InvestigationsNumériques

En cybersécurité, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche incontournable mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les indicateurs pertinents, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un SOC, outils de centralisation et de corrélation des logs, sondes de détection des intrusions, outils CTI, SOAR…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.

La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.