Olivier Le Moal - stock.adobe.co

Modéliser la menace et établir un plan de réponse à incident en 5 étapes

Ce processus en cinq étapes pour élaborer un plan de réponse aux incidents, proposé par Rohit Dhamankar d’Alert Logic, s’appuie sur la modélisation des menaces. Une étape essentielle pour déjouer les cyberattaques.

Une réponse efficace aux incidents est essentielle pour minimiser les dommages et réduire le temps de récupération d’une cyberattaque. Le succès dépend de la mise en place d’un plan de réponse aux incidents avant qu’un incident ne survienne. Au préalable, une modélisation des menaces peut aider à évaluer rapidement et clairement le risque.

La modélisation des menaces est une méthode permettant d’identifier les vulnérabilités, d’anticiper les types d’attaques les plus probables et d’établir les mesures de sécurité nécessaires pour se protéger contre ces menaces. Bien qu’il existe de nombreux frameworks de modélisation des menaces, voici quelques grandes étapes que vous pouvez suivre pour vous assurer que votre environnement est sécurisé.

Étape 1. Identifier les actifs

L’accès non autorisé est à l’origine de la plupart des menaces. Une fois que les attaquants se sont introduits dans le réseau, ils s’attaquent aux actifs les plus précieux de l’entreprise, de la même manière que les intrus à domicile cherchent de l’argent, des bijoux et des appareils électroniques coûteux.

La première étape consiste à identifier ses actifs et à classer ceux qui doivent être protégés, par ordre de priorité.

La première étape consiste donc à identifier ses actifs et à classer ceux qui doivent être protégés, par ordre de priorité. Pour la plupart des organisations, tout ce qui est considéré comme critique pour l’entreprise peut être considéré comme un actif. La nature de votre activité induit des spécificités, mais les actifs courants sont les suivants :

  • données clients et les informations de paiement
  • données financières de l’entreprise
  • code source propriétaire
  • informations sur les ressources humaines
  • brevets et propriété intellectuelle
  • contrats de clients ou fournisseurs
  • processus de fabrication

Une fois les actifs identifiés, il est impératif de comprendre où se trouve chacun d’entre eux et d’envisager la manière dont un intrus pourrait y accéder. Par exemple, une base de données critique se trouve-t-elle sur un serveur accessible à distance, depuis Internet ? La cartographie des actifs, en fonction de leur emplacement, et le suivi de la manière dont on y accède et de la fréquence de cet accès permettront de déterminer leur vulnérabilité à une cyberattaque.

Étape 2. Identifier qui a accès

Une fois les actifs clés et leur emplacement déterminés, identifiez les personnes qui y ont accès et si leurs rôles sont contrôlés. Il peut s’agir d’employés, de contractants et de partenaires commerciaux. Ensuite, déterminez si les personnes pouvant accéder à ces actifs ont des privilèges d’accès appropriés.

Des politiques doivent être mises en place pour alerter les équipes de sécurité lorsqu’une personne accède à une base de données sans disposer des droits appropriés. Dans ce cas, les équipes de sécurité doivent restreindre ou désactiver l’accès des utilisateurs lorsqu’elles répondent à un incident.

Étape 3. Identifier les vulnérabilités et les menaces

Ensuite, examinez les menaces auxquelles chaque environnement est confronté. Essayez d’utiliser un modèle de menace basé sur l’adversaire, pour identifier les attaquants potentiels qui pourraient tenter de compromettre le réseau. Ce modèle décrit généralement quatre types de vecteurs d’attaque :

  1. Réseau. L’attaquant mène généralement des attaques de type man-in-the-middle, en interceptant la communication entre deux parties.
  2. L’initié malveillant. Il peut s’agir de n’importe quel utilisateur autorisé – employés, fournisseurs ou toute personne ayant accès à votre réseau.
  3. Logiciel distant. L’attaquant tente de contourner les mécanismes de sécurité en introduisant du code malveillant pour voler des données ou prendre le contrôle à distance d’un système infecté.
  4. Matériel avancé. L’attaquant a besoin d’un accès physique à l’appareil et lance souvent des attaques sophistiquées à l’aide d’un équipement spécialisé.

Ensuite, identifiez les vulnérabilités potentielles. Tenez compte de tout matériel, application, appareil connecté et canal de communication qui pourraient permettre aux attaquants de s’inviter sur le réseau. Les vulnérabilités peuvent aller des comptes surprivilégiés aux politiques de mots de passe insuffisamment robustes, en passant par les mauvaises configurations de sécurité et les systèmes pour lesquels les correctifs disponibles n’ont pas été déployés. Pour chaque vulnérabilité possible, adoptez une approche de modèle de menace à chaque point d’entrée afin de déterminer les menaces pour la sécurité.

Étape 4. Déterminez les mesures d’atténuation pour chaque menace

Après avoir identifié les menaces pour chaque environnement, mettez en place un niveau de sécurité approprié pour les protéger. Dans cette optique, vous pouvez définir des classes de réponses en fonction de la gravité de l’incident et de l’environnement.

Par exemple, une réponse prudente à un accès non autorisé d’un utilisateur peut consister à adopter une approche d’observation et d’attente, dans laquelle les privilèges de l’utilisateur sont restreints et surveillés afin de détecter toute autre activité suspecte. En revanche, si le mot de passe d’un utilisateur a été piraté, l’accès doit être immédiatement désactivé.

Le Common Vulnerability Scoring System peut être utile pour évaluer l’impact des menaces. Il applique un score de 0 à 10 dans le but d’indiquer comment une attaque particulière affecterait un dispositif ou un réseau. Plus le score d’une menace est élevé, plus vous devez lui consacrer de l’attention et des ressources.

Étape 5. Répétez le cycle

L’élaboration d’un plan de réponse aux incidents peut être un défi, mais l’adoption d’une approche de modélisation des menaces peut vous mettre sur la bonne voie.

La modélisation des menaces pour la réponse aux incidents est un processus répétitif. Une fois qu’un plan de réponse aux incidents basé sur la modélisation des menaces a été élaboré, vous devez continuellement évaluer son efficacité en mesurant les taux d’incidents critiques au fil du temps.

Si le nombre d’incidents diminue après des changements de politique ou d’autres mesures d’atténuation, c’est la preuve que votre plan de réponse aux incidents fonctionne bien. À mesure que des éléments sont ajoutés au système – tels que des mises à jour d’applications, de nouveaux équipements et des utilisateurs supplémentaires –, vous pouvez poursuivre ce processus de modélisation des menaces pour vous assurer que le système est constamment sécurisé de manière appropriée.

La préparation et un processus clair sont essentiels en vue d’une réponse efficace aux incidents. L’élaboration d’un plan de réponse aux incidents peut être un défi, mais l’adoption d’une approche de modélisation des menaces peut vous mettre sur la bonne voie.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close