La réponse aux incidents de sécurité est une approche stratégique visant à détecter, hiérarchiser et contrôler une cyberattaque, ainsi qu’à gérer la résolution et les conséquences d’une telle attaque.
Les cyberattaques sont comme des boules de neige qui dévalent une colline; elles ont tendance à commencer modestement. Malheureusement, trop peu d’entreprises disposent des ressources ou des processus adéquats pour atténuer pleinement ces menaces avant qu’elles ne prolifèrent. Et lorsqu’on laisse les cyberattaques passer du stade d’incidents mineurs à celui de risques commerciaux majeurs, elles peuvent avoir des conséquences dévastatrices. Les recherches montrent qu’il faut en moyenne 128 jours aux entreprises pour détecter une violation. Cela représente quatre mois pendant lesquels un pirate peut voler des données, endommager vos systèmes et perturber votre activité.
La solution Réponse aux incidents de sécurité (SIR) est conçue pour aider les entreprises à réagir à ce type d’intrusion dans le réseau avant qu’elles n’aient un impact sur leurs activités. Structurée pour gérer de nombreux types de cybermenaces et d’incidents de sécurité, SIR établit des flux de travail et des procédures éprouvés et évolutifs que les centres des opérations de sécurité (SOC) et les équipes de réponse aux incidents peuvent utiliser pour minimiser les impacts sur l’entreprise et réduire les délais de récupération.
La solution Réponse aux incidents de sécurité est une sous-catégorie d’initiatives plus générales de réponse à un incident de sécurité qui couvrent également des questions non liées à la sécurité. SIR est conçue spécifiquement pour répondre aux attaques malveillantes contre les systèmes numériques d’une entreprise. Cela inclut (mais sans s’y limiter) les catégories suivantes d’incidents de sécurité :
Une violation du système informatique, également appelée violation de données ou violation de sécurité informatique, se produit lorsqu’un individu non autorisé accède aux données informatiques, aux applications logicielles, aux réseaux ou aux appareils d’une entreprise.
Les auteurs de la menace, qu’ils soient internes ou externes, qui accèdent aux réseaux d’une entreprise peuvent tenter d’apporter des modifications à divers outils, applications, données ou autres systèmes sensibles.
Le matériel non chiffré peut constituer une menace sérieuse s’il tombe entre les mains de personnes non autorisées. En cas de perte ou de vol d’appareils professionnels, les entreprises doivent mettre en place des plans pour faire face au risque de sécurité.
Parfois, l’objectif d’une cyberattaque n’est pas de voler des données, mais de provoquer des perturbations. Une attaque par déni de service inonde le réseau cible de trafic, surchargeant sa capacité et forçant son arrêt.
Les cybercriminels qui accèdent aux systèmes d’une entreprise peuvent tenter de prendre le contrôle de ressources ou d’outils informatiques, ce qui constitue souvent la base d’une attaque par rançongiciel.
Souvent, le moyen le plus rapide pour un pirate d’obtenir un accès est de détourner un compte d’utilisateur autorisé. Les comptes compromis peuvent être particulièrement difficiles à détecter.
Tout comme la boule de neige grossit au fur et à mesure qu’elle avance, les incidents de sécurité non traités et non contrôlés s’aggravent presque toujours. Cela peut aller de la perte des authentifiants des utilisateurs et de la compromission des données de l’entreprise et des clients à l’effondrement total du système, en passant par des temps d’arrêt coûteux et préjudiciables à la réputation de l’entreprise. Grâce à la réponse aux incidents de sécurité, les équipes des SOC disposent des ressources, des outils et des processus adéquats pour localiser et hiérarchiser ces incidents de sécurité avant qu’ils ne commencent à se propager.
En établissant les pratiques exemplaires, les flux de travail automatisés et collaboratifs et les plans d’atténuation des menaces étape par étape qui couvrent chaque phase de la réponse aux menaces, SIR est là pour bloquer les intrusions aussi rapidement que possible et pour fournir aux entreprises des stratégies de réponse éprouvées et évolutives pour une récupération rapide à la suite du contrôle et de l’élimination de la violation.
