La triste vérité est qu’alors que les entreprises investissent davantage dans la cyberdéfense et prennent la cybersécurité plus au sérieux que jamais, les violations réussies et les attaques de ransomwares sont en augmentation. Bien qu’une violation réussie ne soit pas inévitable, elle devient de plus en plus probable malgré tous les efforts déployés pour l’empêcher de se produire.
Tout comme il ne pleuvait pas lorsque Noah a construit l’arche, les entreprises doivent faire face au fait qu’elles doivent préparer – et éduquer l’organisation – un plan de réponse bien pensé si une cyberattaque réussie se produit. De toute évidence, le pire moment pour planifier votre réponse à une cyberattaque est le moment où elle se produit.
Avec autant d’entreprises victimes de cyberattaques, toute une industrie artisanale de services de réponse aux incidents (IR) a vu le jour. Des milliers d’engagements IR ont permis de mettre en évidence les meilleures pratiques et les guides de préparation pour aider ceux qui n’ont pas encore été victimes d’une cyberattaque.
Récemment, la société de cybersécurité Cynet a fourni un Modèle Word de plan de réponse aux incidents pour aider les entreprises à se préparer à cet événement malheureux.
Planifier pour le pire
Le vieil adage « espérer le meilleur, prévoir le pire » n’est pas tout à fait exact ici. La plupart des entreprises travaillent activement pour se protéger des cyberattaques et certainement pas simplement en espérant le meilleur. Même ainsi, planifier ce qu’il faut faire après une violation est une entreprise très utile pour que l’entreprise puisse immédiatement passer à l’action au lieu d’attendre que le plan se concrétise. Lorsqu’une violation se produit et que les attaquants ont accès au réseau, chaque seconde compte.
Un plan de RI documente principalement les rôles et responsabilités clairs de l’équipe d’intervention et définit le processus de haut niveau que l’équipe suivra lors de l’intervention en cas de cyberincident. Le modèle de plan IR créé par Cynet recommande de suivre le processus IR structuré en 6 étapes défini par le SANS Institute dans son Manuel du gestionnaire d’incidentsqui soit dit en passant, est une autre excellente ressource IR.
Les six étapes décrites sont les suivantes :
- Préparation— examiner et codifier une politique de sécurité organisationnelle, effectuer une évaluation des risques, identifier les actifs sensibles, définir les incidents de sécurité critiques sur lesquels l’équipe doit se concentrer et constituer une équipe de réponse aux incidents de sécurité informatique (CSIRT).
- Identification—surveiller les systèmes informatiques et détecter les écarts par rapport aux opérations normales et voir s’ils représentent des incidents de sécurité réels. Lorsqu’un incident est découvert, collectez des preuves supplémentaires, établissez son type et sa gravité, et documentez le tout.
- Endiguement— effectuer un confinement à court terme, par exemple en isolant le segment de réseau qui est attaqué. Concentrez-vous ensuite sur le confinement à long terme, qui implique des correctifs temporaires pour permettre aux systèmes d’être utilisés en production, tout en reconstruisant des systèmes propres.
- Éradication— supprimer les logiciels malveillants de tous les systèmes affectés, identifier la cause première de l’attaque et prendre des mesures pour empêcher des attaques similaires à l’avenir.
- Récupération—remettre en ligne avec précaution les systèmes de production concernés, afin d’éviter d’autres attaques. Testez, vérifiez et surveillez les systèmes concernés pour vous assurer qu’ils reprennent une activité normale.
- Leçons apprises— au plus tard deux semaines après la fin de l’incident, effectuer une rétrospective de l’incident. Préparez une documentation complète de l’incident, enquêtez davantage sur l’incident, comprenez ce qui a été fait pour le contenir et si quelque chose dans le processus de réponse à l’incident pourrait être amélioré.
Le modèle de plan IR aide les organisations à codifier ce qui précède dans un plan réalisable qui peut être partagé dans toute l’organisation. Le modèle de plan IR de Cynet fournit une liste de contrôle pour chacune des étapes IR, qui bien sûr, peut et doit être personnalisée en fonction des circonstances particulières de chaque entreprise.
De plus, le modèle de plan IR Cynet plonge dans la structure de l’équipe IR ainsi que les rôles et les responsabilités pour empêcher tout le monde de courir avec les cheveux en feu pendant l’effort effréné pour se remettre d’un cyberincident. Avec beaucoup de pièces mobiles et de tâches à accomplir, il est essentiel que le personnel se prépare et sache ce qu’on attend d’eux.
Tu peux télécharger le modèle Word ici