Qu'est-ce que la réponse aux incidents ?
Un plan formel de réponse aux incidents permet aux équipes de cybersécurité de limiter ou de prévenir les dommages causés par les cyberattaques ou les violations de sécurité.
Vue en gros plan d'un gratte-ciel
Qu'est-ce que la réponse aux incidents ?

La réponse aux incidents (parfois appelée réponse aux incidents de cybersécurité) fait référence aux processus et technologies d'une organisation pour détecter et répondre aux cybermenaces, aux violations de sécurité ou aux cyberattaques. L'objectif de la réponse aux incidents est de prévenir les cyberattaques avant qu'elles ne se produisent, et de minimiser les coûts et les perturbations de l'activité résultant de toute cyberattaque qui se produit.

Idéalement, une organisation définit les processus et technologies de réponse aux incidents dans un plan de réponse aux incidents (IRP) formel qui spécifie exactement comment les différents types de cyberattaques doivent être identifiés, contenus et résolus. Un plan de réponse aux incidents efficace peut aider les équipes de cybersécurité à détecter et à contenir les cybermenaces, à restaurer plus rapidement les systèmes affectés et à réduire les pertes de revenus, les amendes réglementaires et les autres coûts associés à ces menaces. Le Rapport sur le coût d'une violation de données 2022 d'IBM a révélé que les organisations disposant d'équipes de réponse aux incidents et de plans de réponse aux incidents régulièrement testés avaient un coût moyen de violation des données inférieur de 2,66 millions USD à celui des organisations sans équipe de réponse aux incidents ni IRP.
Que sont les incidents de sécurité ?

Un incident de sécurité, ou événement de sécurité, est toute violation numérique ou physique qui menace la confidentialité, l'intégrité ou la disponibilité des systèmes d'information ou des données sensibles d'une organisation. Les incidents de sécurité peuvent aller de cyberattaques intentionnelles menées par des pirates ou des utilisateurs non autorisés à des violations involontaires de la politique de sécurité par des utilisateurs autorisés légitimes.

Parmi les incidents de sécurité les plus courants, citons :

Les rançongiciels. Les rançongiciels sont des logiciels malveillants qui verrouillent les données ou le dispositif informatique d'une victime et menacent de les maintenir verrouillées, voire pire demandent à la victime de verser une rançon au pirate. Selon le rapport Coût d'une violation de données 2022 d'IBM, les attaques de rançongiciels ont augmenté de 41 % entre 2021 et 2022.

En savoir plus sur les rançongiciels.

Hameçonnage et ingénierie sociale. Les attaques par hameçonnage sont des messages numériques ou vocaux qui tentent de manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l'argent ou des actifs à de mauvaises personnes, ou à prendre toute autre mesure préjudiciable. Les escrocs créent des messages de hameçonnage qui semblent provenir d'une organisation ou d'un individu fiable ou crédible, parfois même d'une personne que le destinataire connaît personnellement.

Le hameçonnage est la cause la plus coûteuse et la deuxième plus fréquente des violations de données, selon le rapport Coût d'une violation de données 2022 d'IBM. C'est aussi la forme la plus courante d'ingénierie sociale – une catégorie d'attaque qui s'attaque à la nature humaine, plutôt qu'aux vulnérabilités de la sécurité numérique, pour obtenir un accès non autorisé à des données ou des supports personnels ou d'entreprise sensibles.

En savoir plus sur l'ingénierie sociale.

Attaques par déni de service distribué (DDoS). Dans une attaque par déni de service distribué (DDoS), les pirates prennent le contrôle à distance d'un grand nombre d'ordinateurs et les utilisent pour submerger de trafic le réseau ou les serveurs d'une organisation cible, rendant ces ressources indisponibles pour les utilisateurs légitimes.

En savoir plus sur les attaques DDoS.

Attaques de la chaîne d'approvisionnement. Les attaques de la chaîne d'approvisionnement sont des cyberattaques qui infiltrent une organisation cible en s'attaquant à ses fournisseurs, par exemple en volant des données sensibles dans les systèmes d'un fournisseur ou en utilisant les services d'un fournisseur pour distribuer des logiciels malveillants. En juillet 2021, des cybercriminels ont profité d'une faille dans la plateforme VSA de Kaseya (lien externe d'ibm.com) pour diffuser un rançongiciel aux clients sous couvert d'une mise à jour logicielle légitime. Même si les attaques de la chaîne d'approvisionnement sont de plus en plus fréquentes, seulement 32 % des organisations ont des plans de réponse aux incidents préparés pour cette cybermenace particulière, selon l'étude 2021 relative aux organisations cyber-résilientes d'IBM.

En savoir plus sur la sécurité de la chaîne d'approvisionnement.

Menaces internes Il existe deux types de menaces internes. Les initiés malveillants sont des employés, des partenaires ou d'autres utilisateurs autorisés qui compromettent intentionnellement la sécurité des informations d'une organisation. Les initiés négligents sont des utilisateurs autorisés qui compromettent involontairement la sécurité en ne respectant pas les meilleures pratiques de sécurité, par exemple en utilisant des mots de passe faibles ou en stockant des données sensibles dans des emplacements non sécurisés. 

En savoir plus sur les menaces internes.
Comment fonctionne la réponse aux incidents

Planification des réponses aux incidents

Comme indiqué ci-dessus, les efforts de réponse aux incidents d'une organisation sont guidés par un plan de réponse aux incidents. En règle générale, celui-ci est créé et exécuté par une équipe de réponse aux incidents de sécurité informatique (CSIRT) composée de parties prenantes de l'ensemble de l'organisation – le responsable de la sécurité informatique (CISO), le centre des opérations de sécurité (SOC) et le personnel informatique, mais aussi des représentants de la direction générale, des services juridiques, des ressources humaines, de la conformité réglementaire et de la gestion des risques.

Un plan réponse aux incidents comprend généralement

  • Les rôles et responsabilités de chaque membre du CSIRT ;
  • Les solutions de sécurité – logiciels, matériel et autres technologies – à installer dans toute l'entreprise.
  • Un plan de continuité des activités décrivant les procédures de restauration des systèmes et des données critiques concernés le plus rapidement possible en cas de panne ;
  • Une méthodologie détaillée de réponse aux incidents, qui définit les mesures spécifiques qui doivent être prises à chaque phase du processus de réponse aux incidents (voir ci-dessous), et par qui ;
  • Un plan de communication pour informer les dirigeants de l'entreprise, les employés, les clients et même les forces de l'ordre des incidents ;
  • Instructions pour documenter la collecte d'informations et la documentation des incidents en vue d'un examen post-mortem et (si nécessaire) d'une procédure judiciaire. 

Il n'est pas rare que le CSIRT rédige différents plans de réponse aux incidents pour différents types d'incidents, car chaque type peut nécessiter une réponse unique. Selon l'étude 2021 relative aux organisations cyber-résilientes d'IBM, la plupart des organisations disposent de plans spécifiques de réponse aux incidents concernant les attaques DDoS, les logiciels malveillants et les rançongiciels, ainsi que le hameçonnage, et près de la moitié d'entre elles ont des plans pour les menaces internes.

Certaines organisations complètent les CSIRT internes par des partenaires externes fournissant des services de réponse aux incidents. Ces partenaires, qui travaillent souvent sur la base d'un mandat, apportent leur concours à divers aspects du processus de gestion des incidents, notamment la préparation et l'exécution des IRP.

Le processus de réponse aux incidents

La plupart des IRP suivent également le même cadre général de réponse aux incidents basé sur les modèles de réponse aux incidents développés par le SANS Institute, le National Institute of Standards and Technology (NIST) et la Cybersecurity and Infrastructure Agency (CISA).

Préparation. Cette première phase de la réponse aux incidents est également une phase continue, afin de s'assurer que le CSIRT dispose toujours des meilleurs procédures et outils possibles pour répondre à l'identification, au confinement et à la récupération d'un incident aussi rapidement que possible et avec une perturbation minimale des activités.

Grâce à une évaluation régulière des risques, le CSIRT identifie les vulnérabilités du réseau, définit les différents types d'incidents de sécurité qui représentent un risque pour le réseau et hiérarchise chaque type en fonction de son impact potentiel sur l'organisation. Sur la base de cette évaluation des risques, le CSIRT peut mettre à jour les plans de réponse aux incidents existants ou en rédiger de nouveaux.

Détection et analyse. Au cours de cette phase, les membres de l'équipe de sécurité surveillent le réseau à la recherche d'activités suspectes et de menaces potentielles. Ils analysent les données, les notifications et les alertes recueillies à partir des journaux des appareils et des divers outils de sécurité (logiciels antivirus, pare-feu) installés sur le réseau, en filtrant les faux positifs et en triant les véritables alertes par ordre de gravité.

Aujourd'hui, la plupart des entreprises utilisent une ou plusieurs solutions de sécurité – telles que SIEM (security information and event management) et EDR (endpoint detection and response) – pour aider les équipes de sécurité à surveiller et à analyser les événements de sécurité en temps réel, et à automatiser les processus de détection et de réponse aux incidents. (Pour en savoir plus, voir "Technologies de réponse aux incidents", ci-dessous)

Le plan de communication entre également en jeu lors de cette phase. Une fois que le CSIRT a déterminé le type de menace ou de violation auquel il est confronté, il en informe le personnel concerné avant de passer à l'étape suivante du processus de réponse aux incidents. 

