accueilSécuritéIncidents de sécurité
 

Fiche suivi d’incident


Cette fiche reprend les éléments à fournir pour faciliter le traitement de l’incident. N’hésitez pas à fournir tout autre élément que vous estimeriez utile.

Vos coordonnées

  • Nom de l’unité
  • Code de l’unité
  • Délégation régionale
  • Institut
  • Votre Nom
  • Votre courriel
  • Votre numéro de téléphone
  • Localisation (adresse)
  • Êtes vous CSSI ?
  • Recevez vous les avis de sécurité provenant du CERT-Renater et du CERTA ?

Nature de l’incident

Spécifiez la nature de l’incident :

  • Vol ou perte
  • Contenu abusif
  • Code malfaisant (virus, ver, cheval de Troie, logiciel espion)
  • Récupération d’informations
  • Tentatives d’intrusion
  • Intrusion
  • Atteinte à la disponibilité (déni de service, sabotage, etc.)
  • Atteinte à la sécurité de l’information (accès ou modification non autorisé, etc.)
  • Fraude (usage non autorisé de ressources, droit d’auteur, mascarade, etc.)
  • Hameçonnage (phishing)
  • Message de menace
  • Rançongiciel (ransonware), arnaque
  • Autre (précisez)

Détection de l’incident

Comment a été découvert l’incident ?

  • Signalement par l’utilisateur
  • Signalement par Renater
  • Signalement par un tiers (précisez lequel)
  • Découverte par un administrateur
  • Autre (précisez)
  • Précisez les circonstances de la découverte

En cas de vol ou de perte

  • Identification de la machine (marque, modèle)
  • Numéro de série
  • Propriétaire (celui qui a payé)
  • Détenteur (utilisateur de la machine)
  • Lieu
  • Date
  • Circonstances
  • La machine était-elle chiffrée ?
  • Date de la dernière sauvegarde
  • Nature et sensibilité des informations stockées sur la machine
    • Messagerie
    • Données scientifiques liées à un contrat de recherche en cours
    • Données scientifiques en cours de publication
    • Données à caractère personnel
    • Données médicales

En cas de compromission

  • Date de détection
  • Date de survenue (estimation à partir des journaux)
  • Pour chaque machine compromise
    • Nom complet
    • Adresse IP
    • Système d’exploitation
    • Principaux services installés et leur version
    • Journaux (logs)
    • En cas d’hameçonnage (phishing), rançongiciel (ransonware) et autres arnaques fournir les copies des messages de l’attaquant. Il important d’avoir les messages complets avec tous les en-têtes.

Conséquences

Quels sont les impacts et les conséquences probables de l’incident ?

  • Divulgation d’informations confidentielles
  • Divulgation d’informations à caractère personnel
  • Atteinte à l’image
  • Responsabilité civile ou pénale engagée
  • Autres (précisez)
  • Estimation de la gravité de l’incident
    • Bénin
    • Sérieux
    • Critique

Dépôt de plainte

  • Est-ce qu’une plainte a déjà été déposée ? Si oui par qui ?
  • Souhaitez vous déposer plainte (obligatoire en cas de vol) ? Veuillez à conserver et ne pas altérer tous les éléments qui pourraient servir de preuve (journaux de la machine, journaux des équipements réseau, journaux des pare-feux,

Analyse forensique

Il peut être intéressant de procéder à une analyse forensique (autopsie) du système afin de comprendre le mode opératoire de l’attaque et de déterminer des mesures permettant d’éviter qu’elle puisse se reproduire.

  • Souhaitez-vous analyser la machine ?
  • Pouvez vous faire une image du disque de la machine concernée ?
  • Quel est votre premier avis sur le scénario d’incident ?
  • Avez-vous des traces dans les journaux ?

Actions d’urgence effectuées

  • Avez-vous déconnecté la machine ?
  • Avez vous arrêté la machine ?
  • Autres (précisez) ?

Si possible ne pas réinstaller ou reformater la machine.


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits