In questi casi la velocità di reazione è primordiale dato che una compromissione implica una situazione di pericolo di tutto il sistema di informazione aziendale. Inoltre, quando la compromissione provoca una disfunzione di un servizio, un blocco delle attività di lunga durata può significare una perdita finanziaria. Infine, ad esempio in caso di modica di pagine web, sarà in gioco la reputazione stessa dell'azienda.

Fase di reazione

La fase di reazione è solitamente la fase meno curata nei progetti di sicurezza informatica. Consiste nell'anticipare gli eventi e nel prevedere le misure da prendere in caso di problemi.

In effetti, in caso di intrusione ad esempio, è possibile che l'amministratore di sistema debba reagire in uno degli scenari seguenti :

• Ottenimento dell'indirizzo del pirata e risposta ;
• Estinzione dell'alimentazione del terminale ;
• Scollegamento del terminale dalla rete ;
• Reinstallazione del sistema.

Ora, ciascuna di queste azioni può potenzialmente essere più nociva (soprattutto in termini di costi) che l'intrusione stessa. In effetti, se il funzionamento del terminale compromesso è vitale per il funzionamento del sistema di informazione o se si tratta del sito di un'azienda di vendita in linea, l'indisponibilità del servizio per un lungo periodo di tempo può essere catastrofica.

D'altra parte, in questi casi, è essenziale produrre delle prove, in caso di inchiesta giudiziaria. In caso contrario, se il terminale compromesso è servito come ponte per un altro attacco, la responsabilità dell'azienda rischia di essere coivolta.

La posa in essere di un piano di ripresa dopo un incidente permette così di evitarne un aggravamento e di assicurarsi che sono state applicate correttamente tutte le misure previste per la produzione delle prove.

Dall'altro lato, un piano di incidente correttamente studiato definisce le responsabilità di ognuno ed evita gli ordini e i cotrordini che rappresentano una perdita di tempo.

Restauro

La rimessa in funzione del sistema compromesso deve essere dettagliatamente descritta nel piano di ripresa dopo l'incidente e deve considerare i seguenti elementi :

• Data dell'intrusione : la conoscenza della data approssimativa della compromissione permette di valutare i rischi dell'intrusione sur resto della rete e il livello di compromissione del terminale ;
• Limitazione della compromissione : si tratta di prendere le misure necessarie affinché la compromissione non si propaghi ;
• Strategia di salvataggio : se l'azienda possiede una stategia di backup, si consiglia di verificare le modifiche apportate ai dati del sistema compromesso rispetto ai dati considerati affidabili. In effetti, si i dati sono stati infettati da unvirus o da un cavallo di Troia, il loro recupero rischia di contribuire alla propagazione dell'incidente ;
• Produzione delle prove : per ragioni legali è necessario salvare i file di log del sistema corrotto per poterli restituire in caso di inchiesta giudiziaria ;
• Realizzazione di un sito di ripiego : piuttosto che rimettere in funzione il sistema compromesso, è più saggio prevedere ed attivare quando necessario un sito di ripiego che permetta di assicurare una continuità di servizio.

Simulazione del piano di incidente

La simulazione del piano di incidente permette di verificare il buon funzionamento del piano e permette ugualmente a tutti gli attori interessati di essere sensibilizzati, allo stesso livello dell'utilità delle esercitazioni di evacuazione in caso di incendio previste dal piano di soccorso.