This is the Trace Id: 917d08069965dc316dbec2cbab969e0b
Passer directement au contenu principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Voir tous les produits Cybersécurité basée sur l’IA Sécurité du cloud Sécurité et gouvernance des données Identité et accès réseau Gestion des risques et de la confidentialité Sécurité pour l’IA PME SecOps unifiées Confiance Zéro Tarifs Services Partenaires Pourquoi Sécurité Microsoft Sensibilisation à la cybersécurité Témoignages de clients Sécurité 101 Essais de produits Distinctions Microsoft Security Insider Rapport Microsoft Digital Defense Centre de réponse aux problèmes de sécurité Blog Sécurité Microsoft Événements Microsoft en lien avec la sécurité Communauté technique Microsoft Documentation Bibliothèque de contenu technique Formation et certifications Programme de conformité pour Microsoft Cloud Centre de gestion de la confidentialité Microsoft Portail d’approbation de services Microsoft Initiative pour un avenir sûr Hub de solutions métiers Contacter le service commercial Démarrer un essai gratuit Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Réalité mixte Microsoft HoloLens Microsoft Viva Informatique quantique Durabilité Éducation Automobile Services financiers Secteur public Santé Industrie Vente au détail Trouver un partenaire Devenir partenaire Réseau de partenaires Microsoft Marketplace Entreprises de logiciels Blog Microsoft Advertising Centre pour les développeurs Documentation Événements Licences Microsoft Learn Microsoft Research Vue plan de site
personne interagissant avec un grand écran tactile

Qu’est-ce que la réponse aux incidents ?

Découvrez comment une réponse efficace aux incidents aide les organisations à détecter, gérer et stopper les cyberattaques.
Découvrez Microsoft Sentinel

Définition

Avant de définir la réponse aux incidents, il est important de clarifier ce qu’est un incident. Dans le domaine des technologies de l’information, les trois termes suivants sont parfois utilisés de manière interchangeable alors qu’ils recouvrent des réalités différentes :
 

  1. Un événement est une action banale qui survient fréquemment (création d’un fichier, suppression d’un dossier, ouverture d’un e-mail, etc.). Un événement seul n’indique généralement pas l’apparition d’une violation, mais associé à d’autres événements, il peut être révélateur d’une menace. 
  2. Une alerte est une notification déclenchée par un événement, qui peut être ou non une menace.
  3. Un incident est un groupe d’alertes corrélées que les humains ou outils d’automatisation ont jugé comme étant probablement une menace réelle. Il est possible que des alertes individuelles n’apparaissent pas comme une menace majeure, mais qui, combinées à d’autres informations, indiquent l’apparition d’une violation.

La réponse aux incidents désigne les actions mises en œuvre par une organisation lorsqu’elle pense que ses systèmes ou données informatiques ont fait l’objet d’une violation. Par exemple, les professionnels de la sécurité prennent des mesures s’ils observent des éléments de preuve indiquant la présence d’un utilisateur non autorisé ou d’un programme malveillant, ou la défaillance des mesures de sécurité.

Les objectifs de la réponse visent à éliminer une cyberattaque aussi rapidement que possible, à effectuer une récupération, à informer les clients ou autorités conformément aux dispositions légales régionales, et à trouver les moyens de réduire le risque d’apparition d’une violation similaire à l’avenir.

Comment fonctionne la réponse aux incidents ?

La réception d’une alerte crédible émanant d’un système SIEM (gestion des informations et des événements de sécurité) par l’équipe en charge de la sécurité marque généralement le début du processus de réponse aux incidents.

Les membres de l’équipe doivent vérifier que l’événement est véritablement un incident, puis isoler les systèmes infectés et supprimer la menace. S’il s’agit d’un incident grave ou dont la résolution prendra du temps, les organisations devront peut-être restaurer des données sauvegardées, gérer une demande de rançon ou notifier les clients de la compromission de leurs données.

Pour cette raison, le processus de réponse implique généralement des personnes n’appartenant pas à l’équipe de cybersécurité. Des spécialistes de la protection des données personnelles, des avocats et des décideurs d’entreprise vont déterminer l’approche que l’organisation va adopter vis-à-vis d’un incident et de ses répercussions.

Types d’incident de sécurité

Les attaquants essaient d’accéder aux données d’une entreprise ou de compromettre ses systèmes et opérations de différentes façons. Voici les méthodes les plus utilisées :

Hameçonnage

L’hameçonnage est un type de piratage psychologique dans lequel un attaquant utilise les e-mails, SMS ou appels téléphoniques pour se faire passer pour une marque réputée ou une personne digne de confiance. Les attaques par hameçonnage tentent généralement de persuader les destinataires de télécharger un programme malveillant ou de fournir leur mot de passe. Elles exploitent la crédulité des personnes et déploient des techniques psychologiques telles que la peur pour inciter les personnes à agir. Bon nombre de ces attaques ne sont pas ciblées, et peuvent toucher des centaines de personnes dans l’espoir qu’une seule d’entre elles répondent. Il existe toutefois une version plus sophistiquée appelée « harponnage » qui utilise la recherche approfondie pour créer un message convaincant pour un seul individu.

Programmes malveillants

Les programmes malveillants désignent les logiciels conçus pour endommager un système informatique ou exfiltrer des données. Ils peuvent prendre des formes variées (virus, rançongiciels, logiciels espions, chevaux de Troie, etc.). Des pirates installent les programmes malveillants en tirant parti de vulnérabilités matérielles et logicielles ou en persuadant un employé de le faire par le biais d’une technique de piratage psychologique.

Les rançongiciels

Dans le cadre des attaques par rançongiciel, des pirates utilisent des programmes malveillants pour chiffrer des données et systèmes critiques, puis menacer de publier les données ou de les détruire si la victime ne s’acquitte pas d’une rançon.

Attaques par déni de service

Dans le cadre des attaques par déni de service (DDoS), des acteurs de menace génèrent du trafic afin de submerger un réseau ou un système jusqu’à ce que celui-ci ralentisse ou s’arrête. Si les attaquants ciblent le plus souvent des organisations de grande envergure (établissements bancaires, administrations publiques, etc.) dans le but de leur faire perdre du temps et de leur dérober de l’argent, des organisations de toutes tailles peuvent être victimes de ce type d’attaque.

Attaques par homme du milieu

Une autre méthode utilisée par les cybercriminels pour dérober des données personnelles consiste à s’insérer au milieu d’une conversation en ligne entre des personnes pensant communiquer en privé. En interceptant les messages et en les copiant ou en les modifiant avant de les envoyer au destinataire, ils essaient de manipuler l’un des participants afin qu’il leur révèle des données utiles.

Menaces internes

Bien que la plupart des attaques soient menées par des personnes extérieures à l’organisation, les équipes de sécurité doivent rester à l’affût d’éventuelles menaces internes. Les collaborateurs et d’autres personnes qui disposent d’un accès légitime à des ressources restreintes peuvent accidentellement, voire parfois volontairement, divulguer des données sensibles.

Accès non autorisé

L’utilisation d’informations d’identification dérobées est à l’origine de bon nombre de violations de la sécurité. Qu’ils acquièrent des mots de passe via une campagne de hameçonnage ou en devinant un mot de passe fréquent, dès lors que les pirates ont accès à un système, ils peuvent installer un programme malveillant, effectuer une reconnaissance du réseau ou élever leurs privilèges afin d’accéder à des systèmes et données plus sensibles.

Qu’est-ce qu’un plan de réponse aux incidents ?

