Cours 7 : Détection et réponse aux incidents Bienvenue au cours 7, Détection et réponse aux incidents. Avoir un intrus à l'intérieur de vos systèmes pendant des mois sans que vos systèmes, administrateurs, spécialistes de la sécurité et utilisateurs finaux s'en aperçoivent équivaut à lui donner les clés de votre entreprise ou de votre organisation. Dans de nombreux cas, les organisations découvrent qu'elles ont été victimes d'une violation de données lorsqu'elles apprennent que leurs données privées ont été mises en vente sur le dark web. De nombreuses voix éminentes au sein de la profession de la sécurité affirment que nous devons tous faire mieux pour détecter les intrus dans nos mythes. Beaucoup affirment même que la détection des intrus devrait être la priorité des professionnels de la sécurité. Les attaques par ransomware sont devenues un véritable business, impliquant non seulement des attaques d'extorsion à grande échelle, mais aussi la vente d'outils et de services d'attaque par ransomware, ainsi que l'exploitation de toutes les données exfiltrées lors de la brèche. Des responsables gouvernementaux et des professionnels du secteur du monde entier se sont élevés contre cette nouvelle et très inquiétante variante du modèle économique des attaquants de menaces persistantes avancées (APT). Dans ce chapitre, nous nous concentrerons sur la détection des intrusions et des incidents. La plupart des outils, techniques, technologies et idées que vous verrez ici ont déjà été examinés dans les chapitres précédents. Ce cours les rassemble et commence par discuter du thème central de la détection de l'intrus. Le modèle 1 utilise les concepts de précurseurs et d'indicateurs, les signaux qui nous donnent un avertissement avancé et une véritable alerte sur un événement à risque et le concept d'indicateurs de compromission qui sont les signaux dont nous sommes certains qu'ils ne peuvent que signifier qu'un agent hostile a obtenu l'accès. Le module deux élargit ces idées et concepts autour de l'idée de ce qu'il faut faire après avoir découvert une intrusion possible, élargissant ainsi votre compréhension de la réponse aux incidents. Le module trois continue avec un regard plus approfondi sur le soutien aux enquêtes médico-légales. La criminalistique est un processus basé sur des preuves qui consiste à raisonner logiquement et sans passion sur une situation ou un événement. C'est votre enfant intérieur qui regarde quelque chose et pose des questions. Puis, après chacune de ces questions, vous posez d'autres questions, laissant les faits que vous trouvez encadrer et façonner votre compréhension croissante de ce qui s'est passé, comment, pourquoi et où, qui l'a fait et quels impacts cela peut avoir. Une fois que vous avez répondu à ces questions, vous pouvez revenir à l'examen des contrôles d'atténuation des risques pour voir lesquels, le cas échéant, doivent être modifiés, remplacés ou renforcés.
Détection et réponse aux incidents
Ce cours fait partie de praticien certifié en sécurité des systèmes (ISC)² (SSCP)
Enseigné en Anglais
Certains éléments de contenu peuvent ne pas être traduits
Instructeur : (ISC)² Education & Training
4 676 déjà inscrits
Cours
(34 avis)
Expérience recommandée
Compétences que vous acquerrez
- Catégorie : Détection et réponse aux incidents
Détails à connaître
Ajouter à votre profil LinkedIn
10 quizzes
Cours
(34 avis)
Expérience recommandée
Découvrez comment les employés des entreprises prestigieuses maîtrisent des compétences recherchées
Élaborez votre expertise du sujet
- Apprenez de nouveaux concepts auprès d'experts du secteur
- Acquérez une compréhension de base d'un sujet ou d'un outil
- Développez des compétences professionnelles avec des projets pratiques
- Obtenez un certificat professionnel partageable
Obtenez un certificat professionnel
Ajoutez cette qualification à votre profil LinkedIn ou à votre CV
Partagez-le sur les réseaux sociaux et dans votre évaluation de performance
Il y a 4 modules dans ce cours
Nous avons vu au chapitre 5 l'évolution de la simple détection d'intrusion basée sur l'hôte, en passant par la prévention d'intrusion basée sur le réseau, jusqu'aux systèmes intégrés de gestion des informations et des événements de sécurité (SIEM). Chaque étape de cette évolution visait à rassembler tous les signaux possibles, provenant de tous les éléments des architectures informatiques et techniques d'une organisation, puis à analyser et à exploiter ces signaux afin de déterminer s'ils constituaient des indicateurs d'une attaque ou d'une intrusion éventuelle.l'objectif d'un tel ensemble de processus, l'objectif de la collecte, du rassemblement et de l'évaluation de toutes ces informations, est d'essayer de répondre à trois questions :que vient-il de nous arriver ?que nous est-il arrivé il y a un certain temps, mais nous ne l'avons pas remarqué ?est-il trop tard pour faire quoi que ce soit dans l'un ou l'autre cas ?une partie de cette évolution vers les SIEM et la prochaine génération de systèmes de détection et de réponse aux intrusions (et la génération suivante) est l'idée de l'intelligence de toutes les sources en tant qu'intrant et processus. Cette idée d'utiliser toutes les données possibles, même celles provenant des canaux les plus improbables, n'est pas nouvelle : les prévisions commerciales et les analyses de marché le font, les