Les plans de reponse aux incidents sont ecrits pour reussir les exercices. Pas pour fonctionner a 02h47 un dimanche matin. C'est ce que la quasi-totalite des CISO decouvrent lors de leur premier incident reel. ## Le contexte reglementaire change les regles du jeu NIS2 impose une notification initiale a l'ANSSI dans les 24 heures suivant la detection d'un incident significatif. DORA exige une documentation continue, un post-mortem formalise, et la tracabilite des decisions prises pendant la reponse. Depuis les premieres sanctions NIS2 fin 2025, trois categories d'organisations ont ete exposees : celles qui n'ont pas detecte a temps, celles qui n'ont pas notifie dans les delais, et celles qui ne pouvaient pas prouver la qualite de leur reponse. La pression reglementaire transforme l'Incident Response d'une discipline technique en une discipline de gouvernance. ## Lecon 1 : la premiere heure decide de tout La decision la plus critique n'est pas technique : c'est de savoir si on est face a un incident confirme. Cette decision est presque toujours prise avec trop peu d'information et trop de prudence — ce qui retarde l'activation des ressources. **Observation :** Les organisations qui contiennent le mieux les incidents sont celles dont les analystes de nuit ont une autorite d'escalade explicite, sans validation hierarchique. **Erreur courante :** Exiger trois niveaux de validation avant de declarer un "incident majeur". Chaque niveau ajoute 20 a 45 minutes. A la fin du processus, l'attaquant a souvent atteint ses objectifs secondaires. **Application :** Reduisez votre IRP a une page operationnelle pour la premiere heure. Un critere d'escalade binaire, un numero d'astreinte unique, et trois actions immédiates que n'importe quel analyste peut déclencher sans approbation. ## Lecon 2 : le point de defaillance est organisationnel NotPetya, SolarWinds, les ransomwares hospitaliers 2024 — dans l'analyse post-mortem, un pattern recurrent : les equipes savaient quoi faire techniquement. Ce qui a prolonge les incidents, c'est la rupture de communication entre la securite, l'IT operationnelle et les metiers. **Exemple :** Un ransomware se propage. L'equipe securite veut isoler trois segments reseau. L'IT refuse sans autorisation de la DSI car l'isolation impacterait 12 applications critiques. La DSI est injoignable. 47 minutes de negociation pendant lesquelles le ransomware continue de chiffrer. **Metrique :** Les organisations avec un "war room protocol" pre-etabli reduisent leur temps de containment de 38 % (Mandiant Incident Response Insights, 2024). **Application :** Documentez avant l'incident quelles decisions la securite peut prendre unilateralement, lesquelles necessitent une validation IT, lesquelles une approbation metier. ## Lecon 3 : documenter pendant l'incident est une discipline La documentation post-incident est incomplete non par negligence, mais parce que personne n'a ete designe pour la tenir. Sous NIS2 et DORA, le rapport d'incident doit retracer la chronologie des decisions, les actions prises, et les preuves de containment. Sans documentation temps reel, ce rapport sera incomplet. **Erreur courante :** Confier la documentation a un analyste qui participe aussi a la reponse technique. En pratique, la documentation s'arrete des que la pression monte. **Application :** Designez un "scribe" dedie — une personne dont la seule mission est de documenter : horodatages, decisions, actions, communications. Les organisations qui documentent en temps reel raccourcissent leurs investigations post-incident de 60 % (IBM, 2024). ## Evaluer votre maturite Incident Response Ces trois lecons ne necessitent pas d'investissement technologique majeur. Elles necessitent de la clarte organisationnelle : roles definis, seuils d'escalade explicites, culture de la documentation. Presidio integre la gestion des incidents dans un workflow de gouvernance continu — pour transformer chaque incident en evenement auditable et conforme NIS2/DORA.