Pour répondre à un incident, une équipe doit collaborer de manière efficace et efficiente pour éliminer la menace et appliquer les obligations réglementaires. Face à ces situations stressantes, les personnes peuvent facilement se sentir perdues et faire des erreurs. Voilà pourquoi de nombreuses entreprises développent un plan de réponse aux incidents. Ce type de plan définit les rôles et responsabilités et détaille les étapes requises pour résoudre un incident, le documenter et communiquer à son égard.

Importance d’un plan de réponse aux incidents

Une attaque majeure n’est pas seulement dommageable pour le fonctionnement opérationnel d’une organisation. Elle affecte aussi la réputation de l’entreprise auprès des clients et du public, et peut avoir des ramifications légales. La gestion d’un incident de ce type, y compris la célérité de la réponse de l’équipe de sécurité et la façon dont l’équipe de direction communique concernant l’incident, influence son coût global.

La dissimulation des dommages aux clients ou aux autorités, ou une gestion négligente des menaces, peuvent constituer une transgression des réglementations applicables. Or, ces types d’erreurs sont plus fréquents lorsque les entreprises n’ont élaboré aucun plan. Dans le feu de l’action, les personnes risquent de prendre des décisions irréfléchies, guidées par la peur, qui finiront par nuire à l’organisation.

Un plan bien pensé permet aux personnes de savoir quel comportement adopter à chaque phase d’une attaque et de ne pas agir de façon inconsidérée et précipitée. S’il y a des questions du public une fois la récupération effectuée, l’organisation pourra montrer exactement comment elle a répondu et assurer aux clients que l’incident a été géré sérieusement et que les mesures nécessaires ont été prises pour éviter un scénario encore pire.

Étapes de réponse aux incidents

S’il est possible d’aborder la réponse aux incidents de différentes façons, de nombreuses organisations suivent les recommandations d’organes de standardisation de la sécurité pour guider leur approche. L’organisation privée SANS (SysAdmin Audit Network Security) propose un cadre de réponse en six étapes, décrit ci-dessous. De nombreuses organisations adoptent également le cadre de réponse aux incidents du NIST (National Institute of Standards and Technology).
 
  • Préparation : avant qu’un incident ne survienne, il est important de réduire les vulnérabilités et de définir des stratégies et procédures de sécurité. Dans le cadre de la phase de préparation, les organisations évaluent les risques afin d’identifier les faiblesses et de hiérarchiser les actifs. Cette phase inclut la rédaction et l’affinement des procédures de sécurité, la définition des rôles et responsabilités et la mise à jour des systèmes afin de réduire le risque. La plupart des organisations revisitent régulièrement cette étape et apportent des améliorations aux stratégies, procédures et systèmes lorsqu’elles tirent de nouveaux enseignements ou que les technologies changent.
  • Identification de la menace : tous les jours, les équipes en charge de la sécurité peuvent recevoir des milliers d’alertes indiquant des activités suspectes. Certaines sont des faux positifs ou peuvent ne pas atteindre le niveau d’un incident. Une fois qu’un incident a été identifié, l’équipe cherche la nature de la violation et documente ses observations, notamment la source de la violation, le type de l’attaque et les objectifs de l’attaquant. À cette étape, l’équipe a également besoin d’informer les parties prenantes et de communiquer les prochaines étapes.
  • Confinement de la menace : confiner la menace aussi rapidement que possible est la seconde priorité. Plus les pirates bénéficient d’un accès durable, plus ils sont en mesure de provoquer des dommages importants. L’équipe en charge de la sécurité travaille à isoler rapidement les applications ou systèmes ciblés par l’attaque du reste des réseaux. Cela permet d’empêcher les attaquants d’accéder à d’autres parties de l’entreprise.
  • Élimination de la menace : une fois le confinement terminé, l’équipe élimine l’attaquant et le programme malveillant des systèmes et ressources affectés. Et ce en en mettant éventuellement hors ligne des systèmes. L’équipe continue également à informer les parties prenantes de la progression.
  • Récupération et restauration : la récupération suite à un incident peut prendre plusieurs heures. Une fois la menace éliminée, l’équipe restaure les systèmes, récupère les données à partir d’une sauvegarde, et surveille les pans affectés pour empêcher l’attaquant de revenir.
  • Retour d’expérience et affinement : une fois l’incident résolu, l’équipe examine ce qui s’est passé et identifie les améliorations qui peuvent être apportées au processus. Tirer des enseignements de cette phase aide l’équipe à renforcer les défenses de l’organisation.

