Qu’est-ce que la réponse aux incidents ?

La réponse aux incidents vise à identifier rapidement une attaque, à minimiser ses effets, à limiter les dommages et à corriger la cause pour réduire le risque d’incidents futurs.

Définissons la réponse aux incidents

Presque toutes les entreprises ont mis en place, à un certain niveau, un processus de réponse aux incidents. Cependant, celles qui cherchent à mettre en place un processus plus formel doivent se poser les questions pertinentes suivantes :

Quelle est la procédure à suivre pour impliquer les parties responsables dans la réponse à un incident le cas échéant ?
Dans quelle mesure votre plan de réponse doit-il être complet et spécifique ?
Disposez-vous de suffisamment de personnel (et le bon) pour répondre de manière appropriée ?
Quels sont vos SLA acceptables pour répondre à un incident et rétablir le fonctionnement normal ?

Les réponses à ces questions ne seront probablement pas optimales, la plupart des entreprises éprouvant des difficultés dans au moins un de ces domaines selon une étude du Ponemon Institute :

77 % des entreprises n’ont mis en place aucun plan formel et cohérent

57 % indiquent que le délai de réponse a augmenté

77 % déclarent avoir du mal à recruter et à fidéliser le personnel de sécurité*

En moyenne, il faut 214 jours pour identifier une attaque malveillante ou criminelle, et 77 jours pour la contenir et rétablir un fonctionnement normal. Il ne fait aucun doute qu’une meilleure gestion de la réponse aux incidents est nécessaire pour protéger entièrement les entreprises face au nombre croissant de menaces auxquelles elles sont confrontées chaque jour.

*Étude IBM : Responding to Cybersecurity Incidents Still a Major Challenge for Businesses

Présentation des solutions de sécurité VMware

VISIONNER MAINTENANT

L’administration Biden demande aux agences fédérales de corriger les vulnérabilités connues

Éléments de base de la réponse aux incidents

1. La bonne équipe. Pour fournir une réponse aux incidents optimale, les experts du secteur suggèrent d’inclure les rôles suivants dans votre équipe, quelle que soit la taille de votre entreprise. L’équipe technique sera évidemment responsable, mais d’autres domaines fonctionnels de votre entreprise doivent être impliqués, surtout en cas d’attaque grave. Une fois les personnes dans ces rôles identifiées, informez-les de leurs responsabilités en cas d’attaque grave et importante, aux ramifications étendues : réponse aux incidents, analyse de la sécurité, informatique, recherche sur les menaces, juridique, ressources humaines, communications d’entreprise, gestion des risques, direction et experts externes de l’analyse de sécurité.

2. Le bon plan. Un plan complet de réponse aux incidents comprend au minimum les tactiques et processus suivants :

Préparer l’équipe à faire face à tout type de menace
Détecter et identifier le type et la gravité d’un incident une fois qu’il s’est produit
Contenir et limiter les dommages
Déterminer son impact et les risques associés
Identifier et éliminer la cause profonde
Atténuer et supprimer l’attaque
Analyser et modifier le plan après attaque afin d’éviter de futures attaques

La communication est essentielle en cas d’attaque. Aussi, veillez à établir un flux de communication approprié dans le cadre de votre plan de réponse.

3. Les bons outils. Face à l’augmentation du nombre d’attaques inconnues, les bons outils peuvent permettre à votre entreprise d’économiser beaucoup de temps et d’argent, tout en protégeant vos clients et la fidélité à votre marque.

Les informations sont une ressource essentielle pour tout plan de réponse aux incidents. C’est pourquoi une solution Cloud de sécurité des terminaux vous offre généralement les outils les plus complets pour limiter les attaques le plus rapidement possible, notamment l’accès aux données clés via les méthodes suivantes :

La capture de données non filtrées fournit aux équipes d’intervention des informations sur le comportement des terminaux, et pas seulement sur les schémas et les comportements d’attaque identifiés précédemment. C’est la clé pour raccourcir la recherche sur une attaque de plusieurs jours à quelques minutes, notamment au vu du nombre croissant de méthodes d’attaque inconnues utilisées aujourd’hui.
L’analyse des données offre une visibilité sur l’ensemble de l’activité des terminaux, actuelle et historique. Avec les bonnes données, vous pouvez voir où l’attaque a commencé et identifier le chemin qu’elle a emprunté, pour une résolution plus rapide.
Les informations externes sur les menaces permettent d’identifier rapidement les menaces encore jamais vues par vous, mais détectées par d’autres entreprises. Encore une fois, si vous savez à quoi vous avez affaire, vous pouvez réagir plus rapidement.
Les fonctionnalités de réponse en direct vous aident à corriger les problèmes des terminaux distants et à supprimer toute reconfiguration inutile.

