Qu’est-ce que la réponse aux incidents ?
Découvrez comment une réponse efficace aux incidents aide les organisations à détecter, gérer et stopper les cyberattaques.
Définition
Avant de définir la réponse aux incidents, il est important de clarifier ce qu’est un incident. Dans le domaine des TI, les trois termes suivants sont parfois utilisés de manière interchangeable alors qu’ils recouvrent des réalités différentes :
- Un événement est une action banale qui survient fréquemment (création d’un fichier, suppression d’un dossier, ouverture d’un e-mail, etc.). Un événement seul n’indique généralement pas la survenue d’une violation, mais associé à d’autres événements, il peut être révélateur d’une menace.
- Une alerte est une notification déclenchée par un événement, lequel peut être ou non une menace.
- Un incident est un groupe d’alertes corrélées que les humains ou outils d’automatisation ont jugé comme étant probablement une menace réelle. Il est possible que des alertes individuelles n’apparaissent pas comme une menace majeure, mais combinées à d’autres informations, indiquent la survenue d’une violation.
La réponse aux incidents désigne les actions mises en œuvre par une organisation lorsqu’elle pense que ses systèmes ou données informatiques ont fait l’objet d’une violation. Par exemple, les professionnels de la sécurité prennent des mesures s’ils observent des éléments de preuve indiquant la présence d’un utilisateur non autorisé ou d’un programme malveillant, ou la défaillance des mesures de sécurité.
La réponse vise à éliminer la cyberattaque aussi rapidement que possible, à effectuer une récupération, à informer les clients ou autorités conformément aux dispositions légales régionales, et à trouver les moyens de réduire le risque de survenue d’une violation similaire à l’avenir.
Comment fonctionne la réponse aux incidents ?
La réception d’une alerte crédible émanant d’un système SIEM (gestion des informations et des événements de sécurité) par l’équipe en charge de la sécurité marque généralement le début du processus de réponse aux incidents.
Les membres de l’équipe doivent vérifier que l’événement est véritablement un incident, puis isoler les systèmes infectés et supprimer la menace. S’il s’agit d’un incident grave ou dont la résolution prendra du temps, les organisations devront peut-être restaurer des données sauvegardées, gérer une demande de rançon ou notifier les clients de la compromission de leurs données.
Pour cette raison, le processus de réponse implique généralement des personnes n’appartenant pas à l’équipe de cybersécurité. Des spécialistes de la protection des données personnelles, des avocats et des décideurs d’entreprise vont déterminer l’approche que l’organisation va adopter vis-à-vis d’un incident et de ses répercussions.
Types d’incident de sécurité
Les attaquants essaient d’accéder aux données d’une entreprise ou de compromettre ses systèmes et opérations de différentes façons. Voici les méthodes les plus utilisées :
-
Hameçonnage
L’hameçonnage est un type de piratage psychologique dans lequel un attaquant utilise les e-mails, SMS ou appels téléphoniques pour se faire passer pour une marque réputée ou une personne digne de confiance. Les attaques par hameçonnage tentent généralement de persuader les destinataires de télécharger un programme malveillant ou de fournir leur mot de passe. Elles exploitent la crédulité des personnes et déploient des techniques psychologiques telles que la peur pour inciter les personnes à agir. Bon nombre de ces attaques ne sont pas ciblées, et peuvent toucher des centaines de personnes dans l’espoir qu’une seule d’entre elles répondent. Il existe toutefois une version plus sophistiquée appelée harponnage qui utilise la recherche approfondie pour créer un message convaincant pour un seul individu.
-
Programmes malveillants
Les programmes malveillants désignent les logiciels conçus pour endommager un système informatique ou exfiltrer des données. Ils peuvent prendre des formes variées (virus, rançongiciels, logiciels espions, chevaux de Troie, etc.). Des pirates installent les programmes malveillants en tirant parti de vulnérabilités matérielles et logicielles ou en persuadant un employé de le faire par le biais d’une technique de piratage psychologique.
