Maintenant que vous avez les outils et l’infrastructure, à vous de jouer !
Si la tâche peut sembler imposante, rappelez-vous que vous n’êtes pas seul, et organisez votre gestion des incidents de concert avec les différents acteurs.
Définissez un plan de bataille
Pour gérer une alerte, vous devez procéder en plusieurs étapes :
qualifier la gravité de l’alerte ;
investiguer pour comprendre la cause ;
confiner l’incident et stabiliser la situation ;
résoudre la cause de l'incident ;
clore l’incident.
Organisez votre gestion des incidents de sécurité
Organisation en centre de services
Historiquement, les SOC sont organisés un peu de la même façon que le support informatique. Avec des tickets, mais aussi en différents niveaux :
le niveau 1 surveille les logs pour détecter des incidents. C’est ce niveau qui est chargé de remonter l’alerte au niveau suivant en cas de comportement anormal ;
le niveau 2 prend en charge les alertes remontées par le niveau 1. Il est chargé de traiter l’incident et de réparer les dommages causés ;
le niveau 3 essaie de prendre encore plus de recul : il est chargé d’observer les tendances, d’identifier les menaces et d’améliorer en continu les processus et les capacités de détection.
Modèle moderne
Les SOC les plus modernes peuvent prendre de la distance avec ce modèle en 3 niveaux.
En effet, dans la pratique, une partie importante de la détection est faite de manière automatique aujourd’hui. Les outils de détection et de réponse présentés dans les chapitres précédents vous permettent d’automatiser une partie importante de la mission du SOC de niveau 1.
En outre, cette organisation est assez réductrice. Vous risquez de vous épuiser à faire exclusivement de la détection, alors que participer à la réponse aux incidents vous permet d’avoir du recul sur les choses à détecter.
Les SOC modernes essaient plutôt de tirer parti de ce recul et de la créativité des analystes pour améliorer la pertinence de la détection.
Maîtrisez le contexte de votre organisation
Pour détecter les incidents et les traiter efficacement, il y a aussi de nombreuses interactions avec le reste de l’organisation !
L’équipe de sécurité
En dehors du SOC, il peut y avoir d’autres personnes qui travaillent à la sécurité dans votre organisation : une équipe d’audit, une équipe de conformité, etc.
Tout ce petit monde est chapeauté par le ou la RSSI (responsable de la sécurité des systèmes d’information), ou en anglais CISO (Chief Information SecurityOfficer), et son équipe.
Leur rôle est d’identifier les différentes choses à mettre en place pour augmenter le niveau global de sécurité, et de piloter chaque projet de sécurité. Il peut s’agir d’accompagner la création du SOC, de faire de la sensibilisation, de commander et suivre des audits, de mettre en place des qualifications, etc.
C’est notamment eux qui font l’analyse de risques et définissent les priorités. Ils ont souvent une vision plus globale que les différentes équipes spécialisées.
La direction des systèmes d’information
Le RSSI travaille avec un DSI (directeur des systèmes d’information) et son équipe. On désigne souvent sous le terme DSI (direction des systèmes d’information) le département qui regroupe toutes les équipes qui gèrent l’informatique.
C’est la DSI qui pilote tous les chantiers qui touchent à l’informatique, et qui doit faire des arbitrages entre les différentes équipes.
Les équipes métiers
De manière plus générale, il est essentiel pour vous d’avoir une bonne connaissance du reste de l’organisation !
Dans la partie précédente, nous avons défini que vous devez détecter des comportements inhabituels. Mais comment savoir ce qui est habituel et ce qui ne l’est pas ?
Une seule solution pour ça : connaître parfaitement le contexte de l’organisation !
Ceux qui connaissent le mieux les différents systèmes, ce sont aussi les équipes qui travaillent avec ! On parle d’équipes métiers. Lorsque vous devrez enquêter pour comprendre si ce que vous observez est normal ou non, ces équipes pourront vous renseigner. Et dès que vous devrez réagir aux incidents, vous serez obligé de travailler avec elles pour impacter le moins possible leur travail.
Prenez le temps d’anticiper ces moments, et assurez-vous d’avoir une bonne compréhension de l’organisation. Voici quelques conseils :
récupérez auprès de la DSI un inventaire (comment protéger l’organisation si vous ne savez pas ce qu’il y a dedans ?) ;
préparez les organigrammes ;
identifiez le contact de référents pour les différents systèmes ;
collectez et archivez les documents techniques d’architecture, etc.
Facilitez le suivi avec un SIRP
Pour faciliter votre échange avec les équipes métiers, mettez en place des outils et des procédures.
Définissez un outil de SIRP (Security Incident Response Platform). Il peut s’agir d’un outil de gestion de tickets, d’un tableau type kanban, ou de n’importe quel outil de communication. Il vous sert d’interface avec les autres équipes de l’organisation pour communiquer sur :
les actions à effectuer pour résoudre les incidents ;
vos demandes pour mettre en place la détection ;
le suivi des mesures prises en urgence ;
la communication avec les équipes métiers : qui a été contacté, est-ce qu’il faut les relancer, etc.
Nous verrons comment documenter toutes les actions de gestion de l'incident avec le SIRP dans la partie suivante.
Plongez dans l'univers du SOC dans cette vidéo où Raphaël et Guillaume vont vous parler de l'organisation de leurs équipes respectives.
Interagissez avec les équipes qui contribuent à la gestion d’incidents
La gestion des incidents peut nécessiter le soutien de renforts ! Dans ce cas, le SOC peut faire appel à des équipes de sécurité spécialisées : Un CSIRT (Computer Security Incident Response Team) est une équipe spécialisée en réponse aux incidents, encore appelé CERT (Cyber Emergency Response Team)
Ces équipes sont dédiées à la gestion de l'incident et à la remédiation plutôt qu'à la détection. En pratique, ces différentes fonctions peuvent aussi être présentes au sein du SOC.
En résumé
La gestion d’un incident suit cinq étapes clés : qualification, investigation, confinement, résolution, clôture.
Maîtriser le contexte de l’entreprise et avoir accès aux informations précises est primordial pour diagnostiquer et réagir efficacement : organigramme et contacts, inventaires des actifs, documents d’architecture technique…
De nombreuses équipes sont mises à contribution pour gérer une alerte ou un incident : prenez le temps de les connaître et d’entretenir de bonnes relations avec elles.
Les plateformes ITSM facilitent le suivi des incidents et l’organisation du travail à plusieurs : gestion par tickets, priorisation, enrichissement, collaboration.
Dans la partie suivante, nous allons voir comment gérer un incident en suivant les différentes étapes du traitement présentées ci-dessus ! Mais avant cela, un petit quiz pour vous tester sur cette première partie de cours !