Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Éradiquer
Une fois qu'un incident est maîtrisé, il peut être nécessaire de l'éradiquer pour éliminer complètement les sources de menace afin de sécuriser le système avant de passer à l'étape de restauration suivante. Les mesures d'éradication peuvent inclure la suppression des logiciels malveillants et la suppression des comptes utilisateurs compromis, ainsi que l'identification et l'atténuation de toutes les vulnérabilités exploitées. Lors de l'éradication, il est important d'identifier tous les comptes, ressources et instances concernés au sein de l'environnement afin de pouvoir y remédier.
Il est recommandé que l'éradication et le rétablissement soient effectués par étapes afin que les étapes d'assainissement soient hiérarchisées. Pour les incidents de grande envergure, le rétablissement peut prendre des mois. L'objectif des premières phases doit être d'accroître la sécurité globale grâce à des modifications de grande valeur relativement rapides (quelques jours à plusieurs semaines) afin de prévenir de futurs incidents. Les phases ultérieures doivent se concentrer sur les changements à long terme (par exemple, les changements d'infrastructure) et sur le travail continu visant à assurer la sécurité de l'entreprise autant que possible.
Pour certains incidents, l'éradication n'est pas nécessaire ou est effectuée pendant le rétablissement.
Éléments à prendre en compte :
-
Est-il possible de recréer une image du système puis de le renforcer à l'aide de correctifs ou d'autres contre-mesures pour prévenir ou réduire le risque d'attaques ?
-
Tous les malwares et autres artefacts laissés par les attaquants ont-ils été supprimés et les systèmes affectés sont-ils renforcés contre de nouvelles attaques ?
