Incident Response (IR)

janvier 19, 2022

Qu’est-ce qu’une réponse à incident ?

La réponse à incident consiste en une série d’étapes mises en place pour prévenir, détecter et bloquer les compromissions de données, ainsi que pour restaurer les systèmes.

Qu’est-ce qu’un plan de réponse à incident ?

Un plan de réponse à incident est un document qui décrit les procédures, les mesures mises en place et les responsabilités d’une entreprise dans le cadre de son programme de réponse à incident.

Un plan de réponse à incident comprend souvent les informations suivantes :

  • La manière dont la réponse à incident soutient la mission au sens large de l’entreprise
  • L’approche de l’entreprise en matière de réponse à incident
  • Les actions requises à chaque étape de la réponse à incident
  • Les rôles et les responsabilités découlant des activités de réponse à incident
  • Les canaux de communication entre l’équipe de réponse à incident et les autres collaborateurs de l’entreprise
  • Les mesures permettant d’évaluer l’efficacité des fonctionnalités de réponse à incident

Il est important de noter que l’intérêt du plan de réponse à incident ne se limite pas à l’incident de cybersécurité en lui-même. En effet, ce plan continue de présenter de la valeur pour la résolution des éventuels litiges, sert de référence pour les auditeurs et procure des connaissances historiques permettant d’alimenter le processus d’évaluation des risques et d’améliorer le processus de réponse à incident lui-même.

Global Threat Report 2022 De Crowdstrike

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de tactiques, techniques et procédures.

Télécharger

Quelles sont les étapes du processus de réponse à incident ?

D’après le National Institute of Standards and Technology (NIST), la réponse à incident se décompose en quatre étapes clés :

  • Préparation : aucune entreprise n’est à même d’élaborer un plan de réponse à incident efficace en un clin d’œil. Celui-ci doit être pensé au préalable de façon à prévenir les événements et à pouvoir intervenir en cas de besoin.
  • Détection et analyse : la deuxième étape de la réponse à incident consiste à déterminer si un incident a eu lieu, sa gravité et sa nature.
  • Confinement et éradication : l’objectif ici est de stopper les effets d’un incident avant que celui-ci ne cause d’autres dommages.
  • Récupération après incident : chaque incident majeur devrait donner lieu à une réunion regroupant toutes les parties intéressées afin de tirer les leçons qui s’imposent de l’incident. Une telle réunion devrait également être encouragée en cas d’incident de moindre gravité, avec pour objectif d’améliorer la sécurité en général et la prise en charge des incidents en particulier.

Pourquoi est-il important de disposer d’un plan de réponse à incident ?

Les cyberincidents ne sont pas uniquement des problèmes techniques, ils constituent aussi des problèmes métier. Plus ils sont corrigés rapidement, moins ils font de dégâts.

Pensez aux compromissions récentes qui ont fait les gros titres pendant des semaines. L’entreprise ciblée avait-elle eu vent de la menace longtemps à l’avance, sans toutefois entreprendre de résoudre le problème ? A-t-elle minimisé la gravité de l’incident dans ses communications publiques, avant d’être rattrapée par la réalité ? La communication avec les victimes était-elle mauvaise, ce qui n’a fait qu’ajouter à la confusion ? Les dirigeants ont-ils été accusés d’avoir mal géré l’incident, soit parce qu’ils ne l’ont pas pris au sérieux, soit parce que les mesures prises (vente d’actions, par exemple) n’ont fait qu’aggraver la situation ? Ce sont là autant de signes révélateurs de l’absence de plan d’intervention au sein d’une entreprise.

Étant donné qu’un plan de réponse à incident ne repose pas uniquement sur des éléments techniques, il doit être conçu pour s’aligner sur les priorités de l’entreprise et le niveau de risque qu’elle accepte de courir.

Pour limiter les perturbations et la perte de données pendant et après un incident, les responsables de la réponse à incident doivent comprendre les exigences opérationnelles à court terme de leur entreprise, ainsi que ses objectifs stratégiques à long terme.

