Utiliser la norme NIST SP 800-61 pour se préparer au prochain incident de sécurité d'un tiers

Plus de tiers signifie plus de voies d'attaque pour les cybercriminels qui s'en prennent à votre organisation. Voici comment le guide de traitement des incidents de sécurité informatique du NIST peut vous aider à vous préparer à la prochaine attaque.

Personnel de Mitratech
Personnel de Mitratech Novembre 18, 2021 6 minutes de lecture
Decorative image

L'écosystème tiers de votre organisation est probablement plus vaste que jamais, ce qui accroît sa vulnérabilité aux ransomwares, aux expositions d'informations d'identification et de données, aux pannes technologiques, aux attaques par déni de service et à d'autres menaces. Si vous avez lu les derniers titres sur les atteintes à la vie privée, vous ne serez pas surpris d'apprendre que les attaques contre vos partenaires, fournisseurs et prestataires de services peuvent avoir des conséquences dévastatrices sur votre réputation et vos résultats. Heureusement, le National Institute of Standards and Technology (NIST) propose des conseils pratiques sur la manière de gérer les cyberattaques qui touchent votre organisation et ses tiers.

Application du cadre de gestion des incidents NIST SP 800-61 aux risques liés aux tiers

Le guide de traitement des incidents de sécurité informatique du NIST, SP 800-61, prescrit quatre phases fondamentales que les équipes de sécurité devraient prendre en compte dans leurs programmes de traitement des incidents. Vous trouverez ci-dessous des résumés de chaque phase, ainsi que des notes supplémentaires sur l'importance de la gestion des risques par des tiers. N'oubliez pas de consulter la publication du NIST pour obtenir des conseils complets et détaillés.

Préparation

  • Plans de communication : Commencez par établir des listes de contacts, des plans de communication et des procédures d'escalade. Veillez à inclure les tiers clés dans vos plans de communication et recueillez des informations sur leurs contacts en cas d'urgence et leurs voies d'escalade. Ces informations seront également utiles lors de la phase 2 : Détection et analyse.
  • Installations : Mettre en place des salles de crise internes et des installations de stockage sécurisées.
  • Technologie : Veiller à ce que les équipes d'intervention aient accès au matériel d'analyse des incidents (ordinateurs portables, serveurs, dispositifs de sauvegarde) et aux logiciels (par exemple, renifleurs de paquets, analyseurs de protocole, logiciels de police scientifique, suivi des problèmes et images d'installations propres pour la restauration et la récupération).
  • Documentation : Documenter les ressources d'analyse des incidents, y compris les listes de ports, la technologie (par exemple, les systèmes d'exploitation et les applications utilisés), les diagrammes de réseau, les lignes de base de l'activité prévue du réseau, etc.
  • Prévention : Mettre en œuvre des logiciels de sécurité pour l'hôte, le réseau et les logiciels malveillants. Procéder à des évaluations internes et externes des risques et mettre en place un programme de formation à la sensibilisation à la sécurité.

Détection et analyse

  • Vecteurs d'attaque : Tenez compte de tous les chemins que les attaquants peuvent emprunter pour atteindre votre organisation (par exemple, attaques d'applications web, hameçonnage, usurpation d'identité, utilisation inappropriée, perte ou vol d'équipement, etc.) ). Veillez à cartographier vos connexions et relations avec les tiers et les quatrièmes parties dans le cadre de ce processus.
  • Signes d'un incident : Rechercher les signes avant-coureurs d'incidents potentiels futurs et les indicateurs d' incidents qui se sont produits. C'est là que les services de surveillance des risques par des tiers sont utiles pour analyser les sources publiques et privées de renseignements sur les menaces.
  • Analyse des incidents : Tenter de déterminer si un incident s'est réellement produit en examinant l'exactitude des précurseurs et des indicateurs décrits à l'étape précédente.
    s'est réellement produit en examinant l'exactitude des précurseurs et des indicateurs décrits à l'étape précédente. La norme NIST SP 800-61 contient plusieurs recommandations visant à faciliter l'analyse et à la rendre plus efficace.
  • Documentation des incidents : Mettre en place un système de suivi des problèmes pour enregistrer toutes les informations pertinentes sur chaque incident. Les plateformes tierces de gestion des risques offrent généralement des capacités de gestion des documents pour le suivi des incidents par les fournisseurs.
  • Hiérarchisation des incidents : En raison des inévitables limitations de ressources, le NIST recommande de hiérarchiser les incidents en fonction de leur impact fonctionnel, de leur impact sur les informations et de leur capacité de récupération. La hiérarchisation de vos vendeurs et fournisseurs pour la surveillance et l'évaluation en amont peut vous aider à être prêt à réagir de manière appropriée lorsque des incidents se produisent.

Confinement, éradication et récupération

  • L'endiguement : C'est là que les équipes de sécurité tentent de "stopper l'hémorragie" et de minimiser l'impact d'un incident. Les tactiques de confinement varient en fonction du type d'incident et peuvent impliquer la suspension d'un compte utilisateur errant, le blocage du trafic réseau, la mise en quarantaine des systèmes, la redirection des attaquants vers un bac à sable, et d'autres actions. Pour décider d'une ligne de conduite, il faut évaluer plusieurs critères, notamment les dommages potentiels, la nécessité de préserver les preuves, la disponibilité du service, les ressources disponibles, etc.
  • Collecte de preuves : Si elle est nécessaire pour résoudre l'incident, la collecte de preuves est également essentielle pour éclairer toute procédure judiciaire ultérieure. Il est important d'obtenir l'avis d'un juriste sur la collecte des preuves et les exigences en matière d'archivage afin de s'assurer que les preuves seront recevables devant un tribunal.
  • Identifier les attaquants : Bien que le NIST SP 800-61 insiste sur la nécessité de se concentrer sur l'endiguement, l'éradication et la récupération, le guide indique quelques moyens d'identifier potentiellement les hôtes attaquants. Il s'agit notamment de valider les adresses IP des hôtes attaquants, d'effectuer des recherches sur les moteurs de recherche, de consulter les bases de données d'incidents et de surveiller les canaux de communication des attaquants. Des solutions tierces de surveillance des risques peuvent contribuer à ces efforts.
  • Éradication et récupération : L'éradication consiste à supprimer les logiciels malveillants, à désactiver les comptes compromis et à atténuer les vulnérabilités exploitées, tandis que la récupération consiste à rétablir le fonctionnement normal des systèmes. Les fournisseurs de services de gestion des risques proposent souvent des services de remédiation pour aider à résoudre les problèmes de sécurité.

Activité post-incident

  • Identifier les enseignements tirés : Organiser une séance de débriefing pour examiner l'incident, la manière dont il a été géré et les moyens d'améliorer la gestion des incidents à l'avenir. Les rapports qui en résultent peuvent être utilisés pour la communication interne et la formation, ainsi que pour la mise à jour des processus documentés.
  • Exploiter les données relatives aux incidents : Les données telles que le nombre d'incidents, le temps consacré au traitement des incidents et les évaluations objectives et subjectives des incidents peuvent être utilisées à plusieurs fins, notamment pour identifier les faiblesses systémiques en matière de sécurité et justifier des investissements supplémentaires. L'une des applications de la gestion des risques des tiers consiste à identifier les contrôles supplémentaires à effectuer dans le cadre de l'évaluation des risques des fournisseurs.
  • Création d'une politique de conservation des preuves : La dernière étape consiste à définir une politique de conservation des preuves d'incidents en fonction de leur utilisation potentielle dans le cadre d'affaires juridiques, de politiques plus larges de conservation des données et de contraintes financières. Une plateforme de gestion des risques de tiers peut aider à stocker, étiqueter et cataloguer les preuves et la documentation relatives à des tiers spécifiques.

Tenir compte des tiers dans votre stratégie de gestion des incidents

Vous êtes prêt à prendre en compte les vendeurs et les fournisseurs dans votre planification de la gestion des incidents ? Commencez par vous poser deux questions simples :

  1. Des organisations tierces sont-elles connectées à votre réseau ? Pourraient-elles être à l'origine d'une infection par un logiciel malveillant ?
  1. Des tiers détiennent-ils vos données dans leur environnement ? Pourriez-vous être affecté par une infection par ransomware qui s'emparerait de leurs stocks de données et de leurs sauvegardes ?

Si vous avez répondu par l'affirmative à l'une ou l'autre de ces questions, il est essentiel de tenir compte des risques liés aux tiers dans votre processus de traitement des incidents, comme indiqué dans le résumé de la norme NIST 800-61 ci-dessus.

Dans le même temps, veillez à intégrer des questions sur les processus de traitement des incidents dans vos évaluations des risques des tiers. Commencez par poser des questions générales lors de la recherche et de la sélection des fournisseurs. Par exemple, le fournisseur potentiel dispose-t-il d'un plan de réponse aux incidents ? Ensuite, posez des questions sur leurs stratégies spécifiques de prévention, de détection et de réponse aux attaques dans les évaluations ultérieures. Les évaluations des risques inhérents devraient révéler toute faiblesse notable avant l'intégration.

Enfin, complétez vos évaluations périodiques par une surveillance externe continue afin d'identifier les risques et les incidents potentiels liés à des tiers avant qu' ils n' aient un impact sur votre organisation.

Garantir la résilience et la disponibilité en cas de violation par un tiers

Nous dépendons de plus en plus des produits et services d'autres entreprises, mais dans de nombreux cas, nous n'avons pas adapté nos contrôles et processus de gestion des incidents pour inclure les scénarios "et si..." concernant les incidents et les violations de tiers. Au minimum, vos pratiques de gestion des risques liés aux tiers devraient se concentrer sur le maintien de la résilience et de la disponibilité en cas d'infection par des logiciels malveillants, d'exposition des données, d'accès illicite ou de chaînes d'approvisionnement compromises (par exemple, SolarWinds et d'autres).

Pour plus de conseils sur ce sujet, regardez la version à la demande de mon webinaire, Comment se préparer à la prochaine attaque de tiers, ou découvrez le service de réponse aux incidents de tiers de Prevalent, qui peut vous aider à découvrir, évaluer et remédier rapidement aux risques liés aux violations des fournisseurs.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.