> Tech > Que faire lors de l’intrusion d’un pirate dans votre réseau?

Que faire lors de l’intrusion d’un pirate dans votre réseau?

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Les trucs & astuces de la semaine du 7 au 13 Novembre 2005

Q : La semaine dernière, nous avons découvert qu’un pirate s’était introduit
dans l’un de nos postes et qu’il l’utilisait pour sonder notre réseau.
C’est notre IDS (intrusion detection system) qui nous a signalé la présence
de l’intrus, mais nous ne savons toujours pas comment le pirate a
pris le contrôle de la machine. Après quelques minutes d’affolement,
nous avons arrêté l’ordinateur. Mais maintenant, nous ne savons trop
que faire. Est-il possible d’inspecter l’ordinateur (une boîte Windows
XP) pour déterminer comment le pirate s’est introduit ? Existe-t-il une
procédure standard pour cela ?

R : Il existe bien sûr une procédure standard pour contrer l’intrusion d’un pirate.
Le processus, appelé computer security incident response, est bien décrit
dans l’excellent (et gratuit) tutoriel du Computer Emergency Response
Team « Creating a Computer Security Incident Response Team », disponible
online à  http://www.cert.org/csirts/Creating-A-CSIRT.html.

Pour l’essentiel, ce processus consiste à  anticiper les attaques, afin que
votre personnel sache immédiatement quoi faire. Le document du Response
Team décrit cette préparation. Si vous voulez voir ce que vous auriez dû faire
pour l’incident que vous avez subi, passez directement au chapitre 6,
« Responding to Intrusions » (www.cert.org/security-improvement/modules/
m06.html
).

En bref, la réponse comporte trois étapes : (1) analyser, (2) communiquer
et (3) collecter et protéger. Avant de faire quoi que ce soit sur le système
en question, analysez la situation pour déterminer le degré de l’intrusion.

Ensuite, informez tous les membres de l’entreprise qui doivent participer à 
la réponse. Enfin, collectez l’information « d’autopsie » et isolez le système
piraté pour qu’il ne contamine pas le reste du réseau.

Bien entendu, les étapes 1 et 2 doivent être menées rapidement, sous
peine de perdre le contrôle de la situation. C’est là  qu’intervient la préparation
: établissez des règles et des procédures de réaction immédiate aux intrusions.

Vous comprenez probablement les raisons techniques d’une réponse organisée
aux incidents. Mais vous ignorez peut-être les raisons légales. Aux
Etats-Unis, des lois récentes concernant la gouvernance et la responsabilité
d’entreprise, comme le Sarbanes-Oxley Act et le HIPPA (Health Insurance
Portability and Accountability Act) placent plus haut la barre de la préparation
IT pour traiter les incidents de piratage. Et la législation de certains
Etats, comme la loi de divulgation des pirates (2003 California hacker disclosure
law), peut vous obliger à  signaler aux clients et aux actionnaires les incidents
touchant à  la sécurité.

Pour éviter la panique et le tapage qui accompagnent souvent les poursuites
pour délit d’entreprise, je vous conseille d’entamer dès aujourd’hui
l’élaboration de votre plan de réaction aux incidents.

Téléchargez cette ressource

Checklist de protection contre les ransomwares

Checklist de protection contre les ransomwares

Comment évaluer votre niveau de protection contre les ransomwares à la périphérie du réseau, et améliorer vos défenses notamment pour la détection des ransomwares sur les terminaux, la configuration des appareils, les stratégies de sauvegarde, les opérations de délestage... Découvrez la check list complète des facteurs clés pour améliorer immédiatement la sécurité des terminaux.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT