Une Incident Response team ou équipe de réponse aux incidents est un groupe de professionnels de l'informatique chargé de se préparer et de réagir à tout type d'urgence organisationnelle. L'objectif de l'équipe de réponse aux incidents est de coordonner et d'aligner les ressources clés et les membres de l'équipe pendant un incident de cybersécurité afin de minimiser l'impact et de rétablir les opérations aussi rapidement que possible. Cela comprend les fonctions essentielles suivantes : enquête et analyse, communication, formation et sensibilisation, ainsi que documentation et élaboration d'un calendrier.
Que fait une Incident Response team ?
Une équipe de réponse aux incidents analyse les informations, discute des observations et des activités, et partage les rapports et les communications importantes à travers l'entreprise. Le temps consacré à l'une ou l'autre de ces activités dépend d'une question clé :
S'agit-il d'une période de calme ou de crise ? Lorsqu'elle n'enquête pas activement sur un incident de sécurité ou n'y répond pas, l'équipe doit se réunir au moins une fois par trimestre pour examiner les tendances actuelles en matière de sécurité et les procédures de réponse aux incidents. Plus l'équipe de réponse aux incidents est en mesure de fournir d'informations au personnel de direction, mieux c'est, afin de conserver le soutien et la participation de la direction au moment où elle en a le plus besoin (pendant une crise ou immédiatement après).
Les principales tâches des équipes de réponse à incident sont réparties en 3 grandes catégories :
- Enquête/Analyse
S'agit-il d'un incident qui nécessite une attention immédiate ? Quels sont les biens touchés ? Les équipes doivent rapidement déterminer et documenter la portée, la priorité et l'impact.
- Rapports/Communications
Quels types d'incidents de sécurité sont inclus dans lesrapports quotidiens, hebdomadaires et mensuels ? Qui figure sur la liste de distribution ? Quelles informations peuvent-être fournies à l'équipe de direction pour maintenir la visibilité et la sensibilisation ?
Les équipes doivent définir et classer les incidents de sécurité en fonction de la valeur et de l'impact des actifs. Il faut documenter et former les membres de l'équipe sur les procédures de rapport appropriées, recueillir des données pertinentes sur les tendances et d'autres informations pour mettre en évidence la valeur que l'équipe de réponse aux incidents peut apporter à l'ensemble de l'entreprise.
- Réponse/amélioration
Quel est le moyen le plus efficace d'enquêter et de récupérer les données et les fonctionnalités ? Comment les capacités de réponse peuvent être améliorables ?
Il faut rechercher la cause profonde, documenter les résultats, mettre en œuvre des stratégies de récupération et communiquer le statut aux membres de l'équipe.
Quelle est la composition d’une Incident Response team ?
- Chef d'équipe : Il dirige et coordonne toutes les activités de l'équipe d'intervention en cas d'incident, et veille à ce que l'équipe se concentre sur la réduction des dommages et le rétablissement rapide.
- Analyste principal : il recueille et analyse toutes les preuves, détermine la cause profonde, dirige les autres analystes de sécurité et met en œuvre une restauration rapide du système et des services.
- Responsable des communications : il dirige les efforts de messagerie et de communication pour tous les publics, à l'intérieur et à l'extérieur de l'entreprise.
- Responsable de la documentation et de la chronologie : il documente toutes les activités de l'équipe, en particulier les tâches d'enquête, de découverte et de récupération, et élabore un calendrier fiable pour chaque étape de l'incident.
- Représentation RH/juridique : Comme vous pouvez l'imaginer. Étant donné qu'un incident peut ou non donner lieu à des poursuites pénales, il est essentiel de bénéficier de conseils et de la participation des RH et des juristes.
L'informatique dirige avec un fort soutien de la direction et une participation interdépartementale. Lorsqu'il s'agit d'une réponse à un incident de cybersécurité, l'informatique doit être à la tête de l'effort de réponse à l'incident, avec une représentation exécutive de chaque grande unité commerciale, notamment en ce qui concerne les services juridiques et les RH.
Il est important de définir, documenter et communiquer clairement les rôles et responsabilités de chaque membre de l'équipe.
Bien que nous ayons fourni des fonctions générales telles que la documentation, la communication et l'investigation, vous devrez être plus précis lorsque vous définirez les rôles des membres de votre équipe. Assurez-vous de documenter ces rôles et de les communiquer clairement, afin que votre équipe soit bien coordonnée et sache ce que l'on attend d'elle, avant que la crise ne survienne.
Comment armer les membres d'une équipe d'intervention en cas d'incident ?
Si une équipe de réponse aux incidents n'est pas habilitée à faire ce qui doit être fait en temps de crise, elle ne pourra jamais réussir. C'est pourquoi il est essentiel que la participation de la direction soit aussi visible que possible et aussi cohérente que possible. Sinon, l'équipe ne sera pas armée efficacement pour minimiser l'impact et se rétablir rapidement, quelle que soit l'ampleur de l'incident de sécurité.
La clé est de vendre la valeur de ces rôles d'équipe de réponse aux incidents critiques au personnel de direction. Quel que soit le secteur, les dirigeants sont toujours intéressés par les moyens de gagner de l'argent et d'éviter d'en perdre. Plus vous pourrez lier les objectifs et les activités de votre équipe à une réduction réelle et mesurable des risques (en d'autres termes, à une réduction des coûts), plus il sera facile pour eux de dire oui et de rester engagés.
Des mesures quantifiables (par exemple, le nombre d'heures de travail réduites grâce à l'utilisation d'un nouvel outil d'investigation) ainsi que des rapports et une communication fiables sont les meilleurs moyens de maintenir l'équipe au centre des priorités et du soutien de la direction.
Quelles sont les compétences requises pour intégrer une Incident Response team ?
Outre l'expertise technique et la résolution de problèmes, les membres de l'équipe de réponse aux cyber incidents doivent posséder de solides compétences en matière de travail d'équipe et de communication. Les compétences en matière d'expression orale et écrite sont essentielles car la coopération et la coordination sont la clé d'une réponse efficace aux incidents. La curiosité intellectuelle et le sens de l'observation sont d'autres compétences nécessaires.
L'analyse de sécurité est un travail de détective, alors que d'autres travaux techniques vous opposent à votre connaissance de la technologie, l'analyse de sécurité est un travail où vous êtes en concurrence avec la connaissance de la technologie d'une personne inconnue et anonyme. Le travail de détective est plein de fausses pistes, d'impasses, de mauvaises preuves et de témoins peu fiables. Vous allez devoir apprendre à développer beaucoup des mêmes compétences pour y faire face.