Gestion d'incidents N2 — Analyse de logs, réponse incident, documentation
Analyser des logs système et réseau pour qualifier un incident N2, produire des preuves, proposer une réponse (containment + remédiation) et documenter pour l'escalade.
Le contexte
OceanBio (Le Port, 45 salariés, analyses biologiques marines) a son portail web interne — celui où les techniciens de labo consultent les résultats d’analyses — qui se met à dérailler depuis 48 h : tentatives de connexion en pagaille la nuit, accès à des pages inhabituelles, et un compte administrateur qui se connecte depuis une IP qu’on ne connaît pas. Le ticket a été ouvert par le N1 chez SecuRun 974 (PME de cybersécurité à Saint-Pierre, 18 salariés, infogérante d’OceanBio), mais le N1 a séché.
La mission, en tant que technicien N2 chez SecuRun 974 : reprendre le ticket, plonger dans les logs (auth.log, access.log, pare-feu), qualifier l’incident avec la matrice P1-P4, contenir la menace (désactivation compte, blocage IP, isolation), remédier (correctif, renforcement) et rédiger un rapport d’incident signable + un REX exploitable par l’équipe.
Problématique : comment analyser un incident de niveau N2 — exploiter les logs, produire des preuves, proposer une réponse (containment + remédiation) et documenter pour l’escalade et le retour d’expérience ?
Livrable observable — Chronologie d’incident horodatée, tickets GLPI mis à jour, actions de containment et remédiation documentées, rapport d’incident type REX (2-3 pages) avec recommandations de prévention.
Le plan séance par séance
| Séance | Durée | Type | Objectif |
|---|---|---|---|
| S1 | 3 h | TP guidé | Analyse des logs OceanBio (auth.log, access.log, pare-feu) pour identifier et qualifier l’incident |
| S2 | 1 h | Cours | Procédure N2 : qualification, containment, escalade, matrice de criticité P1-P4 |
| S3 | 3 h | TP semi-guidé | Réponse incident : containment, remédiation, documentation GLPI, rédaction du REX |
| S4 | 1 h | Cours | Communication d’escalade, structure d’un rapport d’incident professionnel |
| S5 | 2 h | Évaluation | Sommatif : incident fictif complet à traiter de A à Z |
Outils utilisés : journalctl, grep, awk, ss, netstat, systemctl, Event Viewer Windows, GLPI.
Ratio pratique / théorie : ~80 % / 20 %. On lit des logs réels, on prend des décisions, on documente comme en prod.
Ce que les élèves repartent capables de faire
- Lire et analyser des logs système Linux et Windows (
auth.log,syslog,access.log, pare-feu, Event Viewer) - Extraire les événements pertinents avec
journalctl,grep,awket reconstituer une chronologie - Qualifier un incident N2 (criticité, type, périmètre) avec la matrice P1-P4
- Appliquer une procédure de containment : isolation, blocage IP, désactivation de compte, sauvegarde de preuves
- Proposer et documenter une remédiation adaptée (correctif, durcissement, MFA)
- Rédiger un rapport d’incident structuré (résumé, chronologie, causes probables, actions, recommandations)
- Mettre à jour un ticket GLPI proprement : passage N1→N2, historique des actions, clôture documentée
Pour aller plus loin
Trois annexes prêtes à l’emploi servent de fil rouge à toute la séquence : le schéma réseau OceanBio (toutes les VMs, services, zones), le ticket GLPI initial transmis par le N1, et le modèle de rapport d’incident N2 structuré façon REX. Les élèves naviguent avec, surlignent dedans, les complètent au fur et à mesure.
C’est la dernière séquence du bloc cybersécurité de Terminale (bloc K) : elle suppose que la sécurisation réseau (TC_CYB_01), les bonnes pratiques ANSSI et la gestion d’incidents N1 sont déjà acquises. Pour les élèves qui auraient besoin d’un rappel, le cours 1 commence par un retour express sur le workflow N1 et la matrice de criticité.
L’évaluation sommative sur 2 h reproduit fidèlement la situation TP1+TP2 mais avec un nouveau client fictif et un nouvel incident — un parfait test de transfert.
Documents inclus dans le ZIP
Tous les documents élève prêts à imprimer ou projeter.
Compétences du référentiel visées
Codes du référentiel Bac Pro CIEL.