SOC (Security Operations Center)
Centre opérationnel sécurité, surveille 24/7. Outils clés : SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response), EDR/XDR (Endpoint/Extended Detection and Response).
Incident Response — 6 phases NIST
- Preparation : équipe, outils, playbooks
- Identification : détecter l'incident
- Containment : limiter dégâts (court terme + long terme)
- Eradication : éliminer la cause racine
- Recovery : restaurer systèmes
- Lessons Learned : capitaliser, améliorer
Forensics digital
- Chain of custody : preuves admissibles juridiquement
- Order of volatility : RAM > processus > fichiers > backups
- Imaging disque : copie bit-à-bit (dd, FTK Imager)
- Hash de preuves : MD5/SHA pour intégrité
Business Continuity / Disaster Recovery
- RTO (Recovery Time Objective) : temps acceptable de panne
- RPO (Recovery Point Objective) : perte de données acceptable
- Hot site : prêt en quelques minutes
- Warm site : prêt en quelques heures
- Cold site : prêt en jours/semaines
