• Le signalement des évènements et des failles liées à la sécurité de l'information,
• La mise en place des responsabilités et procédures liées à la gestion des incidents.

• Préparation :

Organisation de l'équipe de veille et d'intervention 
(taille de l'équipe, description des rôles)
Organiser les contacts (CERT, Autorités Juridiques, Autorités Policières, autres spécialistes)
Définition des procédures de gestion des incidents :
(exemple :Confidentialité, Communication, Procédures d'intervention suivant attaque, Sensibilisation et formation)

• Prévention :

Détection et sélection des situations de risques (voir Méhari)
Vigie et veille technologique  (CERT, Fournisseurs, Web, Forums (F.I.R.S.T.,....)
Tests de vulnérabilité,
Mise en oeuvre des outils de détection et de prévention (IDS, IPS,...)
Gestion des correctifs au quotidien.

• Surveillance :

Exploitation des moyens de détection,
Détecter les activités non autorisées,
Journalisation des incidents de sécurité
S’assurer que les incidents sont rapportés rapidement
et selon le canal approprié

• Réaction :

Objectif : préserver au maximum la qualité des indices pour :

1 mener une analyse technique
2 mener une autopsie légale
3 évaluer le périmètre des machines affectées
4 remettre le système en service
5 empêcher la récidive

Confinement des dommages,
Analyse et Enquête préliminaire :
Analyse des symptômes et des causes, Obtenir les autorisations, Collecter les preuves volatiles, copies d'écran, faire un copie physique des disques,...etc,
Escalades éventuelles,

• Eradication :

Enquêtes approfondies
Elimination des causes selon les procédures préétablies,

• Rétablissement :

Analyse des impacts selon Enquête approfondie
Reconstitution des environnements et systèmes

• Suivi Post-mortem :

Documentation,
Améliorer les défenses,
Mise à jour des directives et procédures