-
Rançongiciels
Dans le cadre des attaques par rançongiciel, des pirates utilisent des programmes malveillants pour chiffrer des données et systèmes critiques, puis menacer de publier les données ou de les détruire si la victime ne s’acquitte pas d’une rançon.
-
Attaques par déni de service
Dans le cadre des attaques par déni de service (DDoS), des acteurs de menace génèrent du trafic afin de submerger un réseau ou un système jusqu’à ce que celui-ci ralentisse ou s’arrête. Si les attaquants ciblent le plus souvent des organisations de grande envergure (établissements bancaires, administrations publiques, etc.) dans le but de leur faire perdre du temps et de leur dérober de l’argent, des organisations de toutes tailles peuvent être victimes de ce type d’attaque.
-
Attaques de l’homme du milieu
Une autre méthode utilisée par les cybercriminels pour dérober des données personnelles consiste à s’insérer au milieu d’une conversation en ligne entre des personnes pensant communiquer en privé. En interceptant les messages et en les copiant ou en les modifiant avant de les envoyer au destinataire, ils essaient de manipuler l’un des participants afin qu’il leur révèle des données utiles.
-
Menaces internes
Bien que la plupart des attaques soient menées par des personnes extérieures à l’organisation, les équipes de sécurité doivent rester à l’affût d’éventuelles menaces internes. Les collaborateurs et d’autres personnes qui disposent d’un accès légitime à des ressources restreintes peuvent accidentellement, voire parfois volontairement, divulguer des données sensibles.
-
Accès non autorisés
L’utilisation d’informations d’identification dérobées est à l’origine de bon nombre de violations de la sécurité. Qu’ils acquièrent des mots de passe via une campagne de hameçonnage ou en devinant un mot de passe fréquent, dès lors que les pirates ont accès à un système, ils peuvent installer un programme malveillant, effectuer une reconnaissance du réseau ou élever leurs privilèges afin d’accéder à des systèmes et données plus sensibles.
Qu’est-ce qu’un plan de réponse aux incidents ?
Pour répondre à un incident, une équipe doit collaborer de manière efficace et efficiente pour éliminer la menace et appliquer les obligations réglementaires. Face à ces situations stressantes, les personnes peuvent facilement se sentir perdues et faire des erreurs. Voilà pourquoi de nombreuses entreprises développent un plan de réponse aux incidents. Ce type de plan définit les rôles et responsabilités et détaille les étapes requises pour résoudre un incident, le documenter et communiquer à son égard.
Importance d’un plan de réponse aux incidents
Une attaque majeure n’est pas seulement dommageable pour le fonctionnement opérationnel d’une organisation. Elle affecte aussi la réputation de l’entreprise auprès des clients et du public, et peut avoir des ramifications légales. La gestion d’un incident de ce type, y compris la célérité de la réponse de l’équipe de sécurité et la façon dont l’équipe de direction communique concernant l’incident, influence son coût global.
La dissimulation des dommages aux clients ou aux autorités, ou une gestion négligente des menaces, peuvent constituer une transgression des réglementations applicables. Or, ces types d’erreurs sont plus fréquents lorsque les entreprises n’ont élaboré aucun plan. Dans le feu de l’action, les personnes risquent de prendre des décisions irréfléchies, guidées par la peur, qui finiront par nuire à l’organisation.
Un plan bien pensé permet aux personnes de savoir quel comportement adopter à chaque phase d’une attaque et de ne pas agir de façon inconsidérée et précipitée. S’il y a des questions du public une fois la récupération effectuée, l’organisation pourra montrer exactement comment elle a répondu et assurer aux clients que l’incident a été géré sérieusement et que les mesures nécessaires ont été prises pour éviter un scénario encore pire.
Étapes de réponse aux incidents
S’il est possible d’aborder la réponse aux incidents de différentes façons, de nombreuses organisations suivent les recommandations d’organes de standardisation de la sécurité pour guider leur approche. L’organisation privée SANS (SysAdmin Audit Network Security) propose un cadre de réponse en six étapes, décrit ci-dessous. De nombreuses organisations adoptent également le cadre de réponse aux incidents du NIST (National Institute of Standards and Technology).
