ObjectifCyber

Chapitre 11 — Réponse aux Incidents, Forensique & SOAR

La réponse aux incidents est critique dans le domaine des opérations (28% de l'examen). Ce module couvre le cycle de vie des incidents, la forensique numérique, et l'automatisation SOAR.

Mémorisez ! Les 4 phases NIST : Préparation → Détection & Analyse → Confinement, Éradication & Récupération → Post-incident. Mémo : "PD, CER, P". Lors de l'examen, les questions demandent souvent dans quel ordre effectuer des actions.
  1. Préparation : politiques IR, équipe CSIRT, outils (SIEM, sandbox), formation, playbooks prédéfinis.
  2. Détection & Analyse : identifier l'incident (via SIEM, IDS, utilisateurs), déterminer la portée, catégoriser la sévérité, préparer les preuves.
  3. Confinement : limiter l'impact (isoler les systèmes, révoquer les credentials). Court terme (isolation immédiate) et long terme (patch, rebuild).
  4. Éradication : supprimer la cause (malware, backdoor, accès compromis). Nettoyage complet.
  5. Récupération : restaurer les systèmes, surveiller pour s'assurer qu'il n'y a plus d'activité malveillante.
  6. Activités post-incident (Lessons Learned) : rapport complet, analyse des causes profondes, amélioration des défenses, mise à jour des playbooks.

Mémorisez ! Ordre de volatilité des preuves (RFC 3227) — collecter du plus volatile au moins volatile : Mémoire RAM → État réseau → Processus → Disques → Logs → Archives. Ne jamais éteindre un système compromis sans capturer d'abord la RAM (clés de chiffrement, processus, connexions actives y sont stockés).

Astuce Examen

Sur l'examen, si une question demande l'ordre des actions lors d'un incident, le confinement vient AVANT l'éradication. Ne jamais éradiquer avant de confiner (sinon l'attaquant peut s'échapper vers d'autres systèmes). Et toujours préserver les preuves AVANT le confinement si possible.

1. Lors d'un incident de sécurité, dans quel ordre les phases NIST SP 800-61 doivent-elles être réalisées ?

NIST SP 800-61 : 1-Préparation (avant les incidents), 2-Détection & Analyse, 3-Confinement, Éradication & Récupération (ordre interne : confiner d'abord, éradiquer ensuite, puis récupérer), 4-Post-incident (leçons apprises). La préparation est une phase permanente, pas séquentielle — elle précède et supporte toutes les autres.

2. L'"ordre de volatilité" en forensique numérique signifie que l'analyste doit collecter en priorité :

RFC 3227 — Ordre de volatilité (du plus au moins volatile) : 1-Registres CPU/cache, 2-RAM, 3-Trafic réseau, 4-État réseau (connexions actives), 5-Processus en cours, 6-Disques, 7-Logs, 8-Archives. La RAM s'efface à l'extinction du système — elle contient les clés de chiffrement, malwares en mémoire, sessions actives. Critiquer pour l'analyse.

3. La "chain of custody" (chaîne de custody) en forensique numérique est importante car :

Chain of custody = documentation continue de la possession et du traitement des preuves. Inclut : qui a collecté, quand, où, conditions de stockage, qui a analysé, transferts de custody. Si la chaîne est brisée (preuve non documentée), les preuves peuvent être jugées inadmissibles en justice. Essentielle pour les poursuites pénales.

4. SOAR (Security Orchestration, Automation and Response) est principalement utilisé pour :

SOAR = orchestration de la réponse aux incidents. Un playbook SOAR peut en quelques secondes : isoler un système compromis (via API firewall), révoquer les credentials (Active Directory API), collecter les logs (SIEM), notifier l'équipe SOC, créer un ticket, lancer un scan forensique. Ce qui prenait 30 min manuellement peut se faire en 30 secondes.

5. Un "write-blocker" est un outil forensique utilisé pour :

Write-blocker (hardware ou software) = dispositif intercalé entre l'analyste et le disque original. Permet la lecture mais bloque TOUTE écriture. Si un OS moderne monte un disque sans write-blocker : il peut modifier les métadonnées d'accès, corrompant les preuves. L'acquisition forensique doit se faire via write-blocker pour que le hash du disque reste valide.

6. Un IOC (Indicateur de Compromission) est :

IOC = artifacts observables indiquant une compromission. Exemples : hash SHA-256 d'un malware connu, adresse IP d'un serveur C2, domaine malveillant, valeur de clé de registre créée par un malware, pattern de trafic réseau anormal. Partagés entre organisations via STIX (format) et TAXII (protocole d'échange) pour améliorer la détection collective.

7. Lors d'un incident de ransomware actif, quelle devrait être la PREMIÈRE action après détection ?

Ransomware actif = CONFINEMENT IMMÉDIAT. Isoler les systèmes (déconnecter du réseau, pas éteindre — la RAM contient peut-être des clés de déchiffrement). Limiter la propagation au réseau. Puis : notifier l'équipe IR, activer le plan de réponse aux incidents, évaluer l'impact. Éteindre sans capturer la RAM = perdre des preuves potentielles.

8. La phase "Leçons Apprises" (Post-Incident) du processus IR sert à :

Post-Incident = amélioration continue. Réunion PIR (Post-Incident Review) : timeline de l'incident, cause profonde (root cause), efficacité de la réponse, ce qui aurait pu être fait mieux, mises à jour des playbooks, formation si nécessaire, rapport pour la direction. Une organisation qui ne fait pas de PIR répète les mêmes erreurs.

9. Un playbook SOAR différencie d'un runbook en ce que :

Runbook = procédure manuelle documentée (checklist que suit un analyste SOC). Playbook = automatisation d'un runbook dans une plateforme SOAR. Le playbook exécute les étapes automatiquement via des APIs et intégrations. Un bon playbook est souvent la version automatisée d'un runbook qui a fait ses preuves manuellement.

10. Une "Forensic Image" (copie forensique) est :

Forensic Image = copie exacte bit-par-bit du disque entier, incluant les secteurs "vides" (qui peuvent contenir des fichiers supprimés récupérables). Outils : dd (Linux), FTK Imager, EnCase. Hash SHA-256 calculé avant et après pour prouver l'intégrité. L'analyste travaille toujours sur la copie forensique, jamais sur le disque original.