Glossaire relatif à la confidentialité

Réponse aux incidents

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce qu’une réponse aux incidents ?

Une réponse aux incidents est une série d’actions entreprises par une organisation lorsqu’elle fait face à un événement tel qu’une violation de données ou une cyberattaque. Les actions menées pour répondre à l’incident incluent la préparation, la détection, le confinement, l’éradication et la récupération. Un incident peut être toute activité indésirable du réseau ou du système qui compromet la sécurité informatique et la sécurité réseau.

La réponse aux incidents et la sécurité réseau sont étroitement liées. Avec la sécurité réseau, le but d’une organisation est de prévenir les incidents. Lorsqu’une attaque réussit malgré les efforts de sécurité réseau, une organisation a besoin d’une réponse aux incidents efficace pour arrêter l’attaque, atténuer les dommages et améliorer le plan de sécurité réseau pour l’avenir. La meilleure pratique pour une réponse aux incidents la plus efficace est d’avoir un plan de réponse aux incidents formel ; un ensemble de procédures décrivant tous les aspects de la réponse, de la détection à la récupération.

Quels événements nécessitent une réponse aux incidents ?

Une attaque qui nécessite une réponse à un incident peut prendre de nombreuses formes, y compris (mais non limité) une violation de données , une attaque de rançon (ransomware), une attaque distribuée par déni de service (également connue sous le nom de DDoS), un logiciel malveillant (malware) installé via un piège phishing , ou une compromission par e-mail professionnel (une forme de social-engineering où quelqu’un se présente comme un employé dans un courriel). Les incidents peuvent provenir de sources externes ou internes au système de l’organisation. Un incident nécessitant une réponse peut ne pas être une attaque réelle ; cela peut être une « menace imminente » d’un nouveau schéma d’attaque ou une vulnérabilité récemment découverte dans un logiciel.

Qu’est-ce qu’un plan de réponse aux incidents ?

Bien qu’il soit possible de répondre à un incident sans plan formel, avoir un plan de réponse aux incidents permet des actions plus rapides et des résultats plus efficaces. Des équipes prédéterminées affectées à des tâches spécifiques peuvent réagir plus efficacement, un avantage important lorsqu’une organisation est activement attaquée.

Un plan de réponse aux incidents est très spécifique à chaque organisation, reflétant leur réseau et leurs données, leur personnel, et leurs priorités de sécurité et vulnérabilités perçues. En plus de détailler ce qu’il faut faire pour contenir et supprimer la menace, un plan de réponse aux incidents doit aborder le personnel et leurs responsabilités, les canaux corrects de communication, et les outils et autorisations nécessaires pour l’équipe de réponse.

Les étapes d’une réponse aux incidents

Une réponse aux incidents suit généralement ces cinq étapes comme énoncé dans le plan de réponse aux incidents, s’il en existe un. Les détails de chaque étape varient considérablement en fonction de l’organisation et du type de menace.

  • Détection et analyse : Cette étape se chevauche avec les procédures de sécurité réseau, en particulier la partie du plan de sécurité réseau qui surveille l’activité du réseau. Lorsque la surveillance de la sécurité réseau détecte un incident possible, le personnel assigné peut utiliser les outils identifiés dans le plan de réponse aux incidents pour analyser et déterminer l’étendue de l’incident.
  • Confinement : Lorsqu’un incident est détecté et que son ampleur est évaluée, la prochaine étape consiste à minimiser les dommages en confinant l’incident. Empêcher l’attaque de se propager davantage dans le réseau de l’organisation, ou vers des réseaux associés, peut impliquer l’isolement physique des appareils affectés (tels que les serveurs ou ordinateurs) ou des segments de réseau. L’étape de confinement peut également impliquer la sauvegarde du système affecté (pour une analyse ultérieure ou comme preuve dans une possible poursuite) et la sauvegarde des données menacées.
  • Éradication : Une fois la menace contenue, les actions se concentrent sur la suppression complète de la menace, que ce soit en effaçant le logiciel malveillant ou en retirant l’acteur malveillant du système. Un confinement réussi permet à l’équipe de réponse de procéder à un examen minutieux des systèmes pour s’assurer que toutes les menaces ont été traitées.
  • Récupération et réparation des dommages : Une fois la menace éradiquée, il est sûr de restaurer les systèmes et les données à leur pleine fonctionnalité. Lors de la phase de récupération, les appareils et systèmes isolés sont réintégrés au réseau; des correctifs sont apportés aux failles logicielles, et les données sont restaurées à partir des fichiers de sauvegarde.
  • Leçons tirées : Une analyse après l’incident peut mener à ajuster à la fois le plan de réponse aux incidents et le plan de sécurité réseau.

Pendant et après un incident, l’équipe de réponse peut avoir besoin de signaler l’événement à d’autres parties, comme d’autres personnes au sein de l’organisation; des organismes de réglementation, les forces de l’ordre et les clients. Ils peuvent également partager ce qui s’est passé avec des tiers intéressés tels que les fournisseurs de logiciels et les FAI, voire les médias. Le plan de réponse aux incidents doit détailler qui est informé et quand, et qui est responsable de la communication.

Que signifie la réponse aux incidents pour moi ?

L’une des plus grandes menaces pour vos informations personnelles stockées sur un système tiers est une violation de données. Une réponse efficace aux incidents peut faire la différence entre garder vos données sécurisées ou les voir finir entre de mauvaises mains. En tant qu’utilisateurs, nous ne pouvons pas influencer le plan de réponse aux incidents d’une organisation; nous devons compter sur leurs pratiques de cybersécurité. Mais nous pouvons protéger nos données sur nos propres réseaux et appareils personnels. Utiliser un navigateur avec de solides protections de confidentialité et de sécurité, comme le navigateur Brave, peut aider à limiter le risque que vos données tombent entre de mauvaises mains :

  • Le navigateur Brave inclut la navigation sécurisée, qui peut aider à prévenir les violations de données en protégeant contre les sites web malveillants.
  • Le bloqueur de pub intégré de Brave, appelé boucliers Brave, peut bloquer les publicités malveillantes et trompeuses, en partie grâce à l’utilisation de listes de filtres. C’est aussi plus sûr que les extensions du navigateur, qui peuvent elles-mêmes introduire de nouveaux risques pour la sécurité.
  • Brave met automatiquement à niveau les connexions vers le plus sécurisé HTTPS. Assurez-vous que votre navigateur ne vous alerte pas sur un avertissement de sécurité, ou vérifiez que l’URL commence par https:// (et non « http:// »). Ces signes indiquent que vos données sont cryptées lors du transfert. Ce n’est pas une garantie que vos données sont stockées cryptées, mais cela peut améliorer vos chances.

Parfois, nous pouvons choisir de faire affaire avec des entreprises ayant un bon historique de sécurisation des données (ou qui ne collectent pas de données en premier lieu, comme Brave), et éviter les entreprises ayant des antécédents de violations de données. Vous pouvez également limiter le nombre d’endroits où vos données sont stockées, réduisant ainsi le potentiel que vos données soient impliquées dans une violation. Utiliser des mots de passe forts et uniques, et l’authentification multifactorielle lorsque possible, peut aider à protéger vos données en cas de violation.

Si vous recevez une notification indiquant que vos données peuvent avoir été violées, ou si vous voyez dans les actualités qu’une violation a eu lieu chez une entreprise avec laquelle vous faites affaire, prenez des mesures immédiates pour protéger vos comptes et vos données :

  • Changez votre mot de passe sur ce site immédiatement, ainsi que sur tout autre site où vous utilisez le même mot de passe. Et, à l’avenir, définissez des mots de passe et des NIP forts et uniques.
  • Vérifiez la date de la violation et examinez l’activité des comptes affectés à partir de cette date. Recherchez des activités inhabituelles comme un changement d’adresse, de numéro de téléphone, ou de détails de facturation.
  • Notez que toutes les violations ne sont pas rapidement détectées; il peut y avoir un délai entre le moment où vos comptes ont été compromis et le moment où vous avez été notifié. Vous devez donc périodiquement répéter cet examen de l’activité des comptes et rester vigilant à l’avenir en vérifiant attentivement les relevés mensuels.
  • Gardez la lettre ou l’e-mail de notification de violation de données, au cas où vous auriez besoin de preuves à l’avenir que vos données ont été compromises.
  • Déposez des alertes de fraude auprès des principaux bureaux de crédit pour vous protéger contre une personne utilisant des données volées pour obtenir un prêt ou un module de crédit à votre nom.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.