Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt

Use this file to discover all available pages before exploring further.

Incident Response 02 — Notification CSIRT-FR (sous 24h)

1. Quand notifier

Type d’incidentNotif CSIRT-FR ?
Compromission confirmée (intrusion, ransomware, exfil de données)OBLIGATOIRE sous 24h
Suspicion forte de compromissionOBLIGATOIRE sous 24h (early warning)
Indisponibilité significative (>4h) sur prestation MSSPRECOMMANDÉ (early warning, transparence)
Détection de malware sur infrastructureOBLIGATOIRE sous 24h
Attaque DDoS impactant clientsRECOMMANDÉ
Bug applicatif sans compromissionNON
Incident résolu en <2h sans impact dataNON (mention dans retro mensuelle)
Note juridique : SnakySec n’est pas légalement NIS2 (sous seuils), mais la posture commerciale “NIS2-ready par cascade” implique de notifier dès que des clients NIS2 pourraient être impactés. Conservatisme préféré.

2. Contacts

CanalCoordonnéesQuand utiliser
Formulaire web CERT-FRhttps://www.cert.ssi.gouv.fr/ → “Signaler un incident”Voie nominale
Email csirt-frcsirt@cert.ssi.gouv.frBackup si formulaire HS, ou suivi
Téléphone CSIRT-FR01 71 75 84 50Urgence majeure (rare)
PGP keyhttps://www.cert.ssi.gouv.fr/pgp/Données sensibles dans la notif

3. Délais (alignés NIS2 art. 23)

ÉtapeDélai maxContenu
Pré-notification (early warning)24hExistence + nature suspecte de l’incident
Notification (full report)72hSévérité, impact estimé, IOCs, mesures
Rapport intermédiaire1 moisÉtat avancement investigation
Rapport final3 moisCause racine, actions correctives, RETEX
V1 SnakySec : on respecte les délais NIS2 même si non légalement applicable.

4. Template — Pré-notification (sous 24h)

À envoyer via formulaire CERT-FR ou email : 
Objet : [SnakySec MSSP] Pré-notification incident — YYYY-MM-DD HH:MM UTC

Bonjour,

Conformément à notre démarche de transparence en tant que MSSP servant des
clients potentiellement assujettis à NIS2, nous procédons à la pré-notification
suivante :

ENTITÉ NOTIFIANTE
- Raison sociale : [SnakySec SAS / SASU]
- SIREN : [XXX XXX XXX]
- Statut NIS2 : non-essentielle (sous seuils), notification volontaire (cascade)
- Représentant : Nicolas Schiffgens, dirigeant
- Email contact : nicolas@snakysec.com (PGP disponible sur demande)
- Téléphone : [+33 X XX XX XX XX]

NATURE DE L'INCIDENT
- Type : [ransomware / accès non autorisé / breach data / DDoS / autre]
- Date détection : YYYY-MM-DD HH:MM UTC
- Statut : [en cours / contenu / résolu]
- Périmètre impacté : [infrastructure de production hébergée OVH GRA]
- Services affectés : [plateforme MSSP, audits clients, rapports GRC]

IMPACT ESTIMÉ
- Disponibilité : [aucun / dégradé / interrompu]
- Confidentialité : [aucune / suspectée / confirmée]
- Intégrité : [aucune / suspectée / confirmée]
- Données personnelles potentiellement impactées : [oui / non / inconnu]
- Nombre clients impactés : [N]
- Notification CNIL en cours d'évaluation : [oui / non]

ACTIONS IMMÉDIATES PRISES
- [Isolement infrastructure suspecte]
- [Activation runbook DR n°XX]
- [Préservation forensique snapshot disque]
- [Notification clients programmée à HH:MM UTC]
- [Hotline cyber-assurance contactée]

DEMANDE D'ASSISTANCE CSIRT-FR
- Souhaitons recevoir conseils techniques : [oui / non]
- Souhaitons partage IOCs : [oui]
- Disponibilité pour audioconf coordination : [créneaux proposés]

Nous transmettrons une notification complète sous 72 heures conformément
NIS2 art. 23 §1.

Cordialement,
Nicolas Schiffgens
SnakySec MSSP — https://snakysec.com

5. Template — Notification complète (sous 72h)

Objet : [SnakySec MSSP] Notification incident — YYYY-MM-DD HH:MM UTC — REF [CERT-FR-ref]

Bonjour,

En complément de notre pré-notification du [date], voici la notification
complète conforme NIS2 art. 23 §1.

[Reprendre les sections de §4 avec données affinées]

CAUSE RACINE PROBABLE
[Résultat investigation forensique]

CHRONOLOGIE
- HH:MM (J0)  : Premier événement observé
- HH:MM (J0)  : Détection automatique / signalement client
- HH:MM (J0)  : Triage P1 + activation runbook
- HH:MM (J0)  : Isolation infrastructure
- HH:MM (J0)  : Notification cyber-assurance
- HH:MM (J0)  : Pré-notification CSIRT-FR
- HH:MM (J0)  : Communication clients (round 1)
- HH:MM (J0)  : Notification CNIL (si applicable)
- HH:MM (J+1) : Reconstruction infrastructure démarrée
- HH:MM (J+2) : Restauration données (RPO 24h)
- HH:MM (J+2) : Smoke check OK, remise en service
- HH:MM (J+2) : Communication clients (résolution)

IOCs IDENTIFIÉS
- IPs sources suspectes : [...]
- Hashes fichiers malveillants : [...]
- C2 domains : [...]
- User-agents anormaux : [...]
- Wallets cryptos demandés (si ransomware) : [...]

MESURES CORRECTIVES
- À court terme (J+7) : [...]
- À moyen terme (J+30) : [...]
- À long terme (J+90) : [...]

CLASSIFICATION TLP
- TLP:AMBER (partage CSIRT-FR + assureur uniquement, pas de publication)

DISPONIBILITÉ POUR ENTRETIEN
- Audioconf coordination : créneaux proposés [...]
- Visite locaux (si requis enquête judiciaire) : [...]

6. Suivi post-notification

6.1 Référence dossier CERT-FR

À sa réception de la pré-notification, CERT-FR attribue un identifiant (format CERT-FR-AVI-YYYY-NNNN ou similaire). Conserver cette référence dans tous les échanges suivants + rapport post-incident.

6.2 Rapport intermédiaire (J+30)

Email simple avec :
  • État d’avancement investigation
  • Nouvelles informations IOCs
  • Modifications du périmètre impact (si élargissement détecté)

6.3 Rapport final (J+90)

Document formel ~5-10 pages :
  • Synthèse exécutive
  • Chronologie détaillée
  • Cause racine confirmée
  • Actions correctives mises en œuvre
  • Lessons learned
  • Mises à jour PSSI / threat model
Aussi déposé dans docs/dr/test-results/YYYY-MM-DD-final-report-incident-N.md.

7. Coordination avec autres autorités

AutoritéQuandContact
CNILSi data perso impactéehttps://notifications.cnil.fr/ — sous 72h (cf. 03-cnil-rgpd-notification.md)
ProcureurCybercriminalité majeurePlainte simple ou via PHAROS https://www.internet-signalement.gouv.fr/
Hadopi (rare)Atteinte propriété intellectuelleHors scope V1 SnakySec
OFAC sanctions (rare)Si ransomware demande paiement vers entité sanctionnéeConseil avocat avant tout paiement

8. Erreurs à ne PAS commettre

ErreurConséquence
Notifier après 24h sans justificationSanction NIS2 (mais on n’est pas légalement NIS2 — risque réputationnel)
Sous-évaluer la gravité dans la notifPerte de confiance CERT-FR, support dégradé
Communiquer avec attaquants (négocier rançon) sans CSIRT-FRPerte couverture cyber-assurance, risque légal LOPMI
Publier IOCs / détails sur réseaux sociauxTLP:AMBER violé, perte confiance écosystème CSIRT
Oublier la notif CNIL si data perso impactéeSanction RGPD jusqu’à 4% CA mondial

9. Validation du runbook

Testé annuellement (Q4, exercice complet en mode “blanc”) avec rédaction d’une notif fictive vers une boîte mail de test, sans envoi réel au CERT-FR.
VersionDateAuteur
1.02026-04-26Nicolas Schiffgens