Window, business people or planning in meeting for paperwork, teamwork or collaboration together. Shareholders, investor or executive director speaking in discussion for feedback, review or project

Comment effectuer un examen post-incidence efficace

Lucas Morel

L’atténuation et l’assainissement ne sont pas les points de terminaison de la réponse aux incidents. Avoir un processus structuré pour analyser et apprendre d’un incident de cybersécurité une fois qu’il a été résolu est primordial pour améliorer les opérations de sécurité.

Dit que votre organisation a connu un incident de cybersécurité qui n’a eu aucun impact important sur l’entreprise, mais a néanmoins secoué l’équipe de sécurité et a attiré l’attention de la haute direction. D’une manière ou d’une autre, l’attaque a glissé devant les outils de surveillance en place avant qu’il ne soit détecté et atténué. C’était un appel serré.

Alors maintenant quoi? C’est à ce moment qu’une revue post-incidence, un élément clé de tout programme de cybersécurité, doit lancer.

Ils sont essentiels pour apporter des améliorations continues dans la réponse aux incidents (IR), explique David Taylor, directeur général de la société de conseil mondiale Provititi.

«Notre livre de jeu de la revue post-incidente est essentiel pour renforcer nos défenses de cybersécurité», explique Taylor. «Nous utilisons ce livre de jeu après des réponses importantes et l’améliorons en continu au besoin pour élever nos capacités d’équipe. Cette approche structurée favorise les conversations profondes et garantit que les leçons apprises sont efficacement intégrées dans les plans de réponse futurs, conduisant à une gestion des incidents plus résiliente et efficace.»

«Un examen post-incidence efficace ne consiste pas seulement à évaluer les résultats, il s’agit de capturer le contexte, d’identifier les problèmes structurels et de partager des apprentissages au-delà de l’équipe de sécurité immédiate», explique Eireann Leverett, chercheur et conseiller en sécurité du forum de la réponse aux incidents et des équipes de sécurité.

Une stratégie de revue post-incidente solide a plusieurs composants et attributs clés. Voici comment vous assurer que vos débriefs après action mènent à de meilleures performances à l’avenir.

Effectuer une analyse tandis que les détails sont frais – et établissez une chronologie approfondie

Lors de l’analyse des événements de sécurité, le timing est tout. En attendant des mois, voire des semaines pour procéder à l’examen, augmente le risque d’oublier des éléments importants de l’attaque et ses conséquences, empêchant les chefs de sécurité et les équipes d’avoir un véritable sens de ce qui s’est passé.

«La réalisation de l’examen post-invidence peu de temps après l’incident garantit que les détails sont frais dans l’esprit de chacun, réduisant les tours de mémoire et maintenant un sentiment d’urgence», explique Taylor.

L’apogée permet également aux examinateurs de créer un calendrier précis des événements.

«L’une des premières choses à faire est de rassembler ce qui s’est réellement passé – du premier signe de problème jusqu’au moment où les choses ont été maîtrisées», explique Heather Clauson Haughian, cofondatrice et partenaire de co-nomage chez CM Law, avocate de confidentialité et de sécurité des données.

«La reconstruction de la chronologie aide tout le monde à comprendre où les retards ou les erreurs ont eu lieu, mais aussi où les choses se sont bien passées», explique Haughian. «C’est essentiellement l’histoire de l’incident – et obtenir cette histoire tout droit est le fondement de l’apprentissage.

Effectuer une analyse de cause racine

Votre examen post-invidence doit inclure une analyse des causes profondes, explique Taylor. «L’identification des problèmes sous-jacents qui ont causé l’incident est essentiel pour éviter les futurs cyber incidents», dit-il.

L’équipe d’examen post-incident doit examiner les causes profondes de l’incident, qu’elle soit technique, procédurale ou liée à l’homme, et mettre en œuvre des actions correctives et des mesures préventives pour améliorer la sécurité de l’organisation, dit Taylor.

