Nous vivons et faisons des affaires dans un monde chargé de cyber-risques. Chaque jour, les entreprises et les consommateurs sont la cible d’attaques plus ou moins sophistiquées, et il est de plus en plus évident que tout le monde est considéré comme un jeu équitable. Les organisations de toutes tailles et de tous les secteurs sont victimes et le cyber-risque devient rapidement l'une des menaces les plus courantes..

Lorsque des cyberattaques ou d’autres incidents liés aux données sont perturbés, ils ont non seulement un impact financier direct, mais également un impact continu sur la réputation. Par exemple, Carphone Warehouse a été victime d'une cyberattaque en 2015, qui a compromis les données appartenant à plus de trois millions de clients et à 1 000 employés. Les coûts de réparation, qui incluaient une amende de 400 000 £ du Commissariat à l'information (ICO), ont entraîné des pertes financières, ce qui a également amené les consommateurs à se demander si leurs données étaient vraiment en sécurité avec le détaillant et s'il était simplement plus sûr de faire leurs achats ailleurs. Il est extrêmement difficile de récupérer cette perte de confiance des consommateurs, en particulier à une époque où les griefs peuvent être exprimés sur les médias sociaux et partagés des centaines, voire des milliers de fois..

En juin 2018, sa société mère - Dixons Carphone - a révélé qu'elle avait été victime d'une cyberattaque qui avait commencé en juillet 2017. Les pirates informatiques ont eu accès à 5,9 millions de cartes bancaires et à 1,2 million d'enregistrements de données à caractère personnel. jugé suffisamment sérieux pour lancer une enquête de la part du GCHQ. Alors que Dixons Carphone a déclaré que l'incident n'avait pas de lien avec celui de 2015, les marques sont si étroitement alignées que Carphone Warehouse a de nouveau été associé à une énorme violation..

Les entreprises sont jugées sur leur réaction aux incidents

Prévenir les cyberattaques est plus difficile avec la sophistication croissante des attaques dépassant la technologie utilisée pour se défendre. De plus, les consommateurs et les autorités de réglementation jugent actuellement les entreprises sur la manière dont elles réagissent. La rapidité avec laquelle ils informent les parties prenantes concernées, les informations et les conseils fournis, ainsi que leur efficacité à combler le fossé ont tous un effet sur le niveau des retombées financières et des contrecoups. Ces facteurs soulignent la nécessité impérieuse pour les entreprises de mettre en place une équipe d'intervention en cas d'incident de cybersécurité (CSIRT) proactive..

Organisé par des experts de l’ensemble de l’entreprise, il fera l’objet d’essais et de planification approfondis et réguliers lui permettant d’intervenir immédiatement en cas de problème de plus en plus complexe et sophistiqué..

Un autre avantage d’une telle équipe est que les tests réguliers proactifs permettent aux entreprises d’identifier toutes les vulnérabilités existantes afin qu’elles puissent être corrigées avant leur exploitation malveillante. Au fur et à mesure que les entreprises grandissent et évoluent, les réseaux et les processus changent. Les tests doivent donc être un effort continu pour garantir que la cyber-résilience reste élevée..

Mise en route de la CSIRT

Il y a quelques considérations importantes à faire avant de commencer un programme. Celles-ci comprennent des questions opérationnelles et techniques - telles que la sécurisation du matériel nécessaire - ainsi que la détermination des ressources et du financement nécessaires aux équipes nouvellement formées. Les entreprises doivent également s’assurer que les équipes existantes ne sont pas en manque d’équipes et sont toujours en mesure de s’acquitter de leurs responsabilités..

Comme dans toute équipe, l'efficacité de la CSIRT augmente considérablement quand elle a un objectif défini. Lorsque le rôle de chacun des membres de l’équipe est clair, il leur est plus facile de s’engager dans la même direction. Les équipes doivent être structurées de manière à donner à chaque membre la responsabilité et la responsabilité, mais également à définir qui a le dernier mot..

Au cours des phases de planification, il est également essentiel de supprimer les zones de duplication. Refaire des activités et des processus est un gaspillage de ressources et retarde simplement le temps pris pour atteindre le résultat souhaité. Les entreprises peuvent identifier les zones de chevauchement et les lacunes en effectuant une analyse de leurs programmes de cyberintervention actuels. Cela permettra également de mettre en lumière les capacités actuelles de l'entreprise en matière d'intervention en cas d'incident, l'efficacité des sources d'alertes existantes, ainsi que la détermination des restrictions éventuelles..

Sélection de l'équipe la plus efficace

Dans l'idéal, le CSIRT devrait être composé de membres du personnel de l'ensemble de l'entreprise, afin de garantir une bonne diffusion de l'expertise et de répondre aux besoins de toutes les parties prenantes concernées..

Un élément essentiel devrait être un chef d’entreprise. Ils opèrent en première ligne de l'entreprise et sont responsables de la gestion des activités et des employés de l'entreprise. Si un incident est si grave que des systèmes critiques doivent être arrêtés afin d'atténuer les dommages supplémentaires, la présence d'un chef d'entreprise à bord aidera l'entreprise à déterminer l'impact des temps d'arrêt..

Les connaissances techniques doivent être fournies par un représentant de l'équipe informatique. Il est important que des directives claires soient définies sur la manière dont le personnel informatique et le CSIRT devraient interagir, ainsi que les actions à prendre par chacun au cours des opérations de réponse. Si la CSIRT nécessite l'accès aux journaux du réseau et des systèmes à des fins d'analyse, il convient de clarifier le niveau d'accès et de visibilité..

Les conséquences de tout incident de perte de données peuvent entraîner des poursuites judiciaires, il est donc essentiel qu'un membre de l'équipe juridique soit présent pour déterminer la responsabilité. Grâce à leur expertise, ils seront également essentiels pour sécuriser le cabinet en révisant les accords de non-divulgation et en élaborant un libellé approprié pour contacter d'autres sites et organisations..

Les autres membres devraient comprendre des spécialistes de la vérification et de la gestion des risques (car les mesures de la menace et les évaluations de la vulnérabilité joueront un rôle essentiel dans la planification de la stratégie), ainsi qu’un représentant des ressources humaines et des relations publiques. Le premier aidera à élaborer des descriptions de travail pour engager du personnel de la CSIRT et à élaborer des politiques et des procédures pour supprimer les employés internes impliqués dans des activités informatiques non autorisées ou illégales. Ce dernier sera responsable de la gestion des communications externes, du traitement des demandes des médias et de l’aide à la rédaction de communiqués de presse et de directives concernant la divulgation d’informations..

En fin de compte, à une époque où les entreprises sont quotidiennement victimes de cyberattaques, il est essentiel que celles-ci disposent d'équipes proactives d'intervention en cas d'incident pouvant contribuer à réduire le risque d'atteinte à la réputation. Les répercussions des violations sont en cours et, si les entreprises ne peuvent pas agir rapidement pour les gérer, elles peuvent devenir incontrôlables. Un CSIRT bien préparé et doté de toutes les compétences de l’entreprise est un outil puissant qui augmente considérablement la cyber-résilience. Lorsque la réponse à l'incident est bien planifiée et bien planifiée, les autorités de régulation accordent une importance accrue à la société en question et, plus important encore, elle atténuera la chute sévère de la confiance des consommateurs, qui peut être fatale à d'autres entreprises moins préparées..

French Caldwell, évangéliste en chef, à MetricStream

  • Consultez également notre tour d'horizon des meilleures suites de sécurité Internet