SHIELD EN

Organisation et équipe

Incident response sur le terrain : les 90 premières minutes

Device perdu, saisi ou compromis en déplacement. Arbre de décision concret. Qui appeler. Ce qu'on ne fait surtout pas.

Publié le Dernière revue: 10 min de lecture Niveau de menace: Profil exposé

Il est 23h à Singapour. Un directeur général vient de réaliser que son laptop n’est plus dans son sac. Il m’appelle en panique. Première question que je lui pose : “Est-ce que vous vous souvenez de l’avoir vu pour la dernière fois il y a 5 minutes ou il y a 5 heures ?” Il réfléchit. Cinq heures. Première règle de l’incident response : le temps passé depuis l’incident est aussi important que l’incident lui-même.

Le piège habituel

“Je vais attendre d’être rentré pour gérer ça.”

C’est la phrase la plus dangereuse qu’on entend après un incident terrain. Elle est compréhensible — on est fatigué, on a un vol dans 8 heures, on espère que le laptop est juste sous le siège du taxi. Mais les 90 premières minutes après un incident déterminent l’étendue réelle des dégâts. Chaque minute de délai augmente la fenêtre d’exposition : tokens actifs, sessions ouvertes, accès non révoqués.

Ce qui suit n’est pas une théorie. C’est un arbre de décision. Trois scénarios, des actions dans l’ordre de priorité, et ce qu’on ne fait surtout pas.

Scénario A : Device perdu ou volé

La première décision à prendre n’est pas “comment le récupérer” — c’est “est-ce que mes données sont exposées en ce moment même ?”

La question clé : le device était-il chiffré ET éteint au moment de la perte ?

Si oui (chiffré + éteint au moment de la perte)

L’urgence sur les données est faible. Un laptop chiffré éteint est un bloc de métal. Les clés de déchiffrement ne sont pas en mémoire. Sans le mot de passe de déchiffrement, le contenu est inaccessible — dans l’état actuel des capacités d’attaque, une bonne implémentation de BitLocker ou FileVault tient. Vous avez le temps d’agir correctement sans paniquer.

Priorités dans l’ordre :

  1. Activer le wipe à distance si la fonctionnalité était configurée (Find My pour Apple, Find My Device pour Android, Intune ou MDM d’entreprise pour les devices gérés)
  2. Notifier la DSI pour qu’ils activent leur procédure côté infrastructure
  3. Déposer plainte dans les 24h (obligatoire pour l’assurance, et nécessaire pour documenter correctement l’incident sur le plan RGPD)

Si non (pas chiffré, ou allumé et déverrouillé)

Urgence maximale. Quelqu’un qui a ce device a potentiellement accès à toutes les sessions ouvertes, à tous les mots de passe enregistrés dans le navigateur, à l’intégralité de la messagerie synchronisée. Il n’y a pas de temps à perdre.

Actions immédiates — dans cet ordre exact, depuis un autre appareil :

  1. Changer le mot de passe du compte email principal. C’est le compte de récupération de tout le reste. Si vous ne faites qu’une seule chose dans les 10 premières minutes, c’est celle-là.
  2. Révoquer toutes les sessions actives. Google : Sécurité → Vos appareils → Se déconnecter de tous les appareils. Apple ID : Réglages → votre nom → chaque device listé → “Se déconnecter”. Microsoft : account.microsoft.com → Sécurité → Activité de connexion → fermer les sessions.
  3. Wipe à distance si disponible et configuré. Attention : sur un device non chiffré, le wipe peut techniquement être contourné par quelqu’un de compétent avant qu’il ne s’exécute, mais il ralentit considérablement l’exploitation et réduit la surface.
  4. Appeler la DSI. Pas envoyer un email — appeler. Ils doivent révoquer les accès côté infrastructure d’entreprise : VPN, accès aux serveurs, tokens API, accès aux outils métier.
  5. Bloquer la SIM si c’est un téléphone : appeler l’opérateur. Un téléphone volé peut être utilisé pour intercepter les codes d’authentification à deux facteurs envoyés par SMS.
  6. Déposer plainte dans les 24h.

Ce qu’on ne fait pas : attendre, minimiser, “voir si on le retrouve dans la matinée”, continuer à utiliser vos comptes depuis un autre device sans avoir révoqué les sessions du device perdu.

Scénario B : Device saisi

La saisie par une autorité — douane, police, justice, services administratifs d’un pays étranger — est fondamentalement différente du vol. La différence critique : une saisie implique une extraction forensique potentiellement en cours au moment même où vous lisez ceci.

Un device saisi n’est pas seulement perdu. Il est entre des mains qui ont le temps, les outils, et souvent l’autorité légale de l’exploiter complètement. Le délai n’existe plus : l’extraction peut démarrer dans la minute qui suit la saisie, avec des outils commerciaux comme Cellebrite ou Oxygen Forensic Detective.

Actions immédiates

  1. Notifier la DSI et l’avocat de l’entreprise immédiatement. Même si votre téléphone est saisi. Mémoriser 2 à 3 numéros clés avant de partir en mission, c’est précisément pour ce scénario. Si vous n’avez plus aucun device : demandez un téléphone à quelqu’un, utilisez un téléphone de l’hôtel, trouvez une solution. La notification doit partir dans la première heure.
  2. Ne tentez pas de déverrouiller discrètement pour supprimer des fichiers ou effacer des données pendant la saisie. Dans la plupart des juridictions, tenter de détruire des preuves sous contrainte est une infraction pénale autonome, souvent plus grave que le motif de la saisie initiale.
  3. Demandez un récépissé de saisie. Vous avez ce droit dans la quasi-totalité des juridictions de droit. Ce document précise ce qui a été saisi, par qui, sous quelle autorité légale, et ouvre vos droits à recours. Sans ce document, vous n’avez aucun levier juridique.
  4. Depuis un autre device (ou via un contact de confiance) : révoquer les tokens d’accès d’entreprise, changer les mots de passe des comptes critiques, alerter la DSI pour suspension préventive des accès.

Après la restitution

Même si le device vous est rendu “intact”, “scellé” ou “non ouvert”, traitez-le comme intégralement compromis. Une copie forensique complète peut avoir été réalisée en quelques minutes avec un matériel adapté. Un implant logiciel peut avoir été installé à votre insu. La règle est non négociable : un device saisi ne reprend jamais le service sans réimage complet, effectué par la DSI ou un prestataire forensique spécialisé.

Ce qu’on ne fait pas : mentir aux autorités sur le contenu du device, tenter d’effacer des données sous la contrainte, refuser de signer le récépissé de saisie (le refus ne vous protège pas et peut aggraver votre situation).

Scénario C : Device compromis

C’est le scénario le plus difficile à identifier sur le terrain, et potentiellement le plus grave : vous avez toujours le device en main, il fonctionne normalement en apparence — mais il n’est plus sous votre contrôle.

Signes qui doivent alerter

  • Comportement anormal : lenteur soudaine inexpliquée, redémarrages spontanés, applications qui s’ouvrent seules
  • Batterie qui se vide anormalement vite, même sans utilisation intensive — signature fréquente des spywares actifs
  • Applications inconnues installées sans votre action, ou des apps connues qui demandent soudainement des permissions inhabituelles
  • Connexions réseau inattendues visibles dans les logs système ou via une app de monitoring réseau
  • Notification reçue sur un autre appareil : accès à votre compte depuis un device ou une localisation inconnue
  • Vous avez laissé votre device sans surveillance, même brièvement, dans un contexte à risque : chambre d’hôtel non sécurisée, bureau prêté, salon VIP d’aéroport dans un pays à tension

Actions immédiates

  1. Isoler le device du réseau immédiatement. Désactiver le Wi-Fi, les données mobiles, le Bluetooth, le NFC. Mode avion si vous ne savez pas faire autrement. L’objectif est de couper la communication entre le potentiel implant et son serveur de commande et de contrôle (C2).
  2. Ne pas éteindre le device si vous pouvez l’éviter. La mémoire RAM contient des artefacts forensiques — processus actifs, connexions établies, clés de chiffrement en cours d’utilisation — qui disparaissent immédiatement et définitivement à l’extinction. Ces éléments sont précieux pour l’investigation ultérieure.
  3. Appeler la DSI depuis un autre appareil. Ne faites rien de plus sur le device suspect.
  4. Ne plus utiliser ce device pour aucune action, même “juste vérifier un email”. Si un keylogger est actif, tout ce que vous tapez est transmis en temps réel.

Après isolation : investigation forensique par un spécialiste. Si la compromission est confirmée : réimage complet du device, rotation de tous les mots de passe et tokens utilisés depuis ce device dans les semaines précédant la détection.

La vraie préparation se fait avant de partir

Tout ce qui précède suppose que vous avez les bons réflexes au bon moment. Ce n’est pas naturel sous stress, fatigué, seul dans un fuseau horaire décalé. Ça se prépare.

Avant chaque mission, et surtout pour les destinations à risque :

  • Mémoriser 2 à 3 numéros. DSI (ou RSSI), avocat d’entreprise, un proche de confiance. Ces numéros doivent exister dans votre mémoire — pas seulement dans le téléphone qui vient d’être saisi.
  • Vérifier que le wipe à distance est configuré et actif sur votre laptop et votre téléphone avant de partir. Sur iOS : Find My → Localiser l’iPhone → activer. Sur Android : Paramètres → Sécurité → Find My Device. Sur Windows géré : vérifier avec la DSI que Intune est configuré pour le wipe distant.
  • Savoir révoquer vos propres sessions. Ouvrez les paramètres de sécurité de Google, Apple, Microsoft une fois, comprenez où ça se trouve, et mémorisez le chemin. Ce n’est pas le moment d’apprendre à 23h sous stress.
  • Avoir un second device minimal. Pas nécessairement un smartphone haut de gamme : un téléphone de voyage basique avec une eSIM locale permet de passer les appels d’urgence si votre device principal est perdu, saisi, ou compromis.

Les erreurs qui aggravent tout

Par ordre de fréquence observée sur le terrain :

  1. Attendre d’être rentré. 8 heures de vol avec des sessions actives non révoquées, c’est 8 heures d’exposition totale.
  2. “Je vais voir si on le retrouve.” Même si on le retrouve, l’incident a eu lieu. La récupération physique du device ne change rien à l’exposition qui a eu lieu pendant le délai.
  3. Continuer à travailler depuis un device non fiable. L’ordinateur du business center de l’hôtel, la tablette personnelle non gérée : ces devices amplifient le risque plutôt que de le résoudre.
  4. Ne pas notifier la DSI par peur des conséquences. Un incident non déclaré est toujours pire qu’un incident déclaré. La DSI ne peut rien faire sans information. Et sur le plan de la responsabilité, le silence peut constituer une faute.
  5. Éteindre un device compromis pour “empêcher l’attaquant d’agir”. C’est l’inverse : vous détruisez les preuves forensiques en RAM, et vous ne stoppez pas l’attaquant qui opère probablement depuis un serveur de commande à l’autre bout du monde.
  • N1 Savoir révoquer ses sessions Google/Apple/Microsoft depuis un autre device
  • N2 Avoir le numéro de la DSI mémorisé (pas seulement enregistré dans le téléphone)
  • N2 Avoir le numéro d'un avocat d'entreprise mémorisé pour les missions à risque
  • N2 Activer Find My / wipe à distance avant chaque départ en mission
  • N2 Vérifier que le chiffrement du disque est actif (BitLocker / FileVault)
  • N2 Connaître la procédure de demande de récépissé de saisie
  • N2 Protocole DSI documenté et accessible pour les incidents terrain
  • N3 Second device de communication d'urgence pour les missions à risque élevé
  • N3 Device de voyage vierge dédié pour les destinations à haut risque de saisie
  • N3 Test annuel de la procédure d'incident à blanc (simulation)

Sources et lectures complémentaires

Articles liés