Détection et incident response NIST pour PME 2026 : guide pratique

Lecture : 16 minutes · Niveau : sécurité intermédiaire · Mise à jour : avril 2026

L’incident response (IR) — ce qu’on fait quand on détecte une compromission — est la compétence défensive qui sépare une PME qui survit d’une PME qui voit son business s’arrêter pendant 2-6 semaines après un ransomware. Le cadre référence en 2026 est le NIST Special Publication 800-61 Revision 3 (mis à jour en avril 2025) qui aligne l’IR sur le NIST Cybersecurity Framework 2.0 : 4 phases (Preparation / Detection & Analysis / Containment, Eradication & Recovery / Post-Incident Activity). Le SANS PICERL (6 phases) reste largement utilisé en formation et complète NIST. Ce tutoriel pratique couvre les phases concrètes, la création d’un plan IR PME, les playbooks par scénario type, les exercices table-top, et l’utilisation des IOCs et TTPs MITRE ATT&CK pour structurer la détection.

Pour le contexte stratégique global, voir le pillar Sécurité défensive SOC PME. Pour Wazuh, voir Wazuh SIEM tutoriel.

Sommaire

Cadres NIST 800-61r3 et SANS PICERL
Phase 1 : Preparation
Phase 2 : Detection & Analysis
Phase 3 : Containment, Eradication & Recovery
Phase 4 : Post-Incident Activity
Plan IR PME : structure et template
Playbooks par scénario type
IOCs et MITRE ATT&CK
Exercices table-top
Outils IR
Pièges fréquents
FAQ

1. Cadres NIST 800-61r3 et SANS PICERL

NIST SP 800-61 Revision 3 (avril 2025).
Mis à jour pour aligner sur NIST CSF 2.0 et refléter le paysage IR moderne. 4 phases :

Preparation. Construire la capacité IR : équipe, outils, plan, formation, exercices.
Detection & Analysis. Identifier qu’un incident a lieu, déterminer sa nature et son scope.
Containment, Eradication & Recovery. Stopper la propagation, éliminer la cause, restaurer.
Post-Incident Activity. Apprentissage, amélioration, communication, rapports.

SANS PICERL.
6 phases, mnemonique « PICERL » :

Preparation.
Identification.
Containment.
Eradication.
Recovery.
Lessons Learned.

Différence : SANS sépare en étapes plus granulaires les phases NIST 3 et 4. Les deux modèles sont compatibles. NIST 800-61r3 est le standard officiel ; SANS PICERL est plus pédagogique.

MITRE ATT&CK.
– Taxonomie TTPs (Tactics, Techniques and Procedures) attaquants.
– Référence pour mapping détections.
– Utile dans IR : identifier quelles techniques ont été utilisées, anticiper prochaines étapes attaquant.

2. Phase 1 : Preparation

Objectif. Avoir tout en place AVANT que l’incident arrive.

Équipe IR.
– IR Lead : décideur opérationnel, coordonne.
– Analystes techniques : forensique, containment, eradication.
– Communications : interne (employés), externe (clients, presse), réglementaire.
– Légal : notifications obligatoires, evidence handling.
– Direction : décisions stratégiques (paiement rançon, communication publique).

Pour PME : souvent rôles cumulés. Externe (cabinet IR, MDR) en backup.

Plan IR documenté.
– Procédures par scénario.
– Contacts (équipe, prestataires, autorités).
– Outils et accès.
– Communication templates.
– Validé par direction.

Outils prêts.
– SIEM avec alertes configurées.
– EDR avec capacités containment (isolation endpoint).
– Forensique : tools (Velociraptor, KAPE, dd, Volatility) installés et testés.
– Backup vérifiés (test restoration trimestriel).
– Coffre-fort à mots de passe out-of-band (en cas compromission AD).

Formation et exercices.
– Formation IR pour équipe.
– Table-top trimestriels.
– Exercice red team annuel (PME mature).

Communication channels alternatifs.
– Si AD compromis, comment communiquer ?
– Channel Signal/WhatsApp pré-établi équipe IR.
– Liste contacts hors infrastructure compromise.

Cyber assurance.
– Contrat à jour.
– Couverture : IR forensique, perte d’exploitation, rançon (rare), notification clients, defense légale.
– Hotline IR vendor (souvent inclus).

