Dernières nouvelles

Restez au courant de tout ce qui se passe à Approach

Publication

Quand le numérique brûle : parallèle entre une intervention pompiers et une réponse à un incident

Date de publication

03.12.2025

La gestion d’un incident de sécurité informatique et l’intervention des pompiers peuvent sembler appartenir à deux mondes totalement distincts. Pourtant, lorsqu’une crise survient, les mécaniques à l’œuvre se ressemblent : analyse rapide de la situation, coordination efficace, actions d’urgence et retour d’expérience. Forts de nos parcours respectifs, Nicolas Lindt, ancré dans la cybersécurité et l’engagement en tant que pompier volontaire, et Jean-François Stenuit, spécialisé en réponse à incident et en analyse forensique, nous avons décidé de conjuguer nos expertises afin d’illustrer l’analogie entre ces deux univers.

Dans cet article, nous proposons une exploration parallèle entre les interventions de pompiers et le cycle SANS de gestion d’incident. Afin de mettre en lumière les bonnes pratiques communes et les enseignements transférables entre ces deux disciplines exigeantes.

 

Les 6 étapes du cycle SANS en gestion d’incident

1. Préparation

Avant même qu’un sinistre ne survienne, les pompiers investissent massivement dans la préparation en s’appuyant sur plusieurs leviers complémentaires :

  • la documentation des installations techniques (plans de bâtiments, systèmes d’extinction, sources d’eau) présentes dans le secteur.

  • des reconnaissances régulières sur les sites sensibles, critiques ou complexes, afin d’anticiper les difficultés et d’adapter les procédures.

  • la prise en compte des travaux routiers et des aménagements temporaires, de manière à planifier les itinéraires et garantir une intervention rapide.

  • des exercices réguliers dans des lieux précis, pour mettre les équipes en condition réelle et tester la coordination sur des scénarios réalistes.

 

En Digital Forensics Incident Response (DFIR), cette phase est tout aussi cruciale : elle consiste à définir les procédures, former les équipes, déployer les outils (EDR, SIEM, playbooks), et établir une gouvernance claire. Sans cette préparation, un temps précieux sera perdu à découvrir l’environnement de l’intervention.

Chez Approach Cyber, vous pouvez souscrire à un service DFIR dans le cadre duquel nos experts vous aideront à vous préparer au pire. Grâce à ce service souscrit à l’avance, nos équipes pourront au mieux se préparer à prendre un charge un éventuel incident.

2. Identification

Lorsqu’une alarme retentit, le chef d’intervention se rend sur place pour évaluer la situation :

  • des procédures de levé de doute permettent de confirmer qu’il s’agit bien d’un incendie ou d’un autre sinistre réel avant de mobiliser davantage de moyens
  • le chef d’intervention, qui se rend directement sur place avec son véhicule indépendant, joue un rôle central dans cette étape. Il doit évaluer la situation initiale : risques de propagation, gravité du sinistre, besoins éventuels de renforts
  • sur la base de cette analyse, il détermine ses grandes priorités opérationnelles afin d’orienter et de coordonner les actions des équipes dès leur arrivée

 

En DFIR, c’est le moment où l’on détecte un comportement anormal : analyse des alertes, qualification de l’incident (intrusion, malware, etc.). Une identification rapide et précise permet de calibrer la réponse et d’éviter les erreurs. Ici aussi, les procédures impliquent la nomination d’un « incident handler » qui sera chargé du suivi de l’incident. Comme chez les pompiers, il est important de ne pas prendre d’initiative et de s’assurer qu’il n’y ait qu’une et une seule personne en charge de la coordination.

3. Confinement

Avant d’éteindre le feu, les pompiers doivent contenir le sinistre. La mission permanente du sapeur-pompier :

  • Sécuriser : mettre en sécurité la zone d’intervention et protéger les intervenants
  • Sauver : évacuer et porter assistance aux personnes et aux animaux en danger
  • Tenir : contenir l’évolution du sinistre pour éviter qu’il ne prenne de l’ampleur
  • Protéger : préserver ce qui est encore intact et limiter les dégâts collatéraux
  • Maîtriser : enfin, attaquer directement le foyer pour éteindre l’incendie

 

On voit bien qu’avant même d’éteindre le feu, les pompiers doivent d’abord sauver ce qui peut l’être, tenir le sinistre pour l’empêcher de s’aggraver et protéger ce qui est encore sain. Ce n’est qu’ensuite que l’on passe à la phase de maîtrise du feu.

En cybersécurité, les intervenants DFIR doivent également veiller à ce que leur intervention reste proportionnée. Il faut éviter de détruire inutilement des preuves (par exemple en effaçant un fichier) et ne pas entraver le travail des enquêteurs qui interviendront ensuite.

Ainsi, que ce soit face à un feu ou à une cyberattaque, le confinement est une phase d’équilibre : agir vite pour stabiliser, mais avec discernement pour préserver l’investigation.

4. Eradication

Chez les pompiers, l’éradication correspond au moment où l’on attaque directement le foyer pour maîtriser le feu.

L’objectif n’est pas seulement d’éteindre, mais aussi de le faire de manière mesurée et adaptée :

  • Dosage minimal d’eau pour limiter les dégâts collatéraux (ex. inondations).

  • Localisation précise du foyer : arroser sans savoir ce qui brûle ne sert à rien.

  • Identification du type de feu : les méthodes varient (huile, métaux, bois) et l’eau peut aggraver certains cas.

  • Stratégie adaptée : sur un feu de gaz, priorité à couper l’alimentation plutôt qu’arroser.

  • Vérification finale : foyer éteint, aucun point chaud résiduel.

 

De la même façon, en cybersécurité, l’éradication demande plus que de “bloquer le symptôme” : il faut comprendre la nature exacte de la menace et choisir les bons moyens techniques pour l’éliminer, sous peine de créer de nouveaux problèmes plus graves que l’incident initial.

5. Récupération

Pour les pompiers, la récupération s’apparente au retour à la normale après l’extinction du feu :

  • avec l’appui d’experts (police scientifique, ingénieurs, …), il faut déterminer si les appartements environnants peuvent de nouveau être habités ou si des solutions temporaires doivent être trouvées pour les occupants
  • réaliser des mesures de CO (monoxyde de carbone), pour s’assurer que l’air est sain
  • évaluer les dégâts à la structure du bâtiment afin d’éviter un effondrement ou un “sur-accident” après l’incendie
  • organiser le nettoyage et la remise en état (désenfumage, pompage de l’eau utilisée, sécurisation des installations électriques)
  • s’assurer que les lieux sont sûrs pour les riverains et les occupants

 

Dans le cadre de la réponse à un incident de cybersécurité, la phase de récupération vise à assurer une reprise sûre et durable. Le sinistre est éteint, mais le danger n’est pas forcément écarté : seule une vérification approfondie permet de garantir que tout peut repartir sans risque. Ici, nous allons restaurer des systèmes, vérifier l’intégrité des données et mettre en place une surveillance renforcée. L’objectif : une reprise sûre, sans rechute.

6. Leçons apprises

Chez les pompiers, cette démarche existe sous plusieurs formes :

  • un débriefing à chaud est mené après les grandes interventions : chaque intervenant explique son rôle, ses actions, sa vision et sa compréhension de la situation,
  • un retour d’expérience (RETEX) peut être formellement organisé après une intervention d’envergure, afin d’analyser plus en profondeur ce qui a bien fonctionné et ce qui pourrait être amélioré,
  • certaines situations vécues sont réutilisées en exercice afin d’entraîner les équipes dans une logique d’amélioration continue.

 

En DFIR, c’est le bon moment pour rédiger un rapport, analyser les forces et faiblesses, mettre à jour les procédures et les outils.

Lors d’un incendie ou lors d’un incident de cybersécurité, ces retours d’expérience permettent d’éviter de reproduire les mêmes erreurs, de partager les bonnes pratiques, et de transformer chaque crise en apprentissage collectif.

 

Conclusion

Qu’il s’agisse de feu ou de cyberattaque, la gestion de crise repose sur des principes universels : préparation rigoureuse, analyse rapide, action coordonnée, et capitalisation sur l’expérience.

Chez Approach Cyber, notre expertise en gestion d’incidents nous permet d’intervenir avec méthode et efficacité, tout en ayant la capacité de mobiliser des ressources internationales en cas de crise majeure. Cette agilité opérationnelle est essentielle pour garantir une réponse rapide et adaptée, quel que soit le périmètre ou la gravité de l’incident.

Mais comme pour les incendies, où l’on installe des détecteurs de fumée et des extincteurs dans les bâtiments, il est indispensable de préparer ses systèmes d’information à faire face à une attaque. Cela passe par la mise en place d’un service CSIRT (Computer Security Incident Response Team), qui vous accompagne dans la préparation, la détection, la réponse et la remédiation.

Souscrire à un service CSIRT, c’est s’assurer que, le jour où l’incendie numérique se déclare, vous ne serez pas seul, et que les bons réflexes seront déjà en place.

 

Auteurs de l’article :

  • Nicolas LINDT, consultant en cybersécurité pour Approach Cyber (Suisse) et pompier volontaire pour le canton de Vaud (Suisse),
  • Jean-François STENUIT, spécialiste en réponse à incident (DFIR – Digital Forensics & Incident Response) pour Approach Cyber (Belgique), certifié GCIH

 

Got Hacked? Don’t Panic! Act Fast with Our Cyber Emergency Team! Download, print and display our “In Case of Emergency” cheat sheet.

AUTRES HISTOIRES

Aucun contenu connexe pour l'instant

Contactez-nous pour en savoir plus sur nos services et solutions

Notre équipe vous aidera à entamer votre voyage vers la cyber-sérénité

Préférez-vous nous envoyer un courriel ?

info@approach-cyber.com

Facebook-f Linkedin-in Youtube
Facebook-f Linkedin-in Youtube