Se préparer aux incidents futurs
Retirer tous les bénéfices d’une prestation de services de réponse à incidents de sécurité va au-delà de la seule gestion d’un incident. C’est également se préparer pour ceux qui sont susceptibles de survenir plus tard.
Recourir aux services d’un prestataire externe pour répondre à un incident de sécurité est une chose. Et en retirer tous les bénéfices ne se limite pas à la remédiation de l’incident présent. Renaud Templier directeur des activités Risque & Sécurité chez Devoteam, estime ainsi nécessaire « d’appliquer une approche d’amélioration continue associée au plan de remédiation et à un partage de connaissances ».
Agnieszka Bruyere, directrice des services de sécurité d’IBM France ne dira pas autre chose : « idéalement, le processus devrait suivre un cercle vertueux : détection, remédiation, amélioration de la protection pour baisser le niveau de risque et optimiser le retour sur investissement ».
Laurent Maréchal, spécialiste solutions Europe du Sud chez Intel Security, estime également que « l’une des actions les plus importantes à la suite d’une prestation de réponse à incident est de capitaliser sur les événements qui ont permis la résolution » et « comprendre comment l’incident est survenu, pour que l’entreprise soit mieux préparée lors de prochaines attaques ».
Une démarche d’amélioration continue
Et pour cela, l’entreprise cliente dispose d’un outil précieux : un rapport qui lui est délivré à la suite d'une prestation d’incident de sécurité. Laurent Maréchal explique que celui-ci « comprend les éléments d'investigations ainsi que les contre-mesures nécessaires à la résolution. Les éléments présents dans le rapport et notamment les recommandations sont cruciaux car ils permettent d’orienter l’entreprise sur des moyens de renforcer la sécurité et de gagner en maturité ».
Cette base de travail doit permettre « d’alimenter une base de connaissances interne et de répertorier les incidents de façon claire et précise : quand le problème a-t-il été détecté et par qui ? Quel était le périmètre de l’incident (un utilisateur, un serveur, un service, etc.) ? Comment l’incident a-t-il été maitrisé et résolu ? Quelles actions ont été menées durant l’incident ? Sur quel éléments l’équipe a su être efficace ? Quels sont les éléments qui nécessite d’être améliorer ? »
Cette documentation établie, « il est nécessaire de réunir les équipes interne afin de faire une revue de l'incident et de discuter de la manière d’améliorer les processus permettant la détection, l’investigation et la résolution ».
Ce n’est qu’au prix de ces efforts qu’il sera véritablement possible de retirer tous les bénéfices d’une prestation externe de réponse à incident.
Au-delà de la prestation ponctuelle
C’est ainsi que Wave Woolwine, directeur des services de détection et réponse aux incidents de Rapid7, entrevoit une approche de partenariat à long terme. Souvent, souligne-t-il, les entreprises cherchant une prestation de réponse à incident n’ont pas même les prérequis nécessaires en place. Lorsque survient la brèche, « ces organisations découvrent qu’elles ne sont pas préparées à fournir à leur partenaire les indices appropriés à l’enquête, et manquent des ressources nécessaires aux composants de la réponse à incident au-delà de l’analyse technique » : communications, juridique, et mise en œuvre des recommandations de remédiation. L’inverse même d’organisations disposant d’un véritable plan de réponse à incident « mis à l’épreuve régulièrement avec des simulations et des exercices impliquant équipes offensives et défensives ».
Laurance Dine, associé exécutif chez Verizon Enterprise Solutions, estime pour sa part que, aujourd’hui, un « RSSI doit au minimum avoir un contrat de long terme en place avec un prestataire de réponse aux incidents ». Et d’y trouver une raison simple : « prévenir, détecter, contenir et gérer les incidents de sécurité nécessite des professionnels rodés, des processus simples, une expertise de la chaîne de responsabilité, et des spécialistes disponibles dans l’instant ». Sans compter les gains potentiels apportés par des équipes capables de fournir l’entreprise avec « des renseignements de sécurité opérationnels » produits par des analystes habitués à la reconnaissance de modèles et d’événements suspects.