Nous avons eu la chance d’accueillir Rino Lagacé, ancien Leader de la Blue Team chez Banque Nationale du Canada, lors de la 1ère édition de la Conférence Forensik. Il nous a expliqué comment son équipe de réponse aux incidents était organisée au sein de l’institution financière, quels étaient les rôles de chacun et comment l’entreprise avait gagné en maturité dans la gestion des cyberincidents. Une entrevue à découvrir dès maintenant sur INTRASEC, la chaîne cybersécurité d’In Fidem.

Une organisation structurée en 3 niveaux

Les équipes de gestion et réponses sont réparties en 3 niveaux.

  1. Niveau 1 : les experts reçoivent les alertes et ont une durée fixe pour résoudre un incident s’il y a lieu. Ils doivent documenter l’incident en précisant ce qu’il s’est passé, les différentes étapes, les outils, les vecteurs d’attaques et la ou les cible(s).
  2. Niveau 2 : une autre équipe reprend les informations et va s’attarder au niveau des infrastructures.
  3. Niveau 3 : si l’incident n’est pas résolu, une cellule avec des collaborateurs hauts placés se met en place afin de prendre des décisions. Pour cela, la documentation détaillée sur les événements est cruciale pour prendre les bonnes mesures de façon rapide et efficace.

L’automatisation de la gestion et réponse aux incidents : un des enjeux clés pour la Banque Nationale

Rino Lagacé nous explique que l’institution financière désire monter en maturité dans la réponse aux incidents de cybersécurité grâce à l’automatisation.

Pour cela, elle met en place des playbooks que le niveau 1 doit suivre pour traiter rapidement les alertes de sécurité.

Si les équipes ne sont pas en mesure d’y répondre, c’est le niveau 2 qui prendra le relai.

Mais l’objectif c’est de solliciter le moins possible le niveau 3.

Le partage de connaissances dans la gestion et réponse aux incidents

Les institutions financières sont des cibles privilégiées des pirates informatiques. C’est pourquoi, elles partagent entre elles les alertes qu’elles reçoivent afin de mettre en garde les autres organisations. Elles n’hésitent pas non plus à s’entraider afin de répondre plus rapidement et efficacement aux menaces.

Pour Rino Lagacé, l’idéal serait de mettre en commun une base de connaissances pour s’entraider et surtout donner les moyens aux petites et moyennes entreprises de lutter contre les cyberattaques dont elles ne sont elles-mêmes pas à l’abri.

Nous vous rappelons qu’il existe Cancyber, une solution de partage d’informations sur les menaces.

Retrouvez l’interview complète de Rino Lagacé sur Ausha, Spotify, Apple Podcasts, Podcast Addict.