Selon les statistiques, plus les entreprises déplacent leurs opérations vers la réalité numérique, plus les risques de cybersécurité apparaissent. Selon une enquête GetApp 2020 sur la sécurité des données , 35% des entreprises ayant répondu ont subi une violation de données en 2020 et 28% ont fait face à une attaque de ransomware.
Qu'est-ce que tu ferais? Votre organisation et vous-même avez-vous un plan de réponse?
Nous pensons connaître la réponse - selon le rapport IBM, seulement 26% des entreprises ont un plan de réponse de sécurité bien défini pour les violations de données et autres types de cyberattaques. Dans cet article, nous discuterons de ce qu'est un plan de réponse aux incidents de cybersécurité et de ses avantages. Et nous mettrons en évidence cinq étapes pour créer un plan de réponse aux incidents et vous fournirons une gamme de ressources pour vous aider à démarrer.
Qu'est-ce qu'un incident de cybersécurité
Un incident de cybersécurité est tout événement qui enfreint la politique de sécurité informatique d'une organisation et met en danger des données sensibles, telles que les données financières des clients. Les infections de logiciels malveillants, les attaques DDoS, les attaques de ransomwares, les accès non autorisés au réseau, les attaques internes et le phishing ne sont que quelques-uns des types courants d'incidents de cybersécurité.
Qu'est-ce qu'un plan de réponse aux incidents de cybersécurité
Un plan de réponse aux incidents de cybersécurité est un ensemble d'instructions qui aideront vos employés à identifier , répondre et se remettre des incidents de cybersécurité .
Un tel plan comprend des mesures à suivre pour prévenir les cyberattaques, des mesures à prendre lorsqu'une entreprise est déjà confrontée à une attaque et des actions post-attaque, telles que l'information des parties prenantes ou le signalement de l'incident aux agences gouvernementales.
Pourquoi vous avez besoin d'un plan de réponse aux incidents de cybersécurité
Voici les principales raisons pour lesquelles chaque organisation a besoin d'un plan de réponse aux incidents de cybersécurité bien documenté et régulièrement mis à jour.
Prêt à lutter contre les cyberattaques
Avec un plan de réponse, vous et votre équipe saurez exactement quoi faire. En même temps, chacun aura un rôle documenté et sa propre responsabilité. Vous n'aurez pas besoin de donner des instructions supplémentaires à votre équipe afin qu'il n'y ait pas de perte de temps ou d'interruption de communication.
Vous suivrez les règles
En cas de faille de sécurité, vous devez remplir de nombreuses exigences telles que l'information des parties prenantes et le signalement de l'incident aux autorités. Un plan de réponse vous aidera à suivre et à respecter ces exigences. Par exemple, la loi sur la protection des données des consommateurs du RGPD vous oblige à signaler un événement de sécurité dans les 72 heures suivant sa survenance, et la norme de sécurité des informations financières PCI DSS vous oblige à avoir un plan de réponse aux incidents et à l'examiner au moins une fois par an.
Vous n'avez pas à vous fier à une réponse ponctuelle aux incidents
Un plan de réponse aux incidents de cybersécurité est un document écrit qui définit clairement les étapes que vous et vos employés devez suivre lorsqu'une faille de sécurité est détectée. Il est approuvé par la direction de l'entreprise, ce qui vous évite d'improviser. D'accord, une réponse préparée est plus efficace qu'une réponse spontanée et chaotique.
5 étapes pour créer un plan de réponse aux incidents de cybersécurité
1. Documentez les types courants d'incidents de sécurité.
Pour commencer, créez un document répertoriant les menaces potentielles pour votre entreprise - il vous aidera à préparer différentes stratégies pour répondre à différents types de cyberincidents.
2. Hiérarchisez les incidents de sécurité en fonction de leur gravité.
Les incidents de sécurité varient en ampleur et en gravité. Un fichier endommagé sur l'ordinateur portable d'un employé peut être considéré comme une priorité inférieure à une attaque DDoS, ce qui peut désactiver l'ensemble du site. Déterminez la gravité de chaque incident de sécurité pour décider de le résoudre en premier.
Alors, évaluez si l'incident affecte vos données (les rend inaccessibles, les vole ou entraîne leur perte) ou votre capacité à servir les clients ou à effectuer des opérations. Tout incident qui affecte à la fois la sécurité des données et la sécurité opérationnelle doit être traité en priorité.
Utilisez notre outil de hiérarchisation des incidents de sécuritépour évaluer les risques de divers incidents de sécurité.
Indiquez l'impact de l'incident sur vos opérations et données (non, faible, moyen ou élevé), et le service affichera automatiquement s'il s'agit vraiment d'une priorité ou si sa résolution peut attendre un peu.
N'oubliez pas de fixer un délai pour résoudre les incidents identifiés. Idéalement, les incidents de priorité élevée devraient être résolus dans les 2 à 6 heures suivant la détection, tandis que les incidents de faible priorité devraient être résolus dans les 24 heures.
3. Créez un organigramme de réponse aux incidents indiquant les actions requises
Le plan de réponse aux incidents déterminera les étapes à suivre pour contenir l'attaque. Créez votre plan dans un organigramme afin que votre équipe puisse comprendre rapidement le chemin d'atténuation des menaces à utiliser.
Un exemple de circuit.
Indiquez qui est responsable de chaque étape mentionnée dans votre organigramme. Répartissez des responsabilités claires et non conflictuelles entre vos employés afin qu'il n'y ait pas de conflits ou de conflits inutiles.
Utilisez la matrice des responsables, responsables, consultés et informés (RACI) pour indiquer qui doit être tenu responsable, responsable, consulté ou uniquement informé des différentes étapes de la réponse à un incident. Il peut s'agir d'une seule personne - par exemple, votre responsable de la sécurité sera responsable de la tenue des enregistrements des incidents, des opérations techniques, des conseils sur les rapports post-incident et de la coordination générale et de la liaison avec les organismes de réglementation.
Voici un exemple de matrice RACI qui décrit les responsabilités des différentes parties prenantes, que vous pouvez télécharger et personnaliser en fonction des caractéristiques de votre organisation. Par exemple, si vous n'avez pas de MSSP, votre responsable sécurité sera responsable de toutes les opérations techniques.
4. Faites un essai routier et formez vos employés.
Un programme d'intervention en cas d'incident à lui seul ne suffit pas. Vous devez tester son efficacité en menant des exercices de simulation qui formeront également vos employés à leur rôle dans la gestion des incidents de sécurité. Voici un exercice d'équipe rouge et bleu efficace que vous pouvez faire en tant que modèle.
5. Mettez régulièrement à jour votre plan de réponse aux incidents.
Mettez à jour votre plan régulièrement pour suivre les changements dans le paysage des menaces ou pour inclure les nouvelles mesures de sécurité que vous avez récemment prises. Passez en revue votre réponse au moins une fois par an et travaillez à réduire le temps que vous passez à contenir et à récupérer des incidents.
Utilisez les informations recueillies lors d'incidents de sécurité antérieurs et d'exercices de simulation de sinistre pour identifier les opportunités d'amélioration et mettre en œuvre de nouveaux contrôles pour votre plan de réponse aux incidents de sécurité (par exemple, assurez-vous de rechercher les étapes qui peuvent être automatisées).
Enfin, utilisez un logiciel dédié, car il peut vous aider à détecter et à éliminer plus efficacement les menaces de sécurité. Ils permettent aux opérations commerciales de se poursuivre même si les activités de réponse aux incidents sont effectuées en arrière-plan.
En voici quelques-uns:
- Logiciel antivirus
- Logiciel Endpoint Security
- Logiciel de sécurité réseau
- Logiciel de surveillance de réseau
- SIEM
- Logiciel de sauvegarde de données
- Logiciel de continuité d'activité