Un plan de réponse aux incidents peut aider les entreprises à garder le contrôle de la crise en cas de cyberattaque. Les Sophos Labs et les équipes Sophos Managed Response et Rapid Response ont développé un guide avec dix étapes cruciales.
Une cyberattaque est maintenant plus probable que jamais. Des études de Sophos, telles que "L'état des rançongiciels 2021" prouvent qu'à l'échelle internationale, 37 % des entreprises interrogées sont affectées par les seuls ransomwares. Bien que les rançongiciels soient peut-être la forme de dommage la plus dévastatrice de ces dernières années, ils sont loin d'être le seul type de logiciel malveillant pouvant causer de graves problèmes aux entreprises.
Stratégie de réponse aux incidents
Les organisations et les équipes informatiques ont donc tout intérêt à se doter à la fois d'une sécurité efficace et d'une stratégie de réponse aux incidents réfléchie et éprouvée. Un tel plan peut non seulement minimiser les coûts de suivi d'une cyberattaque, mais aussi étouffer de nombreux autres problèmes et même des interruptions d'activité dans l'œuf. Les Sophos Labs ont rassemblé leur expérience avec les équipes Sophos Managed Response et Sophos Rapid Response et présentent le résultat dans le Guide de réponse aux incidents disponible.:
1. Déterminer toutes les personnes impliquées et affectées
Non seulement l'équipe de sécurité est responsable et affectée par les attaques, mais de nombreuses autres personnes dans l'entreprise. Du niveau C aux chefs de département en passant par le service juridique ou RH, il est important d'identifier les personnes clés et de les impliquer activement dans la planification des incidents. À ce stade, des options de communication alternatives doivent également être envisagées, car une panne informatique peut également affecter les canaux de communication classiques.
2. Identifier les ressources critiques
Afin de développer une stratégie de protection et d'être en mesure de déterminer l'étendue et les conséquences d'une attaque en cas d'urgence, les ressources les plus prioritaires pour l'entreprise doivent être déterminées. C'est le seul moyen de restaurer les systèmes les plus critiques de manière ciblée et avec une priorité élevée en cas d'urgence.
3. Entraînez-vous et jouez à travers des scénarios d'urgence
Les exercices garantissent qu'en cas de cyberattaque, des mesures peuvent être prises de manière coordonnée, rapide et ciblée. Un plan est particulièrement utile lorsque toutes les personnes impliquées savent exactement ce qu'elles doivent faire immédiatement à tout moment, au lieu de chercher d'abord des instructions ou même d'essayer d'agir intuitivement. Différents scénarios d'attaque doivent également être définis dans les exercices.
4. Fournir des outils de sécurité
Une partie très importante de la protection et donc aussi du plan de réponse aux incidents sont des mesures préventives. Cela comprend également des solutions de sécurité adaptées pour les terminaux, le réseau, le serveur et le cloud ainsi que pour les appareils mobiles et les e-mails. Un haut degré d'automatisation est important pour les outils, par exemple grâce à l'utilisation de l'IA, ainsi qu'une console de gestion et d'alarme transparente et intégrée afin de détecter les attaques potentielles au plus tôt et, idéalement, de les éliminer automatiquement.
5. Assurer une transparence maximale
Sans la visibilité dont elles ont besoin sur ce qui se passe lors d'une attaque, les organisations ont du mal à réagir de manière appropriée. Les équipes informatiques et de sécurité doivent disposer des outils nécessaires pour déterminer la portée et l'impact d'une attaque, y compris l'identification des points d'entrée et des points de persistance des attaquants.
6. Mettre en œuvre le contrôle d'accès
Les attaquants exploitent les contrôles d'accès faibles pour subvertir les défenses et élever leurs privilèges. Des contrôles d'accès efficaces sont donc essentiels. Cela inclut, entre autres, la fourniture d'une authentification à plusieurs niveaux, la restriction des droits d'administrateur à un nombre de comptes aussi réduit que possible. Pour certaines entreprises, il peut être judicieux de créer un concept Zero Trust supplémentaire et de le mettre en œuvre avec des solutions et des services adaptés.
7. Utilisation dans les outils d'analyse
En plus d'assurer la transparence nécessaire, les outils qui fournissent le contexte nécessaire lors d'une enquête sont extrêmement importants. Il s'agit notamment d'outils de réponse aux incidents tels que EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response), avec lesquels l'ensemble de l'environnement peut être recherché à la recherche d'indicateurs de compromission (IOC) et d'indicateurs d'attaque (IOA).
8. Déterminer les mesures de réponse
Reconnaître une attaque à temps, c'est bien, mais seulement la moitié de la bataille. Car après la découverte, le but est de limiter ou d'éliminer l'attaque. Les équipes informatiques et de sécurité doivent être en mesure d'initier une variété d'actions de réponse pour arrêter et éliminer les attaquants, en fonction du type d'attaque et de la gravité des dommages potentiels.
9. Réaliser une formation de sensibilisation
Tous les employés d'une entreprise doivent être conscients des risques que leurs actions peuvent poser. Par conséquent, la formation est une partie importante d'un plan d'intervention ou de prévention en cas d'incident. Grâce aux outils de simulation d'attaques, des attaques de phishing réelles contre des employés peuvent être simulées sans aucun risque de sécurité. En fonction du résultat, des formations spécifiques permettent de sensibiliser les collaborateurs.
10. Services de sécurité gérés
Toutes les entreprises ne disposent pas des ressources nécessaires pour mettre en place un plan interne de réponse aux incidents et, surtout, une équipe de réponse aux incidents composée d'experts confirmés. Les fournisseurs de services tels que les fournisseurs MDR (Managed Detection and Response) peuvent vous aider. Ils offrent une chasse aux menaces, des analyses et une réponse aux incidents 24h/7 et XNUMXj/XNUMX en tant que service géré. Les services MDR aident non seulement les organisations à répondre aux incidents, mais ils réduisent également la probabilité d'un incident
Lors d'un incident de cybersécurité, chaque seconde compte
"Chaque seconde compte dans un incident de cybersécurité et pour la plupart des entreprises, il ne s'agit pas de savoir si elles seront affectées, mais quand l'attaque se produira", explique Michael Veit, expert en sécurité chez Sophos. « Cette connaissance n'est pas nouvelle. Les entreprises diffèrent principalement selon qu'elles mettent en œuvre ces connaissances avec des précautions appropriées ou qu'elles prennent le risque de mettre en péril leur existence. C'est un peu comme boucler sa ceinture dans une voiture – il est très peu probable que vous soyez indemne d'un accident sans ceinture de sécurité. Un plan de réponse aux incidents bien préparé et bien pensé que toutes les parties concernées de l'entreprise peuvent mettre en œuvre immédiatement peut considérablement atténuer les conséquences d'une cyberattaque.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.