Qu'est-ce que la réponse aux incidents ?

La réponse aux incidents est la réaction systématique d'une organisation à une tentative de violation de la sécurité de l'information.

Vue d'un gratte-ciel

Explication de la réponse aux incidents

Une violation de la sécurité peut paralyser la fonctionnalité opérationnelle, provoquer des fuites de données, nuire à la réputation d'une entreprise et entraîner des complications réglementaires. Et s'agissant des menaces qui se jouent des défenses, les organisations doivent disposer des outils et du savoir-faire nécessaires pour réagir rapidement et efficacement. Malheureusement, la plupart des organisations s'appuient sur des processus ad hoc pour enquêter sur les cyberincidents, même les plus simples, comme les attaques par hameçonnage contre les employés. Seules 26 % des entreprises disposent d'un plan de réponse aux incidents qui couvre toute l'entreprise, selon la quatrième étude annuelle « The Cyber Resilient Organization », résumée dans « Cyber Resilience Study: Incident Response Plans and Security Automation Set High Performers Apart » (lien externe à ibm.com). Et en raison du déficit de compétences, les organisations disposant des outils et de la bonne technologie adéquats pourraient éprouver des difficultés à trouver suffisamment de ressources pour gérer efficacement le déluge d'incidents.

À mesure que les organisations ajoutent des données intégrées et des sources de renseignements sur les menaces à leurs efforts de réponse aux incidents, les possibilités d'orchestrer les réponses de manière sophistiquée augmentent, en commençant par l'automatisation des tâches de bas niveau et répétitives. Trois défis majeurs émergent : le volume des incidents, les emplois non pourvus et la complexité des outils.

Volume des incidents
Le volume des incidents de cyber-sécurité augmente. Les professionnels de la cybersécurité affirment que le volume des alertes de sécurité a augmenté au cours des deux dernières années. Et auparavant, ils ont déclaré que leur organisation ignorait un nombre important d'alertes de sécurité parce qu'elle ne pouvait pas faire face au volume.¹

Déficit de compétences
Les équipes de sécurité parviennent difficilement à pourvoir les postes disponibles. 500 000 emplois en cybersécurité ne seront pas pourvus dans le secteur d'ici 2020.²

Complexité des outils
Les équipes gèrent un environnement de sécurité complexe avec un nombre vertigineux d'outils déconnectés. Selon ESG, 35 % des entreprises utilisent 26 technologies hétérogènes ou plus provenant de 13 fournisseurs pour l'analytique et les opérations de sécurité (ESG Global, SOAPA : Unification de SIEM et SOAR avec IBM Security QRadar et IBM Security Resilient).

Les entreprises peuvent relever leurs défis de trois façons :

  1. Elaborer des processus de réponse aux incidents cohérents, reproductibles et mesurables, plutôt que ad hoc.
  2. Faire de la communication, de la coordination et de la collaboration une priorité à l'échelle de l'organisation.
  3. Utilisez une technologie qui aide l'équipe de réponse à travailler plus rapidement et plus précisément.

 


Que sont les incidents de sécurité ?

Un incident de sécurité se produit lorsqu'une entité tente d'obtenir un accès non autorisé à l'infrastructure de données ou à la politique de sécurité d'une organisation, mettant ainsi en danger des informations sensibles. A l'intérieur comme à l'extérieur, les pirates informatiques constituent la première source de tentatives. Ils constituent une menace pour les organisations, car ils peuvent cibler n'importe quelle vulnérabilité de l'infrastructure en utilisant diverses techniques à tout moment.

Les quatre incidents de sécurité les plus courants sont les attaques par déni de service distribué (DDoS), les logiciels malveillants, les rançongiciels, l'hameçonnage et les menaces internes.

Attaque par déni de service distribué (DDoS)

Une attaque DDoS est une tentative du pirate informatique 'de saturer le trafic vers une application cible ou une application internet, en les bombardant d'un volume élevé de demandes.

Logiciel malveillant et rançongiciel

Un logiciel malveillant est un logiciel créé pour endommager, perturber ou obtenir un accès illégitime à un client, un ordinateur, un serveur ou un réseau informatique. Un rançongiciel, une forme de logiciel malveillant, menacent de détruire ou de retenir les données ou les fichiers d'une victime si une rançon n'est pas payée pour déchiffrer et rétablir l'accès.

