Durée: 12 mois
Rubrique: Architecte cybersécurité
Dans le contexte des infrastructures critiques, la contention et l'éradication des menaces sont deux éléments clés du processus de réponse aux incidents de sécurité.
La contention désigne des mesures qui sont prises pour limiter la portée et l'impact d'un incident de sécurité en cours. Ces mesures peuvent inclure l'isolement de systèmes ou de réseaux affectés, la limitation de l'accès à certaines ressources, ou encore l'utilisation de technologies de défense pour limiter la progression de l'attaque. L'objectif de ces actions est d'éviter que l'incident ne s'étende à d'autres parties de l'infrastructure et ne cause des dégâts supplémentaires.
L'éradication des menaces, quant à elle, désigne les actions entreprises pour éliminer la cause sousjacente de l'incident et restaurer les systèmes à leur état normal. C'est souvent un processus plus long et complexe qui implique la suppression de malwares, la correction de vulnérabilités exploitées par les attaquants, et éventuellement la récupération de données. Il peut aussi être nécessaire de remplacer des composants matériels endommagés ou compromis.
Il est important de noter que ces deux phases doivent être menées dans un ordre précis : il faut d'abord contenir l'incident pour stopper sa progression, puis éradiquer les menaces pour empêcher qu'il ne se reproduise. C'est le seul moyen d'assurer une gestion efficace des incidents de sécurité.