Réponse Aux Incidents

Des incidents de sécurité se produisent. Ce n’est pas une question de « si », mais de « quand ». C’est pourquoi vous avez mis en place des produits et des procédures de sécurité pour optimiser le processus de réponse aux incidents (IR).

Cependant, de nombreux professionnels de la sécurité qui font un excellent travail dans la gestion des incidents trouvent que communiquer efficacement le processus en cours avec leur direction est une tâche beaucoup plus difficile.

Vous vous sentez familier?

Dans de nombreuses organisations, la direction n’est pas avertie en matière de sécurité et ne s’intéresse pas aux détails concernant tous les bits et octets dans lesquels le professionnel de la sécurité maîtrise.

Heureusement, il existe un modèle que les responsables de la sécurité peuvent utiliser lors de la présentation à la direction. Ça s’appelle le Modèle de rapport IR pour la directionfournissant aux RSSI et DSI un outil clair et intuitif pour rendre compte à la fois du processus IR en cours et de sa conclusion.

Publicité

Le modèle IR Reporting for Management permet aux RSSI et aux DSI de communiquer avec les deux points clés dont la direction se soucie : l’assurance que l’incident est sous contrôle et une compréhension claire des implications et de la cause profonde.

Le contrôle est un aspect clé des processus IR, en ce sens qu’à tout moment, il y a une transparence totale de ce qui est traité, de ce qui est connu et doit être corrigé, et des investigations supplémentaires nécessaires pour dévoiler les parties de l’attaque qui sont encore inconnue.

La direction ne pense pas en termes de chevaux de Troie, d’exploits et de mouvements latéraux, mais plutôt en termes de productivité de l’entreprise : temps d’arrêt, heures de travail, perte de données sensibles.

La cartographie d’une description de haut niveau de la voie d’attaque vers les dommages causés est primordiale pour obtenir la compréhension et l’implication de la direction, en particulier si le processus de RI nécessite des dépenses supplémentaires.

Le modèle IR Reporting for Management suit le cadre SANSNIST IR et vous aidera à guider votre direction à travers les étapes suivantes :

Table des matières hide
1 Identification
2 Endiguement
3 Éradication
4 Récupération
5 Leçons apprises

Identification

La présence de l’attaquant est détectée sans aucun doute. Suivez le modèle pour répondre aux questions clés :

  • La détection a-t-elle été faite en interne ou par un tiers ?
  • Quelle est la maturité de l’attaque (en termes de progression le long de la chaîne de mise à mort) ?
  • Quel est le risque estimé ?
  • Les mesures suivantes seront-elles prises avec des ressources internes ou est-il nécessaire d’engager un fournisseur de services ?

Endiguement

Premiers secours pour arrêter le saignement immédiat avant toute enquête plus approfondie, la cause première de l’attaque, le nombre d’entités mises hors ligne (points de terminaison, serveurs, comptes d’utilisateurs), l’état actuel et les étapes suivantes.

Éradication

Nettoyage complet de toutes les infrastructures et activités malveillantes, rapport complet sur la route de l’attaque et les objectifs supposés, impact global sur l’entreprise (heures de travail, données perdues, implications réglementaires et autres selon le contexte variable).

Récupération

Taux de récupération en termes de terminaux, de serveurs, d’applications, de charges de travail cloud et de données.

Leçons apprises

Comment cette attaque s’est-elle produite ? Était-ce un manque de technologie de sécurité adéquate en place, des pratiques de main-d’œuvre peu sûres ou autre chose ? Et comment pouvons-nous résoudre ces problèmes ? Fournissez une réflexion sur les étapes précédentes tout au long du processus de RI, en recherchant ce qu’il faut préserver et ce qu’il faut améliorer.

Naturellement, il n’y a pas de solution unique pour un incident de sécurité. Par exemple, il peut y avoir des cas dans lesquels l’identification et le confinement auront lieu presque instantanément ensemble, tandis que dans d’autres événements, le confinement peut prendre plus de temps, nécessitant plusieurs présentations sur son statut provisoire. C’est pourquoi ce modèle est modulaire et peut être facilement ajusté à n’importe quelle variante.

La communication avec la direction n’est pas un avantage, mais un élément essentiel du processus de RI lui-même. Le modèle définitif de rapport IR à la direction aide les chefs d’équipe de sécurité à rendre leurs efforts et leurs résultats parfaitement clairs pour leur direction.

Téléchargez le modèle de rapport définitif IR à la direction ici.

Rate this post
Publicité
Article précédentInstagram signale les liens envoyés aux utilisateurs d’iPhone comme « malveillants », même ceux de Facebook
Article suivantLa fintech suisse du bitcoin Relai empoche 2,16 millions d’euros
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici