Des incidents de sécurité se produisent. Ce n’est pas une question de «si» mais de «quand». Il existe des produits et des procédures de sécurité qui ont été mis en œuvre pour optimiser le processus IR, donc du point de vue «professionnel de la sécurité», les choses sont prises en charge.
Cependant, de nombreux professionnels de la sécurité qui font un excellent travail dans la gestion des incidents trouvent que communiquer efficacement le processus en cours avec leur direction est une tâche beaucoup plus difficile.
C’est une petite surprise – les gestionnaires ne sont généralement pas avertis en matière de sécurité et ne se soucient pas vraiment des bits et des octets dans lesquels le professionnel de la sécurité maîtrise. Cynet comble cette lacune avec le Modèle PPT de rapport IR pour la gestion, fournissant aux RSSI et aux DSI un outil clair et intuitif pour rendre compte à la fois du processus IR en cours et de sa conclusion.
Le modèle IR for Management permet aux RSSI et aux DSI de communiquer avec les deux points clés qui intéressent la direction: l’assurance que l’incident est sous contrôle et une compréhension claire des implications et des causes profondes.
Le contrôle est un aspect clé des processus IR, en ce sens qu’à tout moment, il y a une transparence totale sur ce qui est traité, ce qui est connu et doit être corrigé, et quelles investigations supplémentaires sont nécessaires pour dévoiler les parties de l’attaque qui sont encore inconnu.
La direction ne pense pas en termes de chevaux de Troie, d’exploits et de mouvements latéraux, mais plutôt en termes de productivité de l’entreprise – temps d’arrêt, heures de travail, perte de données sensibles.
Cartographier une description de haut niveau de la route d’attaque aux dommages résultants est primordial pour obtenir la compréhension et l’implication de la direction, en particulier si le processus IR implique des dépenses supplémentaires.
Le modèle suit le cadre SANS NIST IR et comprend les étapes suivantes:
Identification
La présence de l’attaquant est détectée sans aucun doute. La détection a-t-elle été effectuée en interne ou par un tiers, la maturité de l’attaque (en termes de progression le long de la chaîne de destruction), quel est le risque estimé et les étapes suivantes seront-elles prises avec des ressources internes ou y a-t-il un besoin? engager un fournisseur de services?
Endiguement
Premiers secours pour arrêter le saignement immédiat avant toute enquête plus approfondie, la cause première de l’attaque, le nombre d’entités mises hors ligne (points de terminaison, serveurs, comptes d’utilisateurs), l’état actuel et les étapes ultérieures.
Éradication
Nettoyage complet de toutes les infrastructures et activités malveillantes, un rapport complet sur la route de l’attaque et les objectifs supposés, l’impact global sur l’entreprise (heures de travail, données perdues, implications réglementaires et autres selon le contexte variable)
Récupération
Taux de récupération en termes de points de terminaison, de serveurs, d’applications, de charges de travail cloud et de données.
Leçons apprises
Quels ont été les catalyseurs de l’attaque (manque de technologie de sécurité adéquate en place, pratiques de main-d’œuvre non sécurisées, etc.) et comment ils peuvent être corrigés, et réflexion sur les étapes précédentes de la chronologie du processus IR à la recherche de ce qu’il faut préserver et de ce qu’il faut améliorer.
Naturellement, il n’y a pas de solution universelle dans un incident de sécurité. Par exemple, il peut y avoir des cas dans lesquels l’identification et le confinement auront lieu presque instantanément ensemble, tandis que dans d’autres événements, le confinement pourrait prendre plus de temps, nécessitant plusieurs présentations sur son statut provisoire. C’est pourquoi le modèle est modulaire et peut être facilement ajusté à n’importe quelle variante.
La communication avec la direction n’est pas une tâche agréable, mais une partie essentielle du processus de RI lui-même. Le modèle PPT définitif de rapport IR à la direction permet à tous ceux qui travaillent dur de mener des processus IR professionnels et efficaces dans leurs organisations afin de rendre leurs efforts et leurs résultats clairs pour leur direction.
Téléchargez le modèle PPT de rapport IR définitif à la direction ici.