Prise en main
Architecture et cadre éthique
Cadre de travail, sécurité opérationnelle et méthode reproductible pour les missions Blue Team.
Objectif du portail
Ce site est un aide-mémoire opérationnel. Il ne remplace ni les procédures internes, ni la validation du responsable sécurité, ni les exigences légales. Utilise-le pour préparer une collecte, vérifier une commande, structurer une hypothèse et produire un rapport reproductible.
Périmètre et autorisation
Avant tout scan, test web ou collecte sur un système :
- identifier le propriétaire de l'actif ;
- obtenir un périmètre écrit : IP, FQDN, application, fenêtre de tir ;
- définir les techniques autorisées et interdites ;
- prévoir un contact d'escalade ;
- convenir d'un arrêt immédiat en cas d'impact.
Attention
Un scan Nmap, Nessus, ZAP ou Burp peut provoquer une charge, déclencher un WAF/EDR ou modifier l'état d'une application. Ne lance jamais de test actif hors périmètre autorisé.
Architecture de travail recommandée
| Zone | Rôle | Exemples |
|---|---|---|
| Poste analyste | Analyse et documentation | VM Kali/Windows, Wireshark, Volatility |
| Zone preuves | Stockage en lecture seule | NAS chiffré, dossier de cas, hashes |
| Zone outils | SIEM, sandbox et scanners | Splunk, Elastic, Suricata, Nessus |
| Zone cible | Actifs autorisés | Lab, préproduction, parc client |
Principes de sécurité
- Ne travaille jamais directement sur l'original lorsqu'une copie vérifiée est possible.
- Sépare les preuves, les exports et les fichiers temporaires.
- Journalise les commandes importantes et leur heure d'exécution.
- Utilise UTC dans les rapports, puis indique le fuseau local si nécessaire.
- Évite d'envoyer des données confidentielles à des services publics de réputation.
Convention de dossier
CASE-2026-001/
├── 00_admin/ # mandat, périmètre, contacts
├── 01_originals/ # preuves originales, lecture seule
├── 02_working_copies/ # copies de travail
├── 03_exports/ # CSV, JSON, PCAP extraits
├── 04_analysis/ # notes, scripts, captures
├── 05_timeline/ # chronologie normalisée
└── 06_report/ # rapport et annexes
Conseil opérationnel
Crée le dossier de cas avant la première collecte. Cela évite les fichiers dispersés et facilite la chaîne de garde.