Matrice Des Rôles Et Responsabilités De Réponse Aux Incidents En France
Rôle | Responsabilités principales | Niveau d’intervention | Délai de mobilisation cible | Accès nécessaires |
|---|---|---|---|---|
Direction générale | ||||
Directeur général | Arbitrer les décisions majeures, valider les impacts business et engager les ressources nécessaires. | Décision | Dans l’heure si incident majeur ou critique. | Tableau de bord de crise, analyse d’impact, options de décision, contacts clés. |
Directeur de crise cyber | Activer la cellule de crise, coordonner les décisions, suivre les actions et tenir la main courante. | Pilotage | Immédiat à 30 minutes après qualification. | Plan de gestion de crise, annuaire de crise, main courante, scénarios d’incident. |
Sécurité des systèmes d’information | ||||
RSSI | Qualifier l’incident, prioriser le confinement, coordonner l’investigation et proposer les mesures de remédiation. | Pilotage | Immédiat, idéalement moins de 15 minutes. | SIEM, EDR, journaux, cartographie SI, politiques SSI, contacts CERT. |
Informatique | ||||
DSI | Piloter les équipes IT, évaluer l’impact sur les services et organiser la reprise technique. | Pilotage | Dans les 30 minutes. | Cartographie applicative, CMDB, PRA, sauvegardes, contrats d’infogérance. |
Sécurité des systèmes d’information | ||||
Analyste SOC | Surveiller les alertes, qualifier les signaux faibles, escalader et documenter les indicateurs de compromission. | Contribution opérationnelle | Permanent ou moins de 15 minutes selon astreinte. | SIEM, EDR, IDS, tickets, règles de corrélation, threat intelligence. |
Informatique | ||||
Administrateur systèmes | Isoler les serveurs compromis, appliquer les correctifs, collecter les journaux et restaurer les systèmes. | Contribution opérationnelle | Dans les 30 minutes pour système critique. | Consoles d’administration, journaux, sauvegardes, bastion, procédures de durcissement. |
Administrateur réseau | Filtrer les flux, isoler les segments, modifier les règles pare-feu et préserver les traces réseau. | Contribution opérationnelle | Dans les 30 minutes. | Pare-feu, routeurs, VPN, NAC, journaux réseau, schémas d’architecture. |
Responsable applicatif | Évaluer l’impact applicatif, fournir les journaux, coordonner correctifs et tests de non-régression. | Contribution opérationnelle | Dans l’heure pour application critique. | Journaux applicatifs, référentiel applicatif, procédures de déploiement, backlog correctifs. |
Juridique | ||||
Délégué à la protection des données | Évaluer le risque pour les personnes, conseiller sur la notification CNIL et documenter la violation. | Validation | Dans les 2 heures si données personnelles concernées. | Registre des traitements, analyses de risque, contrats de sous-traitance, modèles CNIL. |
Responsable juridique | Analyser les obligations de notification, préserver le secret juridique et valider les communications sensibles. | Validation | Dans les 2 heures pour incident significatif. | Contrats, clauses de notification, polices cyber, historique contentieux, preuves conservées. |
Communication | ||||
Responsable communication | Préparer les messages validés, gérer médias et parties prenantes, éviter les informations non confirmées. | Contribution opérationnelle | Dans les 2 heures si impact externe probable. | Éléments de langage, liste parties prenantes, canaux de secours, validations juridiques. |
Ressources humaines | ||||
Responsable ressources humaines | Gérer les communications salariés, suspensions d’accès, sensibilisation ciblée et aspects disciplinaires éventuels. | Contribution opérationnelle | Dans les 4 heures si salariés concernés. | Annuaire RH, procédures disciplinaires, modèles de consignes, listes de diffusion internes. |
Finance | ||||
Directeur financier | Évaluer pertes, sécuriser paiements, coordonner assurance cyber et valider dépenses d’urgence. | Validation | Dans les 2 heures si fraude ou rançongiciel. | Procédures de paiement, contrats d’assurance, seuils d’engagement, suivi des pertes. |
