Plan de Réponse aux Incidents — NIS 2
MILEO TECHNOLOGY (SASU) — NIS 2 Objectif 9 / RGPD Art. 33-34 / ANSSI Guide de gestion de crise cyber — Version 1.0 — 22 mars 2026
1. Contacts d'urgence
| Rôle | Nom | Contact | Disponibilité |
|---|---|---|---|
| Responsable sécurité | Nathan Lafontaine | hello@mileoapp.fr / 01 89 71 47 99 | 24/7 |
| DPO | DPO Mileo | dpo@mileoapp.fr | Jours ouvrés |
| Hébergeur (OVH) | Support OVH | Espace client OVH | 24/7 |
| CERT-FR | ANSSI | cert-fr.cossi@ssi.gouv.fr | 24/7 |
| CNIL (notification) | CNIL | notifications.cnil.fr | Jours ouvrés |
2. Classification des incidents
| Niveau | Critères | Délai | Exemples |
|---|---|---|---|
| P1 — Critique | Fuite de données avéré, compromission complète | < 1h | BDD exfiltrée, accès admin compromis |
| P2 — Majeur | Tentative de compromission avancée, indisponibilité | < 4h | Brute force massif, DDoS, ransomware |
| P3 — Mineur | Anomalie détectée, pas d'impact immédiat | < 24h | Scan de ports, tentative login inhabituelle |
| P4 — Info | Événement informatif | J+1 | Nouveau device, admin login, breach HIBP |
3. Procédure de réponse
Phase 1 — Détection & Alerte (0-30 min)
Sources de détection :
security_eventstable (new_device, brute_force, account_locked, breach_detected)audit_log(actions anormales)- fail2ban (ban SSH/API)
- auditd (modifications système)
- AIDE (intégrité fichiers)
Phase 2 — Confinement (30 min - 2h)
| Type incident | Actions de confinement |
|---|---|
| Compte compromis | Révoquer toutes les sessions, désactiver le compte |
| Brute force | Vérifier fail2ban, augmenter ban duration, bloquer IP (UFW) |
| Fuite de données | Identifier la source, couper l'accès, préserver les logs |
| Compromission serveur | Isoler le serveur (firewall), snapshot disque, ne PAS éteindre (préserver la RAM) |
Phase 3 — Notification (1-72h)
RGPD Art. 33 — CNIL
Délai : 72 heures maximum après connaissance de la violation.
Contenu : nature de la violation, catégories de données, nombre de personnes, conséquences, mesures prises.
NIS 2 — ANSSI
- Alerte précoce : 24h
- Notification : 72h avec évaluation initiale
- Rapport final : 1 mois avec détails complets
Phase 4 — Éradication & Récupération (2h - 48h)
- Identifier la cause racine (root cause analysis)
- Corriger la vulnérabilité
- Restaurer depuis les sauvegardes si nécessaire
- Vérifier l'intégrité des données restaurées
- Redéployer avec les correctifs
Phase 5 — Post-incident (48h - 30 jours)
- Rapport d'incident : documenter chronologie, impact, actions
- Analyse root cause : identifier les failles exploitées
- Plan d'amélioration : mesures correctives et préventives
- Mise à jour DPIA : si nécessaire (Art. 35)
- Communication : informer les parties prenantes
- Rapport final ANSSI : sous 1 mois (NIS 2)
4. Registre des violations
Conformément au RGPD Art. 33(5), tout incident impliquant des données personnelles est documenté :
| Champ | Description |
|---|---|
| Date de détection | Horodatage ISO 8601 |
| Date de notification CNIL | Si applicable |
| Nature de la violation | Type d'incident |
| Données concernées | Catégories et volume |
| Personnes affectées | Nombre estimé |
| Conséquences | Impact évalué |
| Mesures prises | Actions de remédiation |
| Responsable | Personne ayant géré l'incident |
5. Tests et exercices
| Exercice | Fréquence | Exécution |
|---|---|---|
| Test de restauration backup | Trimestriel | Manuel |
| Simulation d'incident P1 | Semestriel | Manuel |
| Revue des accès | Trimestriel | Manuel |
| Vérification AIDE | Quotidien (cron) | Automatique |
| Scan HIBP | Hebdomadaire | Automatique |