L’efficacité du processus de réaction aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en sécurité des systèmes d’information. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes (Retrouver la première partie de l’article).

En cybersécurité et plus largement pour tout système de protection, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche fondamentale mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les vrais indicateurs, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un Security Operation Center, outils de centralisation et de corrélation des logs, sondes de détection des intrusions…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée et réfléchie. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.