Qu’est-ce que la Réponse aux incidents ?

La réponse aux incidents est la méthodologie utilisée par une entreprise pour réagir face à une cyberattaque et la gérer. Une attaque ou une compromission des données peut faire des ravages et peut affecter vos clients, le temps et les ressources de l’entreprise en matière de propriété intellectuelle et d’image de marque. La réponse aux incidents vise à réduire ces dommages et à s’en remettre le plus rapidement possible. Mener une enquête est également un élément clé afin de tirer les leçons de l’attaque et de mieux préparer l’avenir. De nombreuses entreprises subissent tôt ou tard une brèche, et un plan de réponse aux incidents bien élaboré et reproductible est le meilleur moyen pour protéger votre entreprise.

À mesure que les cyberattaques augmentent en ampleur et en fréquence, les plans de réponse aux incidents deviennent de plus en plus vitaux pour les cyberdéfenses d’une entreprise. Une mauvaise réponse aux incidents peut aliéner les clients et déclencher une plus grande réglementation gouvernementale. Les échecs à répétition de Target pour développer une infrastructure de sécurité interne efficace a considérablement aggravé son piratage de 2013. La décision d’Equifax de ne pas partager l’information avec le public à la suite de son piratage de 2017 a considérablement nui à sa réputation. Une réponse efficace aux incidents est essentielle, quel que soit votre secteur d’activité.

Selon le SANS Institute, l’entreprise doit se tourner vers son équipe de réponse aux incidents en cas d’incident informatique. Cette équipe est composée d’experts parmi les cadres de direction, du service informatique, de la sécurité de l’information, d’auditeurs lorsqu’ils sont disponibles, ainsi que de tout le personnel de sécurité physique qui peut aider lorsqu’un incident inclut un contact direct avec les systèmes de l’entreprise. La réponse aux incidents doit également être effectuée par les RH, le service juridique et les relations publiques ou les communications.

Selon le SANS Institute, tun plan d’intervention comporte six étapes clés :

Préparation : Élaboration de politiques et de procédures à suivre en cas de cyber incident. Il s’agira notamment de déterminer la composition exacte de l’équipe d’intervention et les éléments déclencheurs pour alerter les partenaires internes. La clé de ce processus est une formation efficace pour répondre à une infraction et une documentation permettant d’enregistrer les mesures prises pour un examen ultérieur.

Identification : C’est le processus qui consiste à détecter une faille et à permettre une réponse rapide et ciblée. Les équipes de sécurité informatique identifient les brèches en utilisant diverses sources de renseignements sur les menaces, des systèmes de détection des intrusions et des firewalls. Certains ne comprennent pas ce qu’est le renseignement sur les menaces, mais il est essentiel pour protéger votre entreprise. Les professionnels du renseignement sur les menaces analysent les tendances actuelles en matière de cybermenaces, les tactiques courantes utilisées par des groupes spécifiques et permettent à votre entreprise de garder une longueur d’avance.

Confinement : L’une des premières étapes après l’identification est de cloisonner les dégâts et d’empêcher toute nouvelle pénétration. Cela peut être réalisé en mettant hors ligne des sous-réseaux spécifiques et en s’appuyant sur des sauvegardes du système pour maintenir les opérations. Votre entreprise restera probablement en état d’urgence jusqu’à ce que la faille soit colmatée.

Éradication : Cette étape consiste à neutraliser la menace et à rétablir les systèmes internes dans un état aussi proche que possible de leur état antérieur à l’incident. Cela peut impliquer une surveillance secondaire pour s’assurer que les systèmes touchés ne sont plus vulnérables à une attaque ultérieure.

Recouvrement : Les équipes de sécurité doivent valider que tous les systèmes concernés ne sont plus compromis et peuvent être remis en état de fonctionnement. Cela nécessite également de déterminer des délais pour rétablir complètement les opérations et de continuer à surveiller toute activité anormale du réseau. À ce stade, il devient possible de calculer le coût de la violation et des dommages ultérieurs.

Leçons apprises : Une des étapes les plus importantes mais souvent négligée. Au cours de cette étape, l’équipe de réponse aux incidents et les partenaires se rencontrent pour déterminer comment améliorer les actions futures. Cela peut impliquer l’évaluation des politiques et des procédures en vigueur, ainsi que les décisions spécifiques prises par l’équipe pendant l’incident. L’analyse finale devrait être condensée dans un rapport et utilisée pour la formation future. Forcepoint peut aider votre équipe à analyser les incidents antérieurs et à améliorer vos procédures d’intervention. La protection de votre entreprise exige un effort déterminé pour apprendre en permanence et renforcer votre réseau contre les acteurs malveillants.

Pour en savoir plus, lisez notre article de blog, "Data breach response plan: best practices in 2019."

While cyberattacks can seem inevitable and it is always a good idea to have an incident response plan for your organization, Forcepoint can help prevent incidents from the inside. With Forcepoint’s Insider Threat tool, gain visibility into potential treats to critical systems.