Réponse à incident : se préparer est un impératif
Réagir à un incident de sécurité informatique est loin d’être trivial. Une préparation stricte, régulièrement éprouvée, apparaît essentielle.
Organisation, communication, préservation des preuves, mise à disposition des éléments techniques nécessaires… Réagir à un incident de sécurité est un exercice complexe. Pour y réussir, il n’y a pas de miracle : il convient de s’y préparer.
Agnieszka Bruyere, directrice des services de sécurité chez IBM France, le résume en quelques mots : « il faut être toujours prêt. Pour cela, il faut un processus de bout-en-bout, le tester régulièrement et communiquer auprès de tous les acteurs concernés ». Renaud Templier, directeur des activités Risque & Sécurité chez Devoteam, explique : « il est nécessaire, en amont d'établir un processus de gestion des incidents, tels que par exemple définis dans la norme ISO 27035 ».
Le plan de réponse à incident apparaît donc comme un élément essentiel, mais là encore, loin d’être trivial. Renaud Templier souligne là l’importance d’éléments pratiques qu’il pourrait être tentant de négliger : « les problématiques juridiques pouvant affecter la mise en œuvre d'une prestation de gestion des incidents, comme le travail le week-end, l’intervention en soirée, etc.
De manière plus générale, Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte, précise : « il faut former l’ensemble des parties prenantes (métiers, IT, prestataires, etc.), sensibiliser l’ensemble des collaborateurs ».
Wade Woolwine, directeur des services de détection de brèches et de réponse de Rapid7, détaille ce que doit recouvrir le plan de réponse : les noms, rôles et responsabilités de chacun des membres de l’équipe de réponse à incident, les workflows qui définissent les processus critiques comme la sollicitation de l’équipe de réponse, le reporting d’analyses techniques, les approbations de communication, l’implication des autorités locales ou plus généralement la prise de décisions exécutives ».
Sensibiliser tous ses personnels
David Grout, directeur technique de FireEye pour l’Europe du Sud, va plus loin, évoquant non seulement le plan de réponse à incidents, mais également des plans « d’escalade, de communication, de remédiation ».
Mais comme Michael Bittan, Pierre-Yves Popihn, directeur technique de NTT Security France, estime essentiel de « sensibiliser les utilisateurs », notamment « pour que tout le monde soit préparé à réagir en cas d’attaque ». Et il n’est pas seul à mettre ce point en avant. Laurent Maréchal, spécialiste solutions Europe du Sud chez Intel Security, rappelle que « la sécurité repose sur trois composantes majeures : les technologies, les processus, les personnes ».
En particulier, « le maillon faible reste l’humain. Il est donc nécessaire de sensibiliser les utilisateurs aux risques de sécurité mais aussi de former les personnes opérationnelles à la sécurité (risques viraux, vecteurs d’infection, analyse forensic, etc.) ». Et justement, « la sensibilisation des utilisateurs au moyen de formation ou d’exercices d’hameçonnage (phishing), ainsi que la mise en place de bonnes pratiques est un des éléments majeurs permettant de renforcer la sécurité de l’entreprise en impliquant les salariés ».
Fortunato Guarino, consultant solutions Cybercrime & protection des données chez Guidance Software, insiste d’ailleurs sur la sensibilisation des utilisateurs, en ce qu’elle permet de « prévenir, et réduire l’exposition plutôt que de simplement traiter ».
Mais la formation et la sensibilisation concerne aussi la réponse à incidents, « en termes technique et organisationnel ». Là, les tests d'intrusion et les exercices, voire les simulations d’attaques réelles et d’envergure jouent un rôle clé pour renforcer la préparation.
Réaliser des exercices réguliers
Et là, le consensus apparaît complet : il faut réaliser des exercices de simulation réguliers, tant pour mettre à l’épreuve son plan de réponse à incident, que pour former ses équipes ou encore « capitaliser sur son expérience et apprendre de ses erreurs », comme le relève Michael Bittan.
Yann Fareau, responsable Business Development EMEAR chez Cisco, relève que l’évaluation des plans de réponse, « même si cela paraît évident comme démarche, ce n’est pas systématique. Les entreprises doivent, pour être assurées de l’efficacité de leur plan de réponse à incident de sécurité, le tester régulièrement. Elles doivent vérifier que les équipes techniques et exécutives maîtrisent bien le rôle qu’elles ont à jouer et leurs responsabilités en cas d’incident ». Sans oublier bien sûr de tirer les enseignements de ces exercices.
David Grout insiste de son côté sur « la formation continue des équipes aux méthodes d’investigations et de réponse », en plus des exercices et des simulations. Mais par question de conduire des exercices sans direction précise. Wade Woolvine relève que les « scénarios de menace doivent être adaptés à l’entreprise et à ses systèmes et données critiques ».
De leur côté, les simulations permettent non seulement d’éprouve la capacité de réponse, mais également de détection : « être préparé à répondre à un incident est important, mais pas aussi qu’être capable de détecter une menace ou une brèche en premier lieu ». Et là, souligne Wave Woolvine, « lorsque l’on travaille avec des prospects sur leur plan de réponse à incident, on découvre souvent des organisations qui ne sont pas prêtes à détecter des attaques ciblées, pilotées par des humains, ce qui se traduit par des attaquants restant résident dans l’organisation pendant des semaines, mois, ou des années ».
Yann Fareau insiste enfin sur l’importance de retirer tous les enseignements de ces exercices, soulignait que ces efforts doivent s’inscrire dans « un cycle d’amélioration continue ». Le tout en restant « humble et positif », pour Fortunato Guarino : « on n’est jamais trop préparé pour le scénario du pire ».