Partie 15 — Détection & réponse à incident
⏱️ TL;DR — On ne peut pas tout empêcher : il faut aussi voir ce qui se passe et savoir réagir. Le Top 10 OWASP inclut d’ailleurs les défaillances de journalisation et de supervision — car une attaque non détectée est une attaque qui réussit tranquillement. Trois volets. Journaliser la sécurité : tracer les événements utiles (connexions, échecs, accès refusés, actions sensibles) sans y fuiter de secrets ni de PII (rappel Partie 13). Détecter & alerter : transformer les logs en signaux (pics d’échecs, comportements anormaux) et être prévenu à temps. Répondre à un incident : un plan clair — préparer, détecter, contenir, éradiquer, rétablir, apprendre — jusqu’à la notification de violation de données (RGPD, 72 h), un pont direct avec le cours RGPD.
Le problème qu’on résout
Toutes les défenses des parties précédentes réduisent le risque, mais aucune ne le supprime. Un jour, quelque chose passera : une faille inconnue, une dépendance vérolée, un identifiant volé. Deux questions décident alors de la gravité : le verra-t-on ? et saura-t-on quoi faire ?. Trop d’organisations découvrent une intrusion des mois après, par un tiers — parce qu’elles ne journalisaient pas les bons événements, ne surveillaient rien, et n’avaient aucun plan. Le temps de détection et la qualité de la réponse font toute la différence entre un incident maîtrisé et une catastrophe.
Cette partie ferme la boucle : après prévenir (Parties 1-14), on apprend à détecter et à répondre — y compris les obligations légales quand des données personnelles sont touchées.
Ce que tu sauras faire à la fin de cette partie
- Journaliser les événements de sécurité utiles, sans fuiter de secrets ni de PII.
- Transformer les logs en détection : signaux, corrélation, seuils, anomalies.
- Mettre en place l’alerting pour être prévenu à temps (et éviter la fatigue d’alerte).
- Dérouler un plan de réponse à incident (préparer → contenir → éradiquer → rétablir → apprendre).
- Gérer la notification d’une violation de données (lien RGPD : 72 h, personnes concernées).
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 15.1 | Logger la sécurité (sans fuite) | Quels événements tracer, et comment ne pas fuiter secrets/PII. |
| 15.2 | Détection, monitoring & alerting | Des logs aux signaux ; surveiller, corréler, alerter à temps. |
| 15.3 | Réponse à incident & notification | Le plan (contenir, éradiquer…), post-mortem, violation RGPD. |
Après la détection et la réponse, on capitalise tout le cours en outils réutilisables : la Partie 16 — Cookbook & Annexes.
On commence par la matière première de la détection : Logger la sécurité (sans fuite).