La réponse aux incidents de sécurité est une approche stratégique qui permet d’identifier, de hiérarchiser et de contenir les cyberattaques, et de gérer la résolution et les conséquences de ces attaques.
Les cyberattaques commencent généralement petit, puis font boule de neige. Malheureusement, trop peu d’entreprises disposent des ressources ou des processus adéquats pour atténuer ces menaces avant qu’elles ne grandissent. Dès lors que rien n’empêche ces cyberattaques de passer de l’état d’incidents mineurs à celui de risques majeurs pour votre business, elles peuvent avoir des conséquences dévastatrices. Les recherches montrent qu’il faut en moyenne 128 jours aux entreprises pour détecter une violation, soit quatre mois au cours desquels un pirate peut voler des données, endommager vos systèmes et perturber votre activité.
La réponse aux incidents de sécurité (SIR, Security Incident Response) est conçue pour aider les entreprises à réagir à ces types d’intrusions réseau avant qu’elles n’affectent leur activité. Structurée pour gérer de nombreux types de cybermenaces et d’incidents de sécurité, la SIR établit des workflows et des procédures fiables et évolutifs que les centres d’opérations de sécurité (SOC, Security Operation Center) et les équipes de réponse aux incidents peuvent utiliser pour minimiser les impacts sur l’entreprise et réduire les temps de restauration.
La réponse aux incidents de sécurité est une sous-catégorie des initiatives plus générales de réponse aux incidents qui couvrent également les problèmes non liés à la sécurité. La SIR est plus particulièrement conçue pour lutter contre les attaques visant les systèmes digitaux d’une entreprise. Cela inclut (sans s’y limiter) les catégories d’incidents de sécurité suivantes :
Les violations du système informatique, également appelées violations de données ou violations de la sécurité IT, se produisent lorsqu’un cybercriminel accède aux données informatiques, aux applications logicielles, aux réseaux ou aux appareils d’une entreprise.
Des cybercriminels, internes ou externes, accèdent aux réseaux d’une entreprise pour tenter de modifier des outils, des applications, des données ou autres systèmes sensibles.
Le matériel non chiffré peut représenter un risque sérieux s’il tombe entre de mauvaises mains. En cas de perte ou de vol d’appareils professionnels, les entreprises doivent mettre en place des plans pour gérer le risque de sécurité.
Il peut arriver que l’objectif d’une cyberattaque ne soit pas le vol de données, mais l’interruption du service. Une attaque DoS inonde de trafic le réseau ciblé et vise à dépasser ses capacités pour forcer l’arrêt.
Les cybercriminels qui accèdent aux systèmes d’une entreprise peuvent tenter de prendre le contrôle des ressources et des outils IT, souvent pour mener une attaque de ransomware.
Souvent, le moyen le plus rapide pour un attaquant d’obtenir l’accès à vos systèmes consiste à pirater un compte utilisateur autorisé. Les comptes piratés peuvent être particulièrement difficiles à détecter.
Les incidents de sécurité non résolus et non gérés ont tendance à faire boule de neige et s’intensifient presque toujours. Cela peut aller de la perte des informations d’identification des utilisateurs et du piratage des données de l’entreprise et des clients jusqu’à des temps d’arrêt coûteux et préjudiciables à la réputation de l’entreprise, voire jusqu’à l’effondrement total du système. La réponse aux incidents de sécurité permet aux équipes SOC de disposer des ressources, des outils et des processus appropriés pour localiser et hiérarchiser ces incidents de sécurité avant qu’ils ne prennent de l’importance.
La SIR permet d’établir de bonnes pratiques, des workflows automatisés et collaboratifs et des plans d’atténuation des menaces étape par étape qui couvrent chaque phase de réponse aux menaces. Elle vise à stopper les intrusions le plus rapidement possible et à fournir aux entreprises des stratégies de réponse fiables et évolutives pour une restauration rapide des systèmes après la détection et l’élimination de la violation.
En plus d’assurer une restauration rapide en cas de violation potentielle des données, la réponse aux incidents de sécurité aide les entreprises à respecter les normes de conformité réglementaire, notamment celles imposées par la loi dans les secteurs de la santé et des services financiers, entre autres. Enfin, la SIR protège la réputation de votre marque des dommages permanents qu’elle pourrait autrement subir à la suite d’une violation.
Bien que votre réponse aux incidents de sécurité puisse inclure des tâches concernant tous les services de votre entreprise (notamment IT, gestion des risques, RH et juridique), la majeure partie de la responsabilité incombe à votre équipe de réponse aux incidents. Ces équipes comprennent généralement :
Les responsables de réponse aux incidents dirigent la réponse, supervisent les actions, hiérarchisent les menaces et assurent la liaison entre l’équipe de réponse et le reste de l’entreprise. Pour que les plans de réponse aux incidents de sécurité soient efficaces, il est essentiel d’avoir le soutien de la direction. C’est la raison pour laquelle les responsables de réponse aux incidents doivent obtenir l’adhésion des cadres supérieurs avant de mettre en œuvre un plan.
Les analystes de sécurité sont ceux qui ont « les mains dans le cambouis » pendant l’incident. Ils doivent être formés pour différencier les vrais incidents des faux positifs potentiels, déterminer l’heure, l’emplacement et les détails de l’incident, et localiser et conserver toute preuve qui aurait pu être laissée par l’intrus.
Les chercheurs en menaces tentent de définir la gravité et l’étendue de la violation. Ils recherchent sur Internet des informations sensibles susceptibles d’avoir été extraites des systèmes de l’entreprise. Ils aident également à créer une base de données des précédents incidents afin d’améliorer les renseignements sur les menaces que détient l’entreprise.
Chacune de ces fonctions joue un rôle clé dans la réponse aux incidents de sécurité et dans la restauration post-incident. Certaines entreprises choisissent d’externaliser une partie de ces rôles. Dans tous les cas, que vous formiez une équipe entièrement interne ou que vous sous-traitiez, l’équipe de réponse aux incidents devra s’assurer que votre entreprise respecte bien votre plan de réponse aux incidents de sécurité.
Pour que la réponse aux incidents de sécurité soit efficace, elle doit être prête à être mise en œuvre bien avant que l’incident de sécurité en question ne se produise. Le plan de réponse aux incidents de sécurité (SIRP, Security Incident Response Plan) forme un ensemble officiel de documents qui détaillent clairement les mesures à prendre à chaque étape de la réponse aux incidents de sécurité de l’entreprise. Il doit également décrire les rôles et les responsabilités en matière de réponse de sécurité dans l’ensemble de l’entreprise et aborder la manière dont ces rôles doivent communiquer et interagir dans le cadre des protocoles de réponse établis.
Le SIRP est conçu pour être déployé rapidement pendant les premières heures d’attaque, qui sont les plus critiques. Il doit être clair, utiliser une terminologie et un langage sans équivoque, et facile à suivre. Souvent, les SIRP incluent ou font référence à une bibliothèque de playbooks de réponse à un incident.
La forme la plus simple du SIRP est un ensemble de directives que les équipes d’intervention doivent suivre. Il leur permet d’identifier les menaces, d’y réagir efficacement et de réduire l’impact global de l’incident de sécurité avec rapidité et précision.
La rapidité de déploiement de la stratégie de réponse de l’entreprise est extrêmement importante. La plupart des SIRP suivent donc un format établi composé de six étapes clés :
La première phase de la réponse aux incidents consiste à préparer les équipes IT, SOC et de réponse aux incidents à gérer les menaces à mesure qu’elles surviennent. Il s’agit probablement de l’étape la plus importante de votre SIRP. Elle doit couvrir la formation des employés en matière de réponse aux incidents, l’obtenir des financements et des approbations appropriés, et l’établissement des normes de documentation. De nombreuses entreprises choisissent de réaliser des exercices de mise en situation pour aider toutes les personnes impliquées à se familiariser avec leurs responsabilités.
Les violations peuvent avoir diverses origines. Il est donc essentiel que les équipes de réponse aux incidents disposent de procédures d’identification et de validation des menaces potentielles à appliquer avant de déclarer qu’un incident de sécurité s’est effectivement produit. L’étape d’identification doit permettre de déterminer quand un événement s’est produit, comment il a été découvert, quelles zones il a pu affecter, quel impact il a pu avoir sur les opérations en cours et si le point d’entrée est connu.
Une fois la menace confirmée, la phase suivante consiste à l’empêcher de pénétrer plus loin dans le système. L’étape de maîtrise de la menace est essentielle et ne doit pas être ignorée. Ensuite seulement vous pourrez passer à la phase d’éradication. En effet, supprimer purement et simplement le programme malveillant peut ruiner toutes vos chances de recueillir des preuves que vous pourriez utiliser pour renforcer votre réseau contre des attaques similaires à l’avenir. Vous devez déconnecter et mettre en quarantaine les systèmes piratés et, si possible, déployer des systèmes de sauvegarde pour éviter les pertes dans vos opérations business. Enfin, vous devez appliquer des correctifs à tous vos systèmes, vérifier les protocoles d’accès à distance et demander à tous vos administrateurs de modifier les informations d’identification qu’ils utilisent pour se connecter à leur compte.
Une fois la menace maîtrisée et toutes les données pertinentes collectées, vous pouvez supprimer en toute sécurité tout programme malveillant du système. Il est essentiel d’éliminer tous les logiciels malveillants. Un balayage trop superficiel qui laisse des traces de l’attaque peut permettre au programme malveillant d’accéder sans autorisation à vos données et de se relancer ultérieurement.
Atténuer les menaces est une bonne chose, mais le mieux reste de perfectionner vos systèmes pour empêcher les incidents de sécurité d’affecter votre activité. Une fois l’incident résolu, vous devez discuter avec les membres de l’équipe de réponse aux incidents et les autres personnes concernées pour identifier et documenter les enseignements tirés de votre expérience. Cela vous permettra de mieux préparer vos systèmes aux incidents futurs, en optimisant à la fois la hiérarchisation des incidents et la réponse à apporter.
Alors que la fréquence, la complexité et la sophistication des menaces de sécurité ne cessent de croître, la réponse aux incidents de sécurité, loin du simple facteur de différenciation concurrentiel, est devenue une norme de sécurité essentielle. Chaque seconde est cruciale, et lorsqu’un incident de sécurité potentiel se produit, les équipes de sécurité se rendent souvent compte qu’elles n’ont pas les moyens d’enquêter, de vérifier et de répondre à ces menaces. ServiceNow a la solution.
La solution de réponse aux incidents de sécurité de ServiceNow transforme l’approche standard du travail d’enquête, de réponse et de récupération en appliquant des options d’automatisation avancées et en centralisant sur une seule plateforme les données, les informations et les rapports relatifs aux opérations de sécurité. Donnez à vos équipes de réponse les moyens d’agir et d’évoluer en automatisant la hiérarchisation, le triage, l’analyse des données et d’autres tâches de réponse essentielles. Pour aller plus loin encore, bénéficiez d’informations en temps réel, accédez à des playbooks détaillés et obtenez une visibilité complète sur la sécurité du réseau.
Découvrez comment ServiceNow peut optimiser votre approche en matière de réponse aux incidents de sécurité et stopper les futures cyberattaques avant même qu’elles ne vous atteignent.