Réassurance
Product Family
Gestion des Sinistres
Risk Consulting
Ressources et outils
Communiqués de presse
Contactez-nous

La pandémie de COVID-19 a mis en lumière à quel point les entreprises ont besoin de se préparer aux crises. Les organisations ayant évolué vers un modèle de télétravail, qui pourrait bien perdurer, leur plan d’intervention en cas d’incident doit être adapté à cette nouvelle réalité. Cela signifie également de prendre en compte les nouveaux risques qui l’accompagnent. Un incident majeur de cybersécurité constitue une véritable crise pour n’importe quelle entreprise, et les plus visionnaires devraient se préparer de manière adéquate.

De nombreux cadres ont été développés pour accompagner les entreprises dans cette planification, dont ceux mis en avant par le National Institute of Standards and Technology (NIST), les organisations SysAdmin, Audit, Network, Security (SANS) et les équipes communautaires d’intervention d’urgence (CERT). 2 types de standards qui sur le fond, sont très similaires. Nous estimons que le cadre du NIST est particulièrement facile à comprendre et dont toutes les phases du cycle d’intervention en cas d’incident s’articulent clairement. Voici une décomposition du déroulé de l’intervention en cas d’incident selon le cadre NIST.

The Cyber Incident Response Lifecycle

Nous suivrons ces étapes pour expliquer quelle réponse apporter en cas d’incident et démontrer qu’une préparation bien en amont peut faire la différence entre un désastre pour l’entreprise et une réaction méthodique et mesurée.

1 PRÉPARATION

1.1 Les fondamentaux

Dans de nombreux cas, la chance sourit à ceux qui sont bien préparés plutôt qu’aux audacieux. Il viendra toujours un moment où un risque se matérialisera, et où un cyber incident se produira. La préparation pose les fondations d’un processus d’intervention futur. Lors de cette phase, il est recommandé d'adopter une approche de la cybersécurité basée sur le risque, en prenant le temps de :

  • Comprendre l’environnement technologique et commercial de votre entreprise ;
  • Identifier et suivre les menaces ; et,
  • Documenter les risques pour votre entreprise.

 

Maintenant que vous avez défini vos risques et identifié vos actifs critiques, vous avez besoin de mettre en œuvre un plan d’action qui permette à vos équipes de réagir aux incidents s’ils se produisent. Un cyberincident majeur représente un défi particulier. Il est généralement complexe, stressant et chaotique pour les équipes internes impliquées, qui comprennent généralement plusieurs intervenants internes et externes.

Le pire moment pour planifier, c’est lorsqu’un incident vient de se produire. Cependant, un plan d’intervention approprié en cas d’incident, régulièrement pratiqué et testé, intégrera le déroulé de l’intervention dans la pratique courante de vos équipes. Cela leur permettra d’être plus efficaces pour mettre de l’ordre dans le chaos pendant l’intervention.

Si le format spécifique du plan peut varier, il doit :

  • Contenir un déroulé d’intervention réalisable : Le lecteur doit être capable de suivre la manière dont une intervention doit avoir lieu chronologiquement avec des étapes concrètes réalisables. L’intégration d’un diagramme et de listes de contrôle peuvent éclairer et éviter les erreurs dans le feu de l’action en cas d’incident.
  • Décrire la manière dont les incidents doivent être classifiés des critères clairs doivent être inclus pour classifier correctement les incidents. Les incidents sont couramment classifiés selon une gravité critique, élevée, modérée ou faible. Tous les incidents n’exigent pas la même attention, allocation de ressources ou les mêmes équipes d’intervention. Les incidents de gravité faible et modérée peuvent souvent être traités au sein des équipes informatiques suivant des stratégies opérationnelles, alors que les incidents plus graves exigent souvent des compétences plus larges, des ressources supplémentaires, une gestion plus claire et éventuellement l’assistance de tiers.
  • Fixer des canaux de communication clairs : les plans d’intervention en cas d’incident doivent clairement indiquer la nature des informations qui doivent être remontées par les équipes opérationnelles aux autres fonctions et parties prenantes, ainsi que le moment et la manière de le faire. Une communication formelle permet à tout le monde d’être sur la même longueur d’onde et réduit les incompréhensions pendant l’intervention. Les petites erreurs de communication peuvent amplifier une situation déjà difficile, la changeant en désastre total.
  • Attribuer et décrire les rôles et responsabilités pendant un incident, toutes les parties prenantes doivent être informées de leur rôle et de leurs responsabilités. Des rôles et responsabilités formalisés doivent être clairement indiqués dans une section du plan d’intervention en cas d’incident. Ils doivent aller au-delà de l’équipe technique clé, et inclure toutes les parties prenantes impliquées dans l’intervention. Ces parties prenantes peuvent inclure des collaborateurs des départements juridique, marketing, relations publiques, opérations de production, et ressources humaines.
  • Intégrer des tiers Il peut s’agir des forces de l’ordre locales ou d'organes de réglementation locaux, d'assureurs, de conseils juridiques externes, comme des coachs experts en violation, des ressources en relations publiques, et des sociétés informatiques spécialisées en cybersécurité.
  • Développer des stratégies plus normatives : identifier les incidents les plus courants, ou ceux liés à vos risques critiques, et définir des stratégies réalisables pour vous guider au fil de l’intervention liée à ces risques. Ces stratégies doivent contenir des étapes plus normatives que celles du déroulé principal de l’intervention. Par exemple, un grand distributeur souhaitera avoir une stratégie si les informations de paiement sont divulguées, et un fabricant souhaitera en avoir une qui couvre des scénarios avec un rançongiciel pour aider à minimiser le temps d’arrêt.
  • Tenir compte des autres plans : les plans d’intervention en cas d’incident s’appuient sur et s’insèrent dans d’autres plans de l’entreprise. Les plans de continuité de l’activité et de reprise d’activité pertinents en matière informatique, ainsi que les plans de gestion de crise devraient être cités et intégrés à un plan d’intervention en cas d’incident. Tout événement déclencheur de ces plans doit être clairement défini et inclus, afin de permettre une intégration sans problème de l’intervention de crise.

