IT Buzz : L'actuel, le nouveau, et l'à venir

Comment créer un Plan de Réponse Aux Incidents | Compugen

Rédigé par Marc Perreault | 2021-07-08 04:00:00

Dans la première partie de ce blog, j'ai décrit les raisons pour lesquelles les organisations ont besoin d'un plan de réponse aux incidents (PRI). Toute organisation qui stocke des informations personnellement identifiables (IPI) ou des données financières privées doit avoir un plan mis en place pour quand (pas si) elle sera touchée par une cyberattaque.

Sans un PRI en place, une organisation ciblée pour une cyberattaque peut passer deux à trois jours à essayer de comprendre ce qui doit être fait, qui est responsable de quoi et ce qui doit être communiqué à qui. J'ai été à même de le constater et malheureusement, cette réaction ne fait qu'aggraver les dommages causés par l'attaque. Avec un PRI approprié en place, ces problèmes auront déjà été résolus et l'équipe peut immédiatement se mettre au travail pour atténuer l'impact d’une intrusion.

Une approche collaborative pour concevoir un PRI

Ici chez Compugen, l'un de mes rôles est de travailler directement avec les clients pour les aider à concevoir un PRI qui convient le mieux à leur organisation. Tout ce que nous faisons est basé sur les protocoles recommandés par le Guide de manutention des incidents de sécurité de l’Institut national des normes et de la technologie (NIST 800-61). Cela étant dit, un PRI n'est pas une proposition unique. La façon dont nous déterminons la meilleure solution consiste à organiser un atelier privé avec une simulation de cyberattaque sur table, en parcourant les différentes étapes de ce qui doit être fait.

Vous seriez surpris (e) de voir à quel point même les tâches les plus simples peuvent être délicates sous la pression de répondre à une cyberattaque. Par exemple, l'une des premières choses à faire lorsque vous avez subi une intrusion est de créer un inventaire des données de ce qui est stocké où dans le système. Une fois, je participais à un atelier avec divers membres de l'équipe de la haute direction et je leur ai demandé s'ils avaient des informations de carte de paiement stockées sur leurs systèmes. Trois d'entre eux m'ont donné trois réponses différentes. L'un pensait que l’information était dans le cloud, un autre pensait qu'elle était stockée sur site et un autre pensait qu'il ne l'avait pas du tout stocké. Ce type de déconnexion quant à l'emplacement des données sécurisées peut être dévastateur dans les premières heures suivant une attaque.

Autre exemple, supposons que vous ayez perdu l'accès à votre liste de contacts sur votre téléphone et que vous deviez appeler un(e) ami(e) ou un membre de votre famille à partir du téléphone de quelqu'un d'autre. Combien de vos contacts proches pourriez-vous appeler simplement en connaissant leur numéro de cellulaire par cœur? À en juger par ma propre situation, je suppose que c'est très peu, voire aucun. Supposons maintenant que vous faites partie d'une organisation qui a été touchée par une attaque de rançongiciel et qui a maintenant perdu l'accès à l'annuaire de l'entreprise. Vous devez communiquer immédiatement des informations cruciales à une liste de personnes, mais comment allez-vous le faire ?

Attaque simulée, résultats réels

L'un des objectifs d’un PRI est d'avoir ces pièces en place avant que vous ne soyez touché (e). C'est pourquoi, dans l'atelier, nous vous accompagnons dans la création d'un inventaire de données. Nous vous aiderons à créer une liste de contacts avec des consignes étape par étape pour savoir ce qui doit être fait et quand.

Nous vous guiderons également dans l'attribution des rôles clés pour diriger l'équipe tout au long de la réponse aux incidents. Avouons-le, peu d'organisations ont désigné des chefs d'équipe de cyberattaque et, par conséquent, les gens ne savent pas quelles consignes ils doivent suivre. C'est probablement le pire scénario possible qui pourrait survenir et pourtant, ce n’est que trop courant.

L'atelier se déroule généralement sur deux sessions, chaque session sont d’une durée de trois heures. La pause entre les sessions garantit que l'équipe peut effectuer certaines tâches du monde réel, telles que la création d'une liste de contacts hors ligne et la définition des membres importants de l'équipe. Nous travaillons avec chaque client pour nous assurer que le PRI est adapté à leurs besoins spécifiques. À la fin des deux sessions, vous aurez l'esprit tranquille en sachant que votre organisation est prête à faire face à un certain nombre de cyberattaques.

Si vous souhaitez en savoir plus sur la façon dont un PRI peut mieux protéger votre organisation, n'hésitez pas à m'écrire. J'aimerais en discuter avec vous.