Réponse aux incidents
Il est évident qu’aucune organisation ne peut se prémunir totalement contre les incidents de sécurité. C’est pourquoi il est important d’être bien préparé pour parer à toute éventualité. Propulsées par SophosLabs — une équipe mondiale de veille stratégique sur les menaces et de science des données — les solutions cloud natives et basées sur l’IA de Sophos sécurisent notre entreprise contre les cyberattaques.
Sophos est donc l’une des 600 000 organisations protégées par les produits Sophos. Nos plans se concentrent sur la façon dont nous communiquons de manière sûre et fiable pendant un incident, sur les rôles dont nous avons besoin pour réagir efficacement, sur la façon dont nous réagirons aux différents types d’incidents, sur l’analyse des niveaux de gravité et sur la notification des clients et des organismes de réglementation, le cas échéant.
Nous avons élaboré nos plans en nous inspirant du Guide de gestion des incidents de sécurité informatique NIST 800-61 et nous ré-examinons fréquemment ces plans pour nous assurer de leur conformité aux normes de l’industrie.
Nos professionnels de la cybersécurité hautement qualifiés développent et exploitent des fonctionnalités de réponse aux incidents de classe mondiale, y compris la surveillance complète, les détections avancées, l’automatisation des réponses, la gestion des incidents, l’analyse forensique et un recours à des experts externes. Nous pensons qu’en tant que premiers et plus fréquents utilisateurs des produits Sophos, et grâce à notre accès aux équipes de produits et aux SophosLabs, nous sommes les mieux placés pour répondre aux incidents de cybersécurité.
Aperçu de notre programme de réponse aux incidents
Sophos s’est donné une mission : protéger les utilisateurs contre la cybercriminalité en développant des produits et des services puissants et intuitifs qui offrent la cybersécurité la plus efficace sur le marché pour les organisations de toute taille. Pour mener à bien cette mission, il est essentiel de pouvoir répondre efficacement à un large éventail d’incidents de sécurité potentiels. En termes simples : Pour protéger nos clients, notre programme de réponse aux incidents doit protéger nos produits et notre entreprise.
Pour Sophos, le terme « incident de sécurité » s’entend au sens de la norme NIST 800-61 : « une violation ou une menace imminente de violation des politiques de sécurité informatique, des politiques d’utilisation acceptable ou des pratiques de sécurité standard. » Il s’agit d’une définition délibérément large qui nous permet d’optimiser la rapidité de réponse, d’identifier les domaines à améliorer et d’assurer la transparence vis-à-vis des clients. Cette définition prend également en charge l’identification de fuites de données, qui pourraient ne pas être incluses dans une définition axée sur les attaques confirmées.
Comment nous identifions les incidents
Sophos identifie ou détecte les incidents de sécurité de multiples façons. Parmi ces méthodes, citons :
- Capacités de surveillance de la sécurité, souvent intégrées à nos produits, ou méthodes complémentaires que nous avons développées.
- Programme de Bug Bounty.
- Résultats de tests de pénétration.
- Analyses de vulnérabilité.
- Analyses du code et des applications.
- Recherches et analyses des renseignements sur les menaces.
- Notifications client.
Pour signaler un incident de sécurité potentiel, veuillez consulter notre Programme de divulgation responsable.
Investigations et analyses
Lorsqu’un incident est détecté ou signalé après vérification, nous commençons par exploiter les canaux de communication existants pour faciliter le partage d’informations au sein de l’équipe de réponse aux incidents.
Les points minimaux à l’ordre du jour d’une réunion d’enquête et d’analyse sur la réponse à un incident sont les suivants :
- Établir les faits actuels.
- Point sur l’état d’avancement des mesures.
- Convenir des prochaines actions.
- Confirmer l’évaluation de l’état de gravité de l’incident : Grav.1/2/3.
- Convenir du calendrier de la prochaine réunion.
- Documenter les procès-verbaux sur le calendrier de l’incident, y compris les actions et les décisions.
Évaluation de la gravité
Nous disposons de quatre niveaux de gravité des incidents.
Niveaux de gravité des incidents
| Gravité | Description |
|---|---|
| 0 | Incident critique avec impact maximal. |
| 1 | Incident très grave avec impact très élevé. |
| 2 | Incident majeur avec impact significatif. |
| 3 | Incident mineur à faible impact. |
Nos responsables de la réponse aux incidents déterminent la gravité d’un incident en fonction de son impact potentiel sur l’entreprise et les clients. Nous utilisons divers critères d’évaluation des menaces pour déterminer la gravité d’un incident, y compris l’impact sur le client, l’impact fonctionnel, l’impact sur les informations, la capacité de récupération, la quantité et le type de données, le type d’acteur malveillant et l’impact sur l’entreprise. La gravité de l’incident est réévaluée à des points clés tout au long du processus d’intervention et la gravité est ajustée au besoin.
Rôles et responsabilités
Au début d’un incident, un seul responsable de la gestion des incidents est identifié en fonction du niveau de gravité attribué à l’incident. Ce poste peut être occupé à tour de rôle lorsqu’une supervision constante est requise. Un seul responsable de la gestion des incidents nous donne des directives claires afin que nous puissions prendre des mesures immédiates et communiquer efficacement.
En fonction de la nature de l’incident, différents types de rôles peuvent être requis. Voici quelques-uns des rôles les plus courants :
Rôles et responsabilités en cas d’incident
| Rôle (Role) | Responsabilité |
|---|---|
| Gestionnaire RI | Prendre des décisions concernant l’évaluation de la gravité, la remontée des informations, la composition de l’équipe de réponse complète à l’incident, ainsi que l’ouverture et la direction de l’enquête. |
| Commanditaire exécutif | Communiquer avec l’équipe dirigeante (STM) au besoin et approuver les décisions d’intervention en cas d’incident de gravité 0 ou 1. |
| Équipe IR | Équipe interfonctionnelle chargée d’enquêter, d’analyser et de contenir les incidents de cybersécurité. |
| Propriétaire du programme de RI | Responsable du plan de réponse aux incidents et de la préparation de l’équipe interfonctionnelle, en maintenant à jour le plan et la documentation de RI et en procédant à des examens réguliers. |
| Protection des données et communications avec les clients | Prises de décisions concernant les notifications client et autres notifications externes. |
Confinement, éradication et rétablissement
Le but du confinement est de stopper les effets d’un incident avant qu’il ne cause d’autres dommages. Une fois qu’un incident est confiné, nous pouvons prendre le temps nécessaire pour traiter le problème de manière exhaustive.
Dès lors, une éradication peut s’avérer nécessaire pour éliminer les composants et les effets secondaires de l’incident. Pour les incidents de sécurité ciblés par Sophos, nous devons penser à nos actifs d’entreprise ainsi qu’à nos actifs de produits, y compris nos offres cloud.
Les tâches courantes d’éradication comprennent :
- Modifications de configuration ou de code/correctifs.
- Remplacement ou désactivation des systèmes.
- Suppression d’une fonctionnalité.
- Nettoyage de la qualité des données.
- Désactivation de comptes utilisateur
- Identification et atténuation de toutes les vulnérabilités exploitées.
Lors de la procédure de récupération, les ingénieurs de Sophos restaurent les systèmes en fonctionnement normal, confirment que les systèmes fonctionnent normalement et (le cas échéant) corrigent les vulnérabilités pour éviter des incidents similaires. Notre culture et notre approche de l’innovation en tant qu’entreprise de sécurité et de cloud nous aident à nous rétablir rapidement. Nous nous appuyons sur des capacités d’intégration et de déploiement continues dans l’ensemble de nos activités. Nous redéployons constamment des systèmes à grande échelle et rapidement.
Notification client
L’authenticité est l’une des valeurs clés de Sophos. Fort de celle-ci et de notre mission de protection, nous nous engageons à informer nos clients dès que possible si leurs données sont impliquées dans un incident ou une violation confirmés.
Activités post-incident
Une fois qu’un incident a été traité et résolu, nous nous efforçons d’en tirer des enseignements. Nous organisons des séances de bilan pour discuter de la manière dont nous avons géré l’incident et de ses causes premières. Sur la base de ces discussions, nous ajustons et améliorons nos procédures de gestion des incidents et optimisons notre profil de sécurité afin de prévenir et de détecter plus rapidement des incidents similaires à l’avenir.
Comment nous utilisons nos propres outils pour répondre aux incidents
Le centre d’opérations de sécurité mondial (GSOC) de Sophos surveille en permanence les alertes de notre infrastructure et recherche les anomalies dans l’ensemble de notre parc. Pour ce faire, nous déployons et surveillons divers outils de détection, y compris la suite complète de produits Sophos Next Gen.
- Sophos Intercept X Advanced avec EDR (Endpoint Detection and Response) combine les capacités de Sophos Intercept X et de Sophos EDR dans une solution à agent unique pour nous permettre de lutter contre un large éventail de menaces. Avec Live Discover et Live Response, nous sommes en mesure d’identifier rapidement les menaces, d’y répondre en quelques minutes, de prendre à distance des instantanés d’analyse et de contenir les problèmes en isolant les terminaux affectés. Nous pouvons utiliser la fonction d’instantané d’analyses pour identifier d’autres IOC et artefacts. Les artefacts de réseau sont alors bloqués par notre Sophos Firewall. Pour en savoir plus sur la façon dont nous utilisons les données sur les menaces fournies par Intercept X, consultez https://news.sophos.com/fr-fr/2018/12/07/intercept-x-windows-event-collector-facilitent-chasse-cybermenaces/
- Sophos Firewall tire parti du système de prévention des intrusions pour prévenir et détecter les dernières failles de sécurité réseau. Nos pare-feu nous permettent de bloquer les domaines malveillants, les URL et les adresses IP, ainsi que d’analyser les fichiers suspects transférés sur le réseau via l’environnement cloud sécurisé de SophosLabs. À certains points du réseau, nous déployons également le mode découverte, grâce auquel le pare-feu fonctionne comme un capteur réseau pour les événements IDS et les rapports sur l’activité du réseau.
- Dans la mesure où une part toujours plus importante de nos charges de travail est transférée dans le cloud, nous avions besoin d’un outil qui nous donne de la visibilité. Nous utilisons Sophos Optix pour nous aider à identifier et évaluer les services cloud qui représentent des risques pour l’entreprise et nous informer de manière proactive des comportements suspects. Cet outil nous permet de répondre rapidement à un certain nombre de questions clés telles que : À qui appartient-il ? Avec qui communique-t-il ? Quels sont les rôles et autorisations utilisés ? Quelles règles et quels groupes de sécurité sont utilisés ? La possibilité de visualiser rapidement le réseau et les fonctions occupées par ses ressources permet d’identifier efficacement tout éventuel problème.
- Sophos dépend d’une large gamme de systèmes et nous pouvons collecter des données à partir de divers produits Sophos et non Sophos. S’il est vrai que la collecte d’informations contextuelles sur certains systèmes peut s’avérer rapidement difficile, il est impératif, lors de la phase de détection et d’analyse d’un incident, d’obtenir les bonnes informations le plus rapidement et le plus efficacement possible afin de pouvoir prendre des décisions éclairées. Les API Sophos Central nous permettent de tirer parti de Sophos Central et de ses partenaires d’intégration : https://news.sophos.com/en-us/2019/12/19/unlocking-the-power-of-sophos-central-api/.