À propos des incidents

Qu’est-ce qu’un incident

Dans le contexte de la sécurité de l’information, un incident constitue un événement imprévu ou indésirable susceptible de perturber l’activité normale ou la sécurité de l’information.

Un événement est le signe extérieur identifié d’un état particulier d’un système, d’un service ou d’un réseau.

Dans le cadre de la solution Kaspersky MDR, le principal critère à prendre en compte lorsque l’on décide que l’activité observée constitue un incident est la capacité à mettre en œuvre des mesures efficaces visant à contrer, prévenir ou réduire les éventuels dommages découlant de Cette activité. Le tableau ci-dessous comprend des exemples de critères d’incident et de mesures possibles en fonction de la source de l’événement.

Exemples de critères de détection des incidents et de mesures d’intervention

Source de l’événement

Éventuels critères liés aux incidents

Réponses éventuelles aux incidents

Terminal
  • La phase active de l’attaque qui n’a pas été automatiquement empêchée
  • Preuves du caractère malveillant persistent du système
  • Indicateurs d’incidents passés
  • Indicateurs d’activité d’intrusion interne côté Client (y compris les cas où l’attaque a été empêchée avec succès)
  • Détection des problèmes à l’aide des solutions AO Kaspersky Lab installées sur les terminaux, et évaluation de l’efficacité de la réponse automatique (si cela est techniquement possible)
  • Recommandation de mesures de riposte manuelles
  • Demande de mesures de riposte automatiques
  • Recommandations pour sensibiliser les utilisateurs à la sécurité de l’information

Terminal + réseau

Événement de sécurité détecté par la technologie de détection de réseau prise en charge, qui a été confirmé sur le terminal
  • Détection de problèmes au moyen des produits AO Kaspersky Lab installés sur les terminaux, ainsi que des services d’AO Kaspersky Lab pour la surveillance du trafic réseau, et évaluation de l’efficacité des mesures de réponse automatiques (dans le cas où cela est techniquement possible)
  • Recommandation de mesures de riposte manuelles
  • Demande de mesures de riposte automatiques
  • Informer le client

Scénarios de détection d’incidents

Scénario 1 . Détection des incidents par la solution Kaspersky MDR

Dans ce scénario, un incident de sécurité de l’information est détecté grâce à la solution Kaspersky MDR. L’incident est enregistré automatiquement dans le système de suivi des incidents. Le niveau de priorité de l’incident par défaut peut être modifié ultérieurement ; il nécessite toutefois d’indiquer le motif du changement selon le tableau des niveaux de priorité d’incident (voir ci-dessous). Kaspersky MDR traite les événements enregistrés afin d’obtenir rapidement des renseignements sur l’état des infrastructures informatiques du client.

Si les causes fondamentales de l’incident sont déterminées à l’issue de l’analyse, des recommandations d’intervention sont fournies au client. Si les données ne permettent pas d’identifier la cause fondamentale de l’incident, tous les renseignements disponibles et les résultats de l’analyse sont fournis au client afin qu’il puisse mener des recherches de son côté.

Scénario 2 . Détection des incidents par le client (la création d’incidents personnalisés n’est pas disponible avec certains niveaux de licence commerciale)

Dans ce scénario, un incident de sécurité de l’information est détecté par le client, indépendamment de la solution Kaspersky MDR. Si l’incident doit être traité par Kaspersky MDR, le client peut enregistrer l’incident manuellement et fournir toutes les données disponibles concernant l’incident détecté à l’aide des fonctionnalités de Kaspersky MDR. Par défaut, le niveau de priorité de l’incident est défini sur Bas, sauf indication contraire du client lors de l’enregistrement de l’incident.

La suite du traitement de l’incident est similaire au scénario 1.

Niveaux de priorité des incidents

Niveaux de priorité des incidents et leurs descriptions

Niveau de priorité de l’incident

Description

Élevée

Incidents qui, de l’avis des experts AO Kaspersky Lab, peuvent entraîner des perturbations majeures ou un accès non autorisé aux ressources du client surveillées par Kaspersky MDR.

Par exemples, l’identification de traces d’une attaque ciblée ou d’une menace inconnue nécessitant de nouvelles recherches à l’aide de méthodes de police scientifique numérique.

Moyenne

Les incidents qui, selon l’avis des experts AO de Kaspersky Lab, peuvent affecter l’efficacité ou les performances des ressources du client surveillées par Kaspersky MDR, ou peuvent entraîner une corruption unique des données.

Faible

Incidents qui, selon l’avis des experts AO de Kaspersky Lab, n’affectent pas de manière significative l’efficacité ou les performances des ressources du client surveillées par Kaspersky MDR.

Par exemple, les logiciels potentiellement indésirables identifiés comme un adware ou un riskware.

Le niveau de priorité des incidents par défaut est Faible.

Objectifs de performance de la fourniture de la solution

Temps de réaction de la cible et valeur de la fourniture de Kaspersky MDR en fonction de la priorité de l’incident

Niveau de priorité de l’incident

Temps de réaction

Valeur cible

Élevée

1 heure

90 %

Moyenne

4 heures

90 %

Faible

24 heures

90 %

L’incident est considéré comme résolu si des recommandations sur les mesures à prendre ont été remises au client.

*Le temps de réaction est le temps qui s’écoule entre la détection de l’incident (heure de sa création) et la publication de celui-ci sur la Console MDR en ligne (heure de la mise à jour).

**Valeur cible — le pourcentage d’incidents pour lequel le temps de réaction atteint l’objectif indiqué dans le tableau.

Haut de page