Les cinq phases d'un incident
1. Détection : identifier qu'un incident s'est produit. Sources : alertes de NinjaFirewall, emails suspects, plaintes de membres, logs inhabituels.
2. Confinement : stopper la propagation. Isoler les systèmes compromis, changer les mots de passe, couper les accès.
3. Éradication : supprimer la cause. Fermer la faille exploitée, supprimer les fichiers malveillants.
4. Récupération : remettre les services en ligne depuis les sauvegardes, vérifier l'intégrité.
5. Analyse post-incident : comprendre ce qui s'est passé pour éviter la récidive.
Le document de plan en une page
Un plan efficace tient sur une page A4. Il contient :
- Contacts d'urgence : hébergeur (Infomaniak support 24/7), banque, assurance RC, président, secrétaire
- Procédure de confinement immédiat : 3 premières actions à faire dans l'heure
- Déclenchement de la notification PFPDT : lien direct vers le T27 — procédure 72h
- Accès aux sauvegardes : où sont-elles, comment les restaurer
- Communication externe : qui parle, quoi dire, à qui
L'aspect humain
En situation de crise, le cerveau humain revient aux automatismes et perd une partie de ses capacités cognitives (loi de Yerkes-Dodson). Un plan écrit compense cet effet — vous n'avez pas à réfléchir, vous exécutez.
Pour une association sans équipe IT
Désignez maintenant, en dehors de toute crise, un «premier répondant» — la personne la plus compétente techniquement dans votre comité. Donnez-lui accès complet à la documentation et aux outils. Testez le plan une fois par an.
Exercice pratique
✅ À faire maintenant : rédigez la section «confinement immédiat» de votre plan : trois actions à réaliser dans la première heure suivant la détection d'un incident. Partagez-la avec le comité. Imprimez-la et rangez-la dans le classeur de gouvernance de l'association.