Cet article présente cinq leçons apprises qui découlent de nombreuses interventions en gestion des incidents de cybersécurité. Il s’agit de quelques constats faits dans le cadre de ces activités qui pourraient vous permettre de mieux vous préparer à faire face à une telle éventualité.
Ne pas être attentif aux symptômes
Ne pas être attentif aux symptômes d’une attaque pourrait vous coûter cher. La vigilance est probablement la meilleure arme que vous détenez pour faire face à un incident de sécurité informatique. En d’autres mots, il faut être en mesure de bien détecter les signes avant-coureurs d’une situation qui peut dégénérer rapidement. Quelqu’un reçoit des courriels suspicieux? Des usagers se plaignent de comportements étranges sur leurs appareils? Un nouveau compte administrateur vient d’être créé? Il s’agit peut-être de signaux que quelque chose ne tourne pas rond. Dans le doute, n’hésitez pas à contacter des spécialistes qui pourront vous épauler; la prudence est mère de sûreté!
Attendre avant d’agir
Dans le cas d’un incident, la vitesse de réponse est clef. Non seulement cela peut littéralement sauver votre organisation, mais globalement, cela risque grandement de réduire les coûts en lien avec l’activité de gestion de l’incident. En d’autres mots, il est préférable de faire appel à des spécialistes plus tôt que tard.
Il est possible d’utiliser l’analogie d’un dégât d’eau pour expliquer ce genre de situation. Si l’eau coule de votre plafond, est-ce que vous attendriez avant d’appeler un spécialiste? Probablement pas. Cela risquerait d’engendrer de graves problèmes en lien avec la fuite. Or, c’est un peu la même chose lorsque l’on discute de la question des incidents de cybersécurité. Agir rapidement peut vous éviter de graves problèmes en aval.
Nous voyons régulièrement des équipes essayer de se débrouiller seules pendant 24 à 48 avec des incidents avant d’appeler à l’aide.
Tenter de régler le tout soi-même, ou aller chercher de l’expertise au mauvais endroit
Les entreprises vont souvent avoir le réflexe contre-intuitif de tenter de tout faire pour s’en sortir elles-mêmes. Si cela peut paraître une bonne idée en surface, cela amène généralement des problèmes plus lourds à gérer plus tard; les maliciels s’installent encore plus loin dans les systèmes, et cela requiert donc plus d’efforts avant de pouvoir en sortir.
Encore une fois, le rôle de spécialiste en réponse aux incidents est un rôle spécialisé. Les véritables gestionnaires d’incidents ont suivi des formations spécialisées dans le domaine et ont généralement les certifications qui prouvent leurs compétences – la certification du SANS « GIAC Incident Handler certification » en constitue un bon exemple.
Le métier de la réponse aux incidents demande une stratégie, des méthodologies, des outils et des approches qui relèvent d’une spécialisation particulière. Ces éléments ne font pas généralement partie des équipes TI dont le mandat est de maintenir une infrastructure pour faire face aux défis du quotidien. Il s’agit d’une spécialité qui requiert un savoir-faire précis et bien que vos équipes TI puissent être en mesure d’appuyer la gestion d’un incident.
Tenter de négocier par soi-même
Si jamais votre organisation est prise dans une situation de rançongiciel, ne contactez jamais les malfaiteurs. En effet, cela a des implications très importantes au niveau de la réputation de votre organisation, en lien avec les aspects techniques et au chapitre des responsabilités juridiques. Il est préférable d’attendre les spécialistes en gestion d’incident et les juristes de type « breach coach » avant de faire toute intervention. Cela vous évitera de plonger votre organisation dans une situation potentiellement irréversible.
Trouver des coupables
La question que pourrait se poser les gestionnaires quand un incident informatique survient est : « qui est responsable de la situation? ». Ce réflexe pourrait s’avérer désastreux pour la suite des choses. En effet, chercher un coupable pourrait désengager les talents de votre organisation, ce qui aggraverait la situation en pleine pénurie de talents.
Le rôle du leadership devrait être de motiver et mobiliser les troupes, afin de faire face à la présente situation. Lorsque le tout sera plus stable, c’est à ce moment que l’on peut commencer à réfléchir à « qu’est-ce qui s’est passé réellement? », et trouver des solutions permettant de réduire les risques de voir une telle situation se reproduire dans l’avenir.