Une introduction à la gestion des réponses aux incidents de cybersécurité et aux meilleures pratiques

Alors que les cyberattaques continuent de croître en volume, en diversité et en sophistication, en plus d’être plus perturbatrices et dommageables, les organisations doivent être prêtes à les gérer efficacement..


En plus de déployer des solutions et des pratiques de sécurité efficaces, ils doivent pouvoir identifier et combattre rapidement les attaques, garantissant ainsi un minimum de dommages, de perturbations et de coûts.

Chaque système informatique est une cible potentielle d’une cyberattaque, et la plupart des gens conviennent qu’il ne s’agit pas de savoir si, mais quand cela se produira. Cependant, l’impact varie en fonction de la rapidité et de l’efficacité avec laquelle vous résolvez le problème, d’où la nécessité d’une préparation aux interventions en cas d’incident.

Une réponse aux incidents de cybersécurité (IR) fait référence à une série de processus qu’une organisation prend pour répondre à une attaque contre ses systèmes informatiques. Cela nécessite une combinaison des bons outils matériels et logiciels ainsi que des pratiques telles que la planification, les procédures, la formation et le soutien appropriés par tous les membres de l’organisation..

Meilleures pratiques avant, pendant et après les incidents de sécurité

Lorsqu’une cyberattaque se produit, plusieurs activités peuvent avoir lieu simultanément, ce qui peut être mouvementé en l’absence de coordination ou de procédures appropriées de gestion des incidents..

Cependant, la préparation à l’avance et l’établissement d’un plan et de politiques de réponse aux incidents clairs et faciles à comprendre permettent aux équipes de sécurité de travailler en harmonie. Cela leur permet de se concentrer sur les tâches critiques qui limitent les dommages potentiels à leurs systèmes informatiques, leurs données et leur réputation en plus d’éviter les interruptions inutiles de l’activité..

Préparer un plan de réponse aux incidents

Un plan de réponse aux incidents documente les étapes à suivre en cas d’attaque ou de tout autre problème de sécurité. Bien que les étapes réelles puissent varier en fonction de l’environnement, un processus typique, basé sur le cadre SANS (SysAdmin, Audit, Network et Security), comprendra la préparation, l’identification, le confinement, l’élimination, la récupération, la notification de l’incident et un post- examen des incidents.

réponse aux incidentsFlux du processus de réponse aux incidents (basé sur le modèle NIST) Image NIST

La préparation comprend l’élaboration d’un plan avec des informations pertinentes et les procédures réelles que l’équipe de réponse aux incidents informatiques (CIRT) suivra pour faire face à l’incident..

Ceux-ci inclus:

  • Équipes et individus spécifiques responsables de chaque étape du processus de réponse aux incidents.
  • Définit ce qui constitue un incident, y compris ce qui justifie quel type de réponse.
  • Données et systèmes critiques qui nécessitent plus de protection et de sauvegarde.
  • Un moyen de préserver les états affectés des systèmes affectés à des fins médico-légales.
  • Procédures pour déterminer quand et qui signaler un problème de sécurité. Lorsqu’un incident se produit, il peut être nécessaire d’informer les utilisateurs concernés, les clients, les responsables de l’application des lois du personnel, etc., mais cela variera d’une industrie et d’un cas à l’autre..

Un plan de réponse aux incidents doit être facile à comprendre et à mettre en œuvre, ainsi qu’à s’aligner sur d’autres plans et politiques d’organisation. Cependant, la stratégie et l’approche peuvent différer selon les différentes industries, équipes, menaces et dommages potentiels. Des tests et des mises à jour réguliers garantissent la validité et l’efficacité du plan.

Étapes de la réponse aux incidents en cas de cyberattaque

En cas d’incident de sécurité, les équipes doivent agir rapidement et efficacement pour le contenir et l’empêcher de se propager à des systèmes propres. Voici les meilleures pratiques pour résoudre les problèmes de sécurité. Cependant, ceux-ci peuvent différer selon l’environnement et la structure d’une organisation.

Former ou engager l’équipe de réponse aux incidents informatiques

Veiller à ce que l’équipe CIRT multidisciplinaire en interne ou externalisée dispose des bonnes personnes possédant à la fois les compétences et l’expérience requises. Parmi ceux-ci, sélectionnez un chef d’équipe qui sera la personne focale pour donner des directives et s’assurer que la réponse se déroule conformément au plan et aux délais. Le leader travaillera également main dans la main avec la direction et surtout lorsqu’il y a des décisions importantes à prendre en ce qui concerne les opérations.

Identifier l’incident et établir le type et la source de l’attaque

Lors de tout signe de menace, l’équipe IR doit agir rapidement pour vérifier s’il s’agit bien d’un problème de sécurité, qu’il soit interne ou externe, tout en s’assurant qu’ils le contiennent le plus rapidement possible. Les moyens typiques de déterminer quand il y a un problème comprennent, mais sans s’y limiter;

  • Alertes des outils de surveillance de la sécurité, dysfonctionnements des systèmes, comportements inhabituels, modifications de fichiers inattendues ou inhabituelles, copie ou téléchargement, etc.
  • Rapports par les utilisateurs, les administrateurs réseau ou système, le personnel de sécurité ou les partenaires ou clients tiers externes.
  • Journaux d’audit avec des signes de comportement inhabituel des utilisateurs ou des systèmes, tels que plusieurs tentatives de connexion échouées, des téléchargements de fichiers volumineux, une utilisation élevée de la mémoire et d’autres anomalies.

Alerte automatique d'incident de sécurité VaronisAlerte automatique d’incident de sécurité Varonis – Image Varonis 

Évaluer et analyser l’impact de l’attaque

Les dommages causés par une attaque varient en fonction de son type, de l’efficacité de la solution de sécurité et de la vitesse à laquelle l’équipe réagit. Le plus souvent, il n’est pas possible de voir l’étendue des dommages avant d’avoir complètement résolu le problème. L’analyse devrait déterminer le type d’attaque, son impact et les services qu’elle aurait pu affecter..

Il est également recommandé de rechercher toute trace que l’attaquant aurait pu laisser et de rassembler les informations qui aideront à déterminer la chronologie des activités. Cela implique d’analyser tous les composants des systèmes affectés, de capturer des informations pertinentes pour la criminalistique et de déterminer ce qui aurait pu se produire à chaque étape..

Selon l’étendue de l’attaque et les résultats, il peut être nécessaire de faire remonter l’incidence à l’équipe concernée.

Confinement, élimination des menaces et récupération

La phase de confinement comprend le blocage de la propagation de l’attaque ainsi que la restauration des systèmes à l’état de fonctionnement initial. Idéalement, l’équipe du CIRT devrait identifier la menace et la cause première, supprimer toutes les menaces en bloquant ou déconnectant les systèmes compromis, en nettoyant les logiciels malveillants ou les virus, en bloquant les utilisateurs malveillants et en restaurant les services.

Ils doivent également établir et corriger les vulnérabilités que les attaquants ont exploitées pour empêcher que de telles occurrences ne se reproduisent. Un confinement typique implique des mesures à court terme et à long terme ainsi qu’une sauvegarde de l’état actuel.

Avant de restaurer une sauvegarde propre ou de nettoyer les systèmes, il est important de conserver une copie de l’état des systèmes concernés. Cela est nécessaire pour préserver l’état actuel, ce qui peut être utile en matière de criminalistique. Une fois sauvegardé, la prochaine étape est la restauration des services interrompus. Les équipes peuvent y parvenir en deux phases:

  • Vérifiez les composants systèmes et réseau pour vérifier que tous fonctionnent correctement
  • Revérifiez tous les composants qui ont été infectés ou compromis, puis nettoyés ou restaurés pour vous assurer qu’ils sont désormais sécurisés, propres et opérationnels.