- Préparation : avant qu’un incident ne survienne, il est important de réduire les vulnérabilités et de définir des stratégies et procédures de sécurité. Dans le cadre de la phase de préparation, les organisations évaluent les risques afin d’identifier les faiblesses et de hiérarchiser les actifs. Cette phase inclut la rédaction et l’affinement des procédures de sécurité, la définition des rôles et responsabilités et la mise à jour des systèmes afin de réduire le risque. La plupart des organisations revisitent régulièrement cette étape et apportent des améliorations aux stratégies, procédures et systèmes lorsqu’elles tirent de nouveaux enseignements ou que les technologies changent.
- Identification de la menace : tous les jours, les équipes en charge de la sécurité peuvent recevoir des milliers d’alertes indiquant des activités suspectes. Certaines sont des faux positifs ou peuvent ne pas atteindre le niveau d’un incident. Une fois qu’un incident a été identifié, l’équipe cherche la nature de la violation et documente ses observations, notamment la source de la violation, le type de l’attaque et les objectifs de l’attaquant. À cette étape, l’équipe a également besoin d’informer les parties prenantes et de communiquer les prochaines étapes.
- Confinement de la menace : confiner la menace aussi rapidement que possible est la priorité suivante. Plus les pirates bénéficient d’un accès durable, plus ils sont en mesure de provoquer des dommages importants. L’équipe en charge de la sécurité travaille à isoler rapidement les applications ou systèmes ciblés par l’attaque du reste des réseaux. Cela permet d’empêcher les attaquants d’accéder à d’autres parties de l’entreprise.
- Élimination de la menace : une fois le confinement terminé, l’équipe élimine l’attaquant et le programme malveillant des systèmes et ressources affectés, éventuellement en mettant hors ligne des systèmes. L’équipe continue également à informer les parties prenantes de la progression.
- Récupération et restauration : la récupération suite à un incident peut prendre plusieurs heures. Une fois la menace éliminée, l’équipe restaure les systèmes, récupère les données à partir d’une sauvegarde, et surveille les pans affectés pour empêcher l’attaquant de revenir.
- Retour d’expérience et affinement : une fois l’incident résolu, l’équipe examine ce qui s’est passé et identifie les améliorations qui peuvent être apportées au processus. Tirer des enseignements de cette phase aide l’équipe à renforcer les défenses de l’organisation.
Qu’est-ce qu’une équipe de réponse aux incidents ?
Également appelée CSIRT (Computer Security Incident Response Team), CIRT (Cyber Incident Response Team) ou CERT (Computer Emergency Response Team), l’équipe de réponse aux incidents inclut un groupe pluridisciplinaire de membres de l’organisation qui sont chargés d’exécuter le plan de réponse aux incidents. Il s’agit non seulement des personnes qui éliminent la menace mais aussi de celles qui prennent des décisions opérationnelles ou légales en lien avec un incident. L’équipe est généralement constituée des membres suivants :
Un responsable de la réponse aux incidents, souvent le directeur des TI, supervise toutes les phases de la réponse et informe les personnes concernées en interne.
Des analystes de la sécurité effectuent des recherches sur l’incident pour tenter de comprendre ce qui arrive. Ils documentent également leurs observations et recueillent des preuves forensiques.
Des chercheurs sur les menaces mènent une investigation hors de l’organisation pour recueillir des informations contextuelles supplémentaires.
Un membre de la direction, tel qu’un responsable de la sécurité des systèmes d’information ou un directeur des systèmes d’information, fournit des recommandations et fait le lien avec les autres membres de l’équipe d’encadrement.
Des spécialistes des ressources humaines gèrent les menaces internes.
Des avocats généraux aident l’équipe à explorer les aspects relatifs à la responsabilité et s’assurent que des preuves forensiques sont collectées.
- Des spécialistes des relations publiques coordonnent une communication externe précise auprès des médias, des clients et des autres parties prenantes.
