Opérations
Les opérations sont au cœur de la réponse aux incidents. C’est à ce niveau que se déroulent les actions de réponse et de résolution des incidents de sécurité. Les opérations comprennent les cinq phases suivantes : détection, analyse, confinement, éradication et rétablissement. Vous trouverez la description de ces phases et des objectifs dans le tableau suivant.
| Phase | Objectif |
|---|---|
| Détection | Identifiez un événement de sécurité potentiel. |
| Analyse | Déterminez si l’événement de sécurité est un incident et évaluez son ampleur. |
| Maîtrise | Minimisez et limitez la portée de l’événement de sécurité. |
| Éradication | Éliminez les ressources ou artefacts non autorisés liés à l’événement de sécurité. Mettez en œuvre les mesures d’atténuation à l’origine de l’incident de sécurité. |
| Récupération | Restaurez les systèmes dans un état sûr connu et surveillez-les pour vérifier que la menace ne se reproduit pas. |
Utilisez ces phases à titre de référence pour réagir de manière efficace et robuste aux incidents. Les actions que vous effectuerez varieront en fonction de l’incident lui-même. Un incident impliquant un rançongiciel, par exemple, nécessite un ensemble d’étapes de réponse différent de celui d’un incident impliquant un compartiment Amazon S3 public. De plus, ces phases ne se déroulent pas nécessairement de manière séquentielle. Après la maîtrise et l’éradication, vous devrez peut-être revenir à l’analyse pour déterminer si vos actions ont été efficaces.
Une préparation minutieuse de votre personnel, de vos processus et de la technologie est essentielle à l’efficacité des opérations. Suivez donc les bonnes pratiques de la section Préparation pour être en mesure de répondre efficacement à un événement de sécurité actif.
Pour en savoir plus, consultez la section Opérations du Guide de réponse aux incidents de AWS sécurité.
