Le rapport d’incident doit contenir les informations essentielles permettant d’identifier la nature de
l’incident, de le situer dans le temps et de le localiser. Il doit aussi identifier clairement les
composantes matérielles, logicielles et les personnes touchées par l’incident, et tous les indices qui
permettent de déterminer que l’évènement est bel et bien un incident de cybersécurité.
Il comprend les sections suivantes:
Résumé : En une phrase, décrire l’essentiel de l’incident
Détails : Les informations sur les personnes et les systèmes affectés (adresse MAC, adresse
IP, nom d’hôte, nom d’utilisateur)
Chronologie : Une description de la séquence des évènements constituant l’incident
Indicateurs de compromission : Tout ce qui peut indiquer qu’on a bien affaire à un incident
de cybersécurité. Parmi ceux-ci:
◦ Identification des menaces : rôles, adresses IP, urls, protocoles de chacune des menaces
répertoriées
◦ Fichiers: nom, taille, description et hachage de chacun des fichiers impliqués dans
l’incident
◦ Captures d’écran
�EXEMPLE DE RAPPORT D’INCIDENT
No. de référence: 2017-2331
Résumé
À 10h31 le 2017-05-16, le PC de Martin Leblanc a été victime du rançongiciel WannaCry.
Détails
MAC: 00 :08 :02 :1c :47 :ae
IP: 192.168.200.8
Hôte: Desktop-JH1UZAE
Utilisateur: craig.alda/QUITHUB.Net
Indicateurs de compromission
Menaces
IP: 29.32.108.99
Rôle: Distribution du fichier XLSX (Serveur SMTP)
� IP: 201.34.209.144
Rôle: Téléchargement du ransomware (Serveur HTTP)
URL: supplierstradein.com:8044/wp-uploads/2VjcTRwb3Y4dTM0cHZu/ldrt.php?
file=288293
Fichiers
Nom: Winnit.exe
Taille: 3.9Mb
Description: Exécutable Windows
SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
Nom: Rcpt-488544.xlsx
Taille: 1.2Mb
Description: Fichier XLS
SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
Nom: 20-3994f1.eml
Taille: 467 bytes
Description: Courrier électronique
Évènements
Le 16 mai 2017 à 10:07 Martin Leblanc a reçu un courriel (20-3994f1.eml) contenant un fichier
Excel en pièce jointe (Rcpt-488544.xlsx).
À 10:28 il a ouvert le courriel et téléchargé la pièce jointe, puis ouvert le fichier Excel.
Lors de l’ouverture du fichier une macro s’est exécutée et a démarré le téléchargement d’un
exécutable correspondant au rançongiciel WannaCry (lhdfrgui.exe). La macro a ensuite lancé
l’exécution du programme qui a redémarré le PC puis lancé le processus de chiffrement du disque
C:.
