Aller au contenu principal

Reponse aux Incidents

Chatbotaurus dispose d'un playbook structure pour la gestion des incidents de securite, conforme aux exigences RGPD (Art. 33/34) et NIS2.

Niveaux de severite

NiveauDescriptionExemplesSLA
SEV1Breach confirmeeExfiltration donnees, acces non autorise DB< 1h
SEV2Exploit actifInjection SQL reussie, RCE, privilege escalation< 4h
SEV3Tentative detecteeScan actif, brute-force, injection bloquee< 24h
SEV4AnomaliePic trafic inhabituel, erreurs auth elevees< 72h

Roles

RoleResponsabilite
Incident CommanderCoordination globale, decisions
Tech LeadInvestigation technique, remediation
CommunicationsNotification clients, CNIL, presse
LegalObligations legales, RGPD Art. 33/34

Procedure de containment (SEV1/SEV2)

Actions immediates (< 15 min)

  1. Confirmer l'incident (pas un faux positif)
  2. Activer le canal de gestion de crise
  3. Notifier l'Incident Commander

Isolation (< 30 min)

  • Isoler le VPS compromis (couper le trafic entrant via nftables)
  • Revoquer tous les tokens JWT actifs
  • Bloquer les IPs suspectes via CrowdSec
  • Capturer l'etat forensic avant toute modification

Preservation des preuves

  • Snapshot disque complet
  • Dump memoire
  • Export logs CrowdSec, fail2ban, auditd
  • Export logs applicatifs (30 derniers jours)
  • Horodatage de chaque action (chain of custody)

Eradication

  1. Analyser les logs d'acces (Traefik, auditd)
  2. Identifier le vecteur d'attaque
  3. Verifier l'integrite des modeles Ollama (ModelIntegrityService)
  4. Verifier l'integrite des conteneurs (checksums images)
  5. Rotation de tous les secrets via Vault
  6. Rebuild des conteneurs compromis
  7. Patch de la vulnerabilite

Notification RGPD

DelaiAction
< 72hNotification CNIL (Art. 33)
Sans delaiNotification personnes concernees si risque eleve (Art. 34)

Exercices de simulation

4 scenarios d'exercice sont disponibles dans docs/exercises/ :

  • Data Breach (SEV1)
  • Insider Threat (SEV2)
  • Ransomware (SEV1)
  • Supply Chain (SEV2)

Fichiers de reference

FichierContenu
docs/INCIDENT_RESPONSE_PLAYBOOK.mdPlaybook complet avec commandes
docs/FORENSIC_PROCEDURES.mdProcedures forensiques
docs/DISASTER_RECOVERY_RUNBOOK.mdRunbook de reprise
docs/FAILOVER_RUNBOOK.mdRunbook de basculement