Avoir un intrus à l'intérieur de vos systèmes pendant des mois, sans que les administrateurs système, les spécialistes de la sécurité et les utilisateurs finaux ne le remarquent, revient à lui donner les clés de votre entreprise ou de votre organisation. Dans de trop nombreux cas, les organisations découvrent qu'elles ont été victimes d'une violation de données en apprenant par quelqu'un d'autre que leurs données privées ont été mises en vente sur le dark web. Des voix importantes au sein de la profession de la sécurité affirment que nous devons faire mieux pour détecter l'intrus parmi nous ; beaucoup disent que la détection de l'intrus devrait être la priorité des professionnels de la sécurité. Les attaques par ransomware sont devenues un gros business, impliquant non seulement des attaques d'extorsion à grande échelle, mais aussi la vente d'outils et de services d'attaque par ransomware et l'exploitation des données exfiltrées lors de la violation. Des responsables gouvernementaux et des professionnels de l'industrie du monde entier, tels qu'Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour le cyberespace et les technologies émergentes, ont fait entendre leur voix au sujet de cette "nouvelle variante très inquiétante" du modèle d'affaires des attaquants des menaces persistantes avancées (APT). Dans ce cours, nous nous concentrerons sur la réponse aux incidents et la récupération. Nous explorerons le cycle de vie de l'incident tel que défini par le serveur d'authentification NIST et continuerons avec un regard plus approfondi sur le soutien aux enquêtes médico-légales. Nous étendrons également ces idées et concepts autour du thème de la continuité de l'activité et de la reprise après sinistre.