Troisième étude annuelle sur les entreprises cyberrésilientes

Industry Pulse : En cas de réponse aux incidents inappropriée, l’externalisation est-elle la solution ?

Pratiquement toutes les études sur les défis sécuritaires auxquels les entreprises sont confrontées révèlent des difficultés à embaucher et fidéliser un personnel de sécurité qualifié, comme l’ont indiqué 77 % des personnes interrogées dans l’étude Ponemon ci-dessus. Près de deux millions de postes essentiels à la sécurité ne sont pas pourvus à l’échelle mondiale.

Le manque de personnel de sécurité approprié peut gravement affecter la réponse aux incidents, à tel point que les entreprises cherchent à externaliser ces fonctions de sécurité. Dans les faits, Gartner estime que les dépenses d’externalisation de la sécurité atteindront plus de 18 milliards de dollars en 2018, le deuxième poste de dépenses de sécurité après le conseil.

Étant donné la difficulté d’embaucher les personnes appropriées, cela semble logique, un service géré pouvant rapidement compléter votre équipe de sécurité insuffisante. Il peut vous aider à hiérarchiser les alertes, à identifier les nouvelles menaces et à accélérer les analyses. Ces services sont généralement composés d’experts des menaces hautement qualifiés, capables de surveiller en permanence l’environnement de votre entreprise, d’identifier les menaces émergentes et de fournir un accès aux services de sécurité critiques lorsque votre équipe en a le plus besoin.

*Gartner Forecasts Worldwide Security Spending Will Reach $96 Billion in 2018, Up 8 Percent from 2017

La réponse : Les bonnes personnes, le bon plan et les bons outils, mais aussi le bon fournisseur

Même avec les bonnes personnes, le bon plan et les bons outils en interne, il y a toujours une possibilité de dérapage, alors pourquoi prendre ce risque ? Collaborer avec le bon fournisseur peut s’avérer utile pour profiter d’une plate-forme Cloud de sécurité des terminaux, ainsi que de fonctionnalités avancées de recherche de menaces.

Comme déjà mentionné, des experts en recherche de menaces gérée peuvent surveiller votre environnement et informer votre équipe des menaces émergentes. Ils peuvent :

Analyser, valider et hiérarchiser les alertes pour vous aider à prendre les bonnes mesures.
Identifier les signes avant-coureurs et les tendances, et faire des recommandations de manière proactive pour garantir une réponse fiable.
Identifier les causes profondes des problèmes, avec des plans d’évolution qui fournissent un contexte supplémentaire pour rationaliser les investigations et l’analyse des causes profondes.

Une équipe experte de la recherche de menaces peut également vous accompagner et classer les menaces sur l’ensemble de votre déploiement de terminaux pour permettre à votre équipe de se concentrer sur les alertes les plus critiques. De plus, vous aurez accès à des informations mondiales sur les menaces qui vous aideront à anticiper les futures attaques.

Recommandé pour vous

Informations sur les menaces

Pare-feu nouvelle génération

Le multicloud aujourd'hui : Le Cloud à l'heure du chaos

87 % des entreprises utilisent au moins deux environnements Cloud pour exécuter leurs applications. Le multicloud accélère la transformation digitale mais augmente aussi la complexité et les risques. Résultat : une situation chaotique pour de nombreuses organisations.

Supprimer la situation chaotique du Cloud grâce aux services VMware Cross-Cloud Services

Anywhere Workspace

Plate-forme applicative

Infrastructure Cloud et Edge

Gestion du Cloud

Hyperviseur de poste de travail

Sécurité et réseau

Exécutez les solutions VMware dans tous les Clouds. Dans n’importe quel environnement. N’importe où.

Sur les Clouds publics et hybrides

Sur Clouds privés et locaux

Solutions

Par secteur d’activité

Solutions IA de VMware

Pour les clients

Pour les partenaires

Collaborer avec des partenaires pour assurer la réussite des clients

Outils et formation

Services

Support

Marketplace

Blogs et communautés

Clients

Événements

Présentation des solutions de sécurité VMware

L’administration Biden demande aux agences fédérales de corriger les vulnérabilités connues

Solutions et produits connexes