Déroulé du cours 

3 Séances prévus :

• Incidents et Crises cyber
• Wargame
• Exercice de gestion de crise

Evaluation

QCM à chaque séance (sauf la première) 

Format -> 20 questions 1 point par question et pas de point négatif

Evaluation lors du wargame / Exercice de gestion de crise  : 

Analyse des réponses données, réaction, analyse...

Des questions ?/Des attentes ? 

Plan du cours

• Fondamentaux IR — Du SOC au CSIRT 
• Détection avancée, Triage & Investigation
• Confinement, Éradication & Remédiation
• Gouvernance de crise cyber
• Communication de crise
• Cadre légal, réglementaire & obligations
• Doctrine militaro-cyber & commandement
• Threat Intelligence, RETEX & amélioration

La pyramide : Événement → Alerte → Incident → Crise

Définitions clés

• Événement : Toute occurrence observable sur un système d'information — connexion réussie, fichier créé, paquet réseau. Neutre par nature.

• Alerte : Événement signalé comme potentiellement anormal par un outil (SIEM, EDR) ou un humain. Nécessite une qualification.

• Incident de sécurité : Événement ou série d'événements confirmant une violation ou une menace réelle à la confidentialité, l'intégrité ou la disponibilité (CIA) — définition NIST SP 800-61r3.

• Crise cyber : Incident dont l'impact dépasse les capacités de réponse nominales, affectant la continuité d'activité, la réputation ou engageant la responsabilité légale de l'organisation.

Niveaux de sévérité P1 → P4

Panorama des types d'incidents