> ## Documentation Index
> Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 02 csirt fr notification

# Incident Response 02 — Notification CSIRT-FR (sous 24h)

## 1. Quand notifier

| Type d'incident                                                   | Notif CSIRT-FR ?                             |
| ----------------------------------------------------------------- | -------------------------------------------- |
| Compromission confirmée (intrusion, ransomware, exfil de données) | **OBLIGATOIRE** sous 24h                     |
| Suspicion forte de compromission                                  | **OBLIGATOIRE** sous 24h (early warning)     |
| Indisponibilité significative (>4h) sur prestation MSSP           | **RECOMMANDÉ** (early warning, transparence) |
| Détection de malware sur infrastructure                           | **OBLIGATOIRE** sous 24h                     |
| Attaque DDoS impactant clients                                    | **RECOMMANDÉ**                               |
| Bug applicatif sans compromission                                 | NON                                          |
| Incident résolu en \<2h sans impact data                          | NON (mention dans retro mensuelle)           |

**Note juridique** : SnakySec n'est pas légalement NIS2 (sous seuils), mais
la posture commerciale "NIS2-ready par cascade" implique de notifier dès que
des clients NIS2 pourraient être impactés. Conservatisme préféré.

## 2. Contacts

| Canal                      | Coordonnées                                                                             | Quand utiliser                    |
| -------------------------- | --------------------------------------------------------------------------------------- | --------------------------------- |
| **Formulaire web CERT-FR** | [https://www.cert.ssi.gouv.fr/](https://www.cert.ssi.gouv.fr/) → "Signaler un incident" | Voie nominale                     |
| **Email csirt-fr**         | [csirt@cert.ssi.gouv.fr](mailto:csirt@cert.ssi.gouv.fr)                                 | Backup si formulaire HS, ou suivi |
| **Téléphone CSIRT-FR**     | 01 71 75 84 50                                                                          | Urgence majeure (rare)            |
| **PGP key**                | [https://www.cert.ssi.gouv.fr/pgp/](https://www.cert.ssi.gouv.fr/pgp/)                  | Données sensibles dans la notif   |

## 3. Délais (alignés NIS2 art. 23)

| Étape                                | Délai max | Contenu                                   |
| ------------------------------------ | --------- | ----------------------------------------- |
| **Pré-notification** (early warning) | 24h       | Existence + nature suspecte de l'incident |
| **Notification** (full report)       | 72h       | Sévérité, impact estimé, IOCs, mesures    |
| **Rapport intermédiaire**            | 1 mois    | État avancement investigation             |
| **Rapport final**                    | 3 mois    | Cause racine, actions correctives, RETEX  |

V1 SnakySec : on respecte les délais NIS2 même si non légalement applicable.

## 4. Template — Pré-notification (sous 24h)

À envoyer via formulaire CERT-FR ou email :

```
Objet : [SnakySec MSSP] Pré-notification incident — YYYY-MM-DD HH:MM UTC

Bonjour,

Conformément à notre démarche de transparence en tant que MSSP servant des
clients potentiellement assujettis à NIS2, nous procédons à la pré-notification
suivante :

ENTITÉ NOTIFIANTE
- Raison sociale : [SnakySec SAS / SASU]
- SIREN : [XXX XXX XXX]
- Statut NIS2 : non-essentielle (sous seuils), notification volontaire (cascade)
- Représentant : Nicolas Schiffgens, dirigeant
- Email contact : nicolas@snakysec.com (PGP disponible sur demande)
- Téléphone : [+33 X XX XX XX XX]

NATURE DE L'INCIDENT
- Type : [ransomware / accès non autorisé / breach data / DDoS / autre]
- Date détection : YYYY-MM-DD HH:MM UTC
- Statut : [en cours / contenu / résolu]
- Périmètre impacté : [infrastructure de production hébergée OVH GRA]
- Services affectés : [plateforme MSSP, audits clients, rapports GRC]

IMPACT ESTIMÉ
- Disponibilité : [aucun / dégradé / interrompu]
- Confidentialité : [aucune / suspectée / confirmée]
- Intégrité : [aucune / suspectée / confirmée]
- Données personnelles potentiellement impactées : [oui / non / inconnu]
- Nombre clients impactés : [N]
- Notification CNIL en cours d'évaluation : [oui / non]

ACTIONS IMMÉDIATES PRISES
- [Isolement infrastructure suspecte]
- [Activation runbook DR n°XX]
- [Préservation forensique snapshot disque]
- [Notification clients programmée à HH:MM UTC]
- [Hotline cyber-assurance contactée]

DEMANDE D'ASSISTANCE CSIRT-FR
- Souhaitons recevoir conseils techniques : [oui / non]
- Souhaitons partage IOCs : [oui]
- Disponibilité pour audioconf coordination : [créneaux proposés]

Nous transmettrons une notification complète sous 72 heures conformément
NIS2 art. 23 §1.

Cordialement,
Nicolas Schiffgens
SnakySec MSSP — https://snakysec.com
```

