Introducing G2.ai, the future of software buying.Try now
Catégorie Réponse aux incidents

Réponse aux incidents : Comment rendre les incidents cybernétiques moins chaotiques

12 Janvier 2021
Sagar Joshi
SJ
par Sagar Joshi

Dans cet article

Dans cet article

Toutes les entreprises font inévitablement face à un incident de sécurité.

Ce n'est qu'une question de temps, et lorsque cela se produit, la réponse de votre organisation aura un impact sur la réputation de votre entreprise, le temps et les revenus. Pour minimiser les répercussions majeures, vous devez planifier une réponse avant qu'un incident de sécurité ne se produise réellement.

Créer un plan de réponse aux incidents efficace vous aidera grandement à gérer les incidents de sécurité et vous fournira un cadre fiable pour mettre en place les procédures opérationnelles. Assurez-vous de communiquer précisément la politique de réponse aux incidents à toutes les équipes de l'organisation et travaillez à mettre en œuvre la politique lors d'une véritable cyberattaque.

Qu'est-ce que la réponse aux incidents ?

Un plan de réponse aux incidents est une approche bien définie et systématique pour gérer et traiter un incident de sécurité de manière à ce qu'il ait un impact minimal sur une organisation. L'approche vise à limiter les dommages et à réduire le temps et les coûts de réponse.

Les incidents de sécurité ne sont pas seulement un problème technique, mais ils affectent également les entreprises sous divers angles. S'ils ne sont pas gérés correctement, ils peuvent entraîner des problèmes juridiques, entraînant l'imposition de lourdes amendes à votre organisation, selon le type d'informations ou d'actifs compromis.

Pour éviter de telles situations, créez une politique de réponse aux incidents afin de savoir quoi faire et comment limiter les dommages si un incident malheureux se produit.

Avant de plonger profondément dans la compréhension détaillée de la réponse aux incidents, prenons un moment pour clarifier le jargon et les terminologies que nous utiliserons dans l'article. Les responsables informatiques utilisent des termes spécifiques basés sur leur expérience antérieure dans l'industrie, ce qui peut créer de la confusion car d'autres peuvent comprendre le sens différemment.

Les termes les plus fondamentaux ici sont événement et incident. Un événement est toute occurrence observable dans un système ou un réseau, pas nécessairement malveillante. La publication spéciale de l'Institut national des normes et de la technologie (NIST) définit un incident comme une violation ou une menace imminente de violation des politiques de sécurité informatique, des politiques d'utilisation acceptable ou des pratiques de sécurité standard.

Si vous avez travaillé dans l'industrie ITSM auparavant, vous vous souvenez peut-être d'une définition différente d'un incident. Les deux se réfèrent à une interruption non planifiée du service ou à une réduction de la qualité du service. Cependant, dans cet article, nous nous concentrerons davantage sur un incident lié à la sécurité informatique qui compromet la cybersécurité d'une organisation.

Pourquoi la réponse aux incidents est-elle importante ?

Les hackers évoluent constamment, tout comme leurs méthodes. Avec une gamme de vecteurs d'attaque parfaitement capables de converger une cyberattaque à l'avant-garde numérique de votre entreprise, vous ne pouvez pas vous permettre d'expérimenter votre stratégie de réponse.

Vous devriez avoir un plan d'action défini et simple avant qu'un événement ne se produise. Au milieu du paysage actuel des menaces cybernétiques, ce n'est pas une question de savoir si une violation de sécurité se produit. C'est plutôt une question de quand, et lorsqu'un incident de cybersécurité se produit, vous devez être prêt.

Un plan de réponse aux incidents vous permet d'être proactif lors d'une crise de sécurité et vous fournit la clarté nécessaire pour la contenir et aider votre organisation à se rétablir. De plus, il insiste sur une approche préventive. En plus de poser les bases de la réponse, il aide les organisations à tirer des leçons des incidents et à mettre en place des mesures préventives et de remédiation pour les éviter à l'avenir.

