Afin d'illustrer ce sujet, je vous propose de dérouler un exemple de début de réponse à un incident évidemment totalement fictif sous forme d'une tranche de vie, ce qui nous permettra de découvrir toutes les embûches dans lesquelles tout le monde tombe au moins une fois et que l’on souhaiterait éviter. Prenons donc l'exemple d'une détection de code malveillant sur un poste de travail.
1. SIR l'arrière-garde est attaquée !
C'est évidemment un vendredi vers 16h30 que tout commence, lorsque l'équipe SOC vous remonte une alerte émise par un des antivirus du parc des postes de travail. Celui-ci est catégorique : détection sur une des machines du parc d'un « WIN32.Trojan.Gen ». Le ticket est prolixe : « C'est quoi ? On fait quoi ? »
Sur le terrain, on est généralement confronté à deux types de population : ceux qui décident que de toute façon l'antivirus a nettoyé le poste et donc que l'incident est clos ; et ceux qui aimeraient avoir systématiquement une...
