Comment améliorer son processus de réponse aux incidents ? (deuxième partie)

L’efficacité du processus de réponse aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en cybersécurité. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes.

Organiser l’équipe de réaction aux incidents

L’équipe de réaction, nommée IRT (Incident Response Team) dans les normes ISO 27035 (gestion des incidents de sécurité, normes révisées en 2016) et le référentiel NIST 800-61 (Computer Security Incident Handling) est un élément central. Cette équipe est adaptée aux caractéristiques et à la taille de l’entité. On peut s’appuyer sur une équipe globale, centralisée au niveau du groupe et des équipes locales pour chaque filiale ou unité autonome. Les groupes disposant d’un CERT (Computer Emergency Response Team) interne lui confie généralement la coordination des actions. Pour les entités locales, les membres de l’équipe ne sont pas dédiés à cette fonction. On peut aussi externaliser tout ou partie de l’équipe en mode « managed services » mais il faut prendre en compte les critères liés à la confidentialité, le manque de connaissance du contexte et les potentielles pertes de temps en termes de décision. Le besoin de disposer d’une capacité de réaction permanente ou de s’appuyer sur des systèmes d’astreinte est une caractéristique structurante.

Mettre en place les relations avec les parties prenantes

La réponse aux incidents, en particulier les incidents majeurs, nécessite de faire appel à plusieurs fonctions supports de l’entité. En premier lieu, la fonction juridique peut relire les procédures pour s’assurer de leur conformité avec les lois, les réglementations et les politiques internes. Les juristes interviennent en cas de dépôt de plainte ou pour faire des recommandations de collecte des preuves pendant une investigation. Ensuite, les responsables des ressources humaines sont incontournables pour les affaires de fraudes internes (par exemple divulgation d’un document sensible détecté par un outil de type DLP -Data Loss Prevention) pouvant entrainer des sanctions disciplinaires. Les fonctions DPO (Data Protection Officer ou Délégué à la Protection des Données Personnelles) voire « sûreté » sont impliquées en cas de notification d’un incident à une autorité nationale administrative (par exemple la CNIL ou l’ANSSI pour la France). Si une fonction « Conformité » ou « Compliance » existe, il faut se reposer sur elle. La fonction continuité des activités (Business Continuity Planning) est enfin souvent en charge de superviser le processus de gestion des crises pouvant comprendre des scénarios de type « cyber ». Le département communication sera bien entendu à la manœuvre en cas de transmission d’informations vers les médias ou vers les clients.

Mettre en place les bons outils

Durant un incident, la gestion du temps est cruciale. La prise de décision nécessite de se reposer sur des informations les plus fiables possibles, ce qui n’est pas toujours aisé. Plusieurs questions se posent en amont. Par exemple, comment accéder aux logs (soit sur une plateforme centralisée de type SIEM si elle existe, soit en accédant à des logs locaux pour qualifier un incident en cours) et envoyer des requêtes efficaces ? Comment mettre en place rapidement un analyseur de paquets, Wireshark par exemple sur un point du réseau (DMZ particulière, serveur spécifique…) pour réaliser les captures appropriées. Comment utiliser les équipements de sécurité en place (par exemple systèmes anti-DDoS, IDPS – Intrusion Detection Prevention System, WAF – Web Application Firewall, anti-virus…) pour qualifier un incident et réagir par la mise en place de règles spécifiques ? Il faut penser au mode de communication des informations sensibles entre les parties prenantes (outils de chiffrement). L’accès à des informations de cartographie précises est un gain de temps appréciable (voir par exemple l’utilisation de SABSA). Enfin se reposer sur des horloges synchronisées fait partie des bonnes pratiques. Notons aussi l'utilisation de plus en plus fréquente des outils SOAR pour automatiser les tâches.

Mettre au point un suivi des tickets

L’outil de « ticketing », que ce soit au travers une base de données interne ou une solution de type SaaS (Software as a Service) permet de gagner du temps et de s’assurer que les critères importants sont définis : priorisations, niveaux de prise en compte, clôtures des faux positifs, notifications, descriptions des actions. La définition d’un logigramme, le plus simple possible, est un prérequis indispensable. Les « checklists » préétablies ou les fiches réflexes peuvent s’intégrer à l’outil afin de gagner du temps et de faciliter le travail des intervenants.

Formaliser la phase de retour sur expérience

Il est important, notamment pour les incidents majeurs, de prévoir systématiquement une réunion après la clôture de l’incident. L’agenda de cette réunion passe en revue les circonstances précises de l’incident, l’évaluation à froid de l’efficacité des mesures prises et les axes d’amélioration pour chacune des phases (détection, qualification, réaction), en incluant les procédures et politiques de sécurité. Le compte rendu de la réunion comprend un plan des actions décidées.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

ISO 27035, IncidentResponse, Réaction Incidents sécurité, CyberCrise