Vous êtes sur la page 1sur 3

Le rapport d’incident doit contenir les informations essentielles permettant d’identifier la nature de

l’incident, de le situer dans le temps et de le localiser. Il doit aussi identifier clairement les
composantes matérielles, logicielles et les personnes touchées par l’incident, et tous les indices qui
permettent de déterminer que l’évènement est bel et bien un incident de cybersécurité.

Il comprend les sections suivantes:

 Résumé : En une phrase, décrire l’essentiel de l’incident

 Détails : Les informations sur les personnes et les systèmes affectés (adresse MAC, adresse
IP, nom d’hôte, nom d’utilisateur)

 Chronologie : Une description de la séquence des évènements constituant l’incident

 Indicateurs de compromission : Tout ce qui peut indiquer qu’on a bien affaire à un incident
de cybersécurité. Parmi ceux-ci:
◦ Identification des menaces : rôles, adresses IP, urls, protocoles de chacune des menaces
répertoriées
◦ Fichiers: nom, taille, description et hachage de chacun des fichiers impliqués dans
l’incident
◦ Captures d’écran
EXEMPLE DE RAPPORT D’INCIDENT

No. de référence: 2017-2331

Résumé

À 10h31 le 2017-05-16, le PC de Martin Leblanc a été victime du rançongiciel WannaCry.

Détails

MAC: 00 :08 :02 :1c :47 :ae
IP: 192.168.200.8
Hôte: Desktop-JH1UZAE
Utilisateur: craig.alda/QUITHUB.Net

Indicateurs de compromission

Menaces

IP: 29.32.108.99
Rôle: Distribution du fichier XLSX (Serveur SMTP)
IP: 201.34.209.144
Rôle: Téléchargement du ransomware (Serveur HTTP)
URL: supplierstradein.com:8044/wp-uploads/2VjcTRwb3Y4dTM0cHZu/ldrt.php?
file=288293

Fichiers

Nom: Winnit.exe
Taille: 3.9Mb
Description: Exécutable Windows
SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

Nom: Rcpt-488544.xlsx
Taille: 1.2Mb
Description: Fichier XLS
SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

Nom: 20-3994f1.eml
Taille: 467 bytes
Description: Courrier électronique

Évènements

Le 16 mai 2017 à 10:07 Martin Leblanc a reçu un courriel (20-3994f1.eml) contenant un fichier
Excel en pièce jointe (Rcpt-488544.xlsx).
À 10:28 il a ouvert le courriel et téléchargé la pièce jointe, puis ouvert le fichier Excel.
Lors de l’ouverture du fichier une macro s’est exécutée et a démarré le téléchargement d’un
exécutable correspondant au rançongiciel WannaCry (lhdfrgui.exe). La macro a ensuite lancé
l’exécution du programme qui a redémarré le PC puis lancé le processus de chiffrement du disque
C:.

Vous aimerez peut-être aussi