Avec l’augmentation continue des cyberattaques, aucune entreprise n’est à l’abri. Des PME aux grandes entreprises, les organisations sont tous concerné par ce phénomène et il n’est plus question de savoir si une entreprise pourrait être la cible d’une cyberattaque, mais c’est de savoir réagir aux attaques.
Qu’est-ce qu’est un incident ?
Dans le milieu informatique, un incident décrit la perturbation imprévue des services informatiques au sein d’une entreprise. Par exemple, plusieurs faits informatiques peuvent être considérés comme étant des incidents, allant d’une simple interruption du réseau WIFI, jusqu’à une cyberattaque au sein de votre système d’information.
Qu’est-ce c’est la réponse à un incident ?
La réponse à un incident est le processus déclenché suite à la détection d’une cyberattaque dans les systèmes d’information. La réponse à un incident consiste à identifier l’attaque, apporter un plan de contre-attaque pour réagir à l’attaque, et procéder à la résolution de problèmes suite à l’attaque.
Pour bien répondre à ces incidents, cela nécessite un plan préalablement défini par l’entreprise et à une équipe dédiée prête à réagir pour limiter au maximum les dégâts qui peuvent avoir les cyberattaques. Ce processus est généralement confié à l’équipe de réponse aux incidents de sécurité informatique (Computer emergency response team – CSIRT) en collaborant avec l’équipe SOC (Security Operation Center), pour implémenter le plan de réponse à incident (IRP) défini par l’entreprise.
Mais il existe d’autres équipes impliquées dans le bon déroulement de ce processus, tels que la Distributed Incident Response Team (des équipes spécialisées dans la résolution de certains types d’incident) et la Coordination Team, pour collaborer entre différentes équipes au sein d’une même entreprise.
Le cycle de vie réponse à incident
Le cycle de vie de la réponse à un incident décrit les 5 grandes phases des actions à mener pour résoudre les cybers incidents. Ce cycle de vie débute avant même qu’une attaque ne survienne.
- L’identification (comprendre comment bien gérer les risques d’incidents en fonction de l’entreprise) ;
- La protection (en implémentant des dispositifs pour maintenir la sécurité informatique de l’organisation) ;
- La détection (développer des nouvelles méthodes pour mieux détecter les attaques) ;
- La réaction (la mise en place de stratégies pour répondre aux incidents) ;
- La récupération (phase consistant à mettre en place un plan pour rétablir les activités de l’entreprise suite à l’incident) ;
Quel est son objectif ?
L’objectif principal de la réponse aux incidents est de rétablir les services touchés par une cyberattaque, pour reprendre les activités de l’entreprise le plus rapidement possible. Pour pouvoir faire face aux cyberattaques, il est très important d’avoir une surveillance constante sur les réseaux informatiques.
Quels sont les types d’incident habituellement rencontrés en entreprise ?
Il existe plusieurs types d’attaques. Parmi les plus connues on retrouve :
- Les attaques de phishing avec une croissance constante dans le monde, les attaques de phishing visent à récolter des données sensibles dans le but d’usurper l’identité de la personne ;
- Les ransomware : cyberattaque visant à demander une rançon à la personne/entité visée ;
- Injections SQL : ces types d’attaques utilisent les vulnérabilités présentes dans les systèmes ou applications pour usurper des données.
Quelles sont les procédures de réponse à un incident
Pour répondre à un incident, l’entreprise doit avoir un plan unique, spécifique à son entreprise. La réponse à un incident suit un protocole précis à suivre lors d’une cyberattaque en effet le plan doit comprendre :
- Les missions à accomplir pour qualifier la résolution de succès ;
- Les stratégies à mettre en place pour améliorer garantir la sécurité des systèmes informations ;
- Chaque échelon doit être validé par une équipe dirigeante ;
- Une approche organisationnelle de la réponse aux incidents : quels processus sont mis en place pour traiter les incidents ;
- Définition de la communication entre les différentes parties prenantes suite à l’incident ;
- Les barèmes pour apprécier l’efficacité et l’aptitude à répondre à un incident ;
- Feuille de route réponse incident ;
- L’intégration du programme/plan au sein de l’entreprise ;
Le plan de réponse aux incidents doit également suivre une stratégie indépendante de celle de l’organisation.
Les avantages d’apporter une réponse aux incidents
Intégrer cette démarche dans la gouvernance de cybersécurité d’une entreprise permet avant tout de garantir la continuité des activités et ainsi garantir l’intégrité de l’organisation en évitant toute perte d’actifs informatiques, importants pour la suivie d’une activité. Disposer d’un dispositif sécurisé tel que les scans de vulnérabilités et les réponses aux incidents permet également de mieux sécuriser une entreprise tout en améliorant votre image auprès des parties prenantes telles que les clients et partenaires. Néanmoins, la réponse à incident est une méthode réactive qui ne permet, bien souvent, que de limiter les dégâts. Une approche proactive est plus efficace et consiste à opérer une surveillance 24/7, qui est généralement réalisée par un centre de sécurité opérationnel (SOC).
