-Un incident de sécurité est une de l’étape précédente vont permettre Evaluation : est un processus de

occurrence ou un évènement qui de créer un moyen pour infiltrer le confirmation d'incident et de sélection
compromet le bon fonctionnement, la système d’information de la victime. de plan. Répondre : est important
sécurité d’un système d'information Livraison : Dans cette étape, le pirate d'être bien préparé, ce qui signifie
ou bien la modification ou la va livrer (l’arme) qui sera utilisée pour qu'un plan et les compétences
destruction non autorisés atteindre la cible, Les autres moyens nécessaires sont en
d'informations. de livraison peuvent être l’utilisation [Link] : Cette phase
d’une clé USB, compromettre un site couvre le processus d'apprentissage
Exemples d'incidents de sécurité : ✓ web ou l’interaction des réseaux qui suit un incident qui s'est produit.
Modifications non autorisées des sociaux. Exploitation : L’objectif ici est L'objectif est de modifier la réponse à
systèmes, des logiciels ou des données d’exploiter une vulnérabilité afin l'incident en fonction de la différence
✓ Accès non autorisé ou utilisation de d’accéder au système d’information de entre le résultat attendu et obtenu .
systèmes, de logiciels ou de données la victime. Installation : Un Cheval de
✓ Attaque par déni de service ✓ Troie de porte dérobée ou d'accès à NIST vise à aider les organisations, à
Comptes d'utilisateurs compromis distance est installé par le logiciel améliorer leur posture de sécurité et
malveillant qui permet à l'intrus leurs capacités de réponse aux
Les impacts des failles de sécurité d'accéder. Commande & Contrôle : Le incidents grâce à une planification, une
tiennent compte des effets immédiats logiciel malveillant installé formation à la cybersécurité et une
et durables sur les individus et les précédemment ouvre un canal de allocation de ressources appropriées.
organisations. Perte de données: Elles
communication vers le pirate
peuvent être détruites ou modifiées Les etapes de NisT : La préparation
au-delà de la récupération. Dommage informatique. Ce logiciel est à l’entrée,
prêt à exécuter les commandes du vise à minimiser le risque d'incident,
à l'image publique : Les bonnes
réputations sont difficiles à cultiver pirate. Attaque : Un Cheval de Troie de mais tous les incidents ne peuvent pas
mais faciles à détruire. Réduction de la porte dérobée ou d'accès à distance être évités.
productivité Une action en justice : est installé par le logiciel malveillant
qui permet à l'intrus d'accéde. Détection commence dès qu'un
La qualification des incidents est la événementsuspect ou inhabituel est
démarche d’identification et ISO/IEC 27035:2011 fournit une détecté et signalé. Une analyse des
d’archivage des types et de la gravité approche structurée et planifiée pour : incidents est ensuite effectuée pour
d'un incident. les incidents peuvent 1. Détecter, signaler et évaluer les déterminer la validité du rapport
être classés à trois niveaux : ✓ Risque incidents de sécurité de l'information.
majeur : fuite de données sur les 2. Répondre aux incidents de sécurité Réponse aux incidents L'objectif
cartes de paiement, d'informations de l'information et les gérer. 3. principal est de limiter tout impact
personnellement identifiables (PII), Détecter, évaluer et gérer les négatif sur les opérations, de suivre
d'informations de santé protégées vulnérabilités de la sécurité de l'éradication de la menace et du retour
(PHI), d'informations classifiées ou l'information. 4. Améliorer en des services et systèmes TIC à leur état
d'autres données susceptibles permanence la sécurité de [Link] actions  1 - Confinement
d’aboutir à des dégâts critiques en cas l'information et la gestion des initial de l'incident. 2 - éradiquer
de divulgation ou de corruption. ✓ incidents grâce à la gestion des l'incident. 3 - Récupérer de l’incident
Risque modéré: exposition des incidents et des vulnérabilités de la
données ou d'informations de nature Activité post-incident Cette phase a
sécurité de l'information.
confidentielles et dont la manipulation lieu une fois que l'incident de sécurité
ou la divulgation peut entrainer une ISO/IEC 27035:2011 fournit des lignes de l'information a été résolu ou
perte importante✓ Risque mineur: les directrices sur la gestion des incidents clôturé. Compiler un résumé des
seules données exposées ou de sécurité de l'information pour les actions et des résultats.
éventuellement exposées sont grandes et moyennes entreprises.
accessibles au public ou sans valeur.
Les phases de iso 27035 :2011 :
planification : La phase de
planification est celle où l'organisation
KILL CHAIN est essentiellement un se prépare à détecter, gérer et
modèle de cyber sécurite qui retrace récupérer des attaques et autres
les étapes d'une cyberattaque, incidents. Le plan de gestion des
identifie les vulnérabilités et aide les incidents doit concentrer sur : ✓ Qui
équipes de sécurité à stopper les est responsable des différentes
attaques à chaque étape de la chaîne. activités. ✓ Quand et comment
effectuer les différentes activités.
Les phases : Reconnaissance :
L'attaquant collecte des données sur la Détection : est l'identification de
cible et les tactiques de l'attaque. Cela l'incident et le niveau de réponse
inclut la collecte d'adresses e-mail et la approprié.
collecte d'autres informations.
Armement:Les informations obtenues
une menace persistante avancée Définition d’un plan de réponse aux Éradication : vise à trouver et éliminer
(APT) une cyberattaque dans laquelle incidents : la cause profonde de l’incident par la
les pirates travaillent ensemble en est un plan documenté et redigé en 6 suppression des logiciels malveillants
utilisant des méthodes et outils phases distinctes qui aide les introduits par les attaques puis la
sophistiquées et avancées pour professionnels et le personnel restauration de tous les systèmes
infiltrer des systèmes et y rester informatique à reconnaître et à gérer affectés.
souvent inaperçus pendant une longue un incident de cyber sécurité comme Récupération : L'objectif de la
pé[Link]éristiques (APT) : ✓ une violation de données ou une récupération est de restaurer et de
Plus dangereux que les menaces cyberattaque. remettre tous les systèmes et
traditionnelles car les pirates ont un Les objectifs du plan sont : ✓ Fournir appareils en état de fonctionnement
accès permanent aux données une stratégie de réponse cohérente complet, après avoir vérifié qu'ils sont
sensibles de l'entreprise✓ Cibles aux menaces de sécurité de propres et que la menace a été
précises✓ Objectifs clairs✓ l'information qui mettent en danger complètement supprimée.
Techniques d'attaque furtives✓ les données et les systèmes Leçons apprises : Au plus tard deux
Attaque complexe✓ Attaquants bien universitaires. ✓ Protéger la semaines après la fin de l'incident et
organisés✓ Tentatives répétées confidentialité, l'intégrité et la afin de renforcer la sécurité du
disponibilité des systèmes, réseaux et système.
Threat Hunting peut être défini données universitaires. ✓ Protéger le Qu’est ce qu’une réponse
comme stratégie proactive conçue bien-être de la communauté automatisée aux incidents ? • La
pour trouver des menaces inconnues universitaire et minimiser les atteintes gestion automatisée des incidents est
ou des adversaires cachés à l'intérieur à la réputation. le processus d'automatisation de la
d’un réseau avant qu'ils ne puissent Les principaux avantages de la réponse aux incidents pour garantir
exécuter une attaque ou atteindre planification de la réponse aux que les incidents critiques sont
leurs objectifs. L'objectif du Threat incidents : - détectés et traités de la manière la
Hunting est de surveiller les activités Fournit un processus standard pour la plus efficace et la plus cohérente.
quotidiennes d’un système et le trafic réponse aux incidents/Aide à répondre Quelle est l’importance de la réponse
sur le réseau et de chercher les rapidement et efficacement/Prépare automatisée aux incidents ? •
éventuelles anomalies pour détecter les équipes pour les scénarios L'avantage fondamental de
toute activité malveillante qui a réussi clés/Protège les informations l'automatisation de la réponse aux
à contourner les défenses d'une sensibles. incidents est la rapidité.
organisation et qui pourrait conduire à L'automatisation accélère les réponses
une brèche partielle ou complète. Comment créer un plan de réponse et les tâches de routine réduisant
aux incidents ? • Un plan de considérablement le temps de réponse
Threat Hunting peut suivre une des réponse aux incidents doit être mis en face à une cyber menace. Cela peut
trois méthodologies ou techniques place pour traiter une violation de faire toute la différence lorsqu'il s'agit
suivantes: 1 - Chasse par hypothèses : données suspectée en une série de de réduire l'impact d'une attaque sur
✓ Axé sur l'analyse ✓ Axé sur phases. • Plusieurs étapes sont un système.
l'intelligence✓ Conscience de la nécessaires pour atténuer
complètement l'incident, tout en Les étapes de l’automatisation de la
situation. 2 - Chasse structurée -3 -
empêchant la destruction des preuves réponse aux incidents :
Chasse non structurée.
qui pourraient être nécessaires aux 1. Créer le plan de réponse convenable
MITRE ATT&CK Framework : fournit poursuites. au réseau à sécuriser. 2. Identifier et
une mine d'informations techniques 6 étapes de réponse aux incidents : classer les incidents. 3. Automatiser les
pour les chasseurs en guidant le Préparation : Les plans de réponse aux actions de réponses aux incidents.
processus de chasse avec des incidents mettent l'accent sur la phase 4. Évaluer et affiner continuellement le
techniques de détection. de préparation car c’est le point de processus d’automatisation.
départ pour déterminer les outils et les 5. Développer des modelés de
Identification des étapes : Un ressources nécessaire pour bien réagir réponses automatisées matures.
processus proactif de chasse aux contre les incidents.
menaces inclut généralement trois Identification : s’effectue grâce à la Liste des d'outils de réponse aux
étapes : une étape initiale de surveillance des réseaux et systèmes incidents gratuits :
déclenchement, suivie d'une enquête informatiques et la détection du 1. AlienVault : est un système open
approfondie et se terminant par une moindre écart par rapport aux activités source de gestion des informations et
résolution. normales. Puis, déterminer s'ils des événements de sécurité (SIEM) qui
Place du Threat Hunting dans la représentent des incidents de sécurité se connecte aux outils de sécurité et
stratégie de sécurité : Le Threat réels ou non. aux systèmes informatiques d'une
Hunting est considéré comme un Endiguement : organisation.
complément essentiel pour renforcer 2. GRR Rapid Response : Développé
la sécurité d’un système. Il peut être par des chercheurs en sécurité de
implémenté en parallèle avec la Google, est un framework de réponse
stratégie de défense ordinaire d’une aux incidents axé sur la criminalistique
entreprise. en direct à distance.