Secu
L’ANSSI publie la version finale de ses 3 guides de remédiation
Par Laurent Delattre, publié le 22 janvier 2024
Il y a un peu moins d’un an, l’ANSSI publiait les préversions de trois guides dédiés à la remédiation. Après avoir recueilli les avis des experts de l’écosystème cyber en France, l’agence vient d’officialiser la sortie de ces trois guides enrichis des avis recueillis…
Si la remédiation est bien pilotée, le cyber-incident devient une opportunité d’amélioration significative de la résilience de l’organisme qui le subit, rappelle l’agence en introduction.
Avec l’investigation, la communication et la gestion de crise, la remédiation est une étape clé de la reprise de contrôle du système d’information (SI) après une cyber attaque au moins partiellement réussie. La remédiation ne se contente pas de mettre fin à l’attaque et de permettre à la DSI de reprendre le contrôle du SI compromis et la remise en route des services. Elle vise à également éviter que d’autres incidents similaires se produisent. Elle doit aussi veiller à ce que certains effets (directs et indirects) d’un incident de sécurité ne s’étendent dans la durée.
Dans sa volonté de se montrer didactique et accompagnatrice, l’ANSSI démarre l’année 2024 en publiant la version finale de ses trois premiers guides de la remédiation. Des préversions avaient été rendues publiques en avril 2023 et soumises aux commentaires de l’écosystème. Ces nouvelles publications résultent de cette consultation.
Destinés aux responsables de la sécurité des systèmes d’information (RSSI), aux directeurs des systèmes d’information (DSI), et aux dirigeants d’entreprises, ces trois guides complémentaires couvrent des aspects stratégiques, opérationnels et techniques de toute remédiation.
Intitulé “Les clés de décision“, le premier guide couvre les aspects stratégiques et s’adresse aux responsables et décideurs des organisations. Toute remédiation suit une séquence dénommée « E3R » pour endiguement, éviction, éradication, reconstruction. Le guide présente trois scénarios de remédiation (restauration des services vitaux, reprise de contrôle, et préparation à une gestion durable du système d’information) et fournit 7 recommandations pour réussir votre retour à la normale.
Titré “Piloter la remédiation”, le deuxième guide vise à assister les responsables des équipes techniques dans la gestion des opérations de remédiation. Ce document opérationnel donne des éléments concrets et pratiques pour mettre en œuvre la séquence « E3R »..
Le troisième guide “Remédiation du Tier 0 Active Directory“, le plus technique du lot, détaille les actions techniques nécessaires pour investiguer et sécuriser Active Directory, véritable talon d’Achille des SI. Il est destiné aux équipes d’exploitation et décrit en détail les procédures à suivre. C’est une véritable bible qui explique comment réinstaller les contrôleurs de domaine, renforcer leur sécurité, renouveler les « secrets », assainir les GPO, supprimer les faiblesses de configuration, adopter de bonnes pratiques jusqu’ici négligées, etc.
Trois lectures utiles voire indispensables à largement diffuser au sein de la DSI après les avoir télécharger ici : L’ANSSI publie un corpus de guides dédiés à la remédiation d’incidents cyber | ANSSI
À LIRE AUSSI :