Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Activité postérieure à l’incident
Les menaces existantes sont en constante évolution. La capacité de votre organisation à protéger efficacement vos environnements doit suivre le rythme. La clé de l'amélioration continue consiste à réitérer les résultats de vos incidents et de vos simulations afin d'améliorer vos capacités à détecter, à répondre et à enquêter efficacement sur les incidents de sécurité potentiels, en réduisant vos vulnérabilités éventuelles, les délais de réponse et le retour à des opérations sûres. Les mécanismes suivants peuvent vous aider à vérifier que votre organisation dispose de toutes les capacités et les connaissances les plus récentes nécessaires pour réagir efficacement, quelle que soit la situation.
# Établir un cadre pour tirer les leçons des incidents
La mise en œuvre d'un cadre et d'une méthodologie en matière de *leçons apprises* permettra non seulement d'améliorer les capacités de réponse aux incidents, mais également d'empêcher que l'incident ne se reproduise. En tirant les leçons de chaque incident, vous pouvez éviter de répéter les mêmes erreurs, expositions ou mauvaises configurations, non seulement en améliorant votre posture de sécurité, mais également en minimisant le temps perdu dans des situations évitables.
Il est important de mettre en œuvre un cadre des leçons apprises qui établit et atteint, à un niveau élevé, les points suivants :
+ Quand se déroule un processus des enseignements tirés ?
+ En quoi consiste le processus des enseignements tirés ?
+ Comment se déroule un processus des enseignements tirés ?
+ Qui est impliqué dans le processus et comment ?
+ Comment les domaines à améliorer seront-ils identifiés ?
+ Comment allez-vous vous assurer que les améliorations sont suivies et mises en œuvre de manière efficace ?
Outre ces résultats de haut niveau énumérés, il est important de vous assurer de poser les bonnes questions pour tirer le meilleur parti du processus (informations menant à des améliorations réalisables). Posez-vous les questions suivantes pour commencer à développer vos discussions sur les enseignements tirés :
+ Quel a été l’incident ?
+ Quand l’incident a-t-il été identifié pour la première fois ?
+ Comment a-t-il été identifié ?
+ Quels systèmes ont alerté sur l’activité ?
+ Quels systèmes, services et données étaient concernés ?
+ Que s’est-il passé précisément ?
+ Qu’est-ce qui a bien fonctionné ?
+ Qu’est-ce qui n’a pas bien fonctionné ?
+ Quels processus ou procédures ont échoué ou n’ont pas pu être mis à l’échelle pour répondre à l’incident ?
+ Qu’est-ce qui peut être amélioré dans les domaines suivants :
+ **Personnes**
+ Les personnes à contacter étaient-elles réellement disponibles et la liste de contacts était-elle à jour ?
+ Les personnes manquaient-elles de formation ou n’avaient-elles pas les capacités nécessaires pour intervenir et enquêter efficacement sur l’incident ?
+ Les ressources appropriées étaient-elles prêtes et disponibles ?
+ **Processus**
+ Les processus et procédures ont-ils été suivis ?
+ Les processus et procédures étaient-ils documentés et disponibles pour cet incident ou ce type d’incident ?
+ Les processus et procédures requis étaient-ils absents ?
+ Les intervenants ont-ils pu accéder en temps opportun aux informations requises pour répondre au problème ?
+ **Technologie**
+ Les systèmes d’alerte existants ont-ils identifié l’activité et ont-ils envoyé des alertes efficaces ?
+ Les alertes existantes doivent-elles être améliorées ou de nouvelles alertes doivent-elles être créées pour cet incident ou ce type d’incident ?
+ Les outils existants ont-ils permis une investigation efficace (recherche/analyse) de l'incident ?
+ Que peut-on faire pour identifier cet incident ou ce type d’incident plus rapidement ?
+ Que peut-on faire pour éviter que cet incident ou ce type d’incident ne se reproduise ?
+ À qui appartient le plan d’amélioration et comment allez-vous vérifier qu’il a été mis en œuvre ?
+ Quel est le calendrier de mise en œuvre et de test des monitoring/preventative contrôles/processus supplémentaires ?
Cette liste n'est pas exhaustive ; elle est destinée à servir de point de départ pour identifier les besoins de l'organisation et de l'entreprise et la manière dont vous pouvez les analyser afin de tirer le meilleur parti des incidents et d'améliorer continuellement votre posture de sécurité. Le plus important est de commencer par intégrer les enseignements tirés dans le cadre standard de votre processus de réponse aux incidents, de la documentation et des attentes des parties prenantes.
# Établissez des indicateurs de réussite
Les métriques sont nécessaires pour mesurer, évaluer et améliorer efficacement vos capacités de réponse aux incidents. Sans indicateurs, il n'existe aucune référence permettant de mesurer avec précision ou même d'identifier les performances (ou non) de votre organisation. Quelques indicateurs communs à la réponse aux incidents constituent un bon point de départ pour une organisation qui cherche à établir des attentes et des références pour atteindre l'excellence opérationnelle.
# Temps moyen de détection
Le *temps moyen de détection* est le temps moyen nécessaire pour découvrir un éventuel incident de sécurité. Plus précisément, il s'agit du délai entre l'apparition du premier indicateur de compromission et l'identification ou l'alerte initiale.
Vous pouvez utiliser cette métrique pour suivre l'efficacité de vos systèmes de détection et d'alerte. Des mécanismes de détection et d'alerte efficaces sont essentiels pour garantir que d'éventuels incidents de sécurité ne persistent pas dans vos environnements.
Plus le temps moyen de détection est long, plus il est nécessaire de créer des alertes et des mécanismes supplémentaires ou plus efficaces pour identifier et découvrir d'éventuels incidents de sécurité. Plus le temps moyen de détection est court, plus vos mécanismes de détection et d'alerte fonctionnent bien.
# Temps moyen pour accuser réception
Le *délai moyen de reconnaissance* est le temps moyen nécessaire pour reconnaître et hiérarchiser un éventuel incident de sécurité. Plus précisément, il s'agit du délai entre la génération d'une alerte et le moment où un membre de votre SOC ou du personnel de réponse aux incidents identifie et hiérarchise l'alerte à traiter.
Vous pouvez utiliser cette métrique pour suivre dans quelle mesure votre équipe traite et hiérarchise les alertes. Si votre équipe n'est pas en mesure d'identifier et de hiérarchiser efficacement les alertes, les réponses seront retardées et inefficaces.
Plus le délai moyen d'accusé de réception est long, plus il est nécessaire de vérifier que votre équipe dispose des ressources nécessaires et est formée pour reconnaître rapidement un éventuel incident de sécurité et prioriser sa réponse par ordre de priorité. Plus le délai moyen d'accusé de réception est court, plus votre équipe est en mesure de répondre aux alertes de sécurité, démontrant ainsi qu'elle est bien préparée et capable de bien les hiérarchiser.
# Temps moyen de réponse
Le temps moyen de réponse est le temps moyen nécessaire pour commencer la réponse initiale à un éventuel incident de sécurité. Plus précisément, il s'agit du délai entre l'alerte initiale ou la découverte d'un éventuel incident de sécurité et les premières mesures prises pour y répondre. Ce délai est similaire au délai moyen pour accuser réception, mais il s'agit de la mesure des actions réactives spécifiques (par exemple, acquérir des données du système, contenir le système) par rapport à la simple reconnaissance ou à la reconnaissance de la situation.
Vous pouvez utiliser cette métrique pour suivre votre niveau de préparation à répondre aux incidents de sécurité. Comme nous l'avons mentionné, la préparation est essentielle à une intervention efficace. Reportez-vous à la [Préparation](preparation.md) section de ce document.
Plus le délai moyen de réponse est long, plus il est nécessaire de vérifier que votre équipe est correctement formée à la manière de réagir afin que les processus de réponse soient documentés et utilisés efficacement. Plus le délai moyen de réponse est court, plus votre équipe est en mesure d'identifier une réponse appropriée aux alertes identifiées et de prendre les mesures nécessaires pour commencer le retour à des opérations sûres.
# Temps moyen de confinement
Le *temps moyen de* confinement est le temps moyen nécessaire pour contenir un éventuel incident de sécurité. Plus précisément, il s'agit du délai entre l'alerte initiale ou la découverte d'un éventuel incident de sécurité et l'exécution des actions réactives qui empêchent efficacement l'attaquant ou les systèmes compromis de causer des dommages supplémentaires.
Vous pouvez utiliser cet indicateur pour savoir dans quelle mesure votre équipe est capable d'atténuer ou de contenir les éventuels incidents de sécurité. L'incapacité à contenir rapidement et efficacement les éventuels incidents de sécurité augmente l'impact, la portée et l'exposition à d'éventuelles nouvelles compromissions.
Plus le délai moyen de confinement est long, plus il est nécessaire de développer à la fois les connaissances et les capacités nécessaires pour atténuer et contenir rapidement et efficacement les incidents de sécurité que vous rencontrez. Plus le délai moyen de confinement est court, plus votre équipe est en mesure de comprendre et de mettre en œuvre les mesures nécessaires pour atténuer et contenir les menaces identifiées afin de réduire l'impact, la portée et les risques pour l'entreprise.
# Temps moyen de rétablissement
Le *temps moyen de rétablissement* est le temps moyen nécessaire pour rétablir complètement les opérations afin de protéger les opérations contre un éventuel incident de sécurité. Plus précisément, il s'agit du délai entre l'alerte initiale ou la découverte d'un éventuel incident de sécurité et le moment où l'entreprise reprend ses activités normalement et en toute sécurité sans être affectée par l'incident.
Vous pouvez utiliser cet indicateur pour suivre l'efficacité de vos équipes lorsqu'il s'agit de rétablir la sécurité des systèmes, des comptes et des environnements après un incident de sécurité. L'incapacité de reprendre des activités sûres rapidement ou efficacement peut non seulement avoir un impact sur la sécurité, mais également augmenter l'impact et les dépenses de l'entreprise et de ses opérations.
Plus le temps moyen de restauration est long, plus il est nécessaire de préparer vos équipes et vos environnements à disposer des mécanismes appropriés (par exemple, des processus de basculement et des CI/CD pipelines pour redéployer en toute sécurité des systèmes propres) afin de minimiser l'impact des incidents de sécurité sur les opérations et l'entreprise. Plus le délai moyen de restauration est court, plus vos équipes sont efficaces pour minimiser l'impact des incidents de sécurité sur vos opérations et votre activité.
# Temps de séjour de l'attaquant
Le *temps d'attente d'un attaquant* est le temps moyen pendant lequel un utilisateur non autorisé a accès à un système ou à un environnement. Ce délai est similaire au délai moyen de confinement, sauf que le délai commence au moment où l'attaquant a accédé au système ou aux environnements, ce qui peut être antérieur à l'alerte ou à la découverte initiale.
Vous pouvez utiliser cette métrique pour déterminer dans quelle mesure vos systèmes et mécanismes fonctionnent ensemble afin de réduire le temps, l'accès et les opportunités d'impact d'un attaquant ou d'une menace sur votre environnement. La réduction du temps passé par les attaquants doit être une priorité absolue pour vos équipes et votre entreprise.
Plus le temps passé par les attaquants est long, plus il est nécessaire d'identifier les aspects du processus de réponse aux incidents qui doivent être améliorés afin de garantir la capacité de vos équipes à minimiser l'impact et la portée des menaces ou des attaques dans vos environnements. Plus le temps passé par les attaquants est faible, plus vos équipes sont en mesure de minimiser le temps et les opportunités que représente une menace ou un attaquant dans vos environnements, réduisant ainsi les risques et l'impact sur vos opérations et votre activité.
# Récapitulatif des métriques
L'établissement et le suivi de mesures de réponse aux incidents vous permettent de mesurer, d'évaluer et d'améliorer efficacement vos capacités de réponse aux incidents. Pour y parvenir, un certain nombre de mesures courantes de réponse aux incidents ont été mises en évidence dans cette section. Le tableau 5 résume ces indicateurs.
*Tableau 5 — Mesures de réponse aux incidents*
| Métrique | Description |
| --- | --- |
| Temps moyen de détection | Temps moyen nécessaire pour découvrir un éventuel incident de sécurité |
| Temps moyen pour accuser réception | Temps moyen nécessaire pour reconnaître (et hiérarchiser) un éventuel incident de sécurité |
| Temps moyen de réponse | Temps moyen nécessaire pour commencer la réponse initiale à un éventuel incident de sécurité |
| Temps moyen de confinement | Temps moyen nécessaire pour contenir un éventuel incident de sécurité |
| Temps moyen de rétablissement | Temps moyen nécessaire pour un retour complet afin de garantir la sécurité des opérations en cas d'incident de sécurité |
| Temps de séjour de l'attaquant | Durée moyenne pendant laquelle un attaquant a accès à un système ou à un environnement |
# Utiliser des indicateurs de compromis (IOCs)
Un *indicateur de compromission* (IOC) est un artefact observé dans ou sur un réseau, un système ou un environnement qui peut (avec un niveau de confiance élevé) identifier une activité malveillante ou un incident de sécurité. IOCs peuvent exister sous diverses formes, notamment des adresses IP, des domaines, des artefacts au niveau du réseau tels que des drapeaux TCP ou des charges utiles, des artefacts au niveau du système ou de l'hôte tels que des exécutables, des noms de fichiers et des hachages, des entrées de fichier journal ou de registre, etc. Il peut également s'agir d'une combinaison d'éléments ou d'activités, tels que l'existence d'éléments ou d'artefacts spécifiques sur un système (un certain fichier ou ensemble de fichiers et éléments de registre), des actions effectuées dans un certain ordre (connexion à un système depuis une certaine adresse IP suivie de commandes anormales spécifiques) ou une activité réseau (trafic entrant ou sortant anormal vers ou depuis certains domaines) qui peuvent indiquer une menace, une attaque ou une méthodologie d'attaque spécifique.
Alors que vous vous efforcez d'améliorer de manière itérative votre programme de réponse aux incidents, vous devez mettre en œuvre un cadre de collecte, de gestion et d'utilisation en IOCs tant que mécanisme permettant de créer et d'améliorer en permanence les détections et les alertes et d'améliorer la rapidité et l'efficacité des enquêtes. Vous pouvez commencer par intégrer la collecte et la gestion des IOCs dans les phases d'analyse et d'investigation de vos processus de réponse aux incidents. En identifiant, en collectant et en stockant IOCs de manière proactive dans le cadre de votre processus, vous pouvez créer un référentiel de données (dans le cadre d'un programme de renseignement sur les menaces plus complet) qui peut à son tour être utilisé pour améliorer les détections et alertes existantes, créer des détections et des alertes supplémentaires, identifier où et quand un artefact a déjà été vu, créer et référencer des documents sur la manière dont les enquêtes étaient précédemment effectuées impliquant des IOCs appariements, etc.
# Éducation et formation continues
L'éducation et la formation sont à la fois des efforts évolutifs et continus qui devraient être poursuivis et maintenus avec détermination. Il existe divers mécanismes permettant de vérifier que votre équipe est sensibilisée, informée et dotée de capacités adaptées à l'évolution de l'état de la technologie ainsi qu'au paysage des menaces.
L'un des mécanismes consiste à intégrer la formation continue dans le cadre des objectifs et des opérations de vos équipes. Comme indiqué dans la section Préparation, votre personnel de réponse aux incidents et les parties prenantes doivent être formés efficacement à la détection, à la réponse et à l'investigation des incidents internes AWS. Cependant, l'éducation n'est pas un effort « ponctuel ». La formation doit être poursuivie en permanence pour vérifier que votre équipe est au courant des dernières avancées technologiques, des mises à jour et des améliorations qui peuvent être mises à profit pour améliorer l'efficacité et l'efficience de la réponse, ainsi que des ajouts ou des mises à jour des données qui peuvent être exploités pour améliorer les enquêtes et les analyses.
Un autre mécanisme consiste à vérifier que les simulations sont effectuées régulièrement (par exemple, tous les trimestres) et axées sur des résultats spécifiques pour l'entreprise. Reportez-vous à la [Exécutez des simulations régulières](run-regular-simulations.md) section de ce document.
Bien que les exercices de simulation initiaux constituent un excellent moyen de générer une base initiale d'amélioration, les tests continus sont essentiels pour obtenir des améliorations durables up-to-date et refléter fidèlement l'état actuel des opérations. En effectuant des tests par rapport aux situations de sécurité les plus récentes et les plus critiques et en utilisant les capacités de réponse les plus importantes ou les plus récentes, et en intégrant les leçons apprises dans la formation et les opérations, vous processes/procedures vérifierez que vous êtes en mesure d'améliorer en permanence vos processus de réponse et votre programme dans son ensemble.