Cet article fait partie de notre guide: Réponse à incident : les conseils pour réussir

Connaître et surveiller son infrastructure

Si l’expérience montre que cela n’a rien de trivial, une bonne connaissance de son infrastructure, et sa surveillance en continu, s’avèrent indispensables à une lutte efficace contre les menaces.

Lorsqu’un prestataire arrive dans une entreprise pour intervenir sur un incident de sécurité, il a besoin d’avoir accès à beaucoup d’informations – organisationnelles autant que techniques. Et là, connaître son infrastructure joue un rôle clé.

David Grout, directeur technique de FireEye pour l’Europe du Sud, égrène ainsi : « connaître son réseau et le documenter, documenter ses actifs, les accès ». Et Vincent Nguyen, directeur technique du Cert de Wavestone, explique pourquoi tenir à jour les documents d’architecture de son système d’information : « il n’est pas nécessaire de fournir ces documents en avance de phase au prestataire, mais ils doivent être prêts à être communiqués à tout instant ».

Laurent Maréchal, spécialiste solutions Europe du Sud chez Intel Security, souligne aussi les bénéfices de cette discipline rigoureuse en matière d’hygiène : « la mise en place de politiques de sécurité, la documentation des changements, mais aussi de l’environnement, etc. permettent de connaître réellement l’état du réseau et garantissent le maintien des bonnes pratiques ». Pierre-Yves Popihn, directeur technique de NTT Security France, encourage en outre à l’audit régulier de l’infrastructure : « procéder à des tests d’intrusion réguliers sur tout ou partie de l’environnement ».

Toujours dans le domaine de la prévention, Laurent Maréchal rappelle l’importance de « la mise en place de solutions de sécurité telles que des anti-virus, des pare-feu, des bacs à sable… qui permettent d’agir de manière proactive et réactives ou de détecter des menaces déjà connues ».

Une surveillance attentive

Mais comme David Grout, Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte, juge parallèlement « nécessaire d’évaluer régulièrement les éléments nécessaires à la réponse à incident », comme les sauvegardes et les journaux d’événements – les fameux logs. Ces derniers jouent en effet un rôle clé dans la détection des incidents, comme le relève Pierre-Yves Popihn, pour qui il convient « d’analyser les différents événements sur les équipements de sécurité afin d’être le plus réactif possible ».

Renaud Templier, directeur des activités Risque & Sécurité chez Devoteam, souligne ainsi que, « au fil de l'eau, la surveillance du système d'information au travers de la génération d'indicateurs, en temps réel, permet de favoriser une réaction rapide, ciblée et proportionnée ».

Stanislas de Maupeou, Directeur du Secteur Conseil Evaluation et Sécurité de Thales, invite dès lors à « surveiller son système d’information via un SOC de confiance et des outils de détection d’attaque maîtrisés et correctement exploités », ainsi qu’à « rechercher systématiquement et régulièrement des traces d’attaques ou de comportement suspicieux dans les journaux évènements ».

Pour débusquer les attaquants

Yann Fareau, responsable Business Development EMEAR chez Cisco, précise : « les infractions sont majoritairement rapportées une fois qu’il a été établi que les hackers ont pénétré le système d’une entreprise depuis un certain temps. La surveillance des SI est primordiale pour détecter toute activité inhabituelle/suspecte sur le réseau, anticiper ainsi toute attaque et être en mesure de la contrer avant un ‘chaos’ informatique ».

D’expérience, Laurance Dine, associé exécutif Verizon Enterprise Solutions, constate là que « pour 82 % des brèches de sécurité sur lesquelles nous avons enquêté, des indices étaient clairement visibles dans les logs ». Et de suggérer d’établir, comme pratique de référence, une collecte « d’au moins 90 jours des logs des systèmes critiques et non-critiques ». 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close