Gestion d'un incident de sécurité critique
CritiqueUn client appelle ou envoie un message parce qu'il pense être victime d'un problème de sécurité grave en cours : piratage de compte, fraude bancaire, ransomware, accès non autorisé, vol de données, etc.
1. Contexte
Situation : Un client appelle ou envoie un message parce qu'il pense être victime d'un problème de sécurité grave en cours : piratage de compte, fraude bancaire, ransomware, accès non autorisé, vol de données, etc.
Objectif du hotliner :
- Détecter rapidement si c'est vraiment une urgence sécurité
- Mettre en place les actions de protection immédiates (changement MDP, déconnexion forcée, etc.)
- Escalader immédiatement vers l'équipe sécurité spécialisée
- Accompagner le client dans ses démarches (banque, police, CNIL)
- Documenter l'incident pour conformité légale
- Protéger numi contre les risques légaux
Durée de l'échange : 5–15 minutes (selon gravité + actions requises)
Priorité absolue : 🚨 URGENCE MAXIMALE
2. Script hotliner – Gestion incident sécurité critique
Phase 0 : Reconnaissance "urgence sécurité" dans les premiers mots
Signaux d'alerte CRITIQUE :
SIGNAUX À DÉCLENCHER "MODE URGENCE SÉCURITÉ"
═════════════════════════════════════════════════════
🚨 PIRATAGE ACTIF EN COURS :
├─ « Mon compte a été hacké »
├─ « Je vois des transactions que je n'ai pas faites »
├─ « Quelqu'un d'autre utilise mon compte »
├─ « Mon email a été changé sans ma permission »
├─ « Mes données sont partout sur internet »
🚨 FRAUDE BANCAIRE :
├─ « Mon compte bancaire a des retrait bizarres »
├─ « Je reçois des notifications de paiement que je n'ai pas fait »
├─ « Mon compte numi a été utilisé pour payer des trucs »
🚨 RANSOMWARE / MALWARE :
├─ « Mon ordi affiche un message "payer ou perdre données" »
├─ « Les fichiers de mon PC sont verrouillés »
├─ « Mon antivirus ne s'ouvre plus »
🚨 VOL DE DONNÉES / BRÈCHE :
├─ « Je reçois des emails de sites bizarres »
├─ « Ma boîte mail est pleine d'emails de réinitialisation »
├─ « On me demande de "vérifier" mon identité partout »
🚨 USURPATION D'IDENTITÉ :
├─ « Quelqu'un a ouvert un compte à mon nom »
├─ « J'ai reçu une mise en demeure pour un truc que je n'ai pas fait »
🚨 ACCÈS NON AUTORISÉ :
├─ « Je vois que mon compte a été accédé depuis [LIEU BIZARR] »
├─ « Quelqu'un a changé mon mot de passe »Dès QUE le hotliner entend UN de ces signaux :
Hotliner (ton calme, déterminé, actionnable) :
« D'accord, ça semble sérieux. Je prends ça vraiment au sérieux.
Vous êtes en sécurité physique, vous ? (vérifier que client n'est pas en danger immédiat)
On va agir maintenant. Laissez-moi poser quelques questions rapides, puis on va lancer les protections. »
Phase 1 : Diagnostic rapide de l'urgence
Hotliner pose questions pour évaluer GRAVITÉ et PÉRIMÈTRE :
Hotliner :
« Quelques infos pour que j'agisse vite :
- QUAND ça s'est passé ? (juste maintenant ? hier ? 1 semaine ?)
- Vous voyez QUOI exactement ? (transactions bizarres ? message d'erreur ? compte en panne ?)
- C'est JUSTE numi ou aussi d'autres services ? (banque, email, Facebook, etc.)
- Vous avez un antivirus / comment accédez-vous ? (PC, téléphone, navigateur ?)
- Vous avez SAUVEGARDÉ des données récemment ? (backup, cloud ?) »
Client répond rapidement.
Phase 2 : Actions immédiates (DANS L'ORDRE)
ÉTAPE 1 – Déconnexion forcée immédiate
Hotliner :
« D'abord, on va déconnecter votre compte de partout MAINTENANT pour arrêter l'accès non autorisé.
Ça va être instantané. Vous allez être déconnecté(e) sur tous les appareils.
Prêt(e) ? »
Hotliner exécute dans le système :
┌──────────────────────────────────────────────────┐
│ 🔒 DÉCONNEXION FORCÉE – INCIDENT SÉCURITÉ │
├──────────────────────────────────────────────────┤
│ Client : [PRENOM_CLIENT] │
│ ID : [CLT-XXXXX] │
│ Date/Heure : 19/12/2025 14:05 │
│ │
│ ACTION : Déconnexion de tous les appareils │
│ │
│ [CONFIRMER DÉCONNEXION FORCÉE] │
│ │
│ ✅ EFFECTUÉ – 14:05 │
│ Tous les tokens d'accès : RÉVOQUÉS │
│ Sessions existantes : TUÉES │
│ Client ne peut se reconnecter qu'avec NOUVEAU │
│ mot de passe (remis à zéro) │
│ │
└──────────────────────────────────────────────────┘Hotliner confirme au client :
« Voilà, c'est fait. Votre compte est maintenant DÉCONNECTÉ PARTOUT.
Même si quelqu'un d'autre avait accès, il est déconnecté maintenant. »
ÉTAPE 2 – Réinitialiser le mot de passe (nouveau)
Hotliner :
« Maintenant on va créer un NOUVEAU mot de passe ultra-sécurisé que vous êtes le seul(e) à connaître.
Je vais vous envoyer un lien de réinitialisation sécurisé sur votre email.
Vous le recevrez en 2 minutes. Cliquez dessus et créez un mot de passe TRÈS différent du précédent.
Un mot de passe vraiment fort, ok ? Au moins 16 caractères, mélange de majuscules, chiffres, symboles. »
Hotliner lance réinitialisation :
┌──────────────────────────────────────────────────┐
│ 🔐 RÉINITIALISATION MOT DE PASSE SÉCURISÉE │
├──────────────────────────────────────────────────┤
│ Client : [PRENOM_CLIENT] │
│ Email : [EMAIL_CLIENT] │
│ Raison : Incident sécurité - Piratage suspecté │
│ │
│ Type lien : Sécurisé (Token unique, 30 min) │
│ Expiration : 19/12/2025 14:35 (30 min max) │
│ Force MDP requise : Très haute │
│ │
│ [ENVOYER LIEN DE RÉINITIALISATION] │
│ │
│ ✅ LIEN ENVOYÉ – 14:05 │
│ Client reçoit : Email avec lien unique │
│ Instructions : Clic lien → créer MDP → Valider │
│ │
└──────────────────────────────────────────────────┘Hotliner attend confirmation :
« Vous avez reçu l'email avec le lien ?
Cliquez dessus maintenant, et créez un mot de passe super fort.
Je vais attendre que vous me disiez c'est fait. »
Client fait la réinitialisation.
Client dit "C'est fait".
Hotliner :
« Parfait ! Maintenant SEUL(E) vous pouvez accéder à votre compte avec ce nouveau mot de passe.
L'ancien est invalidé. »
ÉTAPE 3 – Activer la double authentification (2FA)
Hotliner :
« On va aussi ajouter une protection supplémentaire : l'authentification à deux facteurs.
Ça veut dire que même avec le bon mot de passe, on aura besoin d'une seconde validation (code SMS ou app).
Je vais l'activer maintenant sur votre compte. Vous acceptez ? »
Client dit oui.
Hotliner active 2FA :
┌──────────────────────────────────────────────────┐
│ 🔐 ACTIVATION 2FA (DOUBLE AUTHENTIFICATION) │
├──────────────────────────────────────────────────┤
│ Client : [PRENOM_CLIENT] │
│ Méthode : SMS + Code à 6 chiffres │
│ Téléphone : [PHONE_NUMÉRO] │
│ │
│ [ACTIVER 2FA] │
│ │
│ ✅ ACTIVÉ – 14:07 │
│ Tous les futurs logins : Nécessiteront Code SMS │
│ Téléphone utilisé : [PHONE_NUMÉRO] (vérifié) │
│ │
│ Client reçoit SMS test : [CODE_TEST_ENVOYÉ] │
│ │
└──────────────────────────────────────────────────┘Hotliner :
« Vous allez recevoir un SMS avec un code de test.
Vous l'avez ? Dites-moi le code pour qu'on confirme. »
Client donne le code (hotliner vérifie).
Hotliner :
« Excellent, 2FA est activé. À partir de maintenant, même quelqu'un d'autre ne pourra pas accéder sans le code SMS que vous recevez.
Tant que votre téléphone est sécurisé, c'est bon. »
ÉTAPE 4 – Vérifier les appareils connectés
Hotliner :
« Maintenant, je vais vous montrer tous les appareils connectés à votre compte.
Ça nous permettra de voir s'il y a quelque chose de bizarr. »
Hotliner affiche la liste :
APPAREIL 1 : PC Windows (Jean-Marie, 192.168.1.50)
Connexion : Hier à 10h ✅ (normal)
APPAREIL 2 : iPhone Apple (Jean-Marie, 192.168.1.51)
Connexion : Juste maintenant ✅ (normal)
APPAREIL 3 : Chrome (???, 195.154.67.89 - CHINE ???)
Connexion : Ce matin à 06h ❌ (BIZARRE!)Hotliner :
« Vous voyez ça ? Il y a un appareil étrange connecté ce matin de la Chine.
Ça, ce n'est PAS vous, c'est sûr ?
[Client dit non]
Parfait, je vais le déconnecter et l'ajouter à la liste noire. »
Hotliner exécute :
┌──────────────────────────────────────────────────┐
│ 🚫 SUPPRESSION APPAREIL NON AUTORISÉ │
├──────────────────────────────────────────────────┤
│ Appareil : Chrome, IP 195.154.67.89 (Chine) │
│ Dernière activité : 19/12/2025 06:15 │
│ │
│ [DÉCONNECTER & BLOQUER APPAREIL] │
│ │
│ ✅ FAIT – 14:08 │
│ Appareil : Déconnecté │
│ IP : Ajoutée à liste noire (blocage futur) │
│ │
└──────────────────────────────────────────────────┘Phase 3 : Escalade immédiate vers spécialiste sécurité
Hotliner :
« Bon, on vient d'arrêter l'accès immédiat.
Maintenant, je vais créer un ticket URGENT sécurité auprès de nos experts.
Ils vont :
- Analyser en détail ce qui s'est passé (logs, historique)
- Vous appeler dans l'heure pour creuser
- Vérifier si d'autres données ont été volées
Pendant ce temps, je vais aussi vous expliquer ce que vous devez faire de votre côté. »
Hotliner crée le ticket :
┌─────────────────────────────────────────────────────┐
│ 🚨 TICKET ESCALADE SÉCURITÉ CRITIQUE │
├─────────────────────────────────────────────────────┤
│ Client : [PRENOM_CLIENT] [NOM] │
│ ID Client : [CLT-XXXXX] │
│ Ticket : SEC-URGENT-001-20251219 │
│ │
│ PRIORITÉ : 🚨 CRITIQUE (IMMÉDIAT) │
│ Assigné à : Équipe sécurité numi │
│ Délai de contact : MAX 1 heure │
│ │
│ TYPE INCIDENT │
│ ────────────────────────────────────────────────────│
│ ☐ Piratage compte │
│ ☐ Fraude bancaire │
│ ☐ Ransomware / Malware │
│ ☐ Vol de données / brèche │
│ ☐ Usurpation identité │
│ ☑ Accès non autorisé (IP étrangère détectée) │
│ │
│ DESCRIPTION INCIDENT │
│ ────────────────────────────────────────────────────│
│ Client a détecté accès depuis IP étrangère (Chine) │
│ Heure découverte : 19/12/2025 ~06h │
│ Actions prises : Déconnexion, MDP reset, 2FA │
│ Appareils non autorisés : 1 (IP 195.154.67.89) │
│ │
│ ACTIONS DÉJÀ EFFECTUÉES │
│ ────────────────────────────────────────────────────│
│ ✅ Déconnexion forcée de tous les appareils │
│ ✅ Réinitialisation mot de passe │
│ ✅ Activation 2FA │
│ ✅ Suppression appareil non autorisé │
│ ✅ IP malveillante blocklistée │
│ │
│ DONNÉES POTENTIELLEMENT À RISQUE │
│ ────────────────────────────────────────────────────│
│ • Email enregistré : [EMAIL_CLIENT] │
│ • Téléphone : [PHONE_CLIENT] │
│ • Adresse : [ADDRESS_CLIENT] │
│ • Historique paiements : À vérifier │
│ • Données ateliers : À vérifier │
│ │
│ CONTACT CLIENT │
│ ────────────────────────────────────────────────────│
│ Email : [EMAIL_CLIENT] │
│ Téléphone : [PHONE_CLIENT] │
│ Meilleur moment contact : [TIMEFRAME] │
│ Urgence : CLIENT CONSCIENT, DISPONIBLE │
│ │
│ HOTLINER INITIAL │
│ ────────────────────────────────────────────────────│
│ Nom : [HOTLINER_PRENOM] │
│ Heure escalade : 19/12/2025 14:08 │
│ │
│ [ CRÉER & MARQUER URGENT ] │
│ │
└─────────────────────────────────────────────────────┘Phase 4 : Conseils immédiats au client (pendant qu'on attend expert)
Hotliner :
« En attendant que l'expert sécurité vous appelle, il y a des choses que vous devez faire MAINTENANT :
⚠️ ACTION 1 – VOTRE BANQUE
Appelez votre banque IMMÉDIATEMENT.
Dites-leur : « Mon compte email/numérique a été hacké. Je veux vérifier s'il y a eu des transactions frauduleuses. »
Demandez-leur de :
- Vérifier les transactions (dernières 24-48h)
- Bloquer la carte si doute
- Signaler à leur équipe fraude
Leur numéro : [Généralement sur votre carte]
⚠️ ACTION 2 – VOS AUTRES COMPTES
Changez les mots de passe de vos comptes importants:
- Email (Gmail, Outlook, etc)
- Banque en ligne
- Amazon / PayPal
- Réseaux sociaux
Depuis UN APPAREIL SAIN (pas celui qui a peut-être été infecté)
Et mettez 2FA partout aussi.
⚠️ ACTION 3 – VOTRE ANTIVIRUS
Lancez une analyse complète du PC/téléphone avec votre antivirus.
Si vous en avez pas, installez un (Windows Defender est OK).
Cherchez : Malware, ransomware, virus.
⚠️ ACTION 4 – SURVEILLANCE CRÉDIT
Envisagez de vous inscrire à un service de monitoring crédit.
Ça vous alerte si quelqu'un essaie d'ouvrir un compte à votre nom.
Vous pouvez le faire sur www.equifax.fr ou www.cnil.fr »
Hotliner :
« Vous notez tout ça ?
C'est important. Les trois premières choses (banque, MDP autres comptes, antivirus), c'est À FAIRE AUJOURD'HUI.
Ok ? »
Phase 5 : Email de confirmation + plan d'action
Email envoyé au client :
Sujet : 🚨 URGENT – Incident sécurité – Actions prises et à faire
Corps :
Bonjour [PRENOM_CLIENT],
Suite à votre appel d'urgence concernant une tentative d'accès non autorisée à votre compte numi, voici le RÉSUMÉ DES ACTIONS PRISES et ce que vous devez faire.
✅ ACTIONS QUE NOUS AVONS FAITES (COMPTE SÉCURISÉ)
🔒 Déconnexion forcée – Tous les appareils ont été déconnectés (14:05)
🔐 Mot de passe réinitialisé – Nouveau mot de passe FORT créé (14:06)
2️⃣ Double authentification activée – Code SMS sur chaque connexion (14:07)
🚫 Appareil malveillant bloqué – IP 195.154.67.89 blacklistée (14:08)
Votre compte est maintenant SÉCURISÉ.
⚠️ ACTIONS QUE VOUS DEVEZ FAIRE (URGENT – AUJOURD'HUI)
1️⃣ APPELER VOTRE BANQUE (Immédiatement)
- 📞 Numéro sur votre carte de crédit
- 💬 Dites : « Mon email a été hacké, vérifiez fraude »
- ✅ Demandez : Vérifier transactions, bloquer si doute, signaler fraude
2️⃣ CHANGER AUTRES MOTS DE PASSE (Aujourd'hui)
Depuis UN APPAREIL SÛRE (pas celui qui a peut-être été infecté) :
- ✉️ Email principal (Gmail, Outlook, Yahoo…)
- 🏦 Compte bancaire en ligne
- 🛒 Amazon, PayPal, sites paiement
- 👤 Facebook, Instagram, autres réseaux sociaux
Conseil : Utilisez un mot de passe manager (1Password, Bitwarden) pour générer des mots de passe super forts.
3️⃣ ANALYSER VOTRE ORDINATEUR (Aujourd'hui)
Lancez antivirus COMPLET scan :
- Windows : Defender (inclus dans Windows)
- Mac : Malwarebytes (gratuit)
- Mobile : Google Play Protect
Cherchez : Malware, ransomware, virus
4️⃣ SURVEILLER VOTRE CRÉDIT (Cette semaine)
Pour éviter usurpation identité :
- www.equifax.fr (vérifier rapports crédit)
- www.experian.fr
- Service gratuit gouvernemental : www.identité-numerique.gouv.fr
📞 EXPERT SÉCURITÉ – APPEL IMMÉDIAT
Notre équipe sécurité vous contactera dans l'HEURE.
Ticket : SEC-URGENT-001-20251219
Expert assigné : Équipe sécurité numi
Contact : +33 (0)1 XX XX XX XX
L'expert va :
- Analyser l'accès non autorisé en détail
- Vérifier si d'autres données ont fui
- Vous proposer les mesures additionnelles si besoin
📋 DÉPÔT DE PLAINTE (Si fraude prouvée)
Si des transactions frauduleuses sont confirmées :
-
Déposer plainte police :
- En ligne : www.pre-plainte-en-ligne.gouv.fr
- Ou commissariat local (avec pièces d'identité + preuves fraude)
-
Signaler à la CNIL :
- Formulaire : www.cnil.fr/plainte
- Motif : Vol données personnelles / piratage
-
Signaler à numi :
- Répondez à cet email avec certificat dépôt plainte
- Ça nous aide à améliorer sécurité
❓ QUESTIONS ?
- 📞 Appelez-nous : +33 (0)1 XX XX XX XX (24/7 sécurité)
- 📧 Email urgent : security@numi.support
- 🎟️ Référence : SEC-URGENT-001-20251219
Nous sommes 100% avec vous sur ça.
L'équipe numi.support
Département Sécurité
Phase 6 : Suivi expert sécurité (N2 + expert sécu)
Expert sécurité appelle client dans l'heure :
Expert sécurité :
« Bonjour [PRENOM_CLIENT], je suis [EXPERT_PRENOM], spécialiste sécurité chez numi.
J'ai vu votre cas d'accès non autorisé ce matin de la Chine.
Je vais approfondir avec vous pour comprendre comment l'accès s'est fait et vérifier qu'aucune donnée n'a fui.
Vous avez quelques minutes ? »
Expert pose questions de diagnostic :
QUESTIONS DIAGNOSTIC EXPERT SÉCURITÉ
═════════════════════════════════════════════════════
1. HISTORIQUE
├─ Vous aviez un compte depuis quand ?
├─ Mot de passe : Vous l'aviez changé quand dernièrement ?
├─ Vous aviez reçu des emails bizarres récemment ?
└─ Phishing ? « Cliquer lien pour vérifier compte » ?
2. APPAREIL
├─ Quel appareil utilisez-vous d'habitude ?
├─ Autre personne utilise l'appareil ?
├─ Connecté WiFi public récemment (café, aéroport) ?
├─ Antivirus à jour ?
└─ Avez-vous reçu email "étrange" ces jours-ci ?
3. ACCÈS
├─ Vous avez noté QUAND la connexion bizarr ?
├─ Vous avez reçu notification login (email, SMS) ?
├─ Mot de passe changé automatiquement ?
└─ Autres appareils aussi étaient bizarres ?
4. IMPACT
├─ Données sensibles sur le compte ?
├─ Paiements liés ? (carte bancaire, PayPal)
├─ Contacts (emails de famille / amis) ?
└─ Données personnelles (adresse, tél) ?Après diagnostic :
Expert sécurité :
« Voilà ce que j'ai trouvé / ce qui s'est probablement passé :
[EXPLICATION TECHNIQUE]
Ça veut dire que [IMPACT RÉEL].
On va faire ça maintenant :
- [ACTION 1] pour protéger à jamais
- [ACTION 2] pour surveiller futur
- [ACTION 3] si données sensibles
Et je reste en contact pour les 7 prochains jours pour vous rassurer. »
Phase 7 : Dépôt de plainte et CNIL (si fraude)
Si fraude bancaire prouvée :
Hotliner ou expert sécurité :
« Puisqu'il y a eu transactions frauduleuses confirmées, je vais vous aider avec le dépôt de plainte.
Vous avez deux options :
En ligne (plus simple) : www.pre-plainte-en-ligne.gouv.fr
- 10 min, vous recevez un PDF numéro plainte
Commissariat local : Apporter pièces d'ID + preuves fraude
Je vous envoie un guide complet avec tous les détails à donner.
Vous allez le faire quand ? Aujourd'hui ? »
Email guide dépôt plainte :
Sujet : 📋 Guide dépôt plainte – Fraude détectée
Corps :
Bonjour,
Suite à la fraude confirmée sur votre compte, voici comment déposer plainte.
OPTION 1 – En ligne (RAPIDE, RECOMMANDÉ)
Allez sur : www.pre-plainte-en-ligne.gouv.fr
Vous aurez besoin de :
- Pièce d'identité (numéro)
- Email de la plainte
- Détails transactions frauduleuses (dates, montants)
- Numéro de ticket numi : SEC-URGENT-001-20251219
Procédure (10 min) :
- Cliquez « Nouvelle plainte »
- Sélectionnez « Escroquerie / fraude en ligne »
- Remplissez formulaire
- Téléchargez copie emails numi + relevé bancaire
- Validez
- ✅ Reçu numéro plainte par email
OPTION 2 – Commissariat local
Allez au commissariat avec :
- 📋 Pièce d'identité
- 📧 Emails de numi (notifications accès)
- 💳 Relevé bancaire (montrer transactions frauduleuses)
- 🎟️ Numéro ticket numi : SEC-URGENT-001-20251219
Dites-leur :
« Je dépose plainte pour fraude suite à piratage de compte email. Voici les preuves des transactions frauduleuses. »
Ils vont :
- Enregistrer la plainte
- Vous donner un numéro
- Donner copie à vous
SIGNALER À LA CNIL (Protection données)
Allez sur : www.cnil.fr/plainte
Motif : Vol/accès non autorisé à données personnelles
Ça force numi à enquêter sur la faille sécurité.
ENVOYER À numi
Une fois les plaintes déposées, envoyez les copies à : security@numi.support
Avec numéro de plainte police et numéro CNIL.
Ça nous aide à :
- Améliorer nos mesures sécurité
- Vous proposer compensation si applicable
- Documenter légalement
QUESTIONS ?
- 📞 Expert sécurité : +33 (0)1 XX XX XX XX
- 📧 security@numi.support
L'équipe numi.support
3. Système de suivi post-incident
3.1 Fiche incident sécurité (documentation légale)
À remplir immédiatement et conserver 10 ans :
┌──────────────────────────────────────────────────┐
│ 📋 INCIDENT SÉCURITÉ – DOCUMENTATION LÉGALE │
├──────────────────────────────────────────────────┤
│ │
│ INCIDENT │
│ ────────────────────────────────────────────────│
│ Ticket : SEC-URGENT-001-20251219 │
│ Date détection : 19/12/2025 │
│ Heure : 14:00 environ │
│ Signalé par : Client [PRENOM_CLIENT] │
│ Hotliner N1 : [HOTLINER_PRENOM] │
│ Expert sécurité : [EXPERT_PRENOM] │
│ │
│ TYPE INCIDENT │
│ ────────────────────────────────────────────────│
│ ☑ Accès non autorisé │
│ ☐ Vol de données │
│ ☐ Fraude bancaire │
│ ☐ Ransomware │
│ ☐ Malware │
│ ☐ Usurpation identité │
│ │
│ DESCRIPTION INCIDENT │
│ ────────────────────────────────────────────────│
│ Accès depuis IP étrangère (195.154.67.89, Chine)│
│ Heure d'accès détectée : 06h15 │
│ Détecté par client : 14h00 (environ 8h après) │
│ │
│ DONNÉES EXPOSÉES (Y/N) │
│ ────────────────────────────────────────────────│
│ Email : Oui (disponible sur compte) │
│ Téléphone : Oui │
│ Adresse : Oui │
│ Paiements : À vérifier (pas de fraude bank détect)
│ Ateliers/historique : Oui mais pas sensible │
│ │
│ ACTIONS IMMÉDIATES EFFECTUÉES │
│ ────────────────────────────────────────────────│
│ ✅ Déconnexion forcée – Heure : 14:05 │
│ ✅ Reset MDP – Heure : 14:06 │
│ ✅ Activation 2FA – Heure : 14:07 │
│ ✅ Blocage IP – Heure : 14:08 │
│ ✅ Escalade expert – Heure : 14:08 │
│ │
│ RÉSULTAT ENQUÊTE EXPERT │
│ ────────────────────────────────────────────────│
│ Cause probable : Réutilisation password │
│ (breach autre plateforme) │
│ Impact réel : Email + tél exposés (pas paiement) │
│ Autres comptes risque : À vérifier client │
│ │
│ OBLIGATION LÉGALE (RGPD) │
│ ────────────────────────────────────────────────│
│ Notification client : ✅ Fait (email + appel) │
│ CNIL notification : Pas requise (email pas chiffré)
│ Mais signalé volontairement │
│ Rapport interne : ✅ À créer │
│ │
│ SUIVI CLIENT │
│ ────────────────────────────────────────────────│
│ J+1 (20/12) : Email de vérification │
│ J+3 (22/12) : Appel vérification (client ok ?) │
│ J+7 (26/12) : Clôture incident │
│ │
│ COMPENSATION / GESTE │
│ ────────────────────────────────────────────────│
│ Crédit : 50€ (reconnaissance incident) │
│ 1 mois gratuit : Oui (ancienneté + sérieux) │
│ Surveillance crédit : 1 an gratuit (si applicable)│
│ │
│ CONSERVATION ARCHIVES │
│ ────────────────────────────────────────────────│
│ Conservation : 10 ans (obligation légale) │
│ Accès : Sécurisé, chiffré │
│ Audit : Autorisé autorités (CNIL, police) │
│ │
└──────────────────────────────────────────────────┘3.2 Suivi J+1, J+3, J+7
Expert sécurité fait suivi proactif :
EMAIL J+1 (Jour suivant):
Sujet : ✅ Suivi incident – Compte sécurisé – Vérifications
Bonjour [PRENOM_CLIENT],
Juste un suivi pour vous assurer que tout va bien après l'incident d'hier.
✅ STATUT COMPTE :
- Compte : Sécurisé ✅
- 2FA : Actif ✅
- Password : Nouveau, fort ✅
✅ ACTIONS VOTRE CÔTÉ :
- Banque contactée ? (Oui / Non)
- MDP autres comptes changés ? (Oui / Non)
- Antivirus lancé ? (Oui / Non)
Répondez juste Oui/Non pour que je suive.
Si problème : 📞 +33 1 XX XX XX XX (24h)
APPEL J+3 (Jour 3):
Expert appelle pour vraiment vérifier que tout est OK et client n'a pas peur.
EMAIL J+7 (Clôture):
Sujet : ✅ Incident fermé – Vérifications complètes OK
Bonjour [PRENOM_CLIENT],
L'incident est maintenant CLÔTURÉ.
Voici le résumé des vérifications :
- ✅ Aucune donnée nouvelle volée (7 jours monitoring)
- ✅ Aucune fraude additionnelle détectée
- ✅ Votre compte : Sain et sécurisé
- ✅ Crédit 50€ + 1 mois gratuit appliqué
Tout est bon !
Si vous avez future problème sécurité : Appelez-nous immédiatement.
L'équipe sécurité numi
4. Matrice réponse selon type incident
╔══════════════════════════════════════════════════════╗
║ MATRICE – TYPE INCIDENT → RÉACTION APPROPRIÉE ║
╚══════════════════════════════════════════════════════╝
INCIDENT 1 : "Accès non autorisé détecté"
──────────────────────────────────────────────────────
Signal : IP étrangère, login étrange
Réaction : Déconnexion forcée + MDP reset + 2FA
Délai : IMMÉDIAT (< 5 min)
Escalade : Oui (sécurité expert)
Geste : Crédit 35-50€
INCIDENT 2 : "Fraude bancaire en cours"
──────────────────────────────────────────────────────
Signal : Transactions non autorisées
Réaction : Déconnexion + MDP + 2FA + EMAIL URGENT BANQUE
Délai : IMMÉDIAT
Escalade : Immédiatement (expert sécurité)
Geste : 50-100€ + 1 mois gratuit
Plainte : Oui (guide + assistance)
INCIDENT 3 : "Ransomware / Malware"
──────────────────────────────────────────────────────
Signal : Fichiers verrouillés, message "payer ou perdre"
Réaction : URGENT - PAS PAYER
→ Antivirus / expert IT
→ NE PAS payer rançon
→ Signaler police
Délai : IMMÉDIAT appel IT
Escalade : Expert sécurité + IT
Geste : 100€ + offre consulting sécurité gratuit
INCIDENT 4 : "Vol données / brèche"
──────────────────────────────────────────────────────
Signal : Email rempli de réinitialisation, données partout
Réaction : MDP reset + 2FA + Monitorage
Délai : URGENT (< 1h)
Escalade : Expert sécurité
Geste : Crédit 50€ + surveillance 1 an
CNIL : Signaler (proactif)
INCIDENT 5 : "Usurpation identité"
──────────────────────────────────────────────────────
Signal : Compte ouvert à mon nom, mise en demeure reçue
Réaction : Très urgent (impact légal)
Délai : IMMÉDIAT expert sécurité + conseil juridique numi
Escalade : Sécurité + Juridique
Geste : Compensation (à étudier)
Plainte : Oui (guide complet)5. Checklist hotliner – Incident sécurité
╔═════════════════════════════════════════════════════╗
║ ✅ CHECKLIST HOTLINER – INCIDENT SÉCURITÉ ║
╚═════════════════════════════════════════════════════╝
DÈS L'APPEL
─────────────────────────────────────────────────────
☐ Identifier si vraiment URGENCE sécurité
☐ Ton calme + déterminé (client en confiance)
☐ NE PAS sous-estimer
☐ Notes clés pendant l'appel
ACTIONS IMMÉDIATE (DANS L'ORDRE)
─────────────────────────────────────────────────────
☐ Déconnexion forcée de tous appareils
☐ Reset mot de passe (nouveau, fort)
☐ Activation 2FA
☐ Vérifier/bloquer appareils suspects
☐ Escalade ticket URGENT sécurité
☐ Email confirmation + conseils immédiat
☐ Contact client pour expert : < 1 heure
CONSEILS AU CLIENT (PENDANT)
─────────────────────────────────────────────────────
☐ Appeler banque IMMÉDIATEMENT
☐ Changer autres mots de passe
☐ Lancer antivirus complet
☐ Monitoring crédit (optionnel mais suggéré)
EMAIL RÉCAP
─────────────────────────────────────────────────────
☐ Actions prises (déconnexion, reset, 2FA)
☐ Conseils immédiat (banque, MDP, antivirus)
☐ Expert contact + timing
☐ Lien plainte (si fraude)
DOCUMENTATION
─────────────────────────────────────────────────────
☐ Fiche incident complétée
☐ Tous détails notés (IP, heure, etc)
☐ Archives : 10 ans minimum
☐ Accès sécurisé / chiffré
SUIVI POST
─────────────────────────────────────────────────────
☐ Email J+1 (vérification simple)
☐ Appel J+3 (assurance client)
☐ Clôture J+7 (si tout bon)
☐ Notification CNIL (si données sensibles)
BIEN-ÊTRE HOTLINER
─────────────────────────────────────────────────────
☐ Pause après appel stressant
☐ Débriefing avec manager
☐ Assurance : "T'as bien géré"
6. KPIs incident sécurité
| Métrique | Définition | Cible |
|---|---|---|
| % incidents détectés | Incidents sécurité découverts / mois | 0–2% |
| Temps escalade | Délai appel → expert sécurité | ≤ 1 heure |
| Déconnexion forcée | % incidents avec déconnexion < 5 min | 100% |
| 2FA activation | % incidents avec 2FA activée | 100% |
| Email de suivi J+1 | % clients recevant suivi | 100% |
| Satisfaction post-incident | Client satisfait gestion | ≥ 4/5 |
| Fraude confirmée | % des "fraudes suspects" qui étaient vraies | 60–80% |
| Plainte déposée | % incidents avec plainte police / CNIL | ≥ 80% |
| Rétention post-incident | Client ne résilié pas après incident | ≥ 90% |
| RGPD conformité | % incidents documentés légalement | 100% |
7. Quiz formation – Incident sécurité
QUIZ – GESTION INCIDENT SÉCURITÉ CRITIQUE
═════════════════════════════════════════════════════
Q1 : Un client appelle : « Mon compte a été hacké,
quelqu'un d'autre se connecte ! »
Première action ?
A) Demander plus de détails
B) Déconnecter forcé TOUS les appareils ✅
C) Escalader directement
D) Demander changement MDP
Réponse : B
Explication : Arrêter l'accès immédiatement =
priorité max. Puis on fait suite.
---
Q2 : Client : « Je reçois transactions bancaires bizarres »
Que dire EN PRIORITÉ ?
A) « On va enquêter »
B) « Appelez VOTRE BANQUE IMMÉDIATEMENT » ✅
C) « Changez votre mot de passe »
D) « On va vous escalader »
Réponse : B
Explication : Fraude bancaire = responsabilité
BANQUE. Client doit agir vite (blocage carte, etc).
---
Q3 : Client est un peu paniqué après incident.
Ton approprié ?
A) Dramatique (« C'est grave ! »)
B) Calme, déterminé (« Je sécurise, on agit ») ✅
C) Minimaliste (« C'est rien, arrive toujours »)
D) Humour (« Lol bienvenue hacking »)
Réponse : B
Explication : Client paniqué → hotliner calme =
confiance. Pas dramatiser ni minimiser.
---
Q4 : Quel délai pour expert sécurité ?
A) 24 heures
B) 1 heure ✅
C) 1 semaine
D) Dès que possible (pas timing)
Réponse : B
Explication : Sécurité = URGENT. Expert doit
appeler dans l'heure max.
---
Q5 : Après déconnexion forcée, quelle est PROCHAINE étape ?
A) Escalader
B) Réinitialiser MDP (nouveau, fort) ✅
C) Attendre que client réagisse
D) Vérifier appareils
Réponse : B
Explication : MDP reset = étape 2 immédiate.
Seul client avec ancien MDP = useless maintenant.
Cet article vous a-t-il été utile ?