Playbooks Incident Response — Référence CERT

By : Li_in

🔐 AD Reconstruction

Phase 0 — Immédiat (0–2h) · Confinement initial

#ActionDomaineCriticité
0.1Désactiver ou restreindre tous les accès VPN entrantsRéseau🔴 Critique
0.2Bloquer tout le trafic entrant et sortant non essentiel (règles firewall d’urgence)Réseau🔴 Critique
0.3Activer le geo-fencing sur le firewall (restreindre aux pays autorisés)Réseau🔴 Critique
0.4Créer les comptes d’urgence CERT si inexistants — AD, O365, EDR, SIEM (MFA obligatoire, mot de passe aléatoire 32+ chars)AD🔴 Critique
0.5Triage serveurs et postes : identifier les machines compromises, isolées ou à préserver en prioritéEDR🟡 Important

Phase 1 — Court terme (2–12h) · Infrastructure & outillage

#ActionDomaineCriticité
1.1Reconstruction des hôtes ESXi de virtualisation (si environnement virtualisé) à partir d’une image saine ou golden imageInfra🟡 Important
1.2Montage et vérification de l’intégrité du stockage EMC / SANInfra🟡 Important
1.3Déployer l’EDR sur l’ensemble des machines (serveurs + postes) — vérifier la couverture à 100%EDR🔴 Critique
1.4Déployer les autres outils CERT (SIEM, collecte de logs, sondes réseau, honeypots si applicable)EDR🟡 Important

Phase 2 — Active Directory · Audit & nettoyage des comptes

#ActionDomaineCriticité
2.1Audit des comptes créés dans les 30 derniers jours — valider chaque compte avec le client (légitime ou suspect)AD🟡 Important
2.2Audit des comptes membres de groupes à privilèges (Domain Admins, Enterprise Admins, Administrators, etc.)AD🟡 Important
2.3Audit des GPO récemment créées ou modifiées — rechercher les GPO malveillantes (scripts de démarrage, permissions, logon)AD🟡 Important
2.4Réinitialisation des mots de passe de tous les comptes administrateurs (locaux et de domaine)AD🔴 Critique
2.5Rotation du compte Kerberos (KRBTGT) : 2 réinitialisations immédiates consécutives + 1 réinitialisation 12h plus tardAD🔴 Critique
2.6Réinitialisation des mots de passe de tous les utilisateurs et comptes de service du domaineAD🔴 Critique
2.7Déployer une GPO Windows Credential Guard pour protéger les credentials en mémoire (LSA protection)AD🟡 Important
2.8Auditer et révoquer tous les trusts AD suspects ou non documentés entre domaines / forêtsAD🟡 Important
2.9Vérifier et désactiver les protocoles d’authentification faibles (NTLMv1, LDAP non signé, WDigest)AD🟡 Important

Phase 3 — Consolidation · Éradication & durcissement

#ActionDomaineCriticité
3.1Changer tous les mots de passe restants : SaaS, applications tierces, coffres-forts locaux (PAM, KeePass, etc.)SaaS🟡 Important
3.2Révoquer et renouveler tous les certificats et tokens d’API exposés (Azure AD app registrations, service principals)SaaS🟡 Important
3.3Activer et vérifier les alertes SIEM sur les comportements post-compromission (Pass-the-Hash, DCSync, Golden Ticket)EDR🟡 Important
3.4Revue complète du tier model AD (Tier 0 / 1 / 2) et mise en place des PAW si absentesADNormal
3.5Documenter toutes les actions, IoCs et timeline pour le rapport de clôtureRapportNormal

💀 Ransomware

Phase 0 — Immédiat (0–1h) · Confinement d’urgence

#ActionDomaineCriticité
0.1Isoler immédiatement les machines chiffrées du réseau (déconnexion physique ou isolement EDR)Réseau🔴 Critique
0.2Couper les partages réseau (SMB) et désactiver les connexions RDP exposéesRéseau🔴 Critique
0.3Suspendre toutes les tâches de sauvegarde automatique (risque de chiffrement des backups)Infra🔴 Critique
0.4Identifier le patient zéro et le vecteur d’entrée initial (phishing, RDP, vulnérabilité exposée)EDR🔴 Critique
0.5Capturer les images mémoire et forensiques des machines actives avant extinctionForensic🟡 Important

Phase 1 — Court terme · Évaluation des dommages

#ActionDomaineCriticité
1.1Cartographier l’étendue du chiffrement : volumes, serveurs, partages NAS touchésInfra🟡 Important
1.2Identifier la souche de ransomware (extension des fichiers, note de rançon, ID sur ID-Ransomware)Forensic🟡 Important
1.3Vérifier l’intégrité et l’accessibilité des dernières sauvegardes hors ligne ou immutablesBackup🟡 Important
1.4Rechercher les mécanismes de persistance : tâches planifiées, services, clés de registre Run*, GPOEDR🟡 Important
1.5Vérifier si une exfiltration de données a eu lieu avant le chiffrement (double extorsion)Réseau🟡 Important

Phase 2 — Remédiation · Reconstruction & restauration

#ActionDomaineCriticité
2.1Reconstruire à partir de sauvegardes saines — valider l’intégrité avant restaurationInfra🟡 Important
2.2Ne jamais restaurer sur une infrastructure non assainie (risque de rechiffrement immédiat)Infra🔴 Critique
2.3Appliquer tous les patchs critiques avant reconnexion au réseau (vulnérabilité exploitée initiale)Infra🟡 Important
2.4Réinitialiser tous les credentials (AD + comptes de service) — cf. playbook AD reconstructionAD🟡 Important
2.5Segmenter le réseau pour limiter la propagation latérale lors de la remise en productionRéseau🟡 Important

Phase 3 — Consolidation · Durcissement & surveillance

#ActionDomaineCriticité
3.1Déployer des règles de détection spécifiques à la souche identifiée dans l’EDR et le SIEMEDRNormal
3.2Mettre en place une politique de sauvegarde 3-2-1 avec copies immutables et hors ligneBackupNormal
3.3Notifier les autorités compétentes si données personnelles exposées (CNIL, ANSSI, assureur cyber)Juridique🟡 Important

🎣 Phishing / BEC

Phase 0 — Immédiat · Confinement

#ActionDomaineCriticité
0.1Révoquer immédiatement les sessions actives et tokens OAuth du compte compromis (O365 / Google)SaaS🔴 Critique
0.2Réinitialiser le mot de passe et forcer la MFA sur le compte victimeSaaS🔴 Critique
0.3Bloquer et supprimer les règles de redirection mail créées par l’attaquantSaaS🔴 Critique
0.4Identifier et bloquer le domaine / expéditeur phishing auprès du gateway mail (SEG)Réseau🟡 Important

Phase 1 — Investigation · Évaluation de l’impact

#ActionDomaineCriticité
1.1Analyser les logs de connexion : IPs, user-agents, pays d’origine inhabituels, heures de connexionSaaS🟡 Important
1.2Rechercher les applications OAuth tierces ajoutées par l’attaquant (consentements suspects)SaaS🟡 Important
1.3Vérifier si des emails frauduleux ont été envoyés depuis le compte compromis (BEC, fraude au virement)SaaS🟡 Important
1.4Identifier l’ensemble des autres utilisateurs ayant reçu le même email phishing (blast radius)SaaS🟡 Important
1.5Vérifier si des données sensibles ont été consultées ou exfiltrées depuis la boîte mailForensic🟡 Important

Phase 2 — Remédiation · Nettoyage & protection

#ActionDomaineCriticité
2.1Supprimer les emails malveillants restants dans les boîtes de tous les destinataires (eDiscovery / purge)SaaS🟡 Important
2.2Vérifier les délégations mail et les accès partagés configurés sur le compte compromisSaaS🟡 Important
2.3Activer / vérifier les politiques DMARC, DKIM, SPF sur le domaine de messagerieRéseauNormal
2.4Alerter les partenaires ou clients potentiellement contactés par l’attaquant via le compte piratéCommunication🟡 Important

Phase 3 — Durcissement · Prévention & formation

#ActionDomaineCriticité
3.1Déployer la MFA résistante au phishing (FIDO2 / clés physiques) sur les comptes à privilègesSaaSNormal
3.2Activer les politiques Conditional Access / Zero Trust (blocage par pays, conformité device)SaaSNormal
3.3Former les utilisateurs concernés et réaliser un test de phishing ciblé dans les 30 joursFormationNormal