Opérations | ||||
Responsable métier critique | Évaluer l’impact métier, prioriser les activités, activer les procédures dégradées et valider la reprise. | Validation | Dans l’heure si processus critique touché. | PCA, procédures dégradées, criticité processus, contacts clients ou fournisseurs clés. |
Informatique | ||||
Responsable sauvegardes | Vérifier l’intégrité des sauvegardes, restaurer les systèmes et isoler les copies saines. | Contribution opérationnelle | Dans l’heure pour rançongiciel ou indisponibilité. | Console de sauvegarde, coffres hors ligne, procédures de restauration, résultats de tests. |
Prestataire externe | ||||
Prestataire CSIRT externe | Appuyer l’investigation, l’analyse forensic, le confinement et les recommandations de remédiation. | Contribution opérationnelle | Selon contrat, idéalement moins de 4 heures. | Lettre de mission, accès temporaires, images disques, journaux, périmètre autorisé. |
Sécurité des systèmes d’information | ||||
Expert forensic | Collecter les preuves, réaliser les images, analyser la compromission et maintenir la chaîne de conservation. | Contribution opérationnelle | Dans les 2 heures si preuve volatile. | Kits forensic, supports scellés, journaux, images mémoire, procédures de conservation. |
Informatique | ||||
Responsable IAM | Révoquer sessions, réinitialiser secrets, contrôler comptes à privilèges et renforcer l’authentification. | Contribution opérationnelle | Dans les 30 minutes si compromission d’identifiants. | Annuaire, IAM, PAM, MFA, journaux d’authentification, coffre de secrets. |
Opérations | ||||
Propriétaire de données | Identifier les données affectées, confirmer la sensibilité et valider les impacts sur les personnes ou métiers. | Validation | Dans les 2 heures si données exposées. | Dictionnaire de données, registre des traitements, classification, bases concernées. |
Juridique | ||||
Référent notification CNIL | Préparer, soumettre et compléter la notification CNIL en cas de violation à risque. | Contribution opérationnelle | Immédiat si délai RGPD de 72 heures applicable. | Téléservice CNIL, fiche violation, chronologie, mesures prises, analyse de risque. |
Informatique | ||||
Responsable fournisseurs IT | Obtenir les informations d’incident, faire appliquer les SLA et coordonner les actions du sous-traitant. | Contribution opérationnelle | Dans l’heure si service externalisé touché. | Contrats, SLA, DPA, contacts d’escalade, rapports d’incident fournisseur. |
Juridique | ||||
Responsable conformité | Identifier les obligations sectorielles, coordonner les notifications réglementaires et conserver les preuves de conformité. | Validation | Dans les 2 heures pour entité régulée. | Cartographie réglementaire, obligations NIS2, procédures de notification, registres d’audit. |
Finance | ||||
Référent assurance cyber | Notifier l’assureur, vérifier les garanties, respecter les conditions de prise en charge et suivre les coûts. | Contribution opérationnelle | Dans les 4 heures si sinistre couvert possible. | Police d’assurance, conditions de notification, contacts courtier, justificatifs de dépenses. |
Informatique | ||||
Responsable support utilisateurs | Centraliser les signalements, diffuser les consignes, assister les utilisateurs et escalader les cas suspects. | Contribution opérationnelle | Dans l’heure si phishing massif ou poste compromis. | Outil ticketing, base de connaissances, modèles de consignes, liste utilisateurs touchés. |
Juridique | ||||
Référent dépôt de plainte | Préparer le dépôt de plainte, consolider les preuves et coordonner les échanges avec les enquêteurs. | Contribution opérationnelle | Dans les 24 heures si infraction suspectée. | Chronologie, preuves techniques, préjudice estimé, identité des systèmes affectés. |
Opérations | ||||
Responsable PCA/PRA | Activer continuité et reprise, suivre RTO/RPO, coordonner procédures dégradées et retour nominal. | Pilotage | Dans l’heure si indisponibilité critique. | PCA, PRA, RTO/RPO, procédures dégradées, résultats d’exercices. |
Direction générale | ||||
Secrétaire de cellule de crise | Tenir la main courante, horodater décisions, suivre actions et produire le compte rendu de crise. | Contribution opérationnelle | Dès activation de la cellule de crise. | Main courante, journal des décisions, liste actions, canal de crise sécurisé. |
Informatique | ||||
Responsable cloud | Contrôler consoles cloud, journaux, clés d’accès, snapshots et mesures de confinement cloud. | Contribution opérationnelle | Dans les 30 minutes si actif cloud touché. | Console cloud, IAM cloud, journaux d’audit, KMS, sauvegardes et snapshots. |
Responsable postes de travail | Isoler postes compromis, déployer correctifs, réinstaller images saines et collecter journaux endpoint. | Contribution opérationnelle | Dans l’heure pour compromission étendue. | MDM, EDR, inventaire postes, images maîtres, outil de télédistribution. |
Administrateur messagerie | Bloquer campagnes, purger messages, révoquer sessions, analyser règles de boîte et traces email. | Contribution opérationnelle | Dans les 30 minutes si campagne active. | Console messagerie, passerelle antispam, journaux, quarantaine, règles de transport. |
Opérations | ||||
Responsable relation clients | Identifier clients affectés, coordonner réponses contractuelles et remonter les réclamations critiques. | Contribution opérationnelle | Dans les 4 heures si service client impacté. | Liste clients affectés, SLA, éléments validés, tickets, historique communications. |
Sécurité des systèmes d’information | ||||
Responsable retour d’expérience | Organiser le RETEX, identifier causes racines, suivre actions correctives et mettre à jour le plan. | Pilotage | Dans les 5 à 10 jours ouvrés après stabilisation. | Main courante, chronologie, indicateurs, rapports techniques, plan d’actions. |
Qui Doit Être Mobilisé En Premier Dans Un Plan De Réponse Aux Incidents En France ?
La matrice montre qu’un incident qualifié doit d’abord mobiliser le RSSI, le responsable SOC ou détection, l’administrateur système et le responsable informatique, car ce sont les rôles capables de qualifier, contenir et préserver les preuves dans la première heure.
Quels Rôles Sont Indispensables En Cas De Violation De Données Personnelles ?
Lorsque l’incident implique des données personnelles, le DPO, le juridique, la direction générale et la communication doivent être intégrés rapidement. Le RGPD impose une notification à la CNIL dans les 72 heures si la violation présente un risque pour les personnes, et une information des personnes concernées en cas de risque élevé.
Pourquoi Séparer Décision, Pilotage Et Exécution Technique ?
La matrice distingue les rôles de décision, de pilotage et de contribution opérationnelle. Cette séparation limite les blocages pendant la crise : les équipes techniques contiennent l’incident, le directeur de crise arbitre les priorités, et la direction générale valide les décisions à fort impact, notamment arrêt de service, communication externe ou dépôt de plainte.
Quels Accès Prévoir Avant L’Incident ?
Les rôles critiques doivent disposer à l’avance des accès au plan de réponse, aux annuaires de crise, aux journaux, aux sauvegardes, aux contrats de prestataires, au registre des traitements, aux modèles de notification CNIL et aux canaux de communication hors système compromis.
Comment Adapter La Matrice Aux Obligations Françaises Et Européennes ?
Pour une organisation française, la matrice doit intégrer au minimum les exigences RGPD, les recommandations de l’ANSSI, les obligations contractuelles avec les sous-traitants, et, selon le secteur, les obligations NIS2 ou sectorielles. Les rôles juridique, DPO, RSSI et direction générale doivent donc être associés dès la qualification d’un incident significatif.

FAQs
Vous Pourriez Aussi Être Intéressé Par
