Incident Response Steps: A Step-By-Step Plan

La réponse aux incidents est le processus de gestion d'un incident de sécurité dans les systèmes d'une organisation. Bien que les incidents de sécurité puissent varier, le fait de disposer d'un processus défini pour les identifier, y remédier et s'en remettre peut contribuer à limiter l'impact sur l'organisation.

Services de réponse aux incidents Télécharger l’exemple de rapport

Étapes d'atténuation de la réponse aux incidents

Le National Institute of Standards and Technology (NIST) définit un processus en quatre étapes pour la gestion d'un incident de sécurité :

#1. Préparation de la réponse à l'incident

La préparation est essentielle pour s'assurer qu'une organisation est prête à faire face à un incident lorsqu'il se produit. Parmi les éléments clés de la phase de préparation, citons

  • Planification de la réponse aux incidents : Les entreprises sont confrontées à une grande variété de cybermenaces (comme une menace interne) et doivent mettre en place des processus pour y faire face. Par exemple, un plan de réponse aux incidents efficace doit inclure des stratégies de gestion du logiciel rançonneur, du déni de service distribué (DDoS), des violations de données et d'autres attaques cybernétiques.
  • Mettre en place une équipe de réponse aux incidents (IRT) : L'IRT est responsable de la gestion d'un incident identifié et doit être en mesure d'agir rapidement. Le fait de définir l'équipe à l'avance permet aux membres d'agir rapidement et donne la possibilité de former les intervenants avant qu'un incident ne se produise.
  • Définir les rôles et les responsabilités : Le cadre de réponse aux incidents exige une prise de décision et une action rapides. Les rôles et les responsabilités doivent être définis à l'avance afin que chacun connaisse son rôle et sache qui contacter pour les décisions clés.
  • Établir des canaux de communication : La cellule de crise doit être joignable à tout moment afin de garantir une réaction rapide en cas d'incident. En outre, l'organisation doit avoir mis en place des canaux pour contacter les principales parties prenantes internes et externes, telles que la direction générale, les services juridiques, les services chargés de l'application de la loi et les autorités de réglementation.
  • Conduite Évaluations des risques: Il est toujours préférable de prévenir un incident avant qu'il ne se produise que de le gérer après coup. Des évaluations régulières des risques peuvent mettre en évidence des manques de sécurité que l'organisation peut combler avant qu'ils ne soient exploités par un pirate.

#2. Identification et évaluation initiales

Avant qu'une cellule de crise puisse commencer à s'occuper d'un incident, elle doit savoir qu'un problème existe. Voici quelques étapes clés de l'identification et de l'évaluation des incidents :

  • Reconnaître Indicateurs de compromis (IoCs) : les IoCs sont des signes indiquant qu'un cyberincident s'est produit, tels qu'un trafic réseau suspect ou la présence d'un logiciel malveillant sur un ordinateur. La surveillance continue peut permettre d'identifier ces IoC, qui signalent un incident de sécurité potentiel.
  • Détection et analyse des événements de sécurité : L'identification des objets de confiance et la détection des incidents sont rendues possibles par la surveillance des événements. Les analystes qui utilisent la gestion de l'information et des événements de sécurité (SIEM) et des solutions similaires peuvent identifier des anomalies ou des tendances qui indiquent un incident de sécurité.
  • Déterminer le type d'incident : Les entreprises peuvent être confrontées à différents types d'incidents de sécurité. La détermination du type et de la portée de l'incident est importante pour établir un ordre de priorité et réagir correctement.
  • Hiérarchisation des incidents en fonction de l'impact et du risque : une organisation peut subir plusieurs cyberattaques simultanées. L'établissement de priorités est essentiel pour que l'entreprise ne néglige pas ou ne retarde pas la gestion d'un incident majeur en raison d'une réponse à un incident mineur.

#3. Confinement, atténuation et récupération

Après l'identification d'un incident, il est essentiel de contenir la menace de cybersécurité et de l'atténuer pour limiter les dégâts.

Parmi les activités clés de cette phase, on peut citer

  • Stratégies de confinement à court terme : À court terme, l'ERI doit prendre des mesures pour arrêter rapidement la propagation de l'intrusion. Cela peut impliquer des stratégies d'endiguement plus perturbatrices - telles que la mise hors service de systèmes ou de services importants - qui ne peuvent être maintenues à long terme.
  • Stratégies d'endiguement à long terme : Une organisation aura probablement besoin d'une stratégie d'endiguement plus ciblée à long terme. Cette stratégie doit être basée sur le type d'incident et l'ensemble des systèmes affectés, et l'IRT doit élaborer à l'avance des plans de confinement à court et à long terme.
  • Enquêter sur les systèmes compromis et y remédier : Une fois que les systèmes affectés ont été isolés, l'IRT peut commencer à enquêter sur les systèmes compromis et à y remédier. Il s'agit notamment de collecter des données et des preuves pour permettre une remédiation ciblée et soutenir toute action en justice.
  • Rétablissement des systèmes et services affectés : Une fois l'incident résolu, les systèmes affectés peuvent être rétablis à la normale. Tout au long de ce processus, l'IRT doit surveiller et tester les systèmes afin de garantir l'éradication complète de l'intrusion et un rétablissement complet.

#4. Activités post-événement

Une fois la réponse à l'incident terminée, l'IRT peut effectuer des activités de synthèse, notamment

  • Documenter l'incident : La documentation complète d'un incident est essentielle pour éviter des problèmes similaires lors d'incidents futurs et pour maintenir la conformité réglementaire. Les intervenants doivent prendre des notes pendant le processus de RI et produire une documentation formelle une fois qu'il est terminé.
  • Effectuer une rétrospective : Les IRT effectuent généralement une rétrospective après un incident de sécurité. Cela leur permet d'identifier les problèmes liés au processus de réponse aux incidents qui pourraient être corrigés à l'avenir.
  • S'attaquer à la cause première : Au cours de l'enquête, l'IRT doit identifier la vulnérabilité initiale qui a permis à l'incident de se produire. L'organisation peut résoudre ce problème en appliquant des correctifs et des mises à jour ou en prenant d'autres mesures pour renforcer les contrôles de sécurité.

Services de réponse aux incidents avec Check Point

Si votre organisation subit un incident de sécurité, Check Point ThreatCloud Incident Response peut vous aider. Contactez notre service d'assistance téléphonique en cas d'incident.

Check Point peut également aider les entreprises à se préparer à des incidents potentiels et à les prévenir. Pour en savoir plus, consultez un exemple de rapport de notre service d'analyse des causes profondes et d'évaluation de la compromission.

Commencez

Check Point Incident Response

Security Consulting

Réponse aux incidents : présentation des prestations

Sujets connexes

Réponse aux incidents dans le cloud

Sécurité MDR

logiciel rançonneur Recovery

Réponse aux incidents

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK