Quel que soit votre secteur d’activité, la taille de votre entreprise et votre environnement informatique, tenez pour acquis que vous allez subir plusieurs incidents de sécurité mettant en péril la confidentialité, l’intégrité et la disponibilité de vos données, et finalement votre entreprise elle-même.
Ce seront aussi bien des incidents mineurs causant des dommages limités, que des incident majeurs avec un impact beaucoup plus important, voire généralisé, sur votre organisation.
À preuve, selon une étude récente, plus de la moitié des PME québécoises a été victimes d’une cyberattaque au cours de la dernière année.
Les cyber incidents ne sont donc pas une simple éventualité, mais bien une réalité qui touche plus particulièrement les PME, parce qu’elles sont des proies plus faciles et plus nombreuses que les grandes entreprises.
Mais êtes-vous prêt à faire face?
Pour comprendre votre degré de préparation à une attaque, efforcez-vous de répondre aux questions suivantes :
- Quels moyens avez-vous mis en place pour détecter et identifier les activités malveillantes dans votre environnement?
- Quel est votre plan pour contenir les menaces, une fois identifiées?
- En combien de temps seriez-vous capable de récupérer et de revenir à la normale?
- Seriez-vous en mesure d’effectuer l’analyse après incident afin d’améliorer ainsi votre posture de sécurité?
Les PME ne peuvent pas empêcher toutes les attaques, mais elles peuvent mettre en œuvre un plan de réponse aux incidents.
Nous connaissons tous l’adage Mieux vaut prévenir que guérir.
En termes de cyber sécurité, la meilleure attaque est celle qui échoue, parce ce que vous avez été en mesure d’identifier vos failles et fragilités, et de vous en protéger.
Mais l’actualité nous démontre, sans nul doute, que la prévention à elle seule est nécessaire mais tout simplement insuffisante.
Et, pour paraphraser Louis Pasteur, la chance sourit à ceux qui sont bien préparés, plutôt qu’aux audacieux.
En effet, plus il vous faut de temps pour détecter et répondre à un cyber incident, plus vous êtes à risque de subir de graves pertes de données et des dommages importants à vos résultats et à votre réputation.
C’est pourquoi, lorsque des cyber incidents se produisent, il est primordial de les détecter le plus tôt possible et de réagir de façon rapide et efficace, afin d’atténuer les impacts sur votre organisation, et de limiter ainsi vos coûts globaux.
Il vous faut un plan de réponse aux incidents de sécurité.
Mentionnons également que ce plan est souvent une exigence de votre cyber assureur, mais aussi qu’il pourrait constituer un point de conformité à des réglementations telles que GDPR ou la Loi 25 du Québec.
Car comment pourriez-vous reporter une brèche de données si vous ne l’avez pas détectée, et comment pourriez-vous y répondre si vous n’avez pas de plan?
Qu’est-ce qu’un plan de réponse aux incidents de sécurité?
Un plan de réponse aux incidents est un ensemble documenté d'étapes que vous devez suivre à la suite d’un incident de sécurité.
La mise en place d’un tel plan vous assure que votre entreprise est préparée aux incidents et dispose donc des ressources et des procédures adaptées afin de détecter les incidents et de réduire le temps de récupération et les coûts associés à la violation.
Plusieurs cadres ont été développés pour guider les organisations dans cette planification, y compris celui du National Institute of Standards and Technology (NIST).
Chaque phase comprend un certain nombre d'étapes qu'une organisation se doit d’intégrer à son plan. Examinons brièvement chacune de ces phases.
Préparation
Votre PME doit être prête à faire face à un incident de sécurité et vous devez en conséquence planifier toutes les procédures d'intervention nécessaires.
La phase de préparation devrait inclure la planification des actions requises pour prévenir une violation de données ou une attaque.
Détection et analyse
Le maitre mot est visibilité. Votre PME doit être en mesure de détecter les incidents et disposer d'outils et de technologies pour collecter, documenter et analyser les données pertinentes à l'incident. Pensons par exemple aux services SOC et aux technologies EDR et SIEM.
Confinement, éradication et rétablissement
Votre PME doit être en mesure de gérer efficacement une attaque, d’éliminer la menace de l’environnement et de rétablir les services.
Vous devez également rassembler des preuves sur l'incident.
Activité post-incident
Après avoir traité adéquatement un incident de sécurité, votre PME doit utiliser les enseignements ainsi tirées afin d’améliorer son plan de réponse aux incidents.
Un plan non testé équivaut presque à une absence de plan.
Comme le disait Mike Tyson : «Tout le monde a un plan jusqu'à ce qu'il se prenne un coup de poing en pleine face.»
L'efficacité de votre plan de réponse aux incidents ne peut être validée qu’à l’épreuve du feu.
Vous pouvez commencer par les tests préliminaires. Les parties prenantes telles que votre équipe de réponse aux incidents, ou plus vraisemblablement celle de votre partenaire de sécurité , vos intervenants, voire vos fournisseurs et vos clients stratégiques, se concertent en échangeant sur le plan, et en investiguant les divers scénarios.
Les tests réels devraient être effectués au moins une fois par an et pourraient comporter une attaque par hameçonnage, une attaque par ransomware ou une attaque par déni de service.
C’est l’ultime façon de savoir si, et dans quelle mesure, votre plan de réponse aux incidents fonctionne réellement.
Conclusion
Du fait de mesures de sécurité et de protection des données personnelles souvent insuffisantes, les PME sont vulnérables et d’autant ciblées.
Or, lorsqu’un incident de cybersécurité survient, le temps est un facteur clé.
Dans ce contexte, la mise en place d'un plan de réponse prêt à être mis en œuvre est le moyen le plus efficace de réduire les coûts et l'impact d'un incident de sécurité,
Selon IBM : « Un plan de réponse aux incidents efficace peut aider les équipes de cybersécurité à détecter et à contenir les cybermenaces, à restaurer plus rapidement les systèmes affectés et à réduire les pertes de revenus, les amendes réglementaires et les autres coûts associés à ces menaces. »
Pour faciliter votre démarche, nous pouvons vous aider à évaluer la maturité de votre posture et de vos politiques de réponse aux incidents et identifier les domaines à améliorer.
Par la suite, nous vous présentons un document présentant les recommandations, les étapes et les services que nous proposons, en vue de rendre votre environnement plus robuste et de mieux répondre aux incidents qui ne manqueront pas de survenir.
Prenez contact avec nous pour en savoir plus sur la réponse aux incidents en tant que service.