Une équipe de réponse aux incidents peut être un sous-ensemble d’un centre des opérations de sécurité (SOC) qui gère les opérations de sécurité au-delà de la réponse aux incidents.
Automatisation de la réponse aux incidents
Dans la plupart des organisations, les réseaux et solutions de sécurité génèrent beaucoup plus d’alertes de sécurité que ce que l’équipe de réponse aux incidents peut raisonnablement gérer. Pour l’aider à concentrer ses efforts sur les menaces légitimes, de nombreuses entreprises automatisent la réponse aux incidents. L’automatisation utilise l’IA et le Machine Learning pour évaluer les alertes, identifier les incidents et éradiquer les menaces en exécutant un playbook de réponse basé sur des scripts programmatiques.
Les technologies SOAR (Security Orchestration, Automation and Response) sont une catégorie d’outils de sécurité que les entreprises utilisent pour automatiser la réponse aux incidents. Ces solutions offrent les fonctionnalités suivantes :
Corrélation des données dans l’ensemble des points de terminaison et solutions de sécurité afin d’identifier les incidents sur lequel des humains doivent effectuer un suivi.
Exécution d’un playbook prédéfini pour isoler et gérer les types d’incident connus.
Génération d’une chronologie d’investigation incluant les actions, les décisions et les preuves forensiques utilisables à des fins d’analyse.
Introduction d’informations externes pertinentes pour l’analyse humaine.
Implémentation d’un plan de réponse aux incidents
Si la perspective du développement d’un plan de réponse aux incidents peut susciter une certaine appréhension, une telle démarche peut considérablement réduire le risque pour votre entreprise de devoir faire face à un incident majeur sans préparation. Voici comment commencer :
-
Identifiez et hiérarchisez les actifs
La première étape d’un plan de réponse aux incidents consiste à identifier ce que vous protégez. Documentez les données critiques de votre organisation, notamment l’emplacement où elles résident et leur niveau d’importance pour l’entreprise.
-
Déterminez les risques potentiels
Chaque organisation est confrontée à des risques variés. Familiarisez-vous avec les principales vulnérabilités de votre organisation et évaluez les façons dont un attaquant pourrait les exploiter.
-
Développez des procédures de réponse
Pendant un incident stressant, l’existence de procédures claires peut contribuer grandement à la résolution rapide et efficace de l’incident. Commencez par définir les critères constitutifs d’un incident puis déterminez les étapes que votre équipe doit suivre pour détecter un incident, l’isoler et effectuer une récupération, y compris les procédures de documentation des décisions et de recueil des preuves.
-
Constituez une équipe de réponse aux incidents
Mettez sur pied une équipe pluridisciplinaire chargée de comprendre les procédures de réponse et de se mobiliser en cas d’incident. Veillez à définir clairement les rôles et tenir compte des rôles non techniques qui peuvent contribuer à la prise de décisions liées à la communication et la responsabilité. Incluez un membre de l’équipe dirigeante qui sera le porte-parole de l’équipe et exposera ses besoins aux plus hauts niveau de l’entreprise.
-
Définissez votre plan de communication
Un plan de communication élimine les conjectures relatives aux modalités d’information des tiers à l’intérieur et à l’extérieur de l’organisation concernant la situation. Réfléchissez à divers scénarios pour déterminer dans quelles circonstances vous devez informer l’équipe d’encadrement, l’organisation entière, les clients et les médias ou d’autres parties prenantes externes.
-
Formez les employés
Les pirates ciblent les employés à tous les niveaux de l’organisation, aussi est-il important que tout le monde comprenne votre plan de réponse et sache ce qu’il convient de faire s’il pense être victime d’une attaque. Testez périodiquement vos collaborateurs afin de vérifier qu’ils parviennent à reconnaître les e-mails de hameçonnage et facilitez le processus de notification de l’équipe de réponse aux incidents s’ils cliquent accidentellement sur un lien malveillant ou ouvrent une pièce jointe infectée.