 

1.2 Sensibilisation

Il est essentiel de disposer d’un plan d’intervention, mais celui-ci n’a pas de valeur pratique pour une entreprise, à moins d'être bien connu des personnes susceptibles d’être impliquées. Le format de communication des plans d’intervention en cas d’incident peut varier. Pour les équipes techniques, qui seront au cœur du processus d’intervention, une revue complète du plan, plusieurs sessions de questions/réponses et des essais basés sur des scénarios sont sans doute garantis. Pour les équipes dirigeantes, des documents de référence rapide en plus soulignant leurs rôles, responsabilités, et les activités prévues peuvent être précieux pour les préparer à l’intervention en cas d’incident.

1.3 C’est en forgeant qu’on devient forgeron (tester) !

C’est en testant et en mettant régulièrement à jour le plan, avec des améliorations continues, que le plan prend toute sa valeur. Lorsque la formation a été suivie, le plan doit être testé sous forme d’un exercice sur table.

Pour les nouveaux plans, les sessions peuvent être moins intenses ; par exemple, dérouler le plan dans une série de scénarios, s'assurer qu’il est complet et vérifier son enchaînement. Dans le cas de programmes plus élaborés, un exercice plus intensif peut être développé. Là, le processus de décision, les connaissances et la communication de l’équipe d’intervention sont testés par une série d’« injections » qui modifient la situation dans son déroulement. Chacune des approches peut être améliorée en impliquant un tiers pour concevoir et gérer l’exercice. Le tiers peut apporter une expertise supplémentaire en termes de réalisme du scénario et libérer des membres de l’équipe qui pourront alors participer au lieu d'assurer l'organisation.

Le test fonctionnel des solutions technologiques permettant une intervention efficace, comme la restauration d’une sauvegarde, est également crucial. Cela peut prendre la forme de tests d’interruption parallèles. Dans ce cas, un deuxième jeu d’infrastructures est mis en place et testé afin de ne pas interrompre les activités de l’entreprise. Dans le cas d’une interruption test totale, l’infrastructure réelle de l’entreprise est testée. Des tests complets d’interruption créent forcément plus de perturbations, mais offrent des retours précieux sur vos plans de restauration.

2 DÉTECTION ET ANALYSE

2.1 Méthodes de détection

La phase de détection utilise des contrôles de sécurité techniques ou administratifs afin de détecter les activités malhonnêtes dans l’environnement. Certaines activités communes lors de cette phase sont examinées ci-dessous.

  • Surveillance du réseau : Qu’il s’agisse d’un contrôle fondamental, comme l’entretien du pare-feu, ou de solutions plus avancées, comme la mise en place d’un Système de détection des intrusions (SDI), le suivi de l’activité des appareils et des utilisateurs sur le réseau est essentiel. L’augmentation du suivi comportemental assisté par apprentissage machine a rendu la génération d’alertes pertinentes plus simple, plus intelligente et plus organisée que jamais. Cependant, une telle surveillance a ses limites. Citons le passage massif au modèle du télétravail à la suite de la pandémie de COVID-19. Il en découle que de nombreux contrôles de surveillance de réseaux ont été paralysés, puisqu’une grande partie de l’activité du réseau qui peut générer des alertes s'est retrouvée hors de portée des solutions de sécurité sur site.
  • Surveillance des équipements les solutions antivirus traditionnelles, ainsi que les solutions comportementales plus avancées, peuvent prévenir des infections sur certains appareils spécifiques. Parce qu’elles n’ont pas besoin que l’appareil soit présent sur le réseau de l’entreprise, elles peuvent partiellement combler le manque de visibilité causé par le passage au télétravail.
  • Surveillance du dark web : Généralement, des tiers fournissent ce service dans le cadre d'une méthode de détection des violations en surveillant l’apparition, sur le dark web et les autres marchés souterrains, d’informations d’entreprise volées et en vous prévenant si et lorsque des informations sont trouvées. Ce type de surveillance peut s'avérer essentiel, parce qu’il constitue une dernière ligne de défense pour détecter un incident avant qu’il soit potentiellement divulgué au grand public.

