1. Compétences professionnelles :

2. Coordination et coopération :

3. Traitement des preuves :

•Preuves numériques : telles que les journaux, les enregistrements, les fichiers informatiques et les composants du système informatique. Comme la mémoire ou le disque dur.

·Documents papier : tels que documents imprimés, notes manuscrites, rapports papier, etc.

•S'il s'agit d'une infraction pénale, le personnel devra être composé de professionnels ayant une formation en matière d'application de la loi, et le rôle du CISSP est de soutenir et de répondre à toute demande de ces professionnels.

Lors de la réponse à un incident, la collecte de preuves numériques est extrêmement importante. Les preuves numériques sont souvent éphémères et doivent donc être collectées le plus rapidement possible pour garantir leur intégrité.

Pour garantir l’intégrité des preuves, voici quelques bonnes pratiques :

•Digital Forensics and Incident Response (DFIR) est un processus qui implique la collecte et l'analyse de preuves numériques pour enquêter et répondre aux incidents de sécurité.

•Le traitement des preuves numériques nécessite le respect de certains processus et normes, tels que ISO/EC 27037:2012 et NISTSP 800-86.

•Il est très important de maintenir une bonne chaîne de conservation, y compris l'enregistrement de tous les processus de preuve, de la collecte à l'analyse, pour garantir l'intégrité et la fiabilité des preuves.

La nature distribuée et la portée mondiale du cloud computing présentent des défis uniques pour la criminalistique numérique. Lors de la collecte de preuves à partir d'environnements cloud, les problèmes juridiques et techniques doivent être pris en compte, notamment les questions liées à la souveraineté et à la juridiction des données.

•Précision:

•Authenticité:

• Compréhensibilité :

•Convaincant:

•Objectif:

•Admissible:

1. Saisie des données

2.Entretien

3.Interrogatoire

4. Demandes externes

•Outils médico-légaux : ces outils comprennent des logiciels et des équipements pour le suivi et la gestion des dossiers, des postes de travail et des zones de travail séparés et dédiés au travail médico-légal afin d'éviter la contamination des preuves faisant l'objet d'une enquête. Certains outils spécifiques peuvent inclure des bloqueurs d'écriture et des imageurs de lecteur, des conteneurs Faraday et des outils d'enregistrement vidéo et audio.

Étapes procédurales générales pour l’analyse médico-légale :

La nature du cloud computing rend la collecte de preuves plus difficile et des problèmes de juridiction peuvent survenir.

Principalement détecter et générer des alertes.

Une fois qu'une intrusion est détectée, diverses actions proactives sont prises, telles que : la mise en œuvre de règles de pare-feu pour bloquer le trafic malveillant, la restauration des fichiers dans leur état d'avant la corruption et même l'arrêt d'applications, de services ou de serveurs pour empêcher de nouvelles intrusions.

IDS et IPS peuvent être déployés en tant que variantes basées sur le réseau (NIDS et NIPS) ou basées sur l'hôte (HIDS et HIPS).

• Détection basée sur des modèles comportementaux, observant si le trafic s'écarte des lignes de base attendues

• Détection basée sur les signatures, qui analyse le trafic réseau ou l'activité de l'hôte à la recherche de modèles d'attaque connus.

Trop de faux positifs ne sont pas une bonne chose. Par conséquent, lors de l’utilisation d’IDS et d’IPS, il est nécessaire de les calibrer en fonction de l’activité de base d’une organisation spécifique et d’éviter autant que possible les attaques DoS accidentelles.

1. Centralisation : regroupez les fichiers journaux dispersés dans différents systèmes dans une bibliothèque centrale à des fins d'analyse et de surveillance.

2. Standardisation : convertissez les données de journal générées par différents systèmes dans un format cohérent pour la recherche et la corrélation.

3 Corrélation et détection : Corrélation via des données spéciales pour détecter les limites du système avec les sociétés de sécurité opérant dans le système.

4. Alertes : une fois les données analysées et traitées, SIEM générera automatiquement des alertes pour inciter les analystes à enquêter, améliorant ainsi l'efficacité de la détection et de la réponse aux incidents de sécurité.

Définition du point de référence : une surveillance efficace nécessite un ensemble de mesures de référence pour une comparaison continue, qui peut être basée sur un cadre de conformité reconnu (tel que PCI-DSS, NIST SP 800, etc.) ou une référence système (telle que CIS).

Automatisation : pour une surveillance continue, appuyez-vous sur des outils automatisés tels que les outils Endpoint Detection and Response (EDR) et les outils d'analyse du comportement des utilisateurs et des entités (UEBA).

Fréquence : La fréquence de la surveillance doit être déterminée en fonction de la priorité du contrôle et des coûts évalués. Cela nécessite de peser les risques et l’utilisation des ressources.

Mesures appropriées : les mesures définies pour un programme de surveillance continue doivent fournir des informations exploitables sur l'efficacité des contrôles. Cela nécessite de s’assurer que les mesures sont mesurables afin qu’elles puissent être suivies et améliorées.

Plan d'action clair : si des problèmes sont découverts lors de la surveillance, il doit y avoir un plan d'action clair pour les résoudre. Cela comprend le dépannage, la résolution et le suivi des problèmes.

Bilan coût/valeur : le coût d’un programme de surveillance continue doit être mis en balance avec la valeur qui en découle. Cela nécessite une évaluation complète des avantages attendus par rapport aux coûts de mise en œuvre pour garantir que l’investissement est justifié.

Une violation de données se produit lorsque des informations sensibles sont transmises illégalement et quittent un réseau. Les attaquants peuvent exploiter les ports, protocoles et services standard, tels que la messagerie électronique, FTP ou HITTP, pour envoyer des données. Parfois, ils dissimulent même leurs activités en déguisant les données en sources de données courantes à fort trafic, telles que le trafic HTTP.

Les outils DLP peuvent identifier et gérer des types de données spécifiques, tels que l'analyse du réseau à la recherche de données sensibles inconnues stockées sur le réseau, l'identification des données sensibles transférées sur le réseau et la génération d'alertes lorsque des tentatives sont faites pour copier des fichiers à partir de fichiers partagés. Ces outils peuvent bloquer temporairement une telle opération et demander à l'utilisateur de confirmer s'il souhaite réellement envoyer le fichier, ou même empêcher complètement une telle opération.

L'objectif de la surveillance démographique est d'identifier les données entrant sur le réseau et d'empêcher les messages contenant des données sensibles, tels que les e-mails, d'entrer sur le réseau.

Les stratégies de surveillance physique des entrées et des sorties comprennent l'inspection des supports physiques entrant et sortant de l'installation pour garantir que la transmission des données ne viole pas les politiques de l'organisation.

Brix est une source d'informations essentielle pour les activités d'application de la sécurité, y compris la surveillance continue et la réponse aux incidents (IR). Des frameworks tels que IS027001 et NIST SP 800-53 peuvent être utilisés pour développer une stratégie de journalisation. NIST SP 800-92 fournit les exigences de base pour la gestion des données des journaux de sécurité et les processus de normalisation et de désagrégation des informations collectées.

Une entreprise ou une organisation doit déterminer quels événements doivent être enregistrés et quels événements peuvent être ignorés. Cela doit être mis en balance avec les stratégies de risque et de sécurité pour garantir que les données des journaux ne sont ni redondantes ni dépourvues d’informations critiques.

Les journaux doivent enregistrer suffisamment de détails pour reconstruire les opérations sur le système d'information, y compris qui a effectué les opérations, ce qu'elles ont fait et quand elles ont eu lieu. Les points de données courants incluent les identifiants d'utilisateur ou de processus, les horodatages, les identifiants d'appareil, les noms d'objets, les identifiants de stratégie, etc.

Les données des journaux peuvent contenir des informations sensibles, leur confidentialité et leur intégrité doivent donc être garanties. Vous pouvez protéger l'intégrité des supports de stockage de données en écrivant des fichiers journaux sur des supports de stockage à haute intégrité, tels que des disques WORM. Pour les journaux d'application pouvant contenir des informations sensibles, l'accès doit être restreint pour protéger la confidentialité des données.

Le volume des données de journaux augmente avec le temps, ce qui nécessite une planification des capacités. Pour les journaux locaux stockés sur le serveur, vous pouvez mettre en œuvre une période de conservation plus courte pour économiser de l'espace. Les journaux stockés dans un outil SIEM peuvent être conservés pendant des mois, des années, voire pour toujours. Les données des journaux peuvent également être archivées à l’aide de méthodes de stockage hors ligne peu coûteuses pour réduire les coûts et ralentir l’accès.

La veille sur les menaces est une stratégie préventive qui aide les professionnels de la sécurité à identifier et à prédire les menaces et les attaquants susceptibles de cibler leur organisation. Ces renseignements peuvent être intégrés à SIEM et SOAR, et les sources incluent, sans s'y limiter, des fournisseurs de renseignements sur les menaces commerciales, des agences gouvernementales (telles que CISA aux États-Unis), des centres de partage et d'analyse d'informations industrielles (ISAC) et le Web profond, le dark web. web, réseaux sociaux ou blogs, etc.

La chasse aux menaces est une stratégie de défense proactive qui utilise une analyse manuelle et des outils automatisés pour rechercher et analyser les données sur les menaces afin de détecter et de se défendre de manière proactive contre les menaces internes et externes à l'organisation. Cela peut se faire aux trois niveaux suivants :

UEBA est une solution de sécurité qui utilise des modèles d'apprentissage automatique et d'analyse statistique pour définir une base de référence du comportement normal ou attendu des utilisateurs et des entités disposant des systèmes d'information. Tout écart par rapport à cette ligne de base attendue sera signalé comme suspect et utilisé comme entrée dans d’autres outils de sécurité pour une analyse plus approfondie.

Dans ce contexte, les entités font référence aux acteurs non humains du réseau, y compris le matériel (tel que les routeurs et les serveurs) ainsi que les processus logiciels, les threads ou les démons. Un utilisateur est un utilisateur humain qui se connecte et interagit avec un système d'information.

UEBA offre une surveillance et une adaptabilité de sécurité plus granulaires, permettant de personnaliser les politiques de sécurité en fonction des besoins uniques de chaque organisation. Cette approche peut éviter les restrictions et impacts inutiles sur les activités commerciales légitimes, tout en améliorant la rentabilité des outils de sécurité.

Les résultats de surveillance générés par l'UEBA peuvent servir d'entrée utile à d'autres outils de sécurité tels que SOAR ou IPS, déclenchant des réponses automatisées et des contrôles de sécurité. Par exemple, si une machine potentiellement infectée est détectée, elle pourrait déclencher des mesures de quarantaine du réseau ou suspendre les informations d'identification d'un utilisateur afin de limiter les dommages potentiels qu'une activité malveillante peut causer à une organisation.

La configuration est la première étape de la gestion de la configuration. Cela implique généralement l'utilisation d'une image de base pré-approuvée qui répond aux besoins de l'organisation en matière de configuration matérielle et logicielle, permettant un déploiement rapide des systèmes d'exploitation et des logiciels. Cela réduit le temps d’installation et les erreurs possibles.

Pour un provisionnement efficace, les organisations doivent avoir une compréhension claire de tous leurs actifs, y compris le matériel, les logiciels, les services cloud, etc. Ceci peut être réalisé grâce à un contrôle proactif et réactif de l’inventaire des actifs. Le contrôle proactif des stocks enregistre des informations détaillées au fur et à mesure de l'achat du matériel et des logiciels, tandis que le contrôle réactif des stocks ajoute des actifs inconnus à l'inventaire au fur et à mesure de leur découverte.

Une fois que tous les actifs sont compris, une organisation peut définir une référence, qui est un ensemble établi de normes organisationnelles utilisées pour garantir que les systèmes sont configurés pour répondre à ces normes. Toutefois, les lignes de base ne sont pas statiques. À mesure que les fonctions du système, les versions du système, les applications de correctifs et les environnements d'exploitation changent, la référence peut devoir être ajustée. Cela nécessite un processus de gestion du changement soigneusement conçu pour garantir que les modifications apportées à la base de référence sont soigneusement planifiées, testées et mises en œuvre.

• Guides de mise en œuvre technique de la sécurité de la Defense Information Systems Agency (DISA STIG)

•Référence CIS

• Conseils fournis par les fournisseurs (ex : Microsoft, Alibaba Cloud, etc.)

•automatisation:

Il s'agit d'un principe de sécurité de l'information qui s'articule autour de l'idée selon laquelle seuls ceux qui doivent accéder à des informations spécifiques en raison de leurs responsabilités professionnelles ou des exigences de leur mission devraient avoir accès à ces informations. En termes simples, si quelqu'un n'a pas besoin d'utiliser les informations pour son travail, il ne devrait pas y avoir accès.

Il s'agit d'un autre principe de sécurité de l'information qui vise à limiter autant que possible l'accès des utilisateurs, en ne leur accordant que les droits minimaux dont ils ont absolument besoin pour faire leur travail. Cela réduit le risque pouvant résulter d’un abus de privilèges ou si le système est compromis.

Il fait référence à la séparation des différentes étapes d'un processus métier entre plusieurs personnes pour empêcher une personne de disposer de trop d'autorisations ou de capacités, réduisant ainsi le risque de menaces internes et d'activités frauduleuses.

Le contrôle multijoueur signifie que plusieurs personnes sont nécessaires pour effectuer une action ou une tâche. Cela ne signifie pas nécessairement que ces personnes ont des privilèges identiques ou différents, mais simplement que, par souci d'équilibre, l'action ou la tâche doit être effectuée par plusieurs personnes.

Le contrôle M-Of-N est également similaire au contrôle multi-personnes, mais il nécessite uniquement que M sur N personnes capables d'effectuer des tâches connexes travaillent ensemble pour mener à bien le processus.

Les autorisations d'exploitation (autorisations) généralement accordées aux utilisateurs du système. Ces autorisations peuvent inclure la lecture, l'écriture, la modification de fichiers, l'exécution de programmes, l'accès à des ressources spécifiques, etc.

Il s'agit d'un compte doté de privilèges particulièrement élevés dans le système, généralement un compte d'administrateur système ou de superutilisateur. Les autorisations de ces comptes peuvent inclure la modification des paramètres du système, l'installation de logiciels, la gestion des comptes d'utilisateurs, etc.

•Configuration : les utilisateurs nécessitant un accès privilégié doivent subir un contrôle rigoureux pour garantir qu'ils ont des besoins légitimes et qu'ils peuvent être dignes de confiance.

•Utilisation : les comptes privilégiés doivent comporter des étapes d'authentification supplémentaires, telles que l'authentification multifacteur obligatoire, l'utilisation du compte doit être limitée dans le temps et expirer automatiquement, et toutes les opérations doivent être enregistrées.

• Audit : des vérifications automatiques ou manuelles des journaux des comptes privilégiés doivent être effectuées régulièrement pour détecter tout comportement inhabituel ou suspect.

Déprovisionnement : lors de la déprovisionnement d'un compte privilégié, il est préférable de suspendre ou de désactiver d'abord le compte, puis de procéder à un examen pour déterminer si le compte doit être définitivement déprovisionné.

1) Offre des opportunités de formation croisée, donnant aux employés une chance d’améliorer leurs compétences et offrant plus de flexibilité à l’organisation.

2) Atténuer les menaces internes telles que la fraude.

Il s'agit d'un accord signé entre une organisation et un fournisseur, qui stipule les indicateurs de disponibilité et de performance que les produits ou services fournis par le fournisseur doivent respecter, ainsi que les responsabilités et obligations des deux parties. En règle générale, les SLA contiennent des clauses de pénalité pour garantir que le fournisseur peut remplir ses engagements et également pour l'encourager à fournir de meilleurs produits ou services.

1) Types de supports : y compris les enregistrements papier, les disques durs (HDD), les disques SSD (SSD) et le stockage dans des environnements cloud.

2) Classification des données : classez les données conformément à la politique de classification de l'organisation pour jeter les bases de la sélection des mesures de contrôle appropriées.

3) Étiquetage et marquage : Tous les supports doivent être étiquetés pour indiquer le niveau de classification des données qu'ils contiennent. Dans différentes circonstances, des filigranes, des en-têtes/pieds de page de fichiers ou des métadonnées peuvent être utilisés pour le marquage.

4 Traitement : les utilisateurs doivent être formés aux niveaux de classification et aux procédures de traitement des médias. Les procédures de traitement peuvent inclure la manière de traiter les données sensibles, de se conformer aux exigences de destruction, etc.

·Mettre en œuvre des contrôles de sécurité : appliquer les mesures de contrôle de sécurité nécessaires en fonction de la classification des données, enregistrer les processus et procédures correspondants et former les utilisateurs.

•Principe du moindre privilège : limiter l'accès aux médias et mettre en œuvre des mesures de sécurité physique.

•Protection physique : concentrez-vous sur la protection physique pour faire face aux risques potentiels, tels que la perte ou le vol d'équipement. Des contrôles compensatoires, tels que le chiffrement des disques, garantissent la confidentialité des données.

•Transport Butterfly : assure la sécurité des médias en transit grâce à des mesures de cryptage, de vérification du hachage et de protection physique.

•Désinfection et élimination : Choisissez la méthode de désinfection et d'élimination appropriée selon vos besoins, comme le recouvrement, la démagnétisation, la destruction physique ou le concassage cryptographique. Dans les solutions de stockage cloud, l’effacement cryptographique peut être la seule méthode de sécurité viable.

•Gestion des fournisseurs : veillez à ce que les fournisseurs de destruction respectent les contrats et les accords de niveau de service, y compris les normes de sécurité physique et les exigences d'assurance.

•Événements : éléments observables, tels que les opérations régulières. Généralement, aucune action supplémentaire n’est requise.

• Incidents : événements imprévus qui ont un impact négatif sur l'organisation et nécessitent que le personnel informatique, opérationnel et de sécurité enquête conjointement et y remédie.

•Documenter les outils, les ressources et les processus requis pour identifier, classer et remédier à l'impact d'un incident.

• Contient les définitions des types d'incidents, le personnel de l'équipe d'intervention en cas d'incident, les rôles et les salaires, les ressources requises et les processus de gestion des incidents.

•Le cadre de réponse aux incidents met l'accent sur la planification des incidents à l'avance et sur l'élaboration de stratégies de réponse appropriées. Tels que : TL, NIST, ISACA

•Catégoriser et prioriser en fonction de la criticité, de l'impact et de l'urgence.

De nombreuses organisations utilisent (P0-P5) pour classer les incidents. P0 est le test et les exercices de réponse aux incidents les plus critiques et P5 les moins critiques :

•Testez le plan dans des situations non urgentes pour identifier les lacunes, les oublis ou les problèmes.

• Réduisez la confusion ou le gaspillage lors d'un incident réel en formant les membres de l'équipe de réponse aux incidents sur leurs responsabilités au moyen d'exercices.

•Assurer une coordination appropriée avec les prestataires de services externes pour permettre à l'organisation de continuer à fonctionner.

•Le plan de réponse aux incidents doit identifier les principaux prestataires de services externes ou tiers et documenter les coordonnées.

•Clarifier les rôles et responsabilités des tiers afin que les équipes internes et les tiers puissent collaborer pour gérer les incidents.

1) Identifier les processus RI qui doivent être améliorés ;

2) S'attaquer à la cause sous-jacente ou fondamentale pour éviter que l'incident ne se reproduise.

1•Inspection statique des paquets (sans état) : il s'agit de la première génération de pare-feu axés sur le filtrage basé sur des règles des informations d'en-tête des paquets.

2. Pare-feu avec état : basé sur la première génération, le pare-feu de deuxième génération ajoute une compréhension du contexte de communication (état) et offre une protection plus flexible et intelligente.

3. Pare-feu d'application Web (WAF) et passerelle API : Ces types spécifiques de pare-feu ne correspondent pas directement à une certaine génération de pare-feu, mais sont des solutions dédiées à des scénarios d'application spécifiques (tels que les applications Web et les API).

4. Pare-feu basé sur l'hôte : Cela ne correspond pas non plus directement à une certaine génération de pare-feu, mais il s'agit d'une protection déployée sur un seul hôte pour fournir une couche de sécurité supplémentaire au-delà du pare-feu réseau.

5. Pare-feu de nouvelle génération (NGFW) : souvent considéré comme la troisième génération de pare-feu, il intègre plusieurs fonctionnalités de sécurité. Tels qu'un pare-feu dynamique, une passerelle API, des services de détection d'intrusion et VPN, etc., fournissant un pare-feu de sécurité réseau plus complet

Ce concept apparaît dans les environnements de réseautage défini par logiciel (SDN) et de cloud et n'est pas directement lié à une génération de pare-feu spécifique. Ils sont fonctionnellement similaires aux pare-feu mais sont plus flexibles et évolutifs dans les environnements virtualisés.

