Skip to main content

Modèle de rapport d'investigation

Gabarit à remplir au terme de l'investigation. Un bon rapport est compréhensible par un non-technicien (résumé) tout en restant rigoureux (détails techniques, preuves).


Rapport d'investigation — Incident [ID]

ChampValeur
Identifiant incidentINC-AAAA-NN
Date de l'incidentJJ/MM/AAAA
Date de l'investigationJJ/MM/AAAA
AnalysteNom
SévéritéCritique / Élevée / Moyenne / Faible
StatutEn cours / Clos

1. Résumé exécutif

Trois à cinq phrases compréhensibles par tous : que s'est-il passé, quel impact, comment cela a été géré. Pas de jargon.

Exemple : « Le JJ/MM à 14h30, une tentative d'injection SQL a été détectée sur une machine du Cyber Range. La plateforme a automatiquement créé un ticket, identifié l'IP attaquante comme malveillante et déclenché son blocage. L'attaque n'a pas atteint d'autre zone du réseau. Aucune donnée de production n'a été compromise. »

2. Chronologie de l'incident (timeline)

HeureÉvénementSource / Preuve
HH:MM:SSPremier événement détecté
HH:MM:SS...

3. Vecteur d'attaque

Comment l'attaquant est entré ou a tenté d'entrer. Vulnérabilité exploitée, point d'entrée.

4. Indicateurs de compromission (IoC)

TypeValeurSource
IP sourceWazuh
RéputationScore AbuseIPDB / VirusTotalEnrichissement
Compte cibléauth.log
Hash / fichier

5. Périmètre & impact

  • Systèmes touchés :
  • Données concernées (confidentialité / intégrité / disponibilité) :
  • La segmentation a-t-elle contenu l'attaque ? :
  • Impact réel évalué :

6. Réponse apportée

PhaseActionAutomatique / Manuelle
ConfinementBlocage IPPlaybook SOAR (auto)
ÉradicationCorrection vulnérabilitéManuelle
RécupérationRestauration / vérification

7. Preuves collectées (chaîne de custody)

IDPreuveHash SHA256Collectée le
P-01wazuh_alerts.json
P-02auth.log
P-03extrait journal Audit

8. Recommandations

  • Correctifs techniques (issus du finding pentest correspondant).
  • Améliorations de détection (règle Wazuh, seuil de criticité).
  • Améliorations de réponse (playbook, notification).

9. Leçons apprises

Ce que l'incident révèle sur la posture de sécurité, et ce qui a bien fonctionné (à valoriser autant que les axes d'amélioration).

Boucle d'amélioration

La dernière phase du cycle de réponse alimente la première : les leçons d'un incident améliorent la préparation au suivant. Mentionner cette boucle montre une compréhension mature de la réponse à incident.