Retirer tous les bénéfices d’une prestation de réponse à incident
Toutes les entreprises n’ont pas les moyens de réagir seules aux incidents de sécurité informatique. Le recours à des tiers est alors indispensable. Mais il nécessite préparation.
Si les grands groupes réorientent leurs stratégies de sécurité des systèmes d’information vers la réponse aux incidents, celle-ci n’a encore rien de trivial. De nombreux biais psychologiques peuvent affecter un processus complexe et parfois lourd. L’automatisation, de plus en plus regardée comme indispensable en la matière – comme en témoignait récemment la NSA – ne saurait toutefois tout faire. Et cela quand bien même elle serait accessible à tous. Ce qui reste loin d’être le cas, malgré des efforts de démocratisation. La réponse aux incidents reste finalement encore largement affaire d’hommes et de processus. Et en l’absence des ressources internes nécessaires, le recours à des prestataires externes s’avère indispensable. Mais comment retirer tous les bénéfices de telles interventions ?
Renaud Templier, directeur des activités Risque & Sécurité chez Devoteam, souligne que « faire appel à une prestation externe pour répondre à un incident cyber est toujours délicat ». Et cela passe par l’établissement d’une « une relation de confiance, qui sera bien évidemment appuyée par un cadre contractuel, avec son/ses prestataires en gestion des incidents ». Car il s’agit ainsi de « réduire de manière anticipée, le temps entre la détection d'un incident et l'intervention sur place des experts », un point crucial : « il est particulièrement nécessaire d'anticiper les besoins logistique, physique et physiologique des intervenants ».
Gagner du temps
Dans le même esprit, Agnieszka Bruyere, directrice des services de sécurité d’IBM France, souligne l’importance de la préparation : « il faut mettre en place un dispositif de réponse aux incidents à l'échelle de l'entreprise. Celui-ci doit prendre en compte tous les futurs intervenants, de l'équipe de sécurité aux métiers en passant par la production informatique. Pour cette définition, l'entreprise peut capitaliser sur les processus et les capacités qui ont été développées pour son plan de continuité de l’activité (PCA) ou son plan de reprise de l’activité (PRA). Ce dispositif doit être mis en place de bout en bout, de la détection de l'incident à sa résolution. Une prestation de réponse à incidents peut couvrir l'expertise et l'assistance technologique ainsi qu’organisationnelle pour la définition des processus de réponse à incident, et en cas d’incident, une assistance à résolution. Le rôle du client est clef, il connait le contexte de l’entreprise et la matrice organisationnelle, c’est donc à lui qu’il revient de valider le dispositif ».
Yann Fareau, responsable Business Development EMEAR chez Cisco, apporte un éclairage supplémentaire : « lors d'un piratage ou incident de sécurité, le temps est toujours ce qui manque le plus. Gagner du temps permet de disposer d’un certain répit pour rassembler ses idées, réfléchir sur la situation et planifier la réponse la plus adaptée à l’incident. Pour cela il est indispensable d’avoir défini au préalable un plan de réponse à incident ».
Sur le plan technique, la préparation peut toutefois s’avérer lourde. Pierre-Yves Popihn, directeur technique de NTT Security France, estime ainsi qu’en amont, « il faut mettre en place les outils qui permettent d’avoir une vue complète du réseau en temps réel ». Et cela ne serait-ce que pour pouvoir fournir « un maximum d’informations sur les éléments impactés en cas d’incident ». Pour autant, il relève également qu’une « gestion efficace des incidents ne passe pas que par des investissements technologiques. Il faut établir au préalable un plan intégrant les processus et les intervenants ainsi que leur rôle et responsabilité en cas d’attaque ».
L’impréparation, première source d’échec
Michael Bittan, associé responsable des activités de gestion des risques chez Deloitte, ne dira pas autre chose. Résumant sa pensée avec une pointe d’humour, il assène : « si vous échouez à vous préparer, vous vous préparez à échouer ».
Dès lors, pour lui, « la préparation est essentielle pour pouvoir intégrer, le moment venu, le prestataire de réponse à incident. Lorsque l’on est victime d’une cyberattaque, il est nécessaire de pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible ». Encore une fois, il convient donc de « formaliser un plan de réponse à incident. Ce plan doit prendre en compte l’ensemble des parties prenantes (métier, IT, prestataires, etc.). Il est essentiel de faire le lien avec la gestion de crise (Direction Générale, Juridique, Communication, etc.) ».
Surtout, il apparaît essentiel de bien définir le rôle du prestataire en cas d’incident : « suivant les cas son rôle peut être l’expertise en investigation numérique, le pilotage global de l’investigation, ou encore la gestion de la réponse à incident ».
En définitive, c’est l’impréparation qui apparaît comme le mal le plus profond de la réponse aux incidents. Laurent Maréchal, spécialiste solutions Europe du Sud chez Intel Security, ne manque pas de le souligner : « une grosse partie de la démarche de réponse aux incidents réside dans la préparation et l’anticipation. Les entreprises ont, en général, fait quelques progrès ces dernières années. Cependant, nous constatons, trop souvent, un manque de préparation et d’anticipation qui conduisent à des situations catastrophiques ».
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Plan de réponse à incident : la différence entre désastre et rétablissement
-
Cyberattaque : comment Caen a évité le pire grâce à l’EDR d’HarfangLab
-
Reprise d’activité après sinistre : comment gérer les humains et les médias ?
-
Reprise d’activité après sinistre : comment élaborer la stratégie et rédiger le PRA