La détection de l’incident est la phase durant laquelle on reconnaît les menaces en contrôlant de manière active les ressources et en détectant une activité anormale (NIST, 2018). Une fois qu'une menace est détectée, des mesures adéquates sont prises en vue de la neutraliser, s'il s'agit d'une menace active au moment de l’intervention, et d’enquêter sur l’incident. Après l'intervention, la première étape du processus de retour à la normale consiste à restaurer les systèmes, réseaux, services et données dans leur état opérationnel antérieur à l’incident (NIST, 2018).
Cette phase comporte aussi un élément de planification qui requiert l’identification, la création et enfin la mise en place de mesures pour le renforcement de la souplesse et la restauration des systèmes, réseaux, services et données qui étaient indisponibles, atteints, endommagés, et/ou compromis durant l’incident. Un élément essentiel pour garantir une certaine résilience est de disposer d'un plan de continuité des activités ou d'un plan d’urgence (Maras, 2014b), qui contient les instructions à suivre et les mesures à prendre en cas d'incident de cybersécurité. Pour simplifier, ce plan comprend des informations détaillées sur les manières de réagir à un incident et de revenir ensuite à une activité normale. Toutes les personnes impliquées dans ces mesures doivent être informées du plan d’urgence. Cette partie nécessite une formation comptant des exercices conçus pour tester l’efficacité et l’efficience du plan. Pour illustration, nous pouvons citer les exercices conçus par le Département de la sécurité intérieure des États-Unis, les Cyber Storm exercises, auxquels participent aussi bien des organismes publics et privés américains que ceux d'autres pays, dont l'Allemagne l'Australie, le Canada, le Danemark, la Finlande, la France, , la Hongrie, l'Italie, le Japon, la Nouvelle-Zélande, les Pays-Bas, le Royaume-Uni, la Suède et la Suisse. Ils ont pour but de tester les pratiques ayant alors cours de partage de l'information entre ces différents acteurs ainsi que degré de préparation, et leurs capacités de protection et d’intervention, en matière de cybersécurité (DHS, n.d.).