10.jpg

Exodata, le blog

Là où vont ceux qui veulent devenir plus performants

Répondre à une cyber-attaque en 6 étapes clefs

Posté par Bertrand Jaunet | 15 févr. 2019

La cybersécurité concerne toutes les entreprises et tous les secteurs d'activité. La gestion des cyberattaques est un problème «global» qui concerne toutes les équipes de l'entreprise. Il s’agit également d’une question humaine et opérationnelle, plutôt que simplement technique.

Dans l'environnement moderne d'aujourd'hui, où chaque organisation dépend dans une certaine mesure de la technologie et des télécommunications, il ne s'agit pas d'un cas de "si" une violation de la sécurité informatique se produit, mais plutôt d'un cas de "quand".

Lorsqu'une violation est découverte, il est essentiel d'agir de manière globale et rapide sans quoi l'entreprise risque une plus grande responsabilité. L'organisation doit suivre six étapes critiques pour y faire face

Il est important de garder à l'esprit que ces étapes ne sont pas séquentielles - dans la pratique, il sera nécessaire de penser à la plupart d'entre elles en parallèle, en particulier au début de la rupture, où les priorités seront de la contenir afin d'atténuer les effets de la violation, les risques de dommages supplémentaires ou de perte de données.

1-Mobiliser l'équipe d'intervention en cas d'incident

En cas d’incident, une équipe d’intervention doit être formée et inclure toutes les parties prenantes internes pertinentes, tels que l'équipe technique chargée d’enquêter sur la violation (éventuellement récupérer des informations volées), les ressources humaines et les représentants des employés si la violation affecte les employés, des experts en propriété intellectuelle afin de réduire au maximum l’impact sur la marque, des responsables communication et/ou relations publiques. Il peut également être nécessaire de faire appel à des représentants externes - par exemple, lorsque les équipes internes ne disposent pas de compétences suffisantes.

L'équipe doit également compter des juristes (internes ou externes). Toute cyber-attaque implique des questions juridiques parfois complexes.

Dans ce cadre, il sera également nécessaire de vérifier si les pertes résultant d'une cyberattaque sont couvertes par les polices d'assurance d'entreprise existantes de l'organisation. Lorsqu'il y a une assurance en place, l'organisation devra examiner les politiques pertinentes pour déterminer si/quand les assureurs doivent être informés de la violation. Certaines polices couvrent les coûts légaux et de réparation, mais seulement à partir de la date de notification.

2. Sécuriser les systèmes et assurer la continuité des activités

À la suite d’une violation, la première étape d’un point de vue technique consistera à sécuriser les systèmes informatiques afin de contenir la violation et d’éviter qu’elle ne se propage.

Cela peut signifier qu'une organisation doit isoler ou suspendre une partie compromise de son réseau de manière temporaire, voire déconnecter tout son réseau. Cela peut bien sûr être extrêmement perturbant et potentiellement coûteux pour l’entreprise.

Il est également nécessaire de déterminer quand et comment la violation est intervenue et si d'autres systèmes ont été compromis. Bien entendu, il convient de s'assurer que toute nouvelle tentative d'intrusion soit détectée immédiatement.

3. Mener une enquête approfondie

Une enquête doit être menée sur cette violation, ses effets et sur les mesures correctives à prendre. L'organisation devra décider qui doit diriger cette enquête et s'assurer qu'elle dispose des ressources appropriées.

Lorsqu'il y a un risque d'implication d'employés dans l'infraction, l'enquête doit également tenir compte de la législation du travail applicable. L'équipe d'enquête doit donc consulter et associer les représentants des ressources humaines, selon le cas.

Enfin, l'équipe chargée de l'enquête devra s'assurer de documenter toutes les mesures prises, dans la mesure où celles-ci pourraient être nécessaires dans le cadre de toute notification réglementaire à soumettre. En pratique, les enquêtes sont généralement itératives : de nouvelles pistes d’interrogation apparaîtront à mesure que les circonstances entourant la violation deviennent plus claires.

En cas d'infraction, il est important de rappeler les conclusions des enquêtes sur les politiques et procédures en place et sur le plan de réaction aux incidents. Il convient de veiller à ce que les employés reçoivent un préavis et une formation appropriés. Les régulateurs sont souvent aussi intéressés par ce qui a été fait pour remédier aux processus à venir que par la violation elle-même.

 

Lire la suite (étapes 3 à 6)

Topics: cybersécurité, ISO27001, sécurité

Posté par Bertrand Jaunet

Convaincu que la sécurité est une étape incontournable dans l’amélioration de la performance et de la compétitivité des entreprises, Bertrand en a fait un de ses domaines d’expertise. Ses compétences et son expérience acquise chez APPLE ou encore Dell/EMC, lui permettent aujourd’hui de partager sa vision et d’accompagner nos clients sur les enjeux de demain.

Laissez-nous un commentaire