La réponse aux incidents (parfois appelée réponse aux incidents de cybersécurité) fait référence aux processus et technologies d'une organisation pour détecter et répondre aux cybermenaces, aux violations de sécurité ou aux cyberattaques. L'objectif de la réponse aux incidents est de prévenir les cyberattaques avant qu'elles ne se produisent, et de minimiser les coûts et les perturbations de l'activité résultant de toute cyberattaque qui se produit.
Idéalement, une organisation définit les processus et technologies de réponse aux incidents dans un plan de réponse aux incidents (IRP) formel qui spécifie exactement comment les différents types de cyberattaques doivent être identifiés, contenus et résolus. Un plan de réponse aux incidents efficace peut aider les équipes de cybersécurité à détecter et à contenir les cybermenaces, à restaurer plus rapidement les systèmes affectés et à réduire les pertes de revenus, les amendes réglementaires et les autres coûts associés à ces menaces. Le Rapport sur le coût d'une violation de données 2022 d'IBM a révélé que les organisations disposant d'équipes de réponse aux incidents et de plans de réponse aux incidents régulièrement testés avaient un coût moyen de violation des données inférieur de 2,66 millions USD à celui des organisations sans équipe de réponse aux incidents ni IRP.
Un incident de sécurité, ou événement de sécurité, est toute violation numérique ou physique qui menace la confidentialité, l'intégrité ou la disponibilité des systèmes d'information ou des données sensibles d'une organisation. Les incidents de sécurité peuvent aller de cyberattaques intentionnelles menées par des pirates ou des utilisateurs non autorisés à des violations involontaires de la politique de sécurité par des utilisateurs autorisés légitimes.
Parmi les incidents de sécurité les plus courants, citons :
Les rançongiciels. Les rançongiciels sont des logiciels malveillants qui verrouillent les données ou le dispositif informatique d'une victime et menacent de les maintenir verrouillées, voire pire demandent à la victime de verser une rançon au pirate. Selon le rapport Coût d'une violation de données 2022 d'IBM, les attaques de rançongiciels ont augmenté de 41 % entre 2021 et 2022.
En savoir plus sur les rançongiciels.
Hameçonnage et ingénierie sociale. Les attaques par hameçonnage sont des messages numériques ou vocaux qui tentent de manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l'argent ou des actifs à de mauvaises personnes, ou à prendre toute autre mesure préjudiciable. Les escrocs créent des messages de hameçonnage qui semblent provenir d'une organisation ou d'un individu fiable ou crédible, parfois même d'une personne que le destinataire connaît personnellement.
Le hameçonnage est la cause la plus coûteuse et la deuxième plus fréquente des violations de données, selon le rapport Coût d'une violation de données 2022 d'IBM. C'est aussi la forme la plus courante d'ingénierie sociale – une catégorie d'attaque qui s'attaque à la nature humaine, plutôt qu'aux vulnérabilités de la sécurité numérique, pour obtenir un accès non autorisé à des données ou des supports personnels ou d'entreprise sensibles.
En savoir plus sur l'ingénierie sociale.
Attaques par déni de service distribué (DDoS). Dans une attaque par déni de service distribué (DDoS), les pirates prennent le contrôle à distance d'un grand nombre d'ordinateurs et les utilisent pour submerger de trafic le réseau ou les serveurs d'une organisation cible, rendant ces ressources indisponibles pour les utilisateurs légitimes.
En savoir plus sur les attaques DDoS.
Attaques de la chaîne d'approvisionnement. Les attaques de la chaîne d'approvisionnement sont des cyberattaques qui infiltrent une organisation cible en s'attaquant à ses fournisseurs, par exemple en volant des données sensibles dans les systèmes d'un fournisseur ou en utilisant les services d'un fournisseur pour distribuer des logiciels malveillants. En juillet 2021, des cybercriminels ont profité d'une faille dans la plateforme VSA de Kaseya (lien externe d'ibm.com) pour diffuser un rançongiciel aux clients sous couvert d'une mise à jour logicielle légitime. Même si les attaques de la chaîne d'approvisionnement sont de plus en plus fréquentes, seulement 32 % des organisations ont des plans de réponse aux incidents préparés pour cette cybermenace particulière, selon l'étude 2021 relative aux organisations cyber-résilientes d'IBM.
En savoir plus sur la sécurité de la chaîne d'approvisionnement.
Menaces internes Il existe deux types de menaces internes. Les initiés malveillants sont des employés, des partenaires ou d'autres utilisateurs autorisés qui compromettent intentionnellement la sécurité des informations d'une organisation. Les initiés négligents sont des utilisateurs autorisés qui compromettent involontairement la sécurité en ne respectant pas les meilleures pratiques de sécurité, par exemple en utilisant des mots de passe faibles ou en stockant des données sensibles dans des emplacements non sécurisés.
Planification des réponses aux incidents
Comme indiqué ci-dessus, les efforts de réponse aux incidents d'une organisation sont guidés par un plan de réponse aux incidents. En règle générale, celui-ci est créé et exécuté par une équipe de réponse aux incidents de sécurité informatique (CSIRT) composée de parties prenantes de l'ensemble de l'organisation – le responsable de la sécurité informatique (CISO), le centre des opérations de sécurité (SOC) et le personnel informatique, mais aussi des représentants de la direction générale, des services juridiques, des ressources humaines, de la conformité réglementaire et de la gestion des risques.
Un plan réponse aux incidents comprend généralement
Il n'est pas rare que le CSIRT rédige différents plans de réponse aux incidents pour différents types d'incidents, car chaque type peut nécessiter une réponse unique. Selon l'étude 2021 relative aux organisations cyber-résilientes d'IBM, la plupart des organisations disposent de plans spécifiques de réponse aux incidents concernant les attaques DDoS, les logiciels malveillants et les rançongiciels, ainsi que le hameçonnage, et près de la moitié d'entre elles ont des plans pour les menaces internes.
Certaines organisations complètent les CSIRT internes par des partenaires externes fournissant des services de réponse aux incidents. Ces partenaires, qui travaillent souvent sur la base d'un mandat, apportent leur concours à divers aspects du processus de gestion des incidents, notamment la préparation et l'exécution des IRP.
Le processus de réponse aux incidents
La plupart des IRP suivent également le même cadre général de réponse aux incidents basé sur les modèles de réponse aux incidents développés par le SANS Institute, le National Institute of Standards and Technology (NIST) et la Cybersecurity and Infrastructure Agency (CISA).
Préparation. Cette première phase de la réponse aux incidents est également une phase continue, afin de s'assurer que le CSIRT dispose toujours des meilleurs procédures et outils possibles pour répondre à l'identification, au confinement et à la récupération d'un incident aussi rapidement que possible et avec une perturbation minimale des activités.
Grâce à une évaluation régulière des risques, le CSIRT identifie les vulnérabilités du réseau, définit les différents types d'incidents de sécurité qui représentent un risque pour le réseau et hiérarchise chaque type en fonction de son impact potentiel sur l'organisation. Sur la base de cette évaluation des risques, le CSIRT peut mettre à jour les plans de réponse aux incidents existants ou en rédiger de nouveaux.
Détection et analyse. Au cours de cette phase, les membres de l'équipe de sécurité surveillent le réseau à la recherche d'activités suspectes et de menaces potentielles. Ils analysent les données, les notifications et les alertes recueillies à partir des journaux des appareils et des divers outils de sécurité (logiciels antivirus, pare-feu) installés sur le réseau, en filtrant les faux positifs et en triant les véritables alertes par ordre de gravité.
Aujourd'hui, la plupart des entreprises utilisent une ou plusieurs solutions de sécurité – telles que SIEM (security information and event management) et EDR (endpoint detection and response) – pour aider les équipes de sécurité à surveiller et à analyser les événements de sécurité en temps réel, et à automatiser les processus de détection et de réponse aux incidents. (Pour en savoir plus, voir "Technologies de réponse aux incidents", ci-dessous)
Le plan de communication entre également en jeu lors de cette phase. Une fois que le CSIRT a déterminé le type de menace ou de violation auquel il est confronté, il en informe le personnel concerné avant de passer à l'étape suivante du processus de réponse aux incidents.
Confinement. L'équipe de réponse aux incidents prend des mesures pour empêcher la violation de causer d'autres dommages au réseau. Les activités de confinement peuvent être partagées en deux catégories :
À ce stade, le CSIRT peut également créer des sauvegardes des systèmes affectés et non affectés afin d'éviter toute perte de données supplémentaire et de recueillir des preuves médico-légales de l'incident pour une étude ultérieure.
Éradication. Une fois la menace contenue, l'équipe passe à la remédiation complète et à la suppression totale de la menace du système. Il s'agit d'éradiquer activement la menace elle-même (par exemple, en détruisant les logiciels malveillants, en éliminant du réseau un utilisateur non autorisé ou malveillant) et d'examiner les systèmes affectés et non affectés pour s'assurer qu'il ne reste aucune trace de la violation.
Reprise. Lorsque l'équipe de réponse aux incidents est sûre que la menace a été entièrement éradiquée, elle rétablit le fonctionnement normal des systèmes concernés. Il peut s'agir de déployer des correctifs, de reconstruire des systèmes à partir de sauvegardes et de remettre en ligne les systèmes et les dispositifs concernés.
Revue post-incident. Tout au long de chaque phase du processus de réponse aux incidents, le CSIRT recueille des preuves de la violation et documente les mesures qu'il prend pour contenir et éradiquer la menace. À ce stade, le CSIRT examine ces informations pour mieux comprendre l'incident. Le CSIRT cherche à déterminer la cause profonde de l'attaque, à identifier comment elle a réussi à pénétrer le réseau et à résoudre les vulnérabilités afin que de futurs incidents de ce type ne se produisent pas.
Le CSIRT examine également ce qui a bien fonctionné et recherche les possibilités d'améliorer les systèmes, les outils et les processus afin de renforcer les initiatives de réponse aux incidents contre de futures attaques. Selon les circonstances de la violation, les forces de l'ordre peuvent également être impliquées dans l'enquête post-incident.
Comme indiqué ci-dessus, en plus de décrire les mesures que les CSIRT doivent prendre en cas d'incident de sécurité, les plans de réponse aux incidents décrivent généralement les solutions de sécurité que les équipes de réponse aux incidents doivent avoir en place pour exécuter ou automatiser les flux de travail clés de la réponse aux incidents, tels que la collecte et la corrélation des données de sécurité, la détection des incidents en temps réel et la réponse aux attaques en cours.
Voici quelques-unes des technologies de réponse aux incidents les plus couramment utilisées :
Dotez-vous de la protection de sécurité dont votre organisation a besoin pour améliorer sa préparation aux atteintes à la protection des données grâce à un abonnement de réponse aux incidents d'IBM Security. Lorsque vous faites appel à notre équipe d'élite de consultants en réponse aux incidients, vous disposez de partenaires de confiance prêts à intervenir pour réduire le temps de réponse à un incident, réduire son impact et vous aider à reprendre plus rapidement les opérations avant qu'un incident de cybersécurité ne soit suspecté.
La détection des menaces ne constitue que la moitié de l'équation de sécurité. Vous avez également besoin d'une réponse intelligente aux incidents face au volume croissant d'alertes, à la multiplicité des outils et au manque de personnel. Accélérez la réponse aux incidents grâce à l'automatisation, la standardisation des processus et l'intégration avec vos outils de sécurité existants avec IBM.
Avec le nombre croissant d'ordinateurs portables, d'ordinateurs de bureau et d'employés à distance, les cybercriminels sophistiqués ont encore plus de portes ouvertes sur votre organisation. À partir de ces points d'entrée, ils peuvent souvent agir en profondeur et passer inaperçus. IBM propose une solution clé en main, 24 heures sur 24 et 7 jours sur 7, de prévention, de détection et de réponse rapide aux menaces, alimentée par des renseignements sur les menaces et une chasse proactive aux menaces, afin d'identifier et de éliminer les menaces avancées.
Les tendances au travail à distance et l'augmentation de l'interconnectivité des points d'extrémité ont entraîné une hausse des activités malveillantes. Réduisez la charge de travail des analystes en vous appuyant sur un EDR moderne, piloté par l'IA, capable de bloquer et d'isoler automatiquement les menaces liées aux logiciels malveillants et aux rançongiciels.
Comprenez votre environnement de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité seniors d'IBM lors d'une session de design thinking gratuite, virtuelle ou en personne, d'une durée de 3 heures.
Comprenez votre environnement de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité seniors d'IBM lors d'une session de design thinking gratuite, virtuelle ou en personne, d'une durée de 3 heures.
Élaborer une stratégie solide pour répondre à vos défis en matière de réponse aux incidents
Les rançongiciels prennent en otage les appareils et les données des victimes jusqu'au paiement d'une rançon.
Les menaces internes se produisent lorsque des utilisateurs autorisés exposent délibérément ou accidentellement des données sensibles ou des actifs du réseau.
Comprendre les risques de cyberattaque grâce à une vue globale du contexte des menaces.
Le rapport Coût d'une violation de données explore les retombées financières et les mesures de sécurité qui peuvent aider votre organisation à éviter une violation de données ou, si celle-ci n'a pas pu être évitée, à en réduire les coûts.