Une fois un plan d'actions créé, il doit être approuvé et activement implémenté. Tous les aspects du plan qui sont questionnés durant l'implémentation active auront probablement comme résultats un pauvre temps de réponse et un temps d'indisponibilité dans le cas d'une brèche. Dans ces cas là, les exercices de pratique s'avèrent de valeur inestimable. À moins que quelque chose ne soit remarqué avant que le plan ne soit configuré activement en production, l'implémentation devrait être approuvée par toutes les parties directement connectées et exécutée avec confiance.
Si une brèche est détectée dans la présence de la CERT, plusieurs réponses sont alors possibles. L'équipe peut décider de désactiver les connexions réseau, de déconnecter les systèmes affectés, d'insérer des correctifs contre l'exploit, puis de reconnecter rapidement sans d'autres complications possibles. L'équipe peut également observer les intrus et suivre leurs actions. L'équipe peut même attirer l'intrus vers un pot de miel — un système ou un segment de réseau contenant des données intentionnellement fausses — afin de suivre une intrusion en toute sécurité et sans perturber les ressources de production.
Répondre à un incident devrait également être accompagné d'une collecte d'informations si possible. L'exécution de processus, les connexions réseau, les fichiers, les répertoires et autres devraient être analysés en temps réel. Il peut être utile de posséder un instantané des ressources de production en comparaison dans le suivi de processus ou de services vicieux. Les membres de la CERT et les spécialistes internes seront très utiles dans le suivi de telles anomalies dans un système. Les administrateurs système connaissent les processus qui devraient ou ne devraient pas apparaître en exécutant top ou ps. Les administrateurs réseau savent de quoi le trafic réseau normal devrait avoir l'air lors de l'exécution de snort ou même de tcpdump. Ces membres de l'équipe devraient connaître leurs systèmes et pouvoir détecter une anomalie plus rapidement que quelqu'un qui n'est pas familier avec l'infrastructure.
| Précédent | Sommaire | Suivant |
| Création d'un plan de réponse aux incidents | Niveau supérieur | Recherche sur l'incident |