Les dégâts financiers et matériels que peuvent occasionner une attaque informatique sont considérables. Si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. Ce fort potentiel de déstabilisation exige, à la fois des organisations cibles et des prestataires de cybersécurité, un savoir-faire dans l’endiguement de ces cyber-attaques, dans la reprise de contrôle du système d’information compromis et dans le rétablissement d’un état de fonctionnement suffisant. La remédiation est l'étape clé pour y parvenir. Elle constitue l’une des dimensions majeures de la réponse à incident cyber, avec l’investigation et la gestion de crise.
L’ANSSI est engagée avec l’écosystème de sécurité informatique, à l’élaboration, et la diffusion des piliers doctrinaux de la mise en œuvre et du pilotage de la remédiation. Elle publie un corpus doctrinal qui s’articule en trois volets (stratégique, opérationnel, technique) et a vocation à s’enrichir progressivement.
En plus d’être menée et pilotée, la remédiation nécessite une préparation. La préparation à la remédiation permet de faciliter l'élaboration et l'exécution de la réponse à un incident de sécurité et fluidifie les conditions d'interventions d'équipe en charge de remédier à l'attaque. Cette préparation peut se faire en anticipation, avant que la détection d'un incident n'ait lieu et quand les équipes ne sont pas spécifiquement mobilisées; ou elle peut se faire lors de la réaction d'un incident détecté, dans un temps contraint et en amorce de la remédiation.
Ce document vient compléter le volet opérationnel de la remédiation. Il aide à la mise en œuvre ou à l'identification des actions citées parmi les activités du guide « Piloter la remédiation » de cette même collection (Piloter la remédiation | MesServicesCyber). Il s’appuie sur des retours opérationnels de l’ANSSI et il est aussi issu d’ateliers avec des prestataires en réponse à incident qui ont bien voulu partager leurs expériences.