Les trucs & astuces de la semaine du 7 au 13 Novembre 2005
Que faire lors de l’intrusion d’un pirate dans votre réseau?
Q : La semaine dernière, nous avons découvert qu’un pirate s’était introduit
dans l’un de nos postes et qu’il l’utilisait pour sonder notre réseau.
C’est notre IDS (intrusion detection system) qui nous a signalé la présence
de l’intrus, mais nous ne savons toujours pas comment le pirate a
pris le contrôle de la machine. Après quelques minutes d’affolement,
nous avons arrêté l’ordinateur. Mais maintenant, nous ne savons trop
que faire. Est-il possible d’inspecter l’ordinateur (une boîte Windows
XP) pour déterminer comment le pirate s’est introduit ? Existe-t-il une
procédure standard pour cela ?
R : Il existe bien sûr une procédure standard pour contrer l’intrusion d’un pirate.
Le processus, appelé computer security incident response, est bien décrit
dans l’excellent (et gratuit) tutoriel du Computer Emergency Response
Team « Creating a Computer Security Incident Response Team », disponible
online à http://www.cert.org/csirts/Creating-A-CSIRT.html.
Pour l’essentiel, ce processus consiste à anticiper les attaques, afin que
votre personnel sache immédiatement quoi faire. Le document du Response
Team décrit cette préparation. Si vous voulez voir ce que vous auriez dû faire
pour l’incident que vous avez subi, passez directement au chapitre 6,
« Responding to Intrusions » (www.cert.org/security-improvement/modules/
m06.html).
En bref, la réponse comporte trois étapes : (1) analyser, (2) communiquer
et (3) collecter et protéger. Avant de faire quoi que ce soit sur le système
en question, analysez la situation pour déterminer le degré de l’intrusion.
Ensuite, informez tous les membres de l’entreprise qui doivent participer à
la réponse. Enfin, collectez l’information « d’autopsie » et isolez le système
piraté pour qu’il ne contamine pas le reste du réseau.
Bien entendu, les étapes 1 et 2 doivent être menées rapidement, sous
peine de perdre le contrôle de la situation. C’est là qu’intervient la préparation
: établissez des règles et des procédures de réaction immédiate aux intrusions.
Vous comprenez probablement les raisons techniques d’une réponse organisée
aux incidents. Mais vous ignorez peut-être les raisons légales. Aux
Etats-Unis, des lois récentes concernant la gouvernance et la responsabilité
d’entreprise, comme le Sarbanes-Oxley Act et le HIPPA (Health Insurance
Portability and Accountability Act) placent plus haut la barre de la préparation
IT pour traiter les incidents de piratage. Et la législation de certains
Etats, comme la loi de divulgation des pirates (2003 California hacker disclosure
law), peut vous obliger à signaler aux clients et aux actionnaires les incidents
touchant à la sécurité.
Pour éviter la panique et le tapage qui accompagnent souvent les poursuites
pour délit d’entreprise, je vous conseille d’entamer dès aujourd’hui
l’élaboration de votre plan de réaction aux incidents.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
- IA & pilotage de portefeuille de projets : accélérer la décision sans en perdre le contrôle
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
