'attaquant n'a pas regagné d'accès.
• Surveillance : Mise en place d'une surveillance accrue sur les systèmes restaurés.

6. Leçons apprises

La phase finale est la documentation et l'amélioration organisationnelle.

• Revue post-incident : Documenter ce qui s'est passé, comment l'IR a réagi et où étaient les faiblesses.
• Métriques : Mesurer l'efficacité de l'IR (temps de détection, temps de confinement).
• Amélioration : Mettre à jour les politiques, renforcer la formation et budgétiser de nouveaux contrôles défensifs identifiés comme manquants.