Quand l’ERI amplifie des signaux faibles, il peut ignorer le signal ou confirmer car existe une forte probabilité d’une attaque. Après tout le processus de construction des scenarios, l’ERI prend la décision d’ignorer le signal détecté, car ses membres ne trouvent pas une forte probabilité d’une attaque immédiatement ou cette alarme est faute. Mais dans le cas d’une imminente attaque ou une forte probabilité d’attaque l’ERI doit commencer le processus de prise de décision selon le scenario construit, pour réduire le risque de l’incident de sécurité. Dans le domaine de la sécurité, les décisions sont à prendre pour vérifier si un signal faible relève effectivement une agression ; choisir le meilleur chemin d’influence entre une hypothèse et une action ou un objectif ; construire le scénario d’attaque réalisé par le hacker ; sélectionner parmi les réponses possibles celle qui répond au mieux, compte tenu des contraintes, de la nature d’activité de l’entreprise ainsi que de ses objectifs stratégiques.
Conclusion
Dans ce chapitre, nous avons utilisé MARRAN pour soutenir l’activité d’amplification des alarmes et la réponse aux incidents de sécurité. Cette méthode a été déjà testée sur des cas réels pour la construction des scenarios d’attaques. En effet, les ERI ont besoin de méthodes et d’outils appropriés pour assister l’activité d’interprétation des signaux faibles détectés afin de fournir des réponses rapides et au bon moment au risque des attaques numériques.
72