Modules – Gestion des incidents de sécurité (INC) 

Le thème “Gestion des incidents de sécurité (INC)” couvre la réaction pragmatique d’une PME face à une situation suspecte ou avérée touchant la cybersécurité, les données, l’information, les accès, les appareils ou la confidentialité. 

Fondamentaux


Gestion des incidents de sécurité – fondamentaux (PME) 

Comprendre ce qu’est un incident de sécurité en PME : cyber, données, information, accès, appareil ou confidentialité. Distinguer ces incidents des problèmes opérationnels classiques. Introduire les principes simples : signaler vite, limiter l’impact, garder les éléments utiles, communiquer correctement. 

MODCODE: MODSECINC001 

Durée indicative : 1 heure

Pré-requis : Aucun

À l’issue du module, le participant est capable de : 

  • Expliquer ce qu’est un incident de sécurité en PME. 
  • Distinguer incident de sécurité, incident opérationnel, doute, erreur, problème, risque et urgence. 
  • Identifier les situations qui relèvent du thème INC : cyber, données, information, accès, appareil, confidentialité. 
  • Reconnaître les situations qui relèvent plutôt de la qualité, du service client, de la logistique, de la production ou des processus. 
  • Appliquer les principes de base : signaler vite, limiter l’impact, garder les éléments utiles, communiquer factuellement. 
  • Respecter les frontières du module : pas de traitement juridique, forensic, technique avancé, qualité opérationnelle ou gestion complète de crise. 

Détecter et reconnaître un incident de sécurité — signaux d’alerte 

Reconnaître les signaux simples pouvant indiquer un incident de sécurité : messages suspects, comportements anormaux, erreurs d’accès, fuite potentielle ou exposition d’information. Distinguer situation normale, doute, incident probable et urgence réelle, sans diagnostic technique. 

MODCODE: MODSECINC002 

Durée indicative : 1,5 heures

Pré-requis : MODSECINC001 

À l’issue du module, le participant est capable de : 

  • Identifier des signaux simples pouvant indiquer un incident de sécurité. 
  • Distinguer une situation normale, un doute, un incident probable et une urgence réelle. 
  • Reconnaître des signaux liés aux messages suspects, accès anormaux, fichiers, appareils, données ou informations exposées. 
  • Qualifier suffisamment une situation pour savoir s’il faut alerter, sans poser de diagnostic technique. 
  • Appliquer le réflexe : mieux vaut signaler un doute tôt que cacher une erreur. 
  • Respecter les frontières du module : pas de phishing complet, pas de chaîne d’alerte détaillée, pas de premières actions techniques, pas de forensic. 

Chaîne d’alerte — qui contacter et comment signaler 

Définir une chaîne d’alerte simple et maintenable en PME : qui contacter, dans quel ordre, par quel canal et avec quelles informations minimales. Savoir signaler un doute ou incident sans attendre un diagnostic complet, sans prévenir trop largement et sans aggraver la situation. 

MODCODE: MODSECINC003

Durée indicative : 1,5 heures

Pré-requis : MODSECINC001 + MODSECINC002 

À l’issue du module, le participant est capable de : 

  • Expliquer l’utilité d’une chaîne d’alerte simple en cas d’incident de sécurité. 
  • Identifier qui contacter selon le contexte PME : responsable, référent, IT, direction, support externe ou autre point de contact désigné. 
  • Distinguer alerte ciblée, communication large, escalade et demande d’aide. 
  • Rédiger un message d’alerte court avec les informations minimales utiles. 
  • Appliquer une règle simple : alerter tôt, même si le diagnostic n’est pas complet. 
  • Éviter les erreurs fréquentes : attendre trop longtemps, prévenir trop de monde, effacer des éléments, minimiser ou improviser. 


Mise en œuvre


Premières actions — contenir l’incident sans aggraver 

Appliquer les premiers gestes sûrs lorsqu’un incident de sécurité est suspecté ou confirmé : limiter l’impact, arrêter une action risquée, éviter la diffusion, demander aide et ne pas détruire d’éléments utiles. Rester simple, PME, non technique et sans forensic. 

