Activités d’investigation et forensiques menées après un incident de sécurité pour reconstruire la chronologie de l’attaque, identifier les vecteurs de compromission, évaluer l’impact, collecter des preuves numériques et produire des retours d’expérience. Inclut la forensique numérique, l’analyse de malware, la corrélation de logs et l’analyse des causes profondes.