Forensique et réponse
Réponse à incident
Aussi appelé: IR, Réponse aux incidents
Définition
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
Exemples
- Confinement d'une compromission de messagerie professionnelle : révocation des jetons, réinitialisation des identifiants, notification des parties touchées.
- Coordination de l'éradication et de la restauration d'un ERP infecté par un ransomware avec IT, juridique et direction.
Termes liés
Plan de réponse à incident
Document approuvé décrivant comment l'organisation se prépare, détecte, contient, éradique, restaure et tire les leçons d'un incident cyber.
DFIR (Investigation numérique et réponse à incident)
Discipline combinée qui fusionne l'investigation forensique numérique et la réponse à incident pour détecter, contenir, éradiquer et tirer les leçons des incidents de cybersécurité.
Exercice de table
Simulation discursive lors de laquelle les parties prenantes déroulent un incident cyber fictif pour tester plans, rôles, décisions et communication.
SOAR
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
Centre des Opérations de Sécurité (SOC)
Équipe et installation centralisées qui surveillent, détectent, analysent et traitent en continu les incidents de cybersécurité sur l'ensemble du système d'information.