M211

ANALYSER LES ATTAQUES ET LES

INCIDENTS
Objectif du module

• Objectif de la compétence :

• Mettre en place un plan de Sécurité pour réduire

l’impact des incidents de sécurité
 01 – Définir un incident de sécurité
Impacts possibles d’un incident de sécurité

Introduction
• Les entreprises, les organisations et même les individus sont régulièrement attaqués par
des cybercriminels et subissent souvent des dommages à long terme.
• L’année 2021 a été marquée par l’augmentation inattendue du nombre de cyberattaques
au Maroc. En effet, la Direction Générale de la Sécurité des Systèmes d’Information
(DGSSI) a signalé que ses centres de veille ont détecté et analysé environs 400 incidents
[*].
• Les principales missions de ces centres sont :

 Identifier et traiter les menaces de sécurité

 Protéger les données confidentiels et les systèmes d’information contre les attaques
externes et internes
 Neutraliser les incidents de sécurité
PARTI
E1

Reference : *
https://www.lopinion.ma/Cyber-securite-La-DGSSI-confirme-sa-reponse-a-des-centaines-de-cyberattaques-contre-le-Maroc_a27027.html
Copyright - Tout droit réservé - OFPPT 3
 01 – Définir un incident de sécurité
Impacts possibles d’un incident de sécurité

Exemples :
• Selon une nouvelle étude de la société de sécurité de contenu IRDETO, les
pirates vendent des centaines d'informations de connexion volées pour des
services over-the-top OTT populaires sur les marchés du "DARK WEB".

• Pour le mois d'avril 2018, IRDETO a découvert 854 listes d'informations

d'identification OTT de 69 vendeurs uniques sur plus de 15 marchés du DARK
WEB. Les noms d'utilisateur et mots de passe volés en vente provenaient de 42
services de streaming différents, dont Netflix, HBO, DirecTV et Hulu.

• Il n'est pas clair si les informations de compte OTT volées illégalement

disponibles à la vente étaient des comptes légitimes et actifs - ou simplement des
escroqueries de cybercriminels. (IRDETO n'a pas précisé s'il avait testé les
informations d'identification volées.) Sur les marchés du DARK WEB, masqués à
l'aide de protocoles d'accès secrets, un large éventail de produits, comptes et
services illicites sont disponibles à l'achat, y compris des informations
PARTI

d'identification de compte pour une gamme de services de télévision payante.

E1

Copyright - Tout droit réservé - OFPPT 4

INCIDENT

• INCIDENT
• Définition générale :Evènement causant des dommages ou susceptible de le faire à
des personnes ou à des organisations
INCIDENT INFORMATIQUE

• Définition utilisée en Systèmes d’information

• Selon COBIT :Tout évènement ne faisant pas partie du fonctionnement normal d’un
service et qui cause, ou peut causer, une interruption ou une réduction de la qualité de
ce service
• Selon ITIL :Tout évènement ne faisant pas partie du fonctionnement standard d’un
service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de
ce service
• Selon l’ISO 27000 (Sécurité de l’information):
Un ou plusieurs évènements intéressant la sécurité de l’information, indésirable(s) ou
inattendu(s) présentant une probabilité forte de compromettre les opérations liées à
l’activité de l’organisme et de menacer la sécurité de l’information [ISO/IEC TR
18044:2004
INCIDENT DE SÉCURITÉ DU SYSTÈME D’INFORMATION

• Incident SSI:

Tout évènement potentiel ou avéré, indésirable et/ou inattendu, impactant ou présentant

une probabilité forte d’impacter la sécurité de l’information dans ses critères de
Disponibilité, d’Intégrité, de Confidentialité et/ou de Preuve
Exemples d’Incidents de SSI
 Intrusion (informatique, physique)
 Déni de service
 Code malfaisant
 Virus, etc.
 Scan
 Divulgation d'informations confidentielles
 Découverte de documents confidentiels en ligne
 Fuites de données
la norme de gestion des incidents de sécurité de l’information ISO 27035, la chaine
d’incident de cybersécurité se présente comme suit :
Objectifs de la Gestion des Incidents SSI

Avoir une politique de gestion des incidents et des

procédures
Détecter les incidents
Savoir quoi faire quand un incident arrive
Réagir rapidement et utilement
Savoir trier et ordonnancer les incidents quand
plusieurs incidents de sécurité se bousculent
Contenir et réparer
Savoir quand passer la main à la gestion de crise ou
à l'investigation inforensique
Eviter la répétition de l'incident
Identification et classification des incidents
Se familiariser avec les incidents pouvant affecter les actifs informationnels
des clients
Attribuer à chacun de ces incidents une cote de sévérité, de 1 à 3 (1 – Élevé,
2 – Moyen, 3 – Bas)
Cette cote permettra de déterminer rapidement les niveaux d’escalade pour
un incident donné
Les incidents identifiés et les cotes associées pourront être consignées dans
une grille de classification
Grille de classification des incidents
PROCESSUS DE TRAITEMENT des incidents
Diagramme du Processus
SOC:
SOC : rôle
Détection et Signalement

La détection peut avoir pour origine

Toute personne qui a connaissance d’un fait ou d’une
menace
Un administrateur lorsqu’il est informé par un dispositif de
supervision ou lorsqu’il constate une anomalie lors de
contrôle
Un acteur de la sécurité lorsqu’il est informé par un outil
de surveillance ou lorsqu’il constate une anomalie lors de
contrôle
L’anomalie doit pouvoir être signalée à une
personne compétente dans les plus brefs délais
exemple
 Détection et Signalement
Des moyens de détection des incidents doivent être mis en place afin de contenir
l’impact de ceux-ci et de faciliter un enclenchement rapide du processus d’escalade:
Les outils de détection les plus courants sont :
Systèmes de détection d’intrusion (IDS)
Antivirus
Vérificateursd’intégrité des fichiers
Journaux de sécurité
Prise en compte

Enregistrement de l’incident
Catégorisation par une équipe de support
Qualification par l’équipe de réponse aux
incidents
Désigner un responsable de l'analyse
Informer les bonnes personnes devant en
connaître
Chapitre 2
La Cyber Kill chaine
Étape de

• La chaîne cybercriminelle a été développée par Lockheed Martin pour identifier et

prévenir toute cyberintrusion.
• L'objectif de la gestion d'un incident de sécurité est de détecter et d'arrêter l'attaque
dès que possible dans la progression de la chaîne cybercriminelle.
• Si l'attaquant est arrêté à n'importe quel stade, la chaîne de destruction est cassée et le
défenseur a réussi à contrecarrer l'intrusion de l'acteur de la menace
La chaîne cybercriminelle (Cyber Kill Chain)
Tactiques des
Défense SOC
Reconnaissance hackers
• Au cours de l'étape de reconnaissance, Planifier et mener Découvrir l'intention du
le hacker effectue des recherches,
des recherches : hacker :
recueille des informations et • Collecter les • Utiliser des alertes
sélectionne des cibles adresses e-mail relatives aux journaux
• Le hacker choisit des cibles négligées • Identifier les web et l'historique des
employés sur les recherches
ou non protégées, car elles sont plus • Explorer les données
facilement accessibles et susceptibles médias sociaux
• Collecter toutes les analytiques des
d'être compromises. navigateurs
informations liées
• Le tableau récapitule les tactiques et aux relations • Élaborer des règles de
les défenses utilisées au cours de publiques détection du
(communiqués de comportement des
l'étape livraison.
presse, navigateurs qui
récompenses, indiquent une activité
personnes qui de reconnaissance
participent aux • Protéger en priorité les
réunions, etc.) technologies et les
• Identifier les utilisateurs ciblés par
serveurs Internet l'activité de
La chaîne de frappe
Préparation
• L'objectif de cette étape est d'utiliser les Tactiques des hackers Défense SOC

informations de reconnaissance en vue Prépare et planifie Recherche et collecte des

de développer une arme contre les l'opération : informations concernant l'attaque :
• Se procure un outil • Assurez-vous que les règles et les
systèmes ou les individuels ciblés dans automatisé pour signatures IDS sont à jour.
l'entreprise. distribuer la charge • Mène une analyse complète des
utile du malware (arme malwares.
• Il est souvent plus efficace d'utiliser une d'attaque). • Crée des systèmes capables de
attaque zero-day pour éviter les méthodes • Sélectionne ou crée un détecter le comportement des
de détection. document à présenter attaques connues.
à la victime. • S'agit-il d'un ancien malware, d'un
• Une attaque «0-day» utilise une arme • Sélectionne la porte malware standard ou d'un nouveau
dérobée ainsi que malware pouvant indiquer une
inconnue des défenseurs et des systèmes l'infrastructure de attaque sur mesure ?
de sécurité réseau. commande et de • Collecte les fichiers et les
contrôle. métadonnées à des fins d'analyse
• Le tableau récapitule les tactiques et les ultérieure.
défenses utilisées au cours de cette étape. • Associe les informations sur les
attaques aux différentes
campagnes.
La chaîne de frappe
Tactiques des
Livraison Défense SOC
hackers
• Au cours de cette étape, l'arme est transmise à la Lancer le Livraison en bloc
cible à l'aide d'un vecteur de diffusion Si l'arme n'est
malware sur la de malware :
pas diffusée, l'attaque n'aboutit pas.
cible : • Analyser le
• Le hacker utilise différentes méthodes pour • Cibler les chemin
augmenter les chances de diffuser la charge utile,
serveurs web d'infrastructure
notamment le chiffrement des communications,
• Livraison utilisé pour le
l'identification du code comme légitime ou le
masquage du code. indirecte via : déploiement.
• E-mail • En apprendre
• Les détecteurs de menaces sont si avancés qu'ils
identifient le code malveillant, à moins que celui-ci
malveillant davantage sur
ne soit modifié pour éviter la détection. • Malware sur les serveurs et
clé USB les utilisateurs
• Le tableau récapitule les tactiques et les défenses
• Interactions visés, et sur les
utilisées au cours de l'étape livraison.
sur médias données
sociaux vulnérables.
• Sites web • Déduire
La chaîne de frappe
Exploitation
• Une fois l'arme déployée, le hacker l'utilise pour exploiter la vulnérabilité et prendre le contrôle de la
cible.
• Les exploits ciblent le plus souvent les applications, les vulnérabilités du système d'exploitation et les
comptes d'utilisateur.
• Le tableau récapitule les tactiques et les défenses utilisées au cours de l'étape d'exploitation.

Tactiques des hackers Défense SOC

Exploiter une vulnérabilité pour obtenir un accès : Former les employés, sécuriser le code et les
• Utiliser une vulnérabilité logicielle, matérielle appareils :
ou humaine • Formation de sensibilisation des employés et tests
• Acquérir ou développer un kit d'exploit par e-mail
• Déclencher un kit d'exploit ciblant les • Formation des développeurs web à la sécurisation
vulnérabilités du serveur du code
• Utiliser un kit d'exploit déclenché par les • Analyses régulières des vulnérabilités et tests
victimes, par exemple en ouvrant une pièce d'intrusion fréquents
jointe ou en cliquant sur un lien web • Mesures de renforcement de la sécurité des
malveillant terminaux
• Audit des terminaux pour déterminer l'origine des
exploits
La chaîne de frappe
Installation
• Installation - L'acteur de menace crée une porte dérobée dans le système afin de bénéficier d'un accès
continu à la cible.
• Pour préserver cette porte dérobée, il est important que l'accès distant n'alerte pas les analystes en
cybersécurité ou les utilisateurs. Pour être efficace, la méthode d'accès doit survivre aux analyses du
programme antimalware et au redémarrage de l'ordinateur.
• Le tableau récapitule les tactiques et les défenses utilisées au cours de l'étape d'installation.

Tactiques des hackers Défense SOC

Installer une porte dérobée permanente :
• Installer un webshell sur un serveur web pour
un accès permanent.
• Créer un point de persistance en ajoutant des
services, des clés d'exécution automatique,
etc.
• Certains hackers modifient l'horodatage du
malware pour qu'il semble faire partie du
système d'exploitation.
Détecter, enregistrer et analyser l'activité de
l'installation :
• Système de prévention des intrusions d'hôte (HIPS)
pour signaler ou bloquer les intrusions sur les chemins
d'installation courants.
• Déterminez si un programme malveillant nécessite
des privilèges ou des privilèges utilisateur
• Audit des terminaux pour détecter les fichiers créés de
façon anormale.
• Déterminer si le logiciel malveillant est une menace
connue ou une nouvelle variante.
La chaîne de frappe
Commande et contrôle
• Au cours de cette étape, l'objectif est
d'établir une connexion entre un serveur de Canal ouvert pour la
type commande et contrôle et le système
cible.
• En règle générale, les hôtes compromis
envoient des balises hors du réseau à un
contrôleur sur Internet,
• Le hacker utilise les canaux pour envoyer
des commandes au logiciel qu'ils ont
installé sur la cible.
• L'analyste en cybersécurité doit être
capable de détecter les communications
CnC afin d'identifier l'hôte infecté.
• Le tableau résume les tactiques et les défenses utilisées pendant l'étape de
commandement et de contrôle.
Tactiques des hackers Défense SOC
Dernière chance de bloquer
manipulation de la cible : l'opération :
• Canal ouvert de • Rechercher de nouvelles
communication infrastructures CnC possibles.
bidirectionnelle vers • Découvrir l'infrastructure CnC par
l'infrastructure CnC. le biais d'une analyse de logiciel
• Les canaux CnC les plus malveillant.
courants sont les protocoles • Isoler le trafic DNS vers des
web, DNS et de messagerie. serveurs DNS suspects, en
• L'infrastructure CnC peut particulier Dynamic DNS
appartenir à un hacker ou • Empêcher l'impact en bloquant ou
au réseau d'une autre en désactivant le canal CnC.
victime. • Consolider le nombre de points de
présence Internet.
• Personnaliser les règles de
blocage de protocoles CnC sur les
proxys web
La chaîne de frappe
Actions en fonction des objectifs
Tactiques des
• Action sur les objectifs décrit l'acteur de Défense SOC
menace qui atteint son objectif initial.
hackers
• Le hacker est donc parvenu à pénétrer au Récolter les fruits Détecter à l'aide de
cœur des systèmes de l'entreprise sans se de l'attaque : données d'analyse :
faire remarquer et sans laisser de trace. • Recueillir les • Établir le guide de
• À ce stade, il est donc extrêmement difficile informations réponse aux incidents.
d'éliminer le hacker du réseau. d'identification • Détecter les exfiltrations
• Le tableau récapitule les tactiques et les utilisateur. de données, les
défenses utilisées au cours de l'étape • Transmission des déplacements latéraux et
d'actions sur les objectives. privilèges l'utilisation frauduleuse
• Reconnaissance d'identifiants.
interne. • Réponse immédiate de
• Mouvement latéral l'analyste pour toutes les
dans alertes.
l'environnement. • Analyse des points de
• Collecter et exfiltrer terminaison pour un
des données. triage rapide.
• Détruire les • Captures de paquets
Analyse du modèle d’intrusion en diamant

 Présentation du modèle en diamant:

 le modèle d’intrusion en diamant est composé de quatre parties, comme le montre la

figure. Le modèle représente un incident ou un événement de sécurité. Dans le modèle en
diamant, un événement est une activité limitée dans le temps restreinte à une étape
spécifique, au cours de laquelle un adversaire utilise une capacité contre une victime via une
infrastructure pour obtenir un résultat donné.
Analyse du modèle Analyse du modèle d’intrusion en diamant

 Un événement d’intrusion comporte quatre caractéristiques principales, à savoir adversaire,

capacité, infrastructure et victime :
• Adversaire - Il s’agit des parties responsables de l’intrusion

• Capacité - Il s’agit d’un outil ou technique qu’utilise l’adversaire pour attaquer la victime.

• Infrastructure - Il s’agit de chemins d’accès réseau que les adversaires empruntent pour
commander et contrôler leurs capacités.
• Victime - Il s’agit de cible de l’attaque. Cependant, une victime peut initialement être la
cible, puis être utilisée dans le cadre de l’infrastructure pour lancer d’autres attaques.
DIAMANT MODEL
Les méta fonctionnalités
 Les méta fonctionnalités étendent légèrement le modèle afin d’inclure les éléments majeurs
suivants :
• Horodatage - Cette méta-fonctionnalité indique l’heure de début et l’heure de fin d’un
événement; elle permet de regrouper les activités malveillantes.
• Étape - Cette méta-fonctionnalité est similaire aux étapes de la chaîne cybercriminelle; les
activités malveillantes comprennent deux ou plusieurs étapes exécutées successivement
pour atteindre le résultat souhaité
• Résultat - Le résultat détermine les bénéfices que le hacker a tirés de l’événement. Les
résultats peuvent être de différents types : confidentialité compromise, intégrité compromise
et disponibilité compromise.
• Direction - Cette méta-fonctionnalité indique la direction de l’événement au sein du modèle
en diamant. Cela Inclue adversaire vers infrastructure, infrastructure vers victime, victime
vers infrastructure et infrastructure vers adversaire.
Les métafonctionnalités
• Méthodologie - cette méta-fonctionnalité permet de classer les types d’événements, par
exemple analyse des ports, phishing, attaques par diffusion de contenu, inondation SYN,
etc.
• *Ressources - il s’agit d’une ou de plusieurs ressources externes utilisées par l’adversaire
pour l’événement d’intrusion, telles que logiciels, connaissances de l’adversaire,
informations (p. ex., nom d’utilisateur/mots de passe) et ressources pour mener l’attaque
(matériel, fonds, installations, accès réseau).
Navigation dans le modèle en diamant
 Le modèle en diamant montre très bien comment le hacker passe d'un événement à l'autre.
Par exemple :
1 Un employé signale que son ordinateur ne fonctionne pas normalement.
2. Une analyse de l'hôte effectuée par le technicien responsable de la sécurité indique que
l'ordinateur est infecté par un malware
3. Une analyse révèle que ce malware contient une liste de noms de domaine CnC.
4. Ces adresses IP sont ensuite utilisées pour identifier l'adversaire, mais aussi pour analyser
les journaux afin de savoir si d'autres victimes de l'entreprise utilisent le canal CnC.
Caractérisation du modèle diamant
d'un exploit
Analyse et réponse aux incidents numériques
Le cadre MITRE ATT&CK
• Le cadre ATT&CK (ATT&CK) de MITRE permet de détecter les tactiques, techniques et procédures de
l'attaquant dans le cadre de la défense des menaces et de l'attribution des attaques.
• Les tactiques consistent en les objectifs techniques qu'un attaquant doit accomplir pour exécuter une attaque.
• Les techniques sont le moyen par lequel la tactique est accomplie.
• Les procédures sont les mesures spécifiques prises par les acteurs de la menace dans les techniques qui ont été
identifiées.
• Le MITRE ATT&CK Framework est une base de connaissances mondiale sur le comportement des acteurs de
menace.
• Le cadre est conçu pour permettre le partage automatisé de l'information en définissant des structures de
données pour l'échange d'informations entre sa communauté d'utilisateurs et MITRE.

Remarque : Effectuez une recherche sur Internet sur MITRE ATT&CK pour en savoir plus sur l'outil.
Rappel sur Mire att&ck
 Profiter des frameworks comme MITRE ATT&CK peut aider l’équipe de sécurité à
comprendre l’adversaire et son fonctionnement, accélérant ainsi encore davantage la
détection et la réponse aux menaces.
Quelles sont les tactiques du framework ATT&CK
Quelles sont les tactiques du framework ATT&CK
Profil de pirate
. Appliquer les procédures de gestion des incidents :
Modèle de la norme ISO 27035:2019
Les phases de gestion d’incident de cybersécurité
• La gestion d’un incident de sécurité ne s’improvise pas. Il est donc important de
procéder de façon structurée afin de concilier efficacité et rapidité, tout en conservant
une démarche d’amélioration continue. Le schéma ci-après illustre les cinq phases de
gestion d’incident :
La phase planification
A.
planifier et préparer une politique et un plan de gestion d’incident de cybersécurité
s’avère indispensable pour une détection et une réponse efficaces aux incidents.
B.
la phase de planification et de préparation de la gestion des incidents de sécurité de
l'information se concentre sur la documentation de la politique de signalement et de
traitement des événements et des incidents de sécurité de l'information, ainsi que des
procédures associées ; mettre en place la structure organisationnelle et le personnel
appropriés pour la gestion des incidents ; et la mise en place d'un programme de
sensibilisation et de formation.
Exemples de Mesure à Maitre en place
Mettre sur pied une équipe de réponse aux incidents et lui assurer un programme de
formation approprié .
Déployer des méthodes et des équipements de détection des incidents et de contrôle
(équipements de sécurité, gestion des correctifs, évaluation des vulnérabilités,…) ;
Décrire les catégories et les types des incidents de cybersécurité
Définir et décrire la criticité de ces incidents ;
Définir les rôles et les responsabilités pour chaque phase du processus de gestion des
incidents de cybersécurité ;
Planifier des tests réguliers de vérification des processus et procédures de la gestion
des incidents de cybersécurité.
Les mesures à Maitre en Place

Évaluation des risques:

L’évaluation périodique des risques des systèmes et des applications doit déterminer
quels sont les risques posés par des combinaisons de menaces et vulnérabilités.
Sécurité des postes utilisateurs:
Tous les postes utilisateurs doivent être endurcis de manière appropriée en utilisant des
configurations standard. En plus de garder chaque poste à jour en installant les mises à
jour appropriées le mieux via une solution centralisée, les postes doivent être configurés
pour adopter le principe du moindre privilège par l'octroi aux utilisateurs des privilèges
nécessaires à l'accomplissement de leurs tâches autorisées. Ces postes devraient avoir l'
« auditing » activé et devraient générer les événements (log) importants liés à la sécurité
Les mesures à Maitre en Place

Sécurité réseau:
L'architecture du réseau ainsi que les équipements de sécurité (Firewalls, Proxy, ...)
doivent être configurés pour refuser toute activité qui n'est pas expressément autorisée.
Les connexions établies avec les succursales ou les partenaires qui empruntent des
réseaux publics ( LS, ADSL, MPLS, VPN opérateur, …) doivent être chiffrées de bout
en bout.
Prévention contre les malwares:
Les solutions pour détecter et arrêter les logiciels malveillants doivent être déployées à
tous les niveaux de l'entité (Postes utilisateurs, serveurs, proxy web et messagerie, …) et
les alertes générées doivent déclencher immédiatement le processus de traitement des
incidents
Les mesures à Maitre en Place

Sensibilisation et formation des utilisateurs:

Les utilisateurs doivent être informés des politiques et procédures concernant
l'utilisation appropriée des réseaux, des systèmes et des applications. Ils doivent être
sensibilisés sur les nouvelles modes d’attaques, principalement le phishing qui constitue
souvent le vecteur d’attaque initial des cyberattaques
Détection
• La phase de détection consiste à déceler un événement susceptible de constituer un
incident de cybersécurité et d’en informer les responsables des systèmes touchés et de
déclencher le processus de réponse à l'incident.
Journaliser l'activité système et réseau de l'entité ;
Collecter des informations permettant d'assurer une connaissance de la situation à
partir de sources de données internes et externes
Détection
Disposer des outils de détection et les configurer selon les risques et menaces qui
pèsent sur l’entité;
Assurer un suivi et monitoring permanent par l’équipe de sécurité ;
 Détecter et signaler l'occurrence d'un événement de sécurité de l'information ou
l'existence d'une vulnérabilité, que ce soit manuellement ou automatiquement;
 Surveiller les alertes transmises par les systèmes de sécurité internes ;
 Surveiller les rapports d’activités anormales soumis par les utilisateurs ;
Analyse et déclaration
• Cette phase repose sur l’évaluation des événements de cybersécurité décelés pendant
la phase de détection. Cette évaluation vise à déterminer s'il s'agit réellement d'un
incident de cybersécurité, de déterminer son incidence et son envergure, son impact
ainsi que la cause probable de l'incident.
Les tâches à accomplir lors de cette phase se présentent comme suit

Evaluer l’événement et confirmer qu’il s’agit d’un incident ;

Désigner les personnes responsables de l’incident ;
 Déterminer le type de l’incident ;
Déterminer le vecteur d’attaque susceptible ;
Déterminer les données, systèmes ou réseaux touchés ;
Cerner l’impact sur la confidentialité, l’intégrité et la disponibilité ;
Aviser les personnes compétentes
Réponse à l'incident
• Conformément aux actions menées durant la phase analyse et déclaration, cette étape
consiste à apporter les réponses adéquates aux incidents de cybersécurité détectés..
Une fois qu'un incident de cybersécurité est confirmé, les activités suivantes doivent
être exécutées:
Attribuer les responsabilités et les rôles aux différents membres de l'équipe
d’intervention interne ou externe ou mixte ;
Elaborer des procédures formelles à suivre pour chaque personne impliquée dans
l'incident ;
Réponse à l'incident
• Lorsqu'un incident est maîtrisé, il convient d'identifier les réponses supplémentaires
nécessaires pour ramener le système à un fonctionnement normal. C'est le moment de
restaurer les systèmes, de s'assurer qu’ils sont dans un état sûr,
Apprentissage
• Cette phase couvre le processus d'apprentissage qui suit un incident qui s'est produit.
• L'apprentissage proactif lié à l'anticipation (savoir à quoi s'attendre) est traité dans la
phase de planification.
• Les incidents doivent être utilisés comme une opportunité d'apprentissage et
d'amélioration
Apprentissage
• Le processus d'apprentissage est axé sur l'apprentissage organisationnel.
• L'objectif est de modifier la réponse à l'incident en fonction de la différence entre le
résultat attendu et obtenu (apprentissage en boucle unique). De pouvoir, en plus,
remettre en question et modifier les variables gouvernantes liées à la technologie, à
l'organisation et aux facteurs humains qui conduisent au résultat (apprentissage en
double boucle)
Génération d'alertes

• Les alertes de sécurité sont des messages de notification générés par des
outils de surveillance de la sécurité du réseau, des systèmes et des
Appliance de sécurité. Les alertes peuvent prendre différentes formes
selon la source
Présentation de l'évaluation des alertes
Évaluation des alertes
• Les incidents liés à la sécurité sont classés en fonction d'un système inspiré des diagnostics médicaux.
Ce système de classification est utilisé pour orienter les actions et évaluer les procédures de diagnostic.
Le souci est que chaque diagnostic peut être exact ou erroné.
• Dans le domaine de l'analyse de la sécurité du réseau, l'analyste en cybersécurité reçoit une alerte.
L'analyste en cybersécurité doit déterminer si ce diagnostic est correct.
• Les alertes sont classées comme suit :
• Vrai positif : l'alerte correspond à un incident réel, après vérification.
• Faux positif: L'alerte ne correspond pas à un incident réel de sécurité Une activité bénigne qui
entraîne un faux positif est parfois appelée un déclencheur bénin.
• Il est également possible qu'une alerte ne soit pas générée. Dans ce cas, l'absence d'alerte est classée
comme :
• Vrai négatif: Aucun incident ne s'est produit. L'activité est bénigne.
• Faux négatif : un incident n'a pas été détecté.
Présentation de l'évaluation des alertes
Évaluation des alertes (Suite)
Lorsqu'une alerte est émise, elle est classée de quatre manières
Vrai Faux
Positive (l'alerte Un incident s'est Aucun incident ne s'est
existe) produit produit

Négative (aucune Aucun incident ne s'est Un incident s'est

alerte n'existe) produit produit
• Vrais positifs représentent le type d'alerte souhaité. Ils signifient que les règles
qui génèrent des alertes ont fonctionné correctement.
• Faux positifs ne sont pas souhaitables. Bien qu'ils n'indiquent pas qu'un exploit
non détecté a eu lieu, ils ont un coût, car les analystes en cybersécurité doivent
évaluer ces fausses alertes.
• Vrais négatifs sont également souhaitables. Ils indiquent que le trafic normal est
ignoré à juste titre et qu'aucune alerte erronée n'est émise.
• Faux négatifssont dangereux. Ils indiquent que les exploits ne sont pas détectés
par les systèmes de sécurité qui sont en place.
Traitement des incidents
Préparation
• La phase de préparation correspond à la création et à la formation de l'équipe CSIRT. Au cours de cette
phase, les outils et les ressources dont l'équipe a besoin pour analyser les incidents sont acquis et
déployés.
• Les exemples d'actions dans la phase de préparation sont les suivants :
• Mise en place de sites pour accueillir l'équipe d'intervention et le centre opérationnel de sécurité.
• Utilisation d'évaluations des risques pour mettre en œuvre des contrôles permettant de limiter le
nombre d'incidents.
• Création de supports de formation de sensibilisation à la sécurité.
• Acquisition du matériel et des logiciels nécessaires pour analyser et minimiser les incidents.
Traitement des incidents
Détection et analyse
• Le mode de gestion à adopter dépend du type d'incident.

• Les vecteurs d'attaque courants sont les supports, l'attrition, l'usurpation d'identité et la perte ou le
vol.
• Détection : Détection automatisée - Logiciel antivirus, IDS, détection manuelle - rapports
d'utilisateurs.
• Analyse : utilisez le profilage réseau et système pour déterminer la validité des incidents de
sécurité.
• Établissement de la portée : Fournir de l'information sur le confinement de l'incident et une
analyse plus approfondie des effets de l'incident.
• Notification d'incident : Aviser les
parties prenantes appropriées et les
parties externes, une fois que
l'incident est analysé et établi par
ordre de priorité,
Traitement des incidents
Confinement, éradication et rétablissement des
systèmes
•Après avoir déterminé la validité de l'incident par la détection et l'analyse, il doit être contenu.
• Une stratégie de confinement doit être créée et appliquée pour chaque type d'incident.
• Lorsqu'un incident se produit, il est nécessaire de réunir des preuves pour le résoudre.Il est requis pour
une enquête ultérieure par les autorités.
• Elle permet néanmoins de minimiser l'impact sur les ressources et les services critiques de l'entreprise.

• Éradication, restauration et
correction : pour éradiquer,
identifier tous les hôtes qui ont
besoin d'être corrigés ; pour
récupérer des hôtes, utiliser
des sauvegardes récentes et
propres ou les reconstruire
avec des supports
d'installation.
Stratègies de confinement
Traitement des incidents
Activités après incident
• Il est important d'effectuer une analyse post-incident et de se réunir régulièrement avec toutes les parties
impliquées pour discuter des événements qui ont eu lieu et des actions mises en oeuvre lors du
traitement de l'incident.
Renforcement de la protection après avoir tiré des leçons des incidents:
• Une fois qu'un incident majeur a été traité, l'entreprise doit organiser une réunion de mise au point
pour :
•Examiner l'efficacité du processus de gestion des incidents.
•Identifier les éléments et les pratiques pour lesquels la sécurité doit être
renforcée.
Traitement des incidents
Cycle de vie de la gestion des incidents NIST
• Le NIST définit les quatre étapes suivantes dans le cycle de vie de la gestion des incidents :
• Préparation : les membres de l'équipe CSIRT sont formés pour gérer un incident.
• Détection et analyse : par le biais d'une surveillance constante, l'équipe CSIRT identifie, analyse et
valide rapidement un incident.
• Confinement, éradication et rétablissement des systèmes : l'équipe CSIRT met en place des
procédures visant à confiner la menace, à éliminer l'impact sur les ressources de l'entreprise et à
utiliser les sauvegardes pour restaurer les données et les logiciels.
• Activités après l'incident : l'équipe CSIRT décrit ensuite la façon dont l'incident a été géré,
recommande des modifications pour une gestion future et indique comment éviter toute récurrence.