Cyberattaques et remédiation : La remédiation du Tier 0 Active Directory

Les dégâts financiers et matériels que peuvent occasionner une attaque informatique sont considérables. Si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. Ce fort potentiel de déstabilisation exige, à la fois des organisations cibles et des prestataires de cybersécurité, un savoir-faire dans l’endiguement de ces cyber-attaques, dans la reprise de contrôle du système d’information compromis et dans le rétablissement d’un état de fonctionnement suffisant. La remédiation est l'étape clé pour y parvenir. Elle constitue l’une des dimensions majeures de la réponse à incident cyber, avec l’investigation et la gestion de crise.

L’ANSSI est engagée avec l’écosystème de sécurité informatique, à l’élaboration, et la diffusion des piliers doctrinaux de la mise en œuvre et du pilotage de la remédiation. Elle publie un corpus doctrinal qui s’articule en trois volets (stratégique, opérationnel, technique) et a vocation à s’enrichir progressivement.

Volet technique

Le volet technique s’adresse aux équipes d’exploitation et aux intervenants techniques d’opérations de remédiation. Il détaille les principaux axes de mise en œuvre à prendre en compte lors de la remédiation. Les documents de ce volet accompagnent les organisations dans les actions techniques à effectuer au cours de la remédiation, pour des technologies spécifiques telles que le Tier 0 Active Directory. Ce volet sera progressivement enrichi en nouveaux guides sur d’autres sujets techniques.

Le guide « La remédiation du Tier 0 Active Directory » constitue une base technique présentant les piliers d’une opération de reconstruction du cœur de confiance de l’Active Directory : Voir le guide