Un processus de réponse aux incidents (RI) éprouvé est essentiel pour permettre à une entreprise de réagir rapidement et efficacement à une cyber-attaque, afin de réduire le temps moyen de réponse (MTTR) et le rayon d’impact. Il permet également à l’équipe de sécurité d’identifier et d’évaluer rapidement les indicateurs de compromission (IoC) et de sélectionner le playbook approprié pour gérer l’incident.
Et pourtant, étonnamment, 36 % des entreprises au Royaume-Uni n’ont mis en place aucun plan formel de RI (IRP), selon l’enquête longitudinale sur la cybersécurité menée par le gouvernement britannique au milieu de l’année 2022.
Ces résultats sont reflétés par le Enquête sur les atteintes à la cybersécurité 2022 qui a révélé que seulement 19 % des entreprises disposent d’un PRI formel, tandis que 39 % ont plutôt choisi de confier à quelqu’un d’autre le soin de s’occuper des choses en cas d’incident. Le fait de ne pas avoir de PRI en place peut pourtant être un facteur important dans l’ampleur de l’impact d’une attaque.
Plus une attaque dure, plus elle peut faire de dégâts et plus elle est coûteuse à résoudre, c’est pourquoi la réduction du MTTR devrait être une priorité essentielle pour toute entreprise.
Le récent rapport annuel Coût d’une violation de données rapport de Sécurité IBM a constaté qu’il fallait en moyenne 70 jours pour contenir une brèche et que le coût de la résolution était 58 % plus élevé que pour ceux qui n’avaient pas de PRI. Il a également été prouvé qu’un IRP peut générer des économies plus importantes au fil du temps. En effet, un examen post-incident approprié permet à l’entreprise de quantifier le coût réel de l’attaque ou d’utiliser l’expérience pour améliorer les pratiques à l’avenir.
De même, si les PIR sont mis à l’épreuve et testés régulièrement, cela peut également améliorer les temps de réponse. Cependant, l’enquête longitudinale a révélé que seulement 43 % des entreprises testent leur plan chaque année, ce qui signifie que le plan n’est peut-être pas aussi efficace qu’il pourrait l’être et qu’il est susceptible d’être déphasé par rapport aux menaces émergentes. Les entreprises de 250 employés ou plus sont également plus susceptibles d’avoir testé leur PIR que les entreprises de taille moyenne, bien que ces chiffres ne soient que de 52 % et 42 % respectivement.
Agir après l’événement
Alors, pourquoi tant de personnes sont-elles si réticentes à mettre en place un IRP ? Tout d’abord, il s’avère que beaucoup ne décident de le faire qu’après avoir été brûlés. L’enquête longitudinale a révélé que 60 % des entreprises étaient susceptibles d’avoir mis en place des processus écrits si elles avaient été compromises, contre 44 % de celles qui ne l’avaient pas fait, et la marge s’est encore élargie lorsque les attaques par hameçonnage ont été exclues. Par conséquent, de nombreuses entreprises semblent mettre en place un PIR de manière réactive plutôt que d’adopter une approche proactive.
L’enquête a également révélé que les entreprises travaillant dans des secteurs très réglementés, tels que l’informatique, les télécommunications ou la finance, étaient plus susceptibles de mettre en place des PIR formels, 85 % d’entre eux comprenant des conseils pour signaler les incidents aux autorités de réglementation ou aux assureurs. Ceux qui étaient conformes à la norme ISO 27001 disposaient également d’IRP, conformément aux exigences de la norme, ce qui révèle que la conformité reste un moteur important.
Troisièmement, l’étude qualitative a révélé que de nombreuses personnes avaient du mal à voir l’intérêt d’avoir un PIR formel car “les choses fonctionnaient de manière très informelle dans leur organisation” ou “une approche de bon sens était tout ce qu’il fallait”. Mais en réalité, la mise en place d’un processus permet d’économiser du temps, des efforts et des ressources.
Dans les petites entreprises, l’argument est qu’il n’y a pas assez de temps à consacrer à l’élaboration, à la mise en œuvre et au test d’un PIR, mais cela va à l’encontre du but recherché. Comprendre comment les données sont traitées, qui a le pouvoir de gérer un incident, quelles sont les ressources à ta disposition et mettre en place un cadre de travail aidera l’entreprise à se rétablir beaucoup plus rapidement, en évitant les temps d’arrêt et les pertes de revenus.
Que doit contenir un PIR ?
Un PRI doit être un document réalisable et adapté à l’entreprise pour qu’il ait un sens et qu’il soit respecté. Cependant, l’enquête longitudinale révèle que le niveau de détail de l’IRP varie considérablement, allant de la simple désignation d’une personne à qui rendre compte, à la réappropriation d’autres cadres de risques ou de technologies de l’information. Mais l’IRP est trop important pour être mis de côté de cette façon et il y a des éléments importants qui devraient être inclus, ce que le Royaume-Uni a fait. Centre national de cybersécurité (NCSC) le suppose joliment.
Le processus commence par la phase de préparation, autour de laquelle s’articule l’IRP. Cette phase permet d’établir l’outillage, les ressources, la formation et les équipes qui doivent être impliqués dans le processus lorsqu’un incident se produit. Tout au long de ce processus, des procédures doivent être mises en place pour communiquer, superviser, suivre et documenter l’incident, et ce sont ces procédures qui doivent figurer dans le PIR. Tu devras inclure les coordonnées et les noms des personnes désignées, les détails des premières mesures à prendre, les personnes à contacter en ce qui concerne la cyber-assurance, les informations sur la violation à documenter, la façon dont l’enquête doit être menée, les plans de communication pour notifier les parties concernées, les équipes juridiques et les relations publiques, et pour notifier les autorités de régulation.
Cette étape est suivie par le triage de l’incident afin d’évaluer l’impact, de classer l’incident par rapport aux cybermenaces connues et de désigner un responsable de l’incident. Si l’incident est suffisamment grave, il déclenchera une escalade menant à une réponse, de sorte que l’entreprise doit comprendre les risques auxquels elle est exposée, les répercussions probables et la façon dont elle doit réagir. Cela peut prendre la forme d’un cahier de jeu, qui agit comme un PIR spécialisé, avec des procédures spécifiques pour atténuer la menace. C’est à ce stade que l’entreprise devra déterminer qui doit être impliqué/notifié,
Pour l’équipe de sécurité, le processus se déplace dans le cycle de vie de la réponse à l’incident en fonction de l’étape actuelle que l’on estime être la sienne. Il peut s’agir de capturer et d’analyser la menace (phase d’analyse et d’identification), de contenir et d’atténuer la menace afin d’en réduire l’impact et d’empêcher sa propagation (phase de confinement), et de remédier à la menace, voire de l’éradiquer (phase d’éradication). Ce n’est qu’une fois ce processus d’investigation et d’atténuation terminé que l’équipe peut passer au rétablissement et à la reprise des activités habituelles (phase de rétablissement).
La dernière étape du processus, mais peut-être la plus importante, est l’examen post-incident, qui vise à évaluer et à documenter les causes.
Cela permet à tous les éléments de l’entreprise, de l’équipe de sécurité aux tiers impliqués, d’examiner ce qui s’est bien passé et ce qui pourrait être amélioré, renforçant ainsi les défenses.
Tester l’IRP
Comme nous l’avons déjà mentionné, l’IRP est un document vivant qui devra être continuellement modifié. Il doit faire l’objet d’examens périodiques et d’essais sur le terrain pour s’assurer de sa robustesse, de sorte que lorsqu’une violation se produit, l’équipe peut être certaine qu’elle fonctionnera.
La meilleure façon d’y parvenir est de procéder à des attaques simulées qui imitent la réalité afin d’exposer les zones de faiblesse dans l’exécution du PIR. Les exercices simulés peuvent aller d’exercices de bureau de niveau débutant à des simulations à part entière. Le jeu de rôle peut être utilisé pour simuler un appel d’un attaquant demandant une rançon ou d’un membre de la presse s’informant d’une violation, par exemple.
Les meilleurs exercices qui donnent le plus d’informations sont ceux où l’incident fait boule de neige et enveloppe d’autres départements tels que l’informatique, la sécurité et les relations publiques, ce qui permet à ces équipes de tester la qualité de leur collaboration. Et pour aller plus loin, le red teaming peut être utilisé pour découvrir des voies et des techniques d’attaque que l’entreprise n’a peut-être pas anticipées ou prises en compte dans son IRP, ce qui lui permet de concevoir des plans d’action pour y répondre.
Les avantages de tester la rigueur de l’IRP ne doivent pas être sous-estimés, non seulement en termes d’amélioration des processus, mais aussi en ce qui concerne la fourniture d’une protection réelle.
Le rapport d’IBM mentionné plus haut a révélé que les organisations dont les équipes de RI testaient régulièrement leurs plans réalisaient jusqu’à 2,66 millions de dollars d’économies en cas de violation, par rapport à celles qui ne le faisaient pas. Preuve, s’il en était besoin, qu’il est vraiment payant d’avoir un plan de RI éprouvé et testé.
Phil Robinson est consultant principal à Prism Infosec: image : iStock / stuartmiles99
Tu pourrais aussi lire :
La prévention des attaques de ransomware commence par toi:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
