10.5. Restauration et r�cup�ration de ressources
Lors d'une r�ponse aux incidents, une �quipe CERT devrait rechercher et travailler vers la restauration de donn�es et de syst�mes. Malheureusement, la nature de la br�che seule permet d'indiquer le chemin � suivre pour atteindre une restauration. Il est de valeur inestimable d'avoir des sauvegardes ou des syst�mes redondants hors ligne dans ces cas-l�.
Pour restaurer des syst�mes, l'�quipe de r�ponse doit ramener en ligne tout syst�me ou application qui a �chou�, comme les serveurs d'authentification, les serveurs de bases de donn�es et toute autre ressource de production.
Il est fortement recommand� d'avoir du mat�riel de sauvegarde de production pr�t � l'emploi, comme des disques durs suppl�mentaires, des serveurs hot-spare et �quivalent. Les syst�mes pr�con�us devraient avoir tous les logiciels de production charg�s et pr�ts � un emploi imm�diat. Seules les donn�es les plus appropri�es et r�centes auront besoin d'�tre import�es. Ce syst�me pr�con�u devrait �tre gard� isol� du reste du r�seau. Si un compromis se produit et que le syst�me de sauvegarde fait partie du r�seau, alors un syst�me de sauvegarde n'a plus aucun int�r�t.
La restauration de syst�mes peut s'av�rer un processus p�nible. Dans de nombreux cas, vous pouvez choisir entre deux types d'actions. Les administrateurs peuvent effectuer une r�installation propre du syst�me d'exploitation sur chaque syst�me affect�, suivie d'une restauration de toutes les applications et des donn�es. D'un autre c�t�, les administrateurs peuvent appliquer des correctifs sur le syst�me contre les vuln�rabilit�s et ramener le syst�me affect� en production.
10.5.1. R�installation du syst�me
Le fait d'effectuer une r�installation assure que le syst�me affect� sera nettoy� de tout cheval de Troie, de portes d'entr�e cach�es ou de processus malveillants. Une r�installation assure �galement que toute donn�e (restaur�e d'une source de sauvegarde certifi�e) soit nettoy�e de toute modification malveillante. L'inconv�nient � la restauration compl�te d'un syst�me est le temps pris par la reconstruction des syst�mes. Cependant, si un syst�me de sauvegarde � chaud est disponible lorsque la seule action possible est de vider les derni�res donn�es, alors le temps d'indisponibilit� du syst�me est consid�rablement r�duit.
10.5.2. Application de correctifs sur le syst�me
Le fait d'appliquer des correctifs sur les syst�mes affect�s est une m�thode plus dangereuse et devrait �tre manipul�e avec attention. Le danger avec l'application de correctifs sur un syst�me compar� avec une r�installation est de d�terminer si vous avez suffisamment nettoy� le syst�me de chevaux de Troie, de trous de s�curit� et de donn�es corrompues. La plupart des rootkits (programmes ou paquetages qu'un craqueur utilise pour obtenir l'acc�s super-utilisateur sur votre syst�me), des commandes syst�me de cheval de Troie et des environnements shell sont con�us pour cacher les activit�s malveillantes aux analyses rapides. Si l'approche des correctifs est utilis�e, seuls les binaires certifi�s devraient �tre utilis�s (par exemple, depuis un CD-ROM en lecture-seule mont�).