vendredi 14 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité Maitriser ses processus de gestion à incidents : une donnée stratégique en...

Maitriser ses processus de gestion à incidents : une donnée stratégique en matière de cybersécurité

Le management de la réaction est un point rarement évoqué en matière de sécurité IT, il est pourtant fondamental et nécessite d’être mené dans les règles de l’art. Cap sur ce sujet et rappel de ses fondamentaux.

Définir un cadre

Avis d’expert par Fabrice CLERC, Président de 6Cure – En cas d’attaque, il est tout d’abord utile de recenser l’ensemble des contre-mesures locales activables, d’évaluer l’impact de l’attaque sur le fonctionnement du système, ainsi que la pertinence des contre-mesures envisageables, de mesurer l’impact de leur activation sur le fonctionnement optimal du système, puis de proposer un ensemble de stratégies de réponses à l’opérateur de sécurité.

Dans ce contexte, lors d’une attaque, l’opérateur de sécurité doit pouvoir bénéficier du meilleur éclairage afin d’être en mesure de forger et prendre sa décision sur les contre-mesures à appliquer à l’incident. La meilleure réponse est celle qui offre une coordination globale large, assurant la pertinence de la réaction, sa cohérence dans le contexte de l’incident, et la préservation des politiques de sécurité en vigueur dans l’environnement concerné. En effet, de nombreuses solutions offrent aujourd’hui des fonctions activables dans un objectif de sécurité des systèmes, mais elles souffrent de limitations liées notamment à leur méconnaissance du contexte complet, et notamment de l’impact de leurs mécanismes propres de réaction, souvent statiques et prédéterminés. Il est donc crucial de faciliter la collaboration de ces « éléments activables » dans une stratégie de réponse aux attaques mieux coordonnée et d’offrir à l’opérateur de sécurité une précieuse aide à la décision.

Valorisation des dispositifs existants

Dans un premier temps, il sera donc nécessaire de recenser les éléments actifs à disposition sur le SI de l’entreprise. Ces éléments actifs recouvrent l’ensemble des systèmes matériels et logiciels capables de mettre en œuvre des configurations de réponse aux attaques : équipements du réseau (routeurs, switches), dispositifs de sécurité (pare-feux, IDS/IPS), annuaires des autorisations utilisateurs (LDAP, AD), systèmes d’authentification, configuration des postes applicatifs (droits d’accès).

Lors de l’occurrence d’une attaque, il faut identifier les parties prenantes de la menace (sources, cibles, relais et vecteurs de l’attaque), et évaluer les différentes stratégies de réponse possibles en fonction de la nature de l’événement, de la forme et la topologie de l’attaque, et des moyens de réaction mobilisables parmi les éléments actifs préalablement répertoriés. Cette évaluation doit intégrer l’estimation du rapport entre l’efficacité des contre-mesures proposées en regard de la nocivité de l’attaque, et le calcul de l’impact de la réponse sur l’intégrité et le fonctionnement des services et des réseaux sous-jacents.

L’opérateur de sécurité dispose ainsi instantanément de tous les éléments de décision permettant de pousser les configurations de réaction appropriées. Il devient alors possible de réagir en quasi-temps réel à une attaque en cours en activant des combinaisons intelligentes de contre-mesures à l’impact et l’efficacité mesurés : filtrage et contrôle d’accès, compartimentation, nettoyage chirurgical de flux nocifs.

La Threat Intelligence est fondamentale en matière d’aide à la décision et fait apparaître des notions d’intelligence artificielle, qui prouve bien que cette dernière s’applique depuis déjà plusieurs années dans les processus de gestion des incidents de cybersécurité.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.