Sauriez-vous donner, au pied levé, les différences entre un événement de sécurité, une alerte et un incident ? Si ces termes font tous les trois partie du vocabulaire de la sécurité informatique, ils ne sont pas synonymes et encore moins interchangeables. La distinction entre ces différentes notions est essentielle pour renforcer sa posture de sécurité.
Quelles sont les différences entre un événement, une alerte et un incident de sécurité ? Quel est le rôle respectif de chacun dans la sécurité informatique ? Comment bien utiliser les événements de sécurité, les alertes et les incidents dans le cadre de sa sécurité opérationnelle ? Petite mise au point.
Sécurité opérationnelle : quelques définitions
Qu’est-ce qu’un événement de sécurité ?
Un événement de sécurité est une action rapportée par un système de surveillance. Les événements de sécurité ne représentent pas nécessairement une menace pour la sécurité informatique. Une analyse plus approfondie est nécessaire pour le déterminer.
Qu’est-ce qu’une alerte en matière de sécurité informatique ?
Une alerte de sécurité est une notification produite par un outil de surveillance ou un système de détection. L’alerte se produit lorsqu’un événement susceptible de révéler une activité malveillante ou une violation de sécurité a été identifié. Les alertes de sécurité sont généralement générées suite à une analyse automatisée des événements de sécurité. Une intervention humaine permet d’évaluer leur gravité et de confirmer ou non leur caractère malveillant.
Qu’est-ce qu’un incident de sécurité ?
On parle d’incident de sécurité lorsque des dommages sont causés (ou susceptibles d’être causés) à un système d’information, que des données et/ou des systèmes sont compromis. La violation de sécurité est identifiée et confirmée. Un incident de sécurité appelle une réponse rapide permettant de le contenir, de comprendre la situation et d’y remédier afin d’en limiter les dommages (potentiels ou avérés).
Quel est le rôle de ces concepts dans la sécurité opérationnelle et la gestion des menaces ?
L’importance de la détection précoce des événements
Les outils de gestion des événements de sécurité offrent une visibilité complète sur l’activité d’un système d’information. Ils permettent ainsi d’être informé en temps réel des événements qui s’y déroulent, et de détecter de manière précoce les événements qui sortent des schémas habituels. Cette détection précoce offre justement une plus grande réactivité face aux menaces.
Réaction aux alertes et prévention des attaques
Bien configurées, les alertes attirent l’attention des équipes chargées de la sécurité opérationnelle, les invitant à réagir rapidement et à investiguer. Objectif : prendre les mesures nécessaires pour protéger le SI d’une violation de sécurité et éviter la survenue d’un incident de sécurité majeur.
Gestion des incidents pour minimiser les impacts
Une fois l’incident de sécurité confirmé, différentes mesures permettent d’éviter sa propagation et d’en minimiser les impacts : qualifier l’incident, isoler les systèmes ou les machines infectés le cas échéant, etc. La méthodologie relative à la gestion des incidents de sécurité comporte également une phase de RETEX destinée à faire le point sur la crise passée et à capitaliser dessus afin d’éviter la survenue de nouveaux incidents.
Événements, alertes, incidents : exemples concrets
Exemples d’événements de sécurité
- Anomalies de trafic sur le réseau : augmentation inhabituelle du volume du trafic, par exemple.
- Activités inhabituelles et suspectes liées au comportement des utilisateurs : tentatives et échecs répétés d’authentification, changements de privilèges, tentatives d’accès non autorisés à des ressources, etc.
Exemples d’alertes de sécurité
Certains outils de détection sont en mesure de repérer un nombre élevé d’échecs de tentatives d’authentification sur une courte période. Cette information se transforme en alerte de sécurité car elle signale une possible tentative d’attaque par force brute. Si les équipes chargées de la sécurité parviennent à identifier l’adresse IP à partir de laquelle la tentative d’attaque a été lancée, elles peuvent par exemple la bloquer.
Les alertes de sécurité sont également susceptibles de prévenir de tentatives d’intrusion. Les éléments associés à l’alerte et l’analyse réalisée permettent d’aiguiller les équipes sur les mesures à prendre : blocage de l’adresse IP à l’origine de la tentative d’intrusion, désactivation des ports réseau inutilisés, meilleure configuration des pare-feux, renforcement de la gestion des accès et des privilèges, etc.
Scénario d’un incident de sécurité typique : le rançongiciel
Le rançongiciel est un exemple typique d’incident de sécurité, qu’il est possible de découper en 4 grandes phases.
• 1. Reconnaissance de la cible afin de comprendre son écosystème, à partir d’informations disponibles publiquement, de fuites de données, etc.
• 2. Accès initial : obtention d’identifiants de connexion, par exemple via des emails de phishing, puis diffusion d’un logiciel malveillant (loader).
• 3. Exploitation, avec escalade de privilèges et déplacement latéral. L’objectif de cette phase est d’obtenir davantage de droits et d’étendre son emprise sur le réseau de l’organisation ciblée.
• 4. Impact : chiffrement des données, diffusion d’une demande de rançon.
Outils et technologies utiles à la sécurité opérationnelle
Exemples d’outils de détection d’événements et d’alertes
SIEM
En agrégeant un très grand volume de données issues de différentes sources et grâce à son travail d’analyse des logs, un outil de type SIEM (Security Information and Event Management) détecte de possibles anomalies par rapport à l’activité habituelle du SI. Il fait ainsi ressortir des menaces.
EDR
Solution dédiée à la sécurité des terminaux, l’EDR (Endpoint Detection and Response) surveille en temps réel l’activité qui s’y déroule. Il peut ainsi identifier les menaces et alerter automatiquement les équipes. Un EDR est aussi en mesure d’apporter une réponse automatisée aux menaces identifiées afin de les contenir.
Outils de détection et de prévention des intrusions : IDS/IPS
Un IDS (système de détection des intrusions) est chargé de surveiller en permanence et en temps réel le trafic réseau et les activités système. Il génère des alertes en cas de détection d’activités suspectes, et peut même corréler différents événements afin de détecter des attaques plus complexes.
Quant aux outils de type IPS (système de prévention des intrusions), ils peuvent prendre des mesures destinées à prévenir les intrusions, par exemple bloquer une adresse IP ou désactiver un compte utilisateur compromis.
Les logiciels de gestion des incidents
Le recours à une plateforme de gestion des incidents facilite le travail des équipes en centralisant le processus de réponse (préparation, détection et analyse, confinement, éradication, etc.) et en fluidifiant les différents flux de travail.
Bien qu’il ne s’agisse pas d’un outil de gestion des incidents à proprement parler, la cartographie du système d’information s’avère fort utile dans le cas du processus de réponse à incident. Le recours à une cartographie du SI permet de :
• Mieux connaître son système d’information (en amont d’un incident).
• Identifier ses actifs les plus critiques pour mieux les protéger.
• Gagner du temps en cas d’incident en identifiant et en bloquant rapidement une attaque.
• Améliorer la prise de décision lors de la phase de réponse à incident.
L’intégration des solutions pour une approche holistique
Si les concepts d’événement, d’alerte et d’incident renvoient chacun à des niveaux d’impact et de gravité différents, ils doivent en revanche être traités conjointement. Les différents outils et technologies doivent également s’intégrer entre eux pour être pleinement efficaces.
Les organisations qui disposent d’un niveau de maturité suffisant peuvent par exemple rassembler leurs différentes solutions au sein d’une cellule dédiée à leur sécurité opérationnelle, c’est-à-dure un sein d’un SOC (Security Operations Center ou Centre des opérations de sécurité).
S’appuyant sur différents outils et technologies de détection et de génération d’alertes de sécurité, le SOC permet aux équipes de disposer d’une vue en temps réel sur l’ensemble de l’activité du système d’information et de réagir efficacement en cas d’événement anormal, d’alerte ou d’incident de sécurité avéré.
Quelles stratégies pour une gestion efficace de la sécurité opérationnelle ?
Automatiser les alertes pour accroître la réactivité
L’automatisation des alertes de sécurité est devenue un élément crucial dans le domaine de la sécurité opérationnelle, puisqu’elle offre aux équipes une réactivité accrue. Les menaces étant détectées plus rapidement, elles peuvent aussi être traitées dans des délais plus réduits. L’automatisation aide également les analystes en facilitant le tri et la qualification des alertes.
Rédiger un plan de réponse aux incidents
Le plan de réponse aux incidents est un document de référence formalisant la politique de réponse aux incidents d’une organisation. Il permet de réagir efficacement à l’incident, de mobiliser les équipes et de prendre les mesures nécessaires pour limiter les dommages causés par l’incident. Le plan de réponse détaille les procédures à suivre en cas d’incident, liste les actions à effectuer et les responsabilités de chacun.
Mettre en place un protocole de communication en cas d’incident
La communication occupe quant à elle une place stratégique dans la gestion d’un incident de sécurité. Elle sera d’autant plus efficace si un protocole de communication (comprenant à la fois un volet interne et un volet externe) a été défini en amont. Le recueil des informations, la mise en forme des messages et leur diffusion en direction des différents publics (salariés, partenaires, fournisseurs, presse, etc.) en seront facilités. Un plan de communication de crise « prêt à l’emploi », identifiant les différents canaux de communication à mobiliser en fonction des cibles, s’inscrit dans cette démarche.
Événement de sécurité, alerte et incident ne renvoient pas à des éléments de même nature. Il existe une sorte de gradation dans le passage de l’un à l’autre. Un événement de sécurité n’est pas systématiquement révélateur d’une activité malveillante. Il demande à être qualifié pour être éventuellement signalé sous forme d’alerte. Si cette alerte signale réellement une activité malveillante susceptible de causer des dommages ou les ayant déjà causés, alors il s’agit d’un incident de sécurité. Le passage d’un concept à un autre nécessite à chaque fois une analyse. S’ils présentent des différences, ces trois termes participent bien tous au développement d’une approche proactive en matière de sécurité informatique.
Vous aimeriez savoir comment OverSOC peut vous aider à développer une posture de sécurité proactive ? Contactez-nous.
