Chapitre 11 — Réponse aux Incidents, Forensique & SOAR
La réponse aux incidents est critique dans le domaine des opérations (28% de l'examen). Ce module couvre le cycle de vie des incidents, la forensique numérique, et l'automatisation SOAR.
Mémorisez ! Les 4 phases NIST : Préparation → Détection & Analyse → Confinement, Éradication & Récupération → Post-incident. Mémo : "PD, CER, P". Lors de l'examen, les questions demandent souvent dans quel ordre effectuer des actions.
- Préparation : politiques IR, équipe CSIRT, outils (SIEM, sandbox), formation, playbooks prédéfinis.
- Détection & Analyse : identifier l'incident (via SIEM, IDS, utilisateurs), déterminer la portée, catégoriser la sévérité, préparer les preuves.
- Confinement : limiter l'impact (isoler les systèmes, révoquer les credentials). Court terme (isolation immédiate) et long terme (patch, rebuild).
- Éradication : supprimer la cause (malware, backdoor, accès compromis). Nettoyage complet.
- Récupération : restaurer les systèmes, surveiller pour s'assurer qu'il n'y a plus d'activité malveillante.
- Activités post-incident (Lessons Learned) : rapport complet, analyse des causes profondes, amélioration des défenses, mise à jour des playbooks.
Mémorisez ! Ordre de volatilité des preuves (RFC 3227) — collecter du plus volatile au moins volatile : Mémoire RAM → État réseau → Processus → Disques → Logs → Archives. Ne jamais éteindre un système compromis sans capturer d'abord la RAM (clés de chiffrement, processus, connexions actives y sont stockés).
- Chain of Custody : documentation complète de qui a touché les preuves, quand, et pourquoi. Essentielle pour l'admissibilité juridique.
- Intégrité des preuves : calculer les hashes (SHA-256) des preuves avant et après manipulation. Utiliser des outils de write-blocker pour éviter d'écrire sur les disques originaux.
- Copie forensique (Forensic Image) : copie bit-à-bit d'un disque (pas juste les fichiers). Outils : dd, FTK Imager, EnCase. Travailler sur la copie, jamais sur l'original.
- Analyse de la mémoire RAM : dumper la RAM avant d'éteindre le système. Contient : processus actifs, connexions réseau ouvertes, clés de chiffrement, mots de passe en clair. Outils : Volatility, Rekall.
- Analyse des logs : journaux système (syslog, Event Viewer), logs applicatifs, logs réseau (NetFlow, pcap), logs de sécurité (SIEM). Crucial pour reconstituer la timeline de l'attaque.
- Environnement légal : respecter la législation sur la collecte de preuves numériques. Différences selon le contexte (enquête interne vs judiciaire).
- SOAR (Security Orchestration, Automation and Response) : plateforme qui automatise la réponse aux incidents via des playbooks prédéfinis. Réduit le temps de réponse de minutes à secondes.
- Playbook : procédure documentée et automatisée pour répondre à un type d'incident spécifique (ex: "si alerte phishing détectée → extraire URLs → vérifier réputation → bloquer sur proxy → notifier l'utilisateur → créer ticket"). Reproductible et cohérent.
- Runbook : procédure manuelle documentée (pas nécessairement automatisée). Un playbook est souvent l'automatisation d'un runbook.
- Threat Intelligence (TI) : informations sur les tactiques, techniques et procédures (TTPs) des attaquants. Nourrit le SOAR pour améliorer la détection et la réponse.
- Indicateurs de Compromission (IOC) : preuves qu'une compromission a eu lieu (hashe de malware, adresse IP C2, domaine malveillant, clé de registre). Partagés via STIX/TAXII entre organisations.
Astuce Examen
Sur l'examen, si une question demande l'ordre des actions lors d'un incident, le confinement vient AVANT l'éradication. Ne jamais éradiquer avant de confiner (sinon l'attaquant peut s'échapper vers d'autres systèmes). Et toujours préserver les preuves AVANT le confinement si possible.