Portail officiel de la sécurité informatique - ANSSI - République française

Il y a plusieurs façons de se rendre compte qu’un incident de sécurité s’est produit. Par exemple :
 le système informatique se comporte de façon anormale,
 ou une plainte venant de l’extérieur est reçue.

Ces symptômes doivent être pris en compte sérieusement, mais ne sont pas des indicateurs infaillibles d’incident. Ainsi, le comportement anormal d’un système peut parfois être expliqué a posteriori par des causes "naturelles" (par exemple une anomalie logicielle).

Les plaintes provenant de l’extérieur sont à examiner soigneusement, en particulier lorsqu’elles proviennent d’un organisme officiel tel qu’un CERT. Dans une grande majorité des cas, si un pirate attaque une machine, il va ensuite utiliser la machine compromise pour attaquer de nouvelles machines. Si vous recevez une plainte du type "La machine X de votre organisation tente d’attaquer nos serveurs", alors il est très probable que cette machine X ait été compromise par un pirate qui l’utilise maintenant à votre insu. La réception d’une plainte est un indicateur généralement très fiable, qu’il faut donc prendre en compte avec beaucoup d’attention.