Les raisons pour lesquelles un plan de réponse aux incidents est important sont :

  • Protéger les données : Les données sont l'épine dorsale des entreprises. Leur sécurité est essentielle pour l'organisation et ses clients. Le plan de réponse aux incidents (IR) vous aide à renforcer la sécurité en introduisant des méthodes modernes de protection des données basées sur les leçons tirées des incidents précédents.
  • Maintenir la confiance : Une violation peut vous coûter la confiance durement acquise de vos clients, investisseurs et autres parties prenantes. Le plan de réponse aux incidents vous permet de traiter un incident de violation de données de manière appropriée et de limiter son impact le plus tôt possible. Cela vous aidera à maintenir la confiance et la confiance de toutes les parties prenantes impliquées.
  • Protéger les revenus : Dans les incidents de sécurité, les revenus subissent un impact substantiel. Que ce soit sous la forme d'une rançon lors d'une attaque par ransomware ou d'amendes imposées par les autorités de régulation, ou lorsqu'un client emmène son entreprise ailleurs. Pour les entreprises publiques, cela se reflète principalement sur leurs cours boursiers sur le marché. Les plans IR vous permettent d'agir sur un incident de manière structurée pour arrêter la fuite de revenus et gérer l'attaque rapidement.

En conclusion, plus vous traitez rapidement un incident de sécurité avec un plan bien pensé, mieux vous pouvez aider votre organisation à minimiser son impact. Vous avez de nombreuses parties mobiles dans un incident de sécurité : des sous-traitants tiers, des autorités légales et gouvernementales, la presse, et d'autres.

Un plan de réponse aux incidents approprié vous aidera à conserver la clarté sur le plan d'action en période de stress. Cela rendra le temps chaotique un peu moins agité et beaucoup plus efficace.

Vous voulez en savoir plus sur Logiciel de réponse aux incidents ? Découvrez les produits Réponse aux incidents.

4 phases d'une réponse aux incidents

Avant de plonger dans les quatre phases de la réponse aux incidents, il est primordial que vous ayez un plan de communication en place, afin que lorsqu'un incident réel se produise, vous ne soyez pas en train de lutter pour mobiliser efficacement votre équipe de réponse aux incidents de sécurité informatique. Il est conseillé d'équiper votre équipe de logiciels de réponse aux incidents pour automatiser divers processus, et/ou de leur fournir les outils nécessaires pour détecter et résoudre les violations de sécurité.

1. Préparation

Tout d'abord, réservez un endroit où votre équipe peut se rassembler et travailler à une réponse. Cet endroit est communément appelé salle de guerre ou centre de commandement. Si vos équipes sont déployées à différents endroits, envisagez d'avoir un canal de communication sécurisé. Évitez de vous fier à vos anciens canaux de communication car vous ne sauriez pas initialement s'ils ont été compromis.

Conseil : Les moyens de communication traditionnels peuvent être le meilleur choix dans des situations défavorables. Par exemple, partager une image d'un tableau blanc contenant les détails par e-mail ou messagerie instantanée.

Si les membres de votre équipe travaillent à distance, envisagez de les équiper d'un logiciel de visioconférence sécurisé et d'utiliser ses fonctionnalités, comme les salles de sous-commission, pour assurer une collaboration efficace.

Mettez en place un répertoire de contacts couvrant tout le monde dans les équipes de réponse aux incidents et ayez une personne de garde, même pendant la nuit. Il est préférable que la responsabilité de garde soit partagée par quelques membres qui s'en occupent régulièrement. Comme mentionné précédemment, un incident de sécurité n'est qu'une question de temps, et il peut se produire même à 3 heures du matin. Avoir une personne de garde garantirait à votre organisation le soutien dont elle a besoin de la part de votre équipe dans des situations défavorables.

Lors d'un incident, vos équipes ont besoin d'un arsenal de matériel et de logiciels pour combattre l'attaque cybernétique en cours. Il est conseillé de présélectionner ces outils pour former vos équipes à les utiliser, afin qu'elles soient prêtes à les utiliser.

Vous pouvez également aider à prévenir une cyberattaque en équipant l'entreprise des meilleurs outils de sécurité. En général, cela relèverait du personnel des opérations informatiques, mais vous pouvez ajouter vos suggestions basées sur votre expérience et vos apprentissages en matière de gestion des incidents. Vous auriez besoin d'une boîte à outils de criminalistique numérique pour mener une analyse approfondie de l'environnement informatique.

Peut-être inclure les coûts du matériel et des logiciels dans votre budget vous aiderait à élaborer une stratégie sur l'aspect financier de l'équipe de réponse aux incidents. Ensuite, vous aurez besoin de ressources techniques et d'informations pour pouvoir évaluer correctement l'incident. Vous pouvez effectuer une modélisation des menaces pour planifier et optimiser les opérations de sécurité du réseau.

Ces ressources techniques nécessaires à votre équipe peuvent être divisées en cinq catégories, comme suit :

  • Listes de ports : Les listes de divers ports, protocoles et services
  • Documentation : Une liste des systèmes d'exploitation, des applications, des produits de sécurité et des protocoles du réseau auquel vous souhaitez répondre
  • Baselines actuels : Pour connaître le logiciel que vous devrez installer sur un système ou un serveur particulier
  • Hachages cryptographiques : Collection de tous les hachages cryptographiques pour tous les fichiers critiques, y compris vos applications de base qui servent d'empreinte digitale
  • Diagrammes de réseau : Pour permettre aux équipes IR d'accélérer la réponse au lieu de scanner et de comprendre l'architecture du réseau

2. Détection et analyse

Avant de mettre en œuvre votre plan de réponse aux incidents, vous devez être sûr qu'un incident s'est produit. Pour détecter un incident, vous devez rechercher des précurseurs ou des indicateurs.

Précurseurs : Ce sont des signes qui laissent entrevoir la possibilité d'un incident à l'avenir.

Par exemple, si vos journaux montrent que quelqu'un a effectué une analyse de port ou une analyse de vulnérabilité sur votre système. C'est un précurseur, car les attaquants pourraient analyser le système pour détecter des vulnérabilités avant de lancer l'attaque cybernétique. De même, si une nouvelle vulnérabilité de sécurité est découverte dans l'une des solutions logicielles tierces que vous utilisez, elle peut également être considérée comme un précurseur. Le hacker pourrait rétroconcevoir cette vulnérabilité pour converger une attaque sur votre organisation.

Indicateurs : Ce sont des signes qu'un incident peut s'être produit ou peut se produire maintenant.

Un exemple d'indicateur peut être lorsque votre système de détection d'intrusion vous alerte sur un logiciel malveillant tentant de se signaler depuis l'un de vos hôtes sur le réseau. De même, les signes indiquant que quelque chose de malveillant se passe maintenant peuvent être traités comme des indicateurs.

Dans la phase de détection, vous devez rechercher les indicateurs de compromission (IOC). Ce sont des signes qui vous indiquent avec une grande confiance qu'un incident s'est produit. En général, vous pouvez rechercher des signatures de logiciels malveillants, des URL ou des noms de domaine de sites Web malveillants, des serveurs de commande et de contrôle de botnet, et bien d'autres.

Vous obtiendrez ces signes à partir de systèmes de détection et de prévention des intrusions, de systèmes SIEM, de systèmes antispam et antivirus, de logiciels de vérification de l'intégrité des fichiers et d'autres outils de surveillance tiers. Vous pouvez également tirer parti des informations disponibles publiquement telles que les dernières vulnérabilités mises à jour sur la base de données nationale des vulnérabilités et d'autres sources fiables.

Maintenant que vous avez identifié les indicateurs, l'étape suivante consiste à effectuer une analyse. C'est important car vous pourriez obtenir des signes d'un incident à partir de sources peu fiables. Par exemple, un utilisateur affirmant que son système est devenu très lent. Cela peut être dû à un logiciel malveillant ou simplement à un programme corrompu. Vous devez vous assurer qu'il y a eu une véritable intrusion, puis commencer la réponse.

Il est conseillé d'avoir une équipe de gestionnaires d'incidents qui peuvent effectuer une analyse approfondie des signes.

Les gestionnaires d'incidents classeront un signe en trois catégories :

  • Bénin : Ce sont des faux positifs, où l'analyste a examiné le signe et ses preuves et a confirmé qu'il n'est pas un fauteur de troubles.
  • Malveillant : Ce sont des signes qu'un incident réel s'est produit, après quoi l'équipe commence la réponse à l'incident.
  • Suspect : Ce sont des signes où l'analyste n'est pas sûr s'ils sont bénins ou malveillants. Ces signes sont ensuite analysés par un analyste senior.

Avec la technologie moderne qui progresse à un rythme rapide, une telle analyse est effectuée par automatisation, mais vous avez toujours besoin de ressources humaines réelles, respirantes et vivantes pour prendre les bonnes décisions dans la gestion de ce triage. Pour prendre la bonne décision, l'équipe de réponse aux incidents doit acquérir une compréhension approfondie de la base des actifs informatiques et des points de terminaison de l'organisation. Si vous savez à quoi ressemble la normalité, vous pouvez rapidement repérer les choses étranges.

La technologie comme les systèmes SIEM équipe votre équipe de capacités telles que la corrélation d'événements et le renseignement sur les menaces. Vous pouvez examiner les journaux à travers différents secteurs de votre organisation et prédire la possibilité d'un incident basé sur des permutations et des combinaisons de certaines activités.

Conseil : Envisagez d'avoir une base de connaissances centralisée de ces incidents pour partager les connaissances et aider d'autres analystes vivant une situation similaire.

Assurez-vous de tout documenter : alertes, indicateurs, actions et processus de réponse aux incidents effectués dans le plan. Cela sert de ressource de partage de connaissances excellente. Maintenant que vous avez identifié les activités et événements malveillants, l'étape suivante consiste à prioriser les incidents que vous traitez.

Vous pouvez prioriser votre réponse aux incidents en fonction des besoins de votre organisation. Chaque entreprise a des priorités différentes, et elles s'attendraient à ce que votre stratégie de réponse s'aligne avec les mêmes. Certaines peuvent prioriser en fonction de l'impact fonctionnel (effet sur les opérations normales), de l'impact informationnel (effet sur la disponibilité et l'intégrité des données au sein des systèmes informatiques), ou de l'effort de récupération (l'effort qu'il faudrait pour se remettre de l'événement).

Lorsque vous avez priorisé la réponse à l'incident, la dernière considération dans la phase de détection et d'analyse est de notifier les personnes et la procédure pour le faire. La procédure peut inclure aucune notification, un e-mail, ou même un appel de réveil à 3 heures du matin, en fonction de la gravité de l'incident. De plus, planifiez à l'avance qui vous notifieriez afin de pouvoir mobiliser votre équipe efficacement.

3. Containment, eradication, and recovery

Maintenant que vous avez identifié les incidents et les avez priorisés. L'étape suivante consiste à contenir l'incident et à prévenir d'autres dommages.

Il existe quelques stratégies de confinement que vous pouvez utiliser :

  • Isolation : Cela implique de déconnecter le système affecté d'un réseau, de l'éteindre ou de bloquer certaines fonctionnalités sur la machine victime pour limiter les dommages.
  • Atténuation : Cette stratégie vous donne du temps pour que vous puissiez appliquer votre méthodologie d'éradication et allouer les ressources efficacement.
  • Sandboxing : Cela inclut la séparation d'un système des autres systèmes et programmes critiques.

Le choix de la stratégie de confinement dépend largement de la nature de l'incident, de la vision de l'organisation et des dommages potentiels qu'il peut causer. L'isolation peut être une bonne solution dans certains cas, mais probablement pas la meilleure pour d'autres. Par exemple, si votre système est infecté par un logiciel malveillant, vous seriez enclin à l'éteindre ou à le déconnecter du réseau. Mais lorsque la station de travail sert de contrôleur de domaine, de serveur de messagerie ou de serveur web, l'éteindre ferait plus de mal que de bien, car vous accueilleriez une déni de service par vous-même.

De même, il y a des moments où les logiciels malveillants sont programmés pour gérer l'isolation. Si le cheval de Troie détecte que votre système est en train d'être éteint, il peut crypter vos données et même les supprimer. Dans de telles situations, les intervenants avancent avec la stratégie d'atténuation.

Comme mentionné ci-dessus, la stratégie d'atténuation vous donne du temps pour effectuer l'éradication et allouer les ressources. Pour ce faire, vous pouvez isoler logiquement l'actif compromis dans la zone démilitarisée (également appelée réseau DMZ), qui peut séparer votre réseau de l'actif compromis et le garder en sécurité derrière un pare-feu.

