Qu’est-ce que la réponse aux incidents ?
La réponse aux incidents vise à identifier rapidement une attaque, à minimiser ses effets, à limiter les dommages et à corriger la cause pour réduire le risque d’incidents futurs.
Définissons la réponse aux incidents
Presque toutes les entreprises ont mis en place, à un certain niveau, un processus de réponse aux incidents. Cependant, celles qui cherchent à mettre en place un processus plus formel doivent se poser les questions pertinentes suivantes :
- Quelle est la procédure à suivre pour impliquer les parties responsables dans la réponse à un incident le cas échéant ?
- Dans quelle mesure votre plan de réponse doit-il être complet et spécifique ?
- Disposez-vous de suffisamment de personnel (et le bon) pour répondre de manière appropriée ?
- Quels sont vos SLA acceptables pour répondre à un incident et rétablir le fonctionnement normal ?
Les réponses à ces questions ne seront probablement pas optimales, la plupart des entreprises éprouvant des difficultés dans au moins un de ces domaines selon une étude du Ponemon Institute :
77 % des entreprises n’ont mis en place aucun plan formel et cohérent
57 % indiquent que le délai de réponse a augmenté
77 % déclarent avoir du mal à recruter et à fidéliser le personnel de sécurité*
En moyenne, il faut 214 jours pour identifier une attaque malveillante ou criminelle, et 77 jours pour la contenir et rétablir un fonctionnement normal. Il ne fait aucun doute qu’une meilleure gestion de la réponse aux incidents est nécessaire pour protéger entièrement les entreprises face au nombre croissant de menaces auxquelles elles sont confrontées chaque jour.
*Étude IBM : Responding to Cybersecurity Incidents Still a Major Challenge for Businesses

Présentation des solutions de sécurité VMware

L’administration Biden demande aux agences fédérales de corriger les vulnérabilités connues
Éléments de base de la réponse aux incidents
1. La bonne équipe. Pour fournir une réponse aux incidents optimale, les experts du secteur suggèrent d’inclure les rôles suivants dans votre équipe, quelle que soit la taille de votre entreprise. L’équipe technique sera évidemment responsable, mais d’autres domaines fonctionnels de votre entreprise doivent être impliqués, surtout en cas d’attaque grave. Une fois les personnes dans ces rôles identifiées, informez-les de leurs responsabilités en cas d’attaque grave et importante, aux ramifications étendues : réponse aux incidents, analyse de la sécurité, informatique, recherche sur les menaces, juridique, ressources humaines, communications d’entreprise, gestion des risques, direction et experts externes de l’analyse de sécurité.
2. Le bon plan. Un plan complet de réponse aux incidents comprend au minimum les tactiques et processus suivants :
- Préparer l’équipe à faire face à tout type de menace
- Détecter et identifier le type et la gravité d’un incident une fois qu’il s’est produit
- Contenir et limiter les dommages
- Déterminer son impact et les risques associés
- Identifier et éliminer la cause profonde
- Atténuer et supprimer l’attaque
- Analyser et modifier le plan après attaque afin d’éviter de futures attaques
La communication est essentielle en cas d’attaque. Aussi, veillez à établir un flux de communication approprié dans le cadre de votre plan de réponse.
3. Les bons outils. Face à l’augmentation du nombre d’attaques inconnues, les bons outils peuvent permettre à votre entreprise d’économiser beaucoup de temps et d’argent, tout en protégeant vos clients et la fidélité à votre marque.
Les informations sont une ressource essentielle pour tout plan de réponse aux incidents. C’est pourquoi une solution Cloud de sécurité des terminaux vous offre généralement les outils les plus complets pour limiter les attaques le plus rapidement possible, notamment l’accès aux données clés via les méthodes suivantes :
- La capture de données non filtrées fournit aux équipes d’intervention des informations sur le comportement des terminaux, et pas seulement sur les schémas et les comportements d’attaque identifiés précédemment. C’est la clé pour raccourcir la recherche sur une attaque de plusieurs jours à quelques minutes, notamment au vu du nombre croissant de méthodes d’attaque inconnues utilisées aujourd’hui.
- L’analyse des données offre une visibilité sur l’ensemble de l’activité des terminaux, actuelle et historique. Avec les bonnes données, vous pouvez voir où l’attaque a commencé et identifier le chemin qu’elle a emprunté, pour une résolution plus rapide.
- Les informations externes sur les menaces permettent d’identifier rapidement les menaces encore jamais vues par vous, mais détectées par d’autres entreprises. Encore une fois, si vous savez à quoi vous avez affaire, vous pouvez réagir plus rapidement.
- Les fonctionnalités de réponse en direct vous aident à corriger les problèmes des terminaux distants et à supprimer toute reconfiguration inutile.
Troisième étude annuelle sur les entreprises cyberrésilientes
Industry Pulse : En cas de réponse aux incidents inappropriée, l’externalisation est-elle la solution ?
Pratiquement toutes les études sur les défis sécuritaires auxquels les entreprises sont confrontées révèlent des difficultés à embaucher et fidéliser un personnel de sécurité qualifié, comme l’ont indiqué 77 % des personnes interrogées dans l’étude Ponemon ci-dessus. Près de deux millions de postes essentiels à la sécurité ne sont pas pourvus à l’échelle mondiale.
Le manque de personnel de sécurité approprié peut gravement affecter la réponse aux incidents, à tel point que les entreprises cherchent à externaliser ces fonctions de sécurité. Dans les faits, Gartner estime que les dépenses d’externalisation de la sécurité atteindront plus de 18 milliards de dollars en 2018, le deuxième poste de dépenses de sécurité après le conseil.
Étant donné la difficulté d’embaucher les personnes appropriées, cela semble logique, un service géré pouvant rapidement compléter votre équipe de sécurité insuffisante. Il peut vous aider à hiérarchiser les alertes, à identifier les nouvelles menaces et à accélérer les analyses. Ces services sont généralement composés d’experts des menaces hautement qualifiés, capables de surveiller en permanence l’environnement de votre entreprise, d’identifier les menaces émergentes et de fournir un accès aux services de sécurité critiques lorsque votre équipe en a le plus besoin.
La réponse : Les bonnes personnes, le bon plan et les bons outils, mais aussi le bon fournisseur
Même avec les bonnes personnes, le bon plan et les bons outils en interne, il y a toujours une possibilité de dérapage, alors pourquoi prendre ce risque ? Collaborer avec le bon fournisseur peut s’avérer utile pour profiter d’une plate-forme Cloud de sécurité des terminaux, ainsi que de fonctionnalités avancées de recherche de menaces.
Comme déjà mentionné, des experts en recherche de menaces gérée peuvent surveiller votre environnement et informer votre équipe des menaces émergentes. Ils peuvent :
- Analyser, valider et hiérarchiser les alertes pour vous aider à prendre les bonnes mesures.
- Identifier les signes avant-coureurs et les tendances, et faire des recommandations de manière proactive pour garantir une réponse fiable.
- Identifier les causes profondes des problèmes, avec des plans d’évolution qui fournissent un contexte supplémentaire pour rationaliser les investigations et l’analyse des causes profondes.
Une équipe experte de la recherche de menaces peut également vous accompagner et classer les menaces sur l’ensemble de votre déploiement de terminaux pour permettre à votre équipe de se concentrer sur les alertes les plus critiques. De plus, vous aurez accès à des informations mondiales sur les menaces qui vous aideront à anticiper les futures attaques.
Solutions et produits connexes
VMware Carbon Black EDR
Détection et réponse des terminaux on-premise (EDR).
VMware Carbon Black Endpoint
Protection des terminaux Cloud
VMware Workspace ONE
Plate-forme de l’espace de travail numérique adoptant un modèle « zéro confiance ».