> ## Documentation Index > Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt > Use this file to discover all available pages before exploring further. # 04 client communication # Incident Response 04 — Communication client ## 1. Principes * **Transparence** : pas de minimisation, pas de langue de bois * **Rapidité** : préventif sous 4h, complet sous 24-72h * **Précision** : faits, dates, périmètre exact * **Bilingue** : FR + EN pour les clients européens (rédaction principale FR, traduction EN sous 4h pour anglophones) * **Single source** : un canal officiel (email transactionnel) + pas de réseau sociaux pendant l'incident * **No spec** : pas d'annonce de cause racine avant investigation complète ## 2. Délais cibles | Communication | Délai max | Audience | | ----------------------------------------------------- | -------------------------- | ---------------------------- | | Préventive (incident détecté, investigation en cours) | 4h | Tous clients actifs | | État (avancement) | 24h | Clients impactés directement | | Résolution | 4h après remise en service | Tous clients actifs | | Post-incident report formel | 7 jours | Clients impactés directement | | Suivi (corrections long terme) | 30 jours | Clients impactés directement | ## 3. Templates ### 3.1 Préventif — version courte (sous 4h) ``` Objet : SnakySec — Incident technique en cours, équipe mobilisée [FR] Un incident technique impactant la plateforme SnakySec a été détecté le YYYY-MM-DD à HH:MM UTC. Notre équipe est mobilisée pour investiguer et résoudre rapidement. Impact potentiel : [accès portail / livraison rapports / audits planifiés] Durée estimée : [N heures] Données : aucune perte significative attendue Nous vous tiendrons informé dans les prochaines 24 heures. Pour toute question urgente : contact@snakysec.com. [EN] A technical incident affecting the SnakySec platform was detected on YYYY-MM-DD at HH:MM UTC. Our team is investigating and working on a fix. Potential impact: [portal access / report delivery / scheduled audits] Estimated duration: [N hours] Data: no significant loss expected We will keep you informed within the next 24 hours. For urgent matters: contact@snakysec.com. Cordialement / Best regards, SnakySec ``` ### 3.2 État (J0 ou J+1) ``` Objet : SnakySec — Suivi incident YYYY-MM-DD — État [N°] [FR] Suivi de notre notification précédente du [date] : État actuel : [investigation / restauration / validation] Avancement : [X% complete, étape Y/Z] Reprise prévisionnelle : [date HH:MM UTC] Concernant vos données spécifiquement : - [Précisions selon le client] Si vous identifiez une anomalie sur votre côté, contactez-nous immédiatement : contact@snakysec.com. [EN] [traduction] Cordialement / Best regards, SnakySec ``` ### 3.3 Résolution (sous 4h après reprise) ``` Objet : SnakySec — Incident résolu, plateforme à nouveau disponible [FR] L'incident technique signalé le [date] est résolu. La plateforme est à nouveau pleinement opérationnelle depuis HH:MM UTC. Synthèse : - Type : [bref descriptif neutre] - Durée d'indisponibilité : [N heures] - Données impactées : [aucune perte / liste précise] - Cause probable : [haut niveau, sans détail technique] Vos audits, rapports et configurations ont été restaurés dans leur état au plus proche du moment précédant l'incident (RPO réel constaté : N min). Un rapport post-incident détaillé vous sera transmis sous 7 jours. Si vous avez des obligations propres NIS2/RGPD à satisfaire suite à cet incident, ce rapport contiendra les éléments nécessaires. Pour toute question : contact@snakysec.com [EN] [traduction] Cordialement / Best regards, SnakySec ``` ### 3.4 Post-incident report formel (sous 7 jours) Document PDF (\~5-10 pages) attaché à un email : ``` Objet : SnakySec — Rapport post-incident YYYY-MM-DD (REF [CERT-FR-ref]) [FR] Veuillez trouver en pièce jointe le rapport post-incident détaillé concernant l'événement du [date]. Ce rapport est conforme au format ANSSI / CERT-FR et contient les éléments nécessaires si vous devez vous-même notifier votre propre autorité de contrôle (CNIL si data perso impactée, ANSSI si NIS2 essentielle). Sections couvertes : - Synthèse exécutive - Chronologie minute par minute (4 premières heures) - Cause racine - Données impactées (scope précis vous concernant) - Mesures correctives mises en œuvre - Plan de durcissement (J+30, J+90) - Annexes : IOCs, références CSIRT-FR Disponibilité pour appel de coordination : [créneaux proposés] [EN] [traduction] Cordialement / Best regards, Nicolas Schiffgens SnakySec ``` ### 3.5 Communication aux personnes (RGPD art. 34 si risque élevé) Cf. [03-cnil-rgpd-notification.md](./03-cnil-rgpd-notification.md) §6. ## 4. Canaux interdits pendant un incident | Canal | Raison interdiction | | ------------------------------ | ---------------------------------------------------------------------------------- | | Twitter / X | Conversation publique non maîtrisée, IOCs peuvent fuiter, panique disproportionnée | | LinkedIn (postes publics) | Idem, image dégradée | | Forum / Reddit | Idem | | Slack public ou Discord | Données potentiellement archivées par tiers | | Stack Overflow / GitHub issues | Détails techniques exposés | **Canal autorisé** : email transactionnel direct uniquement. **Exception** : page status.snakysec.com (Phase 2) en lecture seule, mise à jour manuelle par Nicolas. ## 5. Liste des clients à informer À chaque incident, la liste est extraite via : ```bash theme={null} docker exec mssp-postgres psql -U mssp -d mssp_platform -t -c \ "SELECT u.email, c.name AS client \ FROM users u JOIN client_user_access cua ON cua.\"userId\" = u.id \ JOIN clients c ON c.id = cua.\"clientId\" \ WHERE u.\"isActive\" = true AND c.\"isActive\" = true \ ORDER BY c.name, u.email;" ``` Email inclut : * Tous les `MSSP_ADMIN` SnakySec internes (pour info) * Tous les contacts client actifs (pour action) ## 6. Checklist communication par phase ### 6.1 Préventif (T+0 → T+4h) * [ ] Nicolas a confirmé la nature P1 de l'incident * [ ] CSIRT-FR pré-notifié (si scénario compromise) * [ ] Cyber-assurance hotline contactée (si scénario compromise) * [ ] Email préventif rédigé FR + EN * [ ] Liste destinataires extraite * [ ] Email envoyé ### 6.2 État (T+24h) * [ ] Avancement vérifié et chiffré * [ ] Email état rédigé FR + EN * [ ] Email envoyé aux clients impactés directement ### 6.3 Résolution (T+4h après reprise) * [ ] Smoke check post-restore OK * [ ] Cause racine au moins partiellement identifiée * [ ] Email résolution rédigé FR + EN * [ ] Email envoyé à tous ### 6.4 Post-incident report (J+7) * [ ] Investigation forensique complétée * [ ] Rapport rédigé (template `docs/dr/templates/post-incident-report.md`) * [ ] Relecture (auto-review au minimum, expert externe si scenario complexe) * [ ] PDF généré avec signature Ed25519 (réutilise infra plateforme) * [ ] Email + PDF envoyés aux clients impactés ### 6.5 Suivi long terme (J+30, J+90) * [ ] Mesures correctives J+30 livrées * [ ] Email progress rédigé * [ ] Mesures correctives J+90 livrées (RETEX) * [ ] Email final envoyé * [ ] Rapport final CSIRT-FR transmis (si applicable) ## 7. Métriques | Métrique | Cible | Mesure | | -------------------------------------------------------- | ----- | ---------------------- | | Délai détection → première communication | \<4h | Audit log timestamp | | Délai reprise → communication résolution | \<4h | Idem | | Taux d'erreur dans les communications (factuelle, dates) | 0% | Auto-review post-envoi | | Taux de réponse client négative (plainte, churn signalé) | \<5% | Tracking commercial | ## 8. Validation du runbook Testé annuellement (Q4, exercice complet) avec rédaction réelle des templates pour un scénario simulé. Envoi sur boîtes mail de test, **pas sur clients réels**. | Version | Date | Auteur | | ------- | ---------- | ------------------ | | 1.0 | 2026-04-26 | Nicolas Schiffgens |