📤 Exfiltration de données

Phase 0 — Immédiat · Confinement

#ActionDomaineCriticité
0.1Couper les connexions sortantes vers les IPs / domaines de C2 identifiésRéseau🔴 Critique
0.2Isoler la ou les machines sources de l’exfiltration du réseauRéseau🔴 Critique
0.3Capturer les flux réseau en cours (PCAP) et les logs proxy / firewall avant rotationForensic🟡 Important
0.4Identifier le canal d’exfiltration : HTTPS, DNS tunneling, SFTP, cloud storage (OneDrive, Google Drive, Mega)Réseau🟡 Important

Phase 1 — Investigation · Évaluation de l’impact

#ActionDomaineCriticité
1.1Quantifier le volume de données exfiltrées (Go / nombre de fichiers) et identifier les répertoires sourcesForensic🟡 Important
1.2Classifier les données exposées : données personnelles (RGPD), secrets industriels, données financières, propriété intellectuelleForensic🟡 Important
1.3Déterminer la durée de l’accès non autorisé (première connexion de l’attaquant vs découverte)Forensic🟡 Important
1.4Rechercher les outils d’exfiltration déposés sur les systèmes (rclone, WinSCP, MEGAsync, curl, certutil)EDRNormal
1.5Vérifier si des données apparaissent sur des sites de leak ou forums dark web (threat intelligence)TINormal

Phase 2 — Remédiation · Éradication & notification

#ActionDomaineCriticité
2.1Supprimer les outils et backdoors laissés par l’attaquant (implants, web shells, tâches planifiées)EDR🟡 Important
2.2Révoquer tous les credentials exposés (AD, SaaS, API keys, certificats) — cf. playbook ADAD🟡 Important
2.3Notifier la CNIL dans les 72h si données personnelles exfiltrées — préparer la notification aux personnes concernéesJuridique🔴 Critique
2.4Notifier l’assureur cyber et les partenaires / clients potentiellement impactésJuridique🟡 Important

Phase 3 — Durcissement · Prévention

#ActionDomaineCriticité
3.1Déployer un DLP (Data Loss Prevention) sur les endpoints et le proxy sortantRéseauNormal
3.2Bloquer les services cloud d’upload non autorisés (Mega, WeTransfer, etc.) au niveau proxyRéseauNormal
3.3Mettre en place la surveillance du DNS (détection de tunneling) et des flux sortants volumineuxRéseauNormal

🛠 Exploitation de vulnérabilité

Phase 0 — Immédiat · Confinement

#ActionDomaineCriticité
0.1Isoler ou couper le service / système vulnérable exploité (web app, VPN, firewall, serveur exposé)Réseau🔴 Critique
0.2Appliquer une règle WAF ou firewall d’urgence si le patch n’est pas immédiatement disponible (virtual patching)Réseau🔴 Critique
0.3Capturer les logs d’accès du système compromis avant tout redémarrage ou modificationForensic🟡 Important
0.4Identifier la CVE exploitée et son score CVSS — vérifier l’existence d’un exploit publicForensic🟡 Important

Phase 1 — Investigation · Évaluation de l’impact

#ActionDomaineCriticité
1.1Déterminer si l’attaquant a obtenu une exécution de code — vérifier web shells, reverse shells, tâches planifiéesEDR🟡 Important
1.2Analyser les mouvements latéraux possibles depuis le système compromis (pivoting réseau)Réseau🟡 Important
1.3Identifier tous les autres systèmes exposant la même vulnérabilité dans l’infrastructureInfra🟡 Important
1.4Vérifier si une escalade de privilèges a été réalisée depuis la compromission initialeAD🟡 Important

Phase 2 — Remédiation · Patch & éradication

#ActionDomaineCriticité
2.1Appliquer le patch officiel sur tous les systèmes affectés — prioriser l’exposition externeInfra🔴 Critique
2.2Supprimer les artefacts malveillants déposés (web shells, binaires, cron jobs, services)EDR🟡 Important
2.3Reconstruire proprement les systèmes fortement compromis plutôt que de les nettoyerInfra🟡 Important
2.4Révoquer les credentials exposés lors de la compromission (tokens, clés API, certificats serveur)SaaS🟡 Important