En plus d’assurer une reprise rapide après une éventuelle violation de données, la réponse aux incidents de sécurité aide les entreprises à respecter les normes de conformité réglementaire, telles que celles exigées par la loi dans des secteurs comme les soins de santé et les services financiers. Enfin, SIR protège la réputation de la marque qui pourrait autrement subir des dommages permanents à la suite d’une violation réussie.
Bien que votre réponse aux incidents de sécurité puisse inclure des tâches pour tous les niveaux de votre entreprise, tels que les services informatiques, de gestion des risques, de RH et juridiques, c’est votre équipe de réponse aux incidents qui endossera la plus grande responsabilité. Ces équipes sont généralement composées des personnes suivantes :
Le gestionnaire de la réponse aux incidents de sécurité prend les rênes de la réponse aux incidents de sécurité, en supervisant les actions, en hiérarchisant les menaces et en assurant la communication entre l’équipe de réponse et le reste de l’entreprise. Le soutien de la direction est essentiel pour que les plans de réponse aux incidents de sécurité soient efficaces. Par conséquent, les gestionnaires de la réponse aux incidents de sécurité doivent s’assurer d’obtenir l’adhésion des cadres supérieurs avant de mettre en œuvre un plan.
Les analystes en matière de sécurité sont sur le terrain pendant l’incident. Ils doivent être formés à reconnaître les incidents réels parmi les faux positifs potentiels, à déterminer l’heure, le lieu et les détails de l’incident, ainsi qu’à localiser et à conserver toute preuve que l’intrus aurait pu laisser.
Enfin, les chercheurs de menaces s’efforcent de définir la gravité et l’étendue de la violation. Ils recherchent sur Internet les informations sensibles qui ont pu être extraites des systèmes de l’entreprise. Ils participent également à la constitution d’une base de données sur les incidents antérieurs afin d’améliorer l’informations sur les menaces de l’entreprise.
Chacun de ces postes joue un rôle essentiel dans la réponse à un incident de sécurité et dans le rétablissement de la situation. Certaines entreprises choisissent de sous-traiter certaines de ces responsabilités, mais que vous constituiez votre équipe entièrement en interne ou que vous optiez pour l’externalisation, votre équipe de réponse aux incidents jouera un rôle essentiel pour garantir que votre entreprise suit correctement votre plan de réponse aux incidents de sécurité.
Pour que la réponse aux incidents de sécurité soit efficace, elle doit être entièrement préparée et prête à être mise en œuvre bien avant que l’incident de sécurité en question ne se produise. Un plan de réponse aux incidents de sécurité (SIRP) est un ensemble de documents formels et officiels qui détaillent clairement les actions à entreprendre à chaque étape de la réponse aux incidents de sécurité d’une entreprise. En même temps, le SIRP doit définir les fonctions et les responsabilités en matière de réponse aux incidents de sécurité dans l’ensemble de l’entreprise et indiquer comment ces fonctions doivent communiquer et interagir dans le cadre des protocoles d’intervention établis.
Le SIRP étant conçu pour être déployé rapidement au cours des premières heures les plus critiques d’une attaque, il doit être clair, sans ambiguïté au niveau de la terminologie et du langage, et facile à suivre. Les SIRP comprennent souvent une bibliothèque de Playbooks de réponse à un incident ou y font référence.
Dans sa forme la plus élémentaire, un SIRP est un ensemble d’instructions que les équipes d’intervention doivent suivre pour détecter les menaces, réagir efficacement et réduire l’impact de l’incident de sécurité dans son ensemble, avec rapidité et précision.
La rapidité avec laquelle une entreprise peut déployer sa stratégie de réponse étant déterminante, la plupart des SIRP suivent un format établi comprenant six étapes essentielles :
La première phase de la réponse aux incidents de sécurité est consacrée à la préparation des services informatiques, du SOC et des autres membres des équipes de réponse à la gestion des menaces au fur et à mesure qu’elles se présentent. Il s’agit probablement de l’étape la plus importante de votre SIRP et elle doit prendre en compte la formation des employés à la réponse, l’obtention du financement et de l’approbation nécessaires, et l’établissement de normes de documentation. De nombreuses entreprises choisissent d’organiser des exercices de simulation pour aider toutes les personnes concernées à se familiariser avec leurs responsabilités.
Étant donné qu’une violation peut provenir de nombreux domaines différents, il est essentiel que les équipes d’intervention aient accès à des procédures d’identification et de validation des menaces avant de les faire passer au statut d’incident de sécurité vérifié. La phase de détection doit permettre de déterminer quand un événement s’est produit, comment il a été détecté, quels sont les domaines qu’il a pu toucher, quel est l’impact qu’il peut avoir sur les opérations en cours et si le point d’entrée est connu.
Une fois la menace vérifiée, la phase suivante consiste à l’empêcher de se propager dans le système. Le contrôle de la menace est une étape essentielle qui ne doit pas être négligée au profit d’une éradication directe. En supprimant simplement le logiciel malveillant, vous risquez de gâcher vos chances de recueillir des preuves que vous pourriez utiliser pour renforcer votre réseau contre des attaques similaires à l’avenir. Déconnectez et mettez en quarantaine les systèmes compromis et, si possible, déployez des systèmes de sauvegarde pour éviter toute perte d’opérations commerciales. Apportez des correctifs à tous vos systèmes, revoyez les protocoles d’accès à distance et demandez à tous les comptes administratifs de modifier leurs authentifiants de connexion.
Une fois que la menace est maîtrisée et que toutes les données pertinentes ont été collectées, vous pouvez commencer à éliminer en toute sécurité les logiciels malveillants du système. Il est essentiel que tous les logiciels malveillants soient éliminés. Un nettoyage superficiel qui laisse des traces de l’attaque peut encore permettre un accès non autorisé à vos données et les logiciels malveillants pourraient se relancer à l’avenir.
Atténuer une menace, c’est bien; améliorer vos systèmes pour empêcher les incidents de sécurité d’avoir un impact sur votre entreprise, c’est mieux. Une fois l’incident correctement traité, discutez avec les membres de l’équipe de réponse et les autres parties prenantes afin de définir et de documenter ce que vous avez appris de cette expérience. Ces leçons peuvent ensuite être appliquées pour mieux préparer vos systèmes à de futurs incidents, en optimisant à la fois la hiérarchisation et la réponse.
Alors que les menaces de sécurité continuent de croître en fréquence, en complexité et en sophistication, la réponse aux incidents de sécurité est passée d’un facteur de différenciation concurrentielle à une norme de sécurité essentielle. Mais lorsque chaque seconde compte, les équipes de sécurité découvrent qu’elles n’ont tout simplement pas le pouvoir d’enquêter, de vérifier et de répondre à chaque incident de sécurité possible dès qu’il se produit. ServiceNow apporte la solution.
La solution Réponse aux incidents de sécurité de ServiceNow transforme l’approche classique de l’investigation, de la réponse et de la récupération de la sécurité des TI, en appliquant des capacités d’automatisation avancées et en centralisant les données des opérations de sécurité, les aperçus et les rapports sur une seule plateforme. Donnez aux équipes d’intervention les moyens d’agir et de s’adapter grâce à l’automatisation de la hiérarchisation, du triage, de l’analyse des données et d’autres tâches de réponse essentielles. Ensuite, allez plus loin, avec des informations détaillées en temps réel, des stratégies détaillées et une visibilité complète de la sécurité du réseau.
Découvrez comment ServiceNow peut optimiser votre approche de la réponse aux incidents de sécurité et bloquer les futures cyberattaques avant qu’elles ne commencent.