Menu

Management de la réaction

La solution 6cure Threat Management (6cure TM) permet, en cas d'attaque, de recenser l'ensemble des contre-mesures locales activables, d'évaluer l'impact de l'attaque sur le fonctionnement du système, ainsi que la pertinence des contre-mesures envisageables, de mesurer l'impact de leur activation sur le fonctionnement optimal du système, puis de proposer un ensemble de stratégies de réponses à l'opérateur de sécurité.

Aide à la décision

Lors d'une attaque, l'opérateur de sécurité doit pouvoir bénéficier du meilleur éclairage afin d'être en mesure de forger et prendre sa décision sur les contremesures à appliquer à l'incident. La meilleure réponse est celle qui offre une coordination globale large, assurant la pertinence de la réaction, sa cohérence dans le contexte de l'incident, et la préservation des politiques de sécurité en vigueur dans l'environnement concerné. En effet, de nombreuses solutions offrent aujourd'hui des fonctions activables dans un objectif de sécurité des systèmes, mais elles souffrent de limitations liées notamment à leur méconnaissance du contexte complet, et notamment de l'impact de leurs mécanismes propres de réaction, souvent statiques et pré-déterminés. Nos solutions permettent de faciliter la collaboration de ces "éléments activables" dans une stratégie de réponse aux attaques mieux coordonnée et d'offrir à l'opérateur de sécurité une précieuse aide à la décision.

Valorisation des dispositifs existants

6cure Threat Management permet dans un premier temps de recenser les éléments actifs à disposition sur le SI de votre organisation. Ces éléments actifs recouvrent l'ensemble des systèmes matériels et logiciels capables de mettre en œuvre des configurations de réponse aux attaques : équipements du réseau (routeurs, switches), dispositifs de sécurité (pare-feux, IDS/IPS), annuaires des autorisations utilisateurs (LDAP, AD), systèmes d'authentification, configuration des postes applicatifs (droits d'accès).

Lors de l'occurrence d'une attaque, la solution 6cure Threat Management identifie, dès réception de l'alerte de sécurité, les parties prenantes de la menace (sources, cibles, relais et vecteurs de l'attaque), et évalue les différentes stratégies de réponse possibles en fonction de la nature de l'événement, de la forme et la topologie de l'attaque, et des moyens de réaction mobilisables parmi les éléments actifs préalablement répertoriés. Cette évaluation intègre nativement l'estimation du rapport entre l'efficacité des contremesures proposées en regard de la nocivité de l'attaque, et le calcul de l'impact de la réponse sur l'intégrité et le fonctionnement des services et des réseaux sous-jacents.

L'opérateur de sécurité dispose ainsi instantanément de tous les éléments de décision permettant de pousser les configurations de réaction fournies par 6cure Threat Management. Il devient alors possible de réagir en quasi-temps réel à une attaque en cours en activant des combinaisons intelligentes de contremesures à l'impact et l'efficacité mesurés : filtrage et contrôle d'accès, compartimentation, nettoyage chirurgical de flux nocifs…