On estime que les brèches de données coûtent aujourd'hui plus de 4,2 millions $ US par incident dans le monde. Et elles se produisent à une échelle sans précédent alors que les organisations développent leur infrastructure numérique - et étendent involontairement la surface d'attaque de l'entreprise. Aux États-Unis, par exemple, le nombre de brèches signalées au troisième trimestre 2021 avait déjà dépassé celui de l'ensemble de l'année 2020. Il faut beaucoup trop de temps à l'organisation moyenne pour trouver et contenir les violations de données - on estime qu'il faut 287 jours aujourd'hui.

Cependant, une fois que les alarmes se déclenchent, que se passe-t-il ensuite? La présence d’experts des rançongiciels, responsables de plus en plus fréquents des violations de données modernes, compliquera encore les choses. Voici ce qu'il faut faire, et ce qu'il faut éviter de faire, après une violation.

  • Restez calme

Une violation de données est probablement l'une des situations les plus stressantes dans lesquelles votre entreprise se trouve, surtout si l'incident a été causé par des rançongiciels, dont les cyberattaquants ont chiffré des systèmes clés et exigent un paiement. Cependant, les réactions impulsives peuvent faire plus de mal que de bien. S'il est évidemment important de remettre l'entreprise en état de fonctionnement, il est crucial de travailler méthodiquement. Vous devrez passer en revue le plan de réponse aux incidents et comprendre l'étendue de la compromission avant de prendre des mesures importantes.

VOUS AIMEREZ ÉGALEMENT : 5 étapes essentielles avant de subir une attaque de rançongiciel 

  • Suivez votre plan de réponse aux incidents

Étant donné que la question n’est plus de savoir « si », mais plutôt « quand » votre organisation fera face à une violation de sécurité, un plan de réponse aux incidents est une bonne pratique essentielle en matière de cybersécurité. Cela nécessite une planification avancée, peut-être en suivant les conseils de l'Institut national des normes et de la technologie (NIST) des États-Unis ou du Centre national de cybersécurité (NCSC) du Royaume-Uni. Lorsqu'une violation grave est détectée, une équipe de réponse à l'incident préétablie, composée de parties prenantes de toute l'entreprise, doit suivre les processus étape par étape. Il est bon de tester ces plans périodiquement pour que tout le monde soit prêt et que le document lui-même soit à jour.

  • Évaluez la portée de la brèche

L'une des premières étapes critiques après tout incident de sécurité majeur est de comprendre l'ampleur de l'impact sur l'entreprise. Cette information servira de base aux actions ultérieures, telles que la notification et la remédiation. Vous devez savoir comment les malfaiteurs sont entrés et déterminer le rayon d'action de l'attaque : quels systèmes ont été touchés, quelles données ont été compromises et s'ils sont encore dans le réseau. C'est là que les experts en criminalistique sont souvent appelés à intervenir.

  • Impliquez les services juridiques

Suite à une brèche, vous devez savoir où en est l'organisation. Quelles sont vos responsabilités ? Quels sont les organismes de réglementation qui doivent être informés ? Devriez-vous négocier avec vos attaquants pour gagner du temps ? Quand les clients et/ou les partenaires doivent-ils être informés ? Le conseil juridique interne est le premier port d'appel ici. Mais vous pouvez également faire appel à des experts en matière de réponse aux cyber-incidents. C'est là que les détails médico-légaux sur ce qui s'est réellement passé sont essentiels, afin que ces experts puissent prendre les décisions les plus éclairées.

  • Sachez qui, quand, comment aviser

Selon les termes du RGPD, la notification au régulateur local doit avoir lieu dans les 72 heures suivant la découverte d'une violation. Cependant, il est important de comprendre quelles sont les exigences minimales en matière de notification, car certains incidents peuvent ne pas l'exiger. C'est là qu'une bonne compréhension de votre rayon d'explosion est essentielle. Si vous ne savez pas quelle quantité de données a été subtilisée ou comment les acteurs de la menace sont entrés, vous devrez envisager le pire lors de la notification au régulateur. Le bureau du commissaire à l'information du Royaume-Uni (ICO), qui a contribué à l'élaboration du RGPD, propose des lignes directrices utiles à ce sujet.

  • Aviser les forces de l'ordre

Quoi qu'il arrive avec le régulateur, vous aurez probablement besoin d'obtenir l'appui des forces de l'ordre, en particulier si des acteurs de la menace se trouvent encore dans votre réseau. Il est judicieux de les mettre à contribution aussi rapidement que possible. Dans le cas d'un rançongiciel, par exemple, ils peuvent être en mesure de vous mettre en contact avec des fournisseurs de sécurité et d'autres tiers qui proposent des clés de déchiffrement et des outils d'atténuation.

  • Informez vos clients, partenaires et employés

Il s'agit d'une autre évidence sur la liste des mesures à prendre après une intrusion. Cependant, une fois de plus, le nombre de clients/employés/partenaires que vous devez informer, ce qu'il faut leur dire et quand dépendront des détails de l'incident et de ce qui a été volé. Envisagez d'abord de publier une déclaration d'attente indiquant que l'organisation est au courant d'un incident et qu'une enquête est en cours. Mais comme la rumeur prospère dans le vide, vous devrez rapidement donner plus de détails. Les équipes chargées de l'informatique, des relations publiques et des affaires juridiques doivent travailler en étroite collaboration sur ce point.

  • Commencez la récupération et la remédiation

Une fois que la portée de l'attaque est connue et que les équipes d'intervention et d’analyse sont sûres que les acteurs malveillants n'ont plus accès au site, il est temps de remettre les choses en marche. Il peut s'agir de restaurer des systèmes à partir de sauvegardes, de réimprimer des machines compromises, d'appliquer des correctifs aux points d'extrémité affectés et de réinitialiser les mots de passe.

  • Commencez à renforcer votre résilience face aux futures attaques

Les acteurs malveillants partagent souvent leurs connaissances dans le réseau clandestin de la cybercriminalité. Ils reviennent aussi de plus en plus souvent pour compromettre les organisations victimes à plusieurs reprises, notamment en faisant appel aux rançongiciels. Il est donc plus important que jamais d'utiliser les informations glanées par les outils de détection et de réponse aux menaces et les outils de criminalistique pour s'assurer que les voies utilisées par vos attaquants la première fois ne puissent plus être exploitées lors de futurs raids. Cela peut se traduire par des améliorations de la gestion des correctifs et des mots de passe, une meilleure formation à la sensibilisation à la sécurité, la mise en place de l’authentification multifactorielle (MFA) ou des changements plus complexes au niveau des personnes, des processus et de la technologie.

  • Étudier les erreurs dans votre réponse aux incidents

La dernière pièce du puzzle de la réponse aux incidents consiste à tirer des enseignements de l'expérience. Il s'agit en partie de renforcer la résilience pour l'avenir, comme indiqué ci-dessus. Mais vous pouvez également vous inspirer de l'exemple des autres. L'histoire des violations de données est émaillée de cas très médiatisés de mauvaise réponse aux incidents. Dans ce cas très médiatisé, le compte Twitter d'une entreprise victime d'une violation a tweeté quatre fois un lien d'hameçonnage, le confondant avec le site de réponse à la violation de l'entreprise. Dans un autre cas, une grande société de télécommunications britannique a été fortement critiquée pour avoir diffusé des informations contradictoires.

En terminant

Quoi qu'il arrive, les clients s'attendent de plus en plus à ce que les organisations avec lesquelles ils font affaire subissent des incidents de sécurité. C'est la façon dont vous réagissez qui déterminera s'ils resteront ou quitteront le navire - et quels seront les dommages financiers et de réputation.