Comprendre la phase 4 de réponse aux incidents microsoft Online Services - Activité post-incident
Examen post-mortem
Une fois l’incident résolu, sélectionnez Incidents de sécurité. Cela concerne notamment les incidents qui ont un impact sur le client ou qui entraînent une violation de données, et qui font l’objet d’un examen post-mortem complet. L’examen post-mortem est conçu pour identifier les insuffisances techniques, les procédures défaillantes, les erreurs manuelles et d’autres défaillances de processus susceptibles de contribuer à l’incident ou précédemment identifiées pendant le processus de réponse aux incidents. Ce processus inclut généralement les éléments suivants :
- Analyse approfondie de la cause initiale et examen visant à identifier les possibilités d’amélioration de la sécurité du système ou du processus de réponse aux incidents de sécurité.
- Discussion avec des experts techniques sur le groupe de produits en question, et avec des experts en matière de sécurité et de confidentialité, pour identifier les possibilités d’amélioration des processus, des formations ou de la technologie.
- Implémentation de nouveaux mécanismes automatisés de surveillance et de détection pour détecter les problèmes similaires à l’avenir.
- Enregistrement de tous les résultats comme tickets d’éléments de travail ou de bogues que doivent résoudre les équipes de produit dans le cadre de notre processus Security Development Lifecycle normal ; attribution de ces éléments aux équipes propriétaires appropriées à des fins de suivi.
- Discussions sur les résultats de l’examen post-mortem terminé lors de réunions mensuelles de révision des incidents de sécurité, réunions conduites par la direction.
Amélioration continue
Les leçons tirées de l’incident de sécurité sont implémentées avec la coordination de l’équipe de réponse de sécurité pour prévenir les incidents futurs et améliorer les fonctionnalités de détection et de réponse. L’amélioration continue est essentielle pour réagir réellement et efficacement face aux incidents. Les activités postérieures aux incidents permettent d’appliquer correctement les leçons tirées de l’incident de sécurité au sein de l’entreprise afin de défendre Microsoft et ses clients contre les menaces en évolution constante.