La triste vérité est que tandis que les entreprises investissent davantage dans les cyberdéfenses et prennent la cybersécurité plus au sérieux que jamais, les violations réussies et les attaques de ransomwares sont en augmentation. Bien qu’une violation réussie ne soit pas inévitable, elle devient plus probable malgré tous les efforts pour l’empêcher de se produire.
Tout comme il ne pleuvait pas lorsque Noah a construit l’arche, les entreprises doivent faire face au fait qu’elles doivent préparer – et éduquer l’organisation sur – un plan de réponse bien pensé si une cyberattaque réussie se produit. De toute évidence, le pire moment pour planifier votre réponse à une cyberattaque est celui où elle se produit.
Avec autant d’entreprises victimes de cyberattaques, toute une industrie artisanale de services de réponse aux incidents (IR) a vu le jour. Des milliers d’engagements IR ont aidé à mettre en évidence les meilleures pratiques et les guides de préparation pour aider ceux qui n’ont pas encore été victimes d’une cyberattaque.
Récemment, la société de cybersécurité Cynet a fourni un Modèle Word de plan de réponse aux incidents pour aider les entreprises à se préparer à cet événement malheureux.
Planifier pour le pire
Le vieil adage « espérer le meilleur, prévoir le pire » n’est pas tout à fait exact ici. La plupart des entreprises s’efforcent activement de se protéger des cyberattaques et n’espèrent certainement pas simplement le meilleur. Même ainsi, la planification de ce qu’il faut faire après la violation est une entreprise très utile afin que l’entreprise puisse immédiatement passer à l’action au lieu d’attendre que le plan se concrétise. Lorsqu’une violation se produit et que les attaquants ont accès au réseau, chaque seconde compte.
Un plan de RI documente principalement les rôles et les responsabilités clairs de l’équipe d’intervention et définit le processus de haut niveau que l’équipe suivra lors de la réponse à un cyberincident. Le modèle de plan IR créé par Cynet recommande de suivre le processus IR structuré en 6 étapes défini par le SANS Institute dans leur Manuel du gestionnaire d’incident, qui soit dit en passant, est une autre excellente ressource IR.
Les six étapes décrites sont :
- Préparation—examiner et codifier une politique de sécurité organisationnelle, effectuer une évaluation des risques, identifier les actifs sensibles, définir les incidents de sécurité critiques sur lesquels l’équipe doit se concentrer et constituer une équipe de réponse aux incidents de sécurité informatique (CSIRT).
- Identification—surveiller les systèmes informatiques et détecter les écarts par rapport aux opérations normales et voir s’ils représentent des incidents de sécurité réels. Lorsqu’un incident est découvert, collectez des preuves supplémentaires, établissez son type et sa gravité, et documentez tout.
- Endiguement— effectuer un confinement à court terme, par exemple, en isolant le segment de réseau qui est attaqué. Concentrez-vous ensuite sur le confinement à long terme, qui implique des correctifs temporaires pour permettre aux systèmes d’être utilisés en production, tout en reconstruisant des systèmes propres.
- Éradication—supprimez les logiciels malveillants de tous les systèmes concernés, identifiez la cause première de l’attaque et prenez des mesures pour empêcher des attaques similaires à l’avenir.
- Récupération—remettez en ligne les systèmes de production affectés avec précaution, afin d’éviter des attaques supplémentaires. Testez, vérifiez et surveillez les systèmes affectés pour vous assurer qu’ils sont de retour à une activité normale.
- Leçons apprises—au plus tard deux semaines après la fin de l’incident, effectuer une rétrospective de l’incident. Préparez une documentation complète de l’incident, enquêtez davantage sur l’incident, comprenez ce qui a été fait pour le contenir et si quelque chose dans le processus de réponse aux incidents pourrait être amélioré.
Le modèle de plan IR aide les organisations à codifier ce qui précède dans un plan réalisable qui peut être partagé dans toute l’organisation. Le modèle de plan IR de Cynet fournit une liste de contrôle pour chacune des étapes IR, qui, bien sûr, peuvent et doivent être personnalisées en fonction des circonstances particulières de chaque entreprise.
De plus, le modèle de plan IR Cynet explore la structure de l’équipe IR ainsi que les rôles et les responsabilités pour empêcher tout le monde de courir les cheveux en feu pendant les efforts frénétiques pour se remettre d’un cyberincident. Avec beaucoup de pièces mobiles et de tâches à accomplir, il est essentiel que le personnel se prépare et sache ce qu’on attend d’eux.
Vous pouvez téléchargez le modèle Word ici