Remédiation

La remédiation est définie comme le projet de reprise de contrôle d’un système d’information compromis et du rétablissement d'un état de fonctionnement suffisant. Elle débute avec l’identification de l’incident et ne se termine que quand les objectifs stratégiques ont été atteints, ce qui correspond généralement au rétablissement des services et à l’éviction de l’adversaire.

Il est possible de résumer les étapes d’un projet de remédiation suivant l’acronyme « E3R », une séquence des trois « E » accompagnée d’actions de reconstruction :

1. Endiguement : Freiner l’attaquant au sein du système d’information, en introduisant de la friction dans son activité afin de donner du temps et de la visibilité aux défenseurs.
2. Éviction : Éliminer durablement l’adversaire du cœur de confiance, depuis lequel le reste du système d’information est géré.
3. Éradication : Nettoyer le système d’information de toute emprise, même mineure, de l’attaquant.

La reconstruction est une activité support à la remédiation ayant pour objectif de lui fournir les moyens informatiques nécessaires à la remise en fonction et en condition de sécurité du système d’information. Elle s’exécute en parallèle aux trois étapes en « E ». En réponse à une attaque destructrice (sabotage, rançongiciel), elle est un objectif majeur de la remédiation. Dans les intrusions à visée d’espionnage, la reconstruction est plutôt un moyen au service des activités d’éviction et d’éradication. En sortie du « temps chaud », la reconstruction se poursuivra pour rétablir progressivement le retour à la normale du système d’information et durcir sa sécurité.

Sources de cette définition.