Skip to main content

Article

Les 10 principales mesures de préparation en vue de l’intervention en cas d’incident

Chaque organisation, petite ou grande, dans n’importe quel secteur d’activité, est exposée au risque d’une cyberattaque.

Chaque organisation, petite ou grande, dans n’importe quel secteur d’activité, est exposée au risque d’une cyberattaque. Une bonne préparation aide les organisations à gérer et à réduire les répercussions opérationnelles sur les activités, la réputation et les conséquences juridiques de l’incident. Vous trouverez ci-dessous les 10 meilleurs conseils pour aider votre organisation à réagir efficacement aux cyberincidents.

1. Élaborez un plan d’intervention en cas de cyberincident

Un cyberincident est un problème à l’échelle de l’entreprise qui nécessite plusieurs actions dans divers domaines. La vitesse de réaction est la clé pour contenir les répercussions. Pouvoir compter sur la bonne équipe et la bonne chaîne de commandement est donc essentiel pour réussir. Pour atteindre cet objectif, affectez un membre de l’équipe à l’intervention en cas d’incident. Dressez la liste des membres de l’équipe, décrivez leurs tâches en matière de gestion des incidents et désignez des responsables qui prendront des décisions clés tout au long de l’incident.  Incluez les opérations des TI, la sécurité des TI, le service juridique, les relations publiques, les communications, la gestion des risques, la haute direction, les RH, les opérations et les fournisseurs.

Ensuite, assurez-vous que les responsables de l’intervention ne sont pas dépassés par la situation et qu’ils peuvent conserver une vue d’ensemble ainsi que transmettre la situation à un niveau supérieur, au besoin. Pour ce faire, définissez votre processus d’évaluation et de transmission à un niveau supérieur des incidents. Créez des paramètres d’évaluation pour les incidents en vue d’utiliser les résultats pour soutenir les procédures de triage et de transmission à un niveau supérieur. Les incidents peuvent évoluer rapidement, et la mise en œuvre de l’intervention est souvent retardée parce que plusieurs choses se produisent en même temps et que la gravité du problème n’est pas totalement comprise.

Il est également important de s’assurer que les organisations communiquent avec les parties prenantes au moment opportun afin de répondre à vos exigences juridiques et réglementaires et de maintenir la confiance des parties prenantes. Cela contribue grandement à réduire les répercussions futures de l’incident. Préparez cette partie essentielle du processus en établissant un plan de communication. Déterminez qui seront les parties prenantes internes et externes à informer au fur et à mesure que se déroule le cyberincident. Établissez le moment et la fréquence auxquels il faudra communiquer avec eux et les renseignements à communiquer. Cela comprend la haute direction, les autorités chargées de l’application de la loi, les organismes de réglementation, les clients, les employés, les médias et les autres parties prenantes.

En cas de cyberattaque, évitez de perdre du temps à rassembler des coordonnées dans l’urgence et assurez une communication rapide, rentable, simplifiée et cohérente en maintenant une liste de coordonnées. Ayez une liste à jour et complète des coordonnées de l’équipe d’intervention en cas d’incident et de celles des fournisseurs, des autorités chargées de l’application de la loi, des organismes de réglementation, des clients, des employés, etc. Conservez les listes de coordonnées dans divers endroits sécurisés.

Puis, définissez vos procédures d’intervention afin d’avoir un plan de match pour contrôler la situation, traiter tous les angles, contenir efficacement les dommages et accélérer la restauration des systèmes et des opérations. Définissez les protocoles et les listes de vérification pour la mise en œuvre, les phases d’intervention et la fin de l’exécution du plan d’incident. Vous pouvez également élaborer des manuels d’intervention pour les événements de sécurité courants (p. ex., rançongiciel, violation de données, attaque par déni de service, défiguration de site Web, compromission des courriels, etc.).

Finalement, assurez-vous que le processus d’intervention est consigné au fur et à mesure qu’il se déroule, surtout en cas d’enquêtes futures et d’évaluation pour en tirer des conclusions. Pour ce faire, soyez prêt à faire le suivi des échéances et des décisions relatives aux incidents. Consignez et documentez les faits concernant l’incident ainsi que les mesures à prendre jusqu’à sa résolution.

