Académique Documents
Professionnel Documents
Culture Documents
2ème étape
Ian Quincy Egnonnam GBAGUIDI
Table des matières
01 04
Vecteurs d'attaque Analyse des incidents
02 05
Signes d'un incident Documentation des incidents
03 06
Priorisation des incidents
Sources des précurseurs et indicateurs
07
Notification d'incident
Vecteurs d'attaque
01
Les incidents peuvent se produire d'innombrables façons, il est donc impossible
de développer des instructions étape par étape pour gérer chaque incident.
Les organisations doivent généralement être prêtes à gérer tout incident, mais
doivent se concentrer sur la préparation à gérer les incidents qui utilisent des
vecteurs d'attaque communs.
Les vecteurs d'attaque répertoriés ci-dessous ne sont pas destinés à fournir une
classification définitive des incidents ; au lieu de cela, ils énumèrent
simplement les méthodes d'attaque courantes, qui peuvent être utilisées
comme base pour définir des procédures de traitement plus spécifiques:
● Support externe/amovible;
● Attrition;
● Web;
● E-mail;
● Impersonation;
● Utilisation inappropriée;
● Perte ou vol d’équipement;
● Autre.
Support externe/amovible
Une attaque exécutée à partir d'un support amovible ou d'un périphérique, par
exemple, un code malveillant se propageant sur un système à partir d'une clé USB
infectée.
Attrition
Une attaque qui utilise des méthodes de force brute pour compromettre, dégrader ou
détruire des systèmes, des réseaux ou des services (par exemple, un DDoS destiné à altérer
ou à refuser l'accès à un service ou à une application ; une attaque par force brute contre un
mécanisme d'authentification, tel que comme mots de passe, CAPTCHAS ou signatures
numériques).
Web
Une attaque exécutée à partir d'un site Web ou d'une application Web, par exemple, une attaque de
script intersite utilisée pour voler des informations d'identification ou une redirection vers un site
qui exploite une vulnérabilité du navigateur et installe un logiciel malveillant.
E-mail
Une attaque exécutée via un e-mail ou une pièce jointe, par exemple, un code d'exploitation
déguisé en pièce jointe ou un lien vers un site Web malveillant dans le corps d'un e-mail.
Impersonation
Une attaque impliquant le remplacement de quelque chose de bénin par quelque chose de
malveillant, par exemple, l'usurpation d'identité, les attaques de l'homme du milieu, les
points d'accès sans fil malveillants et les attaques par injection SQL impliquent toutes
l'usurpation d’identité.
Utilisation inappropriée
Le volume de signes potentiels d'incidents est généralement élevé. Par exemple, il n'est pas rare
qu'une organisation reçoive des milliers, voire des millions, d'alertes de capteur de détection
d'intrusion par jour.
Le logiciel antivirus Un administrateur Un hôte enregistre un Une application enregistre Une application enregistre
alerte lorsqu'il détecte système voit un nom de changement de plusieurs tentatives de plusieurs tentatives de connexion
qu'un hôte est infecté par fichier avec des configuration d'audit connexion infructueuses à infructueuses à partir d'un
un logiciel malveillant. caractères inhabituels. dans son journal. partir d'un système distant système distant inconnu.
inconnu.
Pour cela:
● un journal de bord est un moyen efficace et simple ,
● les ordinateurs portables,
● les enregistreurs audio,
● les appareils photo numériques.
L'équipe d'intervention en cas d'incident doit conserver des enregistrements sur l'état des incidents,
ainsi que d'autres informations pertinentes.
L'utilisation d'une application ou d'une base de données, telle qu'un système de suivi des problèmes,
permet de s'assurer que les incidents sont traités et résolus en temps opportun.
Le système de suivi des problèmes doit contenir des informations sur les éléments suivants :
● l'état actuel de l'incident (nouveau, en cours, transmis pour enquête, résolu, etc.),
● un résumé de l’incident,
● l’indicateurs liés à l'incident,
● autres incidents liés à cet incident,
● actions prises par tous les gestionnaires d'incidents sur cet incident,
● évaluations d'impact liées à l’incident,
● coordonnées des autres parties impliquées (par exemple, les propriétaires du système, les
administrateurs système),
● une liste des preuves recueillies au cours de l'enquête sur l'incident,
● commentaires des gestionnaires d'incidents,
● prochaines étapes à suivre (par exemple, reconstruire l'hôte, mettre à niveau une application).
L'équipe d'intervention en cas d'incident doit protéger les données d'incident et
en restreindre l'accès, car elles contiennent souvent des informations
sensibles, par exemple des données sur les vulnérabilités exploitées, les
failles de sécurité récentes et les utilisateurs susceptibles d'avoir effectué
des actions inappropriées.
Par exemple, seul le personnel autorisé doit avoir accès à la base de données des
incidents.
Les communications d'incident (par exemple, les e-mails) et les documents doivent être
cryptés ou autrement protégés afin que seul le personnel autorisé puisse les lire.
06 Hiérarchisation des incidents
Prioriser le traitement de l'incident est peut-être le point de décision le plus critique
dans le processus de traitement des incidents. Les incidents ne doivent pas être
traités selon le principe du premier arrivé, premier servi en raison des ressources
limitées.
Les exigences exactes en matière de déclaration varient d'une organisation à l'autre, mais les
parties qui sont généralement notifiées comprennent :
● DSI,
● Responsable de la sécurité informatique,
● Responsable local de la sécurité de l’information,
● Autres équipes de réponse aux incidents au sein de l’organisation,
● Équipes externes de réponse aux incidents (le cas échéant),
● Propriétaire du système,
● Ressources humaines (pour les cas impliquant des employés, comme le harcèlement par
courriel),
● Affaires publiques (pour les incidents pouvant générer de la publicité),
● Service juridique (pour les incidents ayant des ramifications juridiques potentielles),
● US-CERT (requis pour les agences fédérales et les systèmes exploités au nom du gouvernement
fédéral ).
Les différents méthodes de communication :
● Courriel,
● Site Web (interne, externe ou portail)
● Appels téléphoniques
● En personne (par exemple, briefings quotidiens)
● Message d'accueil de la boîte vocale (par exemple, configurer
une boîte vocale distincte pour les mises à jour d'incident et
mettre à jour le message d'accueil pour refléter l'état actuel de
l'incident ; utiliser le message d'accueil de la messagerie vocale
du service d’assistance)
● Papier (p. ex., afficher des avis sur les babillards et les portes,
distribuer des avis à tous les points d'entrée).
Grande étapes
1 Identifier VA
Signe Incidents 2
3 Identifier sources
Analyse 4
5 Documentation
Hiérarchisation 6
7 Notification
Thank you!