Solutions de réponse aux incidents
La préparation aux incidents majeurs constitue une part importante de la sécurité de votre organisation face aux menaces. La constitution d’une équipe interne de réponse aux incidents vous assurera d’être prêt si vous subissez les agissements d’une personne malveillante.
Tirez parti de solutions SIEM et SOAR telles que Microsoft Sentinel qui utilisent l’automatisation pour vous aider à identifier et répondre automatiquement aux incidents. Les organisations dotées de moins de ressources peuvent faire appel à un prestataire de service capable de gérer les diverses phases de la réponse aux incidents pour épauler leurs équipes. Que votre équipe en charge de la réponse aux incidents soit interne ou externe, vous devez impérativement veiller à avoir un plan.
En savoir plus sur la Sécurité Microsoft
Protection Microsoft contre les menaces
Identifiez les incidents et répondez-y dans l’ensemble de votre organisation grâce aux outils de protection contre les menaces les plus récents.
Microsoft Sentinel
Découvrez des menaces sophistiquées et répondez de manière décisive avec une solution SIEM puissante, optimisée par le cloud et l’IA.
Microsoft Defender XDR
Stoppez les attaques dans l’ensemble des points de terminaison, services de courrier, identités, applications et données.
Foire aux questions
-
La réponse aux incidents désigne toutes les activités effectuées par une organisation lorsqu’elle suspecte une violation de la sécurité. L’objectif est d’isoler et d’éradiquer les attaquants aussi vite que possible, d’appliquer les réglementations de confidentialité des données et d’effectuer une récupération en toute sécurité, avec le moins de dommages possibles pour l’organisation.
-
Une équipe pluridisciplinaire est responsable de la réponse aux incidents. Le service informatique est généralement chargé d’identifier les menaces, de les isoler et d’effectuer une récupération. Toutefois, organiser la réponse aux incidents ne se limite pas à identifier les pirates et s’en débarrasser. Selon le type d’attaque, une personne peut être tenue de prendre une décision opérationnelle (par exemple, gérer une demande de rançon). Le recours à des avocats et professionnels des relations publiques garantit que l’organisation respecte les dispositions légales en matière de confidentialité des données, y compris la notification appropriée des clients et autorités. Si la menace est perpétrée par un collaborateur, le service des ressources humaines recommande les mesures appropriées.
-
CSIRT est un nom alternatif pour l’équipe de réponse aux incidents. Pluridisciplinaire, celle-ci est constituée des personnes chargées de gérer tous les aspects de la réponse aux incidents, notamment la détection des menaces, leur isolement et leur élimination, la récupération, la communication interne et externe, la documentation et l’analyse forensique.
-
La plupart des organisations utilisent une solution SIEM ou SOAR pour identifier les menaces et y répondre. Ces solutions regroupent généralement des données issues de plusieurs systèmes et utilisent le Machine Learning pour identifier les véritables menaces. Elles peuvent également automatiser la réponse pour certains types de menaces basées sur des playbooks prédéfinis.
-
Le cycle de vie de la réponse aux incidents inclut six étapes :
- La préparation survient avant l’identification d’un incident et inclut la définition de ce que l’organisation considère comme un incident, ainsi que l’ensemble des stratégies et procédures nécessaires pour prévenir les attaques, les détecter, les éliminer et effectuer une récupération.
- Le processus d’identification des menaces s’appuie sur l’expertise d’analystes humains et l’automatisation pour identifier les événements représentant des menaces réelles auxquelles il convient de faire face.
- Le confinement des menaces désigne les actions menées par l’équipe pour isoler les menaces et les empêcher d’infecter d’autres pans de l’entreprise.
- L’élimination des menaces inclut les étapes de suppression des programmes malveillants et des attaquants d’une organisation.
- La récupération et la restauration incluent le redémarrage des systèmes et machines, et la restauration des données perdues.
- Le retour d’expérience et l’affinement désignent le processus suivi par l’équipe pour tirer des enseignements de l’incident et les appliquer aux stratégies et procédures.
Suivez la Sécurité Microsoft