SEC10-BP07 Exécuter des simulations
À mesure que les organisations se développent et évoluent au fil du temps, le paysage des menaces change. Il est donc important de revoir en permanence vos capacités de réponse aux incidents. L’organisation de simulations (également appelées « tests de simulation de panne ») est une méthode qui peut être utilisée pour effectuer cette évaluation. Les simulations utilisent des scénarios d’événements de sécurité réels conçus pour imiter les tactiques, techniques et procédures (TTP) d’un acteur de la menace et permettre à une organisation d’exercer et d’évaluer ses capacités de réponse aux incidents en réagissant à ces cyberévénements fictifs tels qu’ils peuvent se produire dans la réalité.
Avantages liés au respect de cette bonne pratique : les simulations présentent de nombreux avantages :
-
Validation de l’état de préparation à la cybersécurité et renforcement de la confiance de vos intervenants en cas d’incident.
-
Test de la précision et de l’efficacité des outils et des flux de travail.
-
Amélioration des méthodes de communication et de remontées en fonction de votre plan d’intervention en cas d’incident.
-
Possibilité de répondre à des vecteurs moins courants.
Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen
Directives d’implémentation
Il existe trois principaux types de simulations :
-
Exercices sur table : l’approche théorique des simulations est une session basée sur des discussions auxquelles participent les différentes parties prenantes de la réponse aux incidents afin de mettre en pratique leurs rôles et leurs responsabilités et d’utiliser des outils de communication et des manuels établis. L’animation d’exercices peut généralement être réalisée en une journée complète dans un lieu virtuel, un lieu physique ou une combinaison des deux. Dans la mesure où il repose sur la discussion, l’exercice théorique met l’accent sur les processus, les personnes et la collaboration. La technologie fait partie intégrante de la discussion, mais l’utilisation effective d’outils ou de scripts de réponse aux incidents ne fait généralement pas partie de l’exercice théorique.
-
Exercices de l’équipe violette : les exercices de l’équipe violette augmentent le niveau de collaboration entre les intervenants en cas d’incident (équipe bleue) et les acteurs de menaces simulées (équipe rouge). L’équipe bleue est composée de membres du centre des opérations de sécurité (SOC), mais peut également inclure d’autres parties prenantes qui seraient impliquées lors d’un véritable cyberévénement. L’équipe rouge est composée d’une équipe de tests de pénétration ou de parties prenantes clés formées à la sécurité offensive. L’équipe rouge travaille en collaboration avec les animateurs de l’exercice lors de la conception d’un scénario afin que celui-ci soit précis et réalisable. Lors des exercices de l’équipe violette, l’accent est principalement mis sur les mécanismes de détection, les outils et les procédures opérationnelles standard (SOP) qui soutiennent les efforts de réponse aux incidents.
-
Exercces de l’équipe rouge : au cours d’un exercice de l’équipe rouge, l’attaque (l’équipe rouge) effectue une simulation pour atteindre un objectif donné ou un ensemble d’objectifs à partir d’une portée prédéterminée. Les défenseurs (équipe bleue) ne seront pas nécessairement au courant de la portée ni de la durée de l’exercice, ce qui permet d’évaluer de manière plus réaliste la manière dont ils réagiraient en cas d’incident réel. Étant donné que les exercices de l’équipe rouge peuvent être des tests invasifs, soyez prudent et mettez en œuvre des contrôles pour vérifier que l’exercice ne cause pas de dommages réels à votre environnement.
Envisagez d’animer des simulations cybernétiques à intervalles réguliers. Chaque type d’exercice peut apporter des avantages uniques aux participants et à l’organisation dans son ensemble. Vous pouvez donc choisir de commencer par des types de simulation moins complexes (tels que des exercices théoriques) et de passer ensuite à des types de simulation plus complexes (exercices de l’équipe rouge). Vous devez sélectionner un type de simulation en fonction de la maturité de votre sécurité, de vos ressources et des résultats souhaités. Certains clients peuvent décider de ne pas effectuer les exercices de l’équipe rouge en raison de leur complexité et de leur coût.
Étapes d’implémentation
Quel que soit le type de simulation que vous choisissez, les simulations suivent généralement les étapes de mise en œuvre suivantes :
-
Définir les éléments essentiels de l’exercice : définissez le scénario de simulation et les objectifs de la simulation. Les deux doivent être acceptés par les dirigeants.
-
Identifier les principales parties prenantes : un exercice nécessite au minimum des animateurs et des participants. Selon le scénario, d’autres parties prenantes telles que les services juridiques, l’équipe de communication ou la direction, peuvent être impliquées.
-
Concevoir et tester le scénario : le scénario devra peut-être être redéfini au fur et à mesure de sa création si des éléments spécifiques ne sont pas réalisables. Un scénario finalisé est attendu à l’issue de cette étape.
-
Faciliter la simulation : le type de simulation détermine l’animation utilisée (un scénario papier par rapport à un scénario simulé hautement technique). Les animateurs doivent adapter leurs tactiques d’animation aux objectifs de l’exercice et impliquer tous les participants dans l’exercice dans la mesure du possible afin d’en tirer le meilleur parti.
-
Élaborer le rapport après action (AAR) : identifier les domaines qui se sont bien déroulés, ceux qui peuvent être améliorés et les lacunes potentielles. L’AAR doit mesurer l’efficacité de la simulation ainsi que la réponse de l’équipe à l’événement simulé afin que les progrès puissent être suivis au fil du temps lors de futures simulations.
Ressources
Documents connexes :
Vidéos connexes :