Mais gérer un incident de sécurité ne s’improvise pas. Il est donc important de procéder de façon structurée afin de concilier efficacité et rapidité, tout en conservant une démarche d’amélioration continue.
Typiquement, le processus de réponse sur un incident de sécurité est composé de 6 étapes.
étape #1 : la préparation
Durant la gestion d’un incident, la montre tourne contre les défenseurs. Il est donc important de préparer en amont ce qui sera nécessaire pour gérer un incident. Cela peut passer par une liste
- de contacts spécifiques
- d’outils techniques
- de moyens de communications
- de documentation
- de formation des personnes de la cellule de réponse
- …
Trop souvent, cette étape est sous-estimée car trop d’entreprises considèrent qu’elles ne seront pas concernées par un incident de sécurité dans les années à venir. Elles ont tort. L’économie réalisée sur le court terme ne se justifie pas : en cas d’incident, un manque de préparation sera nettement plus onéreux que des travaux de préparation planifiés et réalisés en amont.
étape #2 : l’identification
Afin que la cellule de réponse sur incident puisse intervenir rapidement, elle doit être informée d’un incident. Il est donc important de savoir identifier qu’un incident est survenu et d’en être informé de façon rapide.
L’expérience montre que le facteur humain est un élément clef dans ce processus d’alerte : il est essentiel que les employés sachent reconnaître des situations anormales et qu’elles puissent remonter ces informations de façon rapide.
Une fois l’alerte donnée, l’équipe de la cellule de réponse devra rapidement analyser la situation de façon à confirmer la réalité de l’incident, sa nature et son étendue. Après en avoir informé le management et le plan de réponse validé vient la phase de mise sous contrôle.
étape #3 : la mise sous contrôle ou endiguement
La phase de mise sous contrôle ou d’endiguement vise à stabiliser l’environnement de sorte à ce que le problème ne s’aggrave pas. En fonction de la nature de l’incident, un système compromis peut être isolé du réseau ou des flux coupés au niveau d’un firewall.
Un élément important de cette phase est de conserver une liste la plus complète possible de tous les changements effectués sur l’environnement concerné, afin d’être en mesure de remettre à leur état initial les systèmes et de déterminer de façon fiable les changements effectués par l’attaquant.
Lors de cette étape, les personnes de la cellule de réponse développent et approfondissent leurs connaissances sur l’incident. Ces informations leur seront précieuses lors de la phase suivante qui vise à éradiquer la menace de l’environnement ciblé.
étape #4 : l’éradication
La phase d’éradication est la plus importante de toutes. Il s’agit de ne pas aller trop vite en ne soignant que les symptômes et pas la cause réelle du problème. Désinfecter un système est une chose mais identifier comment il a été infecté est tout autant, voire même plus important.
En effet, il est important de s’assurer que tout sera fait pour éviter que le même problème ne revienne après. Si une vulnérabilité connue a été utilisée pour pénétrer le système, il faudra installer les correctifs.
Avoir un incident de sécurité est une chose, que celui-ci se reproduise est encore plus dérangeant.
étape #5 : la remise en état
Une fois que la cause de l’incident a été identifiée et les causes corrigées, il s’agit de remettre le système en état de bon fonctionnement afin de permettre le retour à la normale et que l’entreprise puisse reprendre ses activités.
Au–delà de remettre tout en place, il conviendra d’être particulièrement vigilant et de surveiller toute nouvelle tentative d’intrusion ou d’infection. En effet, il est tout à fait possible que les travaux d’éradication prennent un certain temps (déploiement de correctifs sur un grand nombre de systèmes), ce qui pourrait être une opportunité pour un attaquant de revenir ou une infection de resurgir de façon soudaine.
étape #6 : la boucle d’amélioration
Cette dernière phase vise à se « poser quelques minutes » et à analyser de façon objective et honnête comment l’incident a été géré : ce qui a bien fonctionné, ce qui aurait pu être mieux et ce qui a été complètement raté.
conclusion
Chacune de ces 6 étapes a un objectif bien défini et aucune d’entre-elles ne doit être omise.
Ceci dit, en fonction de la nature ou de la gravité de l’incident, les activités réalisées lors de chacune de ces 6 étapes pourront être plus ou moins conséquentes : c’est ici que rentre en ligne de compte l’expérience et le professionnalisme des personnes constituant la cellule de réponse sur incident.
Avoir des incidents de sécurité fait partie des choses normales de la vie. Savoir les gérer de façon organisée et le plus efficacement possible est une compétence nécessaire que toute équipe sécurité se doit de maîtriser.
Jeff
crédit photo : © storm - Fotolia.com