Comment Ca Marche - Communauté informatique  
   
Accueil - Encyclopédie informatiqueTélécharger l'encyclopédieContribuer à cet article

Sécurité - Réaction aux incidents

Réaction aux incidents de sécurité Encyclopédie

Il est essentiel d'identifier les besoins de sécurité d'une organisation afin de déployer des mesures permettant d'éviter un sinistre tel qu'une intrusion, une panne matérielle ou encore un dégât des eaux. Néanmoins, il est impossible d'écarter totalement tous les risques et toute entreprise doit s'attendre un jour à vivre un sinistre.

Dans ce type de cas de figure la vitesse de réaction est primordiale car une compromission implique une mise en danger de tout le système d'information de l'entreprise. De plus, lorsque la compromission provoque un dysfonctionnement du service, un arrêt de longue durée peut être synonyme de pertes financières. Enfin, dans le cas par exemple d'un défaçage de site web (modification des pages), la réputation de toute l'entreprise est en jeu.

Phase de réaction

La phase de réaction est généralement la phase la plus laissée pour compte dans les projets de sécurité informatique. Elle consiste à anticiper les événements et à prévoir les mesures à prendre en cas de pépin.

En effet, dans le cas d'une intrusion par exemple, il est possible que l'administrateur du système réagisse selon un des scénarios suivants :

  • Obtention de l'adresse du pirate et riposte ;
  • Extinction de l'alimentation de la machine ;
  • Débranchement de la machine du réseau ;
  • Réinstallation du systèe.

Or, chacune de ces actions peut potentiellement être plus nuisible (notamment en termes de coûts) que l'intrusion elle-même. En effet, si le fonctionnement de la machine compromise est vitale pour le fonctionnement du système d'information ou s'il s'agit du site d'une entreprise de vente en ligne, l'indisponibilité du service pendant une longue durée peut être catastrophique.

Par ailleurs, dans ce type de cas, il est essentiel de constituer des preuves, en cas d'enquête judiciaire. Dans le cas contraire, si la machine compromise a servi de rebond pour une autre attaque, la responsabilité de l'entreprise risque d'être engagée.

La mise en place d'un plan de reprise après sinistre permet ainsi d'éviter une aggravation du sinistre et de s'assurer que toutes les mesures visant à établir des éléments de preuve sont correctement appliquées.

Par ailleurs, un plan de sinistre correctement mis au point définit les responsabilités de chacun et évite des ordres et contre-ordres gaspilleurs de temps.

Restauration

La remise en fonction du système compromis doit être finement décrit dans le plan de reprise après sinistre et doit prendre en compte les éléments suivants :

  • Datation de l'intrusion : la connaissance de la date approximative de la compromission permet d'évaluer les risques d'intrusion sur le reste du réseau et le degré de compromission de la machine ;
  • Confinement de la compromission : il s'agit de prendre les mesures nécessaires pour que la compromission ne se propage pas ;
  • Stratégie de sauvegarde : si l'entreprise possède une stratégie de sauvegarde, il est conseillé de vérifier les modifications apportées aux données du système compromis par rapport aux données réputées fiables. En effet, si les données ont été infectées par un virus ou un cheval de Troie, leur restauration risque de contribuer à la propagation du sinistre ;
  • Constitution de preuves : il est nécessaire pour des raisons légales de sauvegarder les fichiers journaux du système corrompu afin de pouvoir les restituer en cas d'enquête judiciaire ;
  • Mise en place d'un site de repli : plutôt que de remettre en route le système compromis, il est plus judicieux de prévoir et d'activer en temps voulu un site de repli, permettant d'assurer une continuité de service.

Répétition du plan de sinistre

La répétition du plan de sinistre permet de vérifier le bon fonctionnement du plan et permet également à tous les acteurs concernés d'être sensibilisés, au même titre que les exercices d'évacuation sont indispensables dans les plans de secours contre les incendies.

Trucs & astuces pertinents trouvés dans la base de connaissances

25/10 21h13 Sécurité et réaction face à un piratage (MSN Messenger)
réactions Plus d'astuces sur « réactions »

Discussions pertinentes trouvées dans le forum

31/07 15h07 msn sécurité réaction face piratage MSN : Sécurité et Réaction face à un piratage Virus/Sécurité 14/08 03h00->david31
27/06 15h20 pubs reaction [Les pubs]Reaction? Windows 27/06 18h16->metathesus8
11/08 10h37 temps mort avant reaction petit temps mort avant reaction Matériel (hardware) 13/08 18h29->Dewey8
24/07 09h53 anti riaa réactions. [Anti-RIAA] Réactions. Windows 22/11 23h21->brupala5
12/12 14h08 reaction script batch Reaction bizare d'un script batch Développement 13/12 18h58->magicschou2
03/02 08h38  Réaction à un post de Jeff Suggestions 03/02 10h55->Ohm-WorK2
10/05 10h24 réaction souris Réaction souris Matériel (hardware) 10/05 12h35->titinho1
22/05 23h13 delphi réaction clavier [ Delphi ] Réaction au clavier Développement 23/05 09h52->blurk1
20/02 16h38 reaction ordinateur reaction bizarre de l'ordinateur Matériel (hardware) 20/02 16h53->Riot on it1
20/10 13h00 temps reaction temps de reaction Logiciels/Pilotes 20/10 13h00->manuben0
Discussion fermée Problème résolu réactions Plus de discussions sur « réactions »

Ce document intitulé « Sécurité - Réaction aux incidents » issu de l'encyclopédie informatique Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.