Skip to content
Natuurondernemer
    juin 30, 2020 by admin

    Planification de la réponse aux incidents : Une liste de contrôle pour construire votre plan de réponse aux incidents de cybersécurité

    Planification de la réponse aux incidents : Une liste de contrôle pour construire votre plan de réponse aux incidents de cybersécurité
    juin 30, 2020 by admin

    Ce billet a été mis à jour pour la dernière fois le 10 mars 2021 à 09:27 am

    Votre organisation est-elle prête à répondre à une violation de sécurité ou à une cyberattaque ? Selon de nombreux experts en sécurité, il s’agit de savoir  » quand  » et non  » si  » votre entreprise sera confrontée à un grave incident de cybersécurité. Un plan de réponse aux incidents est votre meilleure chance de défendre votre organisation contre les effets d’une violation de données. Le moment de planifier et de préparer votre réponse aux incidents de sécurité – quels qu’ils soient – est bien avant qu’ils ne se produisent.

    Qu’est-ce qu’un plan de réponse aux incidents de sécurité ?

    Un plan de réponse aux incidents de cybersécurité (ou plan RI) est un ensemble d’instructions conçues pour aider les entreprises à se préparer à des incidents de sécurité réseau, à les détecter, à y répondre et à les récupérer. La plupart des plans RI sont centrés sur la technologie et abordent des questions telles que la détection des logiciels malveillants, le vol de données et les interruptions de service. Cependant, toute cyberattaque importante peut affecter une organisation à travers les fonctions de multiples façons, de sorte que le plan devrait également englober des domaines tels que les RH, les finances, le service client, les communications avec les employés, le juridique, l’assurance, les relations publiques, les régulateurs, les fournisseurs, les partenaires, les autorités locales et d’autres entités extérieures.

    Il existe des cadres de réponse aux incidents standard de l’industrie provenant d’organisations telles que le NIST et le SANS qui fournissent des directives générales sur la façon de répondre à un incident actif. Le plan de RI de votre organisation, cependant, devrait être beaucoup plus spécifique et exploitable – détaillant qui doit faire quoi, et quand. Nous avons établi une liste de contrôle pour présenter les principaux éléments d’un plan de RI cybernétique afin de vous aider à élaborer le bon type de guide pour votre propre organisation.

    Dans les deux cas – qu’il s’agisse de tirer parti d’un modèle de plan de réponse aux incidents ou de votre propre plan de RI maison – les objectifs restent les mêmes : minimiser les dommages, protéger vos données et aider votre organisation à se remettre de l’incident le plus rapidement possible.

    Comment créer un plan de réponse aux incidents

    Toute organisation possédant des actifs numériques (ordinateurs, serveurs, charges de travail dans le cloud, données, etc.) a le potentiel de subir une cyberattaque ou une violation de données. Malheureusement, la plupart des organisations ne réalisent qu’elles ont subi une violation de données que lorsqu’il est trop tard. La création d’un plan de réponse aux incidents de cybersécurité vous permet de vous préparer à l’inévitable et de donner à votre équipe de sécurité informatique les moyens de réagir avant, pendant et après une cyberattaque. Bien que cet article de blog n’entrera pas dans la profondeur et les détails dont vous avez besoin dans un véritable plan de réponse aux incidents, il vous aidera à comprendre les facteurs et les considérations clés à chaque étape du processus de réponse aux incidents : préparation, détection, réponse, récupération et suivi post-incident.

    Enfin, votre plan de réponse aux incidents de sécurité devrait être exploité en permanence – un document vivant – pilotant les activités récurrentes de détection et de réponse (chasse aux menaces, enquêtes sur les cyberincidents, réponse aux incidents et remédiation/récupération). En effectuant des activités de détection et de réponse aux incidents en continu, vous pouvez améliorer l’hygiène informatique et de sécurité et mieux protéger votre organisation contre les menaces inconnues, les attaquants cachés et potentiellement prévenir une violation de données.

    Pour les besoins de ce blog, nous avons divisé le processus de planification de la réponse aux incidents en cinq phases : Préparation, Détection, Réponse, Récupération et Suivi.

    Préparation

    La préparation est la première phase de la planification de la réponse aux incidents et sans doute la plus cruciale pour protéger votre entreprise et vos actifs numériques. Au cours de la phase de préparation, vous documenterez, soulignerez et expliquerez les rôles et les responsabilités de votre équipe de RI, notamment en établissant la politique de sécurité sous-jacente qui guidera l’élaboration de votre plan de RI.

    • Déterminer l’emplacement exact, la sensibilité et la valeur relative de toutes les informations de votre organisation qui doivent être protégées.
    • Évaluez si vous disposez actuellement de ressources informatiques suffisantes pour répondre à une attaque ou si le soutien d’un tiers serait nécessaire.
    • Gagnez l’adhésion de la direction afin que le plan soit pleinement approuvé au sommet de l’organisation.
    • Attribuez des rôles et des responsabilités à toutes les parties prenantes concernées, notamment l’informatique, les RH, la communication interne, le support client, le juridique, les relations publiques et les conseillers.
    • Établir une chaîne de commandement qui inclut à la fois l’informatique et les dirigeants de l’entreprise. Qui est le commandant de l’incident ? Qui lance le plan de réponse à l’incident ? Qui a le pouvoir d' » arrêter le travail « , comme la fermeture d’urgence des sites Web de l’entreprise ?
    • Cartographier le flux de travail de la réponse à l’incident entre les différentes parties prenantes. Quand les RH sont-elles impliquées ? Quand le service juridique est-il impliqué ? Quand les médias sont-ils alertés ? Quand les autorités extérieures sont-elles impliquées ?
    • Recueillir et mettre à jour les coordonnées 24/7/365 (courriel, texte, VOIP, etc.) de tous les membres de l’équipe de réponse aux incidents, de leurs remplaçants et des responsables. Établir des canaux de communication alternatifs si les canaux réguliers sont compromis ou indisponibles.

    • Identifier les exigences réglementaires en matière de cybersécurité pour l’organisation dans toutes les fonctions et élaborer des directives sur la façon d’interagir avec les forces de l’ordre et d’autres autorités gouvernementales en cas d’incident.
    • Développez et tenez à jour une liste de fournisseurs de technologie privilégiés pour l’expertise judiciaire, le remplacement du matériel et les services connexes qui pourraient être nécessaires avant, pendant ou après un incident.
    • Établissez des procédures pour que les équipes informatiques reçoivent des alertes claires et exploitables de tous les logiciels malveillants détectés. Des explications spécifiques peuvent aider les membres de l’équipe à éviter de rejeter l’alerte comme un faux positif.
    • Stocker les informations d’identification privilégiées, y compris les mots de passe et les clés SSH, dans une chambre forte sécurisée et centralisée.
    • Rotation automatique des informations d’identification privilégiées, isolement des sessions de comptes privilégiés pour les employés temporaires et analyse régulière des comptes orphelins d’anciens employés qui pourraient encore fournir un accès non autorisé.
    • Demander aux employés de signaler les courriels et les activités suspectes qui pourraient compromettre la sécurité du réseau.
    • Vous assurer que vous disposez d’un système propre prêt à être restauré, impliquant peut-être une réimage complète d’un système ou une restauration complète à partir d’une sauvegarde propre.
    • Établir un plan de communication complet et intégré pour informer les publics internes et externes sur les incidents de manière rapide, précise et cohérente.

    Détection & Analyse

    La phase de détection de la réponse aux incidents de sécurité et de la planification des RI implique la surveillance, la détection, l’alerte et le signalement des événements de sécurité. Cela comprend l’identification des menaces connues, inconnues et suspectes – celles qui semblent être de nature malveillante, mais qui ne disposent pas de suffisamment de données au moment de la découverte pour se prononcer dans un sens ou dans l’autre.

    Lorsqu’une piste, une menace ou un incident de sécurité est détecté, votre équipe de réponse aux incidents doit immédiatement (si ce n’est pas automatiquement avec l’aide d’un logiciel de réponse aux cyberincidents) collecter et documenter des informations supplémentaires – preuves médico-légales, artefacts et échantillons de code – pour déterminer la gravité, le type et le danger de l’incident, et stocker ces données afin de les utiliser pour poursuivre le ou les attaquants à un moment ultérieur.

    • Développez une stratégie de détection proactive basée sur des outils capables d’analyser automatiquement vos hôtes, systèmes et serveurs physiques et virtuels pour détecter toute application, identité ou compte vulnérable.
    • Envisagez les solutions traditionnelles telles que les plateformes de détection et de réponse aux points d’extrémité (EDR), les logiciels antivirus de nouvelle génération (NGAV) ou les outils d’analyse du comportement des utilisateurs et des entités (UEBA/UBA) pour détecter les logiciels malveillants.
    • Envisagez également l’analyse approfondie et les capacités basées sur la criminalistique qui peuvent évaluer la santé d’un point d’extrémité en validant ce qui s’exécute en mémoire à un moment donné.
    • Réaliser des évaluations de compromission pour vérifier si un réseau a été violé et identifier rapidement la présence de logiciels malveillants connus ou zero day et de menaces persistantes actives ou dormantes – qui ont échappé à vos défenses de cybersécurité existantes.

    Réponse

    Répondre aux incidents de sécurité peut prendre plusieurs formes. Les actions de réponse aux incidents peuvent inclure le triage des alertes provenant de vos outils de sécurité des points d’extrémité pour déterminer quelles menaces sont réelles et/ou la priorité dans laquelle traiter les incidents de sécurité. Les activités de réponse aux incidents peuvent également inclure le confinement et la neutralisation de la ou des menaces, c’est-à-dire l’isolement, l’arrêt ou la « déconnexion » des systèmes infectés de votre réseau pour empêcher la propagation de la cyberattaque. En outre, les opérations de réponse aux incidents comprennent l’élimination de la menace (fichiers malveillants, portes dérobées cachées et artefacts) qui a conduit à l’incident de sécurité.

    • Contenir immédiatement les systèmes, les réseaux, les magasins de données et les appareils pour minimiser l’ampleur de l’incident et l’isoler afin qu’il ne cause pas de dommages à grande échelle.
    • Déterminer si des données sensibles ont été volées ou corrompues et, le cas échéant, quel pourrait être le risque potentiel pour votre entreprise.
    • Eradiquer les fichiers infectés et, si nécessaire, remplacer le matériel.
    • Tenir un journal complet de l’incident et de la réponse, y compris l’heure, les données, l’emplacement et l’étendue des dommages de l’attaque. S’agissait-il d’une attaque interne, externe, d’une alerte système ou de l’une des méthodes décrites précédemment ? Qui l’a découverte, et comment l’incident a-t-il été signalé ? Dressez la liste de toutes les sources et de tous les moments par lesquels l’incident est passé. À quel stade l’équipe de sécurité s’est-elle impliquée ?

    • Préservez tous les artefacts et les détails de la brèche pour une analyse plus approfondie de l’origine, de l’impact et des intentions.
    • Préparez et publiez des déclarations publiques dès que possible, décrivez aussi précisément que possible la nature de la brèche, les causes profondes, l’étendue de l’attaque, les étapes vers la remédiation et un aperçu des futures mises à jour.
    • Mettre à jour tous les pare-feu et la sécurité du réseau pour capturer des preuves qui peuvent être utilisées plus tard pour la médecine légale.
    • Mobiliser l’équipe juridique et examiner la conformité et les risques pour voir si l’incident a un impact sur toute réglementation.
    • Contacter les forces de l’ordre le cas échéant, car l’incident peut également avoir un impact sur d’autres organisations. Des renseignements supplémentaires sur l’incident peuvent aider à éradiquer, identifier la portée ou aider à l’attribution.

    Récupération et suivi

    Les activités post-incident (actions de récupération et de suivi) comprennent l’éradication du risque de sécurité, l’examen et le compte rendu de ce qui s’est passé, la mise à jour de vos renseignements sur les menaces avec de nouvelles informations sur ce qui est bon et ce qui est mauvais, la mise à jour de votre plan de RI avec les leçons tirées de l’incident de sécurité, et la certification puis la re-certification de votre environnement est en fait exempt de la ou des menaces via une évaluation des compromis de cybersécurité post-incident ou une évaluation de la sécurité et des risques informatiques.

    Récupération

    • Éliminer le risque de sécurité pour s’assurer que l’attaquant ne puisse pas y accéder à nouveau. Cela comprend l’application de correctifs aux systèmes, la fermeture de l’accès au réseau et la réinitialisation des mots de passe des comptes compromis.
    • Pendant l’étape d’éradication, créez une identification de la cause première pour aider à déterminer le chemin d’attaque utilisé afin que les contrôles de sécurité puissent être améliorés pour empêcher des attaques similaires à l’avenir.
    • Faire une analyse de vulnérabilité à l’échelle de l’entreprise pour déterminer si d’autres vulnérabilités peuvent exister.
    • Restaurer les systèmes à l’état antérieur à l’incident. Vérifiez les pertes de données et assurez-vous que l’intégrité, la disponibilité et la confidentialité des systèmes ont été rétablies et que l’entreprise a repris ses activités normales.
    • Continuez à rassembler les journaux, les vidages de mémoire, les audits, les statistiques de trafic réseau et les images de disque. Sans une collecte appropriée de preuves, la criminalistique numérique est limitée, de sorte qu’une enquête de suivi n’aura pas lieu.

    Suivi

    • Compléter un rapport de réponse à l’incident et inclure tous les domaines de l’entreprise qui ont été affectés par l’incident.
    • Déterminer si la direction a été satisfaite de la réponse et si l’organisation doit investir davantage dans le personnel, la formation ou la technologie pour aider à améliorer sa posture de sécurité.
    • Partager les leçons apprises. Qu’est-ce qui s’est bien passé, qu’est-ce qui n’a pas marché et comment les procédures peuvent-elles être améliorées à l’avenir ?
    • Revoir, tester et mettre à jour le plan d’intervention en cas d’incident de cybersécurité sur une base régulière, peut-être une fois par an si possible.
    • Mener une évaluation de la compromission ou d’autres analyses de sécurité sur une base régulière pour s’assurer de la santé des systèmes, des réseaux et des appareils.
    • Mettre à jour les plans de réponse aux incidents après une restructuration du service ou une autre transition majeure.
    • Tenir toutes les parties prenantes informées des dernières tendances et des nouveaux types de violations de données qui se produisent. Faites passer le message selon lequel  » la sécurité est l’affaire de tous « .

    Conclusion

    L’objectif de notre liste de contrôle du plan de réponse aux cyberincidents est d’aider votre équipe de sécurité informatique à élaborer un plan de réponse aux incidents qui soit complet, coordonné, reproductible et efficace.

    Veuillez garder à l’esprit que l’élaboration d’un plan de RI en matière de cybersécurité n’est jamais un exercice unique. Malheureusement, sans formation régulière à la réponse aux incidents et sans exercices de RI, y compris des scénarios de cyberattaque en direct, les organisations et leurs équipes de sécurité informatique peuvent se retrouver soudainement dépassées par des pirates qui pivotent dans leurs stratégies d’attaque/TTP et leur choix de logiciels malveillants.

    Ce qui a fonctionné dans le passé pourrait ne pas fonctionner demain. Le bon plan de réponse aux incidents de sécurité doit être un document vivant qui suit le rythme de l’évolution rapide du paysage des menaces d’aujourd’hui.

    Téléchargez notre liste de contrôle du plan de RI en cybersécurité pour commencer à élaborer votre propre plan de réponse aux incidents, ou contactez-nous pour demander une consultation, une évaluation des compromis, ou pour apprendre comment Infocyte permet une détection des menaces et une réponse aux incidents rapides, flexibles et abordables.

    Previous articleIdées de peinture pour bibliothèque et inspirationNext article Les fourmis peuvent faire de vrais dégâts aux humains si on les laisse faire

    Laisser un commentaire Annuler la réponse

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Articles récents

    • Comment configurer un mineur ASIC de bitcoin
    • Qu’est-ce qu’un site Superfund?
    • Les vers de sang appâtés par la pêche ont des piqûres d’abeilles
    • Echolalie : Les faits au-delà du « langage de perroquet », du script et de l’écho
    • Citations de Lord of the Flies
    • Guide du débutant pour le pegging
    • 42 Recettes de soupes à la mijoteuse saines
    • 3 risques surprenants d’une mauvaise posture
    • Biographie de Tina Fey
    • Qu’est-ce que les courants océaniques ?

    Archives

    • avril 2021
    • mars 2021
    • février 2021
    • janvier 2021
    • décembre 2020
    • novembre 2020
    • octobre 2020
    • septembre 2020
    • août 2020
    • juillet 2020
    • juin 2020
    • mai 2020
    • avril 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Méta

    • Connexion
    • Flux des publications
    • Flux des commentaires
    • Site de WordPress-FR
    Posterity WordPress Theme