La rapidité est essentielle lors de la récupération après une cyberattaque. Les cyber-experts proposent des conseils pour aider votre organisation à se remettre rapidement et efficacement de tout incident.
Malgré des défenses solides et redondantes, les entreprises restent vulnérables à un large éventail de cyberattaques. Et comme les attaques – et les cyberincidents – sont inévitables, il est essentiel de développer un processus de réponse aux incidents et de récupération rapide, complet et coordonné.
Il est essentiel d’accélérer le temps de reprise après incident, car plus une panne persiste longtemps, plus les problèmes de coûts, de risques et de perturbations des activités s’aggraveront, explique Sharon Chand, responsable américaine de la cyberdéfense et de la résilience au sein de la société de services professionnels Deloitte.
« Les attaques basées sur l’IA accélèrent les actions et l’adaptation de l’adversaire, de sorte qu’une reprise lente augmente la fenêtre de nouveau compromis », ajoute-t-elle, avertissant que des pannes prolongées peuvent créer des pannes en cascade sur des systèmes internes et tiers interdépendants.
De plus, les solutions manuelles déployées pendant et après une attaque peuvent menacer l’intégrité des données et augmenter le risque de non-conformité. « En interne, une reprise prolongée de la « salle de guerre » met à rude épreuve l’ensemble du personnel cyber, soulevant des problèmes d’épuisement professionnel, des taux d’erreur et d’attrition, rendant finalement les futurs incidents encore plus difficiles à gérer », explique-t-elle.
Faites-vous tout votre possible pour minimiser le temps de récupération après incident ? Voici sept conseils pour accélérer la récupération après incident et assurer la sécurité de votre entreprise.
Aiguisez les compétences et la coordination de votre équipe de réponse aux incidents
Une équipe de réponse aux incidents bien définie et bien préparée est essentielle pour garantir une récupération rapide après un cyber-incident, déclare Chris Hill, RSSI chez le fournisseur de services de communications unifiées Avaya. « Dans les organisations résilientes, cette équipe est déjà préparée, testée et prête à agir sans délai », dit-il.
Les équipes d’intervention doivent être formées et perfectionnées pour définir rapidement la situation, comprendre précisément ce qui se passe, contenir le problème et prévenir tout impact négatif supplémentaire, explique Hill. En parallèle, les équipes d’intervention doivent être capables d’enquêter sur les causes profondes, d’évaluer l’impact commercial et de se coordonner avec les équipes juridiques et de communication.
La coordination au sein de l’organisation de sécurité et de l’informatique dans son ensemble est essentielle, ajoute Hill, car l’informatique et la cybersécurité devront collaborer sur « des actions de récupération pour restaurer les services et renforcer les protections », même si la réponse est en cours.
Selon Hill, l’objectif final devrait être de rétablir le service complet avec un minimum de perturbations tout en renforçant simultanément la résilience de la plateforme de sécurité afin que l’entreprise sorte de l’incident plus forte et mieux protégée.
Les exercices sur table sont essentiels pour garantir que les équipes d’intervention sont préparées.
Mettre l’accent dès le départ sur la portée et le confinement
Parce que vous ne pouvez pas vous remettre de ce que vous ne pouvez pas arrêter, la définition de la portée et le confinement doivent être la première priorité absolue lors de la reprise après incident, déclare Amit Basu, CIO et RSSI de la société de transport de fret International Seaway.
« Avant toute chose, il faut arrêter le saignement », dit-il. Cela signifie comprendre la véritable portée de la violation, identifier et isoler les systèmes concernés et révoquer les informations d’identification compromises. « Se précipiter vers des mesures correctives avant de bien comprendre ce qui a été compromis pourrait conduire à une récupération incomplète et à une réinfection », prévient Basu.
Basu estime que le processus post-confinement devrait se dérouler en cinq phases : l’éradication (suppression des logiciels malveillants, fermeture des vecteurs d’attaque, correction des vulnérabilités), la préservation des preuves (imagerie médico-légale avant l’effacement des systèmes, ce qui est essentiel à des fins juridiques et réglementaires), la restauration du système (reconstruction à partir de sauvegardes propres connues ou d’images dorées, pas seulement l’application de correctifs aux systèmes compromis), la validation et les tests (confirmant que les systèmes restaurés sont propres et fonctionnels avant de les reconnecter) et la surveillance (surveillance renforcée après la récupération pour détecter tentatives de rentrée).
Établir une connaissance de la situation
La création d’une connaissance de la situation qui inclut une évaluation des mauvais acteurs, le vecteur de menace, les actifs affectés et l’impact potentiel sur les services ou produits critiques doit être prise en compte et traitée, déclare Dugan Krwawicz, directeur du conseil technologique chez Global Consulting Firm Protiviti.
Une fois que la connaissance de la situation est fermement déployée, l’attention doit être tournée vers la gouvernance pertinente en matière de réponse aux incidents et de gestion des crises, déclare Krwawicz. « Cela inclut l’attribution des rôles nécessaires alignés sur les niveaux de gravité connus et la mise en place d’une salle de crise ou de ponts d’appels pour permettre une collaboration ouverte et opportune. » Il note que les efforts ultérieurs devraient se concentrer sur trois domaines principaux : l’éradication, le rétablissement et les communications coordonnées.
Krwawicz affirme que l’objectif de tout effort de réponse aux incidents devrait inclure la reprise en toute sécurité des activités commerciales critiques à des niveaux de service acceptables et dans un délai prédéterminé. Il prévient cependant que des défis supplémentaires peuvent survenir lorsqu’un RSSI donne la priorité à la vitesse de restauration plutôt qu’à l’intégrité du système et des données. « C’est également une erreur pour les équipes technologiques et cybernétiques de fonctionner en silos, sans alignement commercial ni coordination exécutive », ajoute Krwawicz.
Rechercher un soutien externe
Lorsqu’ils sont confrontés à un cyber-incident, les RSSI doivent immédiatement faire appel à un fournisseur de récupération d’incident expérimenté qui peut les aider à réagir rapidement ou à augmenter les commandes d’incident, à coordonner les parties prenantes et à accélérer la restauration en toute sécurité des services critiques, conseille Chand.
Un partenaire multidisciplinaire fournira généralement des services d’investigation numérique et de réponse aux incidents (DFIR), ainsi qu’une assistance en matière de confinement/éradication, des spécialistes de la récupération dans le cloud et une approche structurée de restauration sécurisée, explique-t-elle.
« Un fournisseur peut également aider à orchestrer des flux de travail parallèles avec un conseiller externe en matière de violation, le cyber-assureur/coach en cas de violation, les principaux fournisseurs de technologies et, si nécessaire, les communications de crise et la préparation réglementaire », explique Chand. « Ce résultat conduira à une reprise plus rapide et mieux gouvernée, avec des décisions plus claires, des preuves plus claires et moins de surprises opérationnelles. »
Prioriser la restauration par criticité métier
Lorsqu’un cyber-incident affecte les systèmes d’entreprise, chaque heure d’arrêt entraîne une perte financière encore plus importante, une érosion de la confiance des clients et une exposition aux réglementations, explique Aparna Himmatramka, responsable de l’ingénierie de sécurité chez Amazon. « Une récupération plus lente donne aux acteurs malveillants plus de temps d’arrêt et augmente le risque et la quantité d’exfiltration/exposition de données », ajoute-t-elle.
Pourtant, déclarer la victoire trop tôt, bien que tentant, peut conduire à de futurs échecs, prévient Himmatramka. La pression organisationnelle pour dire « nous sommes de retour » peut conduire à ignorer l’analyse des causes profondes, à manquer des mécanismes de persistance complexes et à non valider l’intégrité des sauvegardes. « La brèche n’est pas terminée lorsque les systèmes sont de nouveau en ligne ; elle est terminée lorsque vous comprenez exactement ce qui s’est passé et que vous avez réussi à combler l’écart », dit-elle.
Himmatramka recommande de donner la priorité à la restauration en fonction de la criticité de l’entreprise et non de la commodité technique. « Restaurez d’abord les systèmes générateurs de revenus et critiques pour la sécurité, à l’aide de sauvegardes propres validées, puis vérifiez l’intégrité à chaque étape et exécutez les communications en tant que flux de travail parallèle tout en tenant la direction, les équipes juridiques et les régulateurs informés des délais. »
Soyez discipliné et évitez l’improvisation
Il est important d’aborder la reprise avec calme et logique, déclare Jay Martin, RSSI chez l’intégrateur de systèmes et société de services cloud Blue Mantis. Il suggère d’exécuter votre playbook de manière disciplinée et de s’appuyer sur des procédures expérimentées plutôt que sur l’improvisation.
« Assurez-vous que l’équipe de réponse aux incidents suit le cadre NIST 800-61 et la matrice Responsable, Responsable, Consulté, Informé (RACI) afin de clarifier qui gère l’analyse technique, les communications, les questions juridiques et les interactions avec les cyber-assureurs », explique Martin. « Ce type d’approche structurée garantit que toutes les actions nécessaires sont couvertes et que votre réponse est à la fois coordonnée et efficace. »
Martin note qu’un RSSI doit s’appuyer sur un large éventail de sources, notamment l’équipe de réponse aux incidents, les experts en communication de crise, les conseillers juridiques, les fournisseurs de cyber-assurance et les fournisseurs tiers, tels que les fournisseurs de services de sécurité gérés (MSSP) ou les fournisseurs de services gérés (MSP).
« Lorsque les incidents s’éternisent, la confiance peut s’éroder, les esprits peuvent s’échauffer et les frictions internes peuvent commencer à saper le processus », prévient-il. « Un leadership fort est essentiel pour maintenir l’unité de l’équipe et maintenir les fonctions d’intervention dans la bonne direction. »
Mettre en œuvre les leçons apprises pour l’avenir
Une fois la poussière retombée, il est important de s’assurer que vous avez réussi à confiner, éradiquer et remédier complètement, déclare Josh Ray, PDG de la société de cybersécurité Blackwire Labs. « Rien d’autre ne devrait se produire tant que vous ne pouvez pas confirmer la vérification en toute confiance », déclare-t-il.
Malgré la tentation, Ray prévient de ne pas lancer immédiatement un test d’intrusion. « L’adversaire vient d’en lancer une pour vous – et vous avez échoué », dit-il. « Au lieu de cela, dépensez votre argent pour renforcer vos défenses, puis validez par des tests une fois que les leçons apprises ont été mises en œuvre et que vos nouveaux contrôles ont eu l’occasion de faire leurs preuves. »
