Exercice de réponse à incident (IR)
Description
Évalue un playbook d'IR simulé : identification, confinement, collecte de preuves, communication et leçons apprises.
Contexte d'application
Tabletop ou simulation lab après compromission fictive. Peut être évalué en groupe avec rôles (CISO, IT, juridique).
Critères et rubrics
Détection et qualification
20 %Sévérité, périmètre affecté, impact métier initial.
Insuffisant
Réaction immédiate sans qualification.
Acceptable
Sévérité estimée mais périmètre flou.
Bon
Matrice impact / urgence utilisée.
Excellent
Scénarios de propagation et dépendances critiques identifiés tôt.
Confinement et préservation des preuves
25 %Mesures techniques et juridiques (chaîne de custody simplifiée).
Insuffisant
Confinement absent ou destruction de preuves.
Acceptable
Actions correctives sans ordre ni traçabilité.
Bon
Confinement ordonné ; artefacts collectés listés.
Excellent
Plan de confinement par étapes ; preuves hashées / horodatées.
Coordination et communication
20 %Parties prenantes, escalade, transparence réglementaire.
Insuffisant
Communication chaotique ou absente.
Acceptable
Contacts listés sans calendrier de comités.
Bon
Plan de com interne/externe adapté au scénario.
Excellent
Matrice RACI + messages clés validés (juridique / RP).
Éradication et récupération
20 %Root cause, reprise, validation post-incident.
Insuffisant
Simple « reformatage » sans analyse de cause.
Acceptable
Cause probable sans validation.
Bon
Plan d'éradication et tests de non-régression sécurité.
Excellent
Validation par tests d'intrusion ciblés ou revue de config.
Retour d'expérience
15 %Leçons apprises, indicateurs, amélioration continue.
Insuffisant
Pas de RETEX.
Acceptable
Liste de points d'amélioration vague.
Bon
Actions correctives datées et responsables.
Excellent
Mise à jour playbook, tabletop planifié, métriques de détection.
Questions fréquentes
Comment utiliser cette grille avec un barème sur 20 ?
Attribuez une note partielle par critère selon le niveau (insuffisant à excellent), ou convertissez chaque critère en points proportionnels à son poids. Les pourcentages indiqués sur la grille servent de guide de pondération.
Cette grille convient-elle à une évaluation en groupe ?
Oui pour les parties méthodologie et documentation ; pour l'exécution technique, précisez si la note est collective ou individualisée (ex. contribution traçable dans le dépôt Git ou le rapport).
Comment lier cette évaluation au reste du cours ?
Référencez les objectifs pédagogiques du module dans le brief, et annoncez la grille avant le TP pour éviter les surprises. Un court auto-contrôle à remplir par les étudiants améliore la qualité des rendus.