La remédiation est définie comme le projet de reprise de contrôle d’un système d’information compromis et du rétablissement d'un état de fonctionnement suffisant. Elle débute avec l’identification de l’incident et ne se termine que quand les objectifs stratégiques ont été atteints, ce qui correspond généralement au rétablissement des services et à l’éviction de l’adversaire.
Il est possible de résumer les étapes d’un projet de remédiation suivant l’acronyme « E3R », une séquence des trois « E » accompagnée d’actions de reconstruction :
- Endiguement : Freiner l’attaquant au sein du système d’information, en introduisant de la friction dans son activité afin de donner du temps et de la visibilité aux défenseurs.
- Éviction : Éliminer durablement l’adversaire du cœur de confiance, depuis lequel le reste du système d’information est géré.
- Éradication : Nettoyer le système d’information de toute emprise, même mineure, de l’attaquant.