En avançant avec la stratégie d'atténuation, vous devriez effectuer une évaluation des risques et considérer les dommages continus que l'infection va causer sur les actifs compromis avant de l'éradiquer. D'autre part, avec le sandboxing, vous pouvez rediriger les activités de l'attaquant vers une station de travail, qui peut être utilisée pour collecter des preuves. Assurez-vous de ne pas enfreindre les lois car elles varient d'un endroit à l'autre.

Envisagez de collecter des preuves de l'incident qui répondent à quoi, pourquoi, où, quand et comment. Il est également conseillé de maintenir une chaîne de garde appropriée, qui indique qui a collecté, contrôlé et sécurisé les preuves. Cela serait utile si les forces de l'ordre doivent être impliquées.

Disclaimer : Ces directives ne constituent pas un avis juridique. Si vous avez des questions juridiques, consultez un avocat agréé.

Ensuite, vous pouvez passer à l'éradication et à la récupération. La stratégie d'éradication dépendra de la source de l'incident. Assurez-vous d'avoir tous les détails associés aux incidents, car ils importent énormément. Visez à améliorer la sécurité, car vous ne voudriez pas que l'incident se répète et remette en question votre cadre de sécurité à nouveau.

Vous pouvez effectuer une analyse des causes profondes, identifier la cause principale qui a conduit à l'incident et la corriger avant qu'elle n'attire plus de problèmes.

L'analyse des causes profondes est effectuée en quatre étapes comme suit :

 

  1. Définir et délimiter l'incident.
  2. Définir les événements qui ont conduit ensemble à l'incident.
  3. Identifier une solution.
  4. Assurer que la solution a été mise en œuvre et que l'incident a été résolu.

4. Activité post-incident

Après que l'équipe de réponse aux incidents a éradiqué l'incident et travaille avec les administrateurs système pour récupérer, elle entre dans la phase finale. C'est l'activité post-incident qui commence par les leçons apprises. La leçon apprise est une méthode formelle de documentation de l'expérience de gestion de l'incident, ce que vous auriez pu faire différemment, et le processus que vous devez améliorer en interne pour éviter un incident ultérieur.

L'activité post-incident impliquera également de suivre des métriques telles que les indicateurs causant le plus grand nombre d'événements de sécurité. Par exemple, supposons qu'il y ait une série d'incidents causés par l'abus d'accès autorisé. Dans ce cas, c'est un signe de menace interne et le besoin imminent d'introduire un système de détection et de protection contre les intrusions (IDPS).

Vous devriez également suivre le temps nécessaire pour récupérer d'un incident, initier le plan de réponse, et le temps pris pour informer la direction supérieure et gérer les escalades afin que vous puissiez optimiser votre processus. Mesurez les coûts associés à l'incident, tels que la compensation horaire payée aux professionnels de la sécurité gérant l'incident, la perte de revenus pendant l'arrêt, le coût des logiciels supplémentaires installés pendant l'incident et également le coût total englobant chaque dépense associée à l'incident.

Vous pouvez mesurer ces métriques objectivement, et en plus de celles-ci, vous pouvez également évaluer les aspects subjectifs de l'incident, comme l'efficacité de votre plan de communication. Les métriques vous aideront à détecter les problèmes dans votre plan de réponse aux incidents et à améliorer les processus pour fournir de meilleures réponses.
L'activité post-incident inclut également la conservation des preuves d'un incident. Vous pouvez avoir différentes exigences de conservation des preuves en fonction de la façon dont votre organisation gère l'événement.

Investissez dans une stratégie de réponse aux incidents

Les avantages d'une stratégie de réponse aux incidents surpassent les coûts qui y sont liés, surtout lorsqu'ils sont comparés aux pertes financières qui s'accumulent sur votre organisation lors d'une cyberattaque. Avec un plan de réponse aux incidents approprié, vous pouvez détecter, contenir, éradiquer et récupérer d'une attaque sans vous plonger dans un monde de confusion.

En savoir plus sur les cyberattaques et comment vous pouvez les gérer pour protéger votre réputation, et vous éviter de subir d'autres dommages.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Explorer d'autres articles G2

Quel est le meilleur logiciel pour gérer les commissions des représentants commerciaux ?
Logiciels low-code les mieux notés pour le développement d'applications mobiles
Meilleurs outils d'assistant commercial IA
Meilleure plateforme d'événements virtuels pour les entreprises