Dans le monde interconnecté d'aujourd'hui, chaque organisation subit un incident de cybersécurité d'un type ou d'un autre. La capacité de ton équipe à répondre efficacement aux incidents peut faire la différence entre le succès et de graves pertes financières ou une atteinte à la réputation de ton organisation. Une planification et une préparation minutieuses sont cruciales pour assurer la continuité des activités pendant les incidents de sécurité les plus difficiles.
La réponse aux incidents doit s'articuler autour des étapes suivantes (chaque étape joue un rôle essentiel dans la protection de ton organisation, et aucune ne doit être omise) :
Pour te préparer aux incidents, assure-toi d'attribuer officiellement les responsabilités, de documenter les politiques et procédures de réponse, de mettre en place une équipe de réponse aux incidents, de publier des informations de contact exactes et de former les personnes chargées de la gestion des incidents.
Tout d'abord, désigne un membre du personnel approprié pour superviser et gérer la réponse aux incidents de cybersécurité. En désignant clairement et officiellement les responsabilités, tu peux garantir un effort de réponse cohérent qui évolue au fil du temps. Si tu as une organisation avec une infrastructure distribuée (comme une université, un réseau de soins de santé ou une grande entreprise avec plusieurs sites), assure-toi de désigner UNE personne responsable de la réponse globale à l'incident, puis désigne un membre du personnel approprié pour chaque site ou département afin de superviser les efforts de réponse pour ce groupe spécifique.
Réfléchis aux types d'incidents qui peuvent affecter ton organisation. Documente clairement une politique d'intervention pour chaque type d'incident.
Crée une liste d'adresses et un numéro de téléphone faciles à retenir que les employés, les clients ou les tiers peuvent contacter pour signaler un incident présumé.
Constitue une équipe "principale" de réponse aux incidents pour gérer les événements au jour le jour. Ce groupe se compose généralement du personnel du service d'assistance, des membres du personnel de la sécurité informatique, des membres de l'équipe du réseau, etc. Dans les petites et moyennes entreprises, il peut s'agir simplement d'une ou deux personnes.
Ensuite, identifie les membres d'une équipe "élargie" de réponse aux incidents qui peuvent être appelés à aider pour des types d'incidents spécifiques. Les membres de l'équipe élargie comprennent généralement le service juridique, les ressources humaines, la sécurité physique ou les installations, les relations publiques, la comptabilité/les finances et les cadres supérieurs.
Rassemble des diagrammes de réseau précis et canoniques, des copies des configurations de pare-feu, la liste des actifs critiques et toute autre documentation nécessaire pour comprendre le réseau de l'organisation. Assure-toi que ces documents sont à la disposition des intervenants en cas d'incident.
Il n'est pas nécessaire d'activer tous les membres de la liste de contact en cas d'incident pour chaque incident, mais le responsable de la gestion de l'incident ne doit pas hésiter à demander des ressources si nécessaire. En plus de la liste de contacts en cas d'incident, les responsables de la gestion des incidents doivent avoir accès aux coordonnées des administrateurs techniques et des propriétaires d'entreprise de tous les systèmes.
Les principaux membres de l'équipe de réponse aux incidents doivent suivre une formation spécialisée. Il existe des certifications industrielles, telles que la certification GIAC Certified Incident Handler (GCIH), et d'autres.
La préparation est un processus continu et doit régulièrement intégrer les commentaires des rapports post-incident. Par exemple, si une réponse à un incident récent a été entravée par le manque de conservation des journaux sur un système particulier, cela doit être inclus dans le rapport post-incident et traité au cours d'une phase de préparation programmée.
La phase d'identification commence lorsque les défenseurs découvrent les signes d'un incident. Ces signes peuvent prendre des formes très diverses, depuis les alertes du système de détection d'intrusion (IDS) jusqu'aux pannes de système. Immédiatement après l'identification d'un incident potentiel, une réaction courante est de passer directement aux étapes de confinement et de récupération. Cependant, il faut résister à l'envie de sauter des étapes. Passer au confinement avant d'avoir identifié tous les systèmes affectés peut permettre aux attaquants de changer de tactique et de se retrancher plus profondément. De même, passer à l'étape du confinement avant que les ressources nécessaires à la collecte de preuves médico-légales ne soient en place peut détruire des informations vitales et mettre l'organisation en danger.
Une fois qu'un incident présumé a été signalé ou détecté, les étapes suivantes doivent être exécutées de manière méthodique et contrôlée afin de valider l'incident et d'en identifier la portée.
L'objectif de la phase de confinement est de limiter les dommages que l'attaquant peut causer et de préserver les preuves en vue d'une analyse ultérieure. Une fois que le gestionnaire d'incidents a déterminé quels systèmes sont affectés et l'impact potentiel, passe à la phase de confinement.
Il faut toujours élaborer un plan de confinement avant de mettre en place des mesures. Cela permettra aux défenseurs d'exécuter le confinement rapidement et méthodiquement, tout en donnant aux attaquants peu de temps pour réagir une fois le confinement commencé.
Le plan doit permettre de contenir l'incident tout en préservant les preuves dans la mesure du possible. Par exemple, si un serveur Web a été compromis, coordonne-toi avec l'administrateur du système pour obtenir une image de la mémoire vive avant de déconnecter le serveur et de prendre une image des disques durs.
Le plan doit couvrir toute la portée de l'incident. Par exemple, si un enregistreur de frappe a été découvert sur le poste de travail d'un administrateur, le plan de confinement doit inclure la modification ou la désactivation des identifiants de tous les comptes de l'administrateur. S'il est prouvé que les identifiants d'un administrateur ont été utilisés pour accéder à d'autres systèmes, le confinement doit également porter sur ces systèmes. Le plan doit tenter de minimiser la perturbation des activités de l'organisation.
Les étapes ultérieures du plan de confinement doivent inclure l'analyse des preuves recueillies (images de disques, vidages de mémoire, journaux de réseau) afin de créer une chronologie complète de l'incident. Cette étape vitale permet de s'assurer que l'incident a été entièrement circonscrit et facilitera la phase de récupération.
L'objectif de la phase de récupération est de permettre à l'organisation de reprendre ses activités normales. Au cours de cette phase, les systèmes compromis doivent être reconstruits, les clients concernés doivent être informés et les vecteurs d'attaque identifiés au cours des phases d'identification et de confinement doivent être éliminés.
L'objectif de la phase post-incident est d'évaluer et d'améliorer le processus de réponse à l'incident. Au cours de cette phase, les notes du gestionnaire de l'incident, la chronologie de l'incident, les preuves recueillies et toute autre information relative à l'incident doivent être archivées.
La personne chargée de la gestion de l'incident doit également rédiger un bref rapport après action qui résume les causes et les conséquences de l'incident, ainsi que les mesures prises pour l'identifier, l'endiguer et s'en remettre. Une attention particulière doit être accordée aux parties du processus de réponse à l'incident qui ont été couronnées de succès ou qui doivent être améliorées. Ces rapports après action doivent être régulièrement intégrés à la phase de préparation.