services météorologiques nationaux le font et, bien sûr, les organisations militaires et de sécurité nationale le font depuis des années. Ces professions et bien d'autres savent que la transformation d'informations en renseignements exploitables, le type de conclusions et d'affirmations sur lesquelles les dirigeants et les gestionnaires peuvent fonder leur prise de décision, nécessite un éventail d'approches et d'idées d'analyse aussi large que l'étendue des sources observées.dans le cadre d'une opération de cybersécurité, le renseignement toutes sources confondues va bien au-delà de la simple surveillance.la surveillance en général consiste à observer les éléments que vous connaissez déjà : les systèmes, les terminaux, les personnes qui les utilisent et le trafic sur les réseaux. La surveillance consiste souvent à comparer les observations à des niveaux d'alerte ou à des seuils d'alarme. Comme nous le verrons, le renseignement de toute source en tant que processus va au-delà de la surveillance, mais il joue un rôle essentiel dans l'amélioration de la fonction de surveillance, qui doit toujours être bien exécutée.aucun examen de la surveillance ou de la détection des incidents ne serait complet sans l'étude des exigences de conformité qui s'y rapportent, et nous utiliserons ce sujet pour réunir les nombreux fils de ce module.
Inclus
18 vidéos6 lectures4 quizzes
Un incident de sécurité de l'information est un ensemble d'un ou de plusieurs événements, ou de changements dans l'état d'un système d'information, d'un bien ou d'une architecture, qui nécessite une action de sécurité rapide et immédiate pour l'évaluer, le contenir, y répondre et s'en remettre.les organisations bien préparées peuvent, avec de l'habileté et de la chance, limiter les dommages aux biens et les perturbations des processus d'entreprise qu'un incident pourrait autrement causer.les organisations mal préparées sont plus susceptibles de commettre de graves erreurs dans la caractérisation et la gestion d'un incident et peuvent se causer plus de tort dans le processus.le traitement adéquat des incidents de sécurité de l'information dépend autant des processus opérationnels quotidiens que des spécificités des processus de réponse aux incidents.la détection, l'évaluation, l'escalade, la communication, le rétablissement et l'apprentissage à partir de l'événement sont des activités généralement intégrées dans le processus de réponse aux incidents de l'organisation. Le fait de préciser qui fait quoi en cas d'incident et dans quelles circonstances aidera grandement l'organisation à reprendre ses activités.le professionnel de la sécurité doit comprendre ses responsabilités légales et organisationnelles en matière de gestion des incidents et être en mesure d'évaluer les activités et l'efficacité globale de la pratique de réponse aux incidents de l'organisation.
Inclus
9 vidéos4 lectures2 quizzes
L'investigation numérique, en tant que processus et domaine d'étude, est une combinaison de défis fascinants et passionnants. Les personnes qui participent à ces enquêtes découvrent que leurs compétences créatives, leur souci du détail et leur curiosité innée sont mis à rude épreuve lorsqu'ils tentent d'appréhender les aspects humains, organisationnels et techniques d'un incident lié à la sécurité de l'information. Les personnes qui soutiennent les enquêteurs, que ce soit avant ou pendant l'enquête, sont également mises à l'épreuve, mais de manière très différente. L'équipe de soutien a des tâches à accomplir dans le cadre de la prestation de services aux enquêteurs, aux dirigeants et aux gestionnaires de l'organisation, ainsi qu'aux utilisateurs finaux de l'organisation, et elle doit s'acquitter de ces tâches avec une fiabilité et une fiabilité à toute épreuve, au mieux de ses capacités. En d'autres termes, ils doivent suivre les procédures et s'assurer que tous les processus requis sont respectés, étape par étape, dans les moindres détails.le module 2 a souligné la nécessité d'une préparation et d'une planification solides avant le premier incident, et d'un état d'esprit souple, réactif et agile pour ajuster ces plans lorsque le premier incident se produit et montre que les plans doivent être modifiés. La préparation d'une enquête sur un incident constitue une part importante de ce que l'équipe chargée des opérations de sécurité doit accomplir.pour mettre cette préparation en perspective, ce module examinera plus en détail le processus d'investigation lui-même. En cours de route, nous mettrons en évidence les opportunités pour le professionnel de la sécurité avant-gardiste de préparer l'organisation, ses utilisateurs, son personnel IT et OT et ses managers et dirigeants à soutenir différents types d'enquêtes médico-légales lorsqu'elles deviendront nécessaires.le module 3 présente quelques-unes des techniques d'investigation numérique. Vous les trouverez peut-être utiles et nécessaires lors du dépannage d'un incident impliquant des systèmes technologiques plus anciens (comme dans les architectures OT), ou des environnements plus petits, hébergés localement, de type SOHO ou SMB. Les mêmes concepts de base s'appliquent toujours dans le nuage et dans le monde du big data, mais le passage à ce niveau nécessite une approche et un état d'esprit très différents en matière de criminalistique. Voyons cela de plus près.
