Qu’est-ce que la réponse aux incidents ?

Date de mise à jour : 20 août 2024
Contributeurs : Jim Holdsworth, Matthew Kosinski

La réponse aux incidents, parfois appelée réponse aux incidents de cybersécurité, fait référence aux processus et technologies d’une organisation pour détecter et répondre aux cybermenaces, aux violations de la sécurité et aux cyberattaques. Un plan formel de réponse aux incidents permet aux équipes de cybersécurité de limiter ou d’empêcher les dommages.

L’objectif de la réponse aux incidents est de prévenir les cyberattaques avant qu’elles ne se produisent, et de minimiser les coûts et les perturbations de l’activité résultant des cyberattaques qui se produisent. La réponse aux incidents est la partie technique de la gestion des incidents, qui comprend également la gestion exécutive, RH et juridique d'un incident grave.

Idéalement, une organisation définit les processus et les technologies de réponse aux incidents dans un plan formel de réponse aux incidents (IRP) qui précise comment les différents types de cyberattaques doivent être identifiés, contenus et résolus.

Un plan de réponse aux incidents efficace peut aider les équipes de réponse aux incidents cybernétiques à détecter et à contenir les cybermenaces, à restaurer les systèmes affectés et à réduire les pertes de revenus, les amendes réglementaires et autres coûts.

Le rapport d'IBM sur le coût d'une violation de données  a révélé que le fait de disposer d'une équipe de réponse aux incidents et de plans formels de réponse aux incidents permet aux organisations de réduire le coût d'une violation de près d'un demi-million de dollars américains (473 706 USD) en moyenne.

IBM X-Force Threat Intelligence Index

Contribuez à améliorer les capacités de réponse aux incidents grâce à ce rapport basé sur des informations et des observations recueillies en surveillant plus de 150 milliards d'événements de sécurité par jour dans plus de 130 pays.

Contenu connexe

Demandez notre rapport sur le coût d’une fuite de données

Qu'est-ce qu'un incident de sécurité ?

Un incident de sécurité, ou événement de sécurité, est une violation numérique ou physique qui menace la confidentialité, l'intégrité ou la disponibilité des systèmes d'information ou des données sensibles d'une organisation. Les incidents de sécurité peuvent aller des cyberattaques intentionnelles par des pirates informatiques ou des utilisateurs non autorisés, à des violations involontaires de la politique de sécurité informatique par des utilisateurs légitimes autorisés.

Parmi les incidents de sécurité les plus courants, on trouve :

Ransomware
Hameçonnage et ingénierie sociale
Attaques DDoS
Les attaques de la chaîne d’approvisionnement
Menaces internes
Attaques par escalade des privilèges
Attaques de l’homme du milieu

Ransomware

Le ransomware est un type de logiciel malveillant, ou malware, qui verrouille les données ou l'appareil informatique d'une victime et menace de les maintenir verrouillés – ou pire – à moins que la victime ne paie une rançon. Le dernier rapport X-Force Threat Intelligence Index d'IBM indique que 20 % des attaques de réseaux ont utilisé des ransomwares, et que les attaques basées sur l'extorsion sont une force motrice de la cybercriminalité, seulement surpassée par le vol et les fuites de données.

En savoir plus sur les ransomwares

Hameçonnage et ingénierie sociale

Le phishing (ou « hameçonnage ») repose sur des messages numériques ou vocaux qui visent à manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l'argent ou des actifs à des personnes mal intentionnées ou à prendre d'autres mesures préjudiciables.

Les escrocs conçoivent ces messages de manière à ce qu’ils aient l’air de provenir d’une organisation ou d’un individu de confiance ou crédible, parfois même d’une personne que le destinataire connaît personnellement.

Le phishing et le vol ou la compromission d'informations d'identification sont les deux vecteurs d'attaque les plus répandus, selon le rapport d'IBM sur le coût d'une violation de données. Le phishing est également la forme la plus courante d'ingénierie sociale, une catégorie d'attaque qui exploite la nature humaine plutôt que les vulnérabilités de la sécurité numérique pour obtenir un accès non autorisé à des données ou à des actifs sensibles, qu'ils soient personnels ou d'entreprise.

En savoir plus sur l’ingénierie sociale

Attaques DDoS

Dans une attaque par déni de service distribué (DDoS), les pirates informatiques prennent le contrôle d'un grand nombre d'ordinateurs et les utilisent pour submerger le réseau ou les serveurs d'une organisation cible avec du faux trafic, rendant ces ressources indisponibles pour les utilisateurs légitimes.

En savoir plus sur les attaques DDoS

Les attaques de la chaîne d’approvisionnement

Les attaques contre la chaîne d'approvisionnement sont des cyberattaques qui infiltrent une organisation cible en s'attaquant à ses fournisseurs. Il peut s'agir, par exemple, de voler des données sensibles dans les systèmes d'un fournisseur ou d'utiliser les services d'un fournisseur pour distribuer des logiciels malveillants.

En savoir plus sur la sécurité de la chaîne d'approvisionnement

Menaces internes

Il existe deux types de menaces internes : Les initiés malveillants sont des employés, des partenaires ou d'autres utilisateurs autorisés qui compromettent intentionnellement la sécurité des informations d'une organisation. Les initiés négligents sont des utilisateurs autorisés qui compromettent involontairement la sécurité en ne respectant pas les bonnes pratiques de sécurité, comme en utilisant des mots de passe faibles ou en stockant des données sensibles dans des endroits non sécurisés.

En savoir plus sur les menaces internes

Attaques par escalade des privilèges

Ces menaces impliquent un attaquant qui obtient d'abord des privilèges limités dans un système et les utilise pour se déplacer latéralement, en obtenant des privilèges plus élevés et en accédant à des données plus sensibles en cours de route.

Les informations d'identification volées peuvent aider l'attaquant à pénétrer dans le système ou à accroître ses privilèges. Selon le X-Force Threat Intelligence Index, l'utilisation abusive de comptes valides est le moyen le plus courant utilisé par les attaquants pour pénétrer dans les systèmes aujourd'hui.

En savoir plus sur le mouvement latéral

Attaques de l'homme du milieu (MITM)

Dans une attaque MITM, l'acteur de la menace intercepte une communication – souvent un e-mail contenant des informations sensibles telles que des noms d'utilisateur ou des mots de passe – et vole ou modifie cette communication. L'attaquant utilise directement les informations volées ou injecte des logiciels malveillants qui seront transmis au destinataire prévu.

En savoir plus sur les attaques de type « homme du milieu »

La planification de la réponse aux incidents

Les efforts de gestion des incidents d'une organisation sont normalement guidés par un plan de réponse aux incidents. En règle générale, les plans sont créés et exécutés par une équipe de réponse aux incidents de sécurité informatique (CSIRT) composée de parties prenantes issues de l'ensemble de l'organisation.

L'équipe CSIRT peut inclure le responsable de la sécurité des systèmes d’information (RSSI), le centre d'opérations de sécurité (SOC), des analystes de sécurité et du personnel informatique. Elle peut également comprendre des représentants de la direction générale, des services juridiques, des ressources humaines, de la conformité réglementaire, de la gestion des risques et, éventuellement, des experts tiers issus de fournisseurs de services.

Le rapport sur le coût d’une violation de données indique qu’« investissant dans la préparation aux interventions, les organisations peuvent contribuer à réduire les effets coûteux et perturbateurs induits par les violations de données, à soutenir la continuité opérationnelle et à préserver leurs relations avec les clients, les partenaires et les autres parties prenantes clés. »

Un plan d'intervention en cas d'incident comprend généralement :

Un protocole de réponse aux incidents comprenant les rôles et les responsabilités de chaque membre de la CSIRT tout au long du cycle de vie de la réponse aux incidents.

Les solutions de sécurité (logiciels, matériel et autres technologies) installées dans l'entreprise.

Un plan de continuité des activités décrivant les procédures de restauration des systèmes et des données critiques le plus rapidement possible en cas de panne.

Une méthodologie de réponse aux incidents qui détaille les mesures spécifiques à prendre à chaque phase du processus de réponse aux incidents, et par qui.

Un plan de communication pour informer les dirigeants de l'entreprise, les employés, les clients et les forces de l'ordre des incidents.

Des instructions pour la collecte et la documentation d'informations sur les incidents en vue d'un examen rétrospectif et, si nécessaire, d'une procédure judiciaire.

La CSIRT peut rédiger différents plans de réponse aux incidents pour différents types d'incidents, car chaque type d'incident peut nécessiter une réponse unique. De nombreuses organisations disposent de plans de réponse aux incidents spécifiques concernant les attaques DDoS, les logiciels malveillants, les ransomwares, le phishing et les menaces internes.

Disposer de plans de réponse aux incidents adaptés à l'environnement (ou aux environnements) d'une organisation est essentiel pour réduire le temps de réponse, de résolution et de reprise après une attaque.

Certaines organisations complètent leurs CSIRT internes par des partenaires externes fournissant des services de réponse aux incidents. Ces partenaires travaillent souvent sur la base d'un contrat et contribuent à divers aspects du processus global de gestion des incidents, y compris la préparation et l'exécution des plans de réponse aux incidents.

Fonctionnement de la réponse aux incidents

La plupart des plans de réponse aux incidents suivent le même cadre général de réponse aux incidents basé sur des modèles développés par le National Institute of Standards and Technology (NIST)¹ et le SANS Institute². Les étapes courantes de la réponse à un incident sont les suivantes :

Préparation
Détection et analyse
Confinement
Éradication
Récupération
Examen post-incident

Préparation

Cette première phase de la réponse aux incidents est également une phase continue. La CSIRT sélectionne les meilleures procédures, outils et techniques possibles pour répondre, identifier, contenir et récupérer un incident aussi rapidement que possible et avec une interruption minimale des activités.

Grâce à une évaluation régulière des risques, la CSIRT identifie l'environnement professionnel à protéger, les vulnérabilités potentielles du réseau et les différents types d'incidents de sécurité qui représentent un risque pour le réseau. L'équipe hiérarchise chaque type d'incident en fonction de son impact potentiel sur l'organisation.

La CSIRT peut alors organiser plusieurs exercices de simulations pour différentes stratégies d'attaque, puis créer des modèles des réponses les plus efficaces pour accélérer l'action lors d'une attaque réelle. Le temps de réponse peut être suivi afin d'établir des mesures pour les exercices futurs et les attaques éventuelles. Sur la base d'une évaluation complète des risques, la CSIRT peut mettre à jour les plans de réponse aux incidents existants ou en rédiger de nouveaux.

Détection et analyse

Au cours de cette phase, les membres de l'équipe de sécurité surveillent le réseau à la recherche d'activités suspectes et de menaces potentielles. Ils analysent les données, les notifications et les alertes recueillies à partir des journaux des appareils et de divers outils de sécurité (logiciels antivirus, pare-feu) afin d'identifier les incidents en cours. L'équipe s'efforce de filtrer les faux positifs des incidents réels, en triant les alertes par ordre de gravité.

Aujourd'hui, la plupart des organisations utilisent une ou plusieurs solutions de sécurité, telles que la gestion des informations et des événements de sécurité (SIEM) et la détection et réponse des terminaux (EDR), pour surveiller les événements de sécurité en temps réel et automatiser les efforts de réponse. (Pour en savoir plus, voir la section « Technologies de réponse aux incidents »).

Le plan de communication entre également en jeu au cours de cette phase. Lorsque la CSIRT a déterminé le type de menace ou de violation auquel il est confronté, il en informe le personnel concerné et passe à l'étape suivante du processus de réponse à l'incident.

Confinement

L'équipe de réponse à l'incident prend des mesures pour empêcher la violation ou toute autre activité malveillante de causer d'autres dommages au réseau. Les plans d'intervention d'urgence en cas d'incident entrent alors en action. Il existe deux categories d’activités de confinement :

Les mesures d'atténuation à court terme visent à empêcher la propagation de la menace actuelle en isolant les systèmes affectés, par exemple en déconnectant les appareils infectés du réseau.

Les mesures de confinement à long terme visent à protéger les systèmes non affectés en renforçant les contrôles de sécurité qui les entourent, comme en segmentant les bases de données sensibles du reste du réseau.

À ce stade, la CSIRT peut également créer des sauvegardes des systèmes affectés et non affectés pour prévenir toute perte de données supplémentaire et collecter des preuves légales de l'incident, qui pourront être étudiées ultérieurement.

Éradication

Une fois la menace contenue, l’équipe procède à la résolution complète et à l’élimination totale de la menace du système. Cela peut inclure la suppression de logiciels malveillants ou l’exclusion d’un utilisateur non autorisé ou malveillant du réseau. L’équipe vérifie également que les systèmes affectés et non affectés ne présentent plus aucune trace de la violation.

Récupération

Lorsque l’équipe de réponse aux incidents est certaine que la menace a été entièrement éradiquée, elle restaure le fonctionnement normal des systèmes affectés. Cette étape de résolution peut inclure le déploiement de correctifs, la reconstruction des systèmes à partir de sauvegardes et la remise en ligne des systèmes et appareils. Un enregistrement de l’attaque et de sa résolution est conservé pour analyse et pour améliorer les systèmes.

Examen post-incident

Tout au long du processus de réponse aux incidents, la CSIRT collecte des preuves de la violation et documente les mesures prises pour contenir et éradiquer la menace. À ce stade, la CSIRT examine ces informations pour mieux comprendre l’incident et en tirer des « leçons apprises ».La CSIRT cherche à identifier la cause première de l’attaque, à comprendre comment elle a réussi à pénétrer le réseau, et à résoudre les vulnérabilités afin d’éviter que des incidents similaires ne se reproduisent à l’avenir. a CSIRT cherche à identifier la cause racine de l’attaque, à comprendre comment elle a réussi à pénétrer le réseau, et à résoudre les vulnérabilités afin d’éviter que des incidents similaires ne se reproduisent à l’avenir.

La CSIRT analyse également ce qui a bien fonctionné et recherche des opportunités pour améliorer les systèmes, outils et processus, dans le but de renforcer les initiatives de réponse aux incidents contre de futures attaques. Selon les circonstances de la violation, les forces de l’ordre peuvent être impliquées dans l’enquête post-incident.

Technologies de réponse aux incidents

En plus de décrire les étapes que les CSIRT doivent suivre lors d’un incident de sécurité, les plans de réponse aux incidents décrivent généralement les solutions de sécurité que les équipes doivent utiliser pour mettre en œuvre ou automatiser les workflows essentiels, tels que la collecte et la corrélation des données de sécurité, la détection des incidents en temps réel et la réponse aux attaques en cours.

Parmi les technologies de réponse aux incidents les plus couramment utilisées, on trouve :

ASM (gestion de la surface d'attaque)
EDR (détection et réponse des terminaux)
SIEM (gestion des informations et des événements de sécurité)
SOAR (orchestration, l’automatisation et la réponse à la sécurité)
UEBA (analyse du comportement des utilisateurs et des entités)
XDR (détection et réponse étendues)

ASM (gestion de la surface d'attaque)

Les solutions ASM automatisent la découverte, l’analyse, la résolution et la surveillance continues des vulnérabilités et des vecteurs d’attaque potentiels sur tous les actifs composant la surface d'attaque d'une organisation. L'ASM peut découvrir des actifs réseau qui n’étaient pas surveillés auparavant et cartographier les relations entre ces actifs.

En savoir plus sur la gestion du périmètre de vulnérabilité

EDR (détection et réponse des terminaux)

L'EDR est un logiciel conçu pour protéger automatiquement les utilisateurs finaux, les terminaux et les actifs informatiques d'une organisation contre les cybermenaces qui contournent les logiciels antivirus et les autres outils classiques de sécurités aux points de terminaison.

L'EDR collecte des données en continu à partir de tous les points de terminaison du réseau. Elle analyse ces données en temps réel à la recherche de preuves de cybermenaces connues ou suspectées, et peut réagir automatiquement pour prévenir ou minimiser les dommages causés par les menaces identifiées.

En savoir plus sur la détection et la réponse des terminaux

SIEM (gestion des informations et des événements de sécurité)

Le SIEM regroupe et met en corrélation les données des événements de sécurité provenant d'outils de sécurité internes disparates (par exemple, des pare-feux, des analyseurs de vulnérabilités et des flux de renseignements sur les menaces ainsi que des dispositifs présents sur le réseau.

Le SIEM peut aider les équipes de réponse aux incidents à lutter contre la baisse de la vigilance en distinguant les indicateurs de menaces réelles de l’énorme volume de notifications générées par les outils de sécurité.

En savoir plus sur la gestion des informations et des événements de sécurité

SOAR (orchestration, l’automatisation et la réponse à la sécurité)

Le SOAR permet aux équipes de sécurité de définir des protocoles, c’est-à-dire des workflows formalisés qui coordonnent différentes opérations et outils de sécurité pour répondre aux incidents. Les plateformes SOAR peuvent également automatiser certaines parties de ces workflows lorsque cela est possible.

En savoir plus sur l'orchestration, l'automatisation et la réponse en matière de sécurité

UEBA (analyse du comportement des utilisateurs et des entités)

L'UEBA utilise l’analyse comportementale, les algorithmes de machine learning et l’automatisation pour identifier les comportements anormaux et potentiellement dangereux des utilisateurs et des dispositifs.

L’UEBA est efficace pour identifier les menaces internes (initiés malveillants ou pirates utilisant des informations d’identification compromises) qui peuvent échapper à d’autres outils de sécurité parce qu’elles imitent le trafic réseau autorisé. Les fonctions d'UEBA sont souvent incluses dans les solutions SIEM, EDR et XDR.

En savoir plus sur l'analyse du comportement des utilisateurs et des entités

XDR (détection et réponse étendues)

La XDR est une technologie de cybersécurité qui unifie les outils de sécurité, les points de contrôle, les sources de données et de télémétrie, ainsi que les analyses au sein d’un environnement informatique hybride. La XDR crée un système d'entreprise centralisé pour la prévention, la détection et la réponse aux menaces. La technologie XDR peut aider les équipes de sécurité surchargées et les SOC à faire plus avec moins en éliminant les silos entre les outils de sécurité et en automatisant les réponses sur l’ensemble de la chaîne de cybermenaces.

En savoir plus sur la technologie de détection et de réponse étendues (XDR)

L'IA et l'avenir de la réponse aux incidents

L’intelligence artificielle (IA) peut aider les organisations à renforcer leurs défenses contre les cybermenaces, tout comme les pirates informatiques et voleurs de données utilisent l’IA pour améliorer leurs attaques.

Les économies réalisées grâce à l'utilisation de solutions de sécurité basées sur l’IA peuvent être significatives. Selon le rapport d'IBM sur le coût d’une violation de données, les organisations utilisant des solutions de sécurité alimentées par l’IA peuvent économiser jusqu’à 2,2 millions USD en coûts de violation.

Les systèmes de sécurité de niveau entreprise alimentés par l'IA améliorent les capacités de réponse aux incidents par :

Détection plus rapide des anomalies
Processus de réponse plus proactifs
Prédiction des canaux d'attaque probables

Détection plus rapide des anomalies

Les systèmes alimentés par l'IA peuvent accélérer la détection et l'atténuation des menaces en surveillant d'énormes volumes de données, ce qui permet de repérer plus rapidement les modèles de trafic suspect ou les comportements inhabituels des utilisateurs.

Processus de réponse plus proactifs

Ils peuvent également soutenir des processus de réponse aux incidents plus proactifs en fournissant des informations en temps réel aux équipes de cybersécurité, en automatisant le triage des incidents, en coordonnant les défenses contre les cybermenaces et même en isolant les systèmes sous attaque.

Prédiction des canaux d'attaque probables

L'analyse des risques basée sur l'IA peut produire des résumés d'incidents pour accélérer les enquêtes sur les alertes et aider à identifier la cause racine d'une défaillance. Ces résumés d'incidents peuvent également permettre de prévoir quelles menaces sont les plus susceptibles de se produire à l'avenir, ce qui permet à l'équipe de réponse aux incidents d'affiner ses plans et de mieux se préparer à faire face à ces menaces.

Webinaire : Comment l'IA générative modifie le paysage de la cybersécurité

Solutions connexes

Solutions de détection et de réponse aux menaces

Tirez parti des solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

Découvrez les solutions de détection et de réponse aux menaces

IBM Security and Compliance Center

Une suite de solutions intégrées qui vous permet de définir des politiques sous forme de code, de mettre en place des contrôles pour sécuriser les données et d'évaluer la posture de sécurité et de conformité dans des environnements multicloud hybrides.

Découvrir IBM Security and Compliance Center

Observabilité IBM NS1 Connect DNS

Utilisez les données DNS pour identifier rapidement les erreurs de configuration et les problèmes de sécurité.

Découvrir IBM NS1 Connect

Ressources

La cybersécurité à l’ère de l’IA générative

Découvrez comment l’environnement de la sécurité actuel évolue et comment tirer pleinement parti de sa résilience.

Atelier IBM Security Framing and Discovery

Comprenez votre paysage de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité d’IBM à l’occasion d’une séance de design thinking. Virtuelle ou en présentiel, celle-ci dure trois heures et est gratuite.

Qu’est-ce qu’un ransomware ?

Les ransomwares sont des logiciels malveillants qui prennent en otage les appareils et les données des victimes, jusqu’à ce qu’une rançon soit payée.

Passer à l’étape suivante

Les services de cybersécurité d’IBM fournissent des services de conseil, d’intégration et de sécurité gérés ainsi que des capacités offensives et défensives. Nous associons une équipe mondiale d’experts à des technologies propriétaires et partenaires pour créer conjointement des programmes de sécurité personnalisés qui gèrent les risques.

Découvrir les services de cybersécurité

Abonnez-vous à la Think Newsletter

Notes de bas de page

Tous les liens sont externes au site ibm.com

¹ « Cybersecurity Framework's Five Functions », National Institute of Standards and Technology (NIST), 26 février 2024.

² « SANS Whitepaper: Incident Handler's Handbook », SANS Institute, 21 février 2012.