C’est la saison pour les équipes de sécurité et informatiques d’envoyer cet e-mail à l’échelle de l’entreprise : « Non, notre PDG ne veut PAS que vous achetiez des cartes-cadeaux. »
Alors qu’une grande partie de la main-d’œuvre se retire pour les vacances, les pirates informatiques intensifient leur jeu. Nous verrons sans aucun doute une augmentation de l’activité alors que les pirates informatiques continuent de déclencher des escroqueries dans le commerce électronique et des attaques de phishing sur le thème des vacances. Les pirates adorent utiliser ces tactiques pour inciter les utilisateurs finaux à compromettre non seulement leurs données personnelles, mais également les données de leur organisation.
Mais cela ne signifie pas que vous devriez passer les deux prochaines semaines dans un état d’anxiété constant.
Au lieu de cela, utilisez ce moment comme une opportunité pour vous assurer que votre plan de réponse aux incidents (IR) est solide comme le roc.
Où commencer?
Tout d’abord, assurez-vous que votre stratégie suit les six étapes pour mener à bien la réponse aux incidents.
Voici un rappel :
Les 6 étapes d’une RI complète
- Préparation: Il s’agit de la première phase et implique l’examen des mesures et politiques de sécurité existantes ; effectuer des évaluations des risques pour trouver les vulnérabilités potentielles ; et établir un plan de communication qui définit les protocoles et alerte le personnel des risques de sécurité potentiels. Pendant les vacances, l’étape de préparation de votre plan IR est cruciale car elle vous donne la possibilité de communiquer les menaces spécifiques aux vacances et de mettre les roues en mouvement pour faire face à ces menaces dès qu’elles sont identifiées.
- Identification: L’étape d’identification correspond au moment où un incident a été identifié, qu’il soit survenu ou en cours. Cela peut se produire de plusieurs manières : par une équipe interne, un consultant tiers ou un fournisseur de services gérés, ou, dans le pire des cas, parce que l’incident a entraîné une violation de données ou une infiltration de votre réseau. Étant donné que de nombreux hacks de cybersécurité de vacances impliquent des informations d’identification d’utilisateur final, il vaut la peine de composer des mécanismes de sécurité qui surveillent la façon dont vos réseaux sont accessibles.
- Endiguement: L’objectif de l’étape de confinement est de minimiser les dommages causés par un incident de sécurité. Cette étape varie en fonction de l’incident et peut inclure des protocoles tels que l’isolement d’un appareil, la désactivation des comptes de messagerie ou la déconnexion des systèmes vulnérables du réseau principal. Étant donné que les actions de confinement ont souvent de graves implications commerciales, il est impératif que les décisions à court et à long terme soient déterminées à l’avance afin qu’il n’y ait pas de bousculade de dernière minute pour résoudre le problème de sécurité.
- Éradication: Une fois que vous avez maîtrisé l’incident de sécurité, l’étape suivante consiste à vous assurer que la menace a été complètement supprimée. Cela peut également impliquer des mesures d’enquête pour savoir qui, quoi, quand, où et pourquoi l’incident s’est produit. L’éradication peut impliquer des procédures de nettoyage de disque, la restauration des systèmes vers une version de sauvegarde propre ou une réimage complète du disque. L’étape d’éradication peut également inclure la suppression des fichiers malveillants, la modification des clés de registre et éventuellement la réinstallation des systèmes d’exploitation.
- Récupération: L’étape de récupération est la lumière au bout du tunnel, permettant à votre organisation de reprendre ses activités comme d’habitude. Comme pour le confinement, il est préférable d’établir des protocoles de récupération à l’avance afin que des mesures appropriées soient prises pour garantir la sécurité des systèmes.
- Leçons apprises: Au cours de la phase des enseignements tirés, vous devrez documenter ce qui s’est passé et noter comment votre stratégie de RI a fonctionné à chaque étape. C’est un moment clé pour examiner des détails tels que le temps qu’il a fallu pour détecter et contenir l’incident. Y avait-il des signes de logiciels malveillants persistants ou de systèmes compromis après l’éradication ? Était-ce une arnaque liée à un programme de piratage de vacances ? Et si oui, que pouvez-vous faire pour l’empêcher l’année prochaine ?
Comment les équipes de sécurité allégées peuvent moins stresser pendant la période des fêtes
Intégrer les meilleures pratiques dans votre stratégie de RI est une chose. Mais la création et la mise en œuvre de ces meilleures pratiques sont plus faciles à dire qu’à faire lorsque vous n’avez ni le temps ni les ressources.
Les dirigeants d’équipes de sécurité plus petites sont confrontés à des défis supplémentaires déclenchés par ce manque de ressources. Des budgets réduits, aggravés par le manque de personnel pour gérer les opérations de sécurité, font que de nombreuses équipes de sécurité réduites se sentent résignées à l’idée qu’elles ne seront pas en mesure de protéger leur organisation contre l’assaut des attaques que nous voyons souvent pendant la période des fêtes.
Heureusement, il existe des ressources gratuites pour les équipes de sécurité dans cette situation difficile.
Vous pouvez trouver tout, des modèles pour signaler un incident aux webinaires qui approfondissent la stratégie IR, ainsi que des informations sur les menaces de cybersécurité les plus récentes au sein de Cynet. Centre de réponse aux incidents. Et pour aider davantage les équipes de sécurité allégées en cas d’incident, ils offrent un service gratuit Réponse accélérée aux incidents un service.
Si vous souhaitez consulter ces ressources gratuites, visitez le Centre de réponse accélérée aux incidents ici.
Que votre équipe de sécurité maintienne le fort ces deux prochaines semaines tout en profitant des vacances sans anxiété.