Plans d’intervention face aux cyberincidents (PIC) et plans de récupération après cyberattaque (PRC)
Les cybercrimes et violations de la sécurité se sont multipliés au cours de la dernière année. Il est primordial pour les entreprises de mettre en œuvre des stratégies visant à réduire la probabilité et l’impact des cybermenaces mises en exécution. Dans le cadre d’une défense informatique en profondeur, les entreprises peuvent acquérir une meilleure sécurité. Disposer à la fois de plans d’intervention face aux cyberincidents (PIC) et de plans de récupération après cyberattaque (PRC) sont des éléments essentiels garantissant la mise en œuvre de la défense informatique en profondeur. Les PIC et les PRC sont indispensables pour améliorer les capacités logistiques de toutes les entreprises à intervenir au moment d’un cyberincident et à se rétablir après une cyberattaque.
Il est fondamental de comprendre certaines des principales différences entre les PIC et les PRC.
Qu’est-ce qu’un plan d’intervention face au cyberincident (PIC)
Un plan d’intervention face au cyberincident (PIC) est un ensemble de procédures que votre entreprise suivra dans l’éventualité d’une faille ou d’une atteinte à la sécurité informatique. Les PIC doivent être conçus pour soutenir logistiquement l’entreprise et ils doivent être bien intégrés dans les politiques opérationnelles afin de garantir une couverture maximale de protection informatique. Les entreprises qui n’intègrent pas les PIC dans leurs politiques opérationnelles augmentent le risque que leur personnel ne puisse pas exécuter les procédures documentées. Avoir un plan d’intervention face au cyberincident (PIC) qui est bien détaillé et bien exécuté fournit aux parties prenantes internes et externes l’assurance que votre entreprise est prête à réduire les objectifs de temps de récupération (OTR), minimisant ainsi l’impact des failles ou des atteintes à la sécurité informatique. Les entreprises doivent suivre des cadres bien établis et réputés lors de la conception (rédaction) des PIC. La plupart des plans d’intervention face aux cyberincidents (PIC)comportent 6 étapes de haut niveau à suivre (lien) :
Préparer
La préparation englobe la compréhension interne des politiques, des procédures et des technologies. Les procédures doivent inclure des plans bien documentés, des modèles de communication, de la documentation écrite, les rôles et responsabilités de l’équipe, et les contrôles d’accès. Grâce à ces composantes préparatoires, les entreprises peuvent valider leurs PIC pendant la formation de leur personnel tout en demeurant prêtes à faire face aux vecteurs potentiels de menace informatique.
Identifier
Il est impératif de comprendre si un incident informatique s’est produit. Divers cadres référentiels (SOC 2, ISO 27001, NIST 800-53, etc.) obligent les entreprises à mettre en place des systèmes de détection d’intrusion. Les systèmes de détection d’intrusion sont importants pour identifier les menaces et effectuer les étapes de suivi.
Confiner
Afin de réduire l’impact des menaces informatiques, il est essentiel de les confiner autant que possible. Le confinement permet de minimiser l’impact des menaces mises à exécution. La segmentation de même que des contrôles d’accès bien mis en œuvre sont indispensables pour pallier aux incidents d’isolement tout en consolidant l’intégrité informatique et en minimisant les menaces à la disponibilité.
Éradiquer
L’éradication implique la suppression des logiciels et artefacts malveillants, et la restauration des systèmes affectés par des incidents de faille ou d’atteinte à la sécurité informatique. La planification et la documentation de l’architecture du système facilitent le processus d’éradication en informant les entreprises de l’étendue des incidents informatiques. Au cours du processus d’éradication, les entreprises doivent dûment s’assurer qu’elles respectent la non-répudiation des données en fournissant une chaîne de contrôle des responsabilités et en conservant les journaux des serveurs Web relatifs à chacun des changements qui se produisent.
Récupérer
Cette étape permet aux entreprises de récupérer méthodiquement les systèmes affectés et de les rétablir au mode de production initiale. Pendant l’étape de la récupération des données, les entreprises doivent s’assurer qu’aucun autre incident informatique ne se produise. Les systèmes doivent être testés, surveillés et validés lors de leur rétablissement en mode de production initiale. En général, il s’agit du moment propice pour mettre à jour les signatures anti-maliciel et antivirus parce que les systèmes sont en mode de préproduction. Les outils de surveillance des performances des applications et les produits anti-maliciel et antivirus doivent être surveillés de plus près pendant les périodes de récupération pour s’assurer que rien n’a été oublié ou manqué pendant l’éradication.
Passer en revue les leçons apprises
Il est crucial pour les entreprises de passer en revue et d’examiner minutieusement le plan d’intervention face au cyberincident (PIC) et de s’y adapter en conséquence, surtout dans les cas de procédures inefficaces. Un examen objectif, étape par étape, doit être méthodiquement effectué par un personnel objectif (souvent un vérificateur) dans le but de recommander des actions d’amélioration à la haute direction et au système de gestion de la sécurité informatique (SGSI).
Qu’est-ce qu’un plan de récupération après cyberattaque (PRC)?
Les plans de récupération après cyberattaque (PRC) se rapportent à des questions plus importantes sur les personnes, les processus et les technologies connexes aux entreprises. La sécurité du personnel et des êtres humains est toujours la priorité absolue des PRC (lien). Les PRC se focalisent sur l’entreprise en accordant une attention particulière à une intervention immédiate et en minimisant l’ensemble des dommages. Il existe des détails et des procédures supplémentaires reliés aux plans de récupération après cyberattaque (PRC). La plupart des entreprises devraient inclure les considérations suivantes lors de l’élaboration des procédures relatives à leur PRC (lien) :
Le personnel
Le personnel chargé d’exécuter et d’assurer la réussite du plan de récupération après cyberattaque (PRC). Le personnel doit également inclure les personnes désignées qui défendent et maintiennent le bien-être des ressources humaines de l’entreprise tout au long des processus du PRC.
L’inventaire
Quels sont les actifs majeurs ou les biens essentiels de votre entreprise? Il est impérieux d’identifier les actifs les plus importants de votre entreprise et d’être en mesure de reconnaître rapidement qui est la personne le mieux outillée pour exercer un rôle de surveillance. Les inventaires doivent être documentés par l’intermédiaire d’analyses d’impact sur l’entreprise (AIE) du niveau de criticité affectant l’entreprise. Les AIE sont utiles pour déterminer les priorités de récupération des données et elles peuvent considérablement accélérer les processus d’identification et d’intervention.
Communications
La manière dont vous communiquez et vos aptitudes à assurer que votre entreprise dispose des compétences pour coordonner des enchaînements d’événements inattendus sont primordiales à une récupération rapide. Il est décisif de prendre note des voies de communication et d’avoir des alternatives de communication dans l’éventualité où les canaux originels de communication ne seraient pas disponibles. En outre, le fait d’avoir des modèles ou des gabarits de communication augmente les temps de récupération en garantissant qu’un minimum de temps soit consacré pour la résolution des problèmes pendant les périodes des escalades problématiques.
Planification
Assurez-vous de tester vos opérations de contrôle et vos processus de vérification afin de vous garantir qu’ils fonctionnent dans divers scénarios. L’exécution des tests tels que des exercices de scénario ou des exercices de simulation sont d’excellents moyens de vous préparer aux possibilités de catastrophes informatiques.
Leçons apprises
Il est impératif pour votre entreprise d’identifier les lacunes du plan de récupération après cyberattaque (PRC) avant qu’il y ait un besoin de l’exécuter au cours d’un scénario réel. Il est important de tester vos plans de récupération après cyberattaque (PRC) au moins une fois par année, non seulement pour les raisons susmentionnées, mais également pour identifier les domaines d’amélioration servant à perfectionner votre PRC.
Les éléments répertoriés dans les étapes du PRC fournissent des conseils aux entreprises pour atténuer les risques les plus importants auxquels elles sont confrontées. Ces conseils peuvent inclure des changements très percutants qui étaient auparavant sans précédent, lesquels changements peuvent précisément impacter des effectifs travaillant à distance ou du personnel faisant du télétravail.
L’harmonie des PIC et des PRC
Plus le plan d’intervention face au cyberincident (PIC) est précis et méthodique, le mieux votre entreprise est équipée pour se rétablir. Les plans de récupération après cyberattaque (PRC) décrivent comment les entreprises réagissent lorsque des incidents informatiques se produisent. C’est une réalité inévitable que les entreprises seront confrontées à des incidents qu’elles doivent résoudre. Les secondes font la différence dans la mesure où les organisations sont affectées.. Simultanément avec les PRC, les entreprises peuvent s’équiper en établissant des priorités et en corrigeant les lacunes selon des objectifs prioritaires pour les entreprises avec lesquelles elles travaillent.
À mesure que les entreprises gagnent en maturité et acquièrent de nouveaux clients, les plans d’intervention face au cyberincident (PIC) et les plans de récupération après cyberattaque (PRC) deviennent des exigences essentielles pour faire des affaires avec des entreprises bien établies.
Il est important de mettre en œuvre les PIC et les PRC afin de maintenir la résilience et de dispenser les niveaux d’assurance nécessaires aux fournisseurs et aux partenaires. S’ils sont correctement mis en œuvre, les PIC et les PRC aident les entreprises à se rétablir rapidement. Chacun doit être examiné et vérifié par la haute direction et bien intégré dans les politiques et procédures des opérations organisationnelles.
Il y a plusieurs entreprises de cybersécurité qui peuvent vous aider si votre entreprise ne sait pas par où commencer. Lors de votre recherche, il est raisonnable que vous considériez des éléments tels que les références et le personnel certifié. À ce sujet, les clients du Programme d’aide à la recherche industrielle (PARI) peuvent communiquer avec leur conseiller en technologie industrielle (CTI) du PARI, car votre entreprise peut être admissible à un soutien consultatif de 25 heures en matière de cybersécurité.