Phase 3 — Durcissement · Réduction de la surface d’attaque

#ActionDomaineCriticité
3.1Réaliser un scan de vulnérabilités complet sur le périmètre exposé (externe + interne)InfraNormal
3.2Mettre en place un processus de patch management avec SLA selon la criticité CVE (critique : 24–72h)InfraNormal
3.3Segmenter les services exposés dans une DMZ et limiter les flux vers le réseau interneRéseauNormal
3.4Activer les alertes de threat intelligence sur les CVE affectant les technologies utiliséesEDRNormal

🕵️ Insider Threat (Menace interne)

Incidents impliquant un employé, prestataire ou ex-collaborateur agissant de façon malveillante ou négligente. Requiert une coordination RH et juridique dès le début.

Phase 0 — Immédiat · Confinement discret

#ActionDomaineCriticité
0.1Ne pas alerter le suspect — mener les premières actions de confinement de façon silencieuseRH/Juridique🔴 Critique
0.2Révoquer discrètement les accès à distance (VPN, RDP) de l’individu concernéRéseau🔴 Critique
0.3Préserver en urgence les logs d’activité (AD, DLP, proxy, badge, SIEM) avant toute modification ou expirationForensic🔴 Critique
0.4Engager immédiatement le service juridique et RH — obtenir l’autorisation pour la collecte forensiqueJuridique🔴 Critique
0.5Prendre une image forensique du poste et des supports de stockage de l’individu (clé USB, disque externe)Forensic🟡 Important

Phase 1 — Investigation · Analyse de l’activité

#ActionDomaineCriticité
1.1Analyser les logs d’accès aux données sensibles dans les 30 à 90 derniers jours (SharePoint, OneDrive, NAS, bases de données)Forensic🔴 Critique
1.2Rechercher les transferts de données inhabituels : volumes importants, accès hors horaires, téléchargements massifsDLP🔴 Critique
1.3Vérifier les emails sortants avec pièces jointes vers des adresses personnelles ou comptes cloudSaaS🟡 Important
1.4Contrôler les logs des équipements de badge / accès physiques pour corréler avec l’activité numériqueForensic🟡 Important
1.5Identifier si l’individu avait des complices internes ou externes (partage de credentials, accès partagés)AD🟡 Important
1.6Vérifier l’usage de supports amovibles (DLP endpoint), d’outils de chiffrement ou d’applications non autoriséesDLP🟡 Important
1.7Analyser l’activité sur les derniers jours avant le départ ou la découverte (pic d’activité, accès inhabituels)Forensic🟡 Important

Phase 2 — Remédiation · Containment & préservation des preuves

#ActionDomaineCriticité
2.1Révoquer l’intégralité des accès de l’individu (AD, SaaS, VPN, badges, accès physiques) en coordination avec RHAD🔴 Critique
2.2Récupérer et mettre sous séquestre le matériel de l’individu (laptop, téléphone pro, clés USB) avec chaîne de custodyForensic🔴 Critique
2.3Préserver une copie forensique certifiée de toutes les preuves numériques (hash SHA-256 des images)Forensic🔴 Critique
2.4Évaluer si un dépôt de plainte est pertinent — transmettre les éléments au service juridiqueJuridique🟡 Important
2.5Auditer les accès partagés ou délégations configurées par l’individu (backdoor via compte tiers)AD🟡 Important
2.6Notifier les partenaires ou clients si des données les concernant ont été compromisesCommunication🟡 Important

Phase 3 — Durcissement · Prévention & surveillance

#ActionDomaineCriticité
3.1Mettre en place un processus de départ sécurisé (offboarding checklist) avec révocation immédiate des accèsRH/ADNormal
3.2Déployer ou renforcer la solution DLP avec alertes sur exfiltration massive et accès hors scopeDLPNormal
3.3Activer l’UBA (User Behavior Analytics) dans le SIEM pour détecter les comportements anormauxEDRNormal
3.4Appliquer le principe du moindre privilège — revoir les accès en fonction du rôle réel de chaque collaborateurADNormal
3.5Mettre en place une revue périodique des accès (access review trimestrielle) validée par les managersADNormal
3.6Former les managers à signaler les comportements suspects (employé démotivé, départ prochain, conflits)FormationNormal

🔗 Supply Chain Attack (Compromission de la chaîne d’approvisionnement)

Incidents où un fournisseur, partenaire ou composant logiciel tiers (librairie, outil de build, MSP) est utilisé comme vecteur d’attaque. Périmètre souvent difficile à délimiter rapidement.

Phase 0 — Immédiat · Identification & confinement

#ActionDomaineCriticité
0.1Identifier précisément le composant ou le fournisseur compromis (version, lot affecté, période d’exposition)Forensic🔴 Critique
0.2Couper immédiatement les canaux de communication et d’accès avec le fournisseur compromis (VPN partenaire, accès MSP, connecteurs API)Réseau🔴 Critique
0.3Désactiver ou isoler tous les systèmes ayant intégré la version compromise du composant / logicielInfra🔴 Critique
0.4Alerter l’éditeur / fournisseur concerné et vérifier s’ils ont émis un advisory ou un patchJuridique🟡 Important
0.5Vérifier si d’autres clients du même fournisseur sont exposés — partager les IoCs avec la communauté CERT si autoriséTI🟡 Important

Phase 1 — Investigation · Cartographie de l’exposition

#ActionDomaineCriticité
1.1Recenser tous les systèmes et environnements (prod, dev, staging) ayant intégré le composant ou l’outil compromisInfra🔴 Critique
1.2Rechercher les IoCs publiés (hashes, domaines C2, signatures) et les croiser avec les logs SIEM et EDREDR🔴 Critique
1.3Analyser les connexions sortantes anormales générées par le composant compromis (ex. beacon C2 post-installation)Réseau🔴 Critique
1.4Vérifier si le composant a été utilisé dans des pipelines CI/CD — analyser les artefacts de build générés pendant la période d’expositionInfra🟡 Important
1.5Déterminer si l’attaquant a utilisé l’accès initial pour se déplacer latéralement vers d’autres systèmesForensic🟡 Important
1.6Identifier les données auxquelles le composant avait accès (secrets, credentials, clés d’API injectées dans l’environnement)Forensic🟡 Important
1.7Auditer les autres fournisseurs tiers disposant d’accès similaires (évaluation du risque en cascade)TINormal

Phase 2 — Remédiation · Éradication & reconstruction

#ActionDomaineCriticité
2.1Mettre à jour ou remplacer le composant compromis par une version saine et vérifiée (hash officiel)Infra🔴 Critique
2.2Reconstruire les artefacts de build produits pendant la période de compromission (binaires, images Docker, packages)Infra🔴 Critique
2.3Révoquer et renouveler tous les secrets, credentials et clés d’API ayant été exposés à l’environnement compromisSaaS🔴 Critique
2.4Supprimer les backdoors ou implants déposés par l’attaquant via le composant compromisEDR🟡 Important
2.5Vérifier l’intégrité des dépôts de code source (commits suspects, modifications de fichiers de configuration)Infra🟡 Important
2.6Notifier les clients ou partenaires potentiellement exposés via les artefacts compromis distribuésJuridique🟡 Important

Phase 3 — Durcissement · Sécurisation de la chaîne d’approvisionnement

#ActionDomaineCriticité
3.1Mettre en place une vérification des intégrités (hash / signature) sur tous les composants tiers intégrésInfraNormal
3.2Déployer un registre de dépendances privé avec validation des packages avant intégration (Artifactory, Nexus)InfraNormal
3.3Appliquer le principe du moindre privilège aux accès accordés aux fournisseurs et MSP (MFA + accès limité dans le temps)ADNormal
3.4Mettre en place un processus de qualification sécurité des fournisseurs tiers (questionnaire, audit, SLA sécurité)JuridiqueNormal
3.5Surveiller les advisories de sécurité des composants utilisés (Dependabot, NVD, flux CERT)TINormal
3.6Intégrer des contrôles SBOM (Software Bill of Materials) dans le pipeline CI/CD pour tracer l’origine de chaque composantInfraNormal

Légende criticité :

🔴 Critique — action bloquante, à réaliser en priorité absolue ·

🟡 Important — à réaliser dans les premières heures ·

Normal — à planifier dans la phase de consolidation