Share via

Gestion des incidents de sécurité Microsoft : confinement, éradication et récupération

  • Article

Sur la base de l’analyse effectuée par l’équipe de réponse de sécurité, l’équipe de service développe un plan d’endiguement et de récupération approprié pour minimiser l’effet de l’incident de sécurité. Les équipes de service appropriées appliquent ensuite ce plan en production avec le support de l’équipe de réponse de sécurité.

Confinement

Après avoir détecté un incident de sécurité, il est important de contenir l’intrusion avant que l’adversaire puisse accéder à davantage de ressources ou causer davantage de dommages. L’objectif principal de nos procédures de réponse aux incidents de sécurité est de limiter l’impact sur les clients ou leurs données, ou sur les systèmes, services et applications Microsoft.

Eradication

L’éradication est le processus d’élimination de la cause initiale de l’incident de sécurité avec un niveau de confiance élevé. L’objectif est double :

  • pour évincer complètement l’adversaire de l’environnement
  • pour atténuer la vulnérabilité (si elle est connue) qui a activé ou peut permettre à l’adversaire de réentriger l’environnement.

Selon la nature de l’incident, l’étendue de l’incident de sécurité, la profondeur de la pénétration et les répercussions possibles, l’équipe de réponse de sécurité recommande que les équipes de service adoptent des techniques d’éradication. Compte tenu de l’impact potentiel sur l’activité qui peut être provoqué par ces étapes d’éradication, ces décisions sont prises par les équipes de service et l’équipe de réponse de sécurité après une analyse détaillée et l’approbation du gestionnaire des incidents exécutifs (si nécessaire).

Récupération

À mesure que l’équipe de réponse gagne un niveau raisonnable de confiance que l’adversaire a été supprimé de l’environnement et que tous les chemins vulnérables connus ont été supprimés, les équipes de service individuelles lancent des étapes de restauration pour amener le service à une configuration connue et correcte. Ces étapes de restauration sont en consultation avec l’équipe de réponse de sécurité. Cette activité inclut l’identification du dernier état correct connu du service, la restauration à partir des sauvegardes à cet état, l’inspection des chemins d’attaque vulnérables dans l’état restauré, etc. L’équipe de réponse à la sécurité, en consultation avec les équipes de service, détermine le meilleur plan de récupération possible pour l’environnement.

L’un des aspects clés de la récupération consiste à renforcer la vigilance et les contrôles en place pour vérifier que le plan de récupération a été exécuté avec succès et qu’il n’existe aucun signe de violation dans l’environnement.

Notification du client d’incident de sécurité

Si Microsoft détermine qu’un incident de sécurité s’est produit, nous vous en informerons avec un délai excessif et dans les conditions contractuelles et de conformité que nous acceptons. Après avoir identifié tous les locataires affectés, l’équipe de communication correspondante travaille à identifier les réglementations pertinentes qui peuvent s’appliquer aux locataires concernés. L’équipe de communication utilise le canal de communication approprié défini dans la réglementation applicable pour notifier le contact de locataire approprié.

Processus de réponse aux incidents.

La notification inclut des informations détaillées sur l’incident, telles qu’une description de l’incident, l’effet sur les données client, le cas échéant, les actions prises par Microsoft et/ou les actions suggérées aux clients pour résoudre le problème et empêcher la récurrence. La notification est remise aux administrateurs désignés du locataire Microsoft services en ligne. Pour vous assurer que les notifications sont reçues, vous devez vous assurer que vos administrateurs fournissent et conservent des informations de contact précises dans leurs profils de locataire. En outre, selon la nature de l’incident, les clients Microsoft 365 peuvent également être avertis via le tableau de bord d’intégrité du service Microsoft 365.