Qu’est-ce qu’une équipe de réponse aux incidents ?

Également appelée CSIRT (Computer Security Incident Response Team), CIRT (Cyber Incident Response Team) ou CERT (Computer Emergency Response Team), l’équipe de réponse aux incidents inclut un groupe pluridisciplinaire de membres de l’organisation qui sont chargés d’exécuter le plan de réponse aux incidents. Il s’agit non seulement des personnes qui éliminent la menace mais aussi de celles qui prennent des décisions opérationnelles ou légales en lien avec un incident. L’équipe est généralement constituée des membres suivants :
 
  • Un responsable de la réponse aux incidents, souvent le directeur des TI, supervise toutes les phases de la réponse et informe les personnes concernées en interne. 
     
  • Des analystes de la sécurité effectuent des recherches sur l’incident pour tenter de comprendre ce qui arrive. Ils documentent également leurs observations et recueillent des preuves forensiques.
     
  • Des chercheurs sur les menaces mènent une investigation hors de l’organisation pour recueillir des informations contextuelles supplémentaires. 
     
  • Un membre de la direction, tel qu’un responsable de la sécurité des systèmes d’information ou un directeur des systèmes d’information, fournit des recommandations et fait le lien avec les autres membres de l’équipe d’encadrement.
     
  • Des spécialistes des ressources humaines gèrent les menaces internes.
     
  • Des avocats généraux aident l’équipe à explorer les aspects relatifs à la responsabilité et s’assurent que des preuves forensiques sont collectées.
     
  • Des spécialistes des relations publiques coordonnent une communication externe précise auprès des médias, des clients et des autres parties prenantes.
Une équipe de réponse aux incidents peut être un sous-ensemble d’un centre des opérations de sécurité (SOC) qui gère les opérations de sécurité au-delà de la réponse aux incidents.



Automatisation de la réponse aux incidents

Dans la plupart des organisations, les réseaux et solutions de sécurité génèrent beaucoup plus d’alertes de sécurité que ce que l’équipe de réponse aux incidents peut raisonnablement gérer. Pour l’aider à concentrer ses efforts sur les menaces légitimes, de nombreuses entreprises automatisent la réponse aux incidents. L’automatisation utilise l’IA et le Machine Learning pour évaluer les alertes, identifier les incidents et éradiquer les menaces en exécutant un playbook de réponse basé sur des scripts programmatiques.

Les technologies SOAR (Security Orchestration, Automation and Response) sont une catégorie d’outils de sécurité que les entreprises utilisent pour automatiser la réponse aux incidents. Ces solutions offrent les fonctionnalités suivantes :
 
  • Corrélation des données dans l’ensemble des points de terminaison et solutions de sécurité afin d’identifier les incidents sur lequel des humains doivent effectuer un suivi.
     
  • Exécution d’un playbook prédéfini pour isoler et gérer les types d’incident connus.
     
  • Génération d’une chronologie d’investigation incluant les actions, les décisions et les preuves forensiques utilisables à des fins d’analyse.
     
  • Introduction d’informations externes pertinentes pour l’analyse humaine.



Implémentation d’un plan de réponse aux incidents

Si la perspective du développement d’un plan de réponse aux incidents peut susciter une certaine appréhension, une telle démarche peut considérablement réduire le risque pour votre entreprise de devoir faire face à un incident majeur sans préparation. Voici comment commencer :

Identifiez et hiérarchisez les actifs

La première étape d’un plan de réponse aux incidents consiste à identifier ce que vous protégez. Documentez les données critiques de votre organisation, notamment l’emplacement où elles résident et leur niveau d’importance pour l’entreprise.