MODCODE: MODSECINC004  

Durée indicative : 1,5 heures

Pré-requis : MODSECINC001 + MODSECINC002 + MODSECINC003 

À l’issue du module, le participant est capable de : 

  • Expliquer pourquoi les premières actions peuvent limiter l’impact ou, au contraire, aggraver la situation. 
  • Identifier les gestes simples qui peuvent aider : arrêter une action risquée, isoler prudemment, éviter de diffuser, demander aide. 
  • Distinguer action immédiate, signalement, conservation d’éléments utiles, communication et décision management. 
  • Appliquer une checklist courte “à faire / à éviter” selon des scénarios PME. 
  • Reconnaître les actions à ne pas faire sans instruction : supprimer, redémarrer, répondre à l’attaquant, transférer largement, cacher. 
  • Respecter les frontières du module : pas de forensic, pas de procédure technique avancée, pas de communication détaillée, pas de preuve détaillée. 

Preuves minimales utiles — quoi conserver (PME) 

Comprendre quoi conserver lors d’un incident de sécurité en PME : captures, emails, messages, horodatage, personnes informées, actions effectuées et contexte visible. Garder juste assez de traces utiles pour comprendre, décider, corriger, communiquer et éventuellement transmettre à un expert, sans forensic ni procédure juridique. 

MODCODE: MODSECINC005  

Durée indicative : 1,5 heures

Pré-requis : MODSECINC001 + MODSECINC002 + MODSECINC003 + MODSECINC004  

À l’issue du module, le participant est capable de : 

  • Expliquer pourquoi conserver des éléments utiles aide à comprendre, décider, corriger, communiquer et transmettre à un expert si nécessaire. 
  • Identifier les traces minimales utiles : captures, emails, messages, dates/heures, personnes informées, actions effectuées et contexte visible. 
  • Distinguer conservation minimale utile, documentation excessive, investigation technique et preuve juridique. 
  • Appliquer un canevas simple de journal incident PME. 
  • Éviter les mauvais réflexes : modifier les fichiers, supprimer les messages, nettoyer trop vite, documenter de manière excessive ou mener une enquête personnelle. 
  • Respecter les frontières du module : non forensic, non juridique, non technique avancé, non outil-dépendant. 

Communication en incident — interne, externe, clients 

Communiquer de manière maîtrisée pendant un incident de sécurité : qui informe qui, quoi dire, quoi éviter, à quelle fréquence et avec quel ton. Construire des messages courts, factuels et proportionnés pour les publics internes, management, clients, partenaires ou support externe, sans communication de crise lourde ni conseil juridique. 

MODCODE: MODSECINC006  

Durée indicative : 1,5 heures

Pré-requis : MODSECINC001 + MODSECINC002 + MODSECINC003 + MODSECINC004 + MODSECINC005 

À l’issue du module, le participant est capable de : 

  • Expliquer la différence entre signalement interne rapide et communication incident maîtrisée. 
  • Identifier les publics possibles : interne, management, client, partenaire, support externe ou prestataire. 
  • Distinguer les faits connus, les incertitudes, les actions en cours, le prochain point et le contact utile. 
  • Rédiger un message incident court, factuel, proportionné et non alarmiste. 
  • Éviter les erreurs fréquentes : accusations, suppositions, détails techniques inutiles, minimisation, panique ou diffusion trop large. 
  • Respecter les frontières du module : non juridique, non réglementaire, non communication de crise corporate, non forensic. 

Runbook incident “light” — modèle PME 

Structurer un runbook incident simple, court, utilisable sous stress et maintenable en PME. Regrouper les étapes essentielles : reconnaître, alerter, limiter l’impact, conserver les éléments utiles, communiquer, escalader, décider et clôturer, sans procédure enterprise complexe ni outil imposé. 

MODCODE: MODSECINC007  

Durée indicative : 2 heures

Pré-requis : MODSECINC001 + MODSECINC002 + MODSECINC003 + MODSECINC004 + MODSECINC005 + MODSECINC006  

À l’issue du module, le participant est capable de : 

  • Expliquer le rôle d’un runbook incident light dans une PME. 
  • Identifier les éléments essentiels à préparer avant incident : rôles, contacts, étapes, checklists, messages, escalade et clôture. 
  • Distinguer un runbook light d’une procédure enterprise complexe, d’un plan de continuité, d’un guide juridique ou d’un playbook technique. 
  • Construire une version “1 page” ou checklist essentielle d’un runbook incident PME. 
  • Intégrer les briques issues de MODSECINC001 à MODSECINC006 : vocabulaire, signaux, alerte, premiers gestes, preuves minimales et communication. 
  • Prévoir la testabilité et la mise à jour du runbook via MODSECINC008 et MODSECINC009. 


Approfondissement


Exercice de simulation tabletop — tester sans stress 

Tester le dispositif incident en PME par une simulation tabletop : discussion structurée autour d’un scénario simple, sans interruption réelle de l’activité. Vérifier chaîne d’alerte, rôles, décisions, premières actions, preuves, communication et escalade, dans une logique d’apprentissage collectif et d’amélioration. 

MODCODE: MODSECINC008  

Durée indicative : 2 heures

Pré-requis : MODSECINC007 

À l’issue du module, le participant est capable de : 

  • Expliquer ce qu’est une simulation tabletop et pourquoi elle est utile en PME. 
  • Distinguer simulation tabletop, test technique, audit, exercice surprise et interruption réelle d’activité. 
  • Tester les éléments clés du dispositif incident : chaîne d’alerte, rôles, décisions, premières actions, preuves, communication et escalade. 
  • Participer à une simulation simple, non stressante et centrée sur l’apprentissage collectif. 
  • Identifier les points forts, points flous et actions d’amélioration. 
  • Préparer les enseignements qui alimenteront le REX et les actions correctives dans MODSECINC009. 


Optimisation


Après incident — retour d’expérience & actions correctives 

Structurer un retour d’expérience court et utile après un incident ou une simulation : faits, chronologie simple, impacts, causes probables, décisions, actions correctives, responsables, échéances et statut. Améliorer les règles, la chaîne d’alerte, le runbook et les modèles de communication sans chercher la faute individuelle. 

MODCODE: MODSECINC009 

Durée indicative : 2 heures

Pré-requis : MODSECINC001 + MODSECINC002 + MODSECINC003 + MODSECINC004 + MODSECINC005 + MODSECINC006 + MODSECINC007 + MODSECINC008 

À l’issue du module, le participant est capable de : 

  • Expliquer le rôle du REX après incident ou simulation dans le thème INC. 
  • Identifier les éléments utiles à analyser : faits, chronologie simple, impacts, décisions, actions effectuées et points flous. 
  • Distinguer un REX court et utile d’un audit formel, d’une recherche de faute ou d’une analyse racine avancée. 
  • Construire un canevas REX simple, orienté apprentissage collectif. 
  • Définir des actions correctives suivies : action, responsable, échéance, statut. 
  • Mettre à jour les règles, la chaîne d’alerte, le runbook, les checklists et les modèles de communication à partir des enseignements. 


Briefing management


Briefing management — incident PME : décisions & priorités 

Donner au management une vue claire et actionnable sur les décisions à prendre en cas d’incident de sécurité PME : impacts possibles, priorités, responsabilités, ressources, communication, preuves, escalade, soutien du runbook et suivi des actions correctives, sans formation technique, juridique ou opérationnelle complète. 

MODCODE: MODSECINC010 

Durée indicative : 1 heure

Pré-requis : MODSECINC001 + vue d’ensemble MODSECINC003 à MODSECINC009 recommandée 

À l’issue du module, le participant est capable de : 

  • Expliquer le rôle du management dans la gestion d’un incident PME. 
  • Identifier les impacts possibles : activité, client, données, information, accès, ressources, confiance et coordination. 
  • Distinguer les décisions management des gestes opérationnels, techniques, juridiques ou forensic. 
  • Poser les bonnes questions incident : que sait-on, quel impact, qui pilote, que faut-il décider, qui informer, quelle prochaine échéance ? 
  • Arbitrer les priorités : continuité minimale, communication, preuves, ressources, escalade et suivi. 
  • Soutenir le runbook et le suivi des actions correctives après incident ou simulation.