Documentation à prêt.
– Inventaire actifs critiques.
– Schéma réseau.
– Procédures d’urgence.
– Listes utilisateurs privilégiés.

3. Phase 2 : Detection & Analysis

Sources de détection.

Précurseurs (signes attaque imminente).
– Scans externes répétés.
– Phishing ciblé.
– Vulnerability disclosure publique applicable.
– Threat intel concernant secteur.

Indicateurs de Compromission (IOCs).
– Trafic réseau anormal (vers IPs malveillantes connues).
– Login utilisateurs inhabituels (heures, géo).
– Fichiers modifiés sans cause.
– Comptes créés sans process.
– Processus inconnus exécutés.
– Volume données outbound anormal.

Sources alertes.
– SIEM (Wazuh, Sentinel) corrélation logs.
– EDR alertes endpoints.
– IDS/IPS (Suricata, firewall).
– Threat intelligence feeds (MISP, AlienVault OTX).
– Reports utilisateurs (« mon PC est lent », « emails étranges »).
– External (CERT, vendor security advisory, journalistes).

Triage initial.
1. Vérifier réalité : alerte true positive ou false positive ?
2. Catégoriser : type incident (malware, breach data, DoS, insider, phishing).
3. Sévérité : critique / élevée / modérée / faible.
4. Scope préliminaire : combien de systèmes, données, utilisateurs touchés ?

Catégorisation NIST.
– Functional Impact : effect sur opérations.
– Information Impact : confidentialité, intégrité, disponibilité données.
– Recoverability : effort de restoration.

Priorité.
– High : ransomware actif, exfiltration données massive, AD compromis.
– Medium : compromission single endpoint contenue, phishing successful sur 1 utilisateur.
– Low : tentative phishing bloquée, scan externe.

Documentation.
– Timeline événements (timestamp précis).
– Actions prises (qui, quand, quoi).
– Captures d’écran preuves.
– Hashes IOCs identifiés.
– Tickets et communications.

Outils analyse.
– SIEM queries (KQL, SPL).
– EDR detail process trees.
– Memory forensics (Volatility) si compromise endpoint suspecté.
– Network captures (tcpdump, Wireshark).
– VirusTotal pour hashes inconnus.

4. Phase 3 : Containment, Eradication & Recovery

Containment court terme.
– Isoler systèmes touchés (déconnexion réseau, EDR network containment).
– Désactiver comptes compromis.
– Bloquer IOCs (IPs, domains malveillants au firewall).
– Force expiration mots de passe utilisateurs touchés.
– Préserver evidence (mémoire RAM, disque) avant éteindre / wipe.

Containment long terme.
– Patches systèmes affectés.
– Stratégie pour traiter compromission AD si applicable.
– Communications préliminaires stakeholders.

Eradication.
– Identifier root cause.
– Supprimer malware, comptes attaquant, persistance (services, scheduled tasks, registry, cron).
– Reset credentials largement (pas juste utilisateurs touchés directement).
– Ré-imager systèmes si compromission profonde.
– Ne pas se contenter de retirer le malware visible : chercher les autres backdoors.

Recovery.
– Restaurer depuis backups propres (vérifier date avant compromission).
– Tester systèmes avant remise en production.
– Monitoring renforcé post-incident (1-3 mois).
– Communication restauration aux utilisateurs.

Décisions critiques.
– Paiement rançon : décision direction. Recommandation forte des autorités : ne pas payer (pas de garantie + finance criminels). Si pas de backup viable, peut être nécessaire — accepter risque.
– Notifications obligatoires : RGPD/CDP si données personnelles, < 72h. Clients selon contrats.
– Communication publique : si breach significatif, presse / clients informés.
– Forensique externe : faire appel cabinet spécialisé si capacité interne insuffisante.

Coordination authorities.
– Ransomware : déclaration possible police (Sénégal Cellule cyber Police nationale, etc.).
– CERT national si applicable (CERT Sénégal pour zone UEMOA).
– ANSSI / CNIL / CDP selon juridiction.

