Voilà, je me suis lancer dans la rédaction d'un document sur la conduite à tenir au cas où une machine serait compromise par une attaque...
 
Disons que je me suis inspiré de mes compétence et de ce que j'ai pu trouver (rien de bien précis).
 
Donc  je voudrais avoir votre avis Voici donc un diagramme de ma conception, qu'en pensez-vous ?
 
Merci d'avance, X.
 

ya rien à faire, machine compromise ==> débranchée du réseau et forensic

Je dirais pareil. Faut tout faire pour que la machine ne puisse pas être compromise, car après c'est isolement obligatoire (si tant est qu'on s'en rend compte puisque l'intrusion a déjà contourné la prévention)... Et plus le service fourni est critique, plus c'est important de l'arrêter immédiatement :x

Même chose. Débrancher du réseau dés que possible mais en débranchant l'alimentation (croiser les doigts). Parfois, il y a des bombes logique qui détecte le débranchement du câble réseau ou de la carte réseau.  
 
Le disque dur devrait être déplacé sur un autre système pour analyse ...

Juste 3 lettres magiques : NAP
En +, il y a depuis peu un client Mac et Linux    
Que demande le peuple ?

quel est le rapport ?

Il veut savoir quelle méthodologie : <conduite à tenir au cas où une machine serait compromise par une attaque... >
C'est précisément la raison d'etre de NAP et il pourrait regarder le fonctionnement de NAP, cela lui donnerai certainement des idées pour compléter son diagramme

Pour moi nap c'est juste autoriser l'accès au réseau en fn de l'état de santé de la machine. Un hacker compromet ta machine, nap ne fera rien

Cela dépends de la politique de sécurité mise en place !
 

peux-tu expliciter ?

Avec NAP, l'état de santé necessaire à une machine pour acceder au réseau n'est pas quelque chose de fixe.
C'est l'administrateur qui décide.
ex : Antivirus avec définition obsolete => le PC a juste un acces aux MAJ (soit en interne soit sur le net) mais à aucune autre ressource ni sur le LAN, ni sur le NET
ex : Le PC sous XP n'a pas le SP3 => acces exclusif au serveur WSUS
C'est paramétrable à souhait  
 
Quand à l'histoire du hacker qui pete un PC, laisse moi rire !
Car si un hacker arrives a toucher un PC, c'est qu'avant, il avait passer le routeur, le firewall, les serveurs...
Autant dire que de s'occuper du ¨PC est la toute dernière des priorités

Bah c'est se dont on parle : une machine est compromise. Ca peut être un serveur ou une machine.
 
Après tu as les attaques locales.
 
Alors NAP est un très bon moyen d'augmenter la santé moyenne de son parc mais est en aucun la solution pour empécher qu'une machine soit compromise

Je parlais plutôt d'un serveur basé sur *nix Donc effectivement NAP ne servira a rien, surtout si c'est un serveur important pour la connectivité globale (DNS, DHCP, RADIUS).
 
Si j'ai traité à part le fait de couper la machine niveau jus et niveau réseau c'est justement à cause des bombes logique qui peuvent se rebellé s'il perde la connectivité vers leur maître

Un système compromis peut-être également dès le début d'un achat d'un système.
Exemple: Du matériel Cisco contrefait provenant de Chine qui circule encore dans le monde.