Une réponse à incidents est un exercice qui n'est pas forcément complexe en soi. Malheureusement, étant peu communément pratiqué, la difficulté est d'y être entraîné, préparé et d'obtenir ce qu'il faut comme artefacts.
Afin d'illustrer ce sujet, je vous propose de dérouler un exemple de début de réponse à un incident évidemment totalement fictif sous forme d'une tranche de vie, ce qui nous permettra de découvrir toutes les embûches dans lesquelles tout le monde tombe au moins une fois et que l’on souhaiterait éviter. Prenons donc l'exemple d'une détection de code malveillant sur un poste de travail.
1. SIR l'arrière-garde est attaquée !
C'est évidemment un vendredi vers 16h30 que tout commence, lorsque l'équipe SOC vous remonte une alerte émise par un des antivirus du parc des postes de travail. Celui-ci est catégorique : détection sur une des machines du parc d'un « WIN32.Trojan.Gen ». Le ticket est prolixe : « C'est quoi ? On fait quoi ? »
Sur le terrain, on est généralement confronté à deux types de population : ceux qui décident que de toute…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première