Dans le cadre de mon travail, je rencontre toute sorte d’entreprises, mais de trop nombreuses ne disposent d’aucune procédure ou méthode de gestion des incidents. J’écris donc cet article pour elles. Afin qu’elles puissent avoir une vision complète du processus et ainsi en prendre le contrôle.
On commence par le début
Un Incident de sécurité désigne tout évènement qui se produit par hasard ou volontairement et qui impacte les systèmes de traitement des communications ou informations.
Est considéré comme un incident de sécurité n’importe quel événement ou ensemble de circonstances mettant en danger la confidentialité, l’intégrité ou la disponibilité des informations, données ou services de l’organisation. Cela inclut l’accès non autorisé, utilisation, divulgation, modification ou destruction de données ou des services utilisés ou fournis par l’entreprise.
Le processus de gestion des incidents de cybersécurité est le résultat d’un effort de collaboration entre l’informatique, les RH et le service juridique. L’objectif de ce processus est d’aider à comprendre ce qui s’est passé en cas d’événement, d’identifier rapidement les risques ou les vulnérabilités potentiels qui ont pu être exploités pendant l’événement, puis de prendre des mesures pour atténuer ces risques autant que possible.
Pour parvenir efficacement à gérer un incident, il existe trois phases principales : la préparation, la réponse et la récupération ou avant — pendant — et après !
Lors de la préparation à un incident de cybersécurité, vous devez vous assurer que votre organisation a documenté ses politiques en matière de protection des informations et de la vie privée, ainsi que la manière dont elle gérera de tels incidents lorsqu’ils se produiront.
Pendant la phase de réponse, vous devez déterminer le niveau d’impact de l’incident, déterminer si des données ont été perdues et si des systèmes ont été compromis d’une quelconque manière.
La phase de récupération consiste à remettre les choses en ordre et peut comprendre des étapes telles que la restauration des données, le rétablissement du service et la réparation de tout dommage.
Définitions
Incidents de sécurité : Un incident de sécurité consiste en tout événement qui va à l’encontre de la politique de sécurité de l’entreprise ou d’une directive de sécurité; tout événement qui cause ou peut causer un dommage à un actif informationnel de l’entreprise ou tout acte ou omission qui entraîne ou pourrait entraîner la matérialisation d’un risque.
Une action préventive : une mesure prise pour éliminer ou réduire la probabilité qu’un problème ou un risque particulier se produise. Elle peut impliquer des changements dans les politiques, les procédures ou les pratiques et peut être quelque chose d’aussi simple que la formation des employés sur la façon de protéger les informations.
Une action corrective: une mesure qui est prise pour rectifier un problème ou une vulnérabilité. Elle peut impliquer des changements dans les politiques, les procédures ou les pratiques.
Atteinte à l’intégrité: L’atteinte à l’intégrité est une tentative d’accès non autorisée, une modification non autorisée ou une suppression non autorisée et/ou inappropriée de système informatique, données et/ou logiciels.
Une atteinte à l’intégrité peut consister en un accès non autorisé aux ressources critiques de l’organisation, telles que les fichiers système, les programmes et les données. L’atteinte à l’intégrité est un canal d’accès pour une autre attaque potentielle, tel que le vol ou la perte de données sensibles, en plus d’être une violation en soi des politiques de sécurité.
Qui est responsable de quoi?
La responsabilité de la gestion des incidents de sécurité de l’information peut être répartie entre différentes personnes au sein d’une organisation. Le service informatique est souvent chargé de répondre aux incidents de sécurité, tandis que le service des ressources humaines est chargé de gérer les éventuelles implications juridiques.
Si l’incident est grave ou s’il semble que des données ont été divulguées, il est possible de le traiter en interne ou par des professionnels extérieurs. Il est important d’avoir un plan en place pour les deux scénarios.
Si l’incident est mineur, vous serez peut-être en mesure de le gérer vous-même. Il peut s’agir de prendre des mesures correctives, comme changer les mots de passe ou mettre en place de nouvelles mesures de sécurité.
Direction : Coordonner les opérations en cas d’incidents majeurs et participer aux rencontres de coordinations afin de prendre les décisions nécessaires rapidement.
Responsable de la sécurité : Enquêter sur l’incident et prendre des mesures pour éviter qu’il ne se reproduise. Il peut agir également comme responsable des donnée personnelles. (DPO — Data Privacy Officer)
Équipe de réponse aux incidents : L’équipe de réponse aux incidents (IRT) est un élément clé du plan de cybersécurité de toute organisation. L’IRT est chargée de répondre aux incidents de sécurité et comprend des représentants de différentes parties de l’organisation, telles que l’informatique, le service juridique, les RH et le marketing.
L’IRT doit avoir des rôles et des responsabilités clairs et être bien formée sur la manière de répondre aux incidents de sécurité
Équipe de communication / Marketing / vente: être le point central des communications entre les membres de l’équipe et tous les fournisseurs, clients ou autres tiers.
Ressources humaines : Appliquer les mesures disciplinaires s’il y a lieux.
Relations publiques : Publier une déclaration aux médias et aux parties concernées.
Affaires juridiques : Collaborer avec les forces de l’ordre et déclaration obligatoire si nécessaire.
Toute l’équipe: responsable de signaler les incidents le plus rapidement possible aux responsables de sécurité
Les 6 étapes de gestion des cyber-incidents
Étape 1 — Préparation
Cette étape, préalable à tout incident de sécurité, consiste à préparer les utilisateurs et les équipes à gérer les incidents de sécurité lorsqu’ils vont survenir.
Il est important de ne pas attendre qu’une cyberattaque ou une tentative de piratage se produise avant d’entreprendre des travaux préparatoires, car le nettoyage après coup est une tâche difficile et que l’ont souhaite éviter.
Prévoyez la manière dont votre organisation réagira à divers scénarios impliquant des menaces telles que le piratage, les logiciels malveillants et l’ingénierie sociale.
D’autres mesures préparatoires sont à prendre :
La formation et sensibilisation du personnel afin de détecter et réagir en cas de soupçons d’incident de sécurité;
La mise en place d’outils de surveillance automatique pour aider les équipes techniques dans la détection d’évènement suspect;
l’élaboration d’un plan de communication, afin que l’organisation puisse communiquer rapidement et efficacement avec les membres de l’équipe, les clients, les fournisseurs et autres tiers;
la création d’un manuel d’intervention en cas d’incident, qui guidera l’équipe tout au long du processus d’intervention;
Déterminer les niveaux que peut prendre un incident avec les activités associées tel que les délais de réponses;
Vérifier les copies de sauvegarde, c’est-à-dire confirmer qu’elles sont prises, et conservées sur un site externe et ne permettant pas d’être modifié;
Mettre en œuvre les mesures de protection prévenir appropriées à l’organisation, tel que logiciel de sécurité sur tous les systèmes, outils de centralisation des journaux d’évènements.
Étape 2 — Identification
Parmi les premières étapes, de la gestion d’un incident de cybersécurité consiste à déterminer ce qui s’est passé, confirmer s’il y a eu effectivement un incident de sécurité.
L’étape d’identification, s’il y a présence d’un incident, est un processus en continu qui se répète à chaque nouvel évènement détecté
Cela implique de recueillir des informations auprès de toutes les sources pertinentes, y compris l’informatique, les RH et le service juridique. Il est important de rassembler autant d’informations que possible au cours des premières étapes d’un incident afin de pouvoir prendre des décisions éclairées sur la manière de procéder par la suite, telles que si les systèmes touchés comportent des données confidentielles ou des renseignements personnels.
Les membres de l’organisation doivent être sensibilisés à ce qu’est un incident de sécurité? Quels événements peuvent être ignorés et lesquels demandent une action immédiate?
Il peut être difficile de reconnaître un incident de sécurité. Toutefois, il peut y avoir des indicateurs d’une activité non autorisée ou signes d’abus.
