L’établissement de priorités est essentiel dans divers domaines de la vie. Par exemple, vous voulez faire du shopping et vous dressez une liste d’articles que vous aimeriez acheter. Mais votre budget ne vous permet pas d’acheter tous les articles de votre liste. Vous décidez de renoncer aux articles les moins importants et d’acheter les plus importants.
Le scénario ci-dessus correspond au triage. Mais au lieu d’acheter des articles, vous traitez des cyberincidents. Qu’est-ce que le triage, comment fonctionne-t-il et quels sont ses avantages ?
Qu’est-ce que le triage en cybersécurité ?
Le triage est une technique de réponse aux incidents qui permet d’identifier et de hiérarchiser les réponses aux cybermenaces. Elle permet d’analyser les alertes de menaces afin de déterminer celles qui sont les plus nuisibles ou qui ont le plus d’impact et de les classer par ordre de priorité afin d’éviter d’endommager votre système.
Comment fonctionne le triage ?
Le triage n’affaiblit pas les cyberattaques. Il vous aide à gérer vos ressources afin que vous puissiez résoudre efficacement les menaces urgentes. Pour ce faire, vous devez classer les alertes que vous recevez en trois grandes catégories : faible priorité, priorité moyenne et priorité élevée.
1. Faible priorité
Les alertes de faible priorité ne sont pas totalement inoffensives, mais elles n’ont pas d’impact significatif sur le fonctionnement de votre réseau et l’expérience des utilisateurs. Ces menaces ne sont pas visibles en surface. Vous ne pouvez les remarquer qu’en examinant votre système de plus près.
Dans la plupart des cas, vous êtes le seul à remarquer les incidents de faible priorité puisque vous êtes le propriétaire ou l’administrateur du réseau. Un exemple d’alerte de faible priorité est une augmentation soudaine du trafic.
2. Priorité moyenne
Les alertes de priorité moyenne ont un certain niveau d’impact sur votre réseau. Vous pouvez constater que l’expérience utilisateur n’est plus aussi fluide qu’avant, mais il n’y a pas d’obstruction.
Vous pouvez choisir de retarder la réponse aux menaces de priorité moyenne, en particulier lorsque vous êtes préoccupé par des tâches ou des activités importantes. C’est le cas, par exemple, du contenu d’une attaque de phishing qui vous est envoyé.
3. Priorité élevée
Les alertes de haute priorité peuvent interrompre vos activités si les menaces persistent. Vous devez les résoudre immédiatement ou risquer de subir des temps d’arrêt. Ces incidents peuvent potentiellement endommager votre système. Une attaque de logiciels malveillants est un exemple d’alerte de haute priorité.
La classification des menaces peut s’avérer délicate. Deux facteurs doivent être pris en compte pour bien faire les choses : l’impact et l’urgence.
L’impact
L’identification de l’impact d’une alerte d’incident nécessite une mesure préalable. Vous devez définir les menaces possibles et mesurer l’impact qu’elles auront sur votre système. Les menaces à faible impact vous donnent moins de raisons de vous inquiéter, tandis que les menaces à fort impact vous donnent plus de raisons de vous inquiéter.
Urgence
L’urgence, dans ce contexte, fait référence au temps qu’il faut à un incident pour nuire à votre réseau. S’il n’a pas d’impact significatif sur votre système même s’il traîne, il n’est pas si urgent.
Gérer les cyberincidents par le triage
Une fois que vous avez réussi à classer les alertes d’incidents par catégorie, vous pouvez les gérer en conséquence lorsqu’elles se produisent. Voici comment gérer les incidents à l’aide du triage.
Déterminer la technique de l’incident
Il existe plusieurs techniques d’attaque que les acteurs de la menace déploient dans différentes situations. La première étape de la résolution d’un incident par le triage consiste à identifier la méthode d’attaque en question. Cela vous aidera à élaborer les bonnes stratégies pour la contrer.
Identifier les zones touchées
Les cyberattaques sont coordonnées et non aléatoires. Pour obtenir un taux de réussite élevé, l’intrus se concentre sur ses cibles. Examinez minutieusement l’incident afin de déterminer les domaines spécifiques qui ont été touchés. La plupart du temps, les acteurs de la menace volent ou compromettent des données lors d’une attaque.
Mesurer la densité des attaques
Les cyberincidents ne sont pas toujours ce qu’ils semblent être en apparence. Le vol ou l’exposition de données peut être le point central d’un incident, mais il peut être plus concentré que cela. Il peut y avoir des impacts sous-jacents dont vous n’êtes pas conscient. Mesurer la densité de l’attaque vous permet d’aborder tous les problèmes possibles.
Vérifier l’historique des attaques
Il est possible que votre système ait déjà été confronté à un incident de ce type. Un moyen efficace de le savoir est de consulter l’historique des attaques. L’identification d’une corrélation entre les attaques précédentes et les attaques actuelles pourrait aider à trouver les énigmes manquantes.
Répondre avec un plan
Le triage fait partie du processus de réponse aux incidents. Inscrivez toutes les informations que vous avez recueillies dans votre plan de réponse aux incidents et réagissez en combinant des politiques, des procédures et des processus pour obtenir les résultats souhaités.
Quels sont les avantages du triage en matière de cybersécurité ?
Le triage est issu de la pratique médicale. Les prestataires de soins gèrent des ressources limitées pour administrer des soins aux patients dans des conditions critiques. L’application de cette technique à votre cybersécurité présente plusieurs avantages, dont les suivants :
1. Utilisation efficace des ressources
La mise en œuvre de la cybersécurité nécessite une main-d’œuvre, des outils et des applications appropriés. Même les plus grandes plateformes disposant d’un budget élevé en matière de sécurité s’efforcent de gérer leurs ressources afin d’éviter le gaspillage, qui pourrait avoir des répercussions sur leurs activités à long terme. En tant qu’individu aux moyens limités, vous ne pouvez pas vous permettre d’investir dans chaque alerte de menace dès qu’elle se présente.
Le triage vous permet de gérer vos ressources et de les affecter aux domaines qui en ont le plus besoin. Il n’y a pas de place pour le gaspillage, car vous pouvez rendre compte de chaque centime ou ressource que vous utilisez et en voir les résultats.
2. Classer les données essentielles par ordre de priorité
Les données critiques sont au cœur de vos activités. Si la perte de n’importe quelle donnée peut être gênante, la situation devient encore plus grave lorsque vous perdez des données critiques. Ces données sont non seulement très sensibles, mais elles ont également une grande valeur.
Le triage garantit que vous accordez à vos données critiques toute l’attention qu’elles méritent en vous incitant à agir si elles sont exposées à des menaces. Sans triage, vous risquez de vous occuper d’incidents insignifiants simplement parce qu’ils se sont produits en premier, alors que vos données les plus précieuses sont attaquées.
3. Résoudre rapidement les menaces
Le fait de tarder à répondre aux menaces qui ont un impact important sur votre système aggrave la situation. La classification des menaces par triage vous permet de déterminer à l’avance les alertes hautement prioritaires. Dès que vous recevez une notification concernant ces menaces, vous pouvez agir immédiatement.
En vous concentrant sur les paramètres clés de l’incident à partir de votre analyse de triage, vous évitez également de perdre du temps avec des procédures non pertinentes et redondantes. Cela vous permet de réagir rapidement et efficacement.
Sécurisez vos données les plus critiques grâce au triage
Si vous disposez d’un réseau actif, vous rencontrerez régulièrement de nombreuses menaces. Bien que la résolution rapide de chaque menace semble être une bonne idée, vous risquez de manquer ou de négliger les menaces les plus urgentes simplement parce que vous vous occupez de celles qui n’ont que peu ou pas d’impact sur votre réseau. Le triage vous aide à vous concentrer sur ce qui est le plus important pour vous à un moment donné.