Des incidents de s\u00e9curit\u00e9 se produisent. Ce n’est pas une question de “si”, mais de “quand”. C’est pourquoi vous avez mis en place des produits et des proc\u00e9dures de s\u00e9curit\u00e9 pour optimiser le processus de r\u00e9ponse aux incidents (IR).<\/p>\n
Cependant, de nombreux professionnels de la s\u00e9curit\u00e9 qui font un excellent travail dans la gestion des incidents trouvent que communiquer efficacement le processus en cours avec leur direction est une t\u00e2che beaucoup plus difficile.<\/p>\n
Vous vous sentez familier?<\/p>\n
Dans de nombreuses organisations, la direction n’est pas avertie en mati\u00e8re de s\u00e9curit\u00e9 et ne s’int\u00e9resse pas aux d\u00e9tails concernant tous les bits et octets dans lesquels le professionnel de la s\u00e9curit\u00e9 ma\u00eetrise. <\/p>\n
Heureusement, il existe un mod\u00e8le que les responsables de la s\u00e9curit\u00e9 peuvent utiliser lors de la pr\u00e9sentation \u00e0 la direction. \u00c7a s’appelle le Mod\u00e8le de rapport IR pour la direction<\/a>fournissant aux RSSI et DSI un outil clair et intuitif pour rendre compte \u00e0 la fois du processus IR en cours et de sa conclusion.<\/p>\n Le mod\u00e8le IR Reporting for Management permet aux RSSI et aux DSI de communiquer avec les deux points cl\u00e9s dont la direction se soucie : l’assurance que l’incident est sous contr\u00f4le et une compr\u00e9hension claire des implications et de la cause profonde.<\/p>\n Le contr\u00f4le est un aspect cl\u00e9 des processus IR, en ce sens qu’\u00e0 tout moment, il y a une transparence totale sur ce qui est trait\u00e9, ce qui est connu et doit \u00eatre corrig\u00e9, et quelle enqu\u00eate suppl\u00e9mentaire est n\u00e9cessaire pour d\u00e9voiler les parties de l’attaque qui sont encore inconnue.<\/p>\n La direction ne pense pas en termes de chevaux de Troie, d’exploits et de mouvements lat\u00e9raux, mais plut\u00f4t en termes de productivit\u00e9 de l’entreprise : temps d’arr\u00eat, heures de travail, perte de donn\u00e9es sensibles.<\/p>\n La cartographie d’une description de haut niveau de la voie d’attaque vers les dommages caus\u00e9s est primordiale pour obtenir la compr\u00e9hension et l’implication de la direction, en particulier si le processus de RI n\u00e9cessite des d\u00e9penses suppl\u00e9mentaires.<\/p>\n Le mod\u00e8le IR Reporting for Management suit le cadre SANSNIST IR et vous aidera \u00e0 guider votre direction \u00e0 travers les \u00e9tapes suivantes\u00a0:<\/p>\n La pr\u00e9sence de l’attaquant est d\u00e9tect\u00e9e sans aucun doute. Suivez le mod\u00e8le pour r\u00e9pondre aux questions cl\u00e9s\u00a0: <\/p>\n Premiers secours pour arr\u00eater le saignement imm\u00e9diat avant toute enqu\u00eate plus approfondie, la cause premi\u00e8re de l’attaque, le nombre d’entit\u00e9s mises hors ligne (points de terminaison, serveurs, comptes d’utilisateurs), l’\u00e9tat actuel et les \u00e9tapes suivantes.<\/p>\n Nettoyage complet de toutes les infrastructures et activit\u00e9s malveillantes, rapport complet sur la route de l’attaque et les objectifs suppos\u00e9s, impact global sur l’entreprise (heures de travail, donn\u00e9es perdues, implications r\u00e9glementaires et autres selon le contexte variable).<\/p>\n Taux de r\u00e9cup\u00e9ration en termes de terminaux, de serveurs, d’applications, de charges de travail cloud et de donn\u00e9es.<\/p>\n Comment cette attaque s’est-elle produite ? \u00c9tait-ce un manque de technologie de s\u00e9curit\u00e9 ad\u00e9quate en place, des pratiques de main-d’\u0153uvre peu s\u00fbres ou autre chose\u00a0? Et comment pouvons-nous r\u00e9soudre ces probl\u00e8mes ? Fournissez une r\u00e9flexion sur les \u00e9tapes pr\u00e9c\u00e9dentes tout au long du processus de RI, en recherchant ce qu’il faut pr\u00e9server et ce qu’il faut am\u00e9liorer.<\/p>\n Naturellement, il n’y a pas de solution unique pour un incident de s\u00e9curit\u00e9. Par exemple, il peut y avoir des cas o\u00f9 l’identification et le confinement auront lieu presque instantan\u00e9ment ensemble, tandis que dans d’autres \u00e9v\u00e9nements, le confinement peut prendre plus de temps, n\u00e9cessitant plusieurs pr\u00e9sentations sur son statut provisoire. C’est pourquoi ce mod\u00e8le est modulaire et peut \u00eatre facilement ajust\u00e9 \u00e0 n’importe quelle variante.<\/p>\n La communication avec la direction n’est pas un avantage, mais un \u00e9l\u00e9ment essentiel du processus de RI lui-m\u00eame. Le mod\u00e8le d\u00e9finitif de rapport IR \u00e0 la direction aide les chefs d’\u00e9quipe de s\u00e9curit\u00e9 \u00e0 rendre leurs efforts et leurs r\u00e9sultats parfaitement clairs pour leur direction.<\/p>\nIdentification<\/strong><\/h4>\n
\n
Endiguement<\/strong><\/h4>\n
\u00c9radication<\/strong><\/h4>\n
R\u00e9cup\u00e9ration<\/strong><\/h4>\n
Le\u00e7ons apprises<\/strong><\/h4>\n