Construire son plan de réponse aux incidents NIS2
La notification d'incidents en 24h/72h/1 mois ne s'improvise pas. Voici comment construire un plan de réponse aux incidents conforme à la directive NIS2 et au ReCyF (pilier Défense).
Les 6 phases d'un plan de réponse
- Préparation : équipe de réponse identifiee, procédures documentees, outils en place, contacts CERT-FR à jour
- Détection et analyse : triage, qualification (incident significatif ou non), premières IoC
- Confinement : isoler les systèmes compromis, empecher la propagation, preserver les preuves
- Eradication : supprimer la menace, patcher les vulnérabilités exploitees, renforcer les accès
- Restauration : remettre en service les systèmes, vérifier l'integrite, monitorer
- Retour d'expérience : rapport final, lecons tirees, mise à jour des procédures
Integration du schema de notification NIS2
| Phase | Action NIS2 | Responsable |
|---|---|---|
| Détection + 24h | Alerte precoce au CERT-FR | RSSI / équipe SOC |
| Analyse + 72h | Notification détaillée avec IoC | RSSI + juridique |
| Post-incident + 1 mois | Rapport final complet | RSSI + direction |
Les documents a préparer en avance
- Fiche reflexe : qui appeler, quoi faire dans les 15 premières minutes
- Template de notification CERT-FR : pre-rempli avec vos coordonnees
- Arbre de decision : l'incident est-il significatif ? (seuils définis en interne)
- Liste de contacts de crise : imprimee, accèssible hors SI (en cas de compromission totale)
- Plan de communication : interne, clients, regulateur, presse si nécessaire
Tester le plan
Un plan non teste ne vaut rien. Le ReCyF recommande un exercice de crise cyber au minimum annuel. Formats : tabletop exercise (2-3h), simulation technique (1 jour), exercice complet multi-équipes (2 jours).
Voir les obligations de l'article 21, le guide PCA/PRA et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, articles 21, 23
- ReCyF, pilier Défense, mars 2026
- ANSSI, guide gestion des incidents