 

Il existe d’autres contrôles qui peuvent être mis en œuvre, et les mesures prises pendant la phase de préparation devraient permettre à votre entreprise de déterminer auxquels il convient d'accorder la priorité.

2.2 Processus d’alerte

Avoir mis en place le plan adéquat d’intervention en cas d’incident et avoir un personnel bien formé accroît largement les chances qu'en cas de détection d'une activité malhonnête, les équipes l’identifient, la classent correctement et sachent comment alerter l’entreprise. Le personnel sera alors capable de suivre des processus documentés pour déterminer la gravité de l’incident, les équipes à impliquer et les tiers à prévenir.

Par exemple, les alertes de vos services de surveillance indiquant qu’un incident impliquant un rançongiciel est en cours peuvent provoquer un affolement. Mais, en ayant une équipe bien formée au plan d’intervention, vous augmentez la probabilité que les personnes gardent leur calme et prennent des mesures appropriées. Être capable de traiter le problème à l’aide des mesures développées à froid ne peut être que bénéfique pour votre entreprise.

Faire appel à des tiers, comme des coachs experts en violation ou des sociétés informatiques spécialisées, peut permettre d'obtenir des renseignements supplémentaires et de tirer des enseignements.

3 ENDIGUEMENT, ÉRADICATION, ET REPRISE

Comme on peut le voir dans le cadre d’intervention NIST ci-dessus, l’endiguement, l’éradication et la reprise suivent la détection. Cela suppose que chaque étape puisse être répétée à plusieurs reprises pendant un incident donné. L'objectif est de reconnaître que de nouveaux problèmes sont susceptibles d’être détectés et traités pendant l’intervention. 

Examinons l’incident impliquant un rançongiciel évoqué plus haut. Dans notre exemple, imaginons que la détection initiale de l’infection, l’endiguement de sa propagation, les mesures pour éradiquer le rançongiciel lui-même, et la reprise depuis les sauvegardes soient tous en cours. Pendant ce temps, l’enquête peut montrer que l’attaquant a accès en permanence à d’autres systèmes, ce qui constitue une nouvelle détection et exige de reprendre le processus du début. Sans planification préalable, ce nouveau fil d’intervention peut se perdre dans les mesures déjà en cours, entraînant l’oubli de certaines mesures et des problèmes à venir. 

Pendant cette phase, le reporting et la communication sont cruciaux. Si les méthodes et le rythme de communication sont déjà connus et définis dans le plan d’intervention en cas d’incident, la direction et les autres parties prenantes resteront informées de la situation. Cela leur permettra de prendre des décisions éclairées, avec un minimum de perturbations pour l’équipe opérationnelle procédant à l’intervention. 

Activité après un incident 

orsque la reprise est réalisée dans toute l’entreprise, il peut être tentant de simplement classer l’incident. Cependant, cela impacterait négativement la croissance de l’entreprise, ainsi que votre préparation à faire face à de tels incidents à l’avenir. Comprendre les causes de l’incident, examiner comment votre programme peut être amélioré, et mettre ces améliorations en œuvre constituent une boucle de rétroaction essentielle. Celle-ci doit être formalisée dans votre plan d’intervention en cas d’incident. 

Faire appel à des tiers, comme des coachs experts en violation ou des sociétés informatiques spécialisées, peut permettre d'obtenir des renseignements supplémentaires et de tirer des enseignements. Les connaissances juridiques fournies par les coachs experts en violation peuvent vous aider à comprendre l’environnement juridique dans lequel opère votre entreprise et vous permettre d’adapter vos pratiques en conséquence. En outre, les sociétés informatiques spécialisées apportent leur large expérience des interventions quotidiennes lors d’incidents dans de multiples secteurs. Elles sont donc bien placées pour informer sur la manière dont s’est déroulé l'incident qui vous concerne, ainsi que des conseils de bonnes pratiques pour intervenir à l’avenir. Ces renseignements doivent être intégrés dans un exercice a posteriori afin d’améliorer continuellement les plans d’intervention en cas d’incident, les processus et procédures.

Conclusion

Un incident de cybersécurité grave peut vous faire vivre l’un des pires jours de votre vie professionnelle. Cependant, grâce à une planification et une préparation appropriées, votre entreprise sera capable d’intervenir avec efficacité et de se reprendre après un incident grave. Prévoir permet de minimiser l’impact de l’incident autant que possible, et de faire la différence entre un désastre pour votre entreprise et un succès louable.

  • A propos de l'auteur
  • Maura Wiese, Responsable Nord-Est – USA, Cyber et Technologie & Aaron Aanenson, Directeur de la Cybersécurité, S-RM
Votre prénom
Votre nom
Sélectionnez votre pays
Adresse email
Invalid Captcha
 

Plus d’articles