Chaque jour, une nouvelle entreprise est sous la menace d’un vol de données. Bien qu’éviter les attaques soit idéal, cela est loin d’être possible. Mais comment réagir efficacement en cas de cyber-attaque ?
La sécurité parfaite n’existe pas. Que son informatique soit externalisé ou que ses données soient dans le cloud, en définitive, l’entreprise est responsable de la sécurité des données de ses clients. Au cas malheureux où votre entreprise serait victime d’un vol de données, voici un plan facile à mettre en œuvre qui précise comment répondre à un incident de cybersécurité.
Anticiper une attaque
Éviter une attaque est la meilleure approche, mais il est tout aussi important de mettre en place un plan d’intervention en cas de cyber incident pour anticiper l’attaque. Ce plan doit respecter plusieurs étapes essentielles.
– Effectuer l’inventaire : quelles sont les informations stratégiques pour l’entreprise ? Où se trouvent-elles ? À quelle vitesse peuvent-elles être rétablies si elles ont été détruites par une attaque ?
Cette étape consiste à effectuer un audit complet des systèmes, recenser les composants les plus importants et superviser tout, tout en s’assurant que plusieurs personnes prennent connaissance de ce document.
– Constituer une équipe (ou deux) : nommer un responsable informatique en cas de cyberattaque : cet individu doit être disponible en cas d’urgence et capable de gérer les nombreux aspects techniques internes qui entrent en jeu dans l’assainissement d’un incident et une deuxième personne responsable de la gestion des besoins externes suite à une attaque (contact avec les relations publics, avec le service juridique de l’entreprise, etc). Chacun de ces deux rôles est essentiel à une intervention rapide et efficace. Par simple mesure de sécurité, l’entreprise peut désigner un commandant en second pour chacune des deux équipes.
– Établir un plan : une fois les données identifiées et les personnes désignées, il est temps de mettre en place un plan pratique et de définir un ensemble de procédures spécifiques et concrètes à suivre pendant un cyber incident. Ces procédures doivent permettre de savoir :
- qui est le principal responsable ;
- comment contacter le personnel concerné et quels sont les données, réseaux et services qui doivent être rétablis en priorité ;
- comment préserver les données compromises par l’intrusion et réaliser une analyse technique pour détecter les lacunes en matière de sécurité et obtenir des informations sur l’attaque elle-même ;
- qui doit être notifié (propriétaires des données, clients ou entreprises partenaires) si leurs données ou des données affectant leurs réseaux ont été volées ;
- quelle action légale sera entreprise et quand, et quelles sont les organisations auxquelles signaler l’incident.
Une fois développé, ce plan ne doit pas rester dans un coin. Tous les membres de l’équipe doivent en connaître les détails. Et ce plan doit être réévalué chaque trimestre pour en vérifier la pertinence. Le mieux étant de tester le plan avant une cyber attaque réelle.
Agir
Malgré tous les efforts de planification, une préparation et de bonnes intentions, que se produit-il quand une entreprise est frappée par une cyberattaque ? Le plan anti-cyber incident doit être mis en œuvre dès que possible et la situation doit être évaluée d’un œil critique : est-ce une attaque malveillante, une simple anomalie technique ou une erreur de configuration ? Après avoir déterminé l’intention (si elle n’est pas bonne), il est temps de déterminer et sécuriser les données ciblées, puis de mettre en œuvre le reste du plan.
– Qui peut-on appeler ? Cette information doit déjà être facilement disponible dans votre plan anti-cyber incident. Les principaux responsables de l’intervention doivent être mobilisés, avant de descendre dans la hiérarchie. Par exemple, le responsable « externe » de l’entreprise devra notifier les autorités légales, les victimes possibles et le ministère de I’Intérieur le cas échéant. Dans l’ensemble, la meilleure approche reste la transparence. Personne n’aime reconnaître un vol. Cependant, dissimuler des informations critiques ou retarder une notification peut se retourner contre l’entreprise. La bonne approche consiste à être aussi direct que possible en mettant en évidence ce qui est connu, et en promettant un suivi rapide à propos de tout ce qui est inconnu.
– Faire appel à un professionnel : parfois, une équipe d’intervention interne ne suffit pas. Heureusement, il existe de nombreuses entreprises tierces spécialisées dans la réponse aux incidents. Des yeux neufs peuvent regarder une attaque d’une manière inaccessible au personnel interne (subissant la pression de l’entreprise et du résultat). Ils peuvent aider à découvrir exactement ce qui a été touché et compromis, identifier les vulnérabilités causées par le vol de données et remédier à la situation afin que le problème ne se produise plus.
– Vérifier puis rétablir : il s’agit de vérifier que les données de sauvegarde n’ont pas été compromises, avant de restaurer le système en utilisant des données obsolètes.
Action
Même lorsqu’un cyber incident semble être maîtrisé, il faut rester vigilant. De nombreux intrus reviennent et tentent à nouveau d’accéder aux réseaux qu’ils ont compromis auparavant. Il est possible que malgré tous les efforts menés, un pirate parvienne encore à pénétrer dans le système d’une entreprise.
– Superviser et plus encore : poursuivre la supervision du système pour repérer toute activité qui sort de l’ordinaire. Investir dans une solution logicielle qui fait appel à l’User Behavior Analytics pour reconnaître les comportements inhabituels et être alerté avant une attaque réelle
– Rien que les faits : après s’être remise d’une attaque, l’entreprise doit examiner minutieusement ce qui s’est produit et prendre des mesures pour prévenir les attaques similaires. Quels sont les domaines dans lesquels le plan d’intervention anti-cyber incident a bien fonctionné ? Qu’est-ce qui pourrait avoir besoin de quelques ajustements ? Il s’agit d’évaluer les forces et les faiblesses du plan et de déterminer ce qui doit être optimisé.
– Réagir, réviser et revisiter : la protection contre les cyber incidents représente un travail à temps complet. Étant donné que les ransomware évoluent et que le piratage interne devient une menace constante, il est important de réviser et revisiter un plan d’intervention anti-cyberincident :
- maintenir un plan à jour ;
- disposer de la technologie appropriée (y compris une supervision légitime du réseau) pour traiter les incidents ;
- faire appel à un conseil légal familier avec les questions complexes liées aux cyber incidents ;
- s’assurer que les politiques existantes de l’entreprise sont en adéquation avec le plan d’intervention anti-incident.
Aucune entreprise ne souhaite être confrontée à un cyber incident. Cependant, être proactive et préparée fera une énorme différence dans la gestion de celui-ci.
___________
Norman Girard est Vice-Président et directeur général Europe de Varonis