Voici quelques indicateurs qu’un incident de sécurité s’est produit, ou est en cours :
Activité de connexion des utilisateurs, en particulier de n’importe quel utilisateur inactif;
Activité d’accès distant, excessif ou inhabituel. Cela pourrait être celles de notre personnel ou nos fournisseurs;
La présence de toute activité inhabituelle en ce qui concerne les programmes, les fichiers suspects, ou exécutables nouveaux/non approuvés et maliciel (logiciels malveillants);
Matériel ou logiciel enregistreurs trouvés connectés à ou installés sur des systèmes;
Perdus ou volés : ordinateurs portables, disques durs ou autres supports contenant des données de carte de paiement ou d’autres données sensibles;
Toute plainte de la part des employés ou tiers concernant les courriels étranges, des appels téléphoniques ou des visites inattendues;
Rapports d’audit montrant une diminution significative de la performance du système ou une anomalie inhabituelle.
Une fois que vous avez une bonne compréhension de ce qui s’est passé, vous devez décider comment réagir. Cela implique d’évaluer le niveau de risque associé à l’incident, de décider des mesures à prendre pour atténuer ce risque et d’impliquer les bonnes personnes dans l’équipe de réponses, incluant le responsable des renseignements personnels (DPO)
Étape 3 — Confinement
Tant qu’un intrus a un accès non autorisé à un système, celui-ci n’est pas fiable et ne peut pas être utilisé.
Le confinement d’un système (ou machine) est une mesure de protection appliquée afin d’empêcher la propagation de l’incident sur tous les autres systèmes. Par exemple un confinement pourrait consister à déconnecter tous les utilisateurs du système concerné afin de stopper ses activités et essayer de trouver un remède.
Concrètement cette étape vise à isoler les systèmes affectés afin de prévenir d’autres dommages, arrêter une fuite de donnée ou ne pas compromettre l’intégrité de l’information.
Les étapes de confinement peuvent être exécutées de manière itérative avec les étapes de la phase de détection et d’analyse, débrancher chaque système découvert comme étant vulnérable.
Étape 4 — Éradication
Cette étape consiste à bien identifier et éliminer les causes de l’incident de cybersécurité par exemple retirer les systèmes affectés de la production.
L’éradication est l’élimination des éléments permettant l’incident, tel que les codes malveillants, les comptes et mots de passe compromis, ou d’autres systèmes et informations compromis. Il consiste à supprimer les données corrompu des systèmes affectés afin d’empêcher leur utilisation.
L’objectif de l’éradication est de supprimer définitivement les données compromises et rendre le système ou la machine sécuritaire.
Étape 5 — Récupération
Habituellement cette étape se réalise conjointement avec l’étape précédente, soit d’éradication, nous allons re-initialiser les systèmes afin de repartir à zéro et remettre les données d’une sauvegarde précédente.
Ramener les systèmes affectés dans l’environnement de production et les surveiller attentivement
Étape 6 — Leçons apprises
Cette dernière étape, réalisée lorsque l’incident est résolu, consiste à documenter et effectuer un bilan de l’évènement afin d’en tirer les leçons nécessaires.
Par exemple:
Déterminer les vulnérabilités et manquements ayant mené à l’incident;
Déterminer si la capacité des équipes à gérer l’incident de sécurité a été à la hauteur des attentes et si des ressources ou outils supplémentaires sont nécessaires;
Identifier les points d’amélioration à la posture de sécurité de l’organisation;
Documenter l’information afin de permettre une communication aux parties intéressées telles que client, fournisseurs ou entité gouvernementale.
Il est important de spécifier que les étapes d’activités de gestion des incidents de sécurité de l’information sont itératives, et que par conséquent une organisation doit constamment apporter des améliorations à ses manières de faire. Ces améliorations à la manière de faire sont basées sur les leçons apprises, sur les incidents survenus ainsi que sur les vulnérabilités découvertes dans son environnement.
Pour réussir dans le paysage actuel de la cybersécurité, il est important d’avoir un plan d’action solide. Le processus de gestion des incidents décrit plus haut devrait permettre à votre équipe de commencer à réfléchir aux différentes étapes à suivre et aux outils nécessaires.
Hozzászólások