Vue d’ensemble des réponse aux incidents
La réponse aux incidents est la pratique qui consiste à examiner et à corriger les campagnes d’attaque actives sur votre organisation. Essentiellement réactive par nature, la réponse aux incidents fait partie de la discipline des opérations de sécurité.
La réponse aux incidents a la plus grande influence directe sur le temps moyen global d’accusé de réception (MTTA) et sur le temps moyen de correction (MTTR) qui mesurent la capacité des opérations de sécurité à réduire le risque encouru par l’organisation. Les équipes chargées des réponses aux incidents s’appuient principalement sur les bonnes relations de travail entre les équipes de chasse des menaces, les équipes Threat Intelligence et les équipes de gestion des incidents (le cas échéant) pour réellement réduire les risques. Pour plus d’informations, consultez les Métriques SecOps.
Pour plus d’informations sur les rôles et responsabilités des opérations de sécurité, consultez Fonctions du centre des opérations de sécurité du cloud.
Procédure de réponse aux incidents
La première étape consiste à mettre en place un plan de réponse aux incidents qui englobe les processus internes et externes pour répondre aux incidents cybersécurité. Le plan doit détailler la façon dont votre organisation doit :
- Traiter les attaques en fonction du risque commercial et de l’impact de l’incident, ce dernier pouvant aller de l’indisponibilité d’un site web isolé à la compromission d’informations d’identification de niveau administrateur.
- Définir l’objectif de la réponse, comme le rétablissement du service ou la gestion de l’aspect juridique ou des relations publiques de l’attaque.
- Hiérarchiser le travail à accomplir en termes du nombre de personnes à affecter à l’incident et de leurs tâches.
Consultez l’article sur la planification de la réponse aux incidents pour obtenir une check-list des activités à inclure potentiellemennt dans votre plan de réponse aux incidents. Une fois votre plan de réponse aux incidents en place, testez-le régulièrement contre les cyberattaques les plus sérieuses pour vous assurer que votre organisation peut y répondre rapidement et efficacement.
Même si le processus de réponse aux incidents de chaque organisation puisse être différent en fonction de la structure et des capacités de l'organisation et de l'expérience passée, tenez compte de l’ensemble de recommandations et des meilleures pratiques en matière de réponse aux incidents de sécurité dans cet article.
Si vous faites face à un incident, il est essentiel de :
Gardez votre calme
Les incidents sont extrêmement perturbateurs et peuvent être intenses sur le plan émotionnel. Restez calme et axez vos efforts d’abord sur les actions ayant le plus gros impact.
N’aggravez pas la situation
Vérifiez que votre réponse est conçue et exécutée de manière à éviter la perte de données, la perte de fonctionnalités critiques pour l’entreprise ou la perte de preuves. Évitez les décisions qui peuvent nuire à votre capacité à créer des délais médico-légaux, à identifier la cause profonde et à tirer des leçons cruciales.
Impliquez le service juridique
Déterminez si ce service envisage une réponse légale pour vous permettre de planifier vos procédures d’investigation et de récupération de manière appropriée.
Soyez prudent lorsque vous partagez publiquement des informations sur l’incident
Suivez les conseils de votre service juridique quand vous partagez des informations avec vos clients et le public.
Demandez de l’aide au besoin
Appuyez-vous sur les connaissances et l’expertise d’autres personnes pour investiguer au sujet d’attaques sophistiquées et y répondre.
À l’instar du diagnostic et du traitement médical d’une maladie, l’investigation d’un incident de cybersécurité majeur et la réponse à y apporter nécessitent de défendre un système qui est à la fois :
- Extrêmement critique (arrêt impossible pour travailler dessus).
- Complexe (généralement non compréhensible par une personne seule).
Durant un incident, vous devez maintenir ces points d’équilibre critiques :
Vitesse
Trouvez le juste équilibre entre la nécessité d’agir rapidement pour satisfaire les parties prenantes et le risque lié aux décisions hâtives.
Partage d’informations
En vous appuyant sur les conseils de votre service juridique, informez les investigateurs, parties prenantes et clients pour limiter les responsabilités et ne pas définir d’attentes irréalistes.
Cet article vise à vous aider à réduire les risques occasionnés par un incident de cybersécurité dans votre organisation. Il identifie les erreurs courantes à éviter et fournit divers conseils sur les actions à entreprendre rapidement pour limiter les risques et répondre aux besoins des parties prenantes.
Remarque
Pour obtenir des conseils supplémentaires sur la préparation de votre organisation face aux rançongiciel et à d’autres types d’attaques à plusieurs étapes, consultez Préparer votre plan de récupération.
Bonnes pratiques en matière de réponse
Ces recommandations vous permettent d’apporter une réponse efficace aux incidents tant d’un point de vue technique qu’opérationnel.
Remarque
Pour obtenir davantage de conseils détaillés élaborés par le secteur, consultez le Guide de gestion des incidents de sécurité informatique du NIST.
Meilleures pratiques en ce qui concerne la réponse technique
En ce qui concerne les aspects techniques de la réponse aux incidents, voici quelques objectifs à considérer :
Essayez d’identifier l’étendue de l’attaque.
La plupart des adversaires utilisent des mécanismes de persistance multiples.
Identifiez l’objectif de l’attaque, si possible.
Les attaquants persistants recherchent souvent le même objectif (données/systèmes) lors de leurs attaques ultérieures.
Voici quelques conseils utiles :
Ne chargez pas de fichiers sur les scanneurs en ligne
Beaucoup d’adversaires surveillent le nombre d’instances sur des services comme VirusTotal utilisés pour la détection de programmes malveillants ciblés.
Évaluez attentivement vos modifications
À moins que vous ne soyez confronté à une menace imminente de perte de données vitales pour l’entreprise (comme la suppression, le chiffrement et l’exfiltration), mesurez le risque qui résulterait de l’absence de modification avec l’impact commercial prévu. Par exemple, pour protéger les ressources vitales d’une organisation durant une attaque active, il peut être nécessaire de couper temporairement son accès à Internet.
Si une modification est nécessaire, c’est-à-dire que le risque attribuable à l’inaction est plus élevé que celui associé à une action, documentez-la dans un journal des modifications. Les modifications apportées au cours d’une réponse à un incident ont pour but de perturber l’attaquant et peuvent impacter négativement une entreprise. Vous devrez annuler ces modifications après le processus de récupération.
Ne poussez pas l’investigation trop loin
Menez toujours vos efforts d’investigation par ordre de priorité. Par exemple, effectuez uniquement une analyse forensique sur les points de terminaison que les attaquants ont réellement utilisés ou modifiés. Dans le cas d’un incident majeur provoqué par un attaquant ayant des privilèges d’administrateur, il est pratiquement impossible d’analyser toutes les ressources potentiellement compromises (qui peuvent inclure l’ensemble des ressources de l’organisation).
Partagez les informations
Vérifiez que toutes les équipes d’investigation, notamment toutes les équipes internes et les investigateurs externes ou assureurs, partagent entièrement leurs données entre elles sur la base des conseils de votre service juridique.
Faites appel à l’expertise compétente
Veillez à intégrer des personnes ayant une connaissance approfondie des systèmes dans l’équipe d’investigation, par exemple du personnel interne ou des entités externes comme les fournisseurs, et pas seulement des généralistes de la sécurité.
Anticipez une capacité de réponse réduite
Prévoyez que 50 % de votre personnel travaillera à 50 % de sa capacité habituelle en raison du stress généré par l’incident.
L’une des principales attentes à mettre au clair avec les parties prenantes est le risque de ne jamais pouvoir identifier l’attaque initiale du fait de la suppression de certaines données de preuve par l’attaquant avant le début de l’investigation (par exemple, l’attaquant peut couvrir ses traces par la rotation des fichiers journaux).
Meilleures pratiques en matière de réponse aux opérations
En ce qui concerne les aspects de la réponse aux incidents liés aux opérations de sécurité (SecOps), voici quelques objectifs à considérer :
Restez concentré
Concentrez-vous sur les données critiques de l’entreprise, sur l’impact sur les clients et sur la préparation des actions de correction.
Définissez clairement les coordinateurs et les rôles
Établissez des rôles distincts pour les opérations en soutien de l’équipe de crise et assurez-vous que les équipes techniques, juridiques et de communication se transmettent les informations entre elles.
Gardez une perspective d’entreprise
Évaluez toujours l’impact sur l’activité de l’entreprise des actions menées par un adversaire et de vos propres actions de réponse à l’attaque.
Voici quelques conseils utiles :
Utilisez le système de commandement en cas d’incident (SCI) pour la gestion des crises
Si vous n’avez pas d’organisation permanente qui gère les incidents de sécurité, nous vous recommandons d’utiliser ce système de commandement comme structure organisationnelle temporaire pour gérer la crise.
Maintenez la continuité des opérations quotidiennes
Veiller à ce que les opérations de sécurité normales ne soient pas complètement mises de côté pour soutenir les enquêtes sur les incidents. Ces opérations doivent continuer à être effectuées.
Évitez les dépenses superflues
Face à des incidents majeurs, beaucoup d’organisations achètent précipitamment des outils de sécurité chers qui ne sont jamais déployés ni utilisés. Si vous ne pouvez pas déployer et utiliser un outil pendant la phase d’investigation, ce qui peut inclure l’embauche et la formation d’un personnel supplémentaire avec les compétences nécessaires à l’utilisation de l’outil, différez l’acquisition jusqu’à la fin de l’investigation.
Demandez l’aide d’experts
Assurez-vous de pouvoir remonter les questions et les problèmes aux experts compétents sur les plateformes critiques. Cela peut impliquer de contacter le fournisseur d’une application ou d’un système d’exploitation pour les systèmes critiques pour l’entreprise et les composants utilisés dans toute l’entreprise, tels que les ordinateurs de bureau et les serveurs.
Établissez les flux d’informations
Définissez de façon claire les directives et les attentes pour la circulation des informations entre les responsables de la réponse aux incidents et les parties prenantes de l’organisation. Pour plus d’informations, consultez Planification de la réponse aux incidents.
Bonnes pratiques pour la récupération
Ces recommandations vous permettent d’effectuer une récupération efficace après des incidents tant d’un point de vue technique qu’opérationnel.
Meilleures pratiques concernant la récupération technique
En ce qui concerne les aspects techniques de la récupération après un incident, voici quelques objectifs à considérer :
Ne tentez pas l’impossible
Limitez l’étendue de votre réponse afin que l’opération de récupération puisse s’exécuter dans un délai maximal de 24 heures. Incluez un week-end dans votre planification pour prendre en compte l’éventualité d’imprévus et d’actions correctives.
Ne vous laissez pas distraire
Différez les investissements de sécurité à long terme (comme la mise en œuvre de nouveaux systèmes de sécurité étendus et complexes, ou le remplacement de solutions anti-programmes malveillants) jusqu’à la fin de l’opération de récupération. Tout ce qui n’a pas d’impact direct et immédiat sur l’opération de récupération en cours est considéré comme une distraction.
Voici quelques conseils utiles :
Ne réinitialisez jamais tous les mots de passe en même temps
Les réinitialisations de mots de passe sont à effectuer en priorité sur les comptes compromis qui ont été identifiés pendant votre investigation et qui sont potentiellement des comptes d’administrateur ou de service. Si cela est justifié, les mots de passe des utilisateurs peuvent être réinitialisés, mais uniquement de manière progressive et contrôlée.
Regroupez les exécutions de tâches de récupération
À moins que vous ne soyez confronté à une menace imminente de perte de données critiques pour l’entreprise, planifiez une opération unique pour corriger rapidement l’ensemble des ressources compromises (telles que les ordinateurs hôtes et les comptes) au lieu de corriger les ressources compromises au fur et à mesure de leur découverte. Grâce à la réduction de cette fenêtre temporelle, les attaquants auront plus de mal à adapter leurs attaques et à les rendre persistantes.
Utilisez les outils existants
Recherchez et utilisez les fonctionnalités des outils que vous avez déjà déployés avant de tenter de déployer et d’apprendre un nouvel outil pendant une opération de récupération.
Ne facilitez pas le travail de votre adversaire
Prenez des mesures concrètes pour limiter les informations sur l’opération de récupération visibles par les adversaires. Dans un incident de cybersécurité majeur, les adversaires ont généralement accès à la totalité des données de production et des e-mails. Mais en réalité, la plupart des attaquants n’ont pas le temps de surveiller toutes vos communications.
Le centre des opérations de sécurité (SOC) de Microsoft utilise un locataire Microsoft 365 hors production pour sécuriser la communication et la collaboration entre les membres de l’équipe de réponse aux incidents.
Meilleures pratiques concernant la récupération des opérations
En ce qui concerne les aspects opérationnels de la récupération après un incident, voici quelques objectifs à considérer :
Définissez un plan clair et une étendue limitée
Collaborez étroitement avec vos équipes techniques pour créer un plan clair avec une étendue limitée. Bien que les plans puissent changer en fonction de l’activité de la personne mal intentionnée ou de nouvelles informations, vous devez travailler avec soin pour limiter l’étendue et les tâches supplémentaires requises.
Définissez clairement la propriété du plan
Les opérations de récupération impliquent l’exécution de nombreuses tâches différentes à la fois par différentes personnes. Vous devez donc désigner un coordinateur de projet pour clarifier la prise de décision et la circulation des informations définitives entre les membres de l’équipe de crise.
Communiquez avec les parties prenantes
Collaborez avec les équipes de communication pour assurer aux parties prenantes de l’organisation des mises à jour en temps opportun et une gestion active des attentes.
Voici quelques conseils utiles :
Soyez conscient de vos capacités et limites
La gestion des incidents de sécurité majeurs est très complexe et difficile, notamment pour les novices en la matière. Si vos équipes ne parviennent pas à gérer de tels incidents ou si elles ne savent pas quoi faire ensuite, prévoyez de faire appel à des experts auprès d’organisations externes ou de services professionnels.
Tirez tous les enseignements des incidents
Concevez des guides d’opérations de sécurité par rôle, et améliorez-les continuellement, même si vous faites face à votre premier incident, sans aucune procédure écrite.
Si elles n’ont pas été préparées et éprouvées, les communications dans le cadre de la réponse aux incidents peuvent être difficiles entre l’exécutif et la direction. Veillez à disposer d’un plan de communication pour gérer les rapports d’avancement et les attentes en matière de récupération.
Processus de réponse aux incidents SecOps
Suivez ces consignes générales de la procédure de réponse aux incidents pour votre personnel et vos opérations de sécurité.
1. Décidez et agissez
Une fois qu'un outil de détection des menaces tel que Microsoft Sentinel ou Microsoft Defender XDR détecte une attaque probable, il crée un incident. Le temps moyen d’accusé de réception (MTTA) mesurant la réactivité du centre des opérations de sécurité débute à l’instant où cette attaque est remarquée par votre équipe de sécurité.
Un analyste sur Shift, qui est soit délégué, soit propriétaire de l’incident, effectue une analyse initiale. L’horodatage ici correspond à la fin de la mesure de réactivité MTTA et au début de la mesure du temps moyen de correction (MTTR).
Quand l’analyste propriétaire de l’incident a un niveau de compréhension de l’historique et de l’étendue de l’attaque suffisamment élevé, il peut rapidement passer à la planification et à l’exécution des actions de nettoyage.
En fonction de la nature et de l’étendue de l’attaque, les analystes peuvent nettoyer les artefacts d’attaque au fur et à mesure de leur découverte (par exemple, les e-mails, les points de terminaison et les identités) ou bien créer une liste de ressources compromises qui seront toutes nettoyées en même temps (on parle alors d’opération « Big Bang »).
Nettoyage au fur et à mesure
En ce qui concerne les incidents les plus courants détectés au début de l’opération d’attaque, les analystes peuvent nettoyer rapidement les artefacts à mesure qu’ils les détectent. Cette approche met les attaquants en difficulté et les empêche de passer à l’étape suivante de leur attaque.
Planifiez une opération Big Bang
Cette approche est appropriée dans un scénario où un adversaire s’est déjà introduit pour établir des mécanismes d’accès redondants dans votre environnement. Cette pratique est fréquemment observée dans les incidents clients examinés par l’équipe de réponse aux incidents de Microsoft. Dans cette approche, les analystes doivent éviter de se faire remarquer par l’adversaire jusqu’à la découverte complète de la présence de l’attaquant, car l’effet de surprise peut faciliter le blocage complet de l’action de l’attaquant.
Microsoft a remarqué que la correction partielle d’un incident dévoile souvent certaines informations à la personne mal intentionnée, lequel a alors les moyens de réagir et d’aggraver rapidement l’incident. Par exemple, l’attaquant peut étendre son attaque, changer ses méthodes d’accès pour échapper à la détection, couvrir ses traces, voire endommager ou détruire des données et des systèmes par pure vengeance.
Le nettoyage des e-mails malveillants et d’hameçonnage peut souvent passer inaperçu à l’attaquant. En revanche, l’attaquant a plus de chances de détecter le nettoyage des logiciels malveillants sur des ordinateurs hôtes et la récupération du contrôle des comptes.
Il ne s’agit pas de décisions simples à prendre et il n’y a pas d’autre solution que d’exercer son jugement. La mise en place d’un environnement de travail et de culture collaboratif dans votre centre des opérations de sécurité aide les analystes à profiter de l’expérience de leurs collègues.
Les étapes de réponse spécifiques dépendent de la nature de l’attaque, mais les procédures les plus courantes utilisées par les analystes peuvent inclure les suivantes :
Points de terminaison clients (appareils)
Isolez le point de terminaison et contactez l’utilisateur ou les opérations informatiques/le support technique pour lancer une procédure de réinstallation.
Serveur ou applications
Travaillez en collaboration avec les opérations informatiques et les propriétaires d’applications pour organiser une correction rapide de ces ressources.
Comptes d'utilisateurs
Récupérez le contrôle des comptes en désactivant les comptes compromis et en réinitialisant leur mot de passe. Ces procédures peuvent évoluer si les utilisateurs passent à une authentification sans mot de passe avec Windows Hello ou une autre forme d’authentification multifacteur (MFA). Une étape distincte consiste à faire expirer tous les jetons d’authentification pour le compte avec Microsoft Defender for Cloud Apps.
Les analystes peuvent également vérifier l’inscription de l’appareil et le numéro de téléphone de la méthode MFA pour s’assurer que le compte n’a pas été piraté, en contactant l’utilisateur et en redéfinissant ces informations au besoin.
Comptes de service
En raison du risque élevé d’impact sur les services ou l’activité de l’entreprise, les analystes doivent travailler avec le propriétaire du compte de service concerné, en se rapprochant des opérations informatiques si nécessaire, afin d’organiser une correction rapide de ces ressources.
Courriers électroniques
Supprimez l’e-mail d’hameçonnage ou d’attaque, définitivement s’il le faut, pour empêcher les utilisateurs de récupérer les e-mails supprimés. Enregistrez toujours une copie de l’e-mail d’origine pour les besoins de recherche ultérieure dans le cadre de l’analyse après attaque, comme des en-têtes, du contenu, des scripts ou des pièces jointes.
Autres
Vous pouvez effectuer des actions personnalisées en fonction de la nature de l’attaque, par exemple révoquer des jetons d’application ou reconfigurer des serveurs et des services.
2. Nettoyage après incident
Étant donné que vous ne bénéficierez des leçons apprises que lorsque vous les aurez appliquées dans vos actions futures, réintégrez toujours toutes les informations utiles que vous avez pu tirer de vos investigations dans vos opérations de sécurité.
Déterminez les liens entre les incidents passés et futurs par les mêmes acteurs ou méthodes de menace et tirez parti de ces enseignements pour éviter la répétition de tâches manuelles et les analyses tardives à l’avenir.
Ces enseignements peuvent prendre plusieurs formes, mais les pratiques courantes incluent l’analyse des éléments suivants :
Indicateurs de compromission (IoC)
Enregistrez les indicateurs de compromission applicables (comme les hachages de fichiers, les adresses IP malveillantes et les attributs d’e-mail) dans vos systèmes de renseignement sur les menaces du centre des opérations de sécurité.
Vulnérabilités inconnues ou non corrigées
Les analystes peuvent lancer des procédures qui assurent l’application des correctifs de sécurité manquants, la correction des problèmes de configuration, et la notification aux fournisseurs (y compris à Microsoft) des vulnérabilités du jour zéro (« zero-day ») pour leur permettre de créer et distribuer des correctifs de sécurité.
Actions internes, telles que l’activation de la journalisation pour vos ressources cloud et locales.
Passez en revue vos bases de référence de sécurité existantes et faites des ajouts ou des modifications de contrôles de sécurité si nécessaire. Par exemple, consultez le Guide des opérations de sécurité Azure Active Directory pour obtenir des informations sur l’activation du niveau d’audit approprié dans l’annuaire avant la survenue d’un autre incident.
Passez en revue vos procédures de réponse pour identifier et corriger les écarts éventuels détectés pendant l’incident.
Ressources pour répondre aux incidents
- Planning de votre SOC
- Playbooks pour obtenir des instructions détaillées sur la façon de répondre aux méthodes d’attaque courantes
- Réponse aux incidents Microsoft Defender XDR
- Microsoft Defender pour le cloud (Azure)
- Réponse aux incidents Microsoft Sentinel
- Guide de l’équipe Réponse aux incidents Microsoft regroupant les meilleures pratiques à suivre pour les équipes de sécurité et les dirigeants
- Guides de l’équipe Réponse aux incidents Microsoft visant à aider les équipes de sécurité à analyser les activités suspectes
Principales ressources de sécurité Microsoft
Ressource | Description |
---|---|
Microsoft Digital Defense - Rapport 2023 | Rapport qui englobe des connaissances d’experts, d’utilisateurs et de défenseurs de la sécurité chez Microsoft permettant à tout le monde de se défendre contre les cybermenaces. |
Architectures de référence de Microsoft pour la cybersécurité | Ensemble de diagrammes d’architecture visuels qui illustrent les fonctionnalités de cybersécurité de Microsoft et leur intégration aux plateformes cloud Microsoft, comme Microsoft 365 et Microsoft Azure, et à des applications et plateformes cloud tierces. |
Téléchargement de l’infographie Minutes matter | Vue d’ensemble de la façon dont l’équipe SecOps de Microsoft effectue une réponse aux incidents pour atténuer les attaques en cours. |
Opérations de sécurité d’Azure Cloud Adoption Framework | Conseils stratégiques pour les responsables établissant ou modernisant une fonction d’opérations de sécurité. |
Bonnes pratiques de sécurité Microsoft pour les opérations de sécurité | Comment utiliser au mieux votre centre SecOps pour être plus rapide que les attaquants visant votre organisation. |
Modèle Microsoft Cloud App Security pour les architectes informatiques | La sécurité dans les plateformes et services cloud Microsoft pour l’identité et l’accès aux appareils, la protection contre les menaces et la protection des informations. |
Documentation sur la sécurité de Microsoft | Conseils de sécurité supplémentaires de Microsoft. |