Post-mortem
Qu'est-ce que Post-mortem ?
Post-mortemRevue sans reproche apres un incident pour reconstituer la chronologie, identifier les facteurs contributifs et definir des actions concretes pour ne pas reproduire l'erreur.
Un post-mortem de securite est une retrospective structuree qui transforme un incident en apprentissage organisationnel. L'equipe reconstitue la chronologie a partir des logs, tickets et conversations, identifie ce qui a bien fonctionne et ce qui a echoue, puis trace les facteurs contributifs avec des techniques comme les cinq pourquoi ou la cartographie causale. La sortie est un document ecrit avec des actions concretes et nommees : detections manquantes, playbooks defaillants, lacunes outillages, besoins de formation, changements de processus. Pour rester productif, le post-mortem doit etre sans reproche, centre sur les systemes, borne dans le temps et suivi jusqu'a cloture.
● Exemples
- 01
Examiner un quasi-incident de rancongiciel et decouvrir qu'un compte VPN historique n'avait pas de MFA.
- 02
Documenter qu'une alerte bruyante avait ete coupee trois semaines avant qu'une attaque reelle utilise la meme technique.
● Questions fréquentes
Qu'est-ce que Post-mortem ?
Revue sans reproche apres un incident pour reconstituer la chronologie, identifier les facteurs contributifs et definir des actions concretes pour ne pas reproduire l'erreur. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Post-mortem ?
Revue sans reproche apres un incident pour reconstituer la chronologie, identifier les facteurs contributifs et definir des actions concretes pour ne pas reproduire l'erreur.
Comment fonctionne Post-mortem ?
Un post-mortem de securite est une retrospective structuree qui transforme un incident en apprentissage organisationnel. L'equipe reconstitue la chronologie a partir des logs, tickets et conversations, identifie ce qui a bien fonctionne et ce qui a echoue, puis trace les facteurs contributifs avec des techniques comme les cinq pourquoi ou la cartographie causale. La sortie est un document ecrit avec des actions concretes et nommees : detections manquantes, playbooks defaillants, lacunes outillages, besoins de formation, changements de processus. Pour rester productif, le post-mortem doit etre sans reproche, centre sur les systemes, borne dans le temps et suivi jusqu'a cloture.
Comment se défendre contre Post-mortem ?
Les défenses contre Post-mortem combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Post-mortem ?
Noms alternatifs courants : Revue sans reproche, Lecons apprises.
● Termes liés
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
- forensics-ir№ 525
Plan de réponse à incident
Document approuvé décrivant comment l'organisation se prépare, détecte, contient, éradique, restaure et tire les leçons d'un incident cyber.
- defense-ops№ 999
Playbook de securite
Procedure documentee et reproductible qui indique aux intervenants exactement quoi faire, et dans quel ordre, pour un type donne d'alerte ou d'incident.
- forensics-ir№ 1127
Exercice de table
Simulation discursive lors de laquelle les parties prenantes déroulent un incident cyber fictif pour tester plans, rôles, décisions et communication.
- defense-ops№ 660
MTTC (temps moyen de confinement)
Temps moyen entre la détection d'un incident et le moment où la menace ne peut plus se propager, exfiltrer des données ou aggraver l'impact.