Les 6 étapes clefs pour répondre à une cyberattaque - Partie 1
Article écrit par
Serge PayetTemps de lecture estimé : 10 minutes
La cybersécurité concerne toutes les entreprises et tous les secteurs d'activité. La gestion des cyberattaques est un problème « global » qui concerne toutes les équipes de l'entreprise. Il s’agit également d’une question humaine et opérationnelle, plutôt que simplement technique.
Aujourd'hui, chaque organisation dépend dans une certaine mesure de la technologie et des télécommunications. La question n'est plus de savoir "si" un cas de violation de la sécurité informatique se produira, mais plutôt de savoir "quand" cela arrivera.
Lorsqu'une violation est découverte, il est essentiel d'agir de manière globale et rapide sans quoi l'entreprise risque une plus grande responsabilité. L'organisation doit suivre six étapes critiques pour y faire face.
Il est important de garder à l'esprit que ces étapes ne sont pas séquentielles. Dans la pratique, il sera nécessaire de penser à la plupart d'entre elles de manière parallèle, en particulier au début de la rupture. Lorsque les priorités seront de la contenir afin d'atténuer les effets de la violation, les risques de dommages supplémentaires ou de perte de données.
Étape 1 : Mobiliser l'équipe d'intervention en cas d'incident
En cas d’incident, une équipe d’intervention doit être formé et inclure toutes les parties prenantes internes pertinentes :
- L'équipe technique chargée d’enquêter sur la violation (éventuellement récupérer des informations volées)
- Les ressources humaines et les représentants des employés si la violation affecte les employés, des experts en propriété intellectuelle afin de réduire au maximum l’impact sur la marque
- Les responsables communication et/ou relations publiques
- Il peut également être nécessaire de faire appel à des représentants externes - par exemple, lorsque les équipes internes ne disposent pas de compétences suffisantes
- L'équipe doit également compter des juristes (internes ou externes). Toute cyberattaque implique des questions juridiques parfois complexes.
Dans ce cadre, il sera également nécessaire de vérifier si les pertes résultant d'une cyberattaque sont couvertes par les polices d'assurance d'entreprise existantes de l'organisation.
Lorsqu'il y a une assurance en place, l'organisation devra examiner les politiques pertinentes pour déterminer si et quand les assureurs doivent être informés de la violation. Certaines polices couvrent les coûts légaux et de réparation, mais seulement à partir de la date de notification.
Étape 2 : Sécuriser les systèmes et assurer la continuité des activités
À la suite d’une violation, la première étape d’un point de vue technique consistera à sécuriser les systèmes informatiques afin de contenir la violation et d’éviter qu’elle ne se propage.
Cela peut signifier qu'une organisation doit isoler ou suspendre une partie compromise de son réseau de manière temporaire, voire déconnecter tout son réseau. Cela peut bien sûr être extrêmement perturbant et potentiellement coûteux pour l’entreprise.
Il est également nécessaire de déterminer quand et comment la violation est intervenue et si d'autres systèmes ont été compromis. Bien entendu, il convient de s'assurer que toute nouvelle tentative d'intrusion soit détectée immédiatement.
Étape 3 : Mener une enquête approfondie
Une enquête doit être menée sur cette violation, ses effets et sur les mesures correctives à prendre. L'organisation devra décider qui doit diriger cette enquête et s'assurer qu'elle dispose des ressources appropriées.
Lorsqu'il y a un risque d'implication d'employés dans l'infraction, l'enquête doit également tenir compte de la législation du travail applicable. L'équipe d'enquête doit donc consulter et associer les représentants des ressources humaines, selon le cas.
Enfin, l'équipe chargée de l'enquête devra s'assurer de documenter toutes les mesures prises, dans la mesure où celles-ci pourraient être nécessaires dans le cadre de toute notification réglementaire à soumettre.
En pratique, les enquêtes sont généralement itératives : de nouvelles pistes d’interrogation apparaîtront à mesure que les circonstances entourant la violation deviennent plus claires.
En cas d'infraction, il est important de rappeler les conclusions des enquêtes sur les politiques et procédures en place et sur le plan de réaction aux incidents. Il convient de veiller à ce que les employés reçoivent un préavis et une formation appropriés. Les régulateurs sont souvent aussi intéressés par ce qui a été fait pour remédier aux processus à venir que par la violation elle-même.
Vous souhaitez connaître les prochaines étapes, consultez la deuxième partie de cet article dès maintenant 👉 Répondre à une cyberattaque en 6 étapes clefs suite 2/2.
Articles à la une
Ces articles pourraient vous intéresser
23/10/2020
Microsoft met en garde contre la faille Zerologon
Découvrir
21/02/2018
Êtes-vous prêts pour l'application obligatoire du RGPD ?
Découvrir