Notification et notification

L’équipe de réponse à l’incidence effectue l’analyse, la réponse et la notification. Ils doivent explorer la cause profonde de l’incident, documenter leurs conclusions sur l’impact, comment ils ont résolu le problème, la stratégie de récupération tout en transmettant les informations pertinentes à la direction, aux autres équipes, aux utilisateurs et aux fournisseurs tiers..

Communications avec des agences et des prestataires externesCommunications avec des agences et des prestataires externes Image NIST

Si la violation touche à des données sensibles qui nécessitent de notifier les autorités judiciaires, l’équipe doit initier cela et suivre les procédures définies dans sa politique informatique..

Habituellement, une attaque entraîne un vol, une mauvaise utilisation, une corruption ou toute autre activité non autorisée sur des données sensibles telles que des informations confidentielles, personnelles, privées et commerciales. Pour cette raison, il est essentiel d’informer les personnes concernées afin qu’elles puissent prendre des précautions et protéger leurs données critiques telles que les informations financières, personnelles et autres informations confidentielles.

Par exemple, si un attaquant parvient à accéder aux comptes d’utilisateurs, les équipes de sécurité devraient les informer et leur demander de changer leurs mots de passe.

Effectuer un examen post-incident

La résolution d’un incident offre également des leçons apprises, et les équipes peuvent analyser leur solution de sécurité et remédier aux maillons faibles de prévenir un incident similaire à l’avenirCertaines des améliorations comprennent le déploiement de meilleures solutions de sécurité et de surveillance pour les menaces internes et externes, éclairant le personnel et les utilisateurs sur les menaces de sécurité telles que le phishing, le spam, les logiciels malveillants et autres qu’ils devraient éviter..

D’autres mesures de protection utilisent les outils de sécurité les plus récents et efficaces, corrigent les serveurs, corrigent toutes les vulnérabilités sur les ordinateurs clients et serveurs, etc..

Étude de cas de réponse aux incidents de la NIC Asia Bank au Népal

Une capacité de détection ou une réponse inadéquate peut entraîner des dommages et des pertes excessifs. Un exemple est le cas de la NIC Asia Bank du Népal, qui a perdu et récupéré de l’argent après un compromis de processus commercial en 2017. Les attaquants ont compromis SWIFT et transféré frauduleusement des fonds de la banque vers divers comptes au Royaume-Uni, au Japon, à Singapour et aux États-Unis..

Heureusement, les autorités ont détecté les transactions illégales mais n’ont réussi à récupérer qu’une fraction de l’argent volé. Aurait-il pu y avoir un meilleur système d’alerte, les équipes de sécurité auraient détecté l’incident à un stade plus précoce, peut-être avant que les attaquants aient réussi le compromis du processus métier.

Étant donné qu’il s’agissait d’un problème de sécurité complexe dans d’autres pays, la banque a dû informer les autorités chargées de l’application des lois et les enquêtes. De plus, la portée dépassait l’équipe interne de réponse aux incidents de la banque et, partant, la présence d’équipes externes de KPMG, de la banque centrale et d’autres.

Une enquête médico-légale menée par des équipes externes de leur banque centrale a établi que l’incident pouvait provenir d’une faute professionnelle d’initié qui avait exposé des systèmes critiques..

Selon un rapport, les six opérateurs de l’époque avaient utilisé l’ordinateur du système SWIFT dédié pour d’autres tâches non liées. Cela peut avoir exposé le système SWIFT, permettant ainsi aux attaquants de le compromettre. Après l’incident, la banque a transféré les six employés dans d’autres services moins sensibles.

Leçons apprises: La banque aurait dû déployer un système de surveillance et d’alerte efficace en plus de sensibiliser les employés à la sécurité et d’appliquer des politiques strictes.

Conclusion

Une réponse aux incidents bien planifiée, une bonne équipe et des outils et pratiques de sécurité pertinents donnent à votre organisation la capacité d’agir rapidement et de résoudre un large éventail de problèmes de sécurité. Cela réduit les dommages, les interruptions de service, le vol de données, la perte de réputation et les responsabilités potentielles.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map