Playbook de securite
Qu'est-ce que Playbook de securite ?
Playbook de securiteProcedure documentee et reproductible qui indique aux intervenants exactement quoi faire, et dans quel ordre, pour un type donne d'alerte ou d'incident.
Un playbook (ou runbook) de securite est la procedure standard qui transforme une alerte en action. Il decrit le declencheur, les entrees, les points de decision, les etapes d'enrichissement, les actions de confinement, les points de communication et les criteres de cloture. Les playbooks vivent dans la base de connaissances du SOC ou sous forme de code dans une plateforme SOAR capable d'executer des etapes automatiquement (interroger un sandbox, isoler un hote, desactiver un utilisateur). Un bon playbook est court, versionne, exerce en tabletop, raccroche au plan de reponse a incident et revu apres chaque incident reel pour integrer les retours.
● Exemples
- 01
Playbook de phishing qui recupere les en-tetes, detonne les pieces jointes en sandbox et purge les copies livrees.
- 02
Workflow SOAR qui desactive un utilisateur compromis, revoque ses jetons et ouvre un ticket IT.
● Questions fréquentes
Qu'est-ce que Playbook de securite ?
Procedure documentee et reproductible qui indique aux intervenants exactement quoi faire, et dans quel ordre, pour un type donne d'alerte ou d'incident. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Playbook de securite ?
Procedure documentee et reproductible qui indique aux intervenants exactement quoi faire, et dans quel ordre, pour un type donne d'alerte ou d'incident.
Comment fonctionne Playbook de securite ?
Un playbook (ou runbook) de securite est la procedure standard qui transforme une alerte en action. Il decrit le declencheur, les entrees, les points de decision, les etapes d'enrichissement, les actions de confinement, les points de communication et les criteres de cloture. Les playbooks vivent dans la base de connaissances du SOC ou sous forme de code dans une plateforme SOAR capable d'executer des etapes automatiquement (interroger un sandbox, isoler un hote, desactiver un utilisateur). Un bon playbook est court, versionne, exerce en tabletop, raccroche au plan de reponse a incident et revu apres chaque incident reel pour integrer les retours.
Comment se défendre contre Playbook de securite ?
Les défenses contre Playbook de securite combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Playbook de securite ?
Noms alternatifs courants : Runbook, Procedure de reponse.
● Termes liés
- defense-ops№ 1062
SOAR
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
- forensics-ir№ 525
Plan de réponse à incident
Document approuvé décrivant comment l'organisation se prépare, détecte, contient, éradique, restaure et tire les leçons d'un incident cyber.
- forensics-ir№ 1127
Exercice de table
Simulation discursive lors de laquelle les parties prenantes déroulent un incident cyber fictif pour tester plans, rôles, décisions et communication.
- defense-ops№ 845
Post-mortem
Revue sans reproche apres un incident pour reconstituer la chronologie, identifier les facteurs contributifs et definir des actions concretes pour ne pas reproduire l'erreur.