Reprise après incident TI — Ne repartez pas « comme avant »
Post-mortem factuel, validation des correctifs réels, plan de remise en ordre — sans chasse aux sorcières.
La reprise après incident TI est un accompagnement structuré qui intervient après la stabilisation technique d'un incident cyber ou TI. Factero valide que la récupération est complète, que la cause racine a été identifiée et que les correctifs ont réellement été appliqués — selon le cadre NIST Incident Response. La pression de revenir à la « normale » est forte, mais « normale » est souvent ce qui a permis l'incident.
Pour qui ?
Organisations qui sortent d'un incident TI ou cyber.
Municipalités, MRC, townships et organismes publics qui doivent rendre des comptes après un événement. Factero Service Conseil est inscrit au SEAO (Québec) et au Ontario Tenders Portal (Ontario).
Quand est-ce utile ?
Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
- Vous sortez d'un incident (cyber, panne majeure, perte de données) et la poussière retombe.
- Votre fournisseur dit que c'est réglé, mais vous voulez une validation indépendante.
- Vous devez expliquer ce qui s'est passé à votre CA ou à un assureur.
Qu'est-ce que vous obtenez ?
Post-mortem factuel documenté.
Validation des correctifs appliqués.
Plan de remise en ordre priorisé.
Rapport structuré en deux niveaux : résumé exécutif pour la direction, l'assureur ou le CA; détail technique pour l'équipe TI. Délai indicatif : 1 à 3 semaines selon la complexité de l'incident.
Pas un bon fit ?
- Ce service est conçu pour la phase post-incident, une fois la stabilisation technique faite. Si vous êtes en plein incident actif et que vous avez besoin d'une intervention d'urgence immédiate, contactez-nous directement — on évaluera ensemble si une intervention en cours d'incident est possible.
Comment fonctionne le processus ?
Une approche rigoureuse et transparente, étape par étape.
Post-mortem factuel
Post-mortem factuel, sans chasse aux sorcières. On analyse ce qui s'est passé selon la méthode des causes racines, structurée avec la fonction Respond et Recover du NIST-CSF. L'objectif est de comprendre pour corriger — pas de désigner un coupable.
Validation des correctifs
Validation des correctifs réels, pas juste des promesses. On vérifie que ce qui devait être corrigé l'a été.
Plan de remise en ordre
Priorités, responsabilités, suivi. On se concentre sur ce qui réduit le risque, concrètement.
Foire aux questions
Les réponses aux questions que nos clients posent avant de nous contacter.
À quel moment vous contacte-t-on?
Contactez Factero une fois que les systèmes critiques sont stabilisés et que les opérations de base ont repris, même partiellement. Notre intervention se situe dans la phase post-stabilisation — pas en plein incident actif. C'est à ce moment que les décisions structurantes se prennent : le post-mortem, la validation des correctifs et le plan de remise en ordre. La pression pour « revenir à la normale » est forte après un incident, mais c'est précisément cette précipitation qui crée les récidives. Factero structure le post-mortem selon le cadre NIST Incident Response (fonctions Respond et Recover), valide que les correctifs ont réellement été appliqués — pas juste promis — et documente le tout dans un format accepté par les assureurs cyber et les conseils d'administration. Si vous êtes en plein incident actif et avez besoin d'une intervention d'urgence immédiate, contactez-nous directement pour évaluer ensemble si une intervention en cours d'incident est possible.
Comment ça se passe avec notre assureur cyber?
Le rapport de post-mortem et la validation des correctifs sont exactement ce qu'un assureur cyber demande après un sinistre. Factero produit une documentation factuelle et indépendante — chronologie de l'incident, cause racine identifiée selon le cadre NIST Incident Response, correctifs validés et mesures préventives recommandées — dans un format structuré à deux niveaux : résumé exécutif pour la direction et l'assureur, détail technique pour l'équipe TI. Ce rapport indépendant peut soutenir votre dossier de réclamation en démontrant que des mesures correctives concrètes ont été prises, documentées et vérifiées par un tiers. Notre principal associé, certifié CISA (Certified Information Systems Auditor — ISACA), apporte la crédibilité professionnelle attendue par les assureurs. On ne fait pas de déclarations à votre assureur à votre place, mais on produit la documentation qui vous permet de le faire en position de force.
Est-ce que le post-mortem va identifier des responsabilités?
Le post-mortem identifie ce qui s'est passé et pourquoi, pas qui est coupable. La distinction est fondamentale : comprendre la cause racine permet de corriger les vulnérabilités et de prévenir les récidives. Chercher un coupable crée des résistances qui ralentissent la reprise et empêchent les équipes de partager l'information nécessaire. Factero utilise une méthodologie d'analyse des causes racines structurée selon le cadre NIST-CSF (fonctions Respond et Recover), centrée sur les faits et la chronologie — pas sur l'attribution de blâme. Le rapport documente la séquence d'événements, les failles exploitées, les correctifs appliqués et les mesures préventives recommandées. Si des responsabilités contractuelles doivent être établies dans un contexte juridique — par exemple pour un litige avec un fournisseur TI ou une réclamation d'assurance — c'est un mandat distinct qui relève du service de témoin expert de Factero, avec un cadre d'intervention et des obligations différentes.
Notre fournisseur dit que c'est réglé. Pourquoi valider quand même?
« Réglé » et « sécurisé » ne sont pas toujours la même chose. Après un incident, la priorité naturelle est de revenir à la normale le plus vite possible. Mais cette urgence crée un risque concret : certains correctifs sont appliqués en surface — les symptômes disparaissent, mais les causes profondes restent. Factero valide indépendamment que les correctifs annoncés ont réellement été appliqués, que la cause racine a été identifiée et traitée, et que les systèmes restaurés sont dans un état sécurisé. Cette validation suit le cadre NIST Incident Response et s'appuie sur l'expertise d'un consultant certifié CISA (Certified Information Systems Auditor — ISACA). La démarche n'est pas un manque de confiance envers votre fournisseur — c'est une diligence raisonnable que vous devez à votre direction, votre conseil d'administration et votre assureur cyber. Si les correctifs sont solides, la validation indépendante le confirme. Si un écart existe, vous le savez avant qu'un deuxième incident ne survienne.
Quelle approche utilisez-vous pour le post-mortem?
Factero structure chaque post-mortem selon les fonctions Respond et Recover du NIST Cybersecurity Framework (NIST-CSF), le référentiel international de cybersécurité. La démarche est strictement factuelle et suit quatre phases : reconstitution chronologique de l'incident à partir des logs, témoignages et preuves techniques ; identification de la cause racine par analyse des causes profondes (pas des symptômes) ; validation que les correctifs annoncés ont réellement été appliqués et sont efficaces ; recommandations priorisées pour les ajustements résiduels. Le rapport est structuré à deux niveaux : un résumé exécutif pour la direction, le conseil d'administration ou l'assureur, et un détail technique complet pour l'équipe TI ou le fournisseur. Le principal associé détient la certification CISA (Certified Information Systems Auditor) délivrée par l'ISACA, la référence internationale en audit des systèmes d'information. L'approche est conçue pour comprendre et corriger — pas pour désigner un coupable.
Besoin d'avancer sur ce sujet ?
Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.