Skip to content

Quelles sont les phases du cycle de vie de la réponse à incident, et pourquoi l'ordre est-il important ?

Réponse courte

Le modèle classique est PICERL : Préparation, Identification (détection), Confinement, Éradication, Restauration et Retour d'expérience. Le NIST le regroupe en : Préparation ; Détection et analyse ; Confinement, éradication et restauration ; et Activité post-incident. L'ordre compte car il faut cerner et confiner avant d'éradiquer, et l'on ne restaure qu'une fois la menace supprimée — sinon on réinfecte. C'est une boucle, pas une ligne : le retour d'expérience nourrit la préparation.

Les recruteurs posent cette question pour vérifier si vous avez un modèle mental structuré face au chaos. Pendant un incident réel, l'adrénaline pousse à sauter des étapes — effacer une machine avant d'en comprendre l'ampleur, ou restaurer des sauvegardes avant d'avoir évincé l'attaquant. Un cadre nommé maintient l'équipe disciplinée.

Les deux modèles courants

Le modèle PICERL du SANS détaille six phases : Préparation, Identification, Confinement, Éradication, Restauration, retour d'expérience (Lessons learned). Le NIST SP 800-61 les regroupe en quatre : Préparation ; Détection et analyse ; Confinement, éradication et restauration ; et Activité post-incident. Ils décrivent le même travail.

Pourquoi l'ordre est porteur

  • Préparation : tout ce que vous faites avant l'alerte : journalisation, playbooks, outillage, contrats de réponse à incident et exercices de simulation. La plupart des incidents se gagnent ou se perdent ici.
  • Identification/Détection : confirme qu'un incident est réel et en cerne l'ampleur. On ne peut combattre ce qu'on n'a pas cartographié.
  • Confinement : arrête l'hémorragie — souvent scindé en court terme (isoler un hôte) et long terme (appliquer des contrôles temporaires pendant la planification). Confinez avant d'éradiquer pour que l'attaquant ne se propage pas pendant le nettoyage.
  • Éradication : supprime la cause racine : malware, portes dérobées, comptes compromis.
  • Restauration : remet les systèmes en production et surveille les réinfections.
  • Retour d'expérience : consigne ce qui s'est passé et réinjecte les améliorations dans la préparation.

Pourquoi c'est important

Le cycle est une boucle, pas une liste de contrôle. La meilleure réponse nomme les phases, explique pourquoi le confinement précède l'éradication et la restauration, et insiste sur le fait que la revue post-incident est là où une organisation s'améliore réellement. Les recruteurs cherchent quelqu'un qui traite la réponse à incident comme un processus reproductible sous pression.

Questions de suivi probables

  • Pourquoi le confinement est-il scindé en étapes à court et à long terme ?
  • Que contient la phase de « préparation » avant tout incident ?
  • Comment le retour d'expérience nourrit-il le reste du cycle ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.