Comment créer un plan de réponse aux incidents efficace

Comment créer un plan de réponse aux incidents efficace

La complexité et la précision des cyberattaques d’aujourd’hui peuvent vous rendre léthargique pour les jours plus simples du virus Michelangelo. Ajoutez le nombre considérable d’alertes de sécurité et de faux positifs et vous comprendrez facilement pourquoi les équipes de réponse aux incidents souffrent d’épuisement professionnel, mettant ainsi les organisations en péril.

La réponse à un incident est le processus de détection et de traitement d’un incident de sécurité, d’une cyberattaque ou d’une violation de données, permettant de remédier à cette menace et de se rétablir à la suite. Cela oblige les analystes à repousser les assaillants, à analyser les résultats de leurs interventions et à appliquer les leçons apprises pour éviter la répétition d’une menace.

Une faille de sécurité peut nuire à votre entreprise et à vos clients, mais également à votre réputation, votre atout le plus précieux. Le coût moyen d’une atteinte à la sécurité des données est de 3,86 millions de dollars, selon l’étude «Coût d’une étude sur les atteintes à la protection des données en 2018». Il s’agit d’une atteinte typique à la sécurité qui nécessite 69 jours. Toutefois, les entreprises disposant d’une intervention plus efficace en cas d’incident ont réduit le temps de confinement à 30 jours et leurs coûts associés ont été réduits de 25%. Cela représente environ 1 million de dollars de moins par incident, une somme qui peut être investie dans de meilleurs processus, technologies et ressources humaines pour lutter contre les cyberattaques.

Bien que vous ne puissiez pas contrôler si les cyberattaques ciblent votre entreprise, vous pouvez contrôler votre réponse. Répondre rapidement et efficacement aux cyber incidents peut vous aider à améliorer la cyber-résilience de votre entreprise – la capacité de maintenir votre objectif principal et votre intégrité face aux cyberattaques, telles que définies par Larry Ponemon.

Commencer à élaborer un plan d’intervention en cas d’incident

Dès le début de tout effort de réponse aux incidents, il est essentiel d’avoir un plan. Vous trouverez ci-dessous trois stratégies pour vous aider à perfectionner vos capacités de réponse aux incidents et à renforcer la posture de votre entreprise en matière de cyber-résilience.

1. Créer un plan dynamique de réponse aux incidents

Parmi les organisations qui se classent parmi les plus performantes en matière de cyber-résilience – c’est-à-dire celles qui rencontrent moins de violations de données et d’interruptions de l’activité – 55% ont mis en œuvre un plan de réponse aux incidents. Cela se compare à seulement 23% des artistes médiocres. Les entreprises qui n’ont pas de plan manquent un élément fondamental de la cybersécurité. Lorsque IBM a enquêté sur les raisons pour lesquelles une entreprise ignorait cette étape, les réponses allaient du manque de personnel et de leadership à une structure organisationnelle qui ne prenait pas en charge une approche centralisée de la réponse aux incidents.

Le cahier de jeu est au cœur du plan d’intervention en cas d’incident. Le cahier de jeu détaille les tâches et les actions que votre organisation devrait entreprendre en réponse à divers incidents. Cela commence par des tâches manuelles traçables qui évoluent dans le temps en fonction de ce que vous apprenez des expériences ou des simulations. À l’aide des commentaires issus de l’analyse et de l’examen post-incident, vous pouvez continuellement évaluer et affiner votre manuel de réponses aux incidents pour améliorer le temps et l’efficacité des réponses. À mesure que le paysage des menaces change, vous aurez peut-être besoin de nouveaux livres de lecture pour les menaces et les scénarios émergents.

La collaboration est la clé pour suivre les développements. En faisant partie d’une communauté d’experts en sécurité, vous avez accès aux livres de lecture, aux procédures d’utilisation standard, aux meilleures pratiques et aux conseils de dépannage. Tout cela vous aide à vous adapter aux nouveaux développements dès qu’ils se présentent. Mais pour une réponse vraiment efficace, la pratique est la condition la plus essentielle.

2. Pratiquez et révisez votre réponse

Développer un livre de jeu ne suffit pas; vous devez régulièrement pratiquer et mettre à jour votre réponse aux incidents, en interne ou avec l’aide d’un consultant. La prise de décision en cas de crise – qui nécessite de passer des appels rapides sans toutes les informations pertinentes – peut être déconcertante pour les habitués du temps pour délibérer. Ceux qui excellent possèdent souvent une expérience dans le domaine militaire ou en médecine d’urgence et ont été formés aux principes applicables dans les situations de crise. Par exemple, les pilotes de chasse utilisent la boucle OODA: observer, orienter, décider et agir. Et dans l’armée, le concept d’intention du commandant définit le résultat souhaité pour les troupes. Peu importe ce qui se passe, elles savent quoi faire.

Il est également essentiel que le personnel des opérations de sécurité comprenne à quel point le pire peut être pire lorsque vous combattez un adversaire humain capable de voir vos actions et de pivoter en fonction de vos réactions. Lors d’une cyberattaque, les analystes peuvent rester éveillés 16 à 18 heures par jour, voire des semaines. Les fournisseurs d’intervention en cas d’incident dotés de capacités de cyber-distance peuvent aider les employés à apprendre à réagir à un incident de l’alerte initiale à post-mortem. Au fur et à mesure que la réaction à un incident se rapproche de la mémoire musculaire, votre personnel sera mieux armé pour faire face aux violations qui se produiraient.

Avec un plan d’intervention en cas d’incident solide et documenté, ainsi que la formation nécessaire pour le mettre en œuvre, vous pouvez jeter les bases d’un programme d’automatisation et d’orchestration réussi.

3. Orchestrer et automatiser

Pour améliorer la réaction aux incidents, l’un des éléments clés consiste à modifier la position de votre entreprise en matière de cybersécurité, de réactive à proactive. Selon Forrester, une technologie fournissant des processus de sécurité automatisés, coordonnés et basés sur des règles sur plusieurs technologies rend les opérations plus efficaces et moins sujettes aux erreurs.

Chaque jour, 27% des centres d’opérations de sécurité (SOC) reçoivent plus d’un million d’alertes, selon Imperva. En moyenne, un analyste de la sécurité enquête sur 20 à 26 incidents par jour, ce qui prend entre 13 et 18 minutes. Comment les SOC gèrent-ils ce bombardement continu? Pour la plupart, ils ne le font pas. La réponse la plus courante consiste à modifier les stratégies pour recevoir moins d’alertes.

Orchestration libère les équipes de cybersécurité en rationalisant les processus, en optimisant les ressources et en renforçant la culture de sécurité. En combinant intelligence humaine et machine pour augmenter la vitesse et l’agilité, l’orchestration peut tripler le volume de réponses aux incidents.

En automatisant les tâches répétitives et fastidieuses, l’orchestration intelligente peut également libérer du temps pour les analystes au profit de priorités plus stratégiques. Selon Ponemon, l’automatisation réduit le coût moyen d’une violation de données de 1,55 million de dollars et améliore la prévention, la détection, la réaction et la maîtrise des cyberattaques. Les analystes peuvent travailler plus intelligemment avec de meilleures informations et utiliser une intelligence supérieure.

Orchestration permet de réagir 40 fois plus rapidement aux incidents, comme indiqué dans la «Troisième étude annuelle sur la cyber-résilience». Vous pouvez éliminer le bruit, identifier les menaces critiques et revenir à votre activité principale plus rapidement que jamais.