Hameçonnage

L'hameçonnage est une tentative frauduleuse, généralement par courrier électronique, visant à obtenir des informations sensibles en se faisant passer pour une entité ou une personne de bonne réputation. Il exploite l'émotion humaine pour créer un sentiment d'urgence et susciter une réaction. L'hameçonnage étant omniprésent dans les environnements de travail, il s'agit d'une menace constante qui se classe au premier rang des vecteurs d'infection dans l'IBM X-Force Threat Intelligence Index 2020. 

Menaces internes

Les menaces internes proviennent d'utilisateurs qui ont un accès autorisé et légitime aux actifs d'une entreprise et qui en abusent délibérément ou accidentellement. Ces personnes savent généralement où se trouvent les données sensibles d'une organisation et ont un niveau d'accès élevé, qu'ils aient ou non des intentions malveillantes.


Journalisation des données de sécurité

Comment les tentatives sont-elles reconnues comme des menaces potentielles et donc considérées comme des incidents de sécurité ?

La seule façon d'avoir connaissance d'incidents de sécurité passe par la collecte de données de journalisation. La collecte de journaux centralisée et la détection d'événements de sécurité de toute entreprise doit inclure, sans s'y limiter, cette liste de sources de journalisation :

Collecte de données interne

  • Pare-feu
  • Routeurs et commutateurs
  • Systèmes de prévention des intrusions (IPS)
  • Systèmes Netflow
  • Filtres Web
  • Systèmes de prévention de la perte de données (DLP)
  • Serveurs de messagerie et filtres de spams
  • Serveurs, applications et systèmes de gestion des bases de données
  • Terminaux
  • Systèmes de sécurité physique
  • Systèmes de contrôle environnemental
  • Proxys
  • Points accès sans fil
  • Analyses de vulnérabilité

Collecte de données externe

  • Recommandations de sécurité des fournisseurs : les fabricants matures de matériel et de logiciels publient leurs recommandations de sécurité pour mettre en garde leurs clients contre des menaces et indiquer des solutions, généralement sous la forme de correctifs, mais parfois d'autres types de solutions.
  • Avis de sécurité open source : des organisations telles que MITRE et Secunia publient des informations sur les menaces. Parfois, ces avis sont publié plus tôt que les avis des fabricants.
  • Application de la loi et médias d'information : les grands organismes chargés de l'application de la loi, tels que le U.S. Department of Homeland Security and the Federal Bureau of Investigation, publient des avis à l'intention du public ou de parties de confiance.
  • Solutions commerciales : des sources de flux de renseignements sur les menaces, notamment, IBM X-Force Exchange, sont disponibles sous forme d'avis et de flux électroniques.

Analyse des données de sécurité

La prévention, la détection et la réponse ne se limitent pas au stockage de gigaoctets ou de pétaoctets de données de journal. Elles doivent être analysées en temps réel, afin que les menaces réelles puissent être immédiatement identifiées, ce qui permet au personnel de réagir et d'arrêter la menace.

Un moyen efficace de détecter les menaces consiste à observer les systèmes et les réseaux afin d'y trouver d'éventuelles anomalies. L'observation sur le long terme du comportement du système et du trafic réseau crée une base d'activité pour un programme de détection des menaces. Dès qu'apparaît sur le système ou le réseau un élément qui n'a jamais été vu auparavant, l'application de détection des menaces génère une alerte, afin que le personnel puisse prendre des mesures et enquêter.

Les anomalies peuvent être détectées par le biais de règles automatiques et de critères de recherche spécifiques, mais le but est d'identifier les changements significatifs dans la façon dont les gens se comportent. Les règles ou critères peuvent également identifier le nombre de connexions réseau pour les applications, la quantité de données transférées entre les adresses IP locales et externes ou les connexions bizarres à des heures inhabituelles. Toutes ces conditions justifient une enquête.

Une collaboration entre SIEM et SOAR
Un système SIEM (security information and event management) est au coeur de chaque environnement de gestion des menaces. Ingérant des gigaoctets ou des téraoctets de données de journalisation chaque jour, un système SIEM collecte des données de journalisation provenant de n'importe quel type de système et de dispositif. Il aide une équipe d'analystes de sécurité à détecter les anomalies et les tendances qui peuvent être des indicateurs précoces d'une reconnaissance d'attaque, d'une tentative ou d'une réussite d'exploitation des vulnérabilités, d'une prise de contrôle ou d'une exfiltration de données. Il effectue ensuite une analyse et une corrélation en temps réel, afin d'alerter rapidement le personnel des activités indésirables qui se produisent dans l'environnement et qui nécessitent une attention prioritaire. Lorsque des incidents de sécurité sont détectés, un système SIEM transmet les alertes à un outil d'orchestration, d'automatisation et de réponse de sécurité (SOAR), afin que l'équipe de réponse aux incidents puisse enquêter et prendre des mesures correctives.


Automatisation de la réponse aux incidents

L'automatisation est une méthode utile pour rationaliser les tâches subalternes et répétitives, afin de permettre à votre équipe de travailler plus rapidement et de donner la priorité aux alertes de plus critiques. Lorsqu'elle est utilisée dans le cadre d'une stratégie plus large d'orchestration de la réponse aux incidents, l'automatisation peut permettre à une équipe de sécurité d'être plus efficace et donc de prendre des décisions stratégiques.

Par exemple, dans le cas d'attaques de logiciels malveillants, un échantillon suspect détecté sur un point de terminaison peut être automatiquement saisi et transmis à un agent de point de terminaison ou à une plateforme de détection des menaces de nouvelle génération pour être observé et classé. Sur la base du résultat de cette analyse, d'autres processus automatisés et manuels peuvent être également être utilisés :

  • Identification d'autres hôtes infectés sur le réseau et demande de droits pour les mettre en quarantaine
  • Identification d'une vulnérabilité associée à cette infection par logiciel malveillant
  • Planification des correctifs d'urgence pour les systèmes vulnérables ou déclenchement de notifications requises au personnel interne ou à des moniteurs externes.

Et, à chaque étape, les demandes, les réponses et les actions peuvent être documentées pour référence ultérieure. Cependant, il est important de noter que si l'automatisation basée sur la technologie peut faire gagner du temps, elle n'est pas aussi efficace qu'une fonction globale de réponse aux incidents dans le cadre d'une stratégie orchestrée de réponse aux incidents

.

Personnes

  • Etes-vous sûr que votre équipe de réponse aux incidents et les diverses parties prenantes sont bien coordonnés et bien formées ?
  • Ont-elles les droits nécessaires pour gérer tous les aspects du cycle de vie d'un incident ?
  • Disposent-elles d'un moyen de collaboration et d'analyse ?

Processus

  • Disposez-vous de plans IRP bien définis, reproductibles et cohérents ?
  • Sont-ils faciles à mettre à jour et à régler ?
  • Sont-ils régulièrement testés et mesurés ?

Technologie

 

  • Votre technologie fournit-elle des éclairages et des renseignement précieux de manière ciblée ?
  • Permet-elle à votre équipe de prendre des décisions intelligentes et d'agir rapidement ?

Fonctionnement d'un plan de base de réponse aux incidents

Comment les organisations réagissent-elles lorsque des cybermenaces ou des incidents graves se produisent ? Bien que la réponse aux incidents de sécurité soit un processus bien connu, de nombreuses organisations ne sont pas suffisamment préparées, même pour des incidents mineurs. Dans le cadre de l'orchestration de la réponse aux incidents, elles ont besoin d'un plan de réponse aux incidents (IRP) efficace.

Voici quelques étapes standard du plan de réponse aux incidents que les organisations doivent suivre :

Étape 1 : détection précoce
Un incident de sécurité se produit et le système le détecte. La plateforme SIEM déclenche une alerte et la transmet à l'équipe de réponse aux incidents.

Étape 2 : Analyse
Les analystes répondent à la menace en étudiant les indicateurs de compromission associés à l'incident pour en déterminer la légitimité. Généralement, ils étudient aussi les signes avant-coureurs pour déterminer s'ils sont apparentés. Pour dresser un tableau complet de l'incident présumé, les analystes peuvent effectuer des tests supplémentaires, trier les menaces et éliminer les faux positifs.

Étape 3 : Priorisation
Les analystes cherchent à comprendre l'effet de l'incident sur la capacité de l'organisation à poursuivre le traitement des informations critiques et son effet sur l'intégrité et la confidentialité des données. La hiérarchisation d'un incident aide les équipes à comprendre comment gérer les ressources dans les étapes suivantes.

Étape 4 : notification
Tout d'abord, les intervenants en cas d'incident informent le personnel approprié de l'organisation. Si nécessaire, l'organisation informe les parties externes, telles que les clients, les partenaires commerciaux, les organismes de réglementation, la police ou le grand public. En général, la décision d'informer une partie externe revient à un dirigeant.

Étape 5 : Endiguement et données légales
Les intervenants en cas d'incident prennent des mesures pour arrêter l'incident et éviter qu'il ne se reproduise. Ils recueillent également des preuves en vue d'une enquête plus approfondie et d'éventuelles poursuites judiciaires si nécessaire.

Étape 6 : Récupération
Les responsables de la réponse aux incidents suppriment les logiciels malveillants (éradication) des systèmes affectés, reconstruisent les systèmes, récupèrent les données à partir de sauvegardes, appliquent des correctifs aux systèmes et prennent des mesures pour revenir à un fonctionnement normal et empêcher que des incidents similaires ne se reproduisent.

Étape 7 : Vérification des incidents
Pour éviter que l'incident ne se reproduise et d'améliorer une réponse future, le personnel de sécurité examine les étapes qui ont conduit à la détection et à la réponse de l'incident récent et identifie sa cause première. Ils identifient les éléments qui ont bien fonctionné et recherchent les possibilités d'améliorer les systèmes, les outils, les processus et la formation du personnel, y compris les recommandations de remédiation et d'atténuation.


Qu'est-ce que l'orchestration de la réponse aux incidents ?

L'orchestration de la réponse aux incidents nécessite trois éléments fondamentaux : des personnes formées, des processus éprouvés et des technologies intégrées. L'orchestration permet d'aligner les bonnes personnes, les bons processus et les bonnes technologies, afin que les analystes de la réponse aux incidents sachent qui est responsable de quelles tâches, quand et comment les effectuer. Le personnes, sous la forme d'une équipe d'intervention en cas d'incident de sécurité informatique (CSIRT), peut inclure les ressources humaines, le personnel juridique et les relations publiques.

L'orchestration donne aux analystes de sécurité les moyens d'agir en mettant à leur disposition des processus et des outils technologiques de réponse aux incidents. Ils peuvent accéder en un instant aux informations importantes sur les incidents, prendre des décisions précises et agir de manière décisive. De plus, l'automatisation de la technologie augmente la productivité des analystes de sécurité et des autres outils, réduisant ainsi le manque de compétences et le volume des alertes.

Voici six principes pour construire une fonction de réponse aux incidents robuste pour l'orchestration. Remarque : l'orchestration s'applique différemment à chaque organisation spécifique. Elle doit correspondre au paysage unique des menaces, aux évaluations des risques informatiques et de sécurité et aux priorités de l'entreprise.

Comprendre les menaces
Les enquêtes indiquent qu'une planification et une préparation insuffisantes constituent encore aujourd'hui le principal obstacle à la cyber-résilience. Il n'est donc pas surprenant que la plupart des organisations n'aient pas mis en place un plan IRP adéquat. Le plan doit être normalisé, documenté et reproductible. Voir la section : Comment fonctionne un plan de base réponse aux incidents.

Créer un IRP
Les analystes répondent à la menace en étudiant les indicateurs de compromission associés à l'incident pour en déterminer la légitimité. Généralement, ils étudient aussi les signes avant-coureurs pour déterminer s'ils sont apparentés. Pour dresser un tableau complet de l'incident présumé, les analystes peuvent effectuer des tests supplémentaires, trier les menaces et éliminer les faux positifs.

Tester et améliorer les processus
Les cyber-adversaires s'efforcent continuellement d'acquérir de nouveaux avantages, et les devancer doit être une priorité des équipes de cybersécurité. Les équipes doivent donc tester et améliorer de manière proactive les processus de réponse aux incidents, afin de répondre et de dépasser les besoins de sécurité de l'organisation.

Utiliser le renseignement sur les menaces
Les cybercriminels travaillent ensemble, collaborent et partagent des informations sur le dark Web. Les professionnels de la sécurité doivent également travailler ensemble. Utilisez les sources externes, telles que les avis de sécurité des fournisseurs et des sources ouvertes, la police et les médias d'information, ainsi que les solutions commerciales, et contribuez-y.

Rationaliser les enquêtes et les réponses aux incidents
Avec des processus ad hoc, les cyberincidents peuvent passer inaperçus pendant des semaines ou des mois, permettant aux acteurs malveillants d'établir une tête de pont sur des réseaux compromis qu'il peut être difficile de supprimer. Ainsi, les organisations doivent automatiser. Pour commencer par l'automatisation, rationalisez les tâches fastidieuses, subalternes et inefficaces chronophages pour les analystes et qui peuvent être automatisées de manière sûre et fiable.

Orchestration
L'orchestration soutient et optimise les éléments humains de la cybersécurité. Elle crée un contexte propice à une meilleure prise de décision et donne aux analystes les moyens de jouer un rôle central dans les opérations de sécurité. Elle permet à l'équipe de réponse aux incidents de s'assurer que les personnes concernées savent exactement comment réagir en cas d'incident de sécurité et disposent des processus et des outils nécessaires pour agir rapidement, efficacement et correctement.


Solutions

Solutions de réponse aux incidents

Près des trois quarts des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité cohérent à l'échelle de l'entreprise. Pourtant, les organisations disposant d'équipes de réponse aux incidents et de tests ont enregistré un coût moyen d'atteinte à la protection des données inférieur de 2 millions de dollars à celui des organisations sans équipe ni test de plan. IBM peut vous aider à orchestrer votre réponse aux incidents pour unifier l'organisation en cas de cyberattaque.


Services de réponse aux incidents

Dotez-vous de la protection de sécurité dont votre organisation a besoin pour améliorer sa préparation aux atteintes à la protection des données grâce à un abonnement de réponse aux incidents d'IBM Security. Lorsque vous faites appel à notre équipe d'élite de consultants en réponse aux incidients, vous disposez de partenaires de confiance prêts à intervenir pour réduire le temps de réponse à un incident, réduire son impact et vous aider à reprendre plus rapidement les opérations avant qu'un incident de cybersécurité ne soit suspecté.


Orchestration de la sécurité, automatisation et réponse (SOAR)

La détection des menaces ne constitue que la moitié de l'équation de sécurité. Vous avez également besoin d'une réponse intelligente aux incidents face au volume croissant d'alertes, à la multiplicité des outils et au manque de personnel. Accélérez la réponse aux incidents grâce à l'automatisation, la standardisation des processus et l'intégration avec vos outils de sécurité existants avec IBM.


Services de détection et de réponse gérés

Avec le nombre croissant d'ordinateurs portables, d'ordinateurs de bureau et d'employés à distance, les cybercriminels sophistiqués ont encore plus de portes ouvertes sur votre organisation. À partir de ces points d'entrée, ils peuvent souvent agir en profondeur et passer inaperçus. IBM propose une solution clé en main, 24 heures sur 24 et 7 jours sur 7, de prévention, de détection et de réponse rapide aux menaces, alimentée par des renseignements sur les menaces et une chasse proactive aux menaces, afin d'identifier et de éliminer les menaces avancées.


Protéger contre les rançongiciels

Les attaques récentes sont des versions beaucoup plus sophistiquées des logiciels malveillants habituels. Elles tirent parti de fuites en utilisant un chiffrement renforcé. Êtes-vous à l'abri des attaques par rançongiciel ? IBM peut protéger les données de votre organisation contre les menaces des rançongiciels qui peuvent la prendre en otage.


Services de renseignements sur les menaces

La mauvaise qualité des renseignements, le manque de confiance et l'intégration minimale avec d'autres sources de données et organisations créent des difficultés dans la capacité de glaner des informations exploitables pour déjouer les cyberattaques. Les experts en renseignement global d'IBM peuvent guider les clients avec des analyses de pointe.



¹ "ESG Technical Review: Respond Analyst - The Virtual Security Analyst", Jack Poller, Enterprise Strategy Group, 24 février 2020, (lien externe à ibm.com).

² CyberSeek, (lien externe à ibm.com).