Par ailleurs, les informations recueillies dans le cadre du processus de réponse à incident peuvent alimenter l’évaluation des risques, ainsi que la réponse à incident elle-même, de façon à améliorer la prise en charge des futurs incidents et à renforcer le niveau de sécurité général. Face aux questions des investisseurs, des actionnaires, des clients, des médias, des juges et des auditeurs, une entreprise qui dispose d’un plan de réponse à incident pourra se référer à ses registres pour prouver qu’elle a agi de manière responsable et méticuleuse face à une attaque.

Rapport Des Experts Aux Avant-postes De La Cybersécurité

Chaque année, l’équipe des Services CrowdStrike affronte une multitude de nouveaux cyberadversaires. Téléchargez le rapport sur son expérience aux avant-postes de la cybersécurité et découvrez l’analyse et les recommandations pratiques de nos experts.

Télécharger

La plupart des entreprises ne disposent d’aucun plan d’intervention

Bien que l’importance d’avoir un plan de réponse à incident ne fasse aucun doute, les entreprises sont étonnamment nombreuses à en être dépourvue ou à ne disposer que d’une simple ébauche.

Selon une étude du Ponemon Institute, 77 % des répondants ont déclaré ne pas disposer d’un plan formel de réponse à incident appliqué à l’échelle de l’entreprise, et près de la moitié ont indiqué disposer d’un plan informel, voire ne pas avoir de plan du tout. Parmi les répondants disposant d’un plan de réponse à incident, seuls 32 % ont qualifié leur initiative de « mature ».

Ces chiffres sont particulièrement préoccupants, en particulier lorsque l’on sait que 57 % es entreprises déclarent que leur délai de résolution des cyberincidents s’allonge et que 65 % indiquent que les attaques qu’elles subissent sont de plus en plus graves.

Compte tenu de l’importance d’une intervention rapide pour limiter les dégâts dans le domaine de la cybersécurité, ces deux déclarations sont étroitement liées. Plus les cyberattaquants passent de temps à l’intérieur du réseau de la cible, plus ils pourront dérober et détruire des ressources. Un plan de réponse à incident peut limiter le temps dont disposent ces cyberattaquants en permettant aux équipes de sécurité de comprendre les mesures à prendre et de disposer des outils et des autorisations nécessaires à cet effet.

Modèles et exemples de plans de réponse à incident

Les quelques exemples de plans de réponse à incident suivants sont destinés à vous donner une idée plus précise de la forme que peut prendre un tel plan.

Services CrowdStrike de réponse à incident

Bien souvent, les entreprises ne disposent pas des talents internes nécessaires à l’élaboration et à l’exécution d’un plan efficace. Lorsqu’elles ont la chance de disposer d’une équipe dédiée, celle-ci est souvent submergée par les faux positifs générés par les systèmes de détection automatisés ou par les tâches en cours, de sorte qu’elle ne parvient pas à rester au fait des dernières cybermenaces.

CrowdStrike peut se targuer de figurer parmi les leaders en matière de réponse à incident et d’apporter contrôle, stabilité et organisation dans des situations qui pourraient vite tourner au chaos. CrowdStrike travaille en étroite collaboration avec votre entreprise à l’élaboration de plans de réponse à incident sur mesure adaptés à la structure et aux capacités de votre équipe de sécurité.

À travers ces conseils, nous aidons votre entreprise à améliorer la qualité de ses opérations de réponse à incident en standardisant et en simplifiant les processus. Nous analysons également l’état actuel de vos plans et capacités, puis collaborons avec votre équipe à la mise au point de stratégies de sécurité standardisées qui guideront vos actions lors des réponses à incident. Enfin, l’équipe des Services CrowdStrike peut vous aider à éprouver vos stratégies grâce, notamment, à des tests d’intrusion, des exercices Red Team / Blue Team et des scénarios de simulation de cyberattaque.

Découvrez comment CrowdStrike peut vous aider à intervenir plus rapidement et plus efficacement en cas d’incident :

SERVICES CROWDSTRIKE DE RÉPONSE À INCIDENT