Élaborez et appliquez un plan de communication pour les gestionnaires d'incidents, qui inclut les coordonnées, les mécanismes de signalement des incidents, un système de suivi des problèmes, une cellule de crise et un logiciel de chiffrement pour les communications.

Familiarisez-vous avec les vecteurs d'attaque tels que les logiciels malveillants dans les e-mails, les sites Web malveillants, l'usurpation d'identité, les supports amovibles, les attaques par force brute et les activités inhabituelles, et utilisez des outils d'alerte tels que les systèmes de détection et de prévention des intrusions (IDPS), les solutions de gestion des informations et des événements de sécurité (SIEM), les antivirus, les antispams et les journaux. Pour l'analyse, cela doit inclure le profilage du système réseau, la compréhension des comportements normaux, la création de règles de conservation des journaux et la corrélation des événements.

Pour identifier les pirates informatiques, vérifiez les adresses IP hôtes, utilisez des bases de données d'incidents, surveillez les canaux de communication des pirates informatiques et effectuez des recherches à l'aide de moteurs de recherche. L'équipe de réponse doit procéder à l'éradication et à la récupération de manière progressive, en fonction des priorités.

Déterminez comment l'organisation aurait pu éviter une attaque en posant des questions telles que les suivantes : Que s'est-il passé ? Quand ? Quelles mesures l'équipe d'intervention a-t-elle prises qui ont pu entraver la récupération ?

En raison de leur nature distribuée et du modèle de responsabilité partagée, les environnements cloud introduisent des contraintes particulières pour la réponse aux incidents. Un modèle propre au cloud aborde des problématiques telles que la sécurité mutualisée, les menaces basées sur les API et la complexité liée à l'investigation des incidents dans une infrastructure éphémère. Ces modèles intègrent des outils cloud natifs pour la surveillance et l'investigation, définissent des procédures de coordination avec les fournisseurs de services cloud et établissent des protocoles pour préserver les preuves dans des environnements dynamiques où les ressources peuvent être automatiquement mises à l'échelle ou arrêtées.

Les modèles traditionnels de réponse aux incidents de sécurité informatique se concentrent sur la protection des points de terminaison et la sécurité réseau au sein d'une infrastructure sur site. Ces modèles fournissent des procédures complètes pour traiter les infections par des logiciels malveillants, les tentatives d'accès non autorisées et les violations de données affectant les stations de travail et les serveurs. Ils incluent des étapes détaillées pour isoler les systèmes affectés, collecter des éléments de preuve sur les disques durs et en mémoire, et rétablir les opérations tout en préservant la chaîne de contrôle en vue d'éventuelles procédures juridiques.

Les modèles conçus pour les responsables de la cybersécurité mettent l'accent sur la coordination stratégique et la communication entre plusieurs équipes et personnes concernées. Ces frameworks incluent des matrices d'escalade pour impliquer la direction, des modèles de notifications réglementaires et des procédures de gestion des relations publiques lors d'incidents très médiatisés. Ils fournissent des conseils sur l'allocation des ressources, la gestion des fournisseurs et la création de rapports post-incident pour les conseils d'administration et les organismes de réglementation. Ils permettent ainsi aux responsables d'orchestrer efficacement les efforts de réponse complexes.

Les modèles de réponse aux incidents dans le secteur de la santé répondent aux défis uniques liés à la protection des données des patients, tout en maintenant les systèmes de soins critiques. Ces modèles intègrent les exigences de notification de violation de la loi HIPAA, les procédures de gestion des attaques par ransomware sur les dispositifs médicaux et les protocoles de maintien des soins aux patients en cas de panne des systèmes. Ils incluent des recommandations précises pour collaborer avec les fournisseurs de dossiers médicaux électroniques, coordonner les échanges régionaux d'informations sur la santé et gérer les incidents susceptibles d'affecter la sécurité des patients.

Le modèle du California Department of Technology fournit un cadre complet destiné aux organismes d'état qui gèrent des services publics critiques. Ce modèle met l'accent sur la coordination inter-agences, les exigences de transparence publique et les procédures de protection des données des citoyens. Il comprend des protocoles spécifiques pour la coordination avec les services étatiques de gestion des urgences, la gestion des incidents affectant plusieurs services et le maintien de la continuité des services gouvernementaux en cas de cyberattaques.

Le modèle du NIH répond aux exigences spécifiques liées à la protection des données de recherche sensibles et au maintien de l'intégrité des ressources de calcul scientifique. Le framework inclut des procédures pour gérer les incidents affectant les essais cliniques, protéger la propriété intellectuelle et coordonner les réponses entre plusieurs instituts de recherche. Il fournit des conseils spécifiques pour les incidents impliquant des informations non classifiées contrôlées, des données relatives à des sujets humains et des clusters de calcul hautes performances utilisés pour la recherche génomique.

Les établissements d'enseignement doivent relever des défis spécifiques pour concilier les environnements de recherche ouverts avec les exigences de sécurité. Le modèle de l'UConn traite des incidents affectant diverses populations d'utilisateurs, y compris les étudiants, les professeurs et les chercheurs. Il comprend des procédures pour gérer les incidents pendant les périodes académiques critiques, protéger les dossiers des étudiants conformément à la loi FERPA et coordonner les réponses entre les services informatiques décentralisés, tout en préservant la liberté académique et la collaboration en matière de recherche.