## 5. Template — Notification complète (sous 72h)

```
Objet : [SnakySec MSSP] Notification incident — YYYY-MM-DD HH:MM UTC — REF [CERT-FR-ref]

Bonjour,

En complément de notre pré-notification du [date], voici la notification
complète conforme NIS2 art. 23 §1.

[Reprendre les sections de §4 avec données affinées]

CAUSE RACINE PROBABLE
[Résultat investigation forensique]

CHRONOLOGIE
- HH:MM (J0)  : Premier événement observé
- HH:MM (J0)  : Détection automatique / signalement client
- HH:MM (J0)  : Triage P1 + activation runbook
- HH:MM (J0)  : Isolation infrastructure
- HH:MM (J0)  : Notification cyber-assurance
- HH:MM (J0)  : Pré-notification CSIRT-FR
- HH:MM (J0)  : Communication clients (round 1)
- HH:MM (J0)  : Notification CNIL (si applicable)
- HH:MM (J+1) : Reconstruction infrastructure démarrée
- HH:MM (J+2) : Restauration données (RPO 24h)
- HH:MM (J+2) : Smoke check OK, remise en service
- HH:MM (J+2) : Communication clients (résolution)

IOCs IDENTIFIÉS
- IPs sources suspectes : [...]
- Hashes fichiers malveillants : [...]
- C2 domains : [...]
- User-agents anormaux : [...]
- Wallets cryptos demandés (si ransomware) : [...]

MESURES CORRECTIVES
- À court terme (J+7) : [...]
- À moyen terme (J+30) : [...]
- À long terme (J+90) : [...]

CLASSIFICATION TLP
- TLP:AMBER (partage CSIRT-FR + assureur uniquement, pas de publication)

DISPONIBILITÉ POUR ENTRETIEN
- Audioconf coordination : créneaux proposés [...]
- Visite locaux (si requis enquête judiciaire) : [...]
```

## 6. Suivi post-notification

### 6.1 Référence dossier CERT-FR

À sa réception de la pré-notification, CERT-FR attribue un identifiant
(format `CERT-FR-AVI-YYYY-NNNN` ou similaire). Conserver cette référence
dans tous les échanges suivants + rapport post-incident.

### 6.2 Rapport intermédiaire (J+30)

Email simple avec :

* État d'avancement investigation
* Nouvelles informations IOCs
* Modifications du périmètre impact (si élargissement détecté)

### 6.3 Rapport final (J+90)

Document formel \~5-10 pages :

* Synthèse exécutive
* Chronologie détaillée
* Cause racine confirmée
* Actions correctives mises en œuvre
* Lessons learned
* Mises à jour PSSI / threat model

Aussi déposé dans `docs/dr/test-results/YYYY-MM-DD-final-report-incident-N.md`.

## 7. Coordination avec autres autorités

| Autorité                  | Quand                                                  | Contact                                                                                                                                          |
| ------------------------- | ------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------ |
| **CNIL**                  | Si data perso impactée                                 | [https://notifications.cnil.fr/](https://notifications.cnil.fr/) — sous 72h (cf. [03-cnil-rgpd-notification.md](./03-cnil-rgpd-notification.md)) |
| **Procureur**             | Cybercriminalité majeure                               | Plainte simple ou via PHAROS [https://www.internet-signalement.gouv.fr/](https://www.internet-signalement.gouv.fr/)                              |
| **Hadopi** (rare)         | Atteinte propriété intellectuelle                      | Hors scope V1 SnakySec                                                                                                                           |
| **OFAC sanctions** (rare) | Si ransomware demande paiement vers entité sanctionnée | Conseil avocat avant tout paiement                                                                                                               |

## 8. Erreurs à ne PAS commettre

| Erreur                                                      | Conséquence                                                              |
| ----------------------------------------------------------- | ------------------------------------------------------------------------ |
| Notifier après 24h sans justification                       | Sanction NIS2 (mais on n'est pas légalement NIS2 — risque réputationnel) |
| Sous-évaluer la gravité dans la notif                       | Perte de confiance CERT-FR, support dégradé                              |
| Communiquer avec attaquants (négocier rançon) sans CSIRT-FR | Perte couverture cyber-assurance, risque légal LOPMI                     |
| Publier IOCs / détails sur réseaux sociaux                  | TLP:AMBER violé, perte confiance écosystème CSIRT                        |
| Oublier la notif CNIL si data perso impactée                | Sanction RGPD jusqu'à 4% CA mondial                                      |

## 9. Validation du runbook

Testé annuellement (Q4, exercice complet en mode "blanc") avec rédaction
d'une notif fictive vers une boîte mail de test, **sans envoi réel** au CERT-FR.

| Version | Date       | Auteur             |
| ------- | ---------- | ------------------ |
| 1.0     | 2026-04-26 | Nicolas Schiffgens |