Alors que les cyberattaques continuent de croître en volume, en diversité et en sophistication, les entreprises doivent être prêtes à les gérer efficacement. Mais réagir à un incident de sécurité est un exercice complexe et pour réussir, il convient d’anticiper en sensibilisant tous les utilisateurs et en choisissant le bon partenaire et le bon outil. L’impact d’une cyberattaque varie en fonction de la rapidité et de l’efficacité avec lesquelles elle est contrôlée, d’où la nécessité d’une préparation rigoureuse à la réponse aux incidents (IR).
Afin d’éviter la course qui suit immanquablement tout problème critique non anticipé, voici quelques conseils pour répondre efficacement en cas d’incident :
Se préparer est un impératif !
Mise à jour régulière de l’inventaire
La première question que les entreprises doivent se poser, c’est combien d’appareils sont réellement connectés à leur réseau. C’est d’autant plus important qu’avec la généralisation du télétravail, les infrastructures IT ont évolué et les équipements (ordinateurs portables, imprimantes etc…) se sont multipliés. Aujourd’hui, au-delà des terminaux traditionnels, en général plutôt bien identifiés, beaucoup d’entreprises naviguent à vue. Or, il est impossible de protéger efficacement les équipements dont on ne connait pas l’existence. Il est donc impératif de recenser l’ensemble des équipements connectés à leur réseau – des desktops aux dispositifs IoT – et de faire une mise à jour fréquente de leur inventaire. Pour centraliser automatiquement toutes les informations sur chaque actif, certaines entreprises utilisent une CMDB (Configuration Management Database ou base de données de gestion des configurations). Toutefois une vision exhaustive des équipements n’est pas suffisante et le contexte d’utilisation de chaque équipement (qui fait quoi ? Et où ?) est tout aussi important. Seules les équipes de sécurité sont capables de le donner. Une combinaison humain/technologie apparaît donc indispensable.
Sensibilisation des utilisateurs
L’amélioration de la sécurité ne passe pas uniquement par la mise en œuvre de procédures ou de solutions techniques mais dépend aussi du comportement des utilisateurs. Les sensibiliser et les éduquer aux risques de sécurité est essentiel pour prévenir de potentielles attaques.
Pour le cabinet indépendant de conseil et d’expertise technologique Synetis, il est vital que la cybersécurité et les bonnes pratiques qui en découlent soient adoptées par tout un chacun. « La sécurité, c’est comme tout, ça s’apprend et ce, dès le plus jeune âge, puis ça s’entretient »
Une formation continue permet, en effet, à chacun de maîtriser parfaitement son rôle et ses responsabilités en cas d’incidents.
Faire des tests de simulation et en tirer les bons enseignements
Le rapport « 2020 Ponemon Cost of a Data Breach » révèle que les violations de données coûtent 3,29 millions de dollars aux entreprises qui disposent d’une équipe IR dédiée testant régulièrement leur plan de réponse aux incidents. C’est 2 millions de dollars de moins que celles qui n’en ont pas…
Il est donc critique que les entreprises réalisent des exercices de simulation et des tests d’intrusion réguliers, pour mettre à l’épreuve leurs plans de réponse à incident. Elles peuvent ainsi s’assurer de leur efficacité, vérifier que leurs équipes sont opérationnelles et apprendre de leurs erreurs.
Isoler l’attaque pour éviter qu’elle ne se propage
En cas incident, il faut immédiatement mettre en place des actions de cloisonnement, en fonction de la nature, de l’étendue et de la gravité de l’attaque. En effet, si un hacker arrive à pénétrer dans un système, rien de l’empêche d’infecter ensuite d’autres machines par « mouvement latéral », en se déplaçant à l’intérieur du réseau depuis l’équipement d’origine.
Il s’agit donc d’être particulièrement réactif, et ce dès le premier incident, pour ne pas laisser le temps aux hackers de se répandre dans le réseau, tout en s’assurant que cela n’impacte pas les activités de l’entreprise.
Cependant, il ne suffit pas de soigner les symptômes, il faut également traiter la cause réelle du problème. En effet, nettoyer un système est important mais localiser le vecteur d’attaque et comprendre comment il a été infecté l’est tout autant, voire même plus. Quelle que soit la nature du vecteur d’entrée – clé usb, web, email – il faut agir vite afin de bloquer une éventuelle deuxième occurrence. Pour cela, il convient d’avertir les utilisateurs en interne, de procéder à une investigation pour comprendre ce qui s’est réellement passé et modifier, en conséquence, la politique de sécurité de l’entreprise.
L’automatisation, la clé d’une réponse aux incidents rapide et efficace
Aujourd’hui, la prolifération des dispositifs, liés au télétravail, est un véritable problème pour les entreprises qui manquent cruellement de ressources et de temps pour les maîtriser et les sécuriser. Le recours à des prestataires externes et à l’automatisation apparait de plus en plus nécessaire pour les organisations qui n’ont pas les moyens de réagir seules face aux incidents. Or la technologie peut automatiser certaines des actions de l’IR et ainsi accélérer les processus et limiter les erreurs.
Les experts de AISI, pure player infrastructure et cybersécurité, constatent régulièrement que les hackers sont dans les systèmes depuis des semaines, voire des mois, et que seule une gestion des menaces au quotidien peut permettre de les identifier. Pour mieux se prémunir des risques, ils préconisent donc « le déploiement d’un SOC (Centre Opérationnel de Sécurité) avec la mise en place et le management de solutions de sécurité incluant l’analyse des informations remontées (alertes et signaux faibles). »
Face à des attaquants de plus en plus rapides et pernicieux, les équipes de sécurité, débordées, risquent en effet de laisser passer des attaques. Il est donc important qu’elles soient équipées d’outils, tel l’EDR, pour éliminer automatiquement et en un clic tous les « faux positifs ». Elles ont, dès lors, une vision « intelligente » qui leur permet de se concentrer sur les véritables attaques.
Selon le rapport « 2020 Ponemon Cost of a Data Breach », si les entreprises les plus matures en matière de cybersécurité ont vu diminuer les violations de données, la situation s’est avérée plus critique pour celles qui sont « à la traîne en matière d’automatisation de la sécurité et des processus de réponse aux incidents ». Enfin, les entreprises minoritaires (21%), qui s’appuient pleinement sur l’automatisation de la sécurité parviennent à réduire le « cycle de vie » d’une faille de 74 jours environ.
L’automatisation via l’IA s’avère donc un atout précieux pour répondre rapidement et efficacement aux incidents. L’IA peut bloquer en amont les attaques sur les équipements périphériques, réduire le nombre et la durée des investigations et confiner les incidents suspects plus rapidement, tout en palliant au manque d’experts en cybersécurité.
Préparer son plan de IR en amont permet aux équipes de sécurité de travailler plus sereinement. Elles peuvent se concentrer sur les tâches critiques et limiter les dommages potentiels sur leurs systèmes informatiques, leurs données et leur réputation, et ce en évitant des interruptions d’activité parfois désastreuses. Une réponse aux incidents nécessite la combinaison de bons outils, de pratiques et de procédures rigoureuses avant, pendant et après tout incident et de la participation de l’ensemble des utilisateurs. Dans un contexte inédit et face à des attaques de plus en plus nombreuses et sophistiquées, on n’est jamais trop préparé !