5. Phase 4 : Post-Incident Activity

Post-mortem.
– Réunion équipe IR + stakeholders.
– Timeline détaillée.
– Ce qui a marché.
– Ce qui n’a pas marché.
– Causes profondes (technical + organisational).

Lessons learned.
– Améliorations détection.
– Améliorations response.
– Gaps formation.
– Gaps outils.
– Changements process.

Rapport final.
– Document interne (équipe / direction).
– Rapport pour assurance.
– Rapport pour autorités si requis.
– Rapport client si data leak.

Changements implémentés.
– Patches systémiques.
– Nouveaux contrôles (MFA additional, segmentation, monitoring).
– Mise à jour playbooks.
– Formation additionnelle.

Mesure.
– MTTD (Mean Time To Detect) : temps détection.
– MTTR (Mean Time To Respond) : temps containment.
– MTTRecover : temps restoration complète.
– Coût total incident.

Communication.
– Interne : leçons partagées équipe sécurité et organisation.
– Externe : si appropriate, partage anonymisé avec communauté (CERT, ISAC).

6. Plan IR PME : structure et template

Sections obligatoires.

1. Introduction.
– Objectif du plan.
– Scope (entités, sites).
– Alignement NIST 800-61r3 / CSF 2.0.

2. Équipe IR.
– Rôles et responsabilités.
– Contacts (24/7 disponibles).
– Backup contacts.

3. Définitions et catégorisation.
– Types d’incidents.
– Niveaux de sévérité.
– Critères escalation.

4. Procédures par phase.
– Detection workflows.
– Containment procedures.
– Communication templates.

5. Playbooks scénarios.
– Ransomware.
– Phishing successful.
– Data breach.
– DoS/DDoS.
– Insider threat.

6. Communication.
– Internes (utilisateurs, direction).
– Externes (clients, médias, autorités).
– Templates messages.

7. Outils et accès.
– Liste outils IR.
– Credentials d’urgence (coffre out-of-band).
– Ressources externes (cabinet IR, assurance).

8. Conformité légale.
– Notifications obligatoires (CDP, clients).
– Evidence preservation.
– Chain of custody.

9. Test et révision.
– Exercices planifiés.
– Cycle de révision (annuel minimum).

Documents complémentaires.
– Inventory actifs critiques.
– Schémas réseau.
– Liste fournisseurs critiques.

Format.
– PDF + version éditable.
– Stocké hors AD (cloud OneDrive personal, chiffré).
– Imprimé en hardcopy en lieu sûr.

7. Playbooks par scénario type

Playbook ransomware.

Containment immédiat.
– Isoler systèmes infectés du réseau.
– Désactiver shares réseau et VPN.
– Préserver memory + disk si possible.
Triage.
– Identifier ransomware family (ID via note ransom + extension fichiers + Crypto Sheriff online).
– Vérifier si decryption tool gratuit disponible (No More Ransom Project).
Évaluer dégâts.
– Combien de systèmes, fichiers chiffrés.
– Backup propre disponible ?
– Données exfiltrées (double extortion) ?
Décision payment.
– Ne pas payer si backup viable.
– Sinon : décision direction + assurance + légal.
Eradication.
– Identifier vecteur (RDP, phishing, vulnerability).
– Reset credentials largement.
– Ré-imager systèmes infectés.
Recovery.
– Restoration depuis backups validés.
– Monitoring renforcé.
Notifications.
– CDP/RGPD si data personal exfiltrée.
– Clients si requis.
– Police / CERT.

Playbook phishing successful (utilisateur a cliqué).

Identifier utilisateur et système.
Réinitialiser mot de passe + tokens session.
Force MFA reverify.
Scanner endpoint (EDR + manual).
Vérifier emails envoyés depuis compte (souvent attaquant utilise pour pivot interne).
Bloquer IOCs (URLs, hashes).
Communication équipe : alert phishing en cours.
Formation utilisateur ciblée.

Playbook data breach (exfiltration suspectée).

Préserver evidence (logs, captures réseau).
Identifier scope : quelles données, combien d’enregistrements.
Identifier vecteur exfiltration.
Containment : bloquer canal exfiltration.
Notification interne direction et légal sous 24h.
Notification CDP/RGPD sous 72h si données personnelles.
Préparer communication clients si requis.
Forensique externe selon ampleur.

Playbook DDoS.

Confirmer DDoS (vs charge légitime).
Activer mitigation (Cloudflare, AWS Shield, fournisseur).
Ajuster firewall (rate limiting, geo-blocking).
Communication clients (status page).
Coordination ISP si attaque réseau.
Identifier motivations (extorsion, hacktivisme).

Playbook insider threat.

Containment subtil (l’insider ne doit pas réaliser).
Préservation evidence (logs accès, fichiers téléchargés).
Coordination RH + légal.
Si confirmé : suspension accès simultanée à entretien.
Forensique device, comptes.
Récupération assets.
Possibles poursuites.

8. IOCs et MITRE ATT&CK

IOCs (Indicators of Compromise).
– Fichier : hash MD5/SHA256, nom, taille.
– Réseau : IP, domain, URL.
– Endpoint : registry key, mutex, scheduled task.
– Comportement : pattern process, sequence d’actions.

Sources IOCs.
– VirusTotal (gratuit + premium).
– AlienVault OTX.
– MISP (collaboratif, déployable).
– Threat intel commercial : Recorded Future, Mandiant, Crowdstrike Falcon Intel.
– Reports vendors (Microsoft, Cisco Talos, ESET).

Application IOCs.
– Dans SIEM : règles correlation.
– Dans EDR : rules custom.
– Dans firewall : block lists.
– Dans email gateway : block sender / URLs.

MITRE ATT&CK.
– 14 tactics + 200+ techniques.
– Mapping détections : « cette règle Wazuh detect technique T1078 (Valid Accounts) ».
– Coverage analysis : quelles tactics on couvre, gaps à combler.
– Threat hunting : hypothèses « attaquant pourrait utiliser T1003 Credential Dumping » → recherche logs.

Outils MITRE-aligned.
– Wazuh : MITRE mapping built-in pour rules.
– Atomic Red Team : tests automatisés par technique.
– MITRE Caldera : red team automation framework.

9. Exercices table-top

Concept. Simulation papier d’incident. Pas de vraie attaque, juste discussion équipe.

Format.
– 1-2 heures, équipe IR + direction + parties prenantes.
– Facilitator présente scénario (« 9h00 lundi, vous recevez une alerte EDR sur poste de comptabilité »).
– Équipe discute actions à prendre.
– Facilitator injecte rebondissements.
– Documente gaps et améliorations.

Scénarios suggérés.
– Ransomware nuit weekend.
– Compromise via phishing CEO email.
– Insider exfiltration données clients.
– Vulnérabilité critical disclosed dimanche.
– Data leak public sur Twitter / LinkedIn.

Bénéfices.
– Identifier flaws plan IR.
– Acculturer équipe au stress décisionnel.
– Validation procédures.
– Cohésion équipe IR.

Fréquence recommandée.
– Trimestriel pour PME mature.
– Semestriel minimum.

Documentation.
– Compte-rendu détaillé.
– Action items concrets.
– Suivi des items entre exercices.

10. Outils IR

Forensique mémoire.
– Volatility 3 : analyse memory dumps (open-source, référence).
– Rekall : alternative.

Forensique disque.
– The Sleuth Kit / Autopsy : open-source.
– FTK Imager : commercial gratuit.
– EnCase, X-Ways : commercial premium.

Live response.
– Velociraptor : ouvert, agent-based, moderne.
– KAPE : Kroll Artifact Parser and Extractor.
– GRR : Google Rapid Response.

Network forensique.
– Wireshark : analyse paquets.
– Zeek (anciennement Bro) : flow analysis.
– NetworkMiner : extraction artifacts depuis pcaps.

Triage rapide.
– OSquery : queries SQL sur état endpoint.
– Sysinternals Suite (Windows).
– chkrootkit, rkhunter (Linux).

Threat intel.
– MISP : plateforme collaborative.
– OpenCTI : graph threat intel.
– AlienVault OTX : feeds.

Documentation incident.
– TheHive : case management open-source.
– Cortex : observable analyzers.
– DFIR-IRIS : alternative récente.

11. Pièges fréquents

Plan IR jamais testé. Document mort, équipe paniquée le jour J. Table-top trimestriels minimum.

Communications non préparées. Crise = improvisation = dégâts réputationnels. Templates pré-rédigés.

Effacement evidence prématuré. « On reformatte vite » = forensique impossible, root cause inconnue, récidive garantie. Préserver d’abord.

Pas de coffre out-of-band. AD compromise = pas accès credentials. Coffre Bitwarden personal sur device dédié.

Restauration trop rapide. Restaurer sur système encore compromis = re-infection immédiate. Vérifier eradication complète.

Sous-estimation scope. « Juste 1 PC infecté » → en réalité 50. Investigation thorough nécessaire.

Pas de notification CDP/RGPD. Sanctions ajoutées au dégât initial. Process clair < 72h.

Communication publique inappropriée. Tweet panique, infos contradictoires = perte confiance. Centraliser via 1 communicant.

Paiement rançon impulsif. Direction stressée paye, attaquants ne décryptent pas, finance criminels. Décision réfléchie.

Pas de assurance cyber. Coûts IR (forensique externe, légal) explosent sans couverture.

Lessons learned pas implémentées. Post-mortem produit doc, mais pas de changements opérationnels = même incident reproduit.

Burnout équipe IR. Crise majeure 72h non-stop = équipe HS pour mois suivants. Rotations, support psychologique.

FAQ

Combien de temps réel pour répondre à un ransomware ?

Containment initial : 1-4 heures avec plan IR et outils prêts. Éradication complète : 1-3 jours. Recovery (restoration backups, tests) : 3-14 jours. Total business interruption typique : 1-4 semaines pour PME sans plan, 3-7 jours avec plan IR mature.

NIST ou SANS, lequel suivre ?

NIST 800-61r3 est le standard officiel et le plus aligné avec les autres cadres (CSF 2.0, ISO). SANS PICERL est plus pédagogique et populaire en formation. Les deux sont compatibles. En pratique : adopter NIST comme cadre formel, utiliser PICERL pour communication équipe.

Faut-il faire appel à un cabinet IR externe ?

Pour PME sans équipe IR mature : oui, dès le premier incident significatif. Les cabinets (Sekoia IR, Mandiant, Sopra Steria, Atos) ont expertise forensique avancée et procédures rodées. Coût : 200-500 USD/heure typique. Rentable face à risque mauvaise gestion.

Mon assurance cyber couvre-t-elle vraiment l’IR ?

Selon contrat. Vérifier : forensique externe couvert, expertise IT specialist incluse, perte d’exploitation, frais de notification, defense légale. Exclusions courantes : paiement rançon (variable), incidents intentionnels, war/terrorism.

Quelle est la priorité absolue si je découvre un ransomware ?

1) Isoler immédiatement systèmes touchés du réseau. 2) Préserver evidence (ne pas éteindre, ne pas wipe). 3) Activer plan IR. 4) Notifier direction. 5) Investigation scope. Jamais : payer impulsivement, communiquer prématurément externalement, supprimer logs.

Comment justifier le coût d’un plan IR ?

ROI : coût plan IR mature 2-5 % du coût d’un incident majeur. Statistiques 2024-2025 : ransomware moyen PME = 250 K-1,5 M USD coût total (rançon + downtime + récup + réputation). Plan IR + exercices = 30-100 K USD investissement. Évidence claire.

Faut-il déclarer un incident aux autorités sénégalaises ?

Si données personnelles compromises : CDP doit être notifiée sous 72h (Loi 2008-12). Police ou Cellule cyber Police nationale pour ransomware. CERT Sénégal disponible pour incidents significatifs. Documentation interne dans tous les cas pour audit ultérieur.

Combien de fois par an exercer le plan IR ?

Minimum semestriel pour PME, trimestriel idéal. Exercice red team externe : annuel pour PME mature. Variation des scénarios : ransomware, phishing, insider, DDoS — éviter répéter même cas pour vraiment tester adaptabilité.

Articles liés (cluster Sécurité défensive)

Voir aussi : Cybersécurité PME Sénégal guide complet, Sauvegarde 3-2-1 connexion limitée PME africaine, Phishing WhatsApp former employés, Pentesting rapport livrable.

Article mis à jour le 26 avril 2026. Pour signaler une erreur ou suggérer une amélioration, écrivez-nous.