1. Fonction : Détecter les tentatives d'intrusion dans le système.

2.Tapez :

3. Comment ça marche : un appareil passif qui analyse le trafic ou l'activité et détecte les activités qui correspondent à des modèles malveillants ou qui s'écartent du fonctionnement normal ou attendu du système.

4. Réponse : génère une alerte qui nécessite une action humaine.

1. Fonction : Détecter et réagir aux tentatives d’intrusion du système.

2.Tapez :

3. Comment ça marche : un appareil actif qui analyse le trafic ou l'activité et détecte les activités qui correspondent à des modèles malveillants connus ou qui s'écartent du fonctionnement normal ou attendu du système.

•Réponse : prenez automatiquement des mesures préventives, telles que la mise en œuvre de nouvelles règles de pare-feu.

1. NIDS/NIPS

2. CACHES/HANCHES

• Coûts réduits

• Connaissances d'experts

• Contrôle inférieur

• Risque de ciblage de tiers

• Frais généraux supplémentaires liés à la gestion des tiers

• Centre d'opérations de sécurité (SOC) : opérations SOC partiellement ou entièrement externalisées

• Digital Forensics and Incident Response (DFIR) : en tant qu'extension de la surveillance continue, fournie par MSSP

Intelligence sur les menaces : fournit des informations sur les menaces potentielles pour l'organisation, qui peuvent être combinées avec une surveillance continue, une évaluation des risques et la technologie SOAR.

est un environnement isolé avec une capacité limitée à se connecter à des ressources en dehors du bac à sable.

•Analyse de virus : exécutez des logiciels malveillants sur des machines virtuelles isolées. Prévenir l’infection d’autres systèmes

•Preuve de concept : Expérimenter dans un environnement isolé sans affecter l'intégrité des données du système de production

Contrôler le comportement d'exécution des applications grâce à un ensemble de règles restrictives

Exemple : le système iOS d'Apple empêche les applications d'accéder aux données et aux fonctionnalités.

Ajoutez une couche de sécurité supplémentaire à votre smartphone

Une application spécifique est installée sur le téléphone de l'utilisateur qui permet l'accès aux données de l'organisation mais restreint l'accès aux données externes

• Informations utilisées pour détecter ou collecter des tentatives non autorisées d'accès aux données et aux systèmes d'information.

Les pots de miel semblent être des ressources précieuses, mais ne contiennent en réalité aucune donnée importante.

• Distrayez les attaquants et protégez les cibles de grande valeur

• Collecter des informations sur les attaquants telles que l'adresse IP

•Il existe des problèmes juridiques concernant l'utilisation de pots de miel/filets de miel dans différentes juridictions, notamment en ce qui concerne le piégeage.

• Fournit un moyen simple de déployer et de surveiller les appareils Honeypot.

• Gérer les contestations juridiques liées aux pots de miel et éviter les problèmes de piégeage

•Les alertes générées peuvent être intégrées aux outils SIEM ou SOAR

Les premiers logiciels antivirus (A/V), à mesure que les menaces évoluaient, ont été progressivement remplacés par des logiciels anti-malware (A/M).

Adoptez un modèle de défense à plusieurs niveaux pour garantir que le trafic et l'activité sont analysés minutieusement afin de détecter les comportements indésirables.

Peut être déployé sur des ressources critiques telles que des serveurs de messagerie, des serveurs de partage de fichiers et des outils de surveillance réseau

•Solution Endpoint Detection and Response (EDR) : combine les capacités A/M, le pare-feu hôte, la surveillance de l'intégrité des fichiers et l'UEBA.

•Service Managed Detection and Response (MDR) : combine des capacités de détection avec des services de sécurité tiers pour répondre aux risques de sécurité des points finaux.

• Outils basés sur les signatures : recherchez des fichiers spécifiques ou des modèles d'activité associés à des logiciels malveillants connus.

• Détection heuristique : s'appuie sur l'analyse statistique des modèles d'activité pour détecter les comportements potentiellement malveillants.

• Actions post-détection : mettre en quarantaine les fichiers ou systèmes affectés, générer des alertes

• Intégration des alertes : intégration aux outils SIEM pour une surveillance et une réponse centralisées, ou à SOAR pour une réponse automatisée aux incidents.

• Détecter et réagir plus rapidement aux incidents

• Si elle est configurée correctement, l'erreur humaine peut être éliminée de la prise de décision.

La nature de la prise de décision en boîte noire : il est difficile de détecter les erreurs ou d’en comprendre les résultats. Il peut donc être difficile de prendre des mesures basées sur des alertes. Nous devons être prudents lorsque nous traitons de nouvelles technologies.

• Chasse aux menaces : recherche de menaces susceptibles d'exploiter des vulnérabilités inconnues.

• Analyse des vulnérabilités : détectez automatiquement les vulnérabilités connues, telles que les configurations non sécurisées ou les logiciels non corrigés.

• Confrontation Rouge-Bleu : L'équipe rouge effectue des tests ciblés sur des actifs spécifiques et l'équipe bleue mène la défense.

•Tests d'intrusion et bug bounty : tests manuels pour trouver des vulnérabilités.

•Automatisez les processus et les flux de travail de gestion des vulnérabilités à l'aide des outils SOAR.

1) Créez une demande de changement : documentez l'objectif, la justification, la personne responsable, les ressources requises et l'impact attendu du changement.

2) Examen des changements : le comité de contrôle des changements ou le conseil consultatif des changements (CCB ou CAB) effectue un examen pour évaluer la valeur commerciale, l'impact et les risques potentiels du changement.

3) Approbation du changement : exécuté par la personne responsable selon le plan enregistré.

4) Coordonner les questions de sécurité : veiller à ce que les processus pertinents soient suivis lors de l'achat et du déploiement du nouveau matériel.

•Modifications standard : faible risque, peu susceptibles d'avoir un impact négatif, pré-approuvées. Par exemple : appliquez des correctifs standard, ajoutez des actifs standard et installez des logiciels approuvés.

•Changements normaux : nécessitent un processus complet de gestion du changement. La mise en œuvre est programmée selon les réunions régulières du Comité de Changement.

•Changements d'urgence : répondre aux urgences, telles que les incidents de sécurité. Une prise de décision simplifiée ou des processus plus légers peuvent être utilisés pour équilibrer sécurité et rapidité.

En rapport avec les objectifs de sécurité de disponibilité, identifiez les actifs et les fonctions critiques grâce à une analyse d'impact sur l'entreprise (B/A) et concevez des stratégies de récupération pour équilibrer les besoins et les coûts de disponibilité.

• Objectif de temps de récupération (RTO) : temps nécessaire pour restaurer un système ou un processus à l'aide de procédures d'urgence.

• Objectif de point de récupération (RPO) : quantité de perte de données pouvant être tolérée en cas de sinistre.

• Temps d'arrêt maximum toléré (MTD ou MAD) : durée pendant laquelle une organisation peut survivre sans qu'un actif ou un processus ne soit disponible pour utilisation.

•Sauvegarde complète : la sauvegarde de toutes les données prend le plus de temps et occupe le plus grand espace.

• Sauvegarde incrémentielle : sauvegarde les données modifiées depuis la dernière sauvegarde complète ou sauvegarde incrémentielle. C'est la sauvegarde la plus rapide, mais la restauration est la plus longue.

•Sauvegarde différentielle : sauvegarde toutes les données modifiées depuis la dernière sauvegarde complète, plus rapidement et avec des besoins de stockage réduits.

Conservez au moins trois copies des données, deux copies sont stockées localement ou sur site, y compris la copie des données principales, et une copie est stockée dans une sauvegarde à distance hors ligne.

Intégrité et confidentialité des sauvegardes :

• Services cloud, tels que Software as a Service (SaaS), configurés pour la haute disponibilité, la réplication automatique des données et la persistance des données.

•Utilisez l'infrastructure en tant que service (laas) ou la plateforme en tant que service (paas) comme solution de stockage de sauvegarde.

•Évaluez le compromis entre la perte de contrôle physique des données et les économies de coûts lors de l'utilisation de services cloud. Le chiffrement des données avant de les stocker dans un environnement cloud peut être une mesure de sécurité efficace.

• Site froid : installation vide, nécessite une configuration des équipements et des utilitaires, un temps de récupération plus long et un coût inférieur.

•Site chaleureux : Il dispose de certains équipements et nécessite un certain degré de construction.

· Site actif : possède les mêmes installations et données que le site principal, est coûteux mais permet de respecter le RTO ou le RPO à court terme.

· Avantages : Métadonnées intégrées pour les sites multi-traitements. A une grande fiabilité.

•Inconvénients : Loyers, coûts de personnel et d'équipement plus élevés.

Fait référence à la capacité du système à résister aux pannes et s'appuie sur une conception qui tient compte des pannes et intègre des actions correctives.

Fournissez une redondance et un reroutage dynamique grâce à des technologies telles que les équilibreurs de charge ou le clustering pour garantir une disponibilité continue du système.

Fonction de la technologie réseau qui donne la priorité au trafic important, tel que les données critiques ou urgentes.

Selon les niveaux de l'Uptime Institute, différents niveaux de centres de données peuvent fournir différents degrés de disponibilité garantie en cas de perturbation.

Systèmes capables de tolérer des pannes matérielles, logicielles ou de traitement des données et de continuer à fonctionner, tels que les systèmes RAID et les systèmes de bases de données.

1. Les praticiens de la sécurité sont souvent responsables de la réponse initiale aux situations de catastrophe.

2. Les actions requises pour répondre à une catastrophe varient selon le type de catastrophe. Les gens ont des capacités de prise de décision limitées lors de situations stressantes. Il est donc préférable d'avoir des plans de réponse et d'action pré-approuvés dans les plans de reprise après sinistre et de continuité des activités.

3. Certaines tâches qui doivent être abordées dans le plan comprennent :

4 Documentez toutes les opérations pour soutenir les examens post-catastrophe et fournissez les preuves requises pour l'assurance ou l'action en justice.

•Comprend les employés et la direction qui ont besoin de connaître les informations sur l'incident et la manière de participer à la réponse.

•Les méthodes de communication peuvent être actives (comme une arborescence téléphonique) ou passives (comme des messages publiés sur un site Web).

•La méthode de communication choisie doit tenir compte du caractère critique de la personne qui la reçoit et du message véhiculé.

•Comprend les clients, le public, les partenaires commerciaux et les fournisseurs touchés par des urgences organisationnelles.

•Des obligations légales ou contractuelles peuvent dicter la manière dont les communications sont menées avec les parties prenantes externes, telles que les avis de confidentialité en cas de violation de données.

•Utiliser des méthodes de communication actives et passives, le cas échéant, comme informer les clients de manière proactive ou émettre de nouvelles demandes.

•La communication suit le principe d'une seule voix : l'organisation doit avoir une voix unifiée lorsqu'elle communique avec des parties prenantes externes (telles que les médias ou le public), et ce principe doit être inclus dans le cadre de la formation.

•Semblable à une évaluation des risques, l'objectif principal est d'identifier les impacts et de prioriser les réponses.

•La nature et la source de la catastrophe (telle que d'origine humaine ou naturelle) ainsi que la priorité des actions de récupération (telles que l'évacuation du personnel ou l'arrêt progressif et le déplacement de l'équipement vers des installations de secours) doivent être déterminées.

•Le processus d'évaluation peut être continu et l'équipe d'intervention doit identifier les impacts actuels et futurs possibles de l'événement ou de la catastrophe.

• Doit être communiqué à la direction et aux décideurs afin de déterminer la bonne direction d'action.

•S'il existe un bon plan BCDR, la réponse doit suivre certaines procédures ou étapes et être adaptée à la catastrophe spécifique.

• Ces étapes doivent donner la priorité à la vie, à la santé et à la sécurité, tout en tenant également compte de l'impact sur les clients, des obligations réglementaires et des coûts directs et indirects (tels que la perte de revenus et l'atteinte à la réputation).

•Après la récupération, évaluez l'impact global de la catastrophe ou de l'événement.

•L'évaluation doit inclure le coût financier global pour l'organisation (y compris les coûts de rétablissement et toute perte d'activité ou de productivité) ainsi que des informations sur la manière d'améliorer les opérations en cas de catastrophe et de continuité à l'avenir.

•L'enregistrement et l'application des leçons apprises seront abordés plus en détail dans les chapitres suivants.

• Restaurer le site ou l'installation d'origine touchée par la catastrophe.

• Restaurer les fonctions commerciales critiques.

•Reprise des niveaux de service normaux dans les lieux clés.

•Texte des cueilleurs de champignons spécifiques dans les plans C et DR.

•Et le rôle de l'équipe de sécurité dans la restauration des services informatiques et la garantie des contrôles de sécurité.

•Les équipes RH, financières et juridiques peuvent jouer un rôle clé dans certains types de catastrophes.

•Assurer que les connaissances restent à jour.

•Effectuez régulièrement des exercices d'incendie ou d'évacuation.

•Effectuer des tests et des exercices de routine du plan BC ou DR pour la formation croisée et la mise à jour des connaissances du personnel clé.

• Examen régulier des plans BC et DR

• Examen formel une fois la récupération terminée

• Tirer parti des leçons apprises pour optimiser les plans et les processus.

•Identifier les forces et les faiblesses du plan

•Analyser l'impact du comportement des employés sur le processus de récupération

• Effectuer des post-mortems et une analyse des causes profondes

•Identifier les points forts d'un plan ou d'une réponse

•Identifier les opportunités d'amélioration potentielles

• Appliquer les informations collectées au programme BCDR et aux améliorations des processus.

•Le test BCDR le plus simple

• Discuter des plans avec diverses parties prenantes

• Examiner les informations et les processus clés

• Exercices pratiques dans des scénarios réels

•Opérations sur le terrain avec les acteurs clés

•Identifier les problèmes et hypothèses potentiels

• Semblable à un exercice d'incendie

• Répondre à des scénarios spécifiques

• Vérifier l'objectif de temps de récupération (RTO) et l'objectif de point de récupération (RPO)

• Tester simultanément les systèmes actifs et de sauvegarde

• S'assurer que les systèmes de sauvegarde peuvent résister à la charge réelle

•Découvrez les erreurs de configuration ou les problèmes de sauvegarde des données

• Simuler une véritable catastrophe

• Coût élevé, pouvant affecter les opérations normales

•Identifier tous les problèmes dans les plans et processus BCDR

1. Modifications des exigences de sécurité lors des opérations d'urgence, fournir des suggestions de modifications des exigences de sécurité pour mettre en œuvre ou gérer des mesures pour faire face aux nouvelles exigences

2. Conseils sur les modifications apportées aux plans BC et DR

3. Concevoir des scénarios de tests et d'exercices

•Zones publiques : routes, trottoirs, halls d'entrée, parkings

• Entrées et sorties du lieu : bureau d'accueil, porte d'entrée, zone de chargement et déchargement

•Installations externes : générateur de secours, services publics, parkings

•Installations opérationnelles : bureaux, salles de réunion

•Installations de haute sécurité : centres de données, coffres-forts, SCIF

•Contrôles préventifs : contrôles conçus pour prévenir les incidents de sécurité. Par exemple, les systèmes de contrôle d’accès, les clôtures et les serrures peuvent empêcher les personnes non autorisées d’entrer dans l’installation.

•Contrôle des menaces : en créant des menaces potentielles, les attaquants potentiels auront peur d'attaquer, réduisant ainsi le risque d'incidents de sécurité. Par exemple, les caméras de sécurité et les panneaux d’avertissement peuvent donner aux attaquants potentiels l’impression d’être surveillés, réduisant ainsi la probabilité de commettre un crime.

•Contrôles de détection : mesures de contrôle utilisées pour détecter les incidents de sécurité en temps opportun. Par exemple, les caméras de sécurité, les systèmes de détection d'intrusion (IDS) et les capteurs de mouvement peuvent détecter des intrusions non autorisées ou des comportements anormaux.

• Contrôles compensatoires : contrôles qui fournissent une protection supplémentaire lorsque d'autres contrôles ne parviennent pas à prévenir ou à détecter complètement les incidents de sécurité. Par exemple, le personnel de sécurité peut être utilisé pour effectuer des patrouilles temporaires en cas de panne des systèmes de contrôle d'accès.

Contrôles de récupération : contrôles qui aident à restaurer les opérations normales après un incident de sécurité. Par exemple, les générateurs de secours et les plans de reprise après sinistre peuvent restaurer les opérations des installations critiques après un incident.

•Contrôles directifs : contrôles qui orientent le comportement au sein d'une organisation en prescrivant des règles et des procédures. Par exemple, la formation, les politiques et les procédures opérationnelles en matière de sécurité peuvent guider les employés à suivre des pratiques sécuritaires.

•Contrôles correctifs : contrôles qui prennent des mesures pour réparer les dommages ou corriger les erreurs après qu'un incident de sécurité se soit produit. Par exemple, les enquêtes post-événement, les audits de sécurité et les actions correctives peuvent aider les organisations à résoudre les problèmes de sécurité et à empêcher que des incidents similaires ne se reproduisent.

•Contrôles physiques : barrières, clôtures

•Contrôle technique : lecteur de carte d'identité

• Contrôles administratifs : politiques et procédures

• Utiliser l'aménagement paysager pour assurer la sécurité physique

•L'éclairage joue un rôle important dans la dissuasion des comportements criminels

• Envisagez l'emplacement et les matériaux des fenêtres en fonction des besoins de sécurité des installations.

Ces installations ont généralement des employés en poste en permanence et font l'objet d'un contrôle de sécurité physique pour l'organisation. Nous devons prêter attention aux mesures de contrôle telles que la protection contre les incendies et le contrôle environnemental pour garantir la sécurité du personnel et des équipements.

•Détection et extinction d'incendie : établir des routes de détection d'incendie et de fumée et utiliser de l'eau pulvérisée, des méthodes d'extinction d'incendie au gaz et d'autres méthodes pour réduire l'impact de l'incendie sur le personnel et l'équipement.

•Contrôle d'accès : divisez l'accès aux différentes zones de l'établissement en fonction des autorisations des employés et utilisez des cartes d'accès ou des verrous pour contrôler l'accès.

•Politiques et procédures : Former les employés à suivre les procédures de sécurité telles que le nettoyage des bureaux et des écrans de verrouillage, et développer l'évacuation d'urgence et d'autres aspects. Matériaux : Utiliser des matériaux de construction appropriés, tels que des murs, des portes et des fenêtres, conformément aux exigences de sécurité pour améliorer la sécurité.

Ces installations comprennent souvent des salles de stockage de preuves, des installations d'informations compartimentées sécurisées (SCIF) et des salles de serveurs ou des centres de données, car elles stockent des actifs sensibles ou de grande valeur.

•Les installations de haute sécurité doivent mettre en œuvre des mesures de contrôle de sécurité supplémentaires, telles que l'inspection des équipements d'entrée et de sortie, un contrôle d'accès physique à plusieurs niveaux, etc.

•Les centres de données sont des installations spéciales de haute sécurité dont la conception et la maintenance nécessitent des compétences spécialisées. Ces installations nécessitent un niveau de sécurité plus élevé et impliquent souvent un budget de sécurité plus élevé.

• Normes de conception de référence telles que les directives de contrôle thermique des centres de données de l'ASHRAE et les évaluations de disponibilité des équipements des centres de données de l'Uptime Institute.

Lorsque les employés voyagent pour affaires, les entreprises doivent assurer leur sûreté et leur sécurité, notamment en leur fournissant une assurance, une couverture médicale, etc. Dans les zones à haut risque, des mesures de sécurité supplémentaires peuvent devoir être mises en place, telles que du personnel de sécurité ou un transport sécurisé. Dans le même temps, les employés doivent recevoir une formation sur la sécurité des appareils afin de protéger les données de l’entreprise contre les fuites.

Lors d'une urgence, les entreprises doivent se coordonner avec les autorités d'intervention d'urgence (telles que les services médicaux, les pompiers, les forces de l'ordre, etc.). Dans le même temps, des méthodes de communication de secours doivent être développées pour fournir des informations critiques lorsque les canaux de communication normaux sont bloqués. Les situations d’urgence peuvent également nécessiter l’activation de plans de continuité des activités et de reprise après sinistre.

La coercition, c'est lorsqu'un employé est contraint d'agir en violation de la politique de l'entreprise en raison de menaces.

Des codes ou mots de code spéciaux sont utilisés pour détecter les situations de coercition. Ces codes ou mots de code doivent être dissimulés et modifiés régulièrement. Offrez également une formation aux employés à haut risque sur la façon d’utiliser ces codes et mots de code.