Introduction à la gestion des incidents de sécurité
Qu’est-ce qu’un Incident de sécurité ?
Un incident de sécurité informatique est un événement qui compromet (ou tente de compromettre) la confidentialité, l’intégrité ou la disponibilité d’un système d’information.
Exemples d’incidents
- Phishing ciblé contre la direction
- Infection par ransomware
- Intrusion via un serveur exposé
- Perte de données sensibles
- Utilisateur malveillant en interne
Pourquoi la gestion des incidents est-elle critique ?
- Les attaques sont inéluctables.
- Un incident mal géré = pertes financières, image, RGPD.
- L’ANSSI considère la réponse à incident comme une capacité cœur de la SSI.
- De nombreuses normes l’exigent : ISO 27001, NIS2, DORA, etc.
Warning
En 2024, une entreprise doit être capable de détecter, répondre, documenter et notifier tout incident.
Terminologies essentielles
| Terme | Définition |
|---|---|
| CSIRT | Computer Security Incident Response Team |
| CERT | Computer Emergency Response Team |
| IOC | Indicator of Compromise (preuve d’infection ou d’activité) |
| TTP | Tactics, Techniques, Procedures (profil de l’attaquant) |
| Retex | Retour d’expérience (lessons learned) |