> ## Documentation Index > Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt > Use this file to discover all available pages before exploring further. # Post incident report # Rapport post-incident — \[Titre court] — YYYY-MM-DD > **Note de classification** : TLP:AMBER (partage interne SnakySec + clients > impactés + autorités CSIRT-FR/CNIL si applicable). Ne pas publier > publiquement sans dé-classification explicite. ## 1. Synthèse exécutive \[Paragraphe de 5-10 lignes destiné aux dirigeants client + auditeurs externes : nature de l'incident, impact, durée, données concernées, mesures prises, prochaines étapes. Langage non technique.] ## 2. Identifiants * **Identifiant interne** : INC-YYYY-NNN * **Référence CSIRT-FR** (si applicable) : CERT-FR-AVI-YYYY-NNNN * **Référence CNIL** (si applicable) : \[N° de notification] * **Référence assurance cyber** (si applicable) : \[N° dossier Stoik/Acheel] * **Date détection** : YYYY-MM-DD HH:MM UTC * **Date résolution** : YYYY-MM-DD HH:MM UTC * **Date émission rapport** : YYYY-MM-DD * **Auteur** : Nicolas Schiffgens, dirigeant SnakySec * **Niveau de confiance des conclusions** : \[Élevé / Moyen / Préliminaire] ## 3. Chronologie détaillée | Date / heure UTC | Acteur | Événement | Source / preuve | | ---------------- | ---------------------------------- | ---------------------- | ------------------------ | | YYYY-MM-DD HH:MM | \[SnakySec / attaquant / autorité] | \[Action ou détection] | \[Sentry / log / témoin] | | | | | | **Granularité** : minute par minute pour les 4 premières heures, heure par heure ensuite, jour par jour pour J+2 et après. ## 4. Périmètre de l'incident ### 4.1 Systèmes impactés | Composant | Impact | Durée | Conséquence | | -------------------------------- | --------------------------- | -------- | ----------- | | \[Postgres / Vault / VPS / etc.] | \[HS / dégradé / surveillé] | N heures | \[...] | ### 4.2 Données impactées | Catégorie | Nature | Volume estimé | Statut | | --------------------------- | --------------- | ------------------------------------------- | --------------------------------------------- | | Configurations clients | Confidentialité | N enregistrements | \[Intact / fuite suspectée / fuite confirmée] | | Audits CIS/SCuBA | Intégrité | N audits | \[Intact / corrompu] | | Rapports GRC | Disponibilité | N rapports | \[Disponible / temporairement HS] | | Audit log Ed25519 | Intégrité | N entrées | \[Vérifiée OK / chain rompue à seq XXX] | | Données personnelles (RGPD) | Confidentialité | \[Liste précise par catégorie de personnes] | \[...] | ### 4.3 Clients concernés \[Liste avec niveau d'impact par client. À transmettre uniquement aux clients concernés dans leur copie nominale du rapport, anonymiser dans la version inter-équipe.] ## 5. Cause racine ### 5.1 Vecteur d'entrée \[Description précise — exploit zero-day, compromission credentials, social engineering, bug applicatif, panne fournisseur, etc.] ### 5.2 Vulnérabilité exploitée | Vulnérabilité | CVE | Score CVSS | Statut au moment de l'incident | | -------------- | ----------------- | ---------- | ----------------------------------- | | \[Description] | \[CVE-YYYY-NNNNN] | X.X | \[Patchée / non-patchée / inconnue] | ### 5.3 Conditions de déclenchement \[Pourquoi à ce moment précis, et pas avant / pas après. Ex : "Le bug XYZ a été introduit en commit `abc123` le DD/MM, déclenché lorsqu'un audit contenant un caractère `é` a été importé."] ### 5.4 Pourquoi les contrôles existants n'ont pas détecté \[Auto-critique honnête. Ex : "Sentry n'a pas alerté car le pattern d'erreur ne correspondait à aucun grouper existant. Le test unitaire ne couvrait pas ce cas car nous n'avions jamais reçu d'audit avec accent."] ## 6. Réponse à incident ### 6.1 Détection * **Source** : \[Sentry / monitoring / client / CSIRT-FR / interne] * **Délai détection-déclenchement** : N minutes / heures * **Évaluation critère initial** : \[P1 / P2 / P3] cf. [incident-response/01-detection-triage.md](../incident-response/01-detection-triage.md) ### 6.2 Containment * Heure d'isolation : YYYY-MM-DD HH:MM UTC * Mesures prises : \[stop containers / firewall / révocation tokens / etc.] * Périmètre contenu en N minutes / heures ### 6.3 Eradication * Méthode : \[restore depuis backup intègre / patch / rotation secrets / etc.] * Runbook utilisé : \[chemin docs/dr/runbooks/XX.md] * Durée : N heures ### 6.4 Recovery * RTO réel : N heures (vs RTO cible N heures) * RPO réel mesuré : N minutes (vs RPO cible N minutes) * Validation : smoke-after-restore.sh OK + chain Ed25519 verify OK ### 6.5 Communication | Audience | Délai notification | Méthode | | ---------------------------- | -------------------------- | ----------------------------- | | Clients impactés (préventif) | T+N minutes | Email transactionnel | | CSIRT-FR (pré-notif) | T+N heures | Formulaire CERT-FR | | CNIL (si data perso) | T+72h max | Portail notifications.cnil.fr | | Cyber-assurance | T+N heures | Hotline contractuel | | Clients (résolution) | T+N heures post-resolution | Email | ## 7. Lessons learned (RETEX) ### 7.1 Ce qui a bien fonctionné * \[Point positif 1] * \[Point positif 2] * \[...] ### 7.2 Ce qui a moins bien fonctionné * \[Point négatif 1] * \[Point négatif 2] * \[...] ### 7.3 Surprises \[Découvertes inattendues — bonnes ou mauvaises — pendant l'incident.] ## 8. Mesures correctives ### 8.1 Court terme (J+7) | Action | Owner | Échéance | Statut | | -------------- | ------- | ---------- | ---------------------------- | | \[Description] | Nicolas | YYYY-MM-DD | \[À faire / En cours / Fait] | ### 8.2 Moyen terme (J+30) | Action | Owner | Échéance | Statut | | ------ | ----- | -------- | ------ | | | | | | ### 8.3 Long terme (J+90) | Action | Owner | Échéance | Statut | | ------ | ----- | -------- | ------ | | | | | | ## 9. Mises à jour documentaires * [ ] PSSI / threat model dans [docs/SECURITY.md](../../SECURITY.md) mis à jour * [ ] Runbook DR \[chemin] mis à jour avec leçon apprise * [ ] Tests automatiques ajoutés / modifiés * [ ] Politique de communication client améliorée (si applicable) ## 10. IOCs (Indicators Of Compromise) — TLP:AMBER À partager avec CSIRT-FR + clients impactés uniquement. | Type | Valeur | Confiance | Note | | --------------------------- | -------------------- | --------- | ---------------------------- | | IP source | XXX.XXX.XXX.XXX | Élevée | \[origine attaque] | | Hash SHA256 fichier | abc123... | Élevée | \[malware identifié] | | Domain C2 | malicious-domain.tld | Moyenne | \[observé dans logs Traefik] | | User-Agent anormal | Mozilla/X.X (custom) | Moyenne | \[dans logs] | | Email / wallet (ransomware) | \[...] | Élevée | \[demande de rançon] | ## 11. Annexes ### 11.1 Logs bruts * \[Lien commit Git ou chemin fichier] ### 11.2 Captures d'écran * \[Lien] ### 11.3 Communications * Pré-notif CSIRT-FR : \[chemin] * Notif CNIL : \[chemin] * Email clients : \[chemin] ### 11.4 Procès-verbal interne * Décision activation runbook : \[horodatage + signature Git commit] * Décision communication : \[horodatage] ## 12. Signatures | Rôle | Nom | Date | Validation | | ------------------------------- | ------------------ | ---------- | ---------------- | | DR Owner | Nicolas Schiffgens | YYYY-MM-DD | Git commit signé | | Mandataire SASU (si activé) | | | | | DPO externalisé (si applicable) | | | | *** **Diffusion** : * Version complète (TLP:AMBER) : Nicolas + clients impactés + CSIRT-FR + cyber-assureur * Version anonymisée publique (TLP:WHITE) : possible Phase 2 pour transparence statut.snakysec.com