Planification de la réponse aux incidents

Utilisez ce tableau comme liste de vérification pour préparer votre Centre des opérations de sécurité (SOC) à répondre aux incidents de cybersécurité.

Terminé Activité Description Avantage
Principaux exercices de table Réalisez périodiquement les principaux exercices de table relatifs aux cyber-incidents les plus prévisibles et impactant l’activité, ce qui oblige la direction de votre organisation à faire face à des prises de décisions difficiles en fonction des risques. Établit et illustre fermement la cybersécurité comme un problème professionnel. Développe la mémoire musculaire et présente des décisions difficiles et relatives aux problèmes de droits au sein de l’organisation.
Déterminez les décisions de pré-attaque et les décideurs En complément des exercices de table, déterminez les décisions basées sur les risques, les critères de prise de décisions et qui doivent prendre et exécuter ces décisions. Par exemple :

Qui demande / quand demander / doit-on demander de l’aide aux forces de l’ordre ?

Qui inscrit / quand inscrire / doit-on inscrire des répondeurs d’incidents ?

Qui paye / quand payer / doit-on payer le ransomware ?

Qui informe / quand informer / doit-on informer les auditeurs externes ?

Qui informe / quand informer / doit-on informer les autorités de régulation de la confidentialité ?

Qui informe / quand informer / doit-on informer les régulateurs de titres ?

Qui informe / quand informer / doit-on informer le Conseil d’administration ou le Comité d’audit ?

Qui est habilité à arrêter les charges de travail stratégiques ?
Définit les paramètres de réponse et les contacts initiaux à impliquer qui rationalisent la réponse à un incident.
Maintien des privilèges En règle générale, les conseils peuvent être privilégiés, mais les faits sont détectables. Formez les principaux responsables d’incidents à promulguer des conseils, des faits et des opinions en privilège, afin que les privilèges soient préservés et les risques réduits. Le maintien des privilèges peut être un processus confus lors de l’examen de la multitude de canaux de communication, notamment la messagerie électronique, les plateformes de collaboration, les conversations, les documents et les artefacts. Par exemple, vous pouvez utiliser Salles Microsoft Teams. Une approche cohérente entre le personnel des incidents et la prise en charge des organisations externes peuvent contribuer à réduire les risques juridiques potentiels.
Considérations relatives aux transactions internes Envisagez des notifications à l’administration qui doivent être prises pour réduire le risque de violations de titres. Les conseils et auditeurs externes ont tendance à apprécier que vous disposiez d’atténuations qui réduiront le risque de transactions de titres douteux pendant les périodes de turbulence.
Manuel des rôles et responsabilités en matière d’incidents Établissez des rôles et des responsabilités de base qui autorisent différents processus pour rester concentrer et suivre le progrès.

Lorsque votre équipe de réponse est distante, elle peut nécessiter des considérations supplémentaires pour les fuseaux horaires et le transfert approprié aux enquêteurs.

Vous devrez peut-être communiquer avec d’autres équipes susceptibles d’être impliquées, telles que les équipes de fournisseurs.
Responsable technique des incidents : toujours dans l’incident, en synthétisant les entrées et les découvertes et en planifiant les actions suivantes.

Liaison de communication : supprime la charge de communication entre la direction et le responsable technique des incidents, afin qu’ils puissent rester impliqués dans l’incident en restant concentrés.

Cela doit comprendre la gestion des messages et des interactions de la direction, ainsi que d’autres tiers comme les régulateurs.

Enregistreur d’incident : supprime la charge d’enregistrement des résultats, des décisions et des actions d’un répondeur d’incident et fournit un rapport précis de l’incident du début à la fin.

Planificateur de transfert : collaborer avec des propriétaires de processus métier stratégiques permet de formuler des activités et des préparations de continuité d’activité prévoyant une défaillance du système d’information d’une durée de 24, 48, 72, 96 heures ou plus.

Relations publiques : dans le cas d’un incident susceptible d’attirer l’attention du public, et conjointement avec le Planificateur de transfert, permet d’établir des approches de communication publique qui répondent aux résultats probables.
Playbooks de réponses aux incidents de confidentialité Pour respecter les réglementations de confidentialité de plus en plus strictes, développez un playbook commun entre les SecOP et le Bureau de confidentialité permettant une évaluation rapide des problèmes de confidentialité potentiels qui ont une probabilité raisonnable de découler des incidents de sécurité. L’évaluation des incidents de sécurité pour leur potentiel d’impact sur la confidentialité est difficile en raison du fait que la plupart des incidents de sécurité surviennent dans un SOC hautement technique qui doit rapidement être exposé à un bureau de confidentialité où les risques réglementaires sont déterminés, souvent avec une attente de notification de 72 heures.
Test d’intrusion Procéder à des attaques simulées dans le temps contre des systèmes stratégiques-critiques, une infrastructure critique et des sauvegardes afin d’identifier les faiblesses en matière de sécurité. Cela est généralement effectué par une équipe d’experts externes axée sur le contournement des contrôles de prévention et l’inversion des vulnérabilités de clé. En raison des récents incidents de ransomware contrôlés par l’Homme, des tests d’intrusion doivent être menés sur une étendue d’infrastructure accrue, en particulier la possibilité d’attaquer et de contrôler les sauvegardes de systèmes et de données stratégiques.
Équipe Rouge / Equipe Bleue / Equipe Violette / Équipe verte Procéder à des attaques simulées dans le temps contre des systèmes stratégiques-critiques, une infrastructure critique et des sauvegardes afin d’identifier les faiblesses en matière de sécurité. Cela est généralement effectué par des équipes d’attaques internes (Equipes rouges) qui se concentrent sur le test de l’efficacité des contrôles et équipes de détection (Equipes bleues).

Par exemple, vous pouvez utiliser la formation de simulation d’attaque pour Microsoft 365 Defender pour Office 365 et les simulations & d’attaque pour Microsoft 365 Defender pour point de terminaison.
Les simulations d’attaques des équipes rouge, bleue et violette, lorsqu’elles sont bien menées, servent une multitude d’objectifs :
  • Permet aux ingénieurs de l’ensemble de l’organisation informatique de simuler des attaques sur leurs propres disciplines d’infrastructure.
  • Lacunes en matière de visibilité et de détection.
  • Augmente les compétences en ingénierie de sécurité au sein du comité.
  • Fait office de processus plus continu et plus vaste.


L’équipe verte implémente des modifications dans la configuration de la sécurité ou de l’informatique.
Planification de la continuité commerciale Pour les processus d’entreprise stratégiques-critiques, conçoit et teste les processus de continuité qui permettent d’assurer un fonctionnement minimum et fiable de l’entreprise pendant les périodes de défaillance des systèmes d’information.

Par exemple, utilisez un plan de sauvegarde et de restauration Azure pour protéger vos systèmes métier critiques durant une attaque afin de garantir une récupération rapide de vos opérations métier.
  • Met en évidence le fait qu’il n’existe aucune solution de contournement pour l’altération ou l’absence des systèmes informatiques.
  • Peut insister sur le besoin et le financement de la résilience numérique sophistiquée sur une sauvegarde et une récupération plus simples.
Récupération d'urgence Pour les systèmes informatiques qui prennent en charge les processus d’entreprise stratégiques-critiques, vous devez concevoir et tester des scénarios de sauvegarde et de récupération chaud/froid, chaud/chaud, y compris les temps de mise en lots. Les organisations qui réalisent des versions bare metal trouvent souvent des activités qui sont impossibles à répliquer ou qui ne sont pas adaptées aux objectifs de niveau de service.

Les systèmes stratégiques-critiques souvent exécutés sur du matériel non pris en charge ne peuvent pas être restaurés sur du matériel moderne.

La restauration des sauvegardes n’est souvent pas testée et rencontre des problèmes. Les sauvegardes peuvent être davantage hors connexion, de sorte que les durées de mise en lots ne sont pas pondérées dans les objectifs de récupération.
Communications hors bande Préparez-vous à la façon dont vous communiqueriez en cas de défaillance des services de messagerie électronique et de collaboration, ransomware des référentiels de documentation et indisponibilité des numéros de téléphone du personnel. Bien qu’il s’agisse d’un exercice difficile, déterminez comment les copies hors ligne et immuables des ressources qui stockent les numéros de téléphone, les topologies, les documents de création et les procédures de restauration informatiques peuvent être stockées sur des appareils et emplacements hors connexion et distribuées à l’échelle.
Renforcement, hygiène et gestion du cycle de vie En ligne avec les 20 principaux contrôles de sécurité du Centre pour la sécurité Internet (CIS), renforcez votre infrastructure et effectuez des activités d’hygiène approfondies. En réponse aux récents incidents de ransomware contrôlés par l’Homme, Microsoft a publié des conseils spécifiques pour renforcer et protéger chaque étape de la chaîne de destruction des attaques informatiques, qu’il s’agisse de fonctionnalités de Microsoft ou d’autres fournisseurs. Remarque particulière :
  • La création et la maintenance de copies de sauvegarde immuables dans le cas de systèmes sous-traversés. Vous pouvez également envisager de conserver les fichiers journaux immuables qui compliquent la capacité de l’adversaire à couvrir leurs traces.
  • Risques liés à un matériel non pris en charge pour la récupération d’urgence.
Planification de la réponse aux incidents Au début de l’incident, choisissez :
  • les paramètres organisationnels importants ;
  • l’attribution de personnes aux rôles et responsabilités ;
  • le sens de l’urgence (par exemple, 24h/24 et 7j/7) ;
  • le personnel pour la durabilité pendant la période.
Il existe une tendance à envoyer toutes les ressources disponibles sur un incident dès le début pour espérer une résolution rapide. Une fois que vous avez reconnu ou anticipé qu’un incident se produira pendant une période prolongée, adoptez une nouvelle posture avec votre personnel et vos fournisseurs leur permettant de s’organiser sur des délais plus longs.
Répondeurs d’incident Établissez des attentes claires entre tous. Un format courant de rapport des activités en cours comprend :
  • Qu’avons-nous fait (et quels ont été les résultats) ?
  • Que faisons-nous (et quels seront les résultats générés et quand) ?
  • Qu’est-ce que nous prévoyons de faire ensuite (et quand pouvons-nous espérer obtenir des résultats) ?
Les répondeurs d’incident sont fournis avec différentes techniques et approches, y compris l’analyse des boîtes mortes, l’analyse des Big Data et la possibilité de produire des résultats incrémentiels. Commencer avec des attentes précises facilitera les communications claires.

Ressources pour répondre aux incidents

Principales ressources de sécurité Microsoft

Ressource Description
Microsoft Digital Defense - Rapport 2021 Rapport qui englobe des connaissances d’experts, d’utilisateurs et de défenseurs de la sécurité chez Microsoft permettant à tout le monde de se défendre contre les cybermenaces.
Architectures de référence de Microsoft pour la cybersécurité Ensemble de diagrammes d’architecture visuels qui illustrent les fonctionnalités de cybersécurité de Microsoft et leur intégration aux plateformes cloud Microsoft, comme Microsoft 365 et Microsoft Azure, et à des applications et plateformes cloud tierces.
Téléchargement de l’infographie Minutes matter Vue d’ensemble de la façon dont l’équipe SecOps de Microsoft effectue une réponse aux incidents pour atténuer les attaques en cours.
Opérations de sécurité d’Azure Cloud Adoption Framework Conseils stratégiques pour les responsables établissant ou modernisant une fonction d’opérations de sécurité.
Bonnes pratiques de sécurité Microsoft pour les opérations de sécurité Découvrez comment utiliser au mieux votre centre SecOps pour être plus rapide que les attaquants visant votre organisation.
Modèle Microsoft Cloud App Security pour les architectes informatiques La sécurité dans les plateformes et services cloud Microsoft pour l’identité et l’accès aux appareils, la protection contre les menaces et la protection des informations.
Documentation sur la sécurité de Microsoft Conseils de sécurité supplémentaires de Microsoft.