10.3. Impl�mentation du plan de r�ponse aux incidents
Une fois un plan d'actions cr��, il doit �tre approuv� et activement impl�ment�. Tous les aspects du plan qui sont questionn�s durant l'impl�mentation active auront probablement comme r�sultats un pauvre temps de r�ponse et un temps d'indisponibilit� dans le cas d'une br�che. Dans ces cas l�, les exercices de pratique s'av�rent de valeur inestimable. � moins que quelque chose ne soit remarqu� avant que le plan ne soit configur� activement en production, l'impl�mentation devrait �tre approuv�e par toutes les parties directement connect�es et ex�cut�e avec confiance.
Si une br�che est d�tect�e dans la pr�sence de la CERT, plusieurs r�ponses sont alors possibles. L'�quipe peut d�cider de d�sactiver les connexions r�seau, de d�connecter les syst�mes affect�s, d'ins�rer des correctifs contre l'exploit, puis de reconnecter rapidement sans d'autres complications possibles. L'�quipe peut �galement observer les intrus et suivre leurs actions. L'�quipe peut m�me attirer l'intrus vers un pot de miel — un syst�me ou un segment de r�seau contenant des donn�es intentionnellement fausses — afin de suivre une intrusion en toute s�curit� et sans perturber les ressources de production.
R�pondre � un incident devrait �galement �tre accompagn� d'une collecte d'informations si possible. L'ex�cution de processus, les connexions r�seau, les fichiers, les r�pertoires et autres devraient �tre analys�s en temps r�el. Il peut �tre utile de poss�der un instantan� des ressources de production en comparaison dans le suivi de processus ou de services vicieux. Les membres de la CERT et les sp�cialistes internes seront tr�s utiles dans le suivi de telles anomalies dans un syst�me. Les administrateurs syst�me connaissent les processus qui devraient ou ne devraient pas appara�tre en ex�cutant top ou ps. Les administrateurs r�seau savent de quoi le trafic r�seau normal devrait avoir l'air lors de l'ex�cution de snort ou m�me de tcpdump. Ces membres de l'�quipe devraient conna�tre leurs syst�mes et pouvoir d�tecter une anomalie plus rapidement que quelqu'un qui n'est pas familier avec l'infrastructure.