Inclus
6 vidéos2 lectures3 quizzes
Ce chapitre a montré comment l'objectif, la perspective et l'importance de la détection et de la réponse aux incidents ont tous changé, et de façon spectaculaire, au cours des dix dernières années environ. Auparavant, les professionnels de la sécurité concentraient leurs efforts sur l'identification, l'énumération et la sécurisation des actifs ; ils s'attachaient à renforcer les systèmes et les réseaux. Ces efforts étaient nécessaires, mais ils signifiaient parfois que la détection d'une brèche ou d'une intrusion était moins prioritaire. La plupart des brèches cybernétiques et des rançongiciels qui ont fait la une des journaux ces dernières années montrent que les attaquants ont profité des six à huit mois qu'il faut à l'entreprise moyenne pour s'apercevoir qu'un intrus s'est introduit dans ses systèmes (au passé), ce qui doit changer. Il faut que cela change : le renseignement de toutes sources, en tant que moyen d'identifier et de caractériser les intrusions possibles, s'avère être un moyen puissant d'obtenir des informations sur vos systèmes et de détecter les intrusions (ou les tentatives d'intrusion dans ces systèmes). Associée à l'analyse pour la sécurité, elle permet également de renverser une pratique éprouvée qui consistait à être très sélectif dans les événements qui génèrent des signaux d'enregistrement, dans les signaux qui sont enregistrés (et à quelle fréquence) et dans la manière dont les fichiers d'enregistrement sont gérés, rassemblés et analysés. Le professionnel de la sécurité d'aujourd'hui doit être un peu plus un scientifique des données qu'il ne l'était dans le passé et peut-être plus un analyste de données de renseignement également. Nous avons également examiné la criminalistique numérique, principalement du point de vue des petits systèmes plutôt que des grands environnements d'entreprise hébergés dans le nuage. Quoi qu'il en soit, dans la plupart des cas, il est préférable de laisser l'enquête elle-même et l'analyse des preuves aux examinateurs de systèmes informatiques certifiés, formés et experts ; mais en tant que professionnel de la sécurité sur place, le fait d'avoir quelques connaissances sur la nature des preuves numériques, la manière de les analyser et les enseignements que l'on peut en tirer peut vous aider à mieux préparer l'organisation au moment où elle devra faire appel aux enquêteurs.
Inclus
1 lecture1 quiz1 évaluation par les pairs
Instructeur
Offert par
Recommandé si vous êtes intéressé(e) par Sécurité
Pour quelles raisons les étudiants sur Coursera nous choisissent-ils pour leur carrière ?
Ouvrez de nouvelles portes avec Coursera Plus
Accès illimité à plus de 7 000 cours de renommée internationale, à des projets pratiques et à des programmes de certificats reconnus sur le marché du travail, tous inclus dans votre abonnement
Faites progresser votre carrière avec un diplôme en ligne
Obtenez un diplôme auprès d’universités de renommée mondiale - 100 % en ligne
Rejoignez plus de 3 400 entreprises mondiales qui ont choisi Coursera pour les affaires
Améliorez les compétences de vos employés pour exceller dans l’économie numérique
Foire Aux Questions
L'accès aux cours et aux devoirs dépend de votre type d'inscription. Si vous suivez un cours en mode audit, vous pourrez consulter gratuitement la plupart des supports de cours. Pour accéder aux devoirs notés et obtenir un certificat, vous devrez acheter l'expérience de certificat, pendant ou après votre audit. Si vous ne voyez pas l'option d'audit :
Il se peut que le cours ne propose pas d'option d'audit. Vous pouvez essayer un essai gratuit ou demander une aide financière.
Le cours peut proposer l'option "Cours complet, pas de certificat" à la place. Cette option vous permet de consulter tous les supports de cours, de soumettre les évaluations requises et d'obtenir une note finale. Cela signifie également que vous ne pourrez pas acheter un certificat d'expérience.
Lorsque vous vous inscrivez au cours, vous avez accès à tous les cours du certificat et vous obtenez un certificat lorsque vous terminez le travail. Votre certificat électronique sera ajouté à votre page de réalisations. De là, vous pourrez l'imprimer ou l'ajouter à votre profil LinkedIn. Si vous souhaitez uniquement lire et visualiser le contenu du cours, vous pouvez auditer le cours gratuitement.
Si vous vous êtes abonné, vous bénéficiez d'une période d'essai gratuite de 7 jours pendant laquelle vous pouvez annuler votre abonnement sans pénalité. Après cette période, nous ne remboursons pas, mais vous pouvez résilier votre abonnement à tout moment. Consultez notre politique de remboursement complète.