Confinement. L'équipe de réponse aux incidents prend des mesures pour empêcher la violation de causer d'autres dommages au réseau. Les activités de confinement peuvent être partagées en deux catégories :

  • Les mesures de confinement à court terme visent à empêcher la menace actuelle de se propager en isolant les systèmes concernés, par exemple en mettant hors ligne les appareils infectés.
  • Les mesures de confinement à long terme visent à protéger les systèmes non affectés en renforçant les contrôles de sécurité autour d'eux, par exemple en séparant les bases de données sensibles du reste du réseau.

À ce stade, le CSIRT peut également créer des sauvegardes des systèmes affectés et non affectés afin d'éviter toute perte de données supplémentaire et de recueillir des preuves médico-légales de l'incident pour une étude ultérieure. 

Éradication. Une fois la menace contenue, l'équipe passe à la remédiation complète et à la suppression totale de la menace du système. Il s'agit d'éradiquer activement la menace elle-même (par exemple, en détruisant les logiciels malveillants, en éliminant du réseau un utilisateur non autorisé ou malveillant) et d'examiner les systèmes affectés et non affectés pour s'assurer qu'il ne reste aucune trace de la violation. 

Reprise. Lorsque l'équipe de réponse aux incidents est sûre que la menace a été entièrement éradiquée, elle rétablit le fonctionnement normal des systèmes concernés. Il peut s'agir de déployer des correctifs, de reconstruire des systèmes à partir de sauvegardes et de remettre en ligne les systèmes et les dispositifs concernés.

Revue post-incident. Tout au long de chaque phase du processus de réponse aux incidents, le CSIRT recueille des preuves de la violation et documente les mesures qu'il prend pour contenir et éradiquer la menace. À ce stade, le CSIRT examine ces informations pour mieux comprendre l'incident. Le CSIRT cherche à déterminer la cause profonde de l'attaque, à identifier comment elle a réussi à pénétrer le réseau et à résoudre les vulnérabilités afin que de futurs incidents de ce type ne se produisent pas. 

Le CSIRT examine également ce qui a bien fonctionné et recherche les possibilités d'améliorer les systèmes, les outils et les processus afin de renforcer les initiatives de réponse aux incidents contre de futures attaques. Selon les circonstances de la violation, les forces de l'ordre peuvent également être impliquées dans l'enquête post-incident. 
Technologies de réponse aux incidents

Comme indiqué ci-dessus, en plus de décrire les mesures que les CSIRT doivent prendre en cas d'incident de sécurité, les plans de réponse aux incidents décrivent généralement les solutions de sécurité que les équipes de réponse aux incidents doivent avoir en place pour exécuter ou automatiser les flux de travail clés de la réponse aux incidents, tels que la collecte et la corrélation des données de sécurité, la détection des incidents en temps réel et la réponse aux attaques en cours.

Voici quelques-unes des technologies de réponse aux incidents les plus couramment utilisées :

  • SIEM (Security Information and Event Management – Gestion des informations et des événements de sécurité) : La technologie SIEM regroupe et corrèle les données relatives aux événements de sécurité provenant d'outils de sécurité internes disparates (par exemple, les pare-feu, les scanners de vulnérabilité, les flux de renseignements sur les menaces) et des dispositifs du réseau. SIEM peut aider les équipes de réponse aux incidents à lutter contre la "fatigue de l'alerte" en indiquant les menaces réelles à partir de l'énorme volume de notifications que ces outils génèrent.
  • SOAR (Security Orchestration, Automation and Response – Orchestration de la sécurité, automatisation et réponse) : La plateforme SOAR permet aux équipes de sécurité de définir des playbooks (flux de travail formalisés qui coordonnent différentes opérations et outils de sécurité en réponse à des incidents de sécurité) et d'automatiser des parties de ces flux de travail lorsque cela est possible.
  • EDR (Endpoint Detection and Response – Détection et réponse des terminaux) : EDR est est un logiciel conçu pour protéger automatiquement les utilisateurs finaux, les terminaux et les actifs informatiques d'une organisation contre les cybermenaces qui contournent les logiciels antivirus et autres outils de sécurité traditionnels des terminaux. Le système EDR collecte des données en continu à partir de tous les points d'extrémité du réseau ; il analyse les données en temps réel pour trouver des preuves de cybermenaces connues ou suspectées, et peut réagir automatiquement pour prévenir ou minimiser les dommages causés par les menaces qu'il identifie.
  • XDR (eXtended Detection and Response – Détection et réponse étendues) : XDR est une technologie de cybersécurité qui unifie les outils de sécurité, les points de contrôle, les sources de données et de télémétrie et les analyses à travers l'environnement informatique hybride (points finaux, réseaux, clouds privés et publics) afin de créer un système d'entreprise unique et central pour la prévention, la détection et la réponse aux menaces. Technologie encore émergente, XDR peut aider les équipes de sécurité et les centres d'opérations de sécurité (SOC) surchargés à faire plus avec moins en éliminant les silos entre les outils de sécurité et en automatisant la réponse sur l'ensemble de la chaîne d'élimination des cybermenaces.
  • UEBA (User and Entity Behavior Analytics - Analyse du comportement des utilisateurs et des entités) : UEBA utilise l'analyse comportementale, les algorithmes d'apprentissage automatique et l'automatisation pour identifier les comportements anormaux et potentiellement dangereux des utilisateurs et des appareils. L'analyse UEBA est particulièrement efficace pour identifier les menaces internes – initiés malveillants ou pirates utilisant des informations d'identification internes compromises – qui peuvent échapper à d'autres outils de sécurité car elles imitent le trafic réseau autorisé. La fonctionnalité UEBA est souvent incluse dans les solutions SIEM, EDR et XDR.
  • ASM (Attach Surface Management – Gestion du périmètre de vulnérabilité) : Les solutions ASM automatisent la découverte, l'analyse, la correction et la surveillance continues des vulnérabilités et des vecteurs d'attaque potentiels pour tous les actifs de la surface d'attaque d'une organisation. ASM peut découvrir des actifs de réseau non surveillés auparavant, cartographier les relations entre les actifs,
Solutions connexes
Équipe de réponse aux incidents X-Force

Dotez-vous de la protection de sécurité dont votre organisation a besoin pour améliorer sa préparation aux atteintes à la protection des données grâce à un abonnement de réponse aux incidents d'IBM Security. Lorsque vous faites appel à notre équipe d'élite de consultants en réponse aux incidients, vous disposez de partenaires de confiance prêts à intervenir pour réduire le temps de réponse à un incident, réduire son impact et vous aider à reprendre plus rapidement les opérations avant qu'un incident de cybersécurité ne soit suspecté.

Explorer les services de réponse aux incidents
Orchestration de la sécurité, automatisation et réponse (SOAR)

La détection des menaces ne constitue que la moitié de l'équation de sécurité. Vous avez également besoin d'une réponse intelligente aux incidents face au volume croissant d'alertes, à la multiplicité des outils et au manque de personnel. Accélérez la réponse aux incidents grâce à l'automatisation, la standardisation des processus et l'intégration avec vos outils de sécurité existants avec IBM.

Explorer les solutions de sécurité SOAR
Services gérés de détection et de réponse

Avec le nombre croissant d'ordinateurs portables, d'ordinateurs de bureau et d'employés à distance, les cybercriminels sophistiqués ont encore plus de portes ouvertes sur votre organisation. À partir de ces points d'entrée, ils peuvent souvent agir en profondeur et passer inaperçus. IBM propose une solution clé en main, 24 heures sur 24 et 7 jours sur 7, de prévention, de détection et de réponse rapide aux menaces, alimentée par des renseignements sur les menaces et une chasse proactive aux menaces, afin d'identifier et de éliminer les menaces avancées.

Explorer les détection et réponse gérées
Détection et réponse des terminaux (EDR)

Les tendances au travail à distance et l'augmentation de l'interconnectivité des points d'extrémité ont entraîné une hausse des activités malveillantes. Réduisez la charge de travail des analystes en vous appuyant sur un EDR moderne, piloté par l'IA, capable de bloquer et d'isoler automatiquement les menaces liées aux logiciels malveillants et aux rançongiciels.

En savoir plus sur IBM Security ReaQta
Atelier de cadrage et de découverte IBM Security

Comprenez votre environnement de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité seniors d'IBM lors d'une session de design thinking gratuite, virtuelle ou en personne, d'une durée de 3 heures.

Explorer le cadrage IBM Security
Ressources Atelier de cadrage et de découverte IBM Security

Comprenez votre environnement de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité seniors d'IBM lors d'une session de design thinking gratuite, virtuelle ou en personne, d'une durée de 3 heures.

 Six étapes pour la réponse aux incidents

Élaborer une stratégie solide pour répondre à vos défis en matière de réponse aux incidents

 Qu'est -ce qu'un rançongiciel ?

Les rançongiciels prennent en otage les appareils et les données des victimes jusqu'au paiement d'une rançon.

 Qu'entend-on par menaces internes ?

Les menaces internes se produisent lorsque des utilisateurs autorisés exposent délibérément ou accidentellement des données sensibles ou des actifs du réseau.

 X-Force Threat Intelligence Index

Comprendre les risques de cyberattaque grâce à une vue globale du contexte des menaces.

 Coût d'une violation de données

Le rapport Coût d'une violation de données explore les retombées financières et les mesures de sécurité qui peuvent aider votre organisation à éviter une violation de données ou, si celle-ci n'a pas pu être évitée, à en réduire les coûts.