2. Menez un exercice d’intervention en cas d’incident

Familiarisez-vous avec les protocoles et les rôles pour l’intervention en cas d’incident, améliorez la coordination de l’équipe et déterminez les améliorations à apporter au plan afin d’intervenir plus rapidement et plus efficacement. Un plan non testé ne sera pas utilisé pendant une crise.
La pratique exemplaire consiste à mener des exercices annuels d’intervention en cas d’incident. Permettez à l’équipe de mettre en pratique sa réaction à un cyberincident en utilisant les outils et les procédures d’intervention. Offrez de la formation à l’intention des nouveaux membres de l’équipe.

3. Tenez à jour l’inventaire des biens et la carte des données

Les intervenants en cas d’incident doivent savoir où trouver des indicateurs de compromission. Ces outils accélèrent grandement le diagnostic et le confinement de la menace.

À cette fin, assurez-vous de dresser un inventaire des appareils et des logiciels ainsi qu’une carte de l’emplacement où sont stockées les données sensibles. Tenez-le à jour!

4. Établissez des relations d’intervention en cas d’incident

Établissez à l’avance des relations avec les fournisseurs afin de faire appel rapidement aux experts en matière de services juridiques externes, d’enquêtes judiciaires, de relations publiques et d’autres domaines, à un rythme contrôlé.

Pour ce faire, entretenez des relations avec les fournisseurs de services d’intervention en cas d’incident et d’autres parties prenantes pertinentes avant qu’un incident ne surgisse.

5. Mettez en place la technologie d’intervention en cas d’incident

La mise en œuvre d’une technologie pour assurer la sécurité de vos points d’extrémité vous aidera à détecter les activités malveillantes, à diagnostiquer la gravité des incidents et à les confiner ou à y réagir à partir d’un lieu de surveillance central. Vous obtiendrez une plus grande efficacité à la fois pour éviter et pour confiner les incidents.

Ces solutions techniques sont généralement appelées « détection et intervention en matière de points d’extrémité » et devraient permettre de détecter, de surveiller et de limiter les incidents ainsi que d’y réagir.

6. Recueillez et protégez les journaux d’activités

L’analyse des journaux vous permet de comprendre les actions de l’assaillant et la portée des compromissions ainsi que de cerner les preuves et de réagir efficacement. Par conséquent, dans le cadre de votre processus d’intervention, il est essentiel de recueillir, de surveiller, de stocker et de protéger les journaux comme ceux du système, de l’utilisateur, des événements réseau et de toute activité pertinente pour détecter les activités anormales et enquêter sur les incidents de sécurité pour les analyser par la suite.

7. Sauvegardez les systèmes et les données

Les sauvegardes sont un élément essentiel de la récupération, surtout lors des incidents liés à des rançongiciels. Lors de ces attaques, les assaillants cherchent à détruire les sauvegardes avant de lancer leur attaque d’extorsion, ce qui fait en sorte que les organisations doivent payer la rançon pour restaurer leurs systèmes.

Assurez-vous de tenir à jour des copies hors ligne des systèmes et des données critiques. Vérifiez régulièrement l’intégrité des sauvegardes. Sécurisez les sauvegardes à l’aide du chiffrement et du contrôle de l’accès.

8. Préparez-vous à la reprise après un incident

Assurez-vous de pouvoir restaurer rapidement vos systèmes à l’aide des sauvegardes et de limiter autant que possible les perturbations des opérations et les répercussions sur le service à la clientèle. Documentez les procédures expliquant la restauration des systèmes à partir des sauvegardes. Testez annuellement la capacité de restaurer les systèmes et les données critiques.

9. Menez des campagnes de sensibilisation des utilisateurs

Les utilisateurs du système peuvent être les premiers à détecter un incident. Des campagnes de sensibilisation régulières permettent d’ajuster leurs réflexes pour détecter les activités suspectes et les signaler.

Assurez-vous de mener régulièrement des campagnes de sensibilisation aux cyberrisques, notamment des bulletins sur les risques, des exercices d’hameçonnage et de la formation sur la façon de signaler les anomalies et les incidents.

10. Envisagez de souscrire une cyberassurance

L’assurance est un moyen économique de transférer l’exposition résiduelle aux cyberrisques. Elle offre un accès rapide aux experts en intervention en cas d’incident afin d’atténuer les répercussions d’un cyberincident.

Envisagez de souscrire une cyberassurance pour obtenir le soutien d’un expert en intervention en cas d’incident et protéger votre entreprise contre les pertes financières causées par les cyberincidents.