«Il est essentiel d’identifier la cause profonde de l’incident», explique Michael Brown, CISO Field chez IT Services et le fournisseur de conseil informatique Presidio. «Les équipes doivent déterminer s’il s’agissait d’une vulnérabilité technique, de lacunes de processus / technologie ou d’erreur humaine. Cette analyse garantit que les équipes abordent les problèmes sous-jacents, pas seulement les symptômes.»

Avec une analyse des causes profondes, «vous voulez comprendre pourquoi l’incident s’est produit en premier lieu», explique Haughian. «Était-ce une mise à jour logicielle manquée? Un e-mail de phishing sur quelqu’un a cliqué? Ou peut-être que c’était un processus qui n’a pas fonctionné comme il aurait dû.

Évaluez les performances de l’équipe et identifiez les lacunes de formation

Une partie de l’examen doit être axée sur l’évaluation des performances de l’équipe par rapport aux procédures établies, telles que le plan de réponse aux cyber-incidents, dit Taylor. Ceci est essentiel pour améliorer les capacités globales, dit-il.

«Ce domaine d’intervention peut fournir des informations précieuses pour des améliorations innovantes, l’identification des lacunes de formation et la mise à jour de la documentation obsolète, (et) réduisant ainsi les inefficacités lors d’une réponse», explique Taylor. «Cet effort contribue fréquemment à affiner les protocoles de réponse et à améliorer les programmes de formation.»

Chez Presidio, la revue post-incidence comprend une évaluation structurée des performances de l’équipe d’intervention des incidents à travers une variété de dimensions, dit Brown. Il s’agit notamment de la détection et du confinement, de la rapidité, de la clarté de la communication, de la coordination interfonctionnelle et de l’adhésion aux procédures et aux protocoles d’escalade.

«Il est essentiel d’examiner comment les équipes de sécurité et les parties prenantes ont répondu et joué», explique Brown. «Cela aide à déterminer et à mettre en évidence les forces et les faiblesses dans les plans de réponse aux incidents (et) est essentiel dans les améliorations à l’avenir et met en évidence les lacunes pour la formation ou les changements de personnel.»

Inclure une analyse complète des impacts commerciaux

Comprendre l’impact d’un incident est multiforme et comprend des analyses quantitatives et qualitatives, dit Brown. Du côté quantitatif, les entreprises doivent prendre en compte des impacts tels que les pertes financières, la baisse de la part de marché et les annulations des clients après la divulgation des incidents, dit-il.

L’analyse d’impact qualitative devrait inclure des domaines tels que la continuité de la continuité des activités a été considérablement entravée, les violations de la conformité ont été signalées aux autorités réglementaires, ou que l’entreprise a subi des dommages de réputation via une couverture médiatique négative ou des contrecoups sur les réseaux sociaux, dit Brown.

«Découvrez et analysez la portée de l’impact de l’incident, y compris l’impact opérationnel, financier, juridique et de réputation», explique Brown.

Le contexte de capture pour assurer l’examen après l’action comprend une profondeur adéquate

Un facteur clé d’une analyse de réponse post-incidence consiste à examiner le contexte de l’incident. Capturer le contexte est essentiel pour s’assurer qu’un calendrier d’incident est suffisamment complet pour que les équipes puissent apprendre.

«Documentez l’incident au fur et à mesure qu’il a évolué, pas seulement à sa fin», explique Leverett. «Trop souvent, les critiques post-incapables sautent le contexte dans lequel les décisions ont été prises. C’est une erreur. Les incidents se déroulent au fil du temps. L’équipe qui y travaille a rarement tous les faits à l’avance.»

Chaque nouvelle découverte – la violation initiale, la portée, le jeu d’outils utilisé par les attaquants – déplace les objectifs d’investigation de l’équipe, a déclaré Leverett. «Ce qui commence comme le confinement peut se transformer en éradication ou en récupération», dit-il. « Le suivi quand et pourquoi ces changements se sont produits aident à tout le monde plus tard à comprendre quelles actions ont été prises et pourquoi. »

Reconnaître qu’un débriefing efficace nécessite une collaboration interfonctionnelle

Bien que le CISO ou d’autres responsables de la cybersécurité ou de l’informatique doit mener l’examen post-invidence, il est important d’inclure une gamme de personnes qui peuvent contribuer des informations.

«Commencez avec l’équipe qui a travaillé l’incident: IR, IT et le CISO. Mais ne vous arrêtez pas là», explique Leverett. Les organisations doivent élargir l’équipe d’examen pour inclure des personnes de la gouvernance, des risques et de la conformité (GRC), des juridiques et de la gestion des risques. «Ils peuvent connecter des causes profondes incidentes à des lacunes politiques plus larges», dit-il.

Il est également bon d’impliquer la finance et les ressources humaines. «Ils peuvent se renseigner sur les coûts de violation, les besoins de révocation des diplômes et les impacts des employés», explique Leverett. Selon l’incident, peut-être même inclure les parties prenantes au niveau du conseil d’administration.

«Leur présence signale la hiérarchisation stratégique et aide à relier les résultats techniques aux conversations au niveau de la gouvernance», explique Leverett. «Plus tard, vous pouvez partager de manière sélective des apprentissages avec des partenaires externes», tels que des tiers de confiance.

Les principaux propriétaires d’entreprises touchés par l’incident devraient partager leurs expériences, pour identifier les changements dans les opérations liées à la réponse, dit Taylor. Et inviter les dirigeants de C-suite à participer à l’examen peut garantir que les perspectives stratégiques sont prises en compte.

Il est important que tout le monde ait une voix égale dans les réunions pour discuter de l’examen, quel que soit son titre ou son rôle, dit Taylor. «Cela favorise une compréhension complète de l’incident et favorise un environnement collaboratif», dit-il. «La participation inclusive aide à découvrir divers points de vue et solutions.»

Concentrez-vous sur l’apprentissage structurel sur le blâme individuel

Chercher à pointer des chiffres sur des individus ou des groupes pendant le processus d’examen peut ne pas être productif.

«Passez l’attention du blâme à l’apprentissage et à l’amélioration, ce qui est essentiel pour découvrir la véritable séquence des événements, comprendre les processus de prise de décision et identifier tous les facteurs contributifs à la fois à ce qui s’est bien passé et à ce qui a mal tourné», dit Haughian. Cette approche peut aider à éclairer les décisions stratégiques sur les outils, la formation et les politiques à l’avenir », dit-elle.

« Le but n’est pas de demander: » Cette personne a-t-elle fait le bon appel? «  », A déclaré Leverett. «C’est pour demander:« Étaient-ils équipés pour prendre de bonnes décisions dans les circonstances? Une meilleure documentation, financement ou outillage aurait-il pu permettre des résultats plus rapides ou plus sûrs?

Surtout, les examens post-incidences devraient être des exercices d’apprentissage, pas des interrogatoires, dit Leverett. «Ils devraient faire surface les contraintes et les compromis auxquels l’équipe a été confrontée et évaluer les décisions dans le contexte qu’ils ont été pris», dit-il. «Invitez non seulement ceux qui ont travaillé l’incident, mais ceux qui peuvent en tirer des leçons. C’est ainsi que vous construisez une culture de la résilience.»

Créez un plan d’action clair à l’avenir

Toutes les leçons apprises dans ces étapes ne seront pas très utiles si elles ne sont pas transformées en actions, dit Haughien.

«Cela signifie écrire ce qui doit être corrigé ou amélioré, qui va prendre soin de chaque tâche, et quand cela devrait être fait», explique Haughian. «Cela peut être des choses comme la mise à jour des logiciels, l’évolution des politiques ou la gestion de nouvelles sessions de formation.»

Quoi que les plats soient à retenir, le suivi est ce qui rend la revue post-incidence utile car sans recommandations exploitables, une telle revue n’est qu’un exercice académique. L’attribution de la propriété et des délais garantit la responsabilité et stimule la mise en œuvre d’améliorations telles que la mise à jour des plans de réponse aux incidents et des manuels de jeu, l’amélioration de la formation ou l’investissement dans de nouvelles technologies ou ressources, dit Haughian.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent