Cyber-urgence : un plan en 10 points pour y faire face
Un plan de réponse aux incidents peut aider les entreprises à garder le contrôle de la situation en cas de cyber-urgence. Les experts des laboratoires Sophos et les équipes de réponse gérée et de réponse rapide de Sophos ont élaboré un guide en dix étapes.
Une cyberattaque est aujourd'hui plus probable que jamais. Des études menées par la société de services de sécurité informatique Sophos, telles que "L'état des ransomwares en 2021"montrent qu'au niveau international, 37 % des entreprises interrogées ont été touchées par un ransomware. Si les ransomwares ont probablement causé les dommages les plus dévastateurs au cours des dernières années, ils sont loin d'être le seul type de malware pouvant entraîner de graves problèmes pour les entreprises.
Se préparer à une cyber-urgence
Aussi, selon le dernier Baromètre des risques d'Allianz les cyber-risques sont actuellement la principale préoccupation des entreprises. Les organisations et les équipes informatiques ont donc tout intérêt à se doter d'une sécurité efficace et d'une stratégie de réponse aux incidents bien pensée et testée. Un tel plan peut non seulement minimiser les coûts consécutifs à une cyberattaque, mais aussi étouffer dans l'œuf de nombreux autres problèmes et même des interruptions d'activité. Les experts de Sophos Labs ont rassemblé leurs expériences dans un plan en 10 points pour faire face à une cyber-urgence.
1. définir toutes les parties prenantes et les personnes concernées
L'équipe de sécurité n'est pas la seule responsable et concernée par les attaques, mais de nombreuses autres personnes dans l'entreprise. Du niveau C au service juridique ou RH en passant par les directions des départements, il faut identifier les personnes décisives et les impliquer activement dans la planification de l'incident. A ce stade, il convient en outre d'envisager d'autres possibilités de communication, car une panne informatique peut également affecter les canaux de communication classiques.
2. identifier les ressources critiques
Afin d'élaborer une stratégie de protection et de pouvoir déterminer l'ampleur et les conséquences d'une attaque en cas d'urgence, il faut déterminer les ressources qui sont les plus prioritaires pour l'entreprise. Ce n'est qu'ainsi que les systèmes les plus critiques pour l'entreprise pourront être restaurés de manière ciblée et prioritaire en cas d'urgence.
3. s'entraîner et jouer des scénarios d'urgence
Les exercices permettent d'agir de manière coordonnée, rapide et ciblée en cas de cyberattaque. Un plan est particulièrement efficace lorsque toutes les personnes concernées savent à tout moment exactement ce qu'elles doivent faire immédiatement, au lieu de chercher d'abord un mode d'emploi ou même d'essayer d'agir intuitivement. Les exercices devraient en outre définir différents scénarios d'attaque.
4. mettre à disposition des outils de sécurité
Les mesures préventives constituent une partie très importante de la protection et donc du plan de réponse aux incidents. Elles comprennent des solutions de sécurité appropriées pour les systèmes d'extrémité, le réseau, les serveurs et le cloud, ainsi que pour les appareils mobiles et les e-mails. Parmi les outils, il est important de disposer d'un degré élevé d'automatisation, par exemple grâce à l'utilisation de l'IA, ainsi que d'une console de gestion et d'alarme transparente et intégrée, afin de détecter les attaques potentielles le plus tôt possible et, dans l'idéal, de les éliminer automatiquement.
5. assurer une transparence maximale
Sans la visibilité nécessaire sur tout ce qui se passe pendant une attaque, les entreprises ont des difficultés à réagir de manière appropriée. Les équipes informatiques et de sécurité doivent disposer des outils nécessaires pour déterminer l'ampleur et les conséquences d'une attaque - y compris l'identification des points d'entrée et des points de persistance des attaquants.
6. mettre en place un contrôle d'accès
Les attaquants exploitent les faibles contrôles d'accès pour saper les défenses et étendre leurs autorisations. Des contrôles d'accès efficaces sont donc indispensables. Il s'agit notamment de fournir une authentification à plusieurs niveaux, de limiter les droits d'administrateur à un nombre de comptes aussi restreint que possible. Pour certaines entreprises, il peut être utile d'élaborer un concept supplémentaire de "zero-trust" et de le mettre en œuvre avec les solutions et services appropriés.
7. utiliser des outils d'analyse
Outre la garantie de la transparence nécessaire, les outils qui fournissent le contexte requis pendant une enquête sont extrêmement importants. Il s'agit notamment d'outils de réponse aux incidents tels que EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response), qui permettent de rechercher des indicateurs de compromission (IOC) et des indicateurs d'attaque (IOA) dans tout l'environnement.
8. définir des mesures de réaction en cas de cyber-urgence
Détecter une attaque à temps est une bonne chose, mais ce n'est que la moitié du chemin. En effet, après la détection, il s'agit de limiter ou d'éliminer l'attaque. Les équipes informatiques et de sécurité doivent être en mesure de mettre en place une multitude de mesures de réaction pour stopper et éliminer les attaquants - en fonction du type d'attaque et de la gravité des dommages potentiels.
9. organiser des formations de sensibilisation
Tous les collaborateurs d'une entreprise devraient être conscients des risques qu'ils peuvent éventuellement déclencher par leurs actions. C'est pourquoi la formation est une partie importante d'un plan de réponse aux incidents ou de prévention. Les outils de simulation d'attaque permettent de simuler des attaques de phishing réelles sur les employés sans risque pour la sécurité. En fonction des résultats, des formations spéciales permettent de sensibiliser davantage les collaborateurs.
10. services de sécurité gérés
Toutes les entreprises n'ont pas les ressources nécessaires pour mettre en place en interne un plan de réponse aux incidents et surtout une équipe de réponse aux incidents composée d'experts confirmés. Des prestataires de services tels que les fournisseurs MDR (Managed Detection and Response) peuvent y remédier. Ils proposent des services gérés de détection des menaces, d'analyse et de réaction aux incidents 24h/24 et 7j/7. Les services MDR n'aident pas seulement les entreprises à réagir aux incidents, ils réduisent également la probabilité d'un incident.
Cyber-urgence : chaque seconde compte
"Lors d'un incident de cybersécurité, chaque seconde compte et pour la plupart des entreprises, la question n'est pas de savoir si elles seront touchées, mais seulement quand l'attaque aura lieu", explique Michael Veit, expert en sécurité chez Sophos. "Cette connaissance n'est pas nouvelle. Les entreprises se distinguent surtout par le fait qu'elles mettent en œuvre ces connaissances en prenant les précautions nécessaires ou qu'elles prennent le risque de mettre leur existence en péril. C'est un peu comme le port de la ceinture de sécurité en voiture - rester indemne en cas d'accident sans ceinture de sécurité est très improbable. Un plan de réponse aux incidents bien préparé et bien pensé, que toutes les parties concernées dans l'entreprise peuvent mettre en œuvre immédiatement, peut considérablement atténuer les conséquences d'une cyberattaque".
Source : Sophos
