Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
CIS Control 17. Gestion des incidents

CIS Control 17. Gestion des incidents

Jun 23, 2022

Le Centre pour la sécurité sur Internet (CIS) propose des Critical Security Controls (CSCs) qui aident les organisations à améliorer la cybersécurité. Le CSC 17 du CIS couvre la gestion et la réponse aux incidents. (Dans les versions antérieures des CIS controls, la gestion des incidents de sécurité était traitée dans le Contrôle 19.)

Le CIS CSC 17 se concentre sur la manière de développer un plan pour répondre aux attaques et autres incidents de sécurité, y compris l'importance de définir des rôles clairs pour les personnes responsables des différentes tâches impliquées.

Contenu connexe sélectionné :

Les recommandations aident à améliorer la capacité de réponse. Cependant, les entreprises peuvent également utiliser le guide de réponse aux incidents de cybersécurité du Council of Registered Security Testers (CREST) pour un meilleur plan de sécurité et une réponse aux incidents.

Avant de se pencher sur les mesures de protection de la réponse aux incidents et du contrôle de gestion, il est essentiel de comprendre ce qui peut être qualifié d'incident.

Événements de sécurité et incidents de sécurité : Quelle est la différence ?

Un événement de sécurité et un incident de sécurité sont deux choses différentes dans le langage de la sécurité de l'information. Les incidents de sécurité résultent généralement d'événements de sécurité qui n'ont pas été gérés à temps. Par exemple, un changement inapproprié de la configuration d'un contrôle d'accès, tel qu'un GPO ou un groupe de sécurité, est un événement de sécurité. Lorsqu'un pirate exploite ce changement de configuration pour voler des données des systèmes d'information, cela constitue un incident de sécurité. Les incidents se produisent beaucoup moins fréquemment que les événements et peuvent être beaucoup plus dommageables. De manière simpliste, un incident est un événement ayant des conséquences dommageables.

Pour une gestion efficace des réponses aux incidents, une équipe désignée doit créer un plan de réponse détaillé pour tous les incidents de sécurité connus, y compris le personnel désigné et les capacités de récupération. Avoir un plan solide aide à traiter les problèmes de sécurité tels que l'intégrité des données ainsi que la conformité avec les mandats de protection des données et autres réglementations.

Voici les neuf garanties du contrôle de réponse aux incidents CIS :

17.1. Désigner du personnel pour gérer la gestion des incidents

Cette mesure de protection recommande de désigner un contact principal et un suppléant pour gérer le processus de traitement des incidents, y compris la coordination et la documentation des efforts de réponse et de récupération après incident. Cette désignation doit être révisée annuellement et chaque fois que des changements significatifs affectent la sécurité.

Le contact principal peut être un employé de l'entreprise ou un fournisseur tiers. Les deux approches ont leurs avantages et leurs inconvénients. Avoir un employé comme gestionnaire principal garantit que la gestion des réponses reste au sein de l'organisation, mais, en fonction de la taille de l'organisation, la tâche peut être trop importante pour un seul employé. Un tiers spécialisé dans la gestion de la sécurité peut mieux gérer un incident de sécurité. Si un tiers est désigné pour l'évaluation des risques et la réponse aux incidents, la mesure de protection recommande d'avoir au moins une personne au sein de l'organisation pour assurer la supervision.

17.2. Établir et maintenir les coordonnées pour le signalement des incidents de sécurité

Il est important de maintenir des informations de contact précises pour toutes les parties qui doivent recevoir des informations sur les incidents de sécurité. Les coordonnées de ces parties doivent être facilement et rapidement accessibles. La liste peut être classée en fonction de la priorité.

La liste inclut généralement les responsables de la gestion des réponses et ceux ayant le pouvoir de prendre des décisions importantes. Une équipe de réponse aux incidents peut également devoir informer les forces de l'ordre, les fournisseurs partenaires, les assureurs cyber ou le public.

Il devrait y avoir des mécanismes en place pour contacter et informer rapidement les parties concernées en cas d'incident. Automatiser le processus de notification des incidents peut aider.

Les informations de contact doivent être mises à jour une fois par an ou plus fréquemment pour garantir que les notifications parviennent à toutes les parties concernées.

17.3. Établir et maintenir un processus d'entreprise pour le signalement des incidents

La sauvegarde précédente concerne qui doit être informé des incidents. Cette sauvegarde traite comment les incidents doivent être signalés, y compris le délai de signalement, les mécanismes de signalement et les informations à rapporter (telles que le type d'incident, l'heure, le niveau de menace, le système ou le logiciel impacté, les journaux d'audit, etc.)

Disposer d'un workflow de reporting documenté facilite la tâche de toute personne prenant connaissance d'un incident pour informer le personnel approprié de manière rapide et efficace. Ce processus doit être accessible à l'ensemble du personnel et être revu annuellement ainsi qu'à chaque fois que des changements importants surviennent susceptibles d'affecter la sécurité.

17.4. Établir et maintenir un processus de réponse aux incidents

Cette mesure de protection nécessite la création d'une feuille de route pour la réponse aux incidents en définissant les rôles et responsabilités, les plans de communication et de sécurité, ainsi que les exigences de conformité. Sans tâches attribuées et instructions claires, les parties prenantes peuvent penser que quelqu'un d'autre s'occupe d'une tâche spécifique alors qu'en réalité personne ne s'en charge.

Le processus de réponse doit décrire de manière générale les étapes, y compris la surveillance et l'identification de la menace cybernétique associée à l'incident, la définition des objectifs pour la gestion de l'incident, et l'action pour prévenir les dommages ou récupérer les actifs. De nombreuses équipes de réponse aux incidents utilisent des jump kits qui contiennent les ressources nécessaires pour enquêter et répondre aux incidents, telles que des ordinateurs, des dispositifs de sauvegarde, des appareils photo, des imprimantes portables et des logiciels d'analyse forensique numérique tels que les analyseurs de protocoles.

Habituellement, la première étape consiste à déterminer la nature de l'incident afin que les procédures de réponse appropriées puissent être mises en œuvre. Avec des objectifs clairs en tête, les équipes peuvent s'efforcer de ralentir la menace. Ensuite, elles peuvent prendre les mesures appropriées basées sur leur plan d'action documenté pour gérer l'incident et inverser tout dommage.

Ce processus doit être révisé une fois par an et chaque fois que des changements importants peuvent avoir un impact sur la sécurité.

17.5. Attribuez des rôles et responsabilités clés

Comme décrit dans la mesure de protection précédente, les intervenants en cas d'incident doivent connaître leur rôle dans les procédures de réponse. Attribuez des rôles et responsabilités clés à différents individus ou équipes selon le cas. Cela peut inclure l'équipe de sécurité (intervenants en cas d'incident), les administrateurs système, le personnel juridique, les relations publiques (RP) et les membres de l'équipe des ressources humaines (RH), ainsi que les analystes. Bien sûr, les équipes de sécurité et informatique auront la part du lion des responsabilités en cas d'incident de cybersécurité. Cependant, d'autres personnels essentiels, comme ceux des départements juridiques ou des RH, doivent également connaître leurs fonctions.

La liste des rôles et des responsabilités correspondantes doit être examinée et révisée annuellement et chaque fois qu'un changement significatif se produit.

17.6. Définissez les mécanismes de communication pendant la réponse aux incidents

La communication est essentielle lorsqu'il s'agit de rapporter et d'évaluer un incident. Alors que les autres mesures de protection détaillent quoi communiquer et à qui communiquer, cette mesure précise comment communiquer. Il devrait y avoir des canaux de communication prédéfinis comme le courriel ou le téléphone.

Il convient également de définir des plans de contingence. Par exemple, un incident grave peut rendre la communication par courriel impossible. Par conséquent, il devrait y avoir un autre mécanisme de communication pour informer les parties nécessaires et donner des mises à jour sur la réponse à l'incident.

17.7. Réalisez des exercices routiniers de réponse aux incidents

Il est également important de se préparer aux incidents réels en menant régulièrement des exercices et des scénarios de réponse aux incidents pour le personnel clé. Ces exercices testeront et auditeront les différents aspects du plan et des procédures de réponse aux incidents, comme les canaux de communication, les flux de travail et les enquêtes. Par exemple, pratiquez la réponse aux incidents réseau qui perturbent le flux critique d'informations dans l'organisation. Menez ces exercices au moins une fois par an.

Les équipes peuvent utiliser le NIST Technical Guide to Security Testing and Assessment pour formuler des exercices pratiques.

17.8. Réaliser des revues post-incident

Après chaque incident, les organisations doivent enquêter à la fois sur l'incident et sur leur réponse. Elles doivent désigner le personnel responsable de réaliser cette analyse et de créer un rapport post-incident pour identifier les actions de suivi et les erreurs.

Le rapport post-incident doit répondre à des questions telles que :

  • Qu'est-ce qui s'est exactement passé ?
  • Qu'est-ce qui l'a causé ?
  • Comment le personnel responsable a-t-il réagi ?
  • Combien de temps a pris la réponse ?
  • La procédure de réponse était-elle adéquate ?
  • Qu'aurait-on pu mieux faire ?
  • Les informations dans le rapport d'incident étaient-elles suffisantes ?
  • Qu'aurait-on pu faire différemment ?
  • Quelles mesures peuvent prévenir de tels incidents à l'avenir ?

17.9. Établir et maintenir des seuils d'incidents de sécurité

Cette mesure de protection aide les organisations à faire la distinction entre les incidents de sécurité et les événements de sécurité. En définissant les différents types d’incidents et leur impact, les organisations peuvent s’assurer que leurs ressources sont consacrées aux incidents critiques plutôt qu’à de simples événements anormaux mineurs. De plus, cela aide à créer un système de priorisation des incidents afin que les intervenants sachent quand réagir et comment le faire.

Identifier et classifier les incidents peuvent standardiser les procédures de réponse à l'avenir. L'organisation doit mettre à jour ses seuils pour inclure de nouvelles menaces internes et externes qui se qualifient comme incidents.

Résumé

Les neuf mesures de protection du CIS CSC 17 aident les organisations à mettre en place une gestion solide des réponses aux incidents, incluant l'attribution des rôles, la gestion des contacts, la pratique des scénarios et l'analyse et la documentation des incidents.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité