Donc, vous êtes responsable de la cybersécurité dans votre entreprise et vous vous êtes préparé à affronter toute éventualité. Vos processus ont été mis à l'essai et votre équipe et votre réseau de soutien externe ont reçu la formation nécessaire. Vous pensez avoir pris toutes les dispositions possibles pour intervenir en cas de cyberincident. Et puis cela arrive : le samedi soir du long weekend de juillet, vous êtes au chalet, en train de faire un barbecue, un cocktail à la main. Au moment le plus inopportun, votre téléphone sonne – c'est le soutien informatique qui vous appelle pour vous informer qu'un système critique a cessé de répondre et qu'un examen plus approfondi a révélé qu'il était attaqué par un rançongiciel!
D'accord, mon exemple est peut-être un peu « extrême ». Il n'empêche qu'au fil des ans, j'ai observé que la majorité des incidents ont vraiment tendance à se produire à des moments inopportuns, comme les weekends ou les jours fériés. (Les cyberattaques sont toujours gênantes, bien sûr, quel que soit le moment où elles se produisent et où vous en prenez connaissance). Quoi qu'il en soit, vous devez maintenant mettre en œuvre votre plan d'intervention.
Alors, comment allez-vous répondre à ça?
Souvenez-vous de la formation que vous avez reçue
La clé d'une intervention bien coordonnée est de s'en tenir au plan prévu. J'ai trop souvent vu des organisations hésiter au moment d'agir et déroger à la procédure qui avait été établie, oubliant dans la foulée tous les plans et formations qui avaient été prévus dans les moindres détails et testés de manière rigoureuse. Le personnel tente de régler le problème seul en réinitialisant les systèmes, détruisant du même coup de précieuses preuves judiciaires qui auraient pu aider les professionnels de la cybersécurité à définir et à circonscrire l'intrusion, et à analyser les causes profondes. Ce n'est que lorsqu'ils sentent que la situation devient trop difficile à gérer et qu'ils prennent conscience de l'ampleur du problème qu'ils pensent à faire appel au réseau de soutien que vous avez mis en place. À ce moment seulement, les plans sont mis en œuvre, les ressources internes et externes appropriées sont avisées et le réseau de soutien est mobilisé.
Des réunions de mise au point avec la direction et les responsables de la gouvernance sont programmées (plusieurs par jour au début de l'intervention). Les directeurs commerciaux et techniques, ainsi que les intervenants externes tels que le conseiller en cyberintrusions et les sociétés de cyberassurance et de réponse aux incidents, discutent et décident de la meilleure façon de gérer la situation. Des lignes d'appels-conférences sont activées 24 heures sur 24 et 7 jours sur 7 pour les équipes techniques et les équipes de réponse aux incidents afin de coordonner les efforts. Et ainsi de suite.
Il ne s'agit plus d'un exercice d'entraînement!
Des facteurs qui ne semblaient pas si évidents pendant les exercices d'entraînement deviennent soudain très réels. L'incident a paralysé l'entreprise et les pressions pour reprendre les opérations augmentent à mesure que l'analyse judiciaire, la « cyberenquête », se prolonge. Cela accroît encore la pression sur l'équipe concernée qui doit conclure son enquête plus rapidement qu'elle ne le devrait.
Il est essentiel d'équilibrer et de coordonner les pressions visant à accélérer la reprise des activités et les besoins de la cyberenquête, et ce, pour deux raisons. D'abord, pour qu'une reprise précipitée ne vienne pas compromettre l'enquête. Et ensuite, pour éviter de remettre en fonction des systèmes potentiellement compromis, ce qui pourrait ouvrir la porte à de nouvelles intrusions.
Mais qu'est-ce qu'une cyberenquête cherche à accomplir au juste? Elle permet de répondre aux trois questions suivantes :
1. Le pirate se trouve-t-il toujours dans l'environnement?
2. S'est-il emparé de données confidentielles et, si oui, lesquelles?
3. Que s'est-il passé?
Respectez le plan prévu
Le fait est que les différentes parties prenantes vont toujours exercer des pressions qu'aucun entraînement ne peut vous préparer à affronter, même dans le meilleur des cas. Les entreprises sont pressées de reprendre leurs activités. Les services juridiques veulent savoir si des informations personnelles identifiables ont été compromises et, le cas échéant, quelle est l'ampleur du problème afin d'informer les organismes de réglementation en matière de confidentialité de manière appropriée.
Pour que chacun obtienne ce qu'il veut, il est important que toutes les parties concernées s'en tiennent aux procédures et protocoles établis. Non seulement cela permettra-t-il de faire face aux pressions non planifiées et aux embûches imprévues, c'est aussi le seul moyen pour l'organisation de contenir l'incident et de se remettre sur les rails.
Multilingual post
This post is also available in the following languages
Stay up to date with what matters to you
Gain access to personalized content based on your interests by signing up today