Déterminez les risques potentiels

Chaque organisation est confrontée à des risques variés. Familiarisez-vous avec les principales vulnérabilités de votre organisation et évaluez les façons dont un attaquant pourrait les exploiter. 

Développez des procédures de réponse

Pendant un incident stressant, l’existence de procédures claires peut contribuer grandement à la résolution rapide et efficace de l’incident. Commencez par définir les critères constitutifs d’un incident puis déterminez les étapes que votre équipe doit suivre pour détecter un incident, l’isoler et effectuer une récupération, y compris les procédures de documentation des décisions et de recueil des preuves.

Constituez une équipe de réponse aux incidents

Mettez sur pied une équipe pluridisciplinaire chargée de comprendre les procédures de réponse et de se mobiliser en cas d’incident. Veillez à définir clairement les rôles et tenir compte des rôles non techniques qui peuvent contribuer à la prise de décisions liées à la communication et la responsabilité. Incluez un membre de l’équipe dirigeante qui sera le porte-parole de l’équipe et exposera ses besoins aux plus hauts niveaux de l’entreprise. 

Définissez votre plan de communication

Un plan de communication élimine les conjectures relatives aux modalités d’information des tiers à l’intérieur et à l’extérieur de l’organisation concernant la situation. Réfléchissez à divers scénarios pour déterminer dans quelles circonstances vous devez informer l’équipe d’encadrement, l’organisation entière, les clients et les médias ou d’autres parties prenantes externes.

Formez les employés

Les pirates ciblent les employés à tous les niveaux de l’organisation, aussi est-il important que tout le monde comprenne votre plan de réponse et sache ce qu’il convient de faire s’il pense être victime d’une attaque. Testez périodiquement vos collaborateurs afin de vérifier qu’ils parviennent à reconnaître les e-mails de hameçonnage et facilitez le processus de notification de l’équipe de réponse aux incidents s’ils cliquent accidentellement sur un lien malveillant ou ouvrent une pièce jointe infectée.

Solutions de réponse aux incidents

La préparation aux incidents majeurs constitue une part importante de la sécurité de votre organisation face aux menaces. La constitution d’une équipe interne de réponse aux incidents vous assurera d’être prêt si vous subissez les agissements d’une personne malveillante.

Tirez parti de solutions SIEM et SOAR telles que Microsoft Sentinel qui utilisent l’automatisation pour vous aider à identifier et répondre automatiquement aux incidents. Les organisations dotées de moins de ressources peuvent faire appel à un prestataire de service capable de gérer les diverses phases de la réponse aux incidents pour épauler leurs équipes. Que votre équipe en charge de la réponse aux incidents soit interne ou externe, vous devez impérativement veiller à avoir un plan.



Personne travaillant sur un ordinateur portable avec des écrans affichant du code

Protection Microsoft contre les menaces

Identifiez les incidents et répondez-y dans l’ensemble de votre organisation grâce aux outils de protection contre les menaces les plus récents.
Explorer
Deux personnes utilisant des ordinateurs dans un bureau

Réponse aux incidents Microsoft

Obtenez de l’aide avant, pendant et après un incident cybernétique grâce à des services proactifs et réactifs complets de réponse aux incidents.
Explorer
utilisation d’un smartphone à côté d’un ordinateur portable sur un bureau

Microsoft Sentinel

Unifiez le contexte et les données de sécurité pour alimenter une défense agentique avec la plateforme SIEM & axée sur l’IA.
Explorer
Deux collègues examinent des données sur un ordinateur portable autour d’une table.

Microsoft Defender XDR

Stoppez les attaques dans l’ensemble des points de terminaison, services de courrier, identités, applications et données.
Explorer
Revenir à la section Produits associés
FAQ

Forum aux questions

  • La réponse aux incidents désigne toutes les activités effectuées par une organisation lorsqu’elle suspecte une violation de la sécurité. L’objectif est d’isoler et d’éradiquer les attaquants aussi vite que possible, d’appliquer les réglementations de confidentialité des données et d’effectuer une récupération en toute sécurité, avec le moins de dommages possible pour l’organisation.
  • Une équipe pluridisciplinaire est responsable de la réponse aux incidents. Le service informatique est généralement chargé d’identifier les menaces, de les isoler et d’effectuer une récupération. Toutefois, organiser la réponse aux incidents ne se limite pas à identifier les pirates et s’en débarrasser. Selon le type d’attaque, une personne peut être tenue de prendre une décision opérationnelle (par exemple, gérer une demande de rançon). Le recours à des avocats et professionnels des relations publiques garantit que l’organisation respecte les dispositions légales en matière de confidentialité des données, y compris la notification appropriée des clients et autorités. Si la menace est perpétrée par un collaborateur, le service des ressources humaines recommande les mesures appropriées.
  • CSIRT est un nom alternatif pour l’équipe de réponse aux incidents. Pluridisciplinaire, cette équipe est constituée des personnes chargées de gérer tous les aspects de la réponse aux incidents, notamment la détection des menaces, leur isolement et leur élimination, la récupération, la communication interne et externe, la documentation et l’analyse forensique.
  • La plupart des organisations utilisent une solution SIEM ou SOAR pour identifier les menaces et y répondre. Ces solutions regroupent généralement des données issues de plusieurs systèmes et utilisent le Machine Learning pour identifier les véritables menaces. Elles peuvent également automatiser la réponse pour certains types de menaces basées sur des playbooks prédéfinis.
  • Le cycle de vie de la réponse aux incidents inclut six étapes :
     
    1. La préparation survient avant l’identification d’un incident et inclut la définition de ce que l’organisation considère comme un incident, ainsi que l’ensemble des stratégies et procédures nécessaires pour prévenir les attaques, les détecter, les éliminer et effectuer une récupération.
    2. Le processus d’identification des menaces s’appuie sur l’expertise d’analystes humains et l’automatisation pour identifier les événements représentant des menaces réelles auxquelles il convient de faire face.
    3. Le confinement des menaces désigne les actions menées par l’équipe pour isoler les menaces et les empêcher d’infecter d’autres pans de l’entreprise. 
    4. L’élimination des menaces inclut les étapes de suppression des programmes malveillants et des attaquants d’une organisation.
    5. La récupération et la restauration incluent le redémarrage des systèmes et machines, et la restauration des données perdues. 
    6. Le retour d’expérience et l’affinement désignent le processus suivi par l’équipe pour tirer des enseignements de l’incident et les appliquer aux stratégies et procédures. 

Suivez la Sécurité Microsoft

Surface Pro Surface Laptop Surface Laptop Ultra Copilot pour les organisations Copilot pour une utilisation personnelle Microsoft 365 Découvrir les produits Microsoft Applications Windows 11 Profil du compte Centre de téléchargement Support du Microsoft Store Retours Suivi des commandes Recycler Garanties Microsoft Éducation Appareils pour l’enseignement Microsoft Teams pour l’éducation Microsoft 365 Éducation Office Éducation Formation et développement des enseignants Offres pour étudiants et parents Azure pour les étudiants
Microsoft AI Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams TPE & PME Développeur Microsoft Microsoft Learn Prise en charge des applications du marketplace d’IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Entreprises de logiciels Visual Studio Emploi Actualités de la société Confidentialité chez Microsoft Investisseurs
Français (France) Confidentialité de l’intégrité des consommateurs Contacter Microsoft Gérer ou annuler l’abonnement Mentions légales et Informations consommateurs Confidentialité Gérer les cookies Conditions d'utilisation Conditions générales de vente Marques À propos de nos annonces EU Compliance DoCs Accessibilité