Accueil Dernières minutes ! ESET : plan d’urgence en 10 étapes pour les entreprises après une...

ESET : plan d’urgence en 10 étapes pour les entreprises après une faille de sécurité

62
0

On dit souvent que les failles de sécurité ne sont plus une question de « si », mais de « quand ». Voici ce que votre entreprise doit faire ou éviter de faire dans l’éventualité d’un tel incident.

Le journaliste informatique Phil Muncaster explique sur Blog d’ESET comment procéder en cas de cyberattaque.

À l’échelle mondiale, on estime que les violations de données peut coûteractuellement plus de 4,2 millions de dollars par incident. Ces incidents se produisent à une échelle sans précédent et sont directement corrélés au rythme auquel les entreprises construisent leur infrastructure numérique et se développent, par défaut, surface d’attaque des entreprises.

Aux États-Unis, par exemple, le nombre de violations de sécurité signalées au troisième trimestre 2021 a déjà dépassé le nombre total de violations signalées en 2020. Malheureusement, de nos jours, il faut encore beaucoup de temps à une entreprise de taille moyenne pour identifier et remédier à une violation de données – environ 287 jours.

Mais que se passe-t-il lorsque l’alarme se déclenche et que quelque chose ne va pas ? La présence de menaces de ransomware, un précurseur de plus en plus courant des violations de données modernes, complique encore les choses. Voici ce qu’il faut faire et ce qu’il faut éviter à la suite d’une violation de la sécurité numérique.

Gardez votre sang-froid

Une violation de données peut être l’une des situations les plus stressantes qu’une entreprise puisse vivre, surtout si l’incident a été causé par attaques par ransomwarequi utilisent des systèmes de clés cryptées et demandent une rançon financière. Une stratégie rapide et ponctuelle peut faire plus de mal que de bien. S’il est essentiel de remettre l’entreprise en marche aussi rapidement que possible, il est crucial d’adopter une approche méthodique de l’incident. Vous devrez passer en revue votre plan de réponse aux incidents préétabli et comprendre l’étendue de la compromission avant de prendre toute décision importante.

Suivre le plan de réponse aux incidents préétabli

Puisqu’il ne s’agit pas de savoir « quand » mais « si » votre organisation sera soumise à un incident de sécurité aujourd’hui, une plan de réponse aux incidents est l’une des étapes essentielles d’une bonne pratique de la cybersécurité. Cela nécessitera une planification préalable, en suivant les recommandations des autorités nationales ou celles de Institut national des normes et de la technologie (NIST) ou le Centre national de cybersécurité (NCSC) au Royaume-Uni à titre d’orientation générale. Lorsqu’une violation majeure de la sécurité est détectée, une équipe d’intervention préétablie, qui comprend des employés de l’entreprise issus de différents secteurs, doit passer en revue les mesures à mettre en œuvre étape par étape. Il est bon d’effectuer périodiquement des simulations de test pour ce scénario afin que tout le monde soit préparé et que les procédures elles-mêmes soient mises à jour.

Évaluer l’ampleur de l’incident de sécurité

L’une des premières étapes critiques après tout incident de sécurité majeur est de comprendre la gravité de l’impact sur votre entreprise. Ces informations dicteront les actions ultérieures, telles que les notifications nécessaires et la correction de l’incident. Dans l’idéal, vous devrez savoir aussi rapidement que possible quels points d’accès ont été utilisés et quelle est la « portée » de l’attaque – quels systèmes ont été touchés, quelles données ont été compromises et si les « intrus » sont encore sur le réseau. À ce stade, l’équipe locale peut être rejointe par des experts médico-légaux tiers.

Impliquer le service juridique

Après une violation de la sécurité, vous devez connaître les implications juridiques et la position de l’entreprise concernant l’incident. Quelles sont les responsabilités de l’entreprise ? Quelles autorités réglementaires doivent être informées ? Devriez-vous négocier avec les attaquants pour gagner du temps ? Quand les clients et/ou les partenaires doivent-ils être informés ? Votre conseiller juridique interne est le premier conseiller dans ce cas. Il ou elle peut à son tour suggérer de consulter des experts spécialisés dans le domaine de la réponse aux cyberincidents. C’est là que les détails et les informations sur ce qui s’est réellement passé deviennent essentiels pour que les experts puissent prendre des mesures personnalisées.

Il est important de savoir quand, comment et qui vous informez.

Selon les termes GDPRLa notification à l’autorité réglementaire locale doit avoir lieu dans les 72 heures suivant la découverte d’une violation. Cependant, il est important de savoir quelles sont les exigences minimales en matière de notification, car dans certains incidents, cela peut ne pas être nécessaire. Une bonne estimation de la zone numérique affectée est ici essentielle. Si vous ne savez pas combien de données ont été dérobées ou comment les attaquants sont entrés, vous devrez envisager le pire scénario pour notifier le régulateur. Le Bureau du Commissaire à l’information du Royaume-Uni (ICO), qui a joué un rôle clé dans la rédaction du GDPR, a quelques conseils utiles à cet égard.

Notifier les autorités compétentes

Quoi qu’il arrive par rapport au régulateur, il est préférable de coopérer aussi ouvertement que possible avec les forces de l’ordre, surtout si les intrus sont encore à l’intérieur du réseau. Il est impératif d’impliquer les autorités compétentes dès que possible. Dans le cas d’un ransomware, par exemple, ils peuvent vous mettre en contact avec des fournisseurs de solutions de sécurité et d’autres tiers proposant des clés de décryptage et des outils d’atténuation.

Informer les clients, les partenaires et les employés

Il s’agit d’une autre action par défaut sur la « liste des choses à faire » après la violation de la sécurité. Cependant, une fois encore, le nombre de clients/employés/partenaires que vous devez notifier, le message que vous enverrez et le moment de la notification dépendent des détails de l’incident et des données qui ont été volées. Envisagez d’abord une déclaration publique indiquant que l’organisation a connaissance d’un incident et qu’une enquête est en cours. Les rumeurs ayant tendance à évoluer très rapidement, vous devrez revenir avec plus de détails assez vite après la communication initiale. Les équipes chargées de l’informatique, des relations publiques et du droit doivent collaborer étroitement sur ce point.

Lancez le processus de récupération et d’assainissement

Une fois que la portée de l’attaque est claire et que les équipes de réponse aux incidents/équipes médico-légales sont sûres que les attaquants n’ont plus accès au système, il est temps de remettre les choses en ordre. Il peut s’agir de restaurer des systèmes à partir de sauvegardes, de reconfigurer des systèmes compromis, de corriger les points d’accès affectés et de réinitialiser les mots de passe.

Commencez à renforcer votre système pour les attaques futures

Les attaquants partagent souvent leurs connaissances en matière de cybercriminalité sur le darknet. Ils peuvent également s’attaquer de manière répétée aux mêmes entreprises qui les ont victimisés par le passé, notamment avec les moyens suivants techniques de type ransomware. Ainsi, l’utilisation des informations obtenues lors de l’enquête sur la violation de la sécurité et les résultats de l’évaluation des experts en cybercriminalistique sont très importants pour s’assurer que les vulnérabilités que les attaquants ont utilisées la première fois ne peuvent pas être exploitées à nouveau en cas d’éventuels incidents futurs. Voici quelques exemples de ces mesures : amélioration des applications de gestion des correctifs et des mots de passe, formations éducatives sur l’importance de la sécurité, mise en œuvre de l’authentification multifactorielle (MFA) ou changements plus complexes au niveau du personnel, des procédures et de la technologie.

Cas d’étude avec une mauvaise réponse à un incident de sécurité

La dernière pièce du puzzle de la stratégie de réponse aux incidents est l’apprentissage par l’expérience. Il s’agit notamment de renforcer la résilience pour l’avenir, comme indiqué ci-dessus. Mais on peut aussi tirer des leçons de l’exemple des autres. L’histoire des violations de données regorge de cas « célèbres » de mauvaise réponse aux incidents. Dans un affaire très médiatiséele compte Twitter d’une entreprise victime d’une attaque a publié quatre fois un lien d’hameçonnage, le confondant avec un lien vers le site de réponse aux incidents de l’entreprise. Dans un autre cas, une grande entreprise britannique de télécommunications a été fortement critiquée pour avoir communiquer des informations contradictoires.

Conclusions

Quoi qu’il en soit, les clients s’attendent de plus en plus à ce que les organisations avec lesquelles ils travaillent subissent des incidents de sécurité. La façon dont vous réagissez sera le facteur qui déterminera s’ils restent ou partent et influencera l’ampleur des dommages financiers et de réputation.

Article précédentAlecsandru Dunaev, l’interprète de Mihai dans la série « Adela » : « Je ressens la peur depuis si longtemps que je ne sais même pas comment la décrire ».
Article suivantLe directeur de Robinhood déclare que la proposition d’un régulateur unique pour les actifs numériques est « tout simplement absurde ».
Nouvelle journaliste chez The Inquirer, adepte des jeux vidéos, et de la pâtisserie dans la vie de tous les jours, je vous partage ici mes actualités que je juge importantes de relayer !