Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.
1. Définitions
La réponse à incidents de sécurité informatique est une discipline complexe qui mêle de nombreux aspects de l’informatique et nécessite de solides connaissances. Une connaissance profonde du fonctionnement de divers systèmes d’exploitation, des différents systèmes de fichiers, des réseaux informatiques, du fonctionnement des malwares, de l’exploitation de vulnérabilités, est nécessaire à une bonne culture de la réponse à incident.
Tout d’abord, qu’est-ce qu’un incident de sécurité ? Un incident de sécurité consiste en un ou plusieurs évènements de sécurité de l’information indésirables ou inattendus présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et/ou de menacer la sécurité de l’information [1].
D’après le NIST [2], la réponse à incident quant à elle est un processus structuré dont le but est de répondre à un incident de sécurité informatique....
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première