Réponse à incident : ce qu’il est facile de négliger
Face à un incident, des équipes mal préparées peuvent se trouver tellement mobilisées sur les aspects techniques de la situation qu’elles en oublient tous les autres. Et ils sont nombreux.
Ils ne le répèteront pas assez. Agnieszka Bruyere, directrice des services de sécurité chez IBM France, et Pierre-Yves Popihn, directeur technique de NTT Security France, insistent : l’une des principales clés de l’échec dans la réponse à incident est l’impréparation, notamment du fait de la négligence des exercices de simulation.
En particulier, ces exercices permettent de mettre à l’épreuve les plans de réponse pour, en définitive, éviter certains écueils, notamment organisationnels. Laurent Maréchal, spécialiste solutions Europe du Sud chez Intel Security, relève ainsi être régulièrement confronté à des « équipes en place qui ne communiquent pas ou à des problèmes qui existent entre les différentes équipes support ».
David Grout, directeur technique de FireEye pour l’Europe du Sud, souligne également le rôle de « la communication externe, interne, avec ses clients, ses fournisseurs, ses employés, les autorités ». Une communication qu’il ne faut « surtout pas sous-estimer : une mauvaise communication, une communication mal gérée peut vous emmener droit dans le mur ».
La communication, clé de voute de la réaction
Dans le même esprit, Yann Fareau, responsable Business Development EMEAR chez Cisco, souligne que la communication « est essentielle en cas d’incident majeur. De nombreuses questions sont à se poser : qui appeler ? avons-nous tous les numéros de téléphone ? Où sont-ils stockés ? etc. Car, vous ne pourrez plus compter sur vos systèmes informatiques pour vous fournir cette information ; ils risquent de ne pas être disponibles. Evitez la situation, déjà rencontrée : ‘le numéro de téléphone du RSSI est dans mes mails, or je dois lui répondre que son serveur a été piraté et n’est plus accessible…’ Il convient de savoir comment l’entreprise va échanger avec le public et les médias. Une mauvaise communication externe peut amplifier l’impact d’un incident de sécurité comme nous l’avons vu d’innombrables fois. En interne, il est aussi indispensable d’identifier les interlocuteurs qui doivent participer à la cellule de crise et ceux qui doivent être informés ».
David Grout encourage au passage à ne pas « oublier de prendre en compte les implications légales de l’incident et des contre-mesures mises en place ». Ce qui pourrait « s’avérer beaucoup plus contre-productif qu’efficace lors de l’intervention d’une équipe de réponse à incidents ».
Envisager les suites à donner
D’ailleurs, Renaud Templier, directeur des activités Risque & Sécurité chez Devoteam, relève que ne pas déterminer rapidement si l’on souhaite engager ou non des poursuites peut également empêcher de retirer tous les bénéfices de l’accompagnement par des experts externes : « traiter des traces ou des preuves dans le cadre d’une procédure judiciaire doit faire l’objet d’un processus strict qui, s’il n’est pas respecté, ne